A) Boot-Viren;
B) Netzwerkviren;
C) Makroviren
D) File-Boot-Viren.
24. Schöpfung computer Virus ist ein:
A) die Folge von Betriebssystemfehlern;
B) Unterhaltung für Programmierer;
IM) nebenwirkung bei der Entwicklung von Software;
D) ein Verbrechen;
E) ein notwendiger Bestandteil der Ausbildung von Programmierern.
25. Der illegale Zugriff auf Computer und Informationen bezieht sich auf:
A) zur Programmierung;
B) zu geistiger Aktivität;
C) zur Computerpiraterie
D) um einen Computervirus zu erstellen.
26. Die Hauptbedingung für den Schutz vor Computerviren ist:
A) Installation des Windows-Betriebssystems auf dem Computer;
B) Mangel an Internet;
C) Fehlen eines Scanners;
D) Installieren eines Antivirenprogramms auf dem Computer
27. Das Antivirenprogramm lautet:
A) Internet Explorer;
B) Microsoft Publisher;
D) Kaspersky AntiVirus.
28. Antivirus ist ein spezielles Programm:
A) neue Programme zu erstellen;
B) Bearbeiten des Codes von Computerviren;
C) Computerviren zu erkennen, zu zerstören und vor ihnen zu schützen;
D) zur Erstellung und Verbreitung von Computerviren.
29. Der Satz von Computern, die über Datenübertragungskanäle miteinander verbunden sind und dem Benutzer Mittel zum Informationsaustausch und zur kollektiven Nutzung von Netzwerkressourcen bieten, wird wie folgt bezeichnet:
A) regionales Computernetz;
B) ein Computernetzwerk;
C) Unternehmenscomputernetzwerk;
D) ein globales Computernetzwerk.
30. Das Hauptmerkmal von Informationsübertragungskanälen ist:
A) das Material, aus dem das Kabel besteht;
B) die Entfernung zwischen Computern;
B) Bandbreite
D) den Raum, in dem sich die PCs befinden.
31. Ein mit dem Netzwerk verbundener Personal Computer, auf dem der Benutzer seine Arbeit ausführt, heißt:
A) eine Arbeitsstation;
B) eine automatisierte Workstation (AWP);
C) Netzwerkserver;
D) Schaltknoten.
32. Ein mit einem Netzwerk verbundener Personal Computer, der Netzwerkbenutzern bestimmte Informationsdienste bereitstellt, heißt:
A) eine Arbeitsstation;
B) einen Netzwerkserver;
B) Vermittlungsknoten;
D) eine automatisierte Workstation (AWP).
33. Ein Netzwerk, das in derselben Stadt, demselben Bezirk oder derselben Region existiert und Teil des lokalen und globalen Computernetzwerks ist, heißt:
A) das globale Netzwerk;
C) ein lokales Netzwerk.
34. Ein Netzwerk, das ein kleines Gebiet mit einer Entfernung zwischen einzelnen Computern von bis zu 2 Kilometern abdeckt, heißt:
A) das globale Netzwerk;
B) regionales oder Unternehmensnetzwerk;
C) ein lokales Netzwerk.
35. Die Topologie eines Netzwerks, das einen zentralen Computer verwendet, mit dem alle anderen Computer im Netzwerk verbunden sind, heißt:
A) ringförmig oder "Ring";
B) Stern oder "Stern";
B) linearer Bus.
36. Die Netzwerktopologie, in der die letzte Arbeitsstation über Kommunikationskanäle mit der ersten Arbeitsstation verbunden ist, heißt:
A) ringförmig oder "Ring";
B) Stern oder "Stern";
B) linearer Bus.
37. Ein Kommunikationskanal mit hoher Bandbreite heißt:
A) Glasfaserkabel;
B) verdrilltes Paar;
B) Koaxialkabel.
38. Der Kommunikationskanal, dessen Nachteil die Komplexität des Schutzes von Daten vor illegalem Zugriff ist, ist:
A) Glasfaserkabel;
B) Infrarotstrahlen;
B) Mikrowellenbereich.
39. Der Kommunikationskanal, in dem das Funksignal verwendet wird, heißt:
A) Glasfaserkabel;
B) Infrarotstrahlen;
C) Funkkanal.
40. Die Maßeinheit für den Durchsatz des Kommunikationskanals ist:
A) Bit / Sek.;
B) Kbps;
D) Mbit / s.
Anhang A
VERKEHRSMINISTERIUM DER RUSSISCHEN FÖDERATION
BUNDESBAHNAGENTUR
ZWEIG DES BUNDESSTAATLICHEN HAUSHALTS
BILDUNGSEINRICHTUNG FÜR HOCHSCHULBILDUNG
SAMARA STATE
UNIVERSITÄT FÜR EISENBAHNVERKEHR
In der Stadt Saratow
Computer Virus
Computer Virus ist ein kleines Programm, das von einem hochqualifizierten Programmierer geschrieben wurde, der sich selbst verbreiten und verschiedene zerstörerische Aktionen ausführen kann. Bis heute sind über 50.000 Computerviren bekannt.
Es gibt viele verschiedene Versionen bezüglich des Geburtsdatums des ersten Computervirus. Die meisten Experten sind sich jedoch einig, dass Computerviren als solche erstmals 1986 auftraten, obwohl das Auftreten von Viren historisch eng mit der Idee verbunden ist, sich selbst replizierende Programme zu erstellen. Einer der "Pioniere" unter den Computerviren ist der "Brain" -Virus, der von einem pakistanischen Programmierer namens Alvi entwickelt wurde. Allein in den USA hat dieser Virus über 18.000 Computer infiziert.
Viren wirken nur programmatisch. Sie werden normalerweise an die Datei angehängt oder dringen in den Hauptteil der Datei ein. In diesem Fall soll die Datei mit einem Virus infiziert sein. Der Virus gelangt nur zusammen mit der infizierten Datei in den Computer. Um den Virus zu aktivieren, müssen Sie die infizierte Datei herunterladen. Erst danach beginnt der Virus von selbst zu wirken.
Einige Viren werden während der Ausführung einer infizierten Datei resident (befinden sich im RAM des Computers) und können andere heruntergeladene Dateien und Programme infizieren.
Eine andere Art von Virus kann unmittelbar nach der Aktivierung schwerwiegende Schäden verursachen, z. B. das Formatieren einer Festplatte. Die Wirkung von Viren kann sich auf unterschiedliche Weise manifestieren: von verschiedenen visuellen Effekten, die die Arbeit beeinträchtigen, bis hin zum vollständigen Informationsverlust.
Die Hauptquellen für Viren:
eine Diskette mit virusinfizierten Dateien;
computernetz, einschließlich E-Mail und Internet;
eine Festplatte, die durch die Arbeit mit infizierten Programmen einen Virus bekommen hat;
ein Virus, der nach dem vorherigen Benutzer im RAM verbleibt.
Die wichtigsten frühen Anzeichen einer Computervirusinfektion:
reduzieren der Menge an freiem RAM;
verlangsamung des Ladens und des Betriebs des Computers;
unverständliche (ohne Grund) Änderungen an Dateien sowie Änderungen an Größe und Datum der letzten Änderung von Dateien;
fehler beim Laden des Betriebssystems;
unfähigkeit, Dateien in den erforderlichen Verzeichnissen zu speichern;
unverständliche Systemmeldungen, musikalische und visuelle Effekte usw.
Anzeichen der aktiven Phase des Virus:
verschwinden von Dateien;
formatieren der Festplatte;
unfähigkeit, Dateien oder Betriebssystem zu laden.
Es gibt viele verschiedene Viren. Sie können bedingt wie folgt klassifiziert werden:
1) boot-Viren oder BOOT-Viren infizieren Bootsektoren von Festplatten. Sehr gefährlich, kann zum vollständigen Verlust aller auf der Festplatte gespeicherten Informationen führen.
2) datei-Viren Dateien infizieren. Sind geteilt in:
viren, die Programme infizieren (Dateien mit den Erweiterungen .EXE und .COM);
makroviren Viren, die Datendateien wie Word-Dokumente oder Excel-Arbeitsmappen infizieren;
satellitenviren verwenden die Namen anderer Dateien.
dIR-Viren verzerren Systeminformationen über Dateistrukturen.
3) boot-File-Viren fähig, sowohl Bootsektorcode als auch Dateicode zu infizieren;
4) unsichtbare Viren oder STEALTH-Viren verfälschen von der Festplatte gelesene Informationen, sodass das Programm, das diese Informationen beabsichtigt hat, falsche Daten empfängt. Diese Technologie, die manchmal als Stealth-Technologie bezeichnet wird, kann sowohl in BOOT-Viren als auch in Dateiviren verwendet werden.
