Размещено на http://www.allbest.ru/

Оглавление

Введение

Общие сведения о компьютерных вирусах и методах защиты от вирусов

Методы защиты информации от вирусов. Антивирусные программы

Требования к антивирусным программам

Характеристика антивирусных программ

Краткий обзор антивирусных программ

Заключение



Введение

Компьютерный вирус -- разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.

Неспециалисты ошибочно относят к компьютерным вирусам и другие виды вредоносных программ - программы-шпионы и даже спам.[1] Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному Кодексу РФ (глава 28, статья 273).

Согласно доктрине информационной безопасности РФ, в России должен проводиться правовой ликбез в школах и вузах при обучении информатике и компьютерной грамотности по вопросам защиты информации в ЭВМ, борьбы с компьютерными вирусами, детскими порносайтами и обеспечению информационной безопасности в сетях ЭВМ.

Общие сведения о компьютерных вирусах и методах защиты от вирусов

Понятие и классификации компьютерных вирусов. Компьютерным вирусом называется программа, способная внедряться в другие программы. Это, конечно, невозможно без способности к самовоспроизводству, т.е. размножению. Но не всякая могущая размножаться программа является компьютерным вирусом.

Очевидна аналогия понятий компьютерного и биологического вирусов. В связи с этим настоящий раздел будет изобиловать медицинскими терминами, как нельзя лучше, отражающими существо затрагиваемых вопросов.

Вирусы могут быть полезными (в частности, в игровых программах), безвредными (например, создающими только звуковые и видеоэффекты) или наносящими ущерб (препятствующими нормальной работе ПЭВМ или разрушающими файловую структуру). На первых мы заострять внимание не будем.

Возможными каналами проникновения вирусов в компьютер являются накопители на сменных носителях информации и средства сетевой коммуникации.

Исторически появление компьютерных вирусов связано с идеей создания самовоспроизводящихся механизмов, в частности, программ, которая возникла в 50-х гг. Еще в 1951 г. один из «отцов» вычислительной техники -- Дж. фон Нейман -- предложил метод создания таких механизмов. Его соображения на этот счет получили дальнейшее развитие в работах других исследователей. В результате появились безобидные игровые программы, основанные на вирусной технологии.

Воспользовавшись накопленными научными и практическими результатами, некоторые лица (часто именуемые «технокрысами») стали разрабатывать самовоспроизводящиеся программы с целью нанесения ущерба пользователям ЭВМ. Авторы вирусов сосредоточили свои усилия именно в области ПЭВМ вследствие их массовости и почти полного отсутствия средств защиты как на аппаратном уровне, так и на уровне ОС. Среди побудительных мотивов, движущих авторами вирусов, можно назвать следующие:

Ї озорство и одновременно недопонимание всех последствий распространения вируса;

Ї стремление «насолить» кому-либо;

Ї неестественная потребность в совершении преступлений;

Ї желание самоутвердиться;

Ї невозможность использовать свои знания и умения в конструктивном русле (это в большей степени экономическая проблема);

Ї уверенность в полной безнаказанности (в ряде стран, в том числе и в нашей, пока отсутствуют соответствующие правовые нормы).

Первые случаи массового заражения ПЭВМ вирусами были отмечены в 1987 г.

Сначала появился так называемый Пакистанский вирус, созданный братьями Амджатом и Базитом Алви. Этим они решили наказать американцев, покупавших дешевые незаконные копии ПО в Пакистане: такие копии братья стали продавать, инфицируя их разработанным вирусом. В результате он заразил только в США более 18 тыс. компьютеров и, проделав кругосветное путешествие, попал в СНГ (тогда -- СССР).

Следующим широко известным вирусом стал вирус Lehigh (Лехайский вирус), распространившийся в одноименном университете США. В течение нескольких дней он уничтожил содержимое нескольких сот дискет из библиотеки вычислительного центра университета и личных дискет многих студентов. По состоянию на февраль 1989 г. только в США этим вирусом было поражено около 4 тыс. ПЭВМ.

