Главная » Триколор ТВ » Что такое компьютерный вирус. Программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия Какая программа называется зараженной

Что такое компьютерный вирус. Программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия Какая программа называется зараженной

Компьютерные вирусы

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или FAT-таблицу, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Проявление наличия вируса в работе на ПЭВМ

Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

Некоторые признаки заражения:

некоторые программы перестают работать или начинают работать неправильно;
на экран выводятся посторонние сообщения, символы и т.д.;
работа на компьютере существенно замедляется;
некоторые файлы оказываются испорченными и т.д.
операционная система не загружается;
изменение даты и времени модификации файлов;
изменение размеров файлов;
значительное увеличение количества файлов на диска;
существенное уменьшение размера свободной оперативной памяти и т.п.

Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.

Разновидности компьютерных вирусов

Вирусы классифицируют по среде обитания и по способу воздействия. По среде обитания вирусы подразделяются на следующие виды:

файловые вирусы, которые внедряются главным образом в исполняемые файлы, т.е. файлы с расширением exe, com, bat, но могут распространяться и через файлы документов;
загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
макровирусы, которые заражают файлы-документы и шаблоны документов Word и Excel.;
сетевые, распространяются по компьютерной сети;

Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Рассмотрим "невидимые" и самомодифицирующиеся вирусы.

"Невидимые" вирусы . Многие резидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Самомодифицирующиеся вирусы . Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

копирование информации - создание копий файлов и системных областей дисков;
разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называется сигнатурой . При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Программы-фильтры , которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

Программы-вакцины , или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:

Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).
Использование только лицензионных дистрибутивных копий программных продуктов.
Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.
Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.
При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.
При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.
При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.

Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.
В состав антивируса Касперского для защиты файловых серверов входят:

антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;
антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;
ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.

Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.
Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.
Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.
Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.
Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

Контрольные вопросы

Что называется компьютерным вирусом?
Какая программа называется "зараженной"?
Что происходит, когда зараженная программа начинает работу?
Как может маскироваться вирус?
Каковы признаки заражения вирусом?
Каковы последствия заражения компьютерным вирусом?
По каким признакам классифицируются компьютерные вирусы?
Как классифицируются вирусы по среде обитания?
Какие типы компьютерных вирусов выделяются по способу воздействия?
Что могут заразить вирусы?
Как маскируются "невидимые" вирусы?
Каковы особенности самомодифицирующихся вирусов?
Какие методы защиты от компьютерных вирусов можно использовать?
В каких случаях применяют специализированные программы защиты от компьютерных вирусов?
На какие виды можно подразделить программы защиты от компьютерных вирусов?
Как действуют программы-детекторы?
Что называется сигнатурой?
Всегда ли детектор распознает зараженную программу?
Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?
Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?
Перечислите меры защиты информации от компьютерных вирусов.
Каковы современные технологии антивирусной защиты?
Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?
Какие модули входят в состав антивируса Касперского для защиты файловых систем?
Каково назначение этих модулей?
Какие элементы электронного письма подвергаются проверке на наличие вирусов?
Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты?
Как обновляется база вирусных сигнатур?

Дисциплина: Безопасность и управление доступом в информационных системах

Тема занятия : Компьютерные вирусы. Классификация.

Вид занятия : лекция

Тип занятия: изучение нового учебного материала

Цели урока:

образовательная: сообщение студентам новых знаний о компьютерных вирусах и их классификации;

развивающая: развитие таких качеств, как мышление(анализ, сравнение), воображение, речь;

воспитательная : способствовать развитию познавательного интереса, мировоззренческих взглядов, воспитание нравственных и эстетических представлений, умение работать с новым материалом и составлять конспект нового материала

психологическая: направленность урока на развитие познавательных психических процессов: развивать внимательность, самостоятельность;

гигиеническая: предупреждение умственного и физического переутомления.

Организационное строение урока:

– учет посещаемости занятия студентами;

– контроль подготовленности к занятию;

– организационный момент;

– изложение нового материала;

– закрепление материала.

Обеспечение занятия:

1. Технические средства обучения: ПК Pentium || -266, ОС Windows 98

2. Учебные места: компьютерный класс.

