Главная Игры

Какая программа находит зараженные файлы и лечит их. Что такое компьютерный вирус Компьютерный вирус это

20.10.2023

Ч. 1

Лабораторная работа №2

Работа с антивирусными пакетами.

Цель работы: ознакомиться с теоретическими аспектами защиты информации от вредоносных программ: разновидности вирусов, способах заражения и методы борьбы. Ознакомиться с различными видами программных средств защиты от вирусов. Получить навыки работы с антивирусным пакетом AVAST.

Теоретические сведения

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной ".

Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или FAT-таблицу, "засоряет" оперативную память и т.д.).

Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно.

Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Компьютерный вирус может испортить, т.е. изменить ненадлежащим

Проявление наличия вируса в работе на ПЭВМ

Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

Некоторые признаки заражения:


  • некоторые программы перестают работать или начинают работать неправильно;

  • на экран выводятся посторонние сообщения, символы и т.д.;

  • работа на компьютере существенно замедляется;

  • некоторые файлы оказываются испорченными и т.д.

  • операционная система не загружается;

  • изменение даты и времени модификации файлов;

  • изменение размеров файлов;

  • значительное увеличение количества файлов на диска;

  • существенное уменьшение размера свободной оперативной памяти и т.п.
Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.

Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Рассмотрим "невидимые" и самомодифицирующиеся вирусы.

"Невидимые" вирусы . Многие резидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Самомодифицирующиеся вирусы . Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:


  • общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

  • профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

  • специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

  • копирование информации - создание копий файлов и системных областей дисков;

  • разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называется сигнатурой . При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Программы-фильтры , которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

Программы-вакцины , или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:


  1. Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).

  2. Использование только лицензионных дистрибутивных копий программных продуктов.

  3. Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.

  4. Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.

  5. При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.

  6. При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.

  7. При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.
Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.

В состав антивируса Касперского для защиты файловых серверов входят:


  • антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;

  • антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;

  • ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.
Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.

Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.

Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.

Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.

Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

Задание

Подготовить доклад на тему: «Общие сведения и особенности работы антивирусной программы [ ]» (Название антивирусной программы выбрать согласно своему варианту из Вариантов заданий к работе ). Изучить антивирусный пакет AVAST . Подготовить отчет по лабораторной работе.

Порядок выполнения


  1. Сканирование папок на наличие вирусов:

    • Двойным щелчком на значке антивируса на панели индикации открыть главное окно программы;

    • Изучить содержимое окна: обратить внимание на дату последнего обновления антивирусной базы и дату последней полной проверки компьютера;

    • В своей личной папке создать папку Подозрительные файлы и создать там 2 файла: Текстовый файл и Документ Microsoft Word . Имена файлов ввести согласно своему варианту по Вариантам задания к работе ;

    • Выбрав пункт в главном окне программы пункт Поиск вирусов и добавить в окно заданий папку Подозрительные файлы .

    • Выполнить проверку папки. По завершению сканирования, используя кнопку «Сохранить как…» , сохранить отчет с результатами проверки в папке Подозрительные файлы . Имя файла-отчета – Scan _ Log .

    • Закройте окно Поиск вирусов .

  2. Обновление антивирусной базы:

    • В главном меню программы выберете пункт Сервис.

    • Нажмите на пункт Обновление и, используя кнопку Обновить , осуществите обновление базы известных вирусов.

    • По завершению обновления, используя кнопку «Сохранить как…» , сохранить отчет об обновлении в папке Подозрительные файлы . Имя файла-отчета – Upd _ Log .

    • Закройте окно Обновление, и обратите внимание на пункт Дата выпуска сигнатур .

    • Закройте окно Антивируса AVAST .
Содержание отчета

  1. Название и цель лабораторной работы;

  2. Доклад на выбранную по варианту тему;

  3. Содержимое файла Scan _ Log . txt по пункту 1 Порядка выполнения работы

  4. Содержание файла Upd _ Log . txt по П.2 Порядка выполнения работы.

  5. Выводы.
Контрольные вопросы

  1. Что называется компьютерным вирусом?

  2. Какая программа называется "зараженной"?