Затем количество вирусов и число зараженных компьютеров стали лавинообразно увеличиваться в соответствии с экспоненциальным законом. Это потребовало принятия срочных мер как технического и организационного, так и юридического характера.

Появились различные антивирусные средства, вследствие чего ситуация до боли стала напоминать гонку вооружений и средств защиты от них.

Определенный сдерживающий эффект был достигнут в результате принятия рядом стран законодательных актов о компьютерных преступлениях. Уже имеются и конкретные результаты этого. Так, недавно студент Моррис-младший за создание и распространение вируса в американской национальной сети Internet, в результате чего было заражено около б тыс. компьютеров, приговорен к условному заключению сроком на 2 года, 400 часам общественных работ и штрафу в размере 10 тыс. долларов.

В настоящее время насчитывается около 900 различных вирусов, включая штаммы (разновидности вируса одного типа), которые не знают границ. Естественно, многие вирусы курсируют и по нашей стране. Более того, недавно отчетливо проявилась печальная тенденция, а именно, увеличение числа вирусов, разработанных отечественными программистами. Если ситуация не изменится, то в скором, времени наше содружество будет претендовать (если уже не претендует) на роль лидера в данной области, что, несомненно, окажет отрицательное влияние на возможности экспорта программных изделий из СНГ.

Подобно биологическим вирусам жизненный цикл компьютерных вирусов, как правило, включает следующие фазы:

1) латентный период, в течение которого вирусом никаких действий не предпринимается;

2) инкубационный период, в рамках которого вирус только размножается;

3) период проявления, в течение которого наряду с размножением выполняются несанкционированные пользователем действия. Первые две фазы служат для того, чтобы скрыть источник вируса, канал его проникновения, и заразить (инфицировать) как можно больше файлов до выявления вируса. Длительность этих фаз может определяться временным интервалом, наступлением какого-либо события или наличием требуемой конфигурации аппаратных средств (в частности, наличием НЖМД).

Компьютерные вирусы классифицируются в соответствии со следующими признаками:

1) среда обитания;

2) способ заражения среды обитания;

3) способ активизации;

4) способ проявления (деструктивные действия или вызываемые эффекты);

5) способ маскировки.

Нелепо думать, что средой обитания вируса может быть любой файл или любой компонент системной области диска: напомним, что вирус является программой и поэтому имеется смысл его внедрения только в программу. Программы могут содержаться в файлах или в некоторых компонентах системной области диска, участвующих в процессе загрузки DOS. В соответствии с этим различают:

Ї файловые вирусы, инфицирующие программные файлы, т.е. файлы с программами;

Ї загрузочные вирусы, заражающие компоненты системной области, используемые при загрузке DOS;

Ї файлово-загрузочные вирусы, интегрирующие черты первых двух групп.

Файловые вирусы могут внедряться (имплантироваться) в:

Ї файлы с компонентами DOS;

Ї позиционно-независимые перемещаемые машинные программы, находящиеся в СОМ-файлах;

Ї позиционно-зависимые перемещаемые машинные программы, размещаемые в ЕХЕ-файлах;

Ї внешние драйверы устройств (SYS- и BIN-файлы);

Ї объектные модули (OBJ-файлы);

Ї файлы с программами на языках программирования (в расчете на компиляцию этих программ);

Ї командные файлы (ВАТ-файлы);

Ї объектные и символические библиотеки (LIB- и др. файлы);

Ї оверлейные файлы (OV?-, PIF- и др. файлы).

Наиболее часто файловые вирусы способны внедряться в СОМ и/или ЕХЕ-файлы.

Загрузочные вирусы могут заражать:

Ї BR (точнее -- SB) на дискетах;

Ї BR (точнее -- SB) системного логического диска, созданного на винчестере;

Ї MBR (точнее -- NSB) на жестком диске.

Загрузочные вирусы распространяются на дискетах в расчете на то, что с них будет (возможно, случайно) осуществлена попытка загрузиться.

Конечно, у файловых вирусов инфицирующая способность выше.

Файлово-загрузочные вирусы обладают еще большей инфицирующей способностью, так как могут распространяться как в программных файлах, так и на дискетах с данными.

