А) завантажувальні віруси;
Б) мережеві віруси;
В) макровіруси
Г) файлово-завантажувальні віруси.
24. Створення комп'ютерних вірусів є:
А) наслідок збоїв операційної системи;
Б) розвага програмістів;
В) побічним ефектом при розробці програмного забезпечення;
Г) злочином;
Д) необхідним компонентом підготовки програмістів.
25. Нелегальний доступ до комп'ютера та інформації відноситься:
А) до програмування;
Б) до інтелектуальної діяльності;
В) до комп'ютерного піратства
Г) до створення комп'ютерного вірусу.
26. Основною умовою захисту від комп'ютерних вірусів є:
А) установка на комп'ютері операційної системи Windows;
Б) відсутність Інтернету;
В) відсутність сканера;
Г) установка на комп'ютері антивірусне програмне забезпечення
27. Антивірусної програмою є:
А) Internet Explorer;
Б) Microsoft Publisher;
Г) Kaspersky AntiVirus.
28. Антивірусної називається спеціальна програма:
А) для створення нових програм;
Б) редагує код комп'ютерних вірусів;
В) для виявлення, знищення і захисту від комп'ютерних вірусів;
Г) для створення і поширення комп'ютерних вірусів.
29. Сукупність взаємопов'язаних через канали передачі даних комп'ютерів, що забезпечують користувача засобами обміну інформацією і колективного використання ресурсів мережі називається:
А) регіональної комп'ютерною мережею;
Б) комп'ютерною мережею;
В) корпоративної комп'ютерної мережею;
Г) глобальною комп'ютерною мережею.
30. Основною характеристикою каналів передачі інформації є:
А) матеріал, з якого виготовлений кабель;
Б) відстань між комп'ютерами;
В) пропускна здатність
Г) приміщення, в якому розташовані ПК.
31. Персональний комп'ютер, підключений до мережі, на якому користувач виконує свою роботу, називається:
А) робочою станцією;
Б) автоматизованим робочим місцем (АРМ);
В) сервером мережі;
Г) комутаційним вузлом.
32. Персональний комп'ютер, підключений до мережі і надає користувачам мережі певні інформаційні послуги, називається:
А) робочою станцією;
Б) сервером мережі;
В) комутаційним вузлом;
Г) автоматизованим робочим місцем (АРМ).
33. Мережа, існуюча в межах одного міста, району чи області і є частиною локальної та глобальної комп'ютерних мереж, називаються:
А) глобальною мережею;
В) локальною мережею.
34. Мережа, що охоплює невелику територію з відстанню між окремими комп'ютерами до 2 кілометрів, називається:
А) глобальною мережею;
Б) регіональної або корпоративною мережею;
В) локальною мережею.
35. Топологія мережі, в якій використовується центральна машина, до якої підключаються всі інші машини мережі, називається:
А) кільцева або «кільце»;
Б) зоряна або «зірка»;
В) лінійна шина.
36. Топологія мережі, в якій остання робоча станція пов'язана каналами зв'язку з першою робочою станцією, називається:
А) кільцева або «кільце»;
Б) зоряна або «зірка»;
В) лінійна шина.
37. Канал зв'язку з високою пропускною спроможністю називається:
А) оптоволоконний кабель;
Б) кручена пара;
В) коаксіальний кабель.
38. Канал зв'язку, недоліком якого є складність захисту даних від незаконного доступу, є:
А) оптоволоконний кабель;
Б) інфрачервоні промені;
В) СВЧ - діапазон.
39. Канал зв'язку, в якому використовується радіосигнал, називається:
А) оптоволоконний кабель;
Б) інфрачервоні промені;
В) радіоканал.
40. Одиницею вимірювання пропускної здатності каналу зв'язку є:
А) біт / сек;
В) Кбіт / сек;
Г) Мбіт / год.
додаток А
МІНІСТЕРСТВО ТРАНСПОРТУ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ
МІНІСТЕРСТВО АГЕНСТВО ЗАЛІЗНИЧНОГО ТРАНСПОРТУ
ФІЛІЯ ФЕДЕРАЛЬНОГО ДЕРЖАВНОГО БЮДЖЕТНОГО
ОСВІТНЬОГО УСТАНОВИ ВИЩОЇ ОСВІТИ
САМАРСЬКИЙ ДЕРЖАВНИЙ
УНІВЕРСИТЕТ шляхів сполучення
В м Саратові
Комп'ютерні віруси
Комп'ютерний вірус - це невелика програма, написана програмістом високої кваліфікації, здатна до саморозмноження й виконання різних деструктивних дій. На сьогоднішній день відомо понад 50 тис. Комп'ютерних вірусів.
Існує багато різних версій щодо дати народження першого комп'ютерного вірусу. Однак більшість фахівців сходяться на думці, що комп'ютерні віруси, як такі, вперше з'явилися в 1986 році, хоча історично виникнення вірусів тісно пов'язане з ідеєю створення самовідтворюються програм. Одним із "піонерів" серед комп'ютерних вірусів вважається вірус "Brain", створений пакистанським програмістом на прізвище Алві. Тільки в США цей вірус вразив понад 18 тис. Комп'ютерів.
Віруси діють тільки програмним шляхом. Вони, як правило, приєднуються до файлу або проникають всередину файлу. У цьому випадку говорять, що файл заражений вірусом. Вірус потрапляє в комп'ютер тільки разом із зараженим файлом. Для активізації вірусу потрібно завантажити заражений файл, і тільки після цього, вірус починає діяти самостійно.
Деякі віруси під час запуску зараженого файлу стають резидентними (постійно знаходяться в оперативній пам'яті комп'ютера) і можуть заражати інші файли та програми.
Інші різновиди вірусів відразу після активізації можуть спричиняти серйозні пошкодження, наприклад, форматувати жорсткий диск. Дія вірусів може проявлятися по різному: від різних візуальних ефектів, що заважають працювати, до повної втрати інформації.
Основними джерелами вірусів є:
дискета, на якій знаходяться заражені вірусом файли;
комп'ютерна мережа, в тому числі система електронної пошти та Internet;
жорсткий диск, на який потрапив вірус в результаті роботи з зараженими програмами;
вірус, що залишився в оперативній пам'яті після попереднього користувача.
Основними ранніми ознаками зараження комп'ютера вірусом:
зменшення обсягу вільної оперативної пам'яті;
повільну обробку роботи комп'ютера;
незрозумілі (без причин) зміни у файлах, а також зміни розмірів та дати останньої модифікації файлів;
помилки при завантаженні операційної системи;
неможливість зберігати файли в потрібних каталогах;
незрозумілі системні повідомлення, музикальні та візуальні ефекти і т.д.
Переходить в активну фазу вірусу:
зникнення файлів;
форматування жорсткого диска;
неможливість завантаження файлів або операційної системи.