5) retroviren infizieren antiviren Softwaredurch den Versuch, sie zu zerstören oder zu deaktivieren;
6) wurmviren Versehen Sie kleine E-Mail-Nachrichten mit einem sogenannten Header, der im Wesentlichen die Webadresse des Standorts des Virus selbst ist. Beim Versuch, eine solche Nachricht zu lesen, beginnt der Virus, seinen "Körper" über das globale Internet zu lesen, und startet nach dem Herunterladen eine destruktive Aktion. Sie sind sehr gefährlich, da es sehr schwierig ist, sie zu erkennen, da die infizierte Datei den Virencode nicht enthält.
Wenn Sie keine Maßnahmen zum Schutz vor Computerviren ergreifen, können die Folgen einer Infektion sehr schwerwiegend sein. In einer Reihe von Ländern sieht das Strafrecht die Haftung für Computerkriminalität vor, einschließlich der Einführung von Viren. Allgemeine und Softwaretools werden verwendet, um Informationen vor Viren zu schützen.
Zu den gebräuchlichen Mitteln zur Verhinderung einer Infektion mit dem Virus und seinen verheerenden Auswirkungen gehören:
informationssicherung (Erstellen von Kopien von Dateien und Systembereichen von Festplatten);
weigerung, zufällige und unbekannte Programme zu verwenden. Am häufigsten verbreiten sich Viren zusammen mit Computerprogrammen.
einschränkung des Zugriffs auf Informationen, insbesondere des physischen Schutzes einer Diskette beim Kopieren von Dateien.
Verschiedene Antivirenprogramme (Antivirenprogramme) werden als Schutzsoftware bezeichnet.
Antivirus ist ein Programm, das Computerviren erkennt und neutralisiert. Es ist zu beachten, dass Viren in ihrer Entwicklung den Antivirenprogrammen voraus sind. Daher gibt es auch bei regelmäßiger Verwendung von Antivirenprogrammen keine 100% ige Sicherheitsgarantie. Antivirenprogramme können nur bekannte Viren erkennen und zerstören. Wenn ein neuer Computervirus auftritt, besteht kein Schutz gegen ihn, bis ein eigenes Antivirenprogramm entwickelt wurde. Viele moderne Antiviren-Pakete enthalten jedoch ein spezielles Softwaremodul namens heuristischer Analysator, der in der Lage ist, den Inhalt von Dateien auf das Vorhandensein von Code zu untersuchen, der für Computerviren charakteristisch ist. Dies ermöglicht es, die Gefahr einer Infektion mit einem neuen Virus rechtzeitig zu erkennen und zu warnen.
Folgende Arten von Antivirenprogrammen werden unterschieden:
1) Detektorprogramme: Entwickelt, um infizierte Dateien von einem der bekannten Viren zu finden. Einige Detektorprogramme können auch Dateien auf Viren heilen oder infizierte Dateien zerstören. Es gibt spezialisierte, dh Detektoren, die für den Umgang mit einem Virus und entwickelt wurden polyphagendas kann viele Viren bekämpfen;
2) heilerprogramme: Entwickelt, um infizierte Laufwerke und Programme zu heilen. Die Behandlung des Programms besteht darin, den Viruskörper aus dem infizierten Programm zu entfernen. Sie können auch sowohl Polyphagen als auch spezialisiert sein;
3) auditor-Programme: Entwickelt, um Virusinfektionen von Dateien zu erkennen und beschädigte Dateien zu finden. Diese Programme speichern Daten über den Status des Programms und die Systembereiche von Festplatten im Normalzustand (vor der Infektion) und vergleichen diese Daten, während der Computer ausgeführt wird. Wenn die Daten nicht übereinstimmen, wird eine Meldung über die Möglichkeit einer Infektion angezeigt.
4) heiler-Auditoren: Entwickelt, um Änderungen in Dateien und Systembereichen von Festplatten zu erkennen und im Falle von Änderungen in den ursprünglichen Zustand zurückzusetzen.
5) filterprogramme: Entwickelt, um Anrufe an das Betriebssystem abzufangen, die von Viren zur Weitergabe verwendet werden, und um den Benutzer darüber zu informieren. Der Benutzer kann den entsprechenden Vorgang aktivieren oder deaktivieren. Solche Programme sind resident, dh sie befinden sich im RAM des Computers.
6) impfprogramme: werden zum Verarbeiten von Dateien und Bootsektoren verwendet, um eine Infektion durch bekannte Viren zu verhindern (diese Methode wurde in letzter Zeit immer häufiger verwendet).
Es sollte beachtet werden, dass die Auswahl eines "besten" Antivirus eine äußerst falsche Entscheidung ist. Es wird empfohlen, mehrere verschiedene Antivirenpakete gleichzeitig zu verwenden. Bei der Auswahl eines Antivirenprogramms sollten Sie auf einen Parameter wie die Anzahl der erkennenden Signaturen achten (eine Folge von Zeichen, die garantiert einen Virus erkennen). Der zweite Parameter ist das Vorhandensein eines heuristischen Analysators für unbekannte Viren. Sein Vorhandensein ist sehr nützlich, verlangsamt jedoch die Betriebszeit des Programms erheblich.
Kontrollfragen
Was ist ein Computervirus?
Wie infiziert ein Virus einen Computer?
Wie funktionieren Computerviren?
Welche Quellen für Computervirusinfektionen kennen Sie?
Was sind die Anzeichen dafür, dass eine Computervirusinfektion erkannt werden kann?
Welche Arten von Viren kennen Sie? Welche destruktiven Aktionen führen sie aus?
Welche Maßnahmen werden ergriffen, um eine Infektion mit einem Computervirus zu verhindern?
Was ist Antivirus? Welche Arten von Antivirenprogrammen kennen Sie?
Was ist ein heuristischer Analysator? Welche Funktionen führt es aus?
Allgemeine Information.PC-Benutzer sind am häufigsten mit einer der Arten von Computerkriminalität konfrontiert - Computerviren. Letztere sind eine spezielle Art von Malware, die Benutzern und PC-Wartungspersonal viele Probleme bereitet 1.
Computer Viruswird als Programm zur Selbstreproduktion und Reproduktion bezeichnet, das in anderen Programmen implementiert ist.
Die Analogie zwischen den Konzepten von Computer- und biologischen Viren ist offensichtlich. Allerdings ist nicht jedes Programm, das sich selbst replizieren kann, ein Computervirus. Viren richten immer Chaos an -verhindern Sie den normalen Betrieb des PCs, zerstören Sie die Dateistruktur usw., daher werden sie als sogenannte Schadprogramme eingestuft.
Historisch gesehen ist das Auftreten von Computerviren mit der Idee verbunden, selbstreplizierende Mechanismen zu schaffen, insbesondere Programme, die in den 50er Jahren entstanden sind. J. von Neumann schlug bereits 1951 eine Methode zur Schaffung solcher Mechanismen vor, und seine Überlegungen wurden in den Arbeiten anderer Forscher weiterentwickelt. Die ersten, die auftauchten, waren Spielprogramme, die Elemente der zukünftigen Virentechnologie verwendeten, und dann begannen einige Leute auf der Grundlage der gesammelten wissenschaftlichen und praktischen Ergebnisse, sich selbst replizierende Programme zu entwickeln, um Computerbenutzern Schaden zuzufügen.
Virenentwickler haben ihre Bemühungen aufgrund ihrer Massivität und des fast vollständigen Mangels an wirksamen Schutzwerkzeugen sowohl auf Hardware- als auch auf Betriebssystemebene auf den PC-Bereich konzentriert. Einige der Motive, die Virenautoren antreiben, sind:
Der Wunsch, jemanden zu "nerven";
1 Bezrukov
Ein unnatürliches Bedürfnis, Verbrechen zu begehen;
Wunsch, sich zu behaupten, Unheil und gleichzeitig Missverständnis aller Folgen der Ausbreitung des Virus;
Die Unfähigkeit, Ihr Wissen konstruktiv zu nutzen (dies ist eher ein wirtschaftliches Problem);
Vertrauen in völlige Straflosigkeit (in einer Reihe von Ländern gibt es keine Normen für die rechtliche Verantwortung für die Entstehung und Verbreitung von Viren).
Die Hauptkanäle für das Eindringen von Viren in einen Personal Computer sind Wechseldatenträger und Netzwerkkommunikation, insbesondere das Internet.
Die ersten Fälle einer Masseninfektion von PC mit Viren wurden 1987 festgestellt, als das sogenannte pakistanische Virus auftrat, das von den Brüdern Amjat und Bazit Alvi verursacht wurde. So beschlossen sie, die Amerikaner zu bestrafen, die in Pakistan billige illegale Kopien von Software gekauft hatten, die die Brüder mit dem entwickelten Virus zu infizieren begannen. Der Virus infizierte mehr als 18.000 Computer in den USA und reiste um die Welt in die UdSSR. Das nächste weithin bekannte Virus war das Lehigh-Virus (Lehigh-Virus), das sich an der gleichnamigen Universität in den USA verbreitete. Innerhalb weniger Wochen zerstörte er den Inhalt von mehreren hundert Disketten aus der Bibliothek des Rechenzentrums der Universität und die persönlichen Disketten der Studenten. Bis Februar 1989 waren in den Vereinigten Staaten etwa 4.000 PCs mit diesem Virus infiziert.
