![]() | В центре внимания(499) 677-51-59 | Бесплатно | ||||||||||||
Экспресс-заказTwitter новостиОбучение письменному иноязычному общению на основе ИКТ http://t.co/IK2NAjncrk Online-опрос | Компьютерные вирусы
Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т. е. "заражать" их),а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "за-раженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т. д. ). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при вы-полнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Многие разновидности вирусов устроены так, что при запуске зара-женной программы вирус остается резидентно, т. е. до перезагрузки DOS, в памяти ком-пьютера и время от времени заражает программы и выполняет вредные действия на компьютере. Компьютерный вирус может испортить, т. е. изменить ненадлежащим образом, любой файл на имеющих в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т. е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельст-вах может начать свою работу. Следует заметить, что тексты программ и докумен-тов, информационные файлы без данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испор-тить. ПРОЯВЛЕНИЕ НАЛИЧИЯ ВИРУСА В РАБОТЕ НА ПЭВМ Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происхо-дит что-то необычное. Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное, например: * некото-рые программы перестают работать или начинают работать неправиль но; * на эк-ран выводятся посторонние сообщения, символы и т. д. ; * работа на компьютере существенно замедляется; * некоторые файлы оказываются испорченными и т. д. К этому моменту, как правило, уже достаточно много (или даже большинство) программ являются зараженными вирусом, а некоторые файлы и диски - испорченны-ми. Более того, зараженные программы с одного компьютера могли быть перенесены с помощью дискет или по локальной сети на другие компьютеры. Некоторые виды вирусов ведут себя еще более коварно. Они вначале незаметно заражают большое число программ или дисков, а потом причняют очень серьезные повреждения, например фор-мируют весь жесткий диск на компьютере. А бывают вирусы, которые стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске компьютера. Таким образом, если не предпринимать мер по защите от виру-са, то последствия заражения компьютера могут быть очень серьезны-ми. РАЗНОВИДНОСТИ КОМПЬЮТЕРНЫХ ВИРУСОВ Каж-дая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы уст-ройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполнимые файлы. В последнее время получили распространение вирусы нового типа - виру-сы, имеющие файловую систему на диске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело в некоторый участок диска (обычно - в последний кластер дис-ка) и помечают его в таблице размещения файлов (FAT) как конец файла. Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Я расскажу о двух из них: "невидимых" и самомодифицирующих-ся вирусах. "НЕВИДИМЫЕ" вирусы. Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и за-грузочных областях диска можно легко обнаружить. САМОМОДИФИЦИРУЮ-ЩИЕСЯ вирусы. Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобрать-ся в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естествен- но, затрудняет нахождение таких вирусов программами-детекторами.
МЕТОДЫ ЗАЩИТЫ ОТ КОМ-ПЬЮТЕРНЫХ ВИРУСОВ Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов. Для защиты от виру-сов можно использовать: * общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих про-грамм или ошибоч- ных действий пользователя; * профилактические меры, позволяющие уменьшить вероятность заражения ви- русом; * специализиро-ванные программы для защиты от вирусов. Общие средства защиты информации полезны не только для защиты от вирусов. Име- ются две основные разновидности этих средств: * копирование информации - создание копий файлов и системных областей дисков; * разграничение доступа предотвращает несанкционирован-ное использование информации, в частности, защиту от изменений программ и данных вируса- ми, неправильно работающими программами и ошибочными дей-ствиями пользо- вателей. Несмотря на то, что общие средства защиты инфор-мации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько ви- дов: детекторы, доктора (фаги), ревизоры, докто-ра-ревизоры, фильтры и вакцины (иммунизаторы). ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из нескольких из-вестных вирусов. Эти программы проверяют, имеется ли в файлах на указанном поль-зователем диске специфическая для данного вируса комбинация байтов. При ее обна-ружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те ви- русы, ко-торые ей "известны". Программа Scan фирмы McAfee Associates и Aidstest Д. Н. Лозинского позволяют обнаруживать около 1000 вирусов, но всего их более пяти тысяч! Некоторые программы-детекторы, например Norton AntiVirus или AVSP фирмы "Диалог-МГУ", могут настраивать на новые типы вирусов, им необхо-димо лишь ука- зать комбинации байтов, присущие этим вирусам. Тем не мение не-возможно разрабо- тать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус. Таким образом, из того, что программа не опознает-ся детекторами как заражен- ная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детек- торам. Многие программы-детекторы (в том числе и Aidstest) не умеют обнаруживать за- ражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Де- ло