3. Литература:

v Партыка Т. Л., Попов И. И. П57 Информационная безопасность. Учебное пособие для студентов учреждений среднего профессионального образования. - М.: ФОРУМ: ИНФРА-М, 2002. - 368 с.: ил.

v Прохоров А. «Обзор антивирусных программ для персональных пользователей», журнал «Компьютер-пресс», №3 – 2003 г., с.90-93.

v Шим С. «Оперативная безопасность в Internet», журнал «Открытые системы», №7, 2004г., с.53-60.

Ход занятия:

1. Организационный момент. (1-5 мин.)

2. Сообщение темы занятия, постановка его цели и задачи урока (10 мин.)

3. Изложение нового материала. беседа (58 мин.)

План

1. Компьютерный вирус. Определение вируса

2. Классификация вирусов

3. Способы заражения программ

4. ОСНОВНЫЕ ВИДЫ ВИРУСОВ И СХЕМЫ ИХ ФУНКЦИОНИРОВАНИЯ.

5. Признаки проявления вируса.

6. ОСНОВНЫЕ МЕРЫ ПО ЗАЩИТЕ ОТ ВИРУСОВ

Компьютерный вирус

Компьютерный вирус - это специально написанная, небольшая по размерам программа (т. е. некоторая совокупность выполняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т. д., а также выполнять различные нежелательные действия на компьютере.

По-видимому, самым ранним примером могут служить первые прототипы будущих вирусов - программы-кролики. Не причиняя разрушений, они тем не менее были сконструированы так, что многократно копируя себя, захватывали большую часть ресурсов системы, отнимая процессорное время у других задач. История их создания доподлинно не известна. Возможно, они явились следствием программной ошибки, которая приводила к зацикливанию и наделяла программу репродуктивными свойствами. Первоначально кролики (rabbits) встречались только на локальных машинах, но с появлением сетей быстро «научились» распространяться по последним.

Затем, в конце 60-х годов была обнаружена саморазмножающаяся по сети APRAnet программа, известная сегодня как Creeper (Вьюнок), которая будто бы была написана Бобом Томасом (Bob Thomas).

Вьюнок проявлял себя текстовым сообщением

" i"m the creeper ... catch me.if you can"

(" я вьюнок... поймай меня, если сможешь")

и экономно относился к ресурсам пораженной машины, не причиняя ей никакого вреда и разве что слегка беспокоя владельца. Каким бы безвредным Вьюнок ни казался, но он впервые показал, что проникновение на чужой компьютер возможно без ведома и против желания его владельцев.

С появлением Вьюнка родились и первые системы защиты. Теперь компьютеры стали ценностью, которую следовало охранять не только от воров с отмычками и трейлерами (а на чем еще можно было увезти компьютеры того времени?), но и от разрушительных или злоумышленных команд, проникающих по сети или через магнитные носители.

Первым шагом в борьбе против Вьюнка стал Жнец (Reaper), репродуцирующийся наподобие Вьюнка, но уничтожающий все встретившиеся ему копии последнего. Неизвестно, чем закончилась борьба двух программ. Так или иначе от подобного подхода к защите впоследствии отказались. Однако копии обеих программ еще долго бродили по сети.

Так как вирус самостоятельно обеспечивает свое размножение и распространение, пользователь, в случае обнаружения вируса, должен проверить всю систему, уничтожая копии вируса. Если удалось уничтожить все копии вируса, то можно сказать, что вылечена вся система; в противном случае, уцелевшие копии снова размножатся и все неприятности повторятся.

Своим названием компьютерные вирусы обязаны определенному сходству с биологическими вирусами по:

Способности к саморазмножению;

Высокой скорости распространения;

Избирательности поражаемых систем (каждый вирус поражает только определенные системы или однородные группы систем);

Способности «заражать» еще незараженные системы;

Трудности борьбы с вирусами и т. д.

В последнее время к этим особенностям, характерным для вирусов компьютерных и биологических, можно добавить еще и постоянно увеличивающуюся быстроту появления модификаций и новых поколений вирусов.

Только если в случае вирусов биологических эту скорость можно объяснить могуществом и изобретательностью природы, то вирусы компьютерные скоростью возникновения новых штаммов обязаны исключительно идеям людей определенного склада ума.

Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т. д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий.

Например, вирус Anti-MIT ежегодно 1 декабря разрушает всю информацию на жестком диске, вирус Tea Time мешает вводить информацию с клавиатуры с 15:10 до 15:13, а знаменитый One Half незаметно шифрует данные на жестком диске. В 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Эпидемия известного вируса Dir-11 разразилась в 1991 году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несовершенства традиционных антивирусных средств. Кристоферу Пайну удалось создать вирусы Pathogen и Queeq, а также вирус Smeg. Именно последний был самым опасным, его можно было накладывать на первые два вируса и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры зараженные программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними боролась. Запустив ее, пользователи вместо уничтожения вирусов получали еще один. В результате действий этого вируса были уничтожены файлы множества фирм, убытки составили миллионы фунтов стерлингов.

Широкую известность получил американский программист Мор-рис. Он известен как создатель вируса, который в ноябре 1988 года заразил порядка 7 тысяч персональных компьютеров, подключенных к Internet.

Первые исследования саморазмножающихся искусственных конструкций проводились в середине прошлого столетия. Термин «компьютерный вирус» появился позднее - официально его автором считается сотрудник Лехайского университета (США) Ф.Коэн, который ввел его в 1984 году на 7-й конференции по безопасности информации.

Эксперты считают, что на сегодняшний день число существующих вирусов перевалило за 50 тысяч, причем ежедневно появляется от 6 до 9 новых. «Диких», то есть реально циркулирующих, вирусов в настоящее время насчитывается около 260.

Классификация вирусов

По среде обитания вируса;

По способу заражения среды обитания;

По деструктивным возможностям;

По особенностям алгоритма вируса.

Более подробная классификация внутри этих групп представлена на рис. 5.1.

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например если дискету не вынули из дисководаА: и перезагрузили компьютер, при этом дискета может быть и несистемной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

Способы заражения программ

Метод приписывания. Код вируса приписывается к концу файла заражаемой программы, и тем или иным способом осуществляется переход вычислительного процесса на команды этого фрагмента;

Метод оттеснения. Код вируса располагается в начале зараженной программы, а тело самой программы приписывается к концу.

Метод вытеснения. Из начала (или середины) файла «изымается» фрагмент, равный по объему коду вируса, и приписывается к концу файла. Сам вирус записывается в освободившееся место. Разновидность метода вытеснения - когда оригинальное начало файла не сохраняется вообще. Такие программы являются «убитыми насмерть» и не могут быть восстановлены никаким антивирусом.

Прочие методы. Сохранение вытесненного фрагмента программы в «кластерном хвосте» файла и пр.

Лабораторная работа №7

Основы защиты информации. Работа с антивирусными пакетами.

Цель работы: ознакомиться с теоретические аспекты защиты информации от вредоносных программ: разновидности вирусов, способы заражения и методы борьбы. Ознакомиться с различными видами программных средств защиты от вирусов. Получить навыки работы с антивирусным пакетом Антивирус Касперского .

Теоретические сведения

Проявление наличия вируса в работе на ПЭВМ

некоторые программы перестают работать или начинают работать неправильно;

на экран выводятся посторонние сообщения, символы и т.д.;

работа на компьютере существенно замедляется;

некоторые файлы оказываются испорченными и т.д.

операционная система не загружается;

изменение даты и времени модификации файлов;

изменение размеров файлов;

значительное увеличение количества файлов на диска;

существенное уменьшение размера свободной оперативной памяти и т.п.

Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.

Разновидности компьютерных вирусов

файловые вирусы, которые внедряются главным образом в исполняемые файлы, т.е. файлы с расширением exe, com, bat, но могут распространяться и через файлы документов;

загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;

макровирусы, которые заражают файлы-документы и шаблоны документов Word и Excel.;

сетевые, распространяются по компьютерной сети;

одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

специализированные программы для защиты от вирусов.

копирование информации - создание копий файлов и системных областей дисков;

разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Программы-фильтры , которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера. Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктораревизоры.

1. Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).

2. Использование только лицензионных дистрибутивных копий программных продуктов.

3. Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.

4. Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.

5. При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.

6. При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.

7. При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.

В состав антивируса Касперского для защиты файловых серверов входят:

антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;

антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;

ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.

Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.

Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.

Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.

Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-

объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.

Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

Подготовить доклад на тему: «Общие сведения и особенности работы антивирусной программы [Название антивирусной программы ]» (Название антивирусной

программы выбрать согласно своему варианту из раздела «Варианты заданий к работе» ). Изучить антивирусный пакет Антивирус Касперского . Подготовить отчет по лабораторной работе.

Порядок выполнения

1) Сканирование папок на наличие вирусов:

– Двойным щелчком на значке антивируса на панели индикации открыть главное окно программы;

– Изучить содержимое окна: обратить внимание на дату последнего обновления антивирусной базы и дату последней полной проверки компьютера;

– В своей личной папке создать папку Подозрительные файлы и создать там 2 файла: Текстовый файл и Документ Microsoft Word . Имена файлов ввести согласно своему варианту по Вариантам задания к работе ;

– Выбрав пункт в главном окне программы пункт Поиск вирусов и добавить в окно заданий папку Подозрительные файлы .

– Выполнить проверку папки. По завершению сканирования, используя кнопку «Сохранить как…» , сохранить отчет с результатами проверки в папке

Подозрительные файлы. Имя файла-отчета – Scan_Log.

– Закройте окно Поиск вирусов .

2) Обновление антивирусной базы:

– В главном меню программы выберете пункт Сервис.

– Нажмите на пункт Обновление и, используя кнопку Обновить , осуществите обновление базы известных вирусов.

– По завершению обновления, используя кнопку «Сохранить как…» , сохранить отчет об обновлении в папке Подозрительные файлы . Имя файла -отчета –

– Закройте окно Обновление, и обратите внимание на пункт Дата выпуска сигнатур .

– Закройте окно Антивируса Касперского.

1) Титульный лист, оформленный согласно приведенному ранее шаблону;

2) Название и цель лабораторной работы;

3) ДОКЛАД на выбранную по варианту тему;

4) Содержимое файла Scan_Log.txt по пункту 1 Порядка выполнения работы

5) Содержание файла Upd_Log.txt по П.2 Порядка выполнения работы.

6) Выводы.

Контрольные вопросы

1) Что называется компьютерным вирусом?

2) Какая программа называется "зараженной"?

3) Что происходит, когда зараженная программа начинает работу?

4) Как может маскироваться вирус?

5) Каковы признаки заражения вирусом?

6) Каковы последствия заражения компьютерным вирусом?

7) По каким признакам классифицируются компьютерные вирусы?

8) Как классифицируются вирусы по среде обитания?

9) Какие типы компьютерных вирусов выделяются по способу воздействия?

10) Что могут заразить вирусы?

11) Как маскируются "невидимые" вирусы?

12) Каковы особенности самомодифицирующихся вирусов?

13) Какие методы защиты от компьютерных вирусов можно использовать?

14) В каких случаях применяют специализированные программы защиты от компьютерных вирусов?

15) На какие виды можно подразделить программы защиты от компьютерных вирусов?

16) Как действуют программы-детекторы?

17) Что называется сигнатурой?

18) Всегда ли детектор распознает зараженную программу?

19) Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?

20) Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?

21) Перечислите меры защиты информации от компьютерных вирусов.

22) Каковы современные технологии антивирусной защиты?

23) Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?

24) Какие модули входят в состав антивируса Касперского для защиты файловых систем?

25) Каково назначение этих модулей?

26) Какие элементы электронного письма подвергаются проверке на наличие вирусов?

27) Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или

инфицированные объекты?

28)Как обновляется база вирусных сигнатур?