Способы заражения среды обитания, естественно, зависят от типа последней. Зараженная вирусом среда называется вирусоносителем.

Тело файлового вируса может размещаться при имплантации в:

Ї конце файла;

Ї начале файла;

Ї середине файла;

Ї хвостовой (свободной) части последнего кластера, занимаемого файлом. Наиболее легко реализуется внедрение вируса в конец СОМ-файла, что мы кратко и опишем. При получении управления вирус выбирает файл-жертву и модифицирует его следующим образом:

1) дописывает к файлу собственную копию (тело вируса);

сохраняет в этой копии оригинальное начало файла;

2) сохраняет в этой копии оригинальное начало файла;

3) заменяет оригинальное начало файла на команду передачи управления на тело вируса.

Структура получившегося файла-вирусоносителя показана на рис. 1.

Структура вирусоносителя

При запуске инфицированной описанным способом программы первоначально инициируется выполнение тела вируса, в результате чего:

1) восстанавливается оригинальное начало программы (но не в файле, а в памяти!);

2) возможно, отыскивается и заражается очередная жертва;

3) возможно, осуществляются несанкционированные пользователем действия;

4) производится передача управления на начало программы-вирусоносителя, в результате чего она выполняется обычным образом.

Имплантация вируса в начало СОМ-файла производится иначе: создается новый файл, являющийся конкатенацией тела вируса и содержимого оригинального файла.

Два описанных способа внедрения вируса ведут к увеличению длины оригинального файла.

Имплантация вируса в середину файла наиболее сложна и специализирована. Сложность состоит в том, что в этом случае вирус должен «знать» структуру файла-жертвы (например, COMMAND.COM), чтобы можно было внедриться, в частности, в область стека. Кроме того, при замене DOS на новую версию вирус может потерять способность к размножению. Описанный способ имплантации не ведет к увеличению длины файла.

Имплантировать вирус в ЕХЕ-файл труднее, чем в СОМ-файл. Это объясняется необходимостью модификации заголовка ЕХЕ-файла.

Внедрение вируса в дебетовую часть последнего кластера, занимаемого файлом, используется редко, так как при копировании вирусоносителя тело вируса не дублируется. Тем не менее при данном способе имплантации длина файла остается неизменной, что позволяет скрыть наличие вируса.

Размножению файловых вирусов обычно не препятствуют атрибуты R, Н и S.

BR и MBR дисков настолько малы и так заполнены, что дописать в них тело вируса не представляется возможным. Поэтому используется следующий способ имплантации загрузочного вируса: вместо SB (NSB) записывается голова тела вируса, а его хвост и следующий за ним SB (NSB) размещаются в других кластерах или секторах. Для этого могут использоваться следующие кластеры (секторы):

-- любые свободные кластеры, которые затем объявляются дефектными;

-- секторы или кластеры с фиксированным адресом в начале или в конце логического дискового пространства (часто это секторы, занимаемые RDir, FAT или находящиеся между компонентами системной области, либо последние кластеры -- чтобы уменьшить вероятность их задействования в файловой структуре);

-- кластеры на созданной для этого дополнительной дорожке диска.

Загрузочный вирус получает управление в процессе загрузки DOS, выполняет требуемые действия, а затем инициирует выполнение системного (или внесистемного) загрузчика. В зависимости от способа активизации различают:

Ї нерезидентные вирусы;

Ї резидентные вирусы.

Для нерезидентного вируса активизация эквивалентна получению им управления после запуска инфицированной программы. Тело вируса исполняется однократно в случае выполнения зараженной программы и осуществляет описанные выше действия.

Резидентный вирус логически можно разделить на две части -- инсталлятор и резидентный модуль. При запуске инфицированной программы управление получает инсталлятор, который выполняет следующие действия:

1) размещает резидентный модуль вируса в ОЗУ и выполняет операции, необходимые для того, чтобы последний хранился в ней постоянно;

2) подменяет некоторые обработчики прерываний, чтобы резидентный модуль мог получать управление при возникновении определенных событий (например, в случае открытия или считывания файла).

Для размещения вируса резидентно в памяти могут использоваться стандартные средства DOS. Однако применение такого метода может быть легко обнаружено антивирусными средствами. Наиболее совершенные вирусы действуют в обход средств DOS, непосредственно корректируя список МСВ. Это позволяет произвести установку резидентного модуля в большей степени скрытно. Резидентный модуль остается в памяти до перезагрузки DOS. Некоторые вирусы все же «выдерживают» теплую перезагрузку (по Ctrl-Alt-Del), перехватывая прерывание от клавиатуры и распознавая нажатие этой комбинации клавиш. Выявив такую ситуацию, вирус активизируется и сам загружает DOS выгодным для себя образом, оставаясь в памяти. Получив управление по прерыванию, резидентный модуль вируса выполняет нижеприведенные действия:

1) возможно, отыскивает и инфицирует очередную жертву;

2) вероятно, выполняет несанкционированные действия.

В частности, резидентный вирус может заразить считываемый, открываемый или просто найденный программный файл.

По сравнению с нерезидентными резидентные вирусы являются более изощренными и опасными.

Загрузочные вирусы, как правило, создаются резидентными, так как иначе они практически не будут обладать инфицирующей способностью.

Проявлениями (деструктивными действиями) вирусов могут быть:

Ї влияние на работу ПЭВМ;

Ї искажение программных файлов;

Ї искажение файлов с данными;

Ї форматирование диска или его части;

Ї замена информации на диске или его части;

Ї искажение BR или MBR диска;

Ї разрушение связности файлов путем искажения FAT;

Ї искажение данных в CMOS-памяти.

Большую часть вирусов первой группы, вызывающих визуальные или звуковые эффекты, неформально называют «иллюзионистами». Другие вирусы этой же группы могут замедлять работу ПЭВМ или препятствовать нормальной работе пользователя, модифицируя и блокируя функции выполняемых программ, а также DOS.

Вирусы всех остальных- групп часто называют «вандалами» из-за наносимого ими, как правило, непоправимого ущерба.

В соответствии со способами маскировки различают:

Ї немаскирующиеся вирусы;

Ї самошифрующиеся вирусы;

Ї стелс-вирусы.

Авторы первых вирусов уделяли особое внимание механизмам размножения (репликации) с внедрением тел в другие программы. Маскировка же от антивирусных средств не осуществлялась. Такие вирусы называются немаскирующимися.

В связи с появлением антивирусных средств разработчики вирусов сосредоточили усилия на обеспечении маскировки своих изделий. Сначала была реализована идея самошифрования вируса. При этом лишь небольшая его часть является доступной для осмысленного чтения, а остальная -- расшифровывается непосредственно перед началом работы вируса. Такой подход затрудняет как обнаружение вируса, так и анализ его тела специалистами;

В последнее время появились стелс-вирусы, названные по аналогии с широкомасштабным проектом STEALTH по созданию самолетов-невидимок. Методы маскировки, используемые стелс-вирусами, носят комплексный характер, и могут быть условно разделены на две категории:

1) маскировка наличия вируса в программе-вирусоносителе;

2) маскировка присутствия резидентного вируса в ОЗУ.

К первой категории относятся:

1) автомодификация тела вируса;

2) реализация эффекта удаления тела вируса из вирусоносителя при чтении последнего с диска, в частности, отладчиком (это осуществляется, путем перехвата прерывания, конечно, в случае наличия резидентного вируса в ОЗУ);

3) имплантация тела вируса в файл без увеличения его размера;

4) эффект неизменности длины инфицированного файла (осуществляется аналогично п. 2);

5) сохранение неизменным оригинального начала программных файлов.

Например, при чтении каталога средствами DOS резидентный вирус может перехватить соответствующее прерывание и искусственно уменьшить длину-файла. Конечно, реальная длина файла не меняется, но пользователю выдаются сведения, маскирующие ее увеличение. Работая же с каталогами непосредственно (в обход средств DOS), ,Вы получите истинную информацию. Такие возможности предоставляет, в частности, оболочка Norton Commander.

К второй категории методов маскировки можно отнести:

1) занесение тела вируса в специальную зону резидентных модулей DOS, в хвостовые части кластеров, в CMOS-память, видеопамять и т.п.;

2) модификацию списка МСВ, о чем уже говорилось;

3) манипулирование обработчиками прерываний, в частности, специальные методы их подмены, с целью обойти резидентные антивирусные средства;

4) корректировку общего объема ОЗУ.

Конечно, маскировка может комбинироваться с шифрованием.

Таким образом, в рамках классификации мы изучили немало существенных свойств компьютерных вирусов. Файловые вирусы используют один из двух основных способов выбора жертвы для инфицирования:

1) заражение файла, к которому осуществляется доступ;

2) явный поиск подходящего файла в файловой структуре.

Первый способ может быть реализован только в резидентном вирусе путем перехвата прерываний. При таком подходе в качестве жертвы может быть выбран:

Ї считываемый файл (в частности, для выполнения или с целью копирования);

Ї открываемый файл;

Ї найденный по запросу к DOS файл.

Второй способ используется в основном нерезидентными вирусами. Поиск жертвы в этом случае может осуществляться:

Ї в текущем каталоге текущего или одного из дисков;

Ї в корневом каталоге одного из дисков;

Ї в каталогах, доступных по значению глобальной переменной PATH;

Ї в любых каталогах файловой структуры путем рекурсивного их обхода.

Файл COMMAND.COM может быть найден по значению глобальной переменной COMSPEC.

Подходящим может считаться либо файл с соответствующим расширением, либо файл с требуемой логической структурой.

При повседневной работе пользователь в состоянии обнаружить вирус обычно только по его симптомам. Естественно, симптомы вируса непосредственно определяются реализованными в нем способами проявления, а также другими характеристиками вируса В качестве симптомов вирусов выделяют следующие:

1) увеличение числа файлов на диске;

2) появление на экране сообщения «1 File(s) copied» («Скопирован один файл»), хотя Вы не выдавали команду COPY;

3) уменьшение объема свободной оперативной памяти;

4) изменение даты и времени создания файла;

5) увеличение размера программного файла; ,

6) появление на диске зарегистрированных дефектных кластеров;

7) ненормальная работа программы;

8) замедление работы программы;

9) загорание лампочки дисковода в то время, когда к диску не должны происходить обращения;

10) заметное возрастание времени доступа к жесткому диску;

11) сбои в работе DOS, в частности, ее зависание;

12) невозможность загрузки DOS;

13) разрушение файловой структуры (исчезновение файлов, искажение каталогов).

В качестве примера опишем вирус Vienna, некогда получивший широкое распространение в нашей стране Его размер составляет 648 байт, а инфицирует он только СОМ-файлы. Поиск очередной жертвы осуществляется по расширению СОМ сначала в рабочем каталоге, а затем -- в каталогах, доступных по значению глобальной переменной PATH.

Первый, еще не инфицированный, файл либо заражается, либо (с вероятностью 1/8) искажается таким образом, что при запуске вызывает перезагрузку системы. Если испорченным оказался файл COMMAND.COM или любой файл, указанный в файле автозапуска AUTOEXEC.BAT, то процедура загрузки DOS зацикливается. Тело вируса имплантируется в конец СОМ-файла стандартным способом, а время создания последнего заменяется в поле секунд на значение 62. Это помогает вирусу определить инфицированность файла и тем самым избавиться от повторного его заражения.

Каталог существующих вирусов, а также средств их обнаружения и обезвреживания.

Наряду с компьютерными вирусами существуют и другие опасные программы, суть которых состоит в обмане пользователя. Такие программы получили название «троянских», заимствованное из известной древнегреческой легенды о Троянском коне. Подобно ему «троянская» программа маскируется под полезную или интересную программу, но обладает порой чрезвычайно разрушительными побочными эффектами.

Например, имеется «троянская» программа CDIR.COM, которая одновременно с выводом каталогов в цвете разрушает FAT. В качестве другого примера можно назвать программу SEX.EXE, развлекающую пользователя путем отображения пикантных картинок и заодно разрушающую FAT. Интересен тот факт, что две версии популярного антивирусного пакета фирмы McAfee Associates, а именно, 70 и 73, оказались «троянскими» (они, конечно, имеют другое авторство) и попали даже в электронный бюллетень.

Одним из наиболее нашумевших случаев является следующий. Некий Джозеф Попп-младший послал в многие адреса по всему миру дискеты с информацией о СПИДе. Программа, ее отображающая, была «троянской» -- разрушала данные на дисках и выводила рекомендацию послать для исцеления дисков 387 долларов в адрес указанного почтового отделения в Панаме. В настоящее время упомянутый горе-шутник привлекается к уголовной ответственности.

В отличие от вирусов «троянские» программы не могут размножаться и внедряться в другие программные изделия.

Наиболее примитивные «троянские» программы проявляют свою сущность при каждом запуске на выполнение. Более совершенные из них аналогично вирусам начинают действовать при наступлении определенного, события или момента времени. Еще один класс зачастую опасных программ составляют так называемые «черви», формально именуемые репликаторами. Их основная особенность состоит в способности к размножению без внедрения в другие программы. Репликаторы создаются с целью распространения по узлам вычислительной сети и могут иметь начинку, состоящую, в частности, из вирусов. В этом отношении можно провести недвусмысленную аналогию между «червем» и шариковой бомбой.

Примером репликатора является программа Christmass Tree, рисующая на экране дисплея рождественскую елку, а затем рассылающая свои копии по всем адресам, зарегистрированным средствами электронной почты.

Методы защиты информации от вирусов. Антивирусные программы

Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы.

Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.



Требования к антивирусным программам

компьютерный вирус вредоносный защита

Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам.

Стабильность и надежность работы. Этот параметр, без сомнения, является определяющим -- даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.

Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться -- что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение “чистоты” компьютера. Сюда же следует отнести и возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы). Немаловажным также является наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск).

Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование). Сюда же следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является также процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).

Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.

Характеристика антивирусных программ

Антивирусные программы делятся на: программы-детекторы, программы-доктора, программы-ревизоры, программы-фильтры, программы-вакцины.

Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.

Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.

Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.

Недостатком таких антивирусных про грамм является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. Программы-доктора (фаги), не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным.

Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы.

При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом.

Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

. попытки коррекции файлов с расширениями СОМ и ЕХЕ;

. изменение атрибутов файлов;

. прямая запись на диск по абсолютному адресу;

. запись в загрузочные сектора диска.

. загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение н предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Краткий обзор антивирусных программ

При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.

В настоящее время серьезный антивирус должен уметь распознавать не менее 25000 вирусов. Это не значит, что все они находятся "на воле". На самом деле большинство из них или уже прекратили свое существование или находятся в лабораториях и не распространяются. Реально можно встретить 200-300 вирусов, а опасность представляют только несколько десятков из них.

Существует множество антивирусных программ. Рассмотрим наиболее известные из них.

Norton AntiVirus 4.0 и 5.0 (производитель: «Symantec»).

Один из наиболее известных и популярных антивирусов. Процент распознавания вирусов очень высокий (близок к 100%). В программе используется механизм, который позволяет распознавать новые неизвестные вирусы.

В интерфейсе программы Norton AntiVirus имеется функция LiveUpdate, позволяющая щелчком на одной-единственной кнопке обновлять через Web как программу, так и набор сигнатур вирусов. Мастер по борьбе с вирусами выдает подробную информацию об обнаруженном вирусе, а также предоставляет вам возможность выбора: удалять вирус либо в автоматическом режиме, либо более осмотрительно, посредством пошаговой процедуры, которая позволяет увидеть каждое из выполняемых в процессе удаления действий. Антивирусные базы обновляются очень часто (иногда обновления появляются несколько раз в неделю). Имеется резидентный монитор. Недостатком данной программы является сложность настройки (хотя базовые настройки изменять, практически не требуется).

Dr Solomon's AntiVirus (производитель: «Dr Solomon's Software»).

Считается одним из самых лучших антивирусов (Евгений Касперский как-то сказал, что это единственный конкурент его AVP). Обнаруживает практически 100% известных и новых вирусов. Большое количество функций, сканер, монитор, эвристика и все что необходимо чтобы успешно противостоять вирусам.

McAfee VirusScan (производитель: «McAfee Associates»).

Это один из наиболее известных антивирусных пакетов. Очень хорошо удаляет вирусы, но у VirusScan хуже, чем у других пакетов, обстоят дела с обнаружением новых разновидностей файловых вирусов. Он легко и быстро устанавливается с использованием настроек по умолчанию, но его можно настроить и по собственному усмотрению. Вы можете сканировать все файлы или только программные, распространять или не распространять процедуру сканирования на сжатые файлы. Имеет много функций для работы с сетью Интернет.

Dr.Web (производитель: «Диалог Наука»)

Популярный отечественный антивирус. Хорошо распознает вирусы, но в его базе их гораздо меньше чем у других антивирусных программ.

Antiviral Toolkit Pro (производитель: «Лаборатория Касперского»).

Это антивирус признан во всем мире как один из самых надежных. Несмотря на простоту в использовании он обладает всем необходимым арсеналом для борьбы с вирусами. Эвристический механизм, избыточное сканирование, сканирование архивов и упакованных файлов - это далеко не полный перечень его возможностей.

Лаборатория Касперского внимательно следит за появлением новых вирусов и своевременно выпускает обновления антивирусных баз. Имеется резидентный монитор для контроля за исполняемыми файлами.

Заключение

Интернет стремительно входит в нашу жизнь. Сегодня это уже не только Всемирная справочная система, но и средство связи, которое с каждым днём всё шире и шире используется не только для личного, но и для делового общения и даже для коммерции. Пока вопросами безопасности в Интернете занимаются в основном специалисты, но всего лишь через несколько лет коммерциализация Интернета достигнет такого уровня, что эти вопросы станут обычным делом для рядовых граждан. К этому надо готовиться уже сегодня, и полезно знать основные понятия компьютерной безопасности, понимать, о чём идёт речь, и знать простейшие приёмы самозащиты.

В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает и надёжность работы компьютера, и сохранность ценных данных, и защиту информации от внесения в неё изменений неуполномоченными лицами, и сохранение тайны переписки в электронной связи. Разумеется, во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной техники правоприменительная практика пока не развита, а законотворческий процесс не успевает за развитием технологий, поэтому надёжность работы компьютерных систем во многом опирается на меры самозащиты.

Список использованной литературы

1. Артюнов В. В. Защита информации: учеб. - метод. пособие. М. : Либерия - Бибинформ, 2008. - 55 с. - (Библиотекарь и время. 21 век; вып. №99 ).

2. Корнеев И. К., Е. А. Степанов Защита информации в офисе: учебник. - М . : Проспект, 2008. - 333 с.

3. Куприянов А. И. Основы защиты информации: учеб. пособие. - 2-е изд. стер. - М.: Академия, 2007. - 254 с. - (Высшее профессиональное образование).

4. Семененко В. А., Н. В. Федоров Программно - аппаратная защита информации: учеб. пособие для студ. вузов. - М. : МГИУ, 2007. - 340 с.

5. Цирлов В. Л. Основы информационной безопасности: краткий курс. - Ростов н/Д: Феникс, 2008. - 254 с. (Профессиональное образование).

6. Денисов Т.В. "Антивирусная защита"//Мой Компьютер-№4-2007г.

7. Евгений Касперский «Энциклопедия Вирусов AVP»

8. В.П. Леонтьев «Новейшая энциклопедия П.К. 2004-2005»

9. http://www.kasperskylab.ru

10. http://www.kav.ru

11. http://www.viruslist.com

12. http://support.drweb.com/faq

13. http://www.antivir.ru

14. http://www.drweb.ru/com

15. http://www.avirus.ru/

Размещено на Allbest.ru

...