  3. Что происходит, когда зараженная программа начинает работу?

  4. Как может маскироваться вирус?

  5. Каковы признаки заражения вирусом?

  6. Каковы последствия заражения компьютерным вирусом?

  7. По каким признакам классифицируются компьютерные вирусы?

  8. Как классифицируются вирусы по среде обитания?

  9. Какие типы компьютерных вирусов выделяются по способу воздействия?

  10. Что могут заразить вирусы?

  11. Как маскируются "невидимые" вирусы?

  12. Каковы особенности самомодифицирующихся вирусов?

  13. Какие методы защиты от компьютерных вирусов можно использовать?

  14. В каких случаях применяют специализированные программы защиты от компьютерных вирусов?

  15. На какие виды можно подразделить программы защиты от компьютерных вирусов?

  16. Как действуют программы-детекторы?

  17. Что называется сигнатурой?

  18. Всегда ли детектор распознает зараженную программу?

  19. Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?

  20. Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?

  21. Перечислите меры защиты информации от компьютерных вирусов.

  22. Каковы современные технологии антивирусной защиты?

  23. Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?

  24. Какие модули входят в состав антивируса Касперского для защиты файловых систем?

  25. Каково назначение этих модулей?

  26. Какие элементы электронного письма подвергаются проверке на наличие вирусов?

  27. Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты?

  28. Как обновляется база вирусных сигнатур?
Варианты заданий к работе

Вариант

Название антивирусной программы

Название файла

1

Dr.Web

Test_01_01.txt

2

McAfee VirusScan

Test_01_02.txt

3

Антивирус Касперского

Test_01_03.txt

4

Panda Anti-Virus

Test_01_04.txt

5

Avast!

Test_01_05.txt

6

AVS

Test_01_06.txt

7

AVG

Test_01_07.txt

8

Avira

Test_01_08.txt

9

Clam AntiVirus

Test_01_09.txt

10

ClamWin

Test_01_10.txt

11

NOD32

Test_01_11.txt

12

Trojan Hunter

Test_01_12.txt

13

VirusBuster

Test_01_13.txt

14

Norton AntiVirus

Test_01_14.txt

15

Windows Live OneCare

Test_01_15.txt

16

PC-cillin

Test_01_16.txt

17

F-Prot

Test_01_17.txt

18

F-Secure Anti-Virus

Test_01_18.txt

19

Comodo AntiVirus

Test_01_19.txt

Лабораторная работа №7

Основы защиты информации. Работа с антивирусными пакетами.

Цель работы: ознакомиться с теоретические аспекты защиты информации от вредоносных программ: разновидности вирусов, способы заражения и методы борьбы. Ознакомиться с различными видами программных средств защиты от вирусов. Получить навыки работы с антивирусным пакетом Антивирус Касперского .

Теоретические сведения

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или FAT-таблицу, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Проявление наличия вируса в работе на ПЭВМ

Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное. Некоторые признаки заражения:

некоторые программы перестают работать или начинают работать неправильно;

на экран выводятся посторонние сообщения, символы и т.д.;

работа на компьютере существенно замедляется;

некоторые файлы оказываются испорченными и т.д.

операционная система не загружается;

изменение даты и времени модификации файлов;

изменение размеров файлов;

значительное увеличение количества файлов на диска;

существенное уменьшение размера свободной оперативной памяти и т.п.

Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.

Разновидности компьютерных вирусов

Вирусы классифицируют по среде обитания и по способу воздействия. По среде обитания вирусы подразделяются на следующие виды:

файловые вирусы, которые внедряются главным образом в исполняемые файлы, т.е. файлы с расширением exe, com, bat, но могут распространяться и через файлы документов;

загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;

макровирусы, которые заражают файлы-документы и шаблоны документов Word и Excel.;

сетевые, распространяются по компьютерной сети;

Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Рассмотрим "невидимые" и самомодифицирующиеся вирусы.

"Невидимые" вирусы . Многие резидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Самомодифицирующиеся вирусы . Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни

одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

копирование информации - создание копий файлов и системных областей дисков;

разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называется сигнатурой . При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Программы-фильтры , которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера. Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

Программы-вакцины , или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктораревизоры.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:

1. Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).