	Варианты заданий к работе

	Название антивирусной программы	Название файла












	F-Secure Anti-Virus


	Антивирус Касперского


	McAfee VirusScan


	Microsoft Security Essentials





	Norton AntiVirus








	Panda Cloud Antivirus


	G-DATA Antivirus


	ВирусБлокАда


	Outpost Antivirus


	Sophos Anti-Virus


	PC Tools Antivirus


	Comodo Antivirus

Характеристика компьютерных вирусов

Сущность и проявление компьютерных вирусов

Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации. Проникнув в один компьютер, компьютерный вирус способен распространиться на другие компьютеры. Компьютерным вирусом называется специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе на компьютере.Причины появления и распространения компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и ее теневых сторонах (зависти, мести, тщеславии непризнанных творцов, невозможности конструктивно применить свои способности), с другой стороны, обусловлены отсутствием аппаратных средств защиты и противодействия со стороны операционной системы персонального компьютера.Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке компьютера с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может и не быть системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление. Зараженный диск - это диск, в загрузочном секторе которого находится программа - вирус.После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения ЕХЕ, .СОМ, SYS или ВАТ. Крайне редко заражаются текстовые и графические файлы. Зараженная программа - это программа, содержащая внедренную в нее программу-вирус.При заражении компьютера вирусом очень важно своевременно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

прекращение работы или неправильная работа ранее успешно функционировавших программ;

медленная работа компьютера;

невозможность загрузки операционной системы;

исчезновение файлов и каталогов или искажение их содержимого;

изменение даты и времени модификации файлов;

изменение размеров файлов;

неожиданное значительное увеличение количества файлов на диске;

существенное уменьшение размера свободной оперативной памяти;

вывод на экран непредусмотренных сообщений или изображений;

подача непредусмотренных звуковых сигналов;

частые зависания и сбои в работе компьютера.

Следует заметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.Основные виды вирусов В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам (рис. 11.10): Рис. 11.10. Классификация компьютерных вирусов:а - по среде обитания; б - по способу заражения; в - по степени воздействия; г - по особенностям алгоритмовВ зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т.е. в файлы, имеющие расширения СОМ и ЕХЕ. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков. По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.По степени воздействия вирусы можно разделить на следующие виды:

неопасные , не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;

очень опасные, воздействие которых может привести к потере программ, уничтожениюданных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические , они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы , называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Известны вирусы-невидимки , называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или "троянские " программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

ПРОГРАММЫ ОБНАРУЖЕНИЯ И ЗАЩИТЫ ОТ ВИРУСОВ

Характеристика антивирусных программ Дня обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными . Различают следующие виды антивирусных программ (рис. 11.11): Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдаютсоответствующее сообщение. Недостатком таких антивирусных про-Рис. 11.11. Виды антивирусных программ

грамм является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги , т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы Aidstest , Scan, Norton AntiVirus и Doctor Web . Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий. Программа-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционой системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf фирмы "Диалог-Наука". Программы-фильтры или "сторожа" представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

попытки коррекции файлов с расширениями СОМ и ЕХЕ;

изменение атрибутов файлов;

прямая запись на диск по абсолютному адресу;

запись в загрузочные сектора диска.