в том, что для чтения диска они используют функции DOS, а они перехватываются вирусом, который говорит, что все хорошо. Правда, Aidstest и другие детекторы пытаются выявить вирус путем просмотра оперативной памяти, но против некоторых "хитрых" вирусов это не по-могает. Так что надежный диагноз программы-детекторы дают только при загрузке DOS с "чистой", защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с этой дискеты. Некоторые детекторы, ска-жем, ADinf фирмы "Диалог-Наука", умеют ловить "неви- димые" вирусы, даже когда они активны. Для этого они читают диск, не используя вызовы DOS. Правда, этот метод работает не на всех дисководах. Большинство программ-детекторов имеют функцию "доктора", т. е. они пытаются вернуть зараженные файлы или области дис-ка в их исходное состояние. Те файлы, ко- торые не удалось восстановить, как пра-вило, делаются неработоспособными или уда- ляются. Большинство программ-докторов умеют "лечить" только от некоторого фиксирован- ного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не толь-ко способам обнаружения, но и способам лечения новых вирусов. К таким програм-мам относится AVSP фирмы "Диалог-МГУ". ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и систем-ных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент срав-нить состояние программ и системных областей дисков с исходным. О выявленных не-соответствиях сообщается пользователю. Чтобы проверка состояния программ и дисков проходила при каждой загрузке опе- рационной системы, необходимо вклю-чить команду запуска программы-ревизора в ко- мандный файл AUTOEXEC. BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа- -ревизор сможет найти по-врежденные вирусом файлы. Многие программы-ревизоры являются довольно "ин-теллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии про- граммы, от изменений, вносимых вирусом, и не под-нимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программ-ных файлах. Понятно, что в нормальной ситу ации такие изменения практически никогда не встречаются, поэтому программа-реви- зор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом. Следует заметить, что многие программы-ревизоры не умеют обнаруживать зараже- ние "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Но неко- торые программы-ревизоры, например ADinf фирмы "Диалог-Наука", все же умеют де- лать это, не используя вызовы DOS для чтения диска (правда, они рабо-тают не на всех дисководах). Другие программы часто используют различные полу-меры - пытаются обнаружить вирус в оперативной памяти, требуют вызовы из пер-вой строки файла AUTOEXEC. BAT, надеясь работать на "чистом" компьютере, и т. д. Увы против некото- рых "хитрых" вирусов все это бесполезно. Для проверки того, не изменился ли файл, некоторые программы-ревизоры про- веряют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину зара-женных файлов. Более надежная проверка - прочесть весь файл и вычис- лить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма оста- лась прежней, практически невозможно. В последнее время появились очень полезные гибриды ревизоров и докторов, т. е. ДОКТОРА-РЕВИЗОРЫ,- программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при ле-чении они используют заранее сохраненную информацию о состоянии файлов и облас-тей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы. Но они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные", известные на момент написания программы, механизмы заражения фай- лов. Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь мо-жет разрешить или запретить выполнение соответствующей операции. Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера. Однако преимущества использования программ-фильтров весьма зна-чительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму. ПРОГРАММЫ-ВАКЦИНЫ, или ИММУНИЗА-ТОРЫ, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти про-граммы или диски уже зараженными. Эти программы крайне неэффективны. Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эше-лони- рованная" оборона. Опишу структуру этой обороны. Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов. На переднем крае обороны находятся программы-фильтры. Эти программы могут пер- выми со-общить о работе вируса и предотвратить заражение программ и дисков. Второй эшелон обороны составляют программы-ревизоры, программы-доктора и док- тора-ревизоры. Самый глубокй эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они про-никли в ком- пьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении. Это неформальное описание позволяет лучше понять методи-ку применения антиви - русных средств. ДЕЙСТВИЯ ПРИ ЗАРАЖЕНИИ ВИРУСОМ При заражении компьютера вирусом (или при подозрении на это) важно соблюдать 4-е правила: 1) Прежде всего не надо торопиться и принимать опрометчивых решений. Непродуманные действия могут привести не только к поте-ри части файлов, но к пов- торному заражению компьютера. 2) Надо немедлен-но выключить компьютер, чтобы вирус не продолжал своих разрушительных дейст-вий. 3) Все действия по обнаружению вида заражения и лечению компьюте-ра следует выполнять при загрузке компьютера с защищенной от записи дискеты с ОС (обязательное правило). 4) Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь более опытных коллег. | |||||||||||||
E-mail: | |
Сообщение: | |