2. Использование только лицензионных дистрибутивных копий программных продуктов.

3. Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.

4. Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.

5. При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.

6. При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.

7. При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.

Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.

В состав антивируса Касперского для защиты файловых серверов входят:

антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;

антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;

ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.

Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.

Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.

Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.

Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-

объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.

Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

Подготовить доклад на тему: «Общие сведения и особенности работы антивирусной программы [Название антивирусной программы ]» (Название антивирусной

программы выбрать согласно своему варианту из раздела «Варианты заданий к работе» ). Изучить антивирусный пакет Антивирус Касперского . Подготовить отчет по лабораторной работе.

Порядок выполнения

1) Сканирование папок на наличие вирусов:

Двойным щелчком на значке антивируса на панели индикации открыть главное окно программы;

Изучить содержимое окна: обратить внимание на дату последнего обновления антивирусной базы и дату последней полной проверки компьютера;

В своей личной папке создать папку Подозрительные файлы и создать там 2 файла: Текстовый файл и Документ Microsoft Word . Имена файлов ввести согласно своему варианту по Вариантам задания к работе ;

Выбрав пункт в главном окне программы пункт Поиск вирусов и добавить в окно заданий папку Подозрительные файлы .

Выполнить проверку папки. По завершению сканирования, используя кнопку «Сохранить как…» , сохранить отчет с результатами проверки в папке

Подозрительные файлы. Имя файла-отчета – Scan_Log.

– Закройте окно Поиск вирусов .

2) Обновление антивирусной базы:

В главном меню программы выберете пункт Сервис.

Нажмите на пункт Обновление и, используя кнопку Обновить , осуществите обновление базы известных вирусов.

По завершению обновления, используя кнопку «Сохранить как…» , сохранить отчет об обновлении в папке Подозрительные файлы . Имя файла -отчета –

Закройте окно Обновление, и обратите внимание на пункт Дата выпуска сигнатур .

– Закройте окно Антивируса Касперского.

1) Титульный лист, оформленный согласно приведенному ранее шаблону;

2) Название и цель лабораторной работы;

3) ДОКЛАД на выбранную по варианту тему;

4) Содержимое файла Scan_Log.txt по пункту 1 Порядка выполнения работы

5) Содержание файла Upd_Log.txt по П.2 Порядка выполнения работы.

6) Выводы.

Контрольные вопросы

1) Что называется компьютерным вирусом?

2) Какая программа называется "зараженной"?

3) Что происходит, когда зараженная программа начинает работу?

4) Как может маскироваться вирус?

5) Каковы признаки заражения вирусом?

6) Каковы последствия заражения компьютерным вирусом?

7) По каким признакам классифицируются компьютерные вирусы?

8) Как классифицируются вирусы по среде обитания?

9) Какие типы компьютерных вирусов выделяются по способу воздействия?

10) Что могут заразить вирусы?

11) Как маскируются "невидимые" вирусы?

12) Каковы особенности самомодифицирующихся вирусов?

13) Какие методы защиты от компьютерных вирусов можно использовать?

14) В каких случаях применяют специализированные программы защиты от компьютерных вирусов?

15) На какие виды можно подразделить программы защиты от компьютерных вирусов?

16) Как действуют программы-детекторы?

17) Что называется сигнатурой?

18) Всегда ли детектор распознает зараженную программу?

19) Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?

20) Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?

21) Перечислите меры защиты информации от компьютерных вирусов.

22) Каковы современные технологии антивирусной защиты?

23) Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?

24) Какие модули входят в состав антивируса Касперского для защиты файловых систем?

25) Каково назначение этих модулей?

26) Какие элементы электронного письма подвергаются проверке на наличие вирусов?

27) Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или

инфицированные объекты?

28)Как обновляется база вирусных сигнатур?

Варианты заданий к работе

Название антивирусной программы

Название файла

F-Secure Anti-Virus

Антивирус Касперского

McAfee VirusScan

Microsoft Security Essentials

Norton AntiVirus

Panda Cloud Antivirus

G-DATA Antivirus

ВирусБлокАда

Outpost Antivirus

Sophos Anti-Virus

PC Tools Antivirus

Comodo Antivirus

Дисциплина: Безопасность и управление доступом в информационных системах

Тема занятия : Компьютерные вирусы. Классификация.

Вид занятия : лекция

Тип занятия: изучение нового учебного материала

Цели урока:

образовательная: сообщение студентам новых знаний о компьютерных вирусах и их классификации;

развивающая: развитие таких качеств, как мышление(анализ, сравнение), воображение, речь;

воспитательная : способствовать развитию познавательного интереса, мировоззренческих взглядов, воспитание нравственных и эстетических представлений, умение работать с новым материалом и составлять конспект нового материала

психологическая: направленность урока на развитие познавательных психических про­цессов: развивать внимательность, самостоятельность;

гигиеническая: предупреждение умственного и физического переутомления.

Организационное строение урока:

– учет посещаемости занятия студентами;

– контроль подготовленности к занятию;

– организационный момент;

– изложение нового материала;

– закрепление материала.

Обеспечение занятия:

1. Технические средства обучения: ПК Pentium || -266, ОС Windows 98

2. Учебные места: компьютерный класс.

3. Литература:

v Партыка Т. Л., Попов И. И. П57 Информационная безопасность. Учебное пособие для студен­тов учреждений среднего профессионального образования. - М.: ФОРУМ: ИНФРА-М, 2002. - 368 с.: ил.

v Прохоров А. «Обзор антивирусных программ для персональных пользователей», журнал «Компьютер-пресс», №3 – 2003 г., с.90-93.

v Шим С. «Оперативная безопасность в Internet», журнал «Открытые системы», №7, 2004г., с.53-60.

Ход занятия:

1. Организационный момент. (1-5 мин.)

2. Сообщение темы занятия, постановка его цели и задачи урока (10 мин.)

3. Изложение нового материала. беседа (58 мин.)

План

1. Компьютерный вирус. Определение вируса

2. Классификация вирусов

3. Способы заражения программ

4. ОСНОВНЫЕ ВИДЫ ВИРУСОВ И СХЕМЫ ИХ ФУНКЦИОНИРОВАНИЯ.

5. Признаки проявления вируса.

6. ОСНОВНЫЕ МЕРЫ ПО ЗАЩИТЕ ОТ ВИРУСОВ

Компьютерный вирус

Компьютерный вирус - это специально написанная, небольшая по размерам программа (т. е. некоторая совокупность выполняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, сис­темные области компьютера и т. д., а также выполнять различные нежелательные действия на компьютере.

По-видимому, самым ранним примером могут служить первые прототипы будущих вирусов - программы-кролики. Не причиняя разрушений, они тем не менее были сконструированы так, что мно­гократно копируя себя, захватывали большую часть ресурсов систе­мы, отнимая процессорное время у других задач. История их созда­ния доподлинно не известна. Возможно, они явились следствием программной ошибки, которая приводила к зацикливанию и наде­ляла программу репродуктивными свойствами. Первоначально кро­лики (rabbits) встречались только на локальных машинах, но с появ­лением сетей быстро «научились» распространяться по последним.

Затем, в конце 60-х годов была обнаружена саморазмножающа­яся по сети APRAnet программа, известная сегодня как Creeper (Вьюнок), которая будто бы была написана Бобом Томасом (Bob Thomas).

Вьюнок проявлял себя текстовым сообщением

" i"m the creeper ... catch me.if you can"

(" я вьюнок... поймай меня, если сможешь")

и экономно относился к ресурсам пораженной машины, не причи­няя ей никакого вреда и разве что слегка беспокоя владельца. Ка­ким бы безвредным Вьюнок ни казался, но он впервые показал, что проникновение на чужой компьютер возможно без ведома и против желания его владельцев.

С появлением Вьюнка родились и первые системы защиты. Те­перь компьютеры стали ценностью, которую следовало охранять не только от воров с отмычками и трейлерами (а на чем еще можно было увезти компьютеры того времени?), но и от разрушительных или злоумышленных команд, проникающих по сети или через маг­нитные носители.

Первым шагом в борьбе против Вьюнка стал Жнец (Reaper), ре­продуцирующийся наподобие Вьюнка, но уничтожающий все встре­тившиеся ему копии последнего. Неизвестно, чем закончилась борьба двух программ. Так или иначе от подобного подхода к защи­те впоследствии отказались. Однако копии обеих программ еще долго бродили по сети.

Так как вирус самостоятельно обеспечивает свое размножение и распространение, пользователь, в случае обнаружения вируса, должен проверить всю систему, уничтожая копии вируса. Если уда­лось уничтожить все копии вируса, то можно сказать, что вылечена вся система; в противном случае, уцелевшие копии снова размно­жатся и все неприятности повторятся.

Своим названием компью­терные вирусы обязаны определенному сходству с биологическими вирусами по:

Способности к саморазмножению;

Высокой скорости распространения;

Избирательности поражаемых систем (каждый вирус поражает только определенные системы или однородные группы систем);

Способности «заражать» еще незараженные системы;

Трудности борьбы с вирусами и т. д.

В последнее время к этим особенностям, характерным для виру­сов компьютерных и биологических, можно добавить еще и посто­янно увеличивающуюся быстроту появления модификаций и новых поколений вирусов.

Только если в случае вирусов биологических эту скорость мож­но объяснить могуществом и изобретательностью природы, то виру­сы компьютерные скоростью возникновения новых штаммов обяза­ны исключительно идеям людей определенного склада ума.

Программа, внутри которой находится вирус, называется «зара­женной». Когда такая программа начинает работу, то сначала управ­ление получает вирус. Вирус находит и «заражает» другие програм­мы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т. д.). Для маскировки вируса действия по за­ражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий.

Например, вирус Anti-MIT ежегодно 1 декабря разрушает всю информацию на жестком диске, вирус Tea Time мешает вводить ин­формацию с клавиатуры с 15:10 до 15:13, а знаменитый One Half не­заметно шифрует данные на жестком диске. В 1989 году американ­ский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Эпидемия известного вируса Dir-11 разразилась в 1991 году. Вирус использовал дей­ствительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несовершен­ства традиционных антивирусных средств. Кристоферу Пайну уда­лось создать вирусы Pathogen и Queeq, а также вирус Smeg. Именно последний был самым опасным, его можно было накладывать на первые два вируса и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничто­жить. Чтобы распространить вирусы, Пайн скопировал компьютер­ные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры зараженные програм­мы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними боролась. Запустив ее, пользователи вместо уничтожения вирусов получали еще один. В результате действий этого вируса были уничтожены файлы множества фирм, убытки составили миллионы фунтов стер­лингов.

Широкую известность получил американский программист Мор-рис. Он известен как создатель вируса, который в ноябре 1988 года заразил порядка 7 тысяч персональных компьютеров, подключенных к Internet.

Первые исследования саморазмножающихся искусственных конструкций проводились в середине прошлого столетия. Термин «компьютерный вирус» появился позднее - официально его автором считается сотрудник Лехайского университета (США) Ф.Коэн, ко­торый ввел его в 1984 году на 7-й конференции по безопасности ин­формации.

Эксперты считают, что на сегодняшний день число существую­щих вирусов перевалило за 50 тысяч, причем ежедневно появляется от 6 до 9 новых. «Диких», то есть реально циркулирующих, вирусов в настоящее время насчитывается около 260.

Классификация вирусов

По среде обитания вируса;

По способу заражения среды обитания;

По деструктивным возможностям;

По особенностям алгоритма вируса.

Более подробная классификация внутри этих групп представле­на на рис. 5.1.

Основными путями проникновения вирусов в компьютер явля­ются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при за­грузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например если дискету не вынули из дис­ководаА: и перезагрузили компьютер, при этом дискета может быть и несистемной. Заразить дискету гораздо проще. На нее вирус мо­жет попасть, даже если дискету просто вставили в дисковод зара­женного компьютера и, например, прочитали ее оглавление.

Способы заражения программ

Метод приписывания. Код вируса приписывается к концу файла заражаемой программы, и тем или иным способом осуществ­ляется переход вычислительного процесса на команды этого фраг­мента;

Метод оттеснения. Код вируса располагается в начале заражен­ной программы, а тело самой программы приписывается к концу.

Метод вытеснения. Из начала (или середины) файла «изымает­ся» фрагмент, равный по объему коду вируса, и приписывается к концу файла. Сам вирус записывается в освободившееся место. Раз­новидность метода вытеснения - когда оригинальное начало файла не сохраняется вообще. Такие программы являются «убитыми на­смерть» и не могут быть восстановлены никаким антивирусом.

Прочие методы. Сохранение вытесненного фрагмента про­граммы в «кластерном хвосте» файла и пр.

224.89kb.

  • Тема Компьютерные вирусы , 84.65kb.
  • Информационный Медицинский Центр утверждаю директор ООО "имц" новиков о. В. " " 2004г. , 83.56kb.
  • Памятка о гриппе , 65.66kb.
  • Информационный материал , 270.01kb.
  • 1. Имеется три вида вируса: hiv-1, hiv-2, hiv-3 , 38.22kb.
  • Преобразование разделов fat в ntfs делается утилитой convert. Exe. Windows nt содержит , 60.33kb.
    • Лабораторная работа №3

    Средства защиты компьютера от вирусов. Работа с антивирусными пакетами.

    Цель работы: ознакомиться с теоретические аспекты защиты информации от вредоносных программ: разновидности вирусов, способы заражения и методы борьбы. Ознакомиться с различными видами программных средств защиты от вирусов. Получить навыки работы с антивирусным пакетом Антивирус Касперского .

    Теоретические сведения

    Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или FAT-таблицу, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

    Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

    Проявление наличия вируса в работе на ПЭВМ

    Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

    Некоторые признаки заражения:

    • некоторые программы перестают работать или начинают работать неправильно;
    • на экран выводятся посторонние сообщения, символы и т.д.;
    • работа на компьютере существенно замедляется;
    • некоторые файлы оказываются испорченными и т.д.
    • операционная система не загружается;
    • изменение даты и времени модификации файлов;
    • изменение размеров файлов;
    • значительное увеличение количества файлов на диска;
    • существенное уменьшение размера свободной оперативной памяти и т.п.
    Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.

    Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.

    Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Рассмотрим "невидимые" и самомодифицирующиеся вирусы.

    "Невидимые" вирусы . Многие резидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

    Самомодифицирующиеся вирусы . Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

    Методы защиты от компьютерных вирусов

    Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

    Для защиты от вирусов можно использовать:

    • общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
    • профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
    • специализированные программы для защиты от вирусов.
    Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:
    • копирование информации - создание копий файлов и системных областей дисков;
    • разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
    Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

    Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называется сигнатурой . При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".

    Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

    Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

    Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

    Программы-фильтры , которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

    Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

    Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

    Программы-вакцины , или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

    Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.

    Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

    На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

    Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

    Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

    Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:

    1. Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).
    2. Использование только лицензионных дистрибутивных копий программных продуктов.
    3. Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.
    4. Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.
    5. При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.
    6. При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.
    7. При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.
    Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.

    В состав антивируса Касперского для защиты файловых серверов входят:

    • антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;
    • антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;
    • ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.
    Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.

    Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.

    Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.

    Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.

    Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

    Задание

    Подготовить доклад на тему: «Общие сведения и особенности работы антивирусной программы [ ]» (Название антивирусной программы выбрать согласно своему варианту из Вариантов заданий к работе ). Изучить антивирусный пакет Антивирус Касперского . Подготовить отчет по лабораторной работе.

    Порядок выполнения

    1. Сканирование папок на наличие вирусов:
      • Двойным щелчком на значке антивируса на панели индикации открыть главное окно программы;
      • Изучить содержимое окна: обратить внимание на дату последнего обновления антивирусной базы и дату последней полной проверки компьютера;
      • В своей личной папке создать папку Подозрительные файлы и создать там 2 файла: Текстовый файл и Документ Microsoft Word . Имена файлов ввести согласно своему варианту по Вариантам задания к работе ;
      • Выбрав пункт в главном окне программы пункт Поиск вирусов и добавить в окно заданий папку Подозрительные файлы .
      • Выполнить проверку папки. По завершению сканирования, используя кнопку «Сохранить как…» , сохранить отчет с результатами проверки в папке Подозрительные файлы . Имя файла-отчета – Scan_Log .
      • Закройте окно Поиск вирусов .
    2. Обновление антивирусной базы:
      • В главном меню программы выберете пункт Сервис.
      • Нажмите на пункт Обновление и, используя кнопку Обновить , осуществите обновление базы известных вирусов.
      • По завершению обновления, используя кнопку «Сохранить как…» , сохранить отчет об обновлении в папке Подозрительные файлы . Имя файла-отчета – Upd_Log.
      • Закройте окно Обновление, и обратите внимание на пункт Дата выпуска сигнатур .
      • Закройте окно Антивируса Касперского .
    Содержание отчета
    1. Название и цель лабораторной работы;
    2. Доклад на выбранную по варианту тему;
    3. Содержимое файла Scan_Log.txt по пункту 1 Порядка выполнения работы
    4. Содержание файла Upd_Log.txt по П.2 Порядка выполнения работы.
    5. Выводы.
    Контрольные вопросы
    1. Что называется компьютерным вирусом?
    2. Какая программа называется "зараженной"?
    3. Что происходит, когда зараженная программа начинает работу?
    4. Как может маскироваться вирус?
    5. Каковы признаки заражения вирусом?
    6. Каковы последствия заражения компьютерным вирусом?
    7. По каким признакам классифицируются компьютерные вирусы?
    8. Как классифицируются вирусы по среде обитания?
    9. Какие типы компьютерных вирусов выделяются по способу воздействия?
    10. Что могут заразить вирусы?
    11. Как маскируются "невидимые" вирусы?
    12. Каковы особенности самомодифицирующихся вирусов?
    13. Какие методы защиты от компьютерных вирусов можно использовать?
    14. В каких случаях применяют специализированные программы защиты от компьютерных вирусов?
    15. На какие виды можно подразделить программы защиты от компьютерных вирусов?
    16. Как действуют программы-детекторы?
    17. Что называется сигнатурой?
    18. Всегда ли детектор распознает зараженную программу?
    19. Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?
    20. Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?
    21. Перечислите меры защиты информации от компьютерных вирусов.
    22. Каковы современные технологии антивирусной защиты?
    23. Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?
    24. Какие модули входят в состав антивируса Касперского для защиты файловых систем?
    25. Каково назначение этих модулей?
    26. Какие элементы электронного письма подвергаются проверке на наличие вирусов?
    27. Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты?
    28. Как обновляется база вирусных сигнатур?
    Варианты заданий к работе

    Вариант

    Название антивирусной программы

    Название файла

    1
    Dr.Web
    Test_01_01.txt

    Test_02_01.doc

    2
    McAfee VirusScan
    Test_01_02.txt

    Test_02_02.doc

    3
    Антивирус Касперского
    Test_01_03.txt

    Test_02_03.doc

    4
    Panda Anti-Virus
    Test_01_04.txt

    Test_02_04.doc

    5
    Avast!
    Test_01_05.txt

    Test_02_05.doc

    6
    AVS
    Test_01_06.txt

    Test_02_06.doc

    7
    AVG
    Test_01_07.txt

    Test_02_07.doc

    8
    Avira
    Test_01_08.txt

    Test_02_08.doc

    9
    Clam AntiVirus
    Test_01_09.txt

    Test_02_09.doc

    10
    ClamWin
    Test_01_10.txt

    Test_02_10.doc

    11
    NOD32
    Test_01_11.txt

    Test_02_11.doc

    12
    Trojan Hunter
    Test_01_12.txt

    Test_02_12.doc

    13
    VirusBuster
    Test_01_13.txt

    Test_02_13.doc

    14
    Norton AntiVirus
    Test_01_14.txt

    Test_02_14.doc

    15
    Windows Live OneCare
    Test_01_15.txt

    Test_02_15.doc

    16
    PC-cillin
    Test_01_16.txt

    Test_02_16.doc

    17
    F-Prot
    Test_01_17.txt

    Test_02_17.doc

    18
    F-Secure Anti-Virus
    Test_01_18.txt

    Test_02_18.doc

    19
    Comodo AntiVirus
    Test_01_19.txt

    Компьютерные вирусы

    Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или FAT-таблицу, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

    Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

    Проявление наличия вируса в работе на ПЭВМ

    Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

    Некоторые признаки заражения:

    • некоторые программы перестают работать или начинают работать неправильно;
    • на экран выводятся посторонние сообщения, символы и т.д.;
    • работа на компьютере существенно замедляется;
    • некоторые файлы оказываются испорченными и т.д.
    • операционная система не загружается;
    • изменение даты и времени модификации файлов;
    • изменение размеров файлов;
    • значительное увеличение количества файлов на диска;
    • существенное уменьшение размера свободной оперативной памяти и т.п.

    Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.

    Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.

    Разновидности компьютерных вирусов

    Вирусы классифицируют по среде обитания и по способу воздействия. По среде обитания вирусы подразделяются на следующие виды:

    • файловые вирусы, которые внедряются главным образом в исполняемые файлы, т.е. файлы с расширением exe, com, bat, но могут распространяться и через файлы документов;
    • загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
    • макровирусы, которые заражают файлы-документы и шаблоны документов Word и Excel.;
    • сетевые, распространяются по компьютерной сети;

    Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.

    Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Рассмотрим "невидимые" и самомодифицирующиеся вирусы.

    "Невидимые" вирусы . Многие резидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

    Самомодифицирующиеся вирусы . Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

    Методы защиты от компьютерных вирусов

    Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

    Для защиты от вирусов можно использовать:

    • общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
    • профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
    • специализированные программы для защиты от вирусов.

    Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

    • копирование информации - создание копий файлов и системных областей дисков;
    • разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

    Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

    Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называется сигнатурой . При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".

    Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

    Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

    Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

    Программы-фильтры , которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

    Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

    Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

    Программы-вакцины , или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

    Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.

    Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

    На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

    Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

    Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

    Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:

    1. Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).
    2. Использование только лицензионных дистрибутивных копий программных продуктов.
    3. Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.
    4. Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.
    5. При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.
    6. При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.
    7. При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.

    Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.
    В состав антивируса Касперского для защиты файловых серверов входят:

    • антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;
    • антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;
    • ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.

    Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.
    Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.
    Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.
    Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.
    Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

    Контрольные вопросы

    1. Что называется компьютерным вирусом?
    2. Какая программа называется "зараженной"?
    3. Что происходит, когда зараженная программа начинает работу?
    4. Как может маскироваться вирус?
    5. Каковы признаки заражения вирусом?
    6. Каковы последствия заражения компьютерным вирусом?
    7. По каким признакам классифицируются компьютерные вирусы?
    8. Как классифицируются вирусы по среде обитания?
    9. Какие типы компьютерных вирусов выделяются по способу воздействия?
    10. Что могут заразить вирусы?
    11. Как маскируются "невидимые" вирусы?
    12. Каковы особенности самомодифицирующихся вирусов?
    13. Какие методы защиты от компьютерных вирусов можно использовать?
    14. В каких случаях применяют специализированные программы защиты от компьютерных вирусов?
    15. На какие виды можно подразделить программы защиты от компьютерных вирусов?
    16. Как действуют программы-детекторы?
    17. Что называется сигнатурой?
    18. Всегда ли детектор распознает зараженную программу?
    19. Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?
    20. Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?
    21. Перечислите меры защиты информации от компьютерных вирусов.
    22. Каковы современные технологии антивирусной защиты?
    23. Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?
    24. Какие модули входят в состав антивируса Касперского для защиты файловых систем?
    25. Каково назначение этих модулей?
    26. Какие элементы электронного письма подвергаются проверке на наличие вирусов?
    27. Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты?
    28. Как обновляется база вирусных сигнатур?