Існує дуже багато різних вірусів. Умовно їх можна класифікувати наступним чином:
1) завантажувальні віруси або BOOT-віруси заражають boot-сектори дисків. Дуже небезпечні, можуть призвести до повної втрати всієї інформації, що зберігається на диску;
2) файлові віруси заражають файли. Поділяються на:
віруси, що заражують програми (файли з расшіреніем.EXE і.COM);
макровіруси: віруси, що заражають файли даних, наприклад, документи Word або робочі книги Excel;
віруси-супутники використовують імена інших файлів;
віруси сімейства DIR: спотворюють системну інформацію про файлові структури;
3) завантажувально-файлові віруси здатні вражати як код boot-секторів, так і код файлів;
4) віруси-невидимки або STEALTH-віруси фальсифікують інформацію прочитану з диска так, що програма, якій призначена ця інформація отримує невірні дані. Ця технологія, яку, інколи, так і називають Stealth-технологією, може використовуватися як в BOOT-віруси, так і в файлових вірусах;
5) ретровіруси заражають антивірусні програми, Намагаючись знищити їх або зробити непрацездатними;
6) віруси-черв'яки заражують невеликі повідомлення електронної пошти, так званим заголовком, який по своїй суті є Web-адресу місцезнаходження самого вірусу. При спробі прочитати таке повідомлення вірус починає зчитувати через глобальну мережу Internet своє «тіло» і після завантаження починає свою деструктивну дію. Дуже небезпечні, так як виявити їх дуже важко, в зв'язку з тим, що заражений файл фактично не містить коду вірусу.
Якщо не вживати заходів для захисту від комп'ютерних вірусів, то наслідки зараження можуть бути дуже серйозними. У ряді країн карне законодавство передбачає відповідальність за комп'ютерні злочини, в тому числі за впровадження вірусів. Для захисту інформації від вірусів використовуються загальні та програмні засоби.
До загальних засобів, що допомагають запобігти зараженню вірусом і його руйнівних наслідків належать:
резервне копіювання інформації (створення копій файлів і системних областей жорстких дисків);
відмова від використання випадкових і невідомих програм. Найчастіше віруси розповсюджуються разом із комп'ютерними вірусами;
обмеження доступу до інформації, зокрема фізичний захист дискети під час копіювання файлів із неї.
До програмних засобів захисту відносять різні антивірусні програми (антивіруси).
Антивірус - це програма, що виявляє і знешкоджує комп'ютерні віруси. Слід зауважити, що віруси в своєму розвитку випереджають антивірусні програми, тому навіть у разі регулярного користування антивірусів, немає 100% гарантії безпеки. Антивірусні програми можуть виявляти та знищувати лише відомі віруси, при появі нового комп'ютерного вірусу захисту від нього не існує до тих пір, поки для нього не буде розроблений свій антивірус. Однак, багато сучасних антивірусних пакетів мають у своєму складі спеціальний програмний модуль, званий евристичним аналізатором, Який здатний досліджувати вміст файлів на наявність коду, характерного для комп'ютерних вірусів. Це дає можливість своєчасно виявляти і попереджувати про небезпеку зараження новим вірусом.
Розрізняють такі типи антивірусних програм:
1) програми-детектори: Призначені для знаходження заражених файлів одним із відомих вірусів. Деякі програми-детектори можуть також лікувати файли від вірусів або знищувати заражені файли. Існують спеціалізовані, тобто призначені для боротьби з одним вірусом детектори і полифаги, Які можуть боротися з багатьма вірусами;
2) програми-лікарі: Призначені для лікування заражених дисків і програм. Лікування програми полягає у вилученні із зараженої програми тіла вірусу. Також можуть бути як полифагами, так і спеціалізованими;
3) програми-ревізори: Призначені для виявлення зараження вірусом файлів, а також знаходження ушкоджених файлів. Ці програми запам'ятовують дані про стан програми та системних областей дисків в нормальному стані (до зараження) і порівнюють ці дані в процесі роботи комп'ютера. У разі невідповідності даних виводиться повідомлення про можливість зараження;
4) лікарі-ревізори: Призначені для виявлення змін у файлах і системних областях дисків і, в разі змін повертають їх у початковий стан.
5) програми-фільтри: Призначені для перехоплення звернень до операційної системи, що використовуються вірусами для розмноження і повідомляють про це користувача. Користувач може дозволити або заборонити виконання відповідної операції. Такі програми є резидентними, тобто вони знаходяться в оперативній пам'яті комп'ютера.
6) програми-вакцини: Використовуються для обробки файлів і boot-секторів з метою попередження зараження відомими вірусами (в останній час цей метод використовується все частіше).
Слід зауважити, що вибір одного «найкращого» антивірусу є вкрай помилковим рішення. Рекомендується використовувати кілька різних антивірусних пакетів одночасно. Вибираючи антивірусну програму, слід звернути увагу на такий параметр, як кількість розпізнають сигнатур (послідовність символів, які гарантовано розпізнають вірус). Другий параметр - наявність евристичного аналізатора невідомих вірусів, його присутність дуже корисна, але суттєво уповільнює час роботи програми.
Контрольні питання
Що таке комп'ютерний вірус?
Яким чином вірус заражає комп'ютер?
Яким чином діють комп'ютерні віруси?
Які ви знаєте джерела зараження комп'ютерним вірусом?
За якими ознаками можна виявити факт зараження комп'ютерним вірусом?
Які ви знаєте типи вірусів? Які деструктивні дії вони здійснюють?
Які дії роблять для запобігання зараження комп'ютерним вірусом?
Що таке антивірус? Які типи антивірусів ви знаєте?
Що таке евристичний аналізатор? Які функції він виконує?
Загальні відомості.Користувачі ПК найбільш часто стикаються з однією з різновидів комп'ютерної злочинності - комп'ютерними вірусами. Останні є особливого типу шкідливими програмами, які завдають користувачам і обслуговуючому ПК персоналу чимало неприємностей 1.
комп'ютерним вірусомназивається здатна до самовідтворення і розмноженню програма, упроваджується в інші програми.
Очевидна аналогія понять комп'ютерного та біологічного вірусів. Однак не всяка що може саморозмножуватися програма є комп'ютерним вірусом. Віруси завжди завдають шкоди -перешкоджають нормальній роботі ПК, руйнують файлову структуру і т.д., тому їх відносять до розряду так званих шкідливих програм.
Історично поява комп'ютерних вірусів пов'язане з ідеєю створення самовідтворюються механізмів, зокрема програм, яка виникла в 50-х рр. Дж.фон Нейман ще в 1951 році запропонував метод створення таких механізмів, і його міркування отримали подальший розвиток у роботах інших дослідників. Першими з'явилися ігрові програми, які використовують елементи майбутньої вірусної технології, а потім вже на базі накопичених наукових і практичних результатів деякі особи стали розробляти самовідтворюються програми з метою нанесення шкоди користувачам комп'ютера.
Творці вірусів зосередили свої зусилля в області ПК внаслідок їх масовості і практично повної відсутності ефективних засобів захисту як на апаратному рівні, так і на рівні ОС. Серед спонукальних мотивів, які рухають авторами вірусів, можна назвати наступні:
Прагнення «насолити» кому-небудь;
1 Безруков М.М.
Неприродна потреба в скоєнні злочинів;
Бажання самоствердитися, пустощі і одночасно нерозуміння всіх наслідків поширення вірусу;
Неможливість використовувати свої знання в конструктивному руслі (це більшою мірою економічна проблема);
Впевненість в повній безкарності (в ряді країн відсутні норми правової відповідальності за створення та розповсюдження вірусів).
Основними каналами проникнення вірусів в персональний комп'ютер є накопичувачі на змінних носіях інформації та засоби мережевої комунікації, зокрема мережу Internet.