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение н предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит операционной системы MS DOS. Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.Антивирусный комплект АО "Диалог-Наука" Среди обилия современных программных средств борьбы с компьютерными вирусами предпочтение следует отдать антивирусному комплекту АО "Диалог-Наука", в который входят четыре программных продукта: полифаги Aidstest и Doctor Web (сокращенно Dr.Web), ревизор диска ADinf и лечащий блок ADinf Cure Module. Рассмотрим кратко, как и когда надо применять эти антивирусные программы. Программа-полифаг Aidstest . Aidstest - это программа, которая умеет обнаруживать и уничтожать более 1300 компьютерных вирусов, получивших наиболее широкое распространение в России. Версии Aidstest регулярно обновляются и пополняются информацией о новых вирусах. Для вызова Aidstest следует ввести команду:AIDSTEST []где path - имя диска, полное имя или спецификация файла, маска группы файлов:* - все разделы жесткого диска,** - все диски, включая сетевые и диски CD ROM;options - любая комбинация следующих ключей:/F - исправлять зараженные программы и стирать испорченные;/G - проверять все файлы подряд (не только СОМ, ЕХЕ и SYS);/S - медленная работа для поиска испорченных вирусов;/X - стирать все файлы с нарушениями в структуре вируса;/Q - спрашивать разрешение на удаление испорченных файлов;/В - не предлагать обработку следующей дискеты. Пример 11.27 Aidstest для проверки и "лечения"" диска В :. Обнаруженные зараженные программы будут исправлены. Проверке подлежат все файлы диска. Если файл исправить не удастся, то программа будет просить разрешение на его удаление:aidstest b: /f/g/qПрограмма-полифаг Doctor Web . Эта программа предназначена прежде всего для борьбы с полиморфными вирусами, которые сравнительно недавно появились в компьютерном мире. Использование Dr. Web для проверки дисков и удаления обнаруженных вирусов в целом подобно программе Aidstest. При этом дублирования проверки практически не происходит, так как Aidstest и Dr.Web работают на разных наборах вирусов. Программа Dr.Web может эффективно бороться со сложными вирусами-мутантами, которые оказываются не под силу программе Aidstest. В отличие от Aidstest программа Dr.Web способна обнаруживать изменения в собственном программном коде, эффективно определять файлы, зараженные новыми, неизвестными вирусами, проникая в зашифрованные и упакованные файлы, а также преодолевая "вакцинное прикрытие". Это достигается благодаря наличию достаточно мощного эвристического анализатора. В режиме эвристического анализа программа Dr.Web исследует файлы и системные области дисков, пытаясь обнаружить новые или неизвестные ей вирусы по характерным для вирусов кодовым последовательностям. Если таковые будут найдены, то выводится предупреждение о том, что объект, возможно, инфицирован неизвестным вирусом.Предусмотрены три уровня эвристического анализа. В режиме эвристического анализа возможны ложные срабатывания, т.е. детектирование файлов, не являющихся зараженными. Уровень "эвристики" подразумевает собой уровень анализа кода без наличия ложных срабатываний. Чем выше уровень "эвристики", тем выше процент наличия ошибок или ложных срабатываний. Рекомендуются первые два уровня работы эвристического анализатора.Третий уровень эвристического анализа предусматривает дополнительную проверку файлов на "подозрительное" время их создания. Некоторые вирусы при заражении файлов устанавливают некорректное время создания, как признак зараженности данных файлов. Например, для зараженных файлов секунды могут иметь значение 62, а год создания может быть увеличен на 100 лет.В комплект поставки антивирусной программы Dr.Web могут входить также файлы-дополнения к основной вирусной базе программы, расширяющие ее возможности. Работать с программой Dr. Web можно в двух режимах:

в режиме полноэкранного интерфейса с использованием меню и диалоговых окон;

в режиме управления через командную строку.