In der Folge nahmen die Anzahl der Viren und die Anzahl der von ihnen infizierten Computer wie eine Lawine zu, was die Annahme dringender technischer, organisatorischer und rechtlicher Maßnahmen erforderte. Es sind verschiedene Antiviren-Tools erschienen, wodurch die Situation dem Wettrüsten und den Mitteln zum Schutz vor ihnen ähnelt. Ein gewisser Effekt wurde durch die Verabschiedung von Gesetzgebungsakten zu Computerkriminalität durch eine Reihe von Industrieländern erzielt, darunter Artikel über die Entstehung und Verbreitung von Computerviren.
Derzeit gibt es mehr als 20.000 Viren auf der Welt, einschließlich Stämme, d.h. Arten von Viren des gleichen Typs. Viren erkennen keine Grenzen, daher laufen die meisten von ihnen durch Russland. Darüber hinaus besteht eine Tendenz zu einer Zunahme der Anzahl von Viren, die von inländischen Programmierern entwickelt wurden. Wenn sich die Situation nicht ändert, kann Russland in Zukunft die Rolle eines führenden Unternehmens auf dem Gebiet der Virenbildung übernehmen.
Klassifizierung von Viren.Der Lebenszyklus von Computerviren umfasst normalerweise nächste Phasen:
Die Latenzzeit, in der das Virus keine Maßnahmen ergreift.
Die Inkubationszeit, innerhalb derer sich das Virus nur vermehrt;
Ein aktiver Zeitraum, in dem zusammen mit der Reproduktion nicht autorisierte Aktionen ausgeführt werden, die dem Virusalgorithmus inhärent sind.
Die ersten beiden Phasen dienen dazu, die Quelle des Virus, den Kanal seiner Penetration, zu verbergen und so viele Dateien wie möglich zu infizieren, bevor der Virus erkannt wird. Die Dauer dieser Phasen kann durch das im Algorithmus bereitgestellte Zeitintervall, das Auftreten eines Ereignisses im System, das Vorhandensein einer bestimmten Konfiguration von PC-Hardware (insbesondere das Vorhandensein eines Festplattenlaufwerks) usw. bestimmt werden.
Computerviren werden nach folgenden Merkmalen klassifiziert:
Lebensraum;
Übrigens ist die Umwelt kontaminiert;
Durch Aktivierung;
Die Art der Manifestation (destruktive Handlungen oder verursachte Wirkungen);
Zur Verkleidung.
Viren können nur in Programme eingeschleust werden, die wiederum entweder in Dateien oder in einigen Komponenten des Systembereichs der Festplatte enthalten sein können, die am Startvorgang des Betriebssystems beteiligt sind. Gemäß lebensraumunterscheide zwischen:
dateiviren, die ausführbare Dateien infizieren;
bootenviren, die Systembereichskomponenten infizieren, die beim Laden des Betriebssystems verwendet werden;
datei-Bootviren, die die Funktionen der ersten beiden Gruppen integrieren.
Dateiviren können infizieren:
Positionsunabhängige verschiebbare Maschinenprogramme in COM-Dateien;
Positionsabhängige verschiebbare Maschinenprogramme in EXE-Dateien;
Gerätetreiber (SYS- und BIN-Dateien);
Dateien mit DOS-Komponenten;
Objektmodule (OBJ-Dateien);
Dateien mit Programmen in Programmiersprachen (basierend auf der Zusammenstellung dieser Programme);
Befehlsdateien (BAT-Dateien);
Objekt- und Symbolbibliotheken (LIB und andere Dateien);
Überlagerungsdateien (OVL-, PIF- und andere Dateien). Die häufigsten Dateiviren können in COM injiziert werden
und / oder EXE-Dateien.
Boot-Viren können infizieren:
Bootsektor auf Disketten;
Der Bootsektor der logischen Systemfestplatte, der auf der Festplatte erstellt wurde.
Off-System-Bootloader auf der Festplatte. Boot-Viren verbreiten sich auf Disketten, auf die man zählen kann
dass von ihnen ein Versuch unternommen wird, zu booten, was nicht so oft vorkommt. Dateiviren haben eine höhere Infektiosität.
File-Boot-Viren sind noch ansteckender, da sie sich sowohl in Programmdateien als auch auf Datendisketten verbreiten können.
Infektionsmethodenlebensräume hängen von der Art der letzteren ab. Eine virusinfizierte Umgebung wird als Virusträger bezeichnet. Bei der Implantation kann der Körper eines Dateivirus lokalisiert werden:
Am Ende der Datei;
Am Anfang der Datei;
In der Mitte der Datei;
Im hinteren (freien) Teil des letzten von der Datei belegten Clusters.
Am einfachsten zu implementieren ist die Einführung eines Virus am Ende einer COM-Datei. Sobald der Virus die Kontrolle erlangt hat, wählt er eine Opferdatei aus und ändert sie wie folgt:
1. Fügen Sie der Datei eine eigene Kopie (Virenkörper) hinzu.
2. Behält den ursprünglichen Anfang der Datei in dieser Kopie bei.
3. Ersetzt den ursprünglichen Anfang der Datei durch einen Befehl zum Übertragen der Kontrolle auf den Virenkörper.
Wenn ein mit der beschriebenen Methode infiziertes Programm gestartet wird, wird zunächst die Ausführung des Viruskörpers eingeleitet, wodurch:
Der ursprüngliche Programmanfang wird wiederhergestellt (aber nicht in einer Datei, sondern im Speicher!);
Vielleicht wird ein anderes Opfer gesucht und infiziert;
Möglicherweise werden vom Benutzer nicht autorisierte Aktionen ausgeführt.
Die Kontrolle wird an den Anfang des Virenträgers übertragen, wodurch sie auf die übliche Weise ausgeführt wird.
Die Virusimplantation am Anfang der COM-Datei erfolgt anders: Es wird eine neue Datei erstellt, die eine Vereinigung des Viruskörpers und des Inhalts der Originaldatei darstellt. Die beiden beschriebenen Möglichkeiten zur Einführung eines Virus führen zu einer Verlängerung der Originaldatei.
Die Virusimplantation in die Mitte einer Datei ist am komplexesten und spezialisiertesten. Die Schwierigkeit liegt in der Tatsache, dass der Virus in diesem Fall die Struktur der Opferdatei (z. B. command.com) "kennen" muss, um insbesondere in den Stapelbereich eindringen zu können. Die beschriebene Implantationsmethode erhöht die Feilenlänge nicht.
Die Manifestation (zerstörerische Handlungen) von Viren kann sein:
Auswirkungen auf die PC-Leistung;
Verzerrung von Programmdateien;
Verzerrung von Datendateien;
Formatieren einer Festplatte oder eines Teils davon;
Ersetzen von Informationen auf einer Festplatte oder einem Teil davon;
Verzerrung des System- oder Nicht-System-Festplattenladers;
Zerstörung der Dateikonnektivität durch Beschädigung der FAT-Tabelle;
Verzerrung von Daten im CMOS-Speicher.
Die meisten Viren der ersten Gruppe, die visuelle oder akustische Effekte verursachen, werden informell als "Illusionisten" bezeichnet. Andere Viren derselben Gruppe können den PC verlangsamen oder den normalen Betrieb des Benutzers beeinträchtigen, indem sie die Funktionen der ausgeführten Programme sowie des Betriebssystems ändern und blockieren. Viren aller anderen Gruppen werden häufig als "Vandalen" bezeichnet, da sie in der Regel irreparable Schäden verursachen.
Gemäß arten der Verkleidungunterscheide zwischen:
Nicht maskierende Viren;
Selbstverschlüsselnde Viren;
Stealth-Viren.
Die Autoren der ersten Viren widmeten den Mechanismen der Reproduktion (Replikation) bei der Einführung von Körpern in andere Programme besondere Aufmerksamkeit. Antiviren-Tools wurden nicht maskiert. Solche Viren werden als nicht maskierende Viren bezeichnet.
Mit dem Aufkommen von Antiviren-Tools haben sich Virenentwickler darauf konzentriert, ihre Produkte zu maskieren. Zunächst wurde die Idee eines selbstverschlüsselenden Virus umgesetzt. Gleichzeitig steht nur ein kleiner Teil davon zum aussagekräftigen Lesen zur Verfügung, und der Rest wird unmittelbar vor Beginn der Virenentschlüsselung entschlüsselt. Dieser Ansatz macht es schwierig, das Virus sowohl zu erkennen als auch seinen Körper durch Spezialisten zu analysieren.
Es sind auch Stealth-Viren aufgetaucht, benannt nach einem Großprojekt zur Schaffung von Stealth-Flugzeugen. Die von Stealth-Viren verwendeten Maskierungsmethoden sind komplex und können grob in zwei Kategorien unterteilt werden: Maskieren des Vorhandenseins eines Virus in einem Virenträgerprogramm; Maskieren des Vorhandenseins eines speicherresidenten Virus im RAM.