Перші випадки масового зараження ПК вірусами були відзначені в 1987 р, коли з'явився так званий Пакистанський вірус, створений братами Амджатом і базитах Алві. Таким чином вони вирішили покарати американців, які купували дешеві незаконні копії програмного забезпечення в Пакистані, які брати стали інфікувати розробленим вірусом. Вірус заразив в США більше 18 тис. Комп'ютерів і, виконавши кругосвітню подорож, потрапив в СРСР. Наступним широко відомим вірусом став вірус Lehigh (Лехайского вірус), що поширився в однойменному університеті США. Протягом декількох тижнів він знищив вміст кількох сотень дискет з бібліотеки обчислювального центру університету та особистих дискет студентів. До лютого 1989 року в США цим вірусом було уражено близько 4 тис. ПК.
Надалі кількість вірусів і число заражених ними комп'ютерів стало лавиноподібно збільшуватися, що вимагало прийняття термінових заходів як технічного, так і організаційного і юридичного характеру. З'явилися різні антивірусні засоби, внаслідок чого ситуація стала нагадувати гонку озброєнь і засобів захисту від них. Певний ефект був досягнутий в результаті прийняття рядом розвинутих країн законодавчих актів про комп'ютерні злочини, серед яких були і статті, що стосуються створення і поширення комп'ютерних вірусів.
В даний час в світі налічується більше 20 тис. Вірусів, включаючи штами, тобто різновиди вірусів одного типу. Віруси не визнають кордонів, тому більшість з них курсує і по Росії. Більш того, проявилася тенденція збільшення числа вірусів, розроблених вітчизняними програмістами. Якщо ситуація не зміниться, то в майбутньому Росія зможе претендувати на роль лідера в області створення вірусів.
Класифікація вірусів.Життєвий цикл комп'ютерних вірусів, як правило, включає в себе наступні фази:
Латентний період, протягом якого вірусом ніяких дій не робиться;
Інкубаційний період, в межах якого вірус тільки розмножується;
Активний період, протягом якого поряд з розмноженням виконуються несанкціоновані дії, закладені в алгоритмі вірусу.
Перші дві фази служать для того, щоб приховати джерело вірусу, канал його проникнення і інфікувати якомога більше файлів до виявлення вірусу. Тривалість цих фаз може визначатися передбаченим в алгоритмі часовим інтервалом, настанням якої-небудь події в системі, наявністю певної конфігурації апаратних засобів ПК (зокрема, наявністю НЖМД) і т.д.
Комп'ютерні віруси класифікуються згідно з такими ознаками:
Середовищем існування;
Способом зараження довкілля;
Способом активізації;
Способом прояви (деструктивні дії або викликані ефекти);
Способом маскування.
Віруси можуть впроваджуватися тільки в програми, які, в свою чергу, можуть міститися або в файлах, або в деяких компонентах системної області диска, що беруть участь в процесі завантаження операційної системи. Відповідно до середовищем існуваннярозрізняють:
файловівіруси, що інфікують виконувані файли;
завантажувальнівіруси, що заражають компоненти системної області, використовувані при завантаженні ОС;
файлово-завантажувальнівіруси, що інтегрують риси перших двох груп.
Файлові віруси можуть інфікувати:
Позиційно-незалежні переміщувані машинні програми знаходяться в СОМ-файлах;
Позиційно-залежні переміщувані машинні програми, що розміщуються в ЕХЕ-файлах;
Драйвери пристроїв (SYS- і BIN-файли);
Файли з компонентами DOS;
Об'єктні модулі (OBJ-файли);
Файли з програмами на мовах програмування (в розрахунку на компіляцію цих програм);
Командні файли (ВАТ-файли);
Об'єктні і символічні бібліотеки (LIB- і інші файли);
Оверлейні файли (OVL-, PIF- і інші файли). Найбільш часто файлові віруси здатні впроваджуватися в СОМ
і / або ЕХЕ-файли.
Завантажувальні віруси можуть заражати:
Завантажувальний сектор на дискетах;
Завантажувальний сектор системного логічного диска, створеного на вінчестері;
Позасистемний завантажувач на жорсткому диску. Завантажувальні віруси поширюються на дискетах в розрахунку на
то, що з них буде здійснена спроба завантажитися, що відбувається не так часто. У файлових вірусів інфікуюча здатність вище.
Файлово-завантажувальні віруси володіють ще більшою інфікуючою здатністю, так як можуть поширюватися як в програмних файлах, так і на дискетах з даними.
способи зараженнядовкілля, залежать від типу останньої. Заражена вірусу серед називається вірусоносієм. При імплантації тіло файлового вірусу може розміщуватися:
В кінці файлу;
На початку файлу;
В середині файлу;
У хвостовій (вільної) частини останнього кластера, займаного файлом.
Найбільш легко реалізується впровадження вірусу в кінець СОМ-файлу. При отриманні керування вірус вибирає файл-жертву і модифікує його таким чином:
1. Дописує до файлу власну копію (тіло вірусу).
2. Зберігає в цій копії оригінальне початок файлу.
3. Замінює оригінальне початок файлу на команду передачі управління на тіло вірусу.
При запуску інфікованої описаним способом програми спочатку ініціюється виконання тіла вірусу, в результаті чого:
Відновлюється оригінальне початок програми (але не в файлі, а в пам'яті!);
Можливо, відшукується і заражається чергова жертва;
Можливо, здійснюються несанкціоновані користувачем дії;
Виробляється передача управління на початок програми-вірусоносія, в результаті чого вона виконується звичайним чином.
Імплантація вірусу в початок СОМ-файлу здійснюється інакше: створюється новий файл, який є об'єднанням тіла вірусу і вмісту оригінального файлу. Два описаних способу проникнення вірусу ведуть до збільшення довжини оригінального файлу.
Імплантація вірусу в середину файлу найбільш складна і спеціалізована. Складність полягає в тому, що в цьому випадку вірус повинен «знати» структуру файлу-жертви (наприклад, command.com), щоб можна було потрапити, зокрема, в область стека. Описаний спосіб імплантації не веде до збільшення довжини файлу.
Проявом (деструктивними діями) вірусів можуть бути:
Вплив на роботу ПК;
Спотворення програмних файлів;
Спотворення файлів з даними;
Форматування диска або його частини;
Заміна інформації на диску або його частини;
Спотворення системного або несистемного завантажувача диска;
Руйнування зв'язності файлів шляхом спотворення таблиці FAT;
Спотворення даних в CMOS-пам'яті.
Більшу частину вірусів першої групи, що викликають візуальні або звукові ефекти, неформально називають «ілюзіоніста». Інші віруси цієї ж групи можуть уповільнювати роботу ПК або перешкоджати нормальній роботі користувача, модифікуючи і блокуючи функції виконуються програм, а також операційної системи. Віруси всіх інших груп часто називають «вандалами» через наноситься ними непоправного, як правило, збитку.
Відповідно до способами маскуваннярозрізняють:
Немаскірующіеся віруси;
Самошифруються віруси;
Стелс-віруси.
Автори перших вірусів приділяли особливу увагу механізмам розмноження (реплікації) з впровадженням тел в інші програми. Маскування ж від антивірусних коштів не здійснювалася. Такі віруси називаються немаскірующіміся.