Для разового нерегулярного применения более удобен первый режим, но для регулярного применения с целью систематического входного контроля дискет лучше применять второй режим. При использовании второго режима соответствующая команда запуска Dr. Web должна быть включена либо в меню пользователя операционной оболочки Norton Соmmander, либо в специальный командный файл.Командная строка для запуска Dr. Web выглядит следующим образом:DrWeb [диск: [путь] ] [ключи]где диск:Х: - логическое устройство жесткого диска или физическое устройство гибкого диска, например F: или А:,* - все логические устройства на жестком диске,путь - это путь или маска требуемых файлов.Наиболее важные ключи:/AL - диагностика всех файлов на заданном устройстве;/CU[P] - "лечение" дисков и файлов, удаление найденных вирусов;P - удаление вирусов с подтверждением пользователя;/DL - удаление файлов, корректное лечение которых невозможно;/НА[уровень] - эвристический анализ файлов и поиск в них неизвестных вирусов, где уровень может принимать значения О, 1, 2;/RР[имя файла] - запись протокола работы в файл (по умолчанию в файл REPORT. WEB);/CL - запуск программы в режиме командной строки, при тестировании файлов и системные областей не используется полноэкранный интерфейс;/QU - выход в DOS сразу после тестирования;/? - вывод на экран краткой справки.Если в командной строке Dr.Web не указано ни одного ключа, то вся информация для текущего запуска будет считываться из файла конфигурации DRWEB.INI, расположенного в том же каталоге, что и файл DRWEB.EXE. Файл конфигурации создается в процессе работы с программой Dr.Web с помощью команды сохранения параметров, необходимых для тестирования. Пример 11.28 . Запуск антивирусной программы Dr.Web для проверки и лечения диска В:. Обнаруженные зараженные файлы будут "вылечены". Проверке подлежат все файлы диска. Если файл "вылечить" не удастся, то программа будет просить разрешение на его удаление. Для поиска вирусов должен использоваться эвристический уровень анализа 1. Программа должна выполняться только в режиме командной строки с выходом в DOS после завершения тестирования:DrWeb В: /AL /CUP /HA1 /QU / CLТехнология работы с программой Dr. Web в режиме полноэкранного интерфейса. Для запуска в режиме полноэкранного интерфейса достаточно ввести в командную строку только имя программы. Сразу после загрузки программы начнется тестирование оперативной памяти компьютера, если оно не отключено предыдущей установкой параметров. Ход тестирования отображается в окне тестирования. После завершения тестирования памяти произойдет остановка. Работу программы можно продолжить, если воспользоваться основным меню, расположенным в верхней строке экрана. Для активизации меню следует нажать клавишу .Основное меню содержит следующие режимы:Dr.WebТест Настройки ДополненияПри выборе любого режима открывается соответствующее подменю.Подменю Dr.Web позволяет временно выйти в DOS, получить краткую информацию о программе Dr.Web и о ее авторе или покинуть программу.Подменю Тест дает возможность выполнить основные операции тестирования и Їлечения" файлов и дисков, а также просмотреть отчеты о произведенных действиях.Подменю Настройки служит для установки с помощью диалоговых окон параметров настройки программы, установки путей и масок поиска и сохранения параметров в файле конфигурации DRWEB.INI.Для подключения файлов-дополнений к основной вирусной базе программы, расширяющих ее возможности, используется режим Дополнения .Антивирус-ревизор диска ADinf . Ревизор ADinf позволяет обнаружить появление любого вируса, включая стелс-вирусы, вирусы-мутанты и неизвестные на сегодняшний день вирусы. Программа ADinf запоминает:

информацию о загрузочных секторах;

информацию о сбойных кластерах;

длину и контрольные суммы файлов;

дату и время создания файлов.

На протяжении всей работы компьютера программа ADinf следит за сохранностью этих характеристик. В режиме повседневного контроля ADinf запускается автоматически каждый день при первом включении компьютера. Особо отслеживаются вирусоподобные изменения, о которых немедленно выдается предупреждение. Кроме контроля за целостностью файлов ADinf следит за созданием и удалением подкаталогов, созданием, удалением, перемещением и переименованием файлов, появлением новых сбойных кластеров, сохранностью загрузочных секторов и за многим другим. Перекрываются все возможные места для внедрения вируса в систему. Adinf проверяет диски, не используя DOS, читая их по секторам прямым обращением в BIOS. Благодаря такому способу проверки ADinf обнаруживает маскирующиеся стелс-вирусы и обеспечивает высокую скорость проверки диска. Лечащий блок ADinfCure Module . ADinfCure Module - это программа, которая помогает "вылечить" компьютер от нового вируса, не дожидаясь свежих версий полифагов Aidstest или Dr.Web, которым этот вирус будет известен. Программа ADinfCure Module использует тот факт, что, несмотря на огромное разнообразие вирусов, существует совсем немного различных методов их внедрения в файлы. Во время нормальной работы, при регулярном запуске ревизора Adinf oн сообщает ADinf Cure Module о том, какие файлы изменились с момента последнего запуска. Adinf Cure Module анализирует эти файлы и записывает в свои таблицы информацию, которая может потребоваться для восстановления файла при заражении вирусом. Если заражение произошло, то ADinf заметит изменения и снова вызовет Adinf Cure Module, который на основе анализа зараженного файла и сопоставления его с записанной информацией попытается восстановить исходное состояние файла.Основные меры по защите от вирусов Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

оснастите свой компьютер современными антивирусными программами, например Aidstest или Doctor Web, и постоянно обновляйте их версии;

перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера;

при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;

периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему также с защищенной от записи системнойдискеты;

всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производиться запись информации;

обязательно делайте архивные копии на дискетах ценной для вас информации;

не оставляйте в кармане дисковода А: дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;

используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей;

для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска ADinf.