Automatisierung des Viruskörpers;
Implementierung des Effekts des Entfernens eines Viruskörpers von einem Virenträger beim Lesen des letzteren von einer Festplatte, insbesondere durch einen Debugger (dies erfolgt natürlich durch Unterbrechen eines Interrupts, wenn sich ein residenter Virus im RAM befindet);
Implantieren des Viruskörpers in eine Datei, ohne deren Größe zu erhöhen;
Der Effekt der Unveränderlichkeit der Länge der infizierten Datei (auf die gleiche Weise wie in Punkt 2 durchgeführt);
Den ursprünglichen Anfang der Programmdateien unverändert lassen.
Wenn Sie beispielsweise ein Verzeichnis mit DOS-Tools lesen, kann ein speicherresidenter Virus den entsprechenden Interrupt abfangen und die Dateilänge künstlich reduzieren. Natürlich ändert sich die tatsächliche Dateilänge nicht, aber dem Benutzer werden Informationen angezeigt, die seine Zunahme maskieren. Wenn Sie direkt mit Verzeichnissen arbeiten (unter Umgehung von DOS-Tools), erhalten Sie echte Informationen über die Eigenschaften einer Datei. Solche Funktionen werden insbesondere von der Shell Norton Commander bereitgestellt.
Einfügen eines Virus in eine spezielle Zone residenter DOS-Module, in das Ende von Clustern, in den CMOS-Speicher, den Videospeicher usw.;
Änderung der Nicht-System-Bootloader-Liste, wie bereits erwähnt;
Manipulieren von Interrupt-Handlern, insbesondere spezielle Methoden zu deren Ersetzung, um residente Antiviren-Tools zu umgehen;
Anpassung der Gesamtmenge an RAM.
Während der täglichen Arbeit kann der Benutzer den Virus erkennen durch seine Symptome.Natürlich werden die Symptome eines Virus direkt durch die darin implementierten Manifestationsmodi sowie andere Merkmale des Virus bestimmt. Folgendes wird als Symptom von Viren unterschieden:
Erhöhung der Anzahl der Dateien auf der Festplatte;
Reduzierung des freien Arbeitsspeichers;
Änderung von Uhrzeit und Datum der Dateierstellung;
Vergrößern der Programmdatei;
Das Auftreten registrierter fehlerhafter Cluster auf der Festplatte;
Anormaler Betrieb des Programms;
Verlangsamung des Programms;
Leuchtet die Laufwerksanzeige zu einem Zeitpunkt auf, an dem kein Festplattenzugriff erfolgen sollte.
Eine spürbare Verlängerung der Zugriffszeit auf die Festplatte;
Fehlfunktionen des Betriebssystems, insbesondere dessen Einfrieren;
Unfähigkeit, das Betriebssystem zu laden;
Zerstörung der Dateistruktur (Verschwinden von Dateien, Verzerrung von Verzeichnissen).
Neben Computerviren gibt es noch andere gefährliche Programme, zum Beispiel die sogenannten "Würmer", die offiziell als "Würmer" bezeichnet werden replikatoren.Ihr Hauptmerkmal ist die Fähigkeit zu reproduzieren, ohne in andere Programme eingeführt zu werden. Replikatoren werden mit dem Ziel erstellt, sich über die Knoten eines Computernetzwerks zu verteilen, und können eine Füllung aufweisen, die insbesondere aus Viren besteht. In dieser Hinsicht kann eine Analogie zwischen dem "Wurm" und der Kugelbombe gezogen werden.
Ein Beispiel für einen Replikator ist das Weihnachtsbaumprogramm, das einen Weihnachtsbaum auf einem Bildschirm zeichnet und dann Kopien von sich an alle registrierten E-Mail-Adressen sendet.
Klassifizierung von Antiviren-Tools. IMeine große Anzahl von Antiviren-Tools ist jetzt verfügbar. Sie alle besitzen jedoch nicht die Eigenschaft der Universalität: Jedes ist für bestimmte Viren ausgelegt oder blockiert einige Kanäle der PC-Infektion oder der Virusverbreitung. In dieser Hinsicht kann die Anwendung künstlicher Intelligenz auf das Problem der Erstellung von Antiviren-Tools als vielversprechendes Forschungsgebiet angesehen werden.
Antiviren-Toolbezieht sich auf ein Softwareprodukt, das eine oder mehrere der folgenden Funktionen ausführt:
Schutz der Dateistruktur vor Zerstörung;
Viruserkennung;
Virusneutralisation.
Virus filtern (Wächter)ist ein residentes Programm, das die Ausführung von für Viren typischen Aktionen überwacht und vom Benutzer die Bestätigung verlangt, dass Aktionen ausgeführt werden. Die Steuerung erfolgt durch Ersetzen der entsprechenden Interrupt-Handler. Kontrollierte Aktionen können sein:
Programmdateien aktualisieren;
Direkte Aufzeichnung auf Festplatte (nach physischer Adresse);
Datenträgerformatierung;
Residente Platzierung des Programms im RAM. Detektorrief das Programm auf, das sucht
viren sowohl auf externen Speichermedien als auch im RAM. Das Ergebnis der Operation des Detektors ist eine Liste infizierter Dateien und / oder Bereiche, die möglicherweise die spezifischen Viren angibt, die sie infiziert haben.
Die Detektoren sind in universelle (Inspektoren) und spezialisierte Detektoren unterteilt. Universaldetektoren überprüfen die Integrität von Dateien, indem sie eine Prüfsumme berechnen und mit einem Standard vergleichen. Der Standard ist entweder in der Dokumentation zum Softwareprodukt angegeben oder kann zu Beginn des Betriebs festgelegt werden.
Spezialisiertdetektoren sind für bestimmte Viren konfiguriert, einen oder mehrere. Wenn der Detektor mehrere erkennen kann verschiedene Viren, dann nennen sie es ein Polydetektor.Die Arbeit eines spezialisierten Detektors basiert auf der Suche nach einer Codezeile, die zu einem bestimmten Virus gehört und möglicherweise durch einen regulären Ausdruck angegeben wird. Ein solcher Detektor kann nicht alle möglichen Viren erkennen.
Desinfektor (Arzt, Phage)ist ein Programm, das einen Virus mit oder ohne Wiederherstellung entfernt
wiederherstellung des Lebensraums. Eine Reihe von Viren verzerren den Lebensraum derart, dass sein ursprünglicher Zustand nicht wiederhergestellt werden kann.
Die bekanntesten Polydetektor-Phagen sind die Antiviral Toolkit Pro-Softwarepakete von Eugene Kaspersky und DrWeb von Dialog.
Immunizer (Impfstoff)bezieht sich auf ein Programm, das verhindert, dass ein bestimmtes Virus einen Lebensraum oder ein Gedächtnis infiziert. Immunisierer lösen das Problem der Neutralisierung des Virus nicht durch Zerstörung, sondern durch Blockierung seiner Fortpflanzungsfähigkeit. Solche Programme werden derzeit praktisch nicht verwendet.
Methoden zum Schutz vor Computerviren.Beim Schutz vor Computerviren ist die Komplexität der organisatorischen und technischen Maßnahmen wichtiger denn je. An der Spitze der "Verteidigung" ist es ratsam, Mittel zum Schutz von Daten vor Zerstörung hinter sich zu lassen - Mittel zum Erkennen von Viren und schließlich zum Neutralisieren von Viren.
Mittel zum Schutz von Daten vor möglichem Verlust und Zerstörung sollten immer und regelmäßig angewendet werden.Darüber hinaus sollten die folgenden organisatorischen Empfehlungen eingehalten werden, um eine Virusinfektion zu vermeiden:
Verwenden Sie nach Möglichkeit immer Disketten mit einem versiegelten Schreibschutzsteckplatz.
Verwenden Sie keine unbekannten Disketten, es sei denn, dies ist unbedingt erforderlich.
Übertragen Sie Ihre Disketten nicht auf andere.
Führen Sie keine Programme aus, deren Zweck nicht klar ist. Verwenden Sie nur lizenzierte Softwareprodukte.
Beschränken Sie den Zugriff unbefugter Personen auf den PC.
Wenn Sie ein Softwareprodukt verwenden müssen, das aus einer unbekannten Quelle stammt, wird Folgendes empfohlen:
Testen Sie das Softwareprodukt mit speziellen Detektoren auf das Vorhandensein bekannter Viren. Es ist unerwünscht, Detektoren auf einer Festplatte zu platzieren. Dazu müssen Sie eine schreibgeschützte Diskette verwenden.
Sichern Sie die Dateien des neuen Softwareprodukts.
Sichern Sie Ihre Dateien, die für das Funktionieren der neuen Software erforderlich sind.
Organisieren Sie den Testbetrieb eines neuen Softwareprodukts vor dem Hintergrund eines Virenfilters mit absichtlichen Antworten auf seine Nachrichten.
Der Schutz vor Computerviren sollte Teil einer Reihe von Maßnahmen zum Schutz von Informationen sowohl auf einzelnen Computern als auch in automatisierten Informationssystemen insgesamt werden.
REFERENZLISTE
1. Andreev V.B.Rechtsinformatik: Lehrbuch. Handbuch. - M: IMP, 1998.
2. Baranov A.K., Karpychev V.Yu., Minaev V.A.Computerexperten-Technologien in Agenturen für innere Angelegenheiten: Lehrbuch. - M.: Akademie des Innenministeriums der Russischen Föderation, 1992.
3. Baturin Yu.M.Recht und Politik im Computerkreis. - M.: Nauka, 1987.
4. Baturin Yu.M.Computerrechtliche Probleme. - M.: Jurid. Lit., 1991.
5. Baturin Yu.M., Zhodzishsky A.M.Computerkriminalität und Computersicherheit. - M.: Jurid. Lit., 1991.
6. Bauer F.L., Gooz G.Informatik. Einführungskurs: 2 Stunden - Moskau: Mir, 1990 - Teil 1.
7. BezrukovComputer Virus. - M.: Nauka, 1991.
8. Borovkov V.P.Eine beliebte Einführung in Statistica. - M.: Computerpresse, 1998.
9. Vekhov B.V.Computerkriminalität: Methoden der Begehung, Ermittlungsmethoden. - M.: Law and Law, 1996.
10. Voskresensky G.M., Dudarev G.I., Maslennikov E.P.Statistische Methoden zur Verarbeitung und Analyse sozialer Informationen in den Managementaktivitäten der internen Gremien. - M.: Akademie des Innenministeriums der UdSSR, 1986.
11. Gudkov P.B.Computerkriminalität im Bereich der Wirtschaft. - M.: MI Innenministerium Russlands, 1995.
12. Gulbin Yu.Verbrechen im Bereich der Computerinformation // Russische Justiz. - 1997. - Nr. 10. - S. 24-25.
13. Demidov V.N.Kriminologische Merkmale der Kriminalität in Russland und Tatarstan: Lehrbuch. - M.: VNII MIA von Russland, 1998.
14. Dyakonov V.P.Handbuch zu Berechnungen an Mikrorechnern. - 3. Aufl. - M.: Nauka, 1989.
15. Dyakonov V.P.Nachschlagewerk zu Algorithmen und Programmen in der Sprache BASIC für PCs. - M.: Nauka, 1989.
16. Zhenilo V.R.Informatik und Computertechnologie in den Tätigkeiten der internen Gremien. Teil 3. Software für die Computertechnologie: Lehrbuch. Handbuch. / Ed. V.A. Minaev. - M.: GUK MVD RF, 1996.
17. Zhenilo V.R., Minaev V.A.Computertechnologien in der forensischen phonoskopischen Forschung und Untersuchung: Lehrbuch. - M.: Akademie des Innenministeriums der Russischen Föderation, 1994.
18. Ivakhnenko A.G., Yurachkovsksh Yu.P.Simulation komplexer Systeme basierend auf experimentellen Daten. - M.: Radio und Kommunikation, 1987.
19. Informatik. Grundkurs: Lehrbuch. für Universitäten / Ed. S. V. Simonovich. - SPb.: Peter, 1999.
20. Informatik und Mathematik für Anwälte. Kurzkurs in Tabellen und Diagrammen: Lehrbuch. Handbuch. / Ed. V. A. Mineneva. - M.: MUI des Innenministeriums Russlands; Vor 1998.
21. Informatik und Computertechnologie bei der Tätigkeit von Gremien für innere Angelegenheiten. Teil 2. Computerhardware: Lehrbuch. Handbuch. / Ed. V. A. Mineneva. - M.: GUK-Innenministerium der Russischen Föderation, 1995.
22. Informatik und Computertechnologie bei den Tätigkeiten der Gremien für innere Angelegenheiten. Teil 4. Automatisierung der Lösung praktischer Probleme in den internen Gremien: Lehrbuch. Handbuch. / Ed. V. A. Mineneva. - M.: GUK MVD RF, 1996.
23. Informatik und Computertechnologie bei den Tätigkeiten der Gremien für innere Angelegenheiten. Teil 5. Analytische Aktivität und Computertechnologie: Lehrbuch. Handbuch. / Ed. V.A. Minaev. - M.: GUK MVD RF, 1996.
24. Informatik und Computertechnologie bei den Tätigkeiten der Gremien für innere Angelegenheiten. Teil 6. Computernetzwerke in den Gremien für innere Angelegenheiten: Lehrbuch. Handbuch. / Ed. V.A. Minaev. - M.: GUK MVD RF, 1997.
25. Informationstechnologien des Managements in den Gremien für innere Angelegenheiten / Ed. V.A. Minaev. - M.: Verwaltungsakademie des Innenministeriums der Russischen Föderation, 1997.
26. Isakov S.A.Information und technische Unterstützung der internen Gremien: Lehrbuch. Handbuch. - M.: Rechtsinstitut des Innenministeriums der Russischen Föderation, 1994.
27. Kazantsev S.Ya., Mazurenko P.I.Verwendung von Computern bei Aktivitäten von Strafverfolgungsbehörden. - Kasan: Kasaner Zweig des Rechtsinstituts des Innenministeriums der Russischen Föderation, 1997.
29. Kidmeier M.Multimedia. - SPb .: "BHV-Sankt Petersburg", 1994.
30. Kommentar zum Strafgesetzbuch Russische Föderation / Ed. A. V. Naumova. - M.: Jurist, 1996.
31. Computertechnologien der Informationsverarbeitung: Lehrbuch. Handbuch. / Ed. S. V. Nazarova. - M.: Finanzen und Statistik, 1995.
32. Computertechnologien in der Rechtstätigkeit. Lehrbuch. und praktisch. Handbuch / Unter. ed. N. Polevoy, V. Krylov. - M.: Verlag BEK, 1994.
33. Das Konzept der Entwicklung des Informationsunterstützungssystems der Organe für innere Angelegenheiten im Kampf gegen die Kriminalität. Genehmigt mit Beschluss des Innenministeriums der Russischen Föderation Nr. 229 vom 12.05.93.
34. Korshunov Yu.M.Mathematische Grundlagen der Kybernetik. - M.: Energoatomizdat, 1987.
35. Forensik und Computerkriminalität: Materialien eines wissenschaftlichen und praktischen Seminars // Sat. Artikel. - M.: EKTs Innenministerium Russlands, 1993.
36. V. V. KrylovUntersuchung von Verbrechen im Bereich der Information. M.: Gorodets. 1998.
37. Levin A.Eine Selbstanleitung für die Arbeit an einem Computer. - 5. Aufl. - M.: Knowledge, 1999.
38. Lokale Netzwerke: Handbuch: In 3 kn. Buch. 1. Prinzipien der Konstruktion, Architektur, Kommunikationsmittel / Ed. S. V. Nazarova. - M.: Finanzen und Statistik, 1994.
39. Lyapunov Yu., Maksimov V.Verantwortung für Computerkriminalität // Legalität. - 1997. - Nr. 1. - S. 8-15.
40. McKlang Kr.J., Gerrieri J.A., McKlang K.A.Mikrocomputer für Anwälte / Per. aus dem Englischen. A. P. Polezhaeva. - M.: Rechtsliteratur, 1988.
41. A. A. MarkaryanIntegration der Errungenschaften der Natur- und Technikwissenschaften in die Forensik. - Ischewsk: UdSU, 1996.
42. V. V. MelnikovInformationsschutz in Computersystemen. - M.: Finanzen und Statistik, 1997.
43. Methodik und Prognosemethoden im Bereich der Verbrechensbekämpfung: Verfahren der Akademie des Innenministeriums der UdSSR. - M.: Akademie des Innenministeriums der UdSSR, 1989.
44. Minaev V.A.Humanressourcen von Gremien für innere Angelegenheiten: moderne Managementansätze. - M.: Akademie des Innenministeriums der UdSSR, 1991.
45. Minin A.Ya.Grundlagen des Managements und der Informatik: Ein Vorlesungskurs. - Jekaterinburg: Jekaterinburg Higher School des Innenministeriums Russlands, 1993.
46. Minin A.Ya.Informatisierung der kriminologischen Forschung: Theorie und Methodik. - Jekaterinburg: Uralverlag. Universität, 1992.
47. Wissenschaft und Technologie im Dienst der Untersuchung // Informationsbulletin der Ermittlungsabteilung des Innenministeriums der Republik Tatarstan. - Problem. 5. Kasan, 1996.
48. Über Information, Informatisierung und Informationsschutz. Bundesgesetz vom 22. Februar 1995 // Rossiyskaya Gazeta. - 1995 - 22. Februar.
49. Organisation der Aktivitäten der Informationsarbeiter der inneren Organe der Berge und Raylins: Sa. Materialien für Klassen im System der Serviceschulung / Ed. Yu.A. Bunicheva. - M.: GITs MVD RF, 1995.
50. Grundlagen der Automatisierung des Managements in internen Gremien: Lehrbuch. / Ed. V. A. Mineneva, A. P. Polezhaeva. - M.: Akademie des Innenministeriums der Russischen Föderation, 1993.
51. Grundlagen der mathematischen Modellierung in den Aktivitäten von Gremien für innere Angelegenheiten: Lehrbuch. Handbuch. / Ed. V. A. Mineneva. - M.: Akademie des Innenministeriums der Russischen Föderation, 1993.
52. Pershikov V.I., Savinkov V.M.Erklärendes Wörterbuch der Informatik. - 2. Aufl. - M.: Finanzen und Statistik, 1995.
53. Petrovsky A., Leontiev B.Effektives Hacken für Anfänger und mehr. - M.: Informatives Buch plus, 1999.
54. Polevoy N. S.Forensische Kybernetik: Lehrbuch. - 2. Aufl. - M.: Staatliche Universität Moskau, 1989.
55. Rechtsinformatik und Kybernetik: Lehrbuch. / Ed. N. S. Polevoy. - M.: Rechtsliteratur, 1993.
56. Probleme der Programmierung, Organisation und Informationsunterstützung der Voruntersuchung // Interuniversität. mezhved. Sa. wissenschaftlich. funktioniert. - Ufa, 1989.
57. Das Programm zur Computerisierung der Organe für innere Angelegenheiten der Russischen Föderation für 1991 und die nahe Zukunft. Genehmigt im Auftrag des Innenministeriums der Russischen Föderation Nr. 104 vom 05.07.91.
58. Untersuchung des illegalen Zugangs zu Computerinformationen / Ed. ICH G. Shurukhnova. - Moskau: Shchit-Verlag, 1999.
59. Simonovich S.V., Evseev G.A.Praktische Informatik: Ein Studienführer. Universeller Kurs. - M.: AST-Press, 1998.
60. Simonovich S.V., Evseev G.A., Alekseev A.G.Spezialinformatik: Lehrbuch. - M .: AST-Press, 1998.
61. Sawyer B., Foster D.L.Expertensystemprogrammierung in Pascal: Aus dem Englischen übersetzt. - M.: Finanzen und Statistik, 1990.
62. Sokovykh Yu.Yu.Qualifikation von Verbrechen und Informatik // Informationsbulletin des Untersuchungsausschusses des Innenministeriums der Russischen Föderation, 1993, Nr. 4 (46).
63. Statistische Modellierung und Prognose: Lehrbuch. Handbuch. / Ed. A. G. Granberg. - M.: Finanzen und Statistik, 1990.
64. Leistungsbeschreibung für die Schaffung eines Informationscomputernetzwerks der Organe für innere Angelegenheiten der Russischen Föderation. Genehmigt vom Innenminister am 22. Februar 1992
65. Bundesregistrierung des GIC im Kampf gegen die Kriminalität. Um Mitarbeitern von Gremien für innere Angelegenheiten zu helfen / Ed. G. L. Lezhikova. - M.: GITs Innenministerium der Russischen Föderation, 1994.
66. Figurnov V.E.IBM PC für den Benutzer. - 6. Aufl. - M.: Infra-M, 1995.
67. Shcherbinin A.I., Ignatov L.N., Puchkov S.I., Kotov I.A.Vergleichende Analyse von Software zur Automatisierung von Strafverfahren // Informationsbulletin des Untersuchungsausschusses des Innenministeriums der Russischen Föderation. - 1993. - Nr. 3 (46). - S. 73 - 82.
68. Shcherbinin A. I., Ilyin S. K., Ignatov L. N.Einsatz von PCs bei der Untersuchung komplexer Fälle von Unterschlagung im Bankensektor in mehreren Episoden // Informationsbulletin des Untersuchungsausschusses des Innenministeriums der Russischen Föderation. - 1993. - Nr. 4 (46).
69. Expertensysteme. Wie es funktioniert und Beispiele. - M.: Radio und Kommunikation, 1987.
70. Yaromich S.A.Informatik um uns herum: Ein Referenzwörterbuch. - Odessa: Mayak, 1991.
Computerviren, ihre Klassifizierung. ANTIVIREN SOFTWARE
Computer Virus - Dies ist ein spezielles Programm, das sich spontan an andere Programme anhängen und beim Starten dieser Programme verschiedene unerwünschte Aktionen ausführen kann: Beschädigung von Dateien und Verzeichnissen; Verzerrung der Berechnungsergebnisse; Speicher verstopfen oder löschen; Störung des Computers. Das Vorhandensein von Viren manifestiert sich in verschiedenen Situationen.
- Einige Programme funktionieren nicht mehr oder funktionieren nicht mehr richtig.
- Überflüssige Meldungen, Signale und andere Effekte werden auf dem Bildschirm angezeigt.
- Der Computer wird erheblich langsamer.
- Die Struktur einiger Dateien ist beschädigt.
Es gibt verschiedene Anzeichen für die Klassifizierung bestehender Viren:
- nach Lebensraum;
- durch das betroffene Gebiet;
- durch die Algorithmusmerkmale;
- durch die Methode der Infektion;
- für destruktive Gelegenheiten.
Nach Lebensraum werden Datei-, Boot-, Makro- und Netzwerkviren unterschieden.
Dateiviren sind die häufigste Art von Viren. Diese Viren infiltrieren ausführbare Dateien, erstellen Begleitdateien (Begleitviren) oder verwenden die Organisation des Dateisystems (Linkviren).
Boot-Viren schreiben sich selbst in den Boot-Sektor der Festplatte oder in den Boot-Sektor der Festplatte. Startet, wenn der Computer hochfährt und normalerweise ansässig wird.
Makroviren infizieren Dateien weit verbreiteter Datenverarbeitungspakete. Diese Viren sind Programme, die in den in diesen Paketen integrierten Programmiersprachen geschrieben sind. Am weitesten verbreitet sind Makroviren für Microsoft Office-Anwendungen.
Netzwerkviren verwenden Protokolle oder Befehle von Computernetzwerken und E-Mails für ihre Verbreitung. Das Grundprinzip eines Netzwerkvirus ist die Fähigkeit, seinen Code unabhängig auf einen Remote-Server oder eine Workstation zu übertragen. Vollwertige Computerviren können ihren Code zur Ausführung auf einem Remotecomputer ausführen.
In der Praxis gibt es verschiedene Kombinationen von Viren - zum Beispiel File-Boot-Viren, die sowohl Dateien als auch Boot-Sektoren von Festplatten infizieren, oder Netzwerk-Makro-Viren, die bearbeitete Dokumente infizieren und Kopien von sich selbst per E-Mail senden.
In der Regel infiziert jeder Virus Dateien eines oder mehrerer Betriebssysteme. Viele Boot-Viren auchkonzentrierte sich auf bestimmte Formate des Speicherorts von Systemdaten in den Bootsektoren von Festplatten. Durch die Merkmale des Algorithmus werden Bewohner unterschieden; Viren, Stealth-Viren, polymorphe Viren usw. Residente Viren können ihre Kopien im OP belassen, die Ereignisverarbeitung abfangen (z. B. Zugriff auf Dateien oder Datenträger) und Objekte (Dateien oder Sektoren) aufrufen, die Verfahren infizieren. Diese Viren sind nicht nur im Speicher aktiv, wenn das infizierte Programm ausgeführt wird, sondern auch danach. Residente Kopien solcher Viren sind bis zum Neustart des Betriebssystems funktionsfähig, selbst wenn alle infizierten Dateien auf der Festplatte zerstört werden. Wenn ein speicherresidenter Virus ebenfalls bootfähig ist und beim Start des Betriebssystems aktiviert wird, wird er durch Formatieren der Festplatte, wenn dieser Virus im Speicher vorhanden ist, nicht gelöscht.
Makroviren sollten auch als residente Viren klassifiziert werden, da sie während der Ausführung des infizierten Editors ständig im Arbeitsspeicher des Computers vorhanden sind.
Mithilfe von Stealth-Algorithmen können Viren ihre Anwesenheit ganz oder teilweise verbergen. Der häufigste Stealth-Algorithmus ist das Abfangen von Betriebssystemanforderungen zum Lesen / Schreiben infizierter Objekte. In diesem Fall heilen Stealth-Viren diese Objekte entweder vorübergehend oder ersetzen sich selbst durch nicht infizierte Informationsbereiche. Teilweise wird eine kleine Gruppe von Makroviren, die ihren Hauptcode nicht in Makros, sondern in anderen Bereichen des Dokuments, in seinen Variablen oder im Auto-Text speichern, als Stealth-Viren bezeichnet.
Polymorphismus (Selbstverschlüsselung) wird verwendet, um die Viruserkennung zu erschweren. Polymorphe Viren sind schwer zu erkennende Viren, die keinen permanenten Code haben. Im Allgemeinen stimmen zwei Proben desselben Virus nicht überein. Dies wird erreicht, indem der Hauptteil des Virus verschlüsselt und das Entschlüsselungsprogramm geändert wird.
Bei der Erstellung von Viren werden häufig nicht standardisierte Techniken verwendet. Ihre Verwendung sollte den Nachweis und die Entfernung des Virus so schwierig wie möglich machen.
Trojaner, versteckte Verwaltungsprogramme, beabsichtigte Viren usw. unterscheiden sich durch die Infektionsmethode.
Trojaner haben ihren Namen vom Trojanischen Pferd. Der Zweck dieser Programme besteht darin, nützliche Programme, neue Versionen beliebter Dienstprogramme oder Add-Ons zu imitieren. Wenn der Benutzer sie auf seinen Computer schreibt, werden die Trojaner aktiviert und führen unerwünschte Aktionen aus.
Verdeckte Verwaltungsdienstprogramme sind eine Art Trojanisches Pferd. In ihrer Funktionalität und Schnittstelle erinnern sie in vielerlei Hinsicht an die Systeme zur Verwaltung von Computern im Netzwerk, die von verschiedenen Unternehmen - Herstellern von Softwareprodukten - entwickelt und vertrieben werden. Während der Installation installieren diese Dienstprogramme unabhängig voneinander ein verstecktes Fernbedienungssystem auf dem Computer. Dadurch wird es möglich, diesen Computer verdeckt zu steuern. Durch Implementieren der inhärenten Algorithmen akzeptieren die Dienstprogramme ohne Wissen des Benutzers Dateien, starten oder senden sie, zerstören Informationen, starten den Computer von Erez usw. Mit diesen Dienstprogrammen können Kennwörter und andere vertrauliche Informationen erkannt und übertragen, Viren ausgeführt und Daten zerstört werden.
Zu den beabsichtigten Viren gehören Programme, die aufgrund vorhandener Fehler nicht repliziert werden können. Diese Klasse enthält auch Viren, die nur einmal repliziert werden. Nachdem sie eine Datei infiziert haben, verlieren sie die Fähigkeit, sich weiter zu vermehren.
Viren werden entsprechend ihrer zerstörerischen Fähigkeiten unterteilt in:
- harmlos, deren Auswirkungen auf eine Verringerung des freien Speichers auf der Festplatte, eine Verlangsamung des Computers sowie Grafik- und Soundeffekte beschränkt sind;
- gefährlich, was möglicherweise zu Verstößen in der Struktur von Dateien und Fehlfunktionen des Computers führen kann;
- sehr gefährlich, in dessen Algorithmus Datenvernichtungsverfahren speziell festgelegt sind und die Fähigkeit, einen schnellen Verschleiß beweglicher Teile von Mechanismen durch Einführung von Resonanz und Zerstörung der Lese- / Schreibköpfe einiger Festplattenlaufwerke sicherzustellen.
Zur Bekämpfung von Viren gibt es Programme, die in Hauptgruppen unterteilt werden können: Monitore, Detektoren, Ärzte, Inspektoren und Impfstoffe.
Programme überwachen (Filterprogramme) befinden sich im Betriebssystem des Computers, abfangenund informieren Sie den Benutzer über Betriebssystemtreffer, die von Viren verwendet werden, um sich zu vermehren und Schaden zu verursachen. Der Benutzer kann die Ausführung dieser Aufrufe zulassen oder verweigern. Der Vorteil solcher Programme ist die Fähigkeit, unbekannte Viren zu erkennen. Mit Filterprogrammen können Sie Viren erkennen frühen Zeitpunkt Ihren Computer infizieren. Die Nachteile der Programme sind die Unfähigkeit, Viren zu verfolgen, die direkt auf das BIOS zugreifen, sowie Startviren, die vor dem Start des Antivirenprogramms beim Start von DOS aktiviert werden, und die häufige Ausgabe von Betriebsanforderungen.
Detektorprogramme Überprüfen Sie, ob in Dateien und auf Datenträgern eine virenspezifische Kombination von Bytes vorhanden ist. Wird es erkannt, wird eine entsprechende Meldung angezeigt. Der Nachteil ist die Fähigkeit, nur vor bekannten Viren zu schützen.
Arztprogramme Stellen Sie infizierte Programme wieder her, indem Sie den Viruskörper aus ihnen löschen. Normalerweise sind diese Programme für bestimmte Arten von Viren konzipiert und basieren auf dem Vergleich der im Viruskörper enthaltenen Codesequenz mit den Codes der gescannten Programme. Arztprogramme müssen regelmäßig aktualisiert werden, um neue Versionen zu erhalten, die neue Arten von Viren erkennen.
Auditor-Programme Analysieren Sie Änderungen im Status von Dateien und Systembereichen der Festplatte. Überprüfen Sie den Status des Bootsektors und der FAT-Tabelle. Dateilänge, Attribute und Erstellungszeit; Prüfsumme der Codes. Der Benutzer wird über die Feststellung von Inkonsistenzen informiert.
Impfprogramme ändern Programme und Risiken so, dass sie den Betrieb der Programme nicht beeinträchtigen. Das Virus, gegen das geimpft wird, berücksichtigt jedoch die bereits infizierten Programme oder Datenträger. Die vorhandenen Antivirenprogramme gehören hauptsächlich zur Hybridklasse (Detektoren-Ärzte, Ärzte-Inspektoren usw.).
In Russland die am häufigsten verwendeten Antivirenprogramme von Kaspersky Lab (Anti-IViral Toolkit Pro) und DialogueNauka (Adinf, Dr.Web). Das Antivirenpaket AntiViral Toolkit Pro (AVP) enthält den AVP-Scanner, den residenten Watchdog von AVP Monitor und das Verwaltungsprogramm für installierte Komponenten. Kontrollzentrum und eine Reihe anderer. AVP Scanner verarbeitet neben dem herkömmlichen Scannen von ausführbaren Dateien und Dokumentdateien auch E-Mail-Datenbanken. Mit dem Scanner können Sie Viren in gepackten und archivierten Dateien erkennen (nicht durch Passwörter geschützt). Erkennt und entfernt Makroviren, polymorphe Viren, Stelen, Trojaner sowie bisher unbekannte Viren. Dies wird beispielsweise durch den Einsatz heuristischer Analysatoren erreicht. Solche Analysatoren simulieren den Betrieb des Prozessors und analysieren die Aktionen der diagnostizierten Datei. Abhängig von diesen Aktionen wird eine Entscheidung über das Vorhandensein eines Virus getroffen.
Der Monitor überwacht typische Virenpenetrationsrouten wie Datei- und Sektorzugriffsvorgänge.
AVP Control Center ist eine Service-Shell, mit der die Startzeit des Scanners festgelegt, Paketkomponenten automatisch aktualisiert usw. werden können.
Im Falle einer Infektion oder des Verdachts einer Computerinfektion mit einem Virus müssen Sie:
- die Situation einschätzen und keine Maßnahmen ergreifen, die zum Verlust von Informationen führen;
- Starten Sie das Betriebssystem des Computers neu. Verwenden Sie in diesem Fall eine spezielle, zuvor erstellte und schreibgeschützte Systemdiskette. Dies verhindert die Aktivierung von Boot- und speicherresidenten Viren von der Computerfestplatte.
- Führen Sie vorhandene Antivirenprogramme aus, bis alle Viren erkannt und entfernt wurden. Wenn der Virus nicht entfernt werden kann und die Datei wertvolle Informationen enthält, archivieren Sie die Datei und warten Sie auf die Veröffentlichung der neuen Version des Antivirus. Wenn Sie fertig sind, starten Sie Ihren Computer neu.
Vorlesung 14 Computerviren
Klassifizierung von Computerkriminalität.
Computerviren, ihre Eigenschaften und Klassifizierung
Eigenschaften von Computerviren
Ein Virus ist zunächst einmal ein Programm. Eine solch einfache Aussage allein kann viele Legenden über die außergewöhnlichen Fähigkeiten von Computerviren zerstreuen. Der Virus kann das Bild auf Ihrem Monitor umdrehen, aber den Monitor selbst nicht umdrehen. Die Legenden der Killerviren „Tötungsoperatoren durch Anzeige einer tödlichen Farbskala im 25. Frame“ sollten ebenfalls nicht ernst genommen werden.
Ein Virus ist ein Programm, das sich selbst replizieren kann. Diese Fähigkeit ist die einzige, die allen Arten von Viren gemeinsam ist. Aber nicht nur Viren können sich selbst reproduzieren. Jedes Betriebssystem und viele weitere Programme können eigene Kopien erstellen. Kopien des Virus müssen nicht nur nicht vollständig mit dem Original übereinstimmen, sondern müssen möglicherweise überhaupt nicht mit dem Original übereinstimmen!
Ein Virus kann nicht in "vollständiger Isolation" existieren: Heute ist es unmöglich, sich einen Virus vorzustellen, der nicht den Code anderer Programme, Informationen über die Dateistruktur oder auch nur die Namen anderer Programme verwendet. Der Grund ist klar: Der Virus muss irgendwie die Übertragung der Kontrolle auf sich selbst sicherstellen.
Virusklassifizierung
lebensraum
die Art der Kontamination des Lebensraums
einschlag
algorithmusfunktionen
Je nach Lebensraum können Viren in Netzwerk, Datei, Boot und File-Boot unterteilt werden.
Netzwerkvirenan verschiedene verteilt computernetzwerke.
Datei-Virensind hauptsächlich in ausführbare Module eingebettet, dh in Dateien mit den Erweiterungen COM und EXE. Dateiviren können in andere Dateitypen eingeschleust werden, aber in der Regel werden sie in solchen Dateien aufgezeichnet, erhalten jedoch nie die Kontrolle und verlieren daher ihre Replikationsfähigkeit.
Boot-Virensind in den Bootsektor der Festplatte (Bootsektor) oder in den Sektor eingebettet, der das Bootprogramm für die Systemfestplatte (MasterBootRe-cord) enthält.
Dateistartviren infizieren sowohl Dateien als auch Bootsektoren von Festplatten.
Durch die Infektionsmethode werden Viren in gebietsansässige und gebietsfremde Viren unterteilt.
Speicherresidenter Viruswenn ein Computer infiziert (infiziert) ist, belässt er seinen residenten Teil im RAM, der dann den Zugriff des Betriebssystems auf die Infektionsobjekte (Dateien, Bootsektoren von Festplatten usw.) abfängt und in diese eingebettet ist. Residente Viren befinden sich im Speicher und bleiben aktiv, bis der Computer heruntergefahren oder neu gestartet wird.
Nicht speicherresidente Vireninfizieren Sie den Computerspeicher nicht und sind Sie für eine begrenzte Zeit aktiv.
Je nach Expositionsgrad können Viren in folgende Typen unterteilt werden:
ungefährlichdie den Betrieb des Computers nicht beeinträchtigen, aber die Menge an freiem RAM und Speicher auf Festplatten verringern, manifestieren sich die Aktionen solcher Viren in Grafik- oder Soundeffekten
gefährlichviren, die zu verschiedenen Störungen des Computers führen können
sehr gefährlichDies kann zum Verlust von Programmen, zur Zerstörung von Daten und zum Löschen von Informationen in den Systembereichen der Festplatte führen.
Es ist schwierig, Viren aufgrund ihrer Vielfalt nach den Besonderheiten des Algorithmus zu klassifizieren.
replikatorvirennamens würmer, die sich über Computernetzwerke verteilen, berechnen die Adressen von Netzwerkcomputern und schreiben Kopien von sich selbst an diese Adressen.
Bekannt unsichtbare Virennamens stealth-Viren, die sehr schwer zu erkennen und zu neutralisieren sind, da sie die Aufrufe des Betriebssystems an die infizierten Dateien und Festplattensektoren abfangen und nicht infizierte Festplattenbereiche anstelle ihrer Körper ersetzen.
Am schwierigsten zu finden mutierte VirenEnthält Verschlüsselungs- / Entschlüsselungsalgorithmen, dank derer Kopien desselben Virus keine einzige wiederholte Byte-Zeichenfolge haben. Es gibt auch sogenannte quasi-viraloder Trojanerprogramme, die zwar nicht in der Lage sind, sich selbst zu verbreiten, aber sehr gefährlich sind, da sie sich als nützliches Programm tarnen und den Bootsektor und das Dateisystem der Festplatten zerstören.
Boot-Viren
Betrachten wir den Betrieb eines sehr einfachen bootfähigen Virus, der Disketten infiziert. (Bootsektor).
Angenommen, Sie haben eine leere Diskette und einen infizierten Computer, womit wir einen Computer mit einem aktiven residenten Virus meinen. Sobald dieser Virus feststellt, dass ein geeignetes Opfer im Laufwerk aufgetreten ist - in unserem Fall eine ungeschriebene und noch nicht infizierte Diskette - wird die Infektion fortgesetzt. Der Virus infiziert eine Diskette und führt die folgenden Aktionen aus:
ordnet einen bestimmten Bereich der Festplatte zu und markiert ihn als für das Betriebssystem unzugänglich. Dies kann auf verschiedene Arten erfolgen. Im einfachsten und traditionellsten Fall werden die vom Virus belegten Sektoren als schlecht (schlecht) markiert.
kopiert den Schwanz und den ursprünglichen (fehlerfreien) Bootsektor in den ausgewählten Festplattenbereich
ersetzt das Boot-Programm im Boot-Sektor (vorhanden) durch seinen Kopf
organisiert die Kontrollkette der Kontrolle gemäß dem Schema.
Somit ist der Kopf des Virus nun der erste, der die Kontrolle erlangt. Der Virus wird im Speicher installiert und überträgt die Kontrolle auf den ursprünglichen Bootsektor.
Datei-Viren
Betrachten wir nun, wie ein einfacher Dateivirus funktioniert.
Im Gegensatz zu Boot-Viren, die fast immer speicherresident sind, sind Dateiviren nicht unbedingt speicherresident. Betrachten wir das Betriebsschema eines nicht speicherresidenten Dateivirus. Angenommen, wir haben eine infizierte ausführbare Datei. Wenn eine solche Datei gestartet wird, erlangt der Virus die Kontrolle, führt einige Aktionen aus und überträgt die Kontrolle an den "Master".
Was macht der Virus? Es sucht nach einem neuen zu infizierenden Objekt - einer Datei eines geeigneten Typs, die noch nicht infiziert wurde. Durch das Infizieren einer Datei injiziert sich der Virus in seinen Code, um die Kontrolle zu erlangen, wenn die Datei ausgeführt wird. Zusätzlich zu seiner Hauptfunktion - der Reproduktion - kann das Virus durchaus etwas Kompliziertes tun (sagen, fragen, spielen) - es hängt bereits von der Vorstellungskraft des Autors des Virus ab. Wenn sich der Dateivirus im Speicher befindet, wird er im Speicher installiert und kann Dateien infizieren und andere Funktionen anzeigen, nicht nur während die infizierte Datei ausgeführt wird. Durch das Infizieren einer ausführbaren Datei ändert ein Virus immer seinen Code. Daher kann immer eine Infektion einer ausführbaren Datei erkannt werden.
Durch Ändern des Dateicodes nimmt der Virus jedoch nicht unbedingt andere Änderungen vor:
er ist nicht verpflichtet, die Länge der Datei zu ändern
nicht verwendete Codeabschnitte
ist nicht verpflichtet, den Anfang der Datei zu ändern
Wenn eine Datei gestartet wird, erlangt der Virus die Kontrolle (das Betriebssystem startet sie selbst), installiert sich selbst im Speicher und überträgt die Kontrolle auf die aufgerufene Datei.
Boot-File-Viren
Die wichtigste zerstörerische Aktion ist die Verschlüsselung von Sektoren der Festplatte. Bei jedem Start verschlüsselt der Virus den nächsten Teil der Sektoren und meldet ihn glücklich, nachdem er die Hälfte der Festplatte verschlüsselt hat. Das Hauptproblem bei der Behandlung dieses Virus besteht darin, dass es nicht ausreicht, nur den Virus aus den Dateien zu entfernen, sondern die von ihm verschlüsselten Informationen zu entschlüsseln.
Polymorphe Viren
Diese Art von Computerviren scheint heute die gefährlichste zu sein. Lassen Sie uns erklären, was es ist.
Polymorphe Viren sind Viren, die ihren Code in infizierten Programmen so ändern, dass zwei Kopien desselben Virus in keiner Weise zusammenfallen.
Solche Viren verschlüsseln ihren Code nicht nur mit verschiedenen Verschlüsselungspfaden, sondern enthalten auch den Verschlüsselungs- und Entschlüsselungsgenerierungscode, der sie von herkömmlichen Verschlüsselungsviren unterscheidet, die auch Teile ihres Codes verschlüsseln können, aber gleichzeitig einen permanenten Verschlüsselungs- und Entschlüsselungscode haben.
Polymorphe Viren sind Viren mit selbstmodifizierenden Entschlüsselern. Der Zweck dieser Verschlüsselung: Mit den infizierten und ursprünglichen Dateien können Sie den Code immer noch nicht mit normaler Demontage analysieren. Dieser Code ist verschlüsselt und ein bedeutungsloser Befehlssatz. Die Entschlüsselung wird vom Virus selbst bereits zur Laufzeit durchgeführt. In diesem Fall sind Optionen möglich: Er kann sich alle auf einmal entschlüsseln oder eine solche Entschlüsselung "auf dem Weg" durchführen, er kann die bereits verwendeten Abschnitte neu verschlüsseln. All dies wird getan, um die Analyse des Virencodes zu erschweren.
Stealth-Viren
Stealth-Viren täuschen Antivirenprogramme vor und bleiben dadurch unbemerkt. Es gibt jedoch eine einfache Möglichkeit, den Maskierungsmechanismus für Stealth-Viren zu deaktivieren. Es reicht aus, den Computer von einer nicht infizierten Systemdiskette zu starten und den Computer sofort mit einem Antivirenprogramm zu überprüfen, ohne andere Programme von der Computerdiskette zu starten (die möglicherweise ebenfalls infiziert ist).