У зв'язку з появою антивірусних засобів розробники вірусів зосередили зусилля на забезпеченні маскування своїх виробів. Спочатку була реалізована ідея самошифрування вірусу. При цьому лише невелика його частина є доступною для осмисленого читання, а інша розшифровується безпосередньо перед початком роботи вірусу. Такий підхід ускладнює як виявлення вірусу, так і аналіз його тіла фахівцями.
З'явилися також стелс-віруси, названі за аналогією з широкомасштабним проектом по створенню літаків-невидимок. Методи маскування, які використовуються стелс-вірусами, носять комплексний характер, і можуть бути умовно розділені на дві категорії: маскування наявності вірусу в програмі-вірусоносіїв; маскування присутності резидентного вірусу в ОЗУ.
Автомодіфікація тіла вірусу;
Реалізація ефекту видалення тіла вірусу з вірусоносія при читанні останнього з диска, зокрема, отладчиком (це здійснюється шляхом перехоплення переривання, звичайно, в разі наявності резидентного вірусу в ОЗУ);
Імплантація тіла вірусу в файл без збільшення його розміру;
Ефект незмінності довжини інфікованого файлу (здійснюється аналогічно п. 2);
Збереження незмінним оригінального початку програмних файлів.
Наприклад, при читанні каталогу засобами DOS резидентний вірус може перехопити відповідне переривання і штучно зменшити довжину файлу. Звичайно, реальна довжина файлу не змінюється, але користувачеві видаються відомості, що маскують її збільшення. Працюючи ж з каталогами безпосередньо (в обхід засобів DOS), можна отримати справжню інформацію про характеристики файлу. Такі можливості надає, зокрема, оболонка Norton Commander.
Занесення вірусу в спеціальну зону резидентних модулів DOS, в хвостові частини кластерів, в CMOS-пам'ять, відеопам'ять і т.п .;
Модифікацію списку несистемного завантажувача, про що вже говорилося;
Маніпулювання обработчиками переривань, зокрема, спеціальні методи їх підміни, з метою обійти резидентні антивірусні засоби;
Коригування загального обсягу ОЗУ.
При повсякденній роботі користувач в змозі виявити вірус по його симптомів.Природно, що симптоми вірусу безпосередньо визначаються реалізованими в ньому способами прояву, а також інші характеристиками вірусу. Як симптоми вірусів виділяють наступні:
Збільшення числа файлів на диску;
Зменшення обсягу вільної оперативної пам'яті;
Зміна часу і дати створення файлу;
Збільшення розміру програмного файлу;
Поява на диску зареєстрованих дефектних кластерів;
Ненормальна робота програми;
Уповільнення роботи програми;
Загоряння лампочки дисковода в той час, коли не повинні відбуватися звернення до диска;
Помітне зростання часу доступу до жорсткого диска;
Збої в роботі операційної системи, зокрема, її зависання;
Неможливість завантаження операційної системи;
Руйнування файлової структури (зникнення файлів, перекручування каталогів).
Поряд з комп'ютерними вірусами існують і інші небезпечні програми, наприклад, так звані «черв'яки», формально іменовані реплікаторами.Їх основна особливість полягає в здатності до розмноження без впровадження в інші програми. Реплікатори створюються з метою поширення по вузлах обчислювальної мережі і можуть мати начинку, що складається, зокрема, з вірусів. В цьому відношенні можна провести аналогію між «хробаком» і кульковою бомбою.
Прикладом репликатора є програма Christmas Tree, що змальовує на екрані дисплея різдвяну ялинку, а потім розсилає свої копії за всіма адресами, зареєстрованим засобами електронної пошти.
Класифікація антивірусних засобів. Внині є велика кількість антивірусних засобів. Однак всі вони не мають властивість універсальності: кожне розраховане на конкретні віруси або перекриває деякі канали зараження ПК або поширення вірусів. У зв'язку з цим перспективною галуззю досліджень можна вважати застосування методів штучного інтелекту до проблеми створення антивірусних засобів.
антивірусним засобомназивають програмний продукт, що виконує одну або декілька з наступних функцій:
Захист файлової структури від руйнування;
Виявлення вірусів;
Нейтралізацію вірусів.
Вірус-фільтром (сторожем)називається резидентна програма, яка забезпечує контроль виконання характерних для вірусів дій і вимагає від користувача підтвердження на виробництво дій. Контроль здійснюється шляхом підміни оброблювачів відповідних переривань. Як контрольованих дій можуть виступати:
Оновлення програмних файлів;
Прямий запис на диск (з фізичного адресою);
Форматування диска;
Резидентне розміщення програми в ОЗУ. детекторомназивається програма, що здійснює пошук
вірусів як на зовнішніх носіях інформації, так і в ОЗУ. Результатом роботи детектора є список інфікованих файлів і / або областей, можливо, із зазначенням конкретних вірусів, їх заразити.
Детектори діляться на універсальні (ревізори) і спеціалізовані. універсальнідетектори перевіряють цілісність файлів шляхом підрахунку контрольної суми і її порівняння з еталоном. Еталон або вказується в документації на програмний продукт, або може бути визначений на самому початку його експлуатації.
спеціалізованідетектори налаштовані на конкретні віруси, один або кілька. Якщо детектор здатний виявляти кілька різних вірусів, То його називають полідетектором.Робота спеціалізованого детектора грунтується на пошуку рядка коду, що належить того чи іншого вірусу, можливо заданої регулярним виразом. Такий детектор не здатний виявити всі можливі віруси.
Дезинфектором (доктором, фагом)називається програма, що здійснює видалення вірусу як з відновленням, так і без
відновлення довкілля. Ряд вірусів спотворює середовище проживання таким чином, що її початковий стан не може бути відновлено.
Найбільш відомими полідетекторамі-фагами є програмні пакети Antiviral Toolkit Pro Євгена Касперського і DrWeb фірми Діалог.
Іммунізатори (вакциною)називають програму, що запобігає зараження довкілля або пам'яті конкретними вірусами. Іммунізатори вирішують проблему нейтралізації вірусу не за допомогою його знищення, а шляхом блокування його здатності до розмноження. Такі програми в даний час практично не використовуються.
Методи захисту від комп'ютерних вірусів.При захисті від комп'ютерних вірусів як ніколи важлива комплексність заходів як організаційного, так і технічного характеру. На передньому краї «оборони» доцільно розмістити засоби захисту даних від руйнування, за ними - засоби виявлення вірусів і, нарешті, засоби нейтралізації вірусів.
Засоби захисту даних від можливої \u200b\u200bвтрати і руйнування повинні використовуватися завжди і регулярно.Додатково до цього слід дотримуватися наступних рекомендацій організаційного характеру, щоб позбутися від зараження вірусами:
Гнучкі диски використовувати завжди, коли це можливо, з заклеєною прорізом захисту від запису;
Без крайньої необхідності не користуватися невідомими дискетами;
Чи не передавати свої дискети іншим особам;
Чи не запускати на виконання програми, призначення яких незрозуміло; використовувати тільки ліцензійні програмні продукти;
Обмежити доступ до ПК сторонніх осіб.
При необхідності використання програмного продукту, отриманого з невідомого джерела, рекомендується:
Протестувати програмний продукт спеціалізованими детекторами на предмет наявності відомих вірусів. Небажано розміщувати детектори на жорсткому диску - для цього потрібно використовувати захищену від запису дискету;
Здійснити резервування файлів нового програмного продукту;
Провести резервування тих своїх файлів, наявність яких вимагається для роботи нового програмного забезпечення;
Організувати дослідну експлуатацію нового програмного продукту на тлі вірус-фільтра з обдуманими відповідями на його повідомлення.
Захист від комп'ютерних вірусів повинна стати частиною комплексу заходів щодо захисту інформації як в окремих комп'ютерах, так і в автоматизованих інформаційних системах в цілому.
СПИСОК ЛІТЕРАТУРИ
1. Андрєєв В.Б.Правова інформатика: Учеб. посіб. - М: ІМП, 1998..
2. Баранов А.К., Карпичев В.Ю., Мінаєв В.А.Комп'ютерні експертні технології в органах внутрішніх справ: Навчальний посібник. - М .: Академія МВС РФ, 1992.
3. Батурин Ю.М.Право і політика в комп'ютерному колі. - М .: Наука, 1987.
4. Батурин Ю.М.Проблеми комп'ютерного права. - М .: Юрид. лит., 1991.
5. Батурин Ю.М., Жодзішскій А. М.Комп'ютерні злочини та комп'ютерна безпека. - М .: Юрид. лит., 1991.
6. Бауер Ф.Л., Гооз Г.Інформатика. Вступний курс: У 2 ч. - М .: Мир, 1990. - Ч. 1.
7. Безруков М.М.Комп'ютерні віруси. - М .: Наука, 1991.
8. Боровков В.П.Популярне введення в програму «Statistica». - М .: Комп'ютер прес, 1998..
9. Вехов Б.В.Комп'ютерні злочини: способи вчинення, методика розслідування. - М .: Право і Закон, 1996..
10. Воскресенський Г.М., Дударєв Г.І., Масленников Е.П.Статистичні методи обробки та аналізу соціальної інформації в управлінській діяльності органів внутрішніх справ. - М .: Академія МВС СРСР, 1986.
11. Гудков П.Б.Комп'ютерні злочини в сфері економіки. - М .: МІ МВС Росії, 1995.
12. Гульбин Ю.Злочини у сфері комп'ютерної інформації // Відомості Верховної Ради. - 1997. - № 10. - С. 24-25.
13. Демидов В.Н.Кримінологічна характеристика злочинності в Росії і Татарстані: Навчальний посібник. - М .: ВНДІ МВС Росії, 1998..
14. Дьяконов В.П.Довідник за розрахунками на мікрокалькуляторах. - 3-е изд. - М .: Наука, 1989.
15. Дьяконов В.П.Довідник по алгоритмів і програм на мові БЕЙСІК для персональних ЕОМ. - М .: Наука, 1989.
16. Женіло В.Р.Інформатика та обчислювальна техніка в діяльності органів внутрішніх справ. Частина 3. Програмне забезпечення комп'ютерної технології: Учеб. посіб. / Под ред. В.А. Мінаєва. - М .: ГУК МВС РФ, 1996..
17. Женіло В.Р., Мінаєв В.А.Комп'ютерні технології в криміналістичних фоноскопічних дослідженнях і експертизах: Навчальний посібник. - М .: Академія МВС РФ, 1994.
18. Івахненко А.Г., Юрачковскш Ю.П.Моделювання складних систем за експериментальними даними. - М .: Радио и связь, 1987.
19. Інформатика. Базовий курс: Учеб. для вузів / Під ред. С. В. Симоновича. - СПб .: Пітер, 1999..
20. Інформатика і математика для юристів. Короткий курс в таблицях і схемах: Учеб. посіб. / Под ред. В. А. Мінаєва. - М .: МЮИ МВС Росії; Пріор, 1998..
21. Інформатика та обчислювальна техніка в діяльності органів внутрішніх справ. Частина 2. Апаратні засоби комп'ютерної техніки: Учеб. посіб. / Под ред. В. А. Мінаєва. - М .: ГУК МВС РФ, 1995.
22. Інформатика та обчислювальна техніка в діяльності органів внутрішніх справ. Частина 4. Автоматизація вирішення практичних завдань в органах внутрішніх справ: Учеб. посіб. / Под ред. В. А. Мінаєва. - М .: ГУК МВС РФ, 1996..
23. Інформатика та обчислювальна техніка в діяльності органів внутрішніх справ. Частина 5. Аналітична діяльність і комп'ютерні технології: Учеб. посіб. / Под ред. В.А. Мінаєва. - М .: ГУК МВС РФ, 1996..
24. Інформатика та обчислювальна техніка в діяльності органів внутрішніх справ. Частина 6. Інформаційно-обчислювальні мережі в органах внутрішніх справ: Учеб. посіб. / Под ред. В.А. Мінаєва. - М .: ГУК МВС РФ, 1997..
25. Інформаційні технології управління в органах внутрішніх справ / Під ред. В.А. Мінаєва. - М .: Академія управління МВС РФ, 1997..
26. Ісаков С.А.Інформаційно-технічне забезпечення органів внутрішніх справ: Учеб. посіб. - М .: Юридичний інститут МВС РФ, 1994.
27. Казанцев С.Я., Мазуренко П.І.Використання ЕОМ в діяльності правоохоронних органів. - Казань: Казанський філія Юридичного інституту МВС РФ, 1997..
29. Кідмайер М.Мультимедіа. - СПб .: «BHV-Санкт-Петербург», 1994.
30. Коментар до Кримінального кодексу Російської Федерації / Под ред. А. В. Наумова. - М .: МАУП, 1996..
31. Комп'ютерні технології обробки інформації: Учеб. посіб. / Под ред. С. В. Назарова. - М .: Фінанси і статистика, 1995.
32. Комп'ютерні технології в юридичній діяльності. Учеб. і практ. посібник / За. ред. М. Польового, В. Крилова. - М .: Изд-во БЕК, 1994.
33. Концепція розвитку системи інформаційного забезпечення органів внутрішніх справ у боротьбі зі злочинністю. Затверджена наказом МВС РФ № 229 від 12.05.93 р
34. Коршунов Ю.М.Математичні основи кібернетики. - М .: Енер-гоатоміздат, 1987.
35. Криміналістика і комп'ютерна злочинність: Матеріали науково-практичного семінару // Зб. статей. - М .: ЕКЦ МВС Росії, 1993.
36. Крилов В.В.Розслідування злочинів у сфері інформації. М .: Городець. +1998.
37. Левін А.Самовчитель роботи на комп'ютері. - 5-е изд. - М .: Нолидж, 1999..
38. Локальні обчислювальні мережі: Довідник: У 3 кн. Кн. 1. Принципи побудови, архітектура, комунікаційні засоби / Под ред. С. В. Назарова. - М .: Фінанси і статистика, 1994.
39. Ляпунов Ю., Максимов В.Відповідальність за комп'ютерні злочини // Законність. - 1997. - № 1. - С. 8-15.
40. Мак-Кланг Кр.Дж., Герріері Дж.А., Мак-Кланг К.А.Мікрокомп'ютери для юристів / Пер. з англ. А. П. Полежаєва. - М .: Юридична література, 1988.
41. Маркарян А.А.Інтеграція досягнень природних і технічних наук в криміналістику. - Іжевськ: УДГУ, 1996..
42. Мельников В.В.Захист інформації в комп'ютерних системах. - М .: Фінанси і статистика, 1997..
43. Методологія і методика прогнозування в сфері боротьби зі злочинністю: Праці Академії МВС СРСР. - М .: Академія МВС СРСР, 1989.
44. Мінаєв В.А.Кадрові ресурси органів внутрішніх справ: сучасні підходи до управління. - М .: Академія МВС СРСР, 1991.
45. Мінін А.Я.Основи управління та інформатики: Курс лекцій. - Єкатеринбург: Екатеринбургская вища школа МВС Росії, 1993.
46. Мінін А.Я.Інформатизація кримінологічних досліджень: теорія і методологія. - Єкатеринбург: Изд-во Урал. Ун-ту, 1992.
47. Наука і техніка на службі слідства // Інформаційний бюлетень слідчого управління МВС РТ. - Вип. 5. - Казань, 1996..
48. Про інформацію, інформатизації і захисту інформації. Федеральний закон від 22 лютого 1995 р // Російська газета. - 1995. - 22 лютого.
49. Організація діяльності інформаційних працівників гір-райлінорганов внутрішніх справ: Зб. матеріалів для занять в системі службової підготовки / Под ред. Ю.А. Бунічева. - М .: МІЦ МВС РФ, 1995.
50. Основи автоматизації управління в органах внутрішніх справ: Учеб. / Под ред. В. А. Мінаєва, А. П. Полежаєва. - М .: Академія МВС РФ, 1993.
51. Основи математичного моделювання в діяльності органів внутрішніх справ: Учеб. посіб. / Под ред. В. А. Мінаєва. - М .: Академія МВС РФ, 1993.
52. Першиков В. І., Савінков В. М.Тлумачний словник з інформатики. - 2-е вид. - М .: Фінанси і статистика, 1995.
53. Петровський А., Леонтьєв Б.Ефективний хакинг для початківців і не тільки. - М .: Пізнавальна книга плюс, 1999..
54. Польовий Н. С.Криміналістична кібернетика: Навчальний посібник. - 2-е вид. - М .: МГУ, 1989.
55. Правова інформатика і кібернетика: Учеб. / Под ред. Н. С. Польового. - М .: Юридична література, 1993.
56. Проблеми програмування, організації та інформаційного забезпечення попереднього слідства // Межвуз. Міжвід. зб. науч. праць. - Уфа, 1989.
57. Програма комп'ютеризації органів внутрішніх справ РФ на 1991 року і найближчу перспективу. Затверджена наказом МВС РФ № 104 від 05.07.91 р
58. Розслідування неправомірного доступу до комп'ютерної інформації / Под ред. І.Г. Шурухнова. - М .: Изд-во Щит, 1999..
59. Симонович С.В., Євсєєв Г.А.Практична інформатика: Навчальний посібник. Універсальний курс. - М .: АСТ-Пресс, 1998..
60. Симонович С.В., Євсєєв Г.А., Алексєєв А.Г.Спеціальна інформатика: Навчальний посібник. - М .: АСТ-Пресс, 1998..
61. Сойєр Б., Фостер Д.Л.Програмування експертних систем на Паскалі: Переклад з англ. - М .: Фінанси і статистика, 1990..
62. Сокових Ю.Ю.Кваліфікація злочинів та інформатика // Інформаційний бюлетень слідчого комітету МВС РФ, 1993, № 4 (46).
63. Статистичне моделювання та прогнозування: Учеб. посіб. / Под ред. А. Г. Гранберг. - М .: Фінанси і статистика, 1990..
64. Технічне завдання на створення інформаційної обчислювальної мережі органів внутрішніх справ РФ. Затверджено Міністром ВД 22.02.92 р
65. Федеральні обліки МІЦ в боротьбі зі злочинністю. На допомогу працівникам органів внутрішніх справ / Під ред. Г. Л. Лежікова. - М .: МІЦ МВС РФ, 1994.
66. Фігурне В.Е.IBM PC для користувача. - 6-е изд. - М .: Инфра-М, 1995.
67. Щербінін А.І., Ігнатов Л.Н., Пучков С.І., Котов И.А.Порівняльний аналіз програмних засобів автоматизації кримінально-процесуальної діяльності // Інформаційний бюлетень Слідчого комітету МВС РФ. - 1993. - № 3 (46). - С. 73 - 82.
68. Щербінін А.І., Ільїн С.К, Ігнатов Л.Н.Використання персональних ЕОМ у розслідуванні складних багатоепізодні справ про розкрадання в банківській сфері // Інформаційний бюлетень Слідчого комітету МВС РФ. - 1993. - № 4 (46).
69. Експертні системи. Принцип роботи і приклади. - М .: Радио и связь, 1987.
70. Яроміч С.А.Інформатика навколо нас: Словник-довідник. - Одеса: Маяк, 1991.
КОМП'ЮТЕРНІ ВІРУСИ, ЇХ КЛАСИФІКАЦІЯ. Антивірусне програмне ЗАСОБИ
Комп'ютерний вірус - це спеціальна програма, Здібна мимовільно приєднуватися до інших програм і при запуску останніх виконувати різні небажані дії: псування файлів і каталогів; спотворення результатів обчислень; засмічення або стирання пам'яті; створення перешкод у роботі комп'ютера. Наявність вірусів проявляється в різних ситуаціях.
- Деякі програми перестають працювати або починають працювати некоректно.
- На екран виводяться сторонні повідомлення, сигнали та інші ефекти.
- Робота комп'ютера істотно сповільнюється.
- Структура деяких файлів виявляється зіпсованою.
Є кілька ознак класифікації існуючих вірусів:
- по природному середовищі;
- по області поразки;
- по особливості алгоритму;
- за способом зараження;
- по деструктивних можливостях.
За середовищі існування розрізняють файлові, завантажувальні, макро-і мережеві віруси.
Файлові віруси - найбільш поширений тип вірусів. Ці віруси впроваджуються у виконувані файли, створюють файли-супутники (companion-віруси) або використовують особливості організації файлової системи (link-віруси).
Завантажувальні віруси записують себе в завантажувальний сектор диска або в сектор системного завантажувача жорсткого диска. Починають роботу при завантаженні комп'ютера і зазвичай стають резидентними.
Макровіруси заражають файли широко використовуваних пакетів обробки даних. Ці віруси являють собою програми, написані на вбудованих в ці пакети мовах програмування. Найбільшого поширення набули макровіруси для додатків Microsoft Office.
Мережеві віруси використовують для свого поширення протоколи або команди комп'ютерних мереж і електронної пошти. Основним принципом роботи мережного вірусу є можливість самостійно передати свій код на віддалений сервер або робочу станцію. Повноцінні комп'ютерні віруси при цьому володіють можливістю запустити на віддаленому комп'ютері свій код на виконання.
На практиці існують різноманітні поєднання вірусів - наприклад, файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків, або мережеві макровіруси, які заражають редаговані документи і розсилають свої копії по електронній пошті.
Як правило, кожен вірус заражає файли однієї або декількох ОС. Багато завантажувальні віруси такожорієнтовані на конкретні формати розташування системних даних в завантажувальних секторах дисків. За особливостями алгоритму виділяють резидентні; віруси, стелс-віруси, поліморфні і ін. Резидентні віруси здатні залишати свої копії в ОП, перехоплювати обробку подій (наприклад, звернення до файлів або дисків) і викликати при цьому процедури зараження об'єктів (файлів або секторів). Ці віруси активні в пам'яті не тільки в момент роботи інфікованої програми, але і після. Резидентні копії таких вірусів життєздатні до перезавантаження ОС, навіть якщо на диску знищені всі заражені файли. Якщо резидентний вірус є також завантажувальним і активізується при завантаженні ОС, то навіть форматування диска при наявності в пам'яті цього вірусу його не видаляти.
До різновиду резидентних вірусів слід віднести також макровіруси, оскільки вони постійно присутні в пам'яті комп'ютера під час роботи зараженого редактора.
Стелс-алгоритми дозволяють вірусам чи цілком частково приховати свою присутність. Найбільш поширеним стелс-алгоритмом є перехоплення запитів ОС на читання / запис заражених об'єктів. Стелс-віруси при цьому або тимчасово лікують ці об'єкти, або підставляють замість себе незаражені ділянки інформації. Частково до стелс-вірусів відносять невелику групу макровірусів, що зберігають свій основний код не в макросах, а в інших областях документа - у його змінних або в Auto-text.
Полиморфность (самошифрування) використовується для ускладнення процедури виявлення вірусу. Поліморфні віруси - це важко виявляються віруси, які не мають постійного ділянки коду. У загальному випадку два зразки того ж вірусу не мають збігів. Це досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача.
При створенні вірусів часто використовуються нестандартні прийоми. Їх застосування має максимально утруднити виявлення і видалення вірусу.
За способом зараження розрізняють троянські програми, утиліти прихованого адміністрування, Intended-віруси і т. Д.
Троянські програми отримали свою назву за аналогією з троянським конем. Призначення цих програм - імітація будь-яких корисних програм, нових версій популярних утиліт або доповнень до них. При їх запису користувачем на свій комп'ютер троянські програми активізуються і виконують небажані дії.
Різновидом троянських програм є утиліти прихованого адміністрування. За своєю функціональністю і інтерфейсом вони багато в чому нагадують системи адміністрування комп'ютерів в мережі, що розробляються та розповсюджуються різними фірмами - виробниками програмних продуктів. При інсталяції ці утиліти самостійно встановлюють на комп'ютері систему прихованого віддаленого управління. В результаті виникає можливість прихованого управління цим комп'ютером. Реалізуючи закладені алгоритми, утиліти без відома користувача приймають, запускають або відсилають файли, знищують інформацію, Ерезагружают комп'ютер і т. Д. Можливе використання цих утиліт для виявлення і передачі паролів і іншої конфіденційної інформації, запуску вірусів, Уніщовіння даних.
До Intended-вірусів відносяться програми, які не здатні розмножуватися через існуючі в них помилок. До цього класу також можна віднести віруси, які розмножуються тільки один раз. Заразивши будь-якої файл, вони втрачають здатність до подальшого розмноження через нього.
За деструктивним можливостям віруси поділяються на:
- безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску, уповільненням роботи комп'ютера, графічним і звуковими ефектами;
- небезпечні, які потенційно можуть привести до порушень в структурі файлів і збоїв в роботі комп'ютера;
- дуже небезпечні, в алгоритм яких спеціально закладені процедури знищення даних і можливість забезпечувати швидкий знос рухомих частин механізмів шляхом введення в резонанс і руйнування головок читання / запису деяких НЖМД.
Для боротьби з вірусами існують програми, які можна розбити на основні групи: монітори, детектори, доктора, ревізори і вакцини.
Програми-монітори (Програми-фільтри) розташовуються резидентно в ОП комп'ютера, перехоплюютьі повідомляють користувачеві про звернення ОС, які використовуються вірусами для розмноження і нанесення шкоди. Користувач має можливість дозволити або заборонити виконання цих звернень. До переваг таких програм відноситься можливість виявлення невідомих вірусів. Використання програм-фільтрів дозволяє виявляти віруси на ранній стадії зараження комп'ютера. Недоліками програм є неможливість відстеження вірусів, які звертаються безпосередньо до BIOS, а також завантажувальних вірусів, що активізуються до запуску антивіруса при завантаженні DOS, і часта видача запитів на виконання операцій.
Програми-детектори перевіряють, чи є в файлах і на дисках специфічна для даного вірусу комбінація байтів. При її виявленні виводиться відповідне повідомлення. Недолік - можливість захисту тільки від відомих вірусів.
Програми-доктора відновлюють заражені програми шляхом видалення з них тіла вірусу. Зазвичай ці програми розраховані на конкретні типи вірусів і засновані на порівнянні послідовності кодів, що містяться в тілі вірусу, з кодами перевірених програм. Програми-доктора необхідно періодично оновлювати з метою отримання нових версій, що виявляють нові види вірусів.
Програми-ревізори аналізують зміни стану файлів і системних областей диска. Перевіряють стан завантажувального сектора і таблиці FAT; довжину, атрибути і час створення файлів; контрольну суму кодів. Користувачеві повідомляється про виявлення невідповідностей.
Програми-вакцини модифікують програми і ризики так, що це не відбивається на роботі програм, але вірус, від якого виробляється вакцинація, вважає програми або диски вже зараженими. Існуючі антивірусні програми в основному відносяться до класу гібридних (детектори-доктора, доктора-ревізори та ін.).
У Росії найбільшого поширення набули антивірусні програми Лабораторії Касперського (Anti-IViral Toolkit Pro) і ДиалогНаука (Adinf, Dr.Web). Антивірусний пакет AntiViral Toolkit Pro (AVP) включає AVP Сканер, резидентний сторож AVP Монітор, програму адміністрування встановлених компонентів. Центр управління і ряд інших. AVP Сканер крім традиційної перевірки виконуваних файлів і файлів документів обробляє бази даних електронної пошти. Використання сканера дозволяє виявити віруси в упакованих та архівуються файлах (не захищених паролями). Виявляє до видаляє макровіруси, поліморфні, стелі, троянські, а також раніше невідомі віруси. Це досягається, наприклад, за рахунок використання евристичних аналізаторів. Такі аналізатори моделюють роботу процесора і виконують аналіз дій діагностується файлу. Залежно від цих дій і приймається рішення про наявність вірусу.
Монітор контролює типові шляхи проникнення вірусу, наприклад операції звернення до файлів і секторів.
AVP Центр управління - сервісна оболонка, призначена для установки часу запуску сканера, автоматичного оновлення компонентів пакету і ін.
При зараженні або при підозрі на зараження комп'ютера вірусом необхідно:
- оцінити ситуацію і не робити дій, що призводять к.потере інформації;
- перезавантажити ОС комп'ютера. При цьому використовувати спеціальну, заздалегідь створену і захищену від запису системну дискету. В результаті буде попереджено активізація завантажувальних і резидентних вірусів з жорсткого диска комп'ютера;
- запустити наявні антивірусні програми, поки не будуть виявлені і вилучені всі віруси. У разі неможливості видалити вірус і при наявності в файлі цінної інформації зробити архівування файлу і почекати виходу нової версії антивіруса. Після закінчення перезавантажити комп'ютер.
Лекція 14 Комп'ютерні віруси
Класифікація комп'ютерних злочинів.
Комп'ютерні віруси, їх властивості та класифікація
Властивості комп'ютерних вірусів
Перш за все, вірус - це програма. Таке просте твердження саме по собі здатне розвіяти безліч легенд про незвичайні можливості комп'ютерних вірусів. Вірус може перевернути зображення на вашому моніторі, але не може перевернути сам монітор. До легенд про віруси-убивць, «знищують операторів за допомогою виводу на екран смертельної колірної гами 25-м кадром» також не варто ставитися серйозно.
Вірус - програма, здатна до самовідтворення. Така здатність є єдиним засобом, властивим всім типам вірусів. Але не тільки віруси здатні до самовідтворення. Будь-яка операційна система і ще безліч програм здатні створювати власні копії. Копії ж вірусу не тільки не зобов'язані повністю збігатися з оригіналом, але й можуть взагалі з ним не збігатися!
Вірус не може існувати в «повній ізоляції»: сьогодні не можна уявити собі вірус, який не використовує код інших програм, інформацію про файлову структуру або навіть просто імена інших програм. Причина зрозуміла: вірус повинен яким-небудь способом забезпечити передачу собі управління.
Класифікація вірусів
середовищі існування
способу зараження довкілля
впливу
особливостям алгоритму
Залежно від середовища існування віруси можна розділити на мережеві, файлові, завантажувальні і файлово-завантажувальні.
Мережеві вірусипоширюються по різним комп'ютерних мереж.
файлові вірусивпроваджуються головним чином у виконувані модулі, т. е. У файли, мають расшіреніяCOMіEXE. Файлові віруси можуть впроваджуватися і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не отримують управління і, отже, втрачають здатність до розмноження.
завантажувальні вірусивпроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (MasterBootRe-cord).
Файлово-завантажувальнівіруси заражають як файли, так і завантажувальні сектори дисків.
За способом зараження віруси діляться на резидентні і нерезидентні.
резидентний віруспри зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження (файлів, завантажувальних секторів дисків і т. п.) і впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимикання або перезавантаження комп'ютера.
нерезидентні вірусине заражають пам'ять комп'ютера і є активними обмежений час.
За ступенем впливу віруси можна розділити на наступні види:
безпечні, Що не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах
небезпечнівіруси, які можуть привести до різних порушень в роботі комп'ютера
дуже небезпечні, Вплив яких може привести до втрати програм, знищення даних, стирання інформації в системних областях диска.
За особливостями алгоритму віруси важко класифікувати через великі розмаїття.
віруси-станції, звані хробаками, Які поширюються по комп'ютерних мережах, обчислюють адреси мережевих комп'ютерів і записують за цими адресами свої копії.
відомі віруси-невидимки, звані стелс-вірусами, Які дуже важко виявити і знешкодити, так як вони перехоплюють звертання операційної системи до уражених файлів і секторів дисків і підставляють замість свого тіла незаражені ділянки диска.
Найбільш важко виявити віруси-мутанти, Що містять алгоритми шифрування-розшифровки, завдяки яким копії одного і того ж вірусу не мають ні одного повторюється ланцюжка байтів. Є і так звані квазівірусніабо «Троянські»програми, які хоча і не здатні до самораспространению, але дуже небезпечні, оскільки, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків.
завантажувальні віруси
Розглянемо схему функціонування дуже простого завантажувального вірусу, що заражає дискети. (Boot-sector).
Нехай у вас є чиста дискета і заражений комп'ютер, під яким ми розуміємо комп'ютер з активним резидентним вірусом. Як тільки цей вірус виявить, що в дисководі з'явилася відповідна жертва - в нашому випадку не захищена від запису і ще не заражена дискета, він приступає до зараження. Заражаючи дискету, вірус виробляє такі дії:
виділяє деяку область диска і позначає її як недоступну операційній системі, це можна зробити по-різному, в найпростішому і традиційному разі зайняті вірусом сектори позначаються як збійні (bad)
копіює у виділену область диска свій хвіст і оригінальний (здоровий) завантажувальний сектор
заміщає програму початкового завантаження в завантажувальному секторі (тепер) своєю головою
організовує ланцюжок передачі управління згідно зі схемою.
Таким чином, голова вірусу тепер першої отримує управління, вірус встановлюється в пам'ять і передає управління оригінальному завантажувальному сектору.
файлові віруси
Розглянемо тепер схему роботи простого файлового вірусу.
На відміну від завантажувальних вірусів, які практично завжди резидентні, файлові віруси не обов'язково резидентні. Розглянемо схему функціонування нерезидентного файлового вірусу. Нехай у нас є інфікований виконуваний файл. При запуску такого файлу вірус отримує управління, виробляє деякі дії і передає управління «хазяїна»
Які ж дії виконує вірус? Він шукає новий об'єкт для зараження - підходящий на кшталт файл, який ще не заражена. Заражаючи файл, вірус впроваджується в його код, щоб отримати управління при запуску цього файлу. Крім своєї основної функції - розмноження, вірус цілком може зробити що-небудь хитромудре (сказати, запитати, зіграти) - це вже залежить від фантазії автора вірусу. Якщо файловий вірус резидентний, то він встановиться в пам'ять і отримає можливість заражати файли і проявляти інші здібності не тільки під час роботи зараженого файла. Заражаючи виконуваний файл, вірус завжди змінює його код - отже, зараження виконуваного файлу завжди можна виявити.
Але, змінюючи код файла, вірус не обов'язково вносить інші зміни:
він не зобов'язаний змінювати довжину файлу
невикористовувані ділянки коду
не зобов'язаний змінювати початок файлу
Таким чином, при запуску будь-якого файлу вірус отримує управління (операційна система запускає його сама), резидентно встановлюється в пам'ять і передає управління викликаного файлу.
Завантажувально-файлові віруси
Основна руйнівна дія - шифрування секторів вінчестера. При кожному запуску вірус шифрує чергову порцію секторів, а, зашифрувавши половину жорсткого диска, радісно повідомляє про це. Основна проблема при лікуванні даного вірусу полягає в тому, що недостатньо просто видалити вірус з файлів, треба розшифрувати зашифровану ним інформацію.
поліморфні віруси
Цей вид комп'ютерних вірусів представляється на сьогоднішній день найбільш небезпечним. Пояснимо ж, що це таке.
Поліморфні віруси - віруси, що модифікують свій код в заражених програмах таким чином, що два примірники одного і того ж вірусу можуть не збігатися ні в одному бите.
Такі віруси не тільки шифрують свій код, використовуючи різні шляхи шифрування, але і містять код генерації шифрувальника і розшифровує, що відрізняє їх від звичайних шифрувальних вірусів, що можуть шифрувати ділянки свого коду, але мають при цьому постійний код шифрувальника і розшифровує.
Поліморфні віруси - це віруси з самомодіфіцірующіміся розшифровщик. Мета такого шифрування: маючи заражений і оригінальний файли, ви все одно не зможете проаналізувати його код за допомогою звичайного дизассемблирования. Цей код зашифрований і є безглуздим набором команд. Розшифровка виробляється самим вірусом вже безпосередньо під час виконання. При цьому можливі варіанти: він може розшифрувати себе всього відразу, а може виконати таку розшифровку «по ходу справи», може знову шифрувати вже відпрацьовані ділянки. Все це робиться заради труднощі аналізу коду вірусу.
Стелс-віруси
Стелс-віруси обманюють антивірусні програми і в результаті залишаються непоміченими. Проте, існує простий спосіб відключити механізм маскування стелс-вірусів. Досить завантажити комп'ютер з не зараженої системної дискети і відразу, не запускаючи інших програм з диска комп'ютера (які також можуть виявитися зараженими), перевірити комп'ютер антивірусною програмою.