Антивирус. Защита информации

Что такое компьютерный вирус?

Программа, способная создавать свои копии и внедрять их в различные объекты или ресурсы компьютерных систем, сетей и так далее без ведома пользователя.

Что не является критерием для классификации компьютерных вирусов?

Занимаемый вирусом объем памяти на носителе.

Сетевые вирусы используют для своего распространения

Протоколы или команды компьютерных сетей и электронной почты.

Нерезидентные вирусы

Не заражают память компьютера и сохраняют активность ограниченное время.

По деструктивным возможностям.

6.Вирусы, использующие в своем алгоритме работы перехват запросов операционной системы на чтение или запись зараженных объектов:

Стелсвирусы.

7.Главная особенность полиморфиквирусов:

8.Основная функция вирусов типа "червь", действующих в компьютерных сетях:

Взлом атакуемой системы, преодоление защиты с целью нарушения безопасности.

9.К источникам компьютерных вирусов нельзя отнести:

Диски с лицензионными программами.

10.Файловые вирусы внедряются главным образом в:

Исполняемые модули, т. е. файлы, имеющие расширения com и exe.

11.Внедряются в загрузочный сектор диска:

Загрузочные вирусы.

12.Антивирусными программами являются:

Dr. Web, Eset NOD32, Panda.

На чем основано действие антивирусной программы?

На сравнении программных кодов с кодами известных вирусов.

Заражение компьютерными вирусами может произойти в процессе...

Работы с файлами записанными на CD.?

Печати на сетевом принтере.

Может ли присутствовать компьютерный вирус на чистой дискете (на дискете отсутствуют файлы)?

Да, в загрузочном секторе дискеты

16.Главный недостаток антивирусов, которые относятся к программамфильтрам:

Программыфильтры не «лечат» файлы и диски.

В чем заключается смысл процедуры «лечения» зараженного вирусом файла?

Помещение файла в отдельную папку.?

Удаление вирусного кода из файла.

18.Антивирусные программыдетекторы:

Основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ.

19.Антивирусные программыдоктора или фаги:

Фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов.

20.Антивирусные программы, которые записывают в программу признаки конкретного вируса так, что вирус считает ее уже зараженной: .

Вакцинаторы.

Для чего требуется процедура обновления сигнатур антивируса?

Для возможности защиты от недавно появившихся вирусов.

22.Антивирусная программа, которая использует программу эмуляции процессора, т. е. моделирует выполнение остальных файлов с помощью программной модели микропроцессора:

Основным способом противостояния вредоносным программам в этом антивирусе являются так называемые расширенные эвристики (Advanced Heuristics).

24.В состав какого антивируса включен Файловый Антивирус (специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения, запускающийся при старте операционной системы).

Антивирус Касперского.

Можно ли устанавливать на компьютер несколько антивирусных программ?

Нельзя, потому что антивирусы будут мешать работе друг друга.

26.Программы, которые способны создавать свои копии и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя называются:

Компьютерным вирусом

Антивирусный сканер выполняет следующие функции

обнаруживает и удаляет вирусы из файлов

28.Вирусы, которые могут оставлять свои копии в оперативной памяти, называются:

Резидентными

28.По среде обитания вирусы можно разделить на:

Файловые, загрузочные, макровирусы и сетевые

Вирусы, перехватывающие команду чтения зараженного участка и подставляющие незараженный код, называются

Стесл вирусами

30.Вирусы, которые активизируются при запуске на выполнение "зараженной программы" и проявляются сразу и не записываются в оперативную память называются:

нерезидентными

Компьютерным вирусом называется

программы, которые способны создавать свои копии и внедрять их в различные объекты ресурсы компьютерных систем, сетей и т.д. без ведома пользователя

32.Компьютерный вирус – это:

Программа, мешающая корректной работе компьютера

33.Компьютерный вирус это:

Программа, повреждающая компьютерные программы и данные

34.Что такое компьютерный вирус:

Специально написанные программы небольшого размера, которая может искажать и уничтожать информацию на компьютере

35.Программа доктор (фаг):

находит зараженные файлы и лечит их

36.Программавакцина: