A) virus de démarrage;
B) virus de réseau;
C) virus de macro
D) virus de démarrage de fichier.
24. Création virus informatiques est un:
A) la conséquence des pannes du système d'exploitation;
B) divertissement pour les programmeurs;
DANS) effet secondaire lors du développement de logiciels;
D) un crime;
E) une composante nécessaire de la formation des programmeurs.
25. L'accès illégal aux ordinateurs et aux informations désigne:
A) à la programmation;
B) activité intellectuelle;
C) au piratage informatique
D) pour créer un virus informatique.
26. La principale condition de protection contre les virus informatiques est:
A) installation du système d'exploitation Windows sur l'ordinateur;
B) manque d'Internet;
C) absence de scanner;
D) Installation d'un programme antivirus sur l'ordinateur
27. Le programme antivirus est:
A) Internet Explorer;
B) Microsoft Publisher;
D) Kaspersky AntiVirus.
28. Antivirus est un programme spécial:
A) créer de nouveaux programmes;
B) éditer le code des virus informatiques;
C) pour détecter, détruire et protéger contre les virus informatiques;
D) pour la création et la distribution de virus informatiques.
29. L'ensemble des ordinateurs interconnectés par des canaux de transmission de données fournissant à l'utilisateur des moyens d'échange d'informations et d'utilisation collective des ressources du réseau est appelé:
A) réseau informatique régional;
B) un réseau informatique;
C) réseau informatique d'entreprise;
D) un réseau informatique mondial.
30. La principale caractéristique des canaux de transmission d'informations est:
A) le matériau à partir duquel le câble est fabriqué;
B) la distance entre les ordinateurs;
B) bande passante
D) la pièce dans laquelle se trouvent les PC.
31. Un ordinateur personnel connecté au réseau, sur lequel l'utilisateur effectue son travail, est appelé:
A) un poste de travail;
B) un poste de travail automatisé (AWP);
C) serveur de réseau;
D) une unité de commutation.
32. Un ordinateur personnel connecté à un réseau et fournissant certains services d'information aux utilisateurs du réseau est appelé:
A) un poste de travail;
B) un serveur de réseau;
B) nœud de commutation;
D) un poste de travail automatisé (AWP).
33. Un réseau qui existe dans la même ville, district ou région et qui fait partie des réseaux informatiques locaux et mondiaux est appelé:
A) le réseau mondial;
C) un réseau local.
34. Un réseau couvrant une petite zone avec une distance entre différents ordinateurs jusqu'à 2 kilomètres est appelé:
A) le réseau mondial;
B) réseau régional ou d'entreprise;
C) un réseau local.
35. La topologie d'un réseau qui utilise une machine centrale à laquelle toutes les autres machines du réseau sont connectées est appelée:
A) annulaire ou "anneau";
B) stellaire ou "étoile";
B) bus linéaire.
36. La topologie du réseau dans laquelle le dernier poste de travail est connecté par des canaux de communication avec le premier poste de travail est appelée:
A) annulaire ou "anneau";
B) stellaire ou "étoile";
B) bus linéaire.
37. Un canal de communication à large bande passante est appelé:
A) câble à fibre optique;
B) paire torsadée;
B) câble coaxial.
38. Le canal de communication, dont l'inconvénient est la complexité de la protection des données contre les accès illégaux, est:
A) câble à fibre optique;
B) les rayons infrarouges;
B) Four à micro-ondes.
39. Le canal de communication dans lequel le signal radio est utilisé est appelé:
A) câble à fibre optique;
B) les rayons infrarouges;
C) canal radio.
40. L'unité de mesure du débit du canal de communication est:
A) bit / s;
B) Kbps;
D) Mbps.
Annexe A
MINISTÈRE DES TRANSPORTS DE LA FÉDÉRATION DE RUSSIE
AGENCE FÉDÉRALE DES CHEMINS DE FER
BRANCHE DU BUDGET DE L'ÉTAT FÉDÉRAL
INSTITUTION ÉDUCATIVE D'ENSEIGNEMENT SUPÉRIEUR
ÉTAT DE SAMARA
UNIVERSITÉ DE TRANSPORT FERROVIAIRE
Dans la ville de Saratov
Virus informatiques
Virus informatique est un petit programme, écrit par un programmeur hautement qualifié, capable d'auto-propagation et d'effectuer diverses actions destructrices. À ce jour, plus de 50 000 virus informatiques sont connus.
Il existe de nombreuses versions différentes concernant la date de naissance du premier virus informatique. Cependant, la plupart des experts s'accordent à dire que les virus informatiques, en tant que tels, sont apparus pour la première fois en 1986, bien que, historiquement, l'émergence de virus soit étroitement liée à l'idée de créer des programmes auto-réplicatifs. L'un des "pionniers" parmi les virus informatiques est le virus "Brain", créé par un programmeur pakistanais nommé Alvi. Aux États-Unis seulement, ce virus a infecté plus de 18 000 ordinateurs.
Les virus n'agissent que par programmation. Ils s'attachent généralement au fichier ou pénètrent dans le corps du fichier. Dans ce cas, le fichier est dit infecté par un virus. Le virus pénètre dans l'ordinateur uniquement avec le fichier infecté. Pour activer le virus, vous devez télécharger le fichier infecté, et seulement après cela, le virus commence à agir de lui-même.
Certains virus, lors de l'exécution d'un fichier infecté, deviennent résidents (résidant dans la RAM de l'ordinateur) et peuvent infecter d'autres fichiers et programmes téléchargés.
Un autre type de virus, immédiatement après l'activation, peut causer de graves dommages, par exemple le formatage d'un disque dur. L'effet des virus peut se manifester de différentes manières: depuis différents effets visuels qui interfèrent avec le travail, jusqu'à la perte complète d'informations.
Les principales sources de virus:
une disquette contenant des fichiers infectés par un virus;
réseau informatique, y compris courrier électronique et Internet;
un disque dur qui a été infecté par un virus suite à l'utilisation de programmes infectés;
un virus laissé dans la RAM après l'utilisateur précédent.
Les principaux signes précoces d'une infection virale informatique:
réduire la quantité de RAM libre;
ralentir le chargement et le fonctionnement de l'ordinateur;
des changements incompréhensibles (sans raison) dans les fichiers, ainsi que des changements dans la taille et la date de la dernière modification des fichiers;
erreurs lors du chargement du système d'exploitation;
incapacité à enregistrer les fichiers dans les répertoires requis;
messages système incompréhensibles, effets musicaux et visuels, etc.
Signes de la phase active du virus:
disparition de fichiers;
formater le disque dur;
incapacité à charger les fichiers ou le système d'exploitation.
Il existe de nombreux virus différents. Ils peuvent être conditionnellement classés comme suit:
1) virus de démarrage ou les virus BOOT infectent les secteurs d'amorçage des disques. Très dangereux, peut entraîner la perte complète de toutes les informations stockées sur le disque;
2) virus de fichiers infecter les fichiers. Sont divisées en:
les virus qui infectent les programmes (fichiers avec les extensions .EXE et .COM);
virus de macro virus qui infectent les fichiers de données tels que les documents Word ou les classeurs Excel;
les virus satellites utilisent les noms d'autres fichiers;
les virus DIR déforment les informations système sur les structures de fichiers;
3) virus de fichier de démarrage capable d'infecter à la fois le code du secteur de démarrage et le code du fichier;
4) virus invisibles ou les virus STEALTH falsifient les informations lues à partir du disque afin que le programme destiné à ces informations reçoive des données incorrectes. Cette technologie, parfois appelée technologie Stealth, peut être utilisée à la fois dans les virus BOOT et les virus de fichiers;
5) rétrovirus infecter logiciel antivirusen essayant de les détruire ou de les désactiver;
6) virus de vers fournissez de petits messages électroniques avec un soi-disant en-tête, qui est essentiellement l'adresse Web de l'emplacement du virus lui-même. En essayant de lire un tel message, le virus commence à lire son «corps» via l'Internet mondial et, après le téléchargement, commence une action destructrice. Ils sont très dangereux, car il est très difficile de les détecter, du fait que le fichier infecté ne contient pas réellement le code du virus.
Si vous ne prenez pas de mesures de protection contre les virus informatiques, les conséquences d'une infection peuvent être très graves. Dans un certain nombre de pays, la législation pénale prévoit la responsabilité pour les délits informatiques, y compris l'introduction de virus. Des outils généraux et logiciels sont utilisés pour protéger les informations contre les virus.
Les remèdes courants pour aider à prévenir l'infection par le virus et ses effets dévastateurs comprennent:
sauvegarde des informations (copie des fichiers et des zones système des disques durs);
refus d'utiliser des programmes aléatoires et inconnus. Le plus souvent, les virus se propagent avec les programmes informatiques;
restreindre l'accès aux informations, en particulier la protection physique d'une disquette lors de la copie de fichiers à partir de celle-ci.
Divers programmes antivirus (antivirus) sont appelés logiciels de protection.
Antivirus est un programme qui détecte et neutralise les virus informatiques. Il est à noter que les virus sont en avance sur les programmes anti-virus dans leur développement, par conséquent, même en cas d'utilisation régulière d'antivirus, il n'y a pas de garantie de sécurité à 100%. Les programmes antivirus peuvent détecter et détruire uniquement les virus connus; lorsqu'un nouveau virus informatique apparaît, la protection contre celui-ci n'existe pas tant que son propre antivirus n'a pas été développé pour lui. Cependant, de nombreux logiciels antivirus modernes incluent un module logiciel spécial appelé analyseur heuristique, qui est capable d'examiner le contenu des fichiers pour la présence de code caractéristique des virus informatiques. Cela permet d'identifier et d'avertir en temps opportun du danger d'infection par un nouveau virus.
Les types de programmes antivirus suivants sont distingués:
1) programmes de détection: conçu pour trouver les fichiers infectés par l'un des virus connus. Certains programmes de détection peuvent également guérir les fichiers contre les virus ou détruire les fichiers infectés. Il existe des détecteurs spécialisés, c'est-à-dire conçus pour traiter un virus et polyphagesqui peut combattre de nombreux virus;
2) programmes de guérisseurs: conçu pour soigner les lecteurs et programmes infectés. Le traitement du programme consiste à supprimer le corps du virus du programme infecté. Ils peuvent également être à la fois polyphages et spécialisés;
3) programmes d'auditeur: conçu pour détecter l'infection virale des fichiers, ainsi que pour trouver les fichiers endommagés. Ces programmes mémorisent les données sur l'état du programme et les zones système des disques dans l'état normal (avant l'infection) et comparent ces données pendant que l'ordinateur fonctionne. En cas d'incohérence des données, un message sur la possibilité d'une infection s'affiche;
4) guérisseurs-auditeurs: conçu pour détecter les changements dans les fichiers et les zones système des disques et, en cas de changement, les ramener à leur état d'origine.
5) programmes de filtrage: conçu pour intercepter les appels au système d'exploitation, qui sont utilisés par les virus pour se propager et en informer l'utilisateur. L'utilisateur peut activer ou désactiver l'opération correspondante. Ces programmes sont résidents, c'est-à-dire qu'ils sont situés dans la RAM de l'ordinateur.
6) programmes de vaccination: sont utilisés pour traiter les fichiers et les secteurs de démarrage afin de prévenir l'infection par des virus connus (récemment, cette méthode est de plus en plus utilisée).
Il convient de noter que choisir un «meilleur» antivirus est une décision extrêmement erronée. Il est recommandé d'utiliser plusieurs packages antivirus différents en même temps. Lors du choix d'un programme antivirus, vous devez faire attention à un paramètre tel que le nombre de signatures de reconnaissance (une séquence de caractères garantissant la reconnaissance d'un virus). Le deuxième paramètre est la présence d'un analyseur heuristique pour les virus inconnus, sa présence est très utile, mais elle ralentit considérablement le temps de fonctionnement du programme.
questions de test
Qu'est-ce qu'un virus informatique?
Comment un virus infecte-t-il un ordinateur?
Comment fonctionnent les virus informatiques?
Quelles sources d'infection par virus informatique connaissez-vous?
Par quels signes pouvez-vous détecter le fait d'une infection virale informatique?
Quels types de virus connaissez-vous? Quelles actions destructrices mènent-ils?
Quelles mesures sont prises pour éviter une infection par un virus informatique?
Qu'est-ce qu'un antivirus? Quels types d'antivirus connaissez-vous?
Qu'est-ce qu'un analyseur heuristique? Quelles fonctions remplit-il?
Informations générales.Les utilisateurs de PC sont le plus souvent confrontés à l'un des types de criminalité informatique: les virus informatiques. Ces derniers sont un type particulier de malware qui cause de nombreux problèmes aux utilisateurs et au personnel de maintenance des PC 1.
Virus informatiqueest appelé un programme capable d'auto-reproduction et de reproduction, qui est mis en œuvre dans d'autres programmes.
L'analogie entre les concepts de virus informatique et biologique est évidente. Cependant, tous les programmes capables de se répliquer ne sont pas des virus informatiques. Les virus font toujours des ravagesempêcher le fonctionnement normal du PC, détruire la structure des fichiers, etc., par conséquent, ils sont classés comme des programmes dits malveillants.
Historiquement, l'émergence des virus informatiques est associée à l'idée de créer des mécanismes d'auto-réplication, en particulier des programmes, née dans les années 50. J. von Neumann en 1951 a proposé une méthode pour créer de tels mécanismes, et ses considérations ont été développées plus avant dans les travaux d'autres chercheurs. Les premiers à apparaître étaient des programmes de jeu utilisant des éléments de la future technologie virale, puis, sur la base des résultats scientifiques et pratiques accumulés, certaines personnes ont commencé à développer des programmes auto-réplicatifs dans le but de nuire aux utilisateurs d'ordinateurs.
Les créateurs de virus ont concentré leurs efforts sur le PC en raison de leur masse et du manque presque total d'outils de protection efficaces au niveau du matériel et du système d'exploitation. Parmi les incitations à la conduite des auteurs de virus, on trouve les suivantes:
Le désir de «déranger» quelqu'un;
1 N.N. Bezrukov
Un besoin artificiel de commettre des crimes;
Le désir de s'affirmer, méfait et en même temps un manque de compréhension de toutes les conséquences de la propagation du virus;
L'incapacité d'utiliser vos connaissances de manière constructive (c'est plus un problème économique);
Confiance en une impunité totale (dans un certain nombre de pays, il n'existe pas de normes de responsabilité légale pour la création et la propagation de virus).
Les principaux canaux de pénétration des virus dans un ordinateur personnel sont les lecteurs de supports amovibles et les communications réseau, en particulier Internet.
Les premiers cas d'infection massive de PC par des virus ont été notés en 1987, lorsque le soi-disant virus pakistanais est apparu, créé par les frères Amjat et Bazit Alvi. Ainsi, ils ont décidé de punir les Américains qui ont acheté des copies illégales bon marché de logiciels au Pakistan, que les frères ont commencé à infecter avec le virus développé. Le virus a infecté plus de 18 000 ordinateurs aux États-Unis et a voyagé à travers le monde jusqu'en URSS. Le virus suivant largement connu était le virus Lehigh (virus Lehigh), qui s'est propagé à l'université du même nom aux États-Unis. En quelques semaines, il détruisit le contenu de plusieurs centaines de disquettes de la bibliothèque du centre informatique de l'université et les disquettes personnelles des étudiants. En février 1989, environ 4 000 PC avaient été infectés par ce virus aux États-Unis.
Par la suite, le nombre de virus et le nombre d'ordinateurs infectés par eux ont commencé à croître comme une avalanche, ce qui a nécessité l'adoption de mesures urgentes à la fois techniques, organisationnelles et juridiques. Divers outils antivirus sont apparus, à la suite desquels la situation a commencé à ressembler à la course aux armements et aux moyens de protection contre eux. L’adoption par un certain nombre de pays développés d’actes législatifs sur la criminalité informatique, parmi lesquels figurent des articles concernant la création et la diffusion de virus informatiques, a eu un certain effet.
Actuellement, il existe plus de 20000 virus dans le monde, y compris des souches, c.-à-d. variétés de virus du même type. Les virus ne reconnaissant pas les frontières, la plupart d'entre eux traversent la Russie. De plus, il y a eu une tendance à une augmentation du nombre de virus développés par les programmeurs nationaux. Si la situation ne change pas, la Russie pourra à l'avenir revendiquer le rôle de leader dans le domaine de la création de virus.
Classification des virus.Le cycle de vie des virus informatiques comprend généralement prochaines phases:
La période de latence pendant laquelle aucune action n'est entreprise par le virus;
La période d'incubation, au cours de laquelle le virus ne fait que se multiplier;
Une période active pendant laquelle, parallèlement à la reproduction, des actions non autorisées inhérentes à l'algorithme viral sont effectuées.
Les deux premières phases permettent de masquer la source du virus, le canal de sa pénétration et d'infecter le plus de fichiers possible avant que le virus ne soit détecté. La durée de ces phases peut être déterminée par l'intervalle de temps prévu dans l'algorithme, l'occurrence d'un événement dans le système, la présence d'une certaine configuration du matériel PC (notamment, la présence d'un disque dur), etc.
Les virus informatiques sont classés selon les caractéristiques suivantes:
Habitat;
Par la façon dont l'environnement est contaminé;
Par voie d'activation;
La voie de manifestation (actions destructrices ou effets provoqués);
En guise de déguisement.
Les virus ne peuvent être introduits que dans des programmes qui, à leur tour, peuvent être contenus dans des fichiers ou dans certains composants de la zone système du disque impliqués dans le processus de démarrage du système d'exploitation. Selon habitatdistinguer entre:
fichiervirus infectant les fichiers exécutables;
démarrageles virus qui infectent les composants de la zone système utilisés lors du chargement du système d'exploitation;
démarrage de fichiervirus qui intègrent les fonctionnalités des deux premiers groupes.
Les virus de fichiers peuvent infecter:
Programmes machine relocalisables indépendants de la position situés dans des fichiers COM;
Programmes machine déplaçables en fonction de la position placés dans des fichiers EXE;
Pilotes de périphérique (fichiers SYS et BIN);
Fichiers avec des composants DOS;
Modules d'objets (fichiers OBJ);
Fichiers avec des programmes dans des langages de programmation (basés sur la compilation de ces programmes);
Fichiers de commandes (fichiers BAT);
Bibliothèques d'objets et de symboles (LIB et autres fichiers);
Fichiers de superposition (OVL-, PIF- et autres fichiers). Les virus de fichiers les plus courants sont capables de s'injecter dans COM
et / ou fichiers EXE.
Les virus de démarrage peuvent infecter:
Secteur d'amorçage sur disquettes;
Le secteur d'amorçage du disque logique système créé sur le disque dur;
Bootloader hors système sur le disque dur. Les virus de démarrage se propagent sur des disquettes en comptant sur
qu'une tentative sera faite pour démarrer à partir d'eux, ce qui n'arrive pas si souvent. Les virus de fichiers ont une infectivité plus élevée.
Les virus de démarrage de fichiers sont encore plus infectieux, car ils peuvent se propager à la fois dans les fichiers programmes et sur les disquettes de données.
Méthodes d'infectionles habitats dépendent du type de ces derniers. Un environnement infecté par un virus est appelé un vecteur de virus. Une fois implanté, le corps d'un fichier virus peut être localisé:
À la fin du fichier;
Au début du fichier;
Au milieu du dossier;
Dans la partie de queue (libre) du dernier cluster occupé par le fichier.
Le plus facile à mettre en œuvre est l'introduction d'un virus à la fin d'un fichier COM. Lorsqu'il prend le contrôle, le virus sélectionne un fichier victime et le modifie comme suit:
1. Ajoutez sa propre copie (corps du virus) au fichier.
2. Conserve le début original du fichier dans cette copie.
3. Remplace le début d'origine du fichier par une commande de transfert de contrôle vers le corps du virus.
Lorsqu'un programme infecté par la méthode décrite est démarré, l'exécution du corps du virus est initialement lancée, à la suite de quoi:
Le début original du programme est restauré (mais pas dans un fichier, mais en mémoire!);
Peut-être qu'une autre victime est recherchée et infectée;
Éventuellement, des actions non autorisées par l'utilisateur sont en cours d'exécution;
Le contrôle est transféré au début du porteur du virus, à la suite de quoi il est exécuté de la manière habituelle.
L'implantation du virus au début du fichier COM se fait différemment: un nouveau fichier est créé, qui est une union du corps du virus et du contenu du fichier d'origine. Les deux manières décrites d'introduire un virus entraînent une augmentation de la longueur du fichier d'origine.
L'implantation de virus au milieu d'un fichier est la plus complexe et la plus spécialisée. La difficulté réside dans le fait que dans ce cas le virus doit "connaître" la structure du fichier victime (par exemple, command.com) afin de pouvoir pénétrer, notamment, dans la zone de pile. La méthode d'implantation décrite n'augmente pas la longueur du fichier.
La manifestation (actions destructrices) des virus peut être:
Impact sur les performances du PC;
Distorsion des fichiers de programme;
Déformation des fichiers de données;
Formater un disque ou une partie de celui-ci;
Remplacement des informations sur un disque ou une partie de celui-ci;
Distorsion du chargeur de disque système ou non système;
Destruction de la connectivité des fichiers en corrompant la table FAT;
Distorsion des données dans la mémoire CMOS.
La plupart des virus du premier groupe qui provoquent des effets visuels ou sonores sont appelés officieusement "illusionnistes". D'autres virus du même groupe peuvent ralentir le PC ou interférer avec le fonctionnement normal de l'utilisateur en modifiant et bloquant les fonctions des programmes en cours d'exécution, ainsi que le système d'exploitation. Les virus de tous les autres groupes sont souvent appelés «vandales» en raison des dommages irréparables qu'ils causent, en règle générale.
Selon façons de se déguiserdistinguer entre:
Virus non masquants;
Virus à auto-cryptage;
Virus furtifs.
Les auteurs des premiers virus ont accordé une attention particulière aux mécanismes de reproduction (réplication) avec l'introduction de corps dans d'autres programmes. Les outils antivirus n'étaient pas masqués. Ces virus sont appelés virus sans masquage.
Avec l'avènement des outils antivirus, les développeurs de virus ont concentré leurs efforts sur le masquage de leurs produits. Tout d'abord, l'idée d'un virus à auto-cryptage a été mise en œuvre. De plus, seule une petite partie de celui-ci est disponible pour une lecture significative, et le reste est déchiffré immédiatement avant que le virus ne commence à fonctionner. Cette approche rend difficile à la fois la détection du virus et l'analyse de son corps par des spécialistes.
Des virus furtifs sont également apparus, du nom d'un projet à grande échelle visant à créer des avions furtifs. Les méthodes de masquage utilisées par les virus furtifs sont complexes et peuvent être grossièrement divisées en deux catégories: masquer la présence d'un virus dans un programme porteur de virus; masquant la présence d'un virus résidant en mémoire dans la RAM.
Automodification du corps du virus;
Mise en œuvre de l'effet de suppression d'un corps de virus d'un porteur de virus lors de la lecture de ce dernier à partir d'un disque, notamment par un débogueur (cela se fait en interrompant une interruption, bien sûr, s'il y a un virus résident en RAM)
Implanter le corps du virus dans un fichier sans augmenter sa taille;
L'effet de l'invariabilité de la longueur du fichier infecté (effectuée de la même manière que le point 2);
Conserver le début original des fichiers programme inchangé.
Par exemple, lors de la lecture d'un répertoire à l'aide des outils DOS, un virus résidant en mémoire peut intercepter l'interruption correspondante et réduire artificiellement la longueur du fichier. Bien entendu, la longueur réelle du fichier ne change pas, mais l'utilisateur se voit présenter des informations masquant son augmentation. En travaillant directement avec les répertoires (en contournant les outils DOS), vous pouvez obtenir de vraies informations sur les caractéristiques d'un fichier. Ces capacités sont notamment fournies par le shell Norton Commander.
Insertion d'un virus dans une zone spéciale de modules DOS résidents, dans la queue des clusters, dans la mémoire CMOS, la mémoire vidéo, etc.
Modification de la liste des chargeurs de démarrage non système, comme déjà mentionné;
Manipuler les gestionnaires d'interruptions, en particulier les méthodes spéciales pour les remplacer, afin de contourner les outils antivirus résidents;
Ajustement de la quantité totale de RAM.
Au cours de son travail quotidien, l'utilisateur est capable de détecter le virus par ses symptômes.Naturellement, les symptômes d'un virus sont directement déterminés par les modes de manifestation mis en œuvre dans celui-ci, ainsi que par d'autres caractéristiques du virus. Les symptômes suivants sont distingués en tant que symptômes de virus:
Augmentation du nombre de fichiers sur le disque;
Réduire la quantité de RAM libre;
Changer l'heure et la date de création du fichier;
Augmenter la taille du fichier programme;
L'apparition de clusters défectueux enregistrés sur le disque;
Fonctionnement anormal du programme;
Ralentissement du programme;
Allume le voyant du lecteur à un moment où il ne devrait y avoir aucun accès au disque;
Augmentation notable du temps d'accès au disque dur;
Dysfonctionnements du système d'exploitation, en particulier, son gel;
Incapacité de charger le système d'exploitation;
Destruction de la structure des fichiers (disparition de fichiers, déformation des répertoires).
Outre les virus informatiques, il existe d’autres programmes dangereux, par exemple les soi-disant «vers», officiellement appelés réplicateurs.Leur principale caractéristique est la possibilité de se reproduire sans être introduite dans d'autres programmes. Les réplicateurs sont créés dans le but de se répandre sur les nœuds d'un réseau informatique et peuvent avoir un remplissage, constitué notamment de virus. A cet égard, une analogie peut être établie entre le "ver" et la bombe à billes.
Un exemple de réplicateur est le programme Christmas Tree, qui dessine un arbre de Noël sur un écran d'affichage et envoie ensuite des copies de lui-même à toutes les adresses e-mail enregistrées.
Classification des outils antivirus. DANSun grand nombre d'outils antivirus sont désormais disponibles. Cependant, ils ne possèdent pas tous la propriété d'universalité: chacun est conçu pour des virus spécifiques ou bloque certains canaux d'infection PC ou de propagation de virus. À cet égard, l'application des méthodes d'intelligence artificielle au problème de la création d'outils antivirus peut être considérée comme un domaine de recherche prometteur.
Outil antivirusfait référence à un produit logiciel qui exécute une ou plusieurs des fonctions suivantes:
Protéger la structure du fichier de la destruction;
Détection de virus;
Neutralisation virale.
Filtrer le virus (gardien)est un programme résident qui surveille l'exécution des actions typiques des virus et oblige l'utilisateur à confirmer que des actions sont entreprises. Le contrôle est effectué en remplaçant les gestionnaires d'interruption appropriés. Les actions contrôlées peuvent être:
Mise à jour des fichiers de programme;
Enregistrement direct sur disque (par adresse physique);
Formatage du disque;
Placement résident du programme dans la RAM. Détecteurappelé le programme qui recherche
virus à la fois sur les supports de stockage externes et dans la RAM. Le résultat du fonctionnement du détecteur est une liste de fichiers et / ou de zones infectés, indiquant éventuellement les virus spécifiques qui les ont infectés.
Les détecteurs sont divisés en universels (inspecteurs) et spécialisés. Universelles détecteurs vérifient l'intégrité des fichiers en calculant une somme de contrôle et en la comparant à une norme. La norme est soit indiquée dans la documentation du logiciel, soit déterminée au tout début de son fonctionnement.
Spécialiséles détecteurs sont configurés pour des virus spécifiques, un ou plusieurs. Si le détecteur est capable de détecter plusieurs divers virusalors ça s'appelle un polydétecteur.Le travail d'un détecteur spécialisé est basé sur la recherche d'une ligne de code appartenant à un virus particulier, éventuellement spécifié par une expression régulière. Un tel détecteur n'est pas capable de détecter tous les virus possibles.
Désinfecteur (médecin, phage)est un programme qui supprime un virus avec ou sans récupération
restauration de l'habitat. Un certain nombre de virus déforment l'habitat de telle sorte que son état d'origine ne peut pas être restauré.
Les polydétecteurs-phages les plus connus sont les progiciels Antiviral Toolkit Pro d'Eugene Kaspersky et DrWeb de Dialog.
Immunisateur (vaccin)fait référence à un programme qui empêche des virus spécifiques d'infecter un habitat ou une mémoire. Les immuniseurs résolvent le problème de la neutralisation du virus non pas en le détruisant, mais en bloquant sa capacité à se reproduire. Ces programmes ne sont actuellement pratiquement pas utilisés.
Méthodes de protection contre les virus informatiques.En matière de protection contre les virus informatiques, la complexité des mesures prises, tant organisationnelles que techniques, est plus importante que jamais. A l'avant-garde de la «défense», il convient de placer derrière eux des moyens de protection des données contre la destruction - des moyens de détection des virus et, enfin, des moyens de neutralisation des virus.
Les moyens de protéger les données contre d'éventuelles pertes et destructions doivent être utilisés toujours et régulièrement.En plus de cela, vous devez respecter les recommandations organisationnelles suivantes afin de vous débarrasser de l'infection virale:
Utilisez toujours des disquettes avec un logement de protection en écriture scellé dans la mesure du possible;
N'utilisez pas de disquettes inconnues à moins que cela ne soit absolument nécessaire;
Ne transférez pas vos disquettes à d'autres;
N'exécutez pas de programmes dont le but n'est pas clair; n'utilisez que des produits logiciels sous licence;
Restreignez l'accès au PC aux personnes non autorisées.
Si vous devez utiliser un produit logiciel provenant d'une source inconnue, il est recommandé:
Testez le logiciel avec des détecteurs spécialisés pour détecter la présence de virus connus. Il n'est pas souhaitable de placer des détecteurs sur un disque dur - pour cela, vous devez utiliser une disquette protégée en écriture;
Sauvegardez les fichiers du nouveau produit logiciel;
Sauvegardez vos fichiers nécessaires au fonctionnement du nouveau logiciel;
Organisez le fonctionnement d'essai d'un nouveau produit logiciel dans le contexte d'un filtre antivirus avec des réponses délibérées à ses messages.
La protection contre les virus informatiques devrait faire partie d'un ensemble de mesures visant à protéger les informations à la fois dans les ordinateurs individuels et dans les systèmes d'information automatisés dans leur ensemble.
LISTE DE RÉFÉRENCES
1. Andreev V.B.Informatique juridique: manuel. Manuel. - M: IMP, 1998.
2. Baranov A.K., Karpychev V.Yu., Minaev V.A.Technologies expertes en informatique dans les organes des affaires internes: Manuel. - M.: Académie du ministère des Affaires intérieures de la Fédération de Russie, 1992.
3. Baturin Yu.M.Droit et politique dans le cercle informatique. - M .: Nauka, 1987.
4. Baturin Yu.M.Problèmes de droit informatique. - M.: Jurid. lit., 1991.
5. Baturin Yu.M., Zhodzishsky A.M.Crimes informatiques et sécurité informatique. - M.: Jurid. lit., 1991.
6. Bauer F.L., Gooz G.L'informatique. Cours d'introduction: 2 heures - Moscou: Mir, 1990. - Partie 1.
7. N.N. BezrukovVirus informatiques. - M .: Nauka, 1991.
8. Borovkov V.P.Une introduction populaire à Statistica. - M.: Presse informatique, 1998.
9. Vekhov B.V.Crimes informatiques: méthodes de commission, méthodes d'enquête. - M .: Droit et droit, 1996.
10. Voskresensky G.M., Dudarev G.I., Maslennikov E.P.Méthodes statistiques de traitement et d'analyse des informations sociales dans les activités de gestion des organes des affaires internes. - M.: Académie du ministère des Affaires intérieures de l'URSS, 1986.
11. Gudkov P.B.Crimes informatiques dans le domaine de l'économie. - M .: MI Ministère des affaires intérieures de Russie, 1995.
12. Gulbin Yu.Crimes dans le domaine de l'information informatique // Justice russe. - 1997. - N ° 10. - S. 24-25.
13. Demidov V.N.Caractéristiques criminologiques de la criminalité en Russie et au Tatarstan: manuel. - M .: VNII MIA de Russie, 1998.
14. Dyakonov V.P.Manuel de calculs sur microcalculateurs. - 3e éd. - M .: Nauka, 1989.
15. Dyakonov V.P.Ouvrage de référence sur les algorithmes et programmes en langage BASIC pour les ordinateurs personnels. - M .: Nauka, 1989.
16. Zhenilo V.R.L'informatique et la technologie informatique dans les activités des organes des affaires internes. Partie 3. Logiciel pour la technologie informatique: Manuel. Manuel. / Ed. VIRGINIE. Minaeva. - M.: GUK MVD RF, 1996.
17. Zhenilo V.R., Minaev V.A.Technologies informatiques dans la recherche et les examens phonoscopiques médico-légaux: manuel. - M.: Académie du ministère des Affaires intérieures de la Fédération de Russie, 1994.
18. Ivakhnenko A.G., Yurachkovsksh Yu.P.Simulation de systèmes complexes à partir de données expérimentales. - M .: Radio et communication, 1987.
19. Informatique. Cours de base: manuel. pour les universités / Ed. S. V. Simonovich. - SPb.: Peter, 1999.
20. Informatique et mathématiques pour les avocats. Cours abrégé en tableaux et schémas: Manuel. Manuel. / Ed. V.A.Minaeva. - M.: MUI du Ministère de l'intérieur de la Russie; Avant, 1998.
21. L'informatique et la technologie informatique dans les activités des organes chargés des affaires internes. Partie 2. Matériel informatique: manuel. Manuel. / Ed. V.A.Minaeva. - M .: GUK Ministère des affaires intérieures de la Fédération de Russie, 1995.
22. L'informatique et la technologie informatique dans les activités des organes chargés des affaires internes. Partie 4. Automatisation de la résolution de problèmes pratiques dans les organes des affaires internes: manuel. Manuel. / Ed. V.A.Minaeva. - M.: GUK MVD RF, 1996.
23. L'informatique et la technologie informatique dans les activités des organes chargés des affaires internes. Partie 5. Activité analytique et technologie informatique: manuel. Manuel. / Ed. VIRGINIE. Minaev. - M.: GUK MVD RF, 1996.
24. L'informatique et la technologie informatique dans les activités des organes chargés des affaires internes. Partie 6. Réseaux informatiques dans les organes des affaires internes: manuel. Manuel. / Ed. VIRGINIE. Minaev. - M.: GUK MVD RF, 1997.
25. Technologies de l'information de la gestion dans les organes des affaires internes / Ed. VIRGINIE. Minaev. - M.: Académie de gestion du ministère des Affaires intérieures de la Fédération de Russie, 1997.
26. Isakov S.A.Information et soutien technique des organes des affaires internes: manuel. Manuel. - M.: Institut de droit du ministère des Affaires intérieures de la Fédération de Russie, 1994.
27. Kazantsev S.Ya., Mazurenko P.I.L'utilisation d'ordinateurs dans les activités des forces de l'ordre. - Kazan: succursale de Kazan de l'Institut de droit du Ministère de l'intérieur de la Fédération de Russie, 1997.
29. Kidmeier M.Multimédia. - SPb.: "BHV-Saint-Pétersbourg", 1994.
30. Commentaire sur le Code pénal Fédération Russe / Ed. A.V. Naumova. - M .: Juriste, 1996.
31. Technologies informatiques du traitement de l'information: Manuel. Manuel. / Ed. S.V. Nazarova. - M.: Finances et statistiques, 1995.
32. Technologies informatiques dans l'activité juridique. Cahier de texte. et pratique. manuel / sous. ed. N. Polevoy, V. Krylov. - M.: Maison d'édition BEK, 1994.
33. Le concept de développement du système d’aide à l’information des organes des affaires intérieures dans la lutte contre la criminalité. Approuvé par arrêté du Ministère des affaires intérieures de la Fédération de Russie n ° 229 du 05/12/93.
34. Korshunov Yu.M.Fondements mathématiques de la cybernétique. - M.: Energoatomizdat, 1987.
35. Médecine légale et criminalité informatique: matériel d'un séminaire scientifique et pratique // Sat. des articles. - M .: EKT, ministère des Affaires intérieures de Russie, 1993.
36. V.V. KrylovEnquête sur les crimes dans le domaine de l'information. M.: Gorodets. 1998.
37. Levin A.Un manuel d'auto-instruction pour travailler sur un ordinateur. - 5e éd. - M.: Connaissance, 1999.
38. Réseaux locaux: Manuel: In 3 kn. Livre. 1. Principes de construction, architecture, outils de communication / Ed. S.V. Nazarova. - M.: Finances et statistiques, 1994.
39. Lyapunov Yu., Maksimov V.Responsabilité pour délits informatiques // Légalité. - 1997. - N ° 1. - S. 8-15.
40. McKlang Kr.J., le juge Gerrieri, McKlang K.A.Micro-ordinateurs pour avocats / Per. de l'anglais. A.P. Polezhaeva. - M .: Littérature juridique, 1988.
41. A.A. MarkaryanIntégration des acquis des sciences naturelles et techniques dans la science médico-légale. - Izhevsk: UdSU, 1996.
42. V. V. MelnikovProtection des informations dans les systèmes informatiques. - M.: Finances et statistiques, 1997.
43. Méthodologie et méthodes de prévision dans le domaine de la lutte contre la criminalité: Actes de l'Académie du Ministère de l'intérieur de l'URSS. - M.: Académie du ministère des Affaires intérieures de l'URSS, 1989.
44. Minaev V.A.Ressources humaines des organes des affaires internes: approches modernes de la gestion. - M.: Académie du ministère des Affaires intérieures de l'URSS, 1991.
45. Minin A.Ya.Fondamentaux de la gestion et de l'informatique: un cours de conférences. - Ekaterinbourg: Ecole supérieure d'Ekaterinbourg du Ministère de l'intérieur de la Russie, 1993.
46. Minin A.Ya.Informatisation de la recherche criminologique: théorie et méthodologie. - Ekaterinbourg: Maison d'édition de l'Oural. Université, 1992.
47. La science et la technique au service de l'enquête // Bulletin d'information du service des enquêtes du Ministère de l'intérieur de la République du Tatarstan. - Problème. 5. - Kazan, 1996.
48. À propos de l'information, de l'informatisation et de la protection de l'information. Loi fédérale du 22 février 1995 // Rossiyskaya Gazeta. - 1995 .-- 22 février.
49. Organisation des activités des informaticiens des organes des affaires intérieures des montagnes-raylin: Sat. matériel pour les classes dans le système de formation de service / Ed. Yu.A. Bunicheva. - M .: Ministère des affaires intérieures de la Fédération de Russie du GIT, 1995.
50. Fondements de l'automatisation de la gestion dans les organes des affaires internes: Manuel. / Ed. V.A.Minaeva, A.P. Polezhaeva. - M.: Académie du ministère des Affaires intérieures de la Fédération de Russie, 1993.
51. Fondements de la modélisation mathématique dans les activités des organes des affaires internes: manuel. Manuel. / Ed. V.A.Minaeva. - M.: Académie du ministère des Affaires intérieures de la Fédération de Russie, 1993.
52. Pershikov V.I., Savinkov V.M.Dictionnaire explicatif de l'informatique. - 2e éd. - M.: Finances et statistiques, 1995.
53. Petrovsky A., Leontiev B.Piratage efficace pour les débutants et plus encore. - M.: Livre informatif plus, 1999.
54. Polevoi N. S.Cybernétique médico-légale: manuel. - 2e éd. - M .: Université d'État de Moscou, 1989.
55. Informatique juridique et cybernétique: manuel. / Ed. N. S. Polevoy. - M .: Littérature juridique, 1993.
56. Problèmes de programmation, d'organisation et de support informationnel de l'enquête préliminaire // Interuniversités. mezhved. Sam. scientifique. travaux. - Ufa, 1989.
57. Le programme d’informatisation des organes des affaires intérieures de la Fédération de Russie pour 1991 et dans un proche avenir. Approuvé par arrêté du Ministère des affaires intérieures de la Fédération de Russie n ° 104 du 05.07.91.
58. Enquête sur l'accès illégal à des informations informatiques / Ed. I.G. Shurukhnova. - Moscou: Maison d'édition Shchit, 1999.
59. Simonovich S.V., Evseev G.A.Informatique pratique: un guide d'étude. Cours universel. - M.: AST-Press, 1998.
60. Simonovich S.V., Evseev G.A., Alekseev A.G.Informatique spéciale: manuel. - M.: AST-Press, 1998.
61. Sawyer B., Foster D.L.Programmation de systèmes experts en Pascal: Traduit de l'anglais. - M.: Finances et statistiques, 1990.
62. Sokovykh Yu.Yu.Qualification des crimes et informatique // Bulletin d'information de la commission d'enquête du ministère des Affaires intérieures de la Fédération de Russie, 1993, n ° 4 (46).
63. Modélisation et prévisions statistiques: manuel. Manuel. / Ed. A.G. Granberg. - M.: Finances et statistiques, 1990.
64. Mandat pour la création d'un réseau informatique d'information des organes des affaires internes de la Fédération de Russie. Approuvé par le ministre de l'Intérieur le 22 février 1992
65. Enregistrement fédéral du GIC dans la lutte contre la criminalité. Pour aider les employés des organes des affaires internes / Ed. G.L. Lezhikova. - M.: GIT, Ministère des affaires intérieures de la Fédération de Russie, 1994.
66. Figurnov V.E.IBM PC pour l'utilisateur. - 6e éd. - M.: Infra-M, 1995.
67. Shcherbinin A.I., Ignatov L.N., Puchkov S.I., Kotov I.A.Analyse comparative de logiciels pour l'automatisation de l'activité de procédure pénale // Bulletin d'information de la commission d'enquête du ministère des Affaires intérieures de la Fédération de Russie. - 1993. - N ° 3 (46). - S. 73 à 82.
68. Shcherbinin A.I., Ilyin S.K., Ignatov L.N.Utilisation d'ordinateurs personnels dans l'enquête sur des cas complexes de détournement de fonds à plusieurs épisodes dans le secteur bancaire // Bulletin d'information de la commission d'enquête du ministère des Affaires intérieures de la Fédération de Russie. - 1993. - N ° 4 (46).
69. Systèmes experts. Comment ça marche et exemples. - M .: Radio et communication, 1987.
70. Yaromich S.A.L'informatique autour de nous: un dictionnaire de référence. - Odessa: Mayak, 1991.
VIRUS INFORMATIQUES, LEUR CLASSIFICATION. LOGICIEL ANTIVIRUS
Virus informatique est un programme spécial qui peut s'attacher spontanément à d'autres programmes et, lorsque ceux-ci sont lancés, effectuer diverses actions indésirables: endommager les fichiers et répertoires; distorsion des résultats des calculs; obstruction ou effacement de la mémoire; interférence avec l'ordinateur. La présence de virus se manifeste dans différentes situations.
- Certains programmes cessent de fonctionner ou ne fonctionnent pas correctement.
- Les messages, signaux et autres effets superflus sont affichés à l'écran.
- L'ordinateur ralentit considérablement.
- La structure de certains fichiers est endommagée.
Il existe plusieurs signes de classification des virus existants:
- par habitat;
- par la zone touchée;
- par les fonctionnalités de l'algorithme;
- par la méthode d'infection;
- pour des opportunités destructrices.
Par habitat, les virus de fichier, de démarrage, de macro et de réseau sont distingués.
Les virus de fichiers sont le type de virus le plus courant. Ces virus infiltrent les fichiers exécutables, créent des fichiers compagnons (virus compagnons), ou exploitent l'organisation du système de fichiers (virus de lien).
Les virus d'amorçage s'inscrivent dans le secteur d'amorçage du disque ou dans le secteur d'amorçage du disque dur. Démarre lorsque l'ordinateur démarre et devient généralement résident.
Les virus de macro infectent les fichiers de progiciels de traitement de données largement utilisés. Ces virus sont des programmes écrits dans les langages de programmation intégrés à ces packages. Les plus répandus sont les virus de macro pour les applications Microsoft Office.
Les virus de réseau utilisent des protocoles ou des commandes de réseaux informatiques et de courrier électronique pour leur distribution. Le principe de base d'un virus de réseau est la capacité de transférer indépendamment son code vers un serveur ou un poste de travail distant. Les virus informatiques à part entière ont la capacité d'exécuter leur code sur un ordinateur distant pour exécution.
Dans la pratique, il existe diverses combinaisons de virus - par exemple, des virus de démarrage de fichier qui infectent à la fois les fichiers et les secteurs de démarrage des disques, ou des virus de macro réseau qui infectent les documents en cours d'édition et s'envoient des copies d'eux-mêmes par e-mail.
En règle générale, chaque virus infecte les fichiers d'un ou plusieurs systèmes d'exploitation. De nombreux virus de démarrage égalementaxé sur des formats spécifiques de l'emplacement des données système dans les secteurs de démarrage des disques. Par les caractéristiques de l'algorithme, les résidents se distinguent; virus, virus furtifs, polymorphes, etc. Les virus résidents sont capables de laisser leurs copies dans l'OP, d'intercepter le traitement des événements (par exemple, l'accès à des fichiers ou des disques) et d'invoquer des objets (fichiers ou secteurs) des procédures infectantes. Ces virus sont actifs en mémoire non seulement lorsque le programme infecté est en cours d'exécution, mais également après. Les copies résidentes de ces virus sont viables jusqu'au redémarrage du système d'exploitation, même si tous les fichiers infectés sont détruits sur le disque. Si un virus résidant en mémoire est également amorçable et est activé au démarrage du système d'exploitation, même le formatage du disque si ce virus est présent dans la mémoire ne le supprimera pas.
Les macrovirus doivent également être classés comme virus résidents, car ils sont constamment présents dans la mémoire de l'ordinateur pendant que l'éditeur infecté est en cours d'exécution.
Les algorithmes furtifs permettent aux virus de masquer complètement ou partiellement leur présence. L'algorithme furtif le plus courant consiste à intercepter les requêtes du système d'exploitation pour la lecture / l'écriture d'objets infectés. Dans ce cas, les virus furtifs guérissent temporairement ces objets ou se substituent à eux-mêmes des zones d'informations non infectées. En partie, un petit groupe de macro-virus qui stockent leur code principal non pas dans des macros, mais dans d'autres zones du document, dans ses variables ou dans le texte automatique, sont appelés virus furtifs.
Le polymorphisme (auto-cryptage) est utilisé pour compliquer la détection des virus. Les virus polymorphes sont des virus difficiles à détecter qui n'ont pas de code permanent. En général, deux échantillons du même virus ne correspondent pas. Ceci est réalisé en cryptant le corps principal du virus et en modifiant le programme de décryptage.
Lors de la création de virus, des techniques non standard sont souvent utilisées. Leur utilisation doit rendre la détection et l'élimination du virus aussi difficiles que possible.
Les chevaux de Troie, les utilitaires d'administration cachés, les virus prévus, etc. se distinguent par la méthode d'infection.
Les chevaux de Troie tirent leur nom du cheval de Troie. Le but de ces programmes est d'imiter tous les programmes utiles, les nouvelles versions d'utilitaires populaires ou leurs add-ons. Lorsque l'utilisateur les écrit sur son ordinateur, les chevaux de Troie sont activés et exécutent des actions indésirables.
Les utilitaires d'administration cachés sont un type de cheval de Troie. En termes de fonctionnalité et d'interface, ils rappellent à bien des égards les systèmes d'administration des ordinateurs du réseau, développés et distribués par diverses sociétés - fabricants de produits logiciels. Pendant l'installation, ces utilitaires installent indépendamment un système de contrôle à distance caché sur l'ordinateur. En conséquence, il devient possible de contrôler secrètement cet ordinateur. Mettre en œuvre les algorithmes inhérents, les utilitaires, à l'insu de l'utilisateur, accepter, lancer ou envoyer des fichiers, détruire des informations, Erez démarrer l'ordinateur, etc. Il est possible d'utiliser ces utilitaires pour détecter et transférer des mots de passe et autres informations confidentielles, exécuter des virus et détruire des données.
Les virus prévus incluent les programmes qui ne peuvent pas se répliquer en raison d'erreurs qui s'y trouvent. Cette classe comprend également les virus qui ne se répliquent qu'une seule fois. Après avoir infecté un fichier, ils perdent la capacité de se multiplier davantage.
En fonction de leurs capacités destructrices, les virus sont divisés en:
- inoffensif, dont l'effet est limité à une diminution de la mémoire libre sur le disque, un ralentissement de l'ordinateur, des effets graphiques et sonores;
- dangereux, ce qui peut potentiellement entraîner des violations de la structure des fichiers et des dysfonctionnements de l'ordinateur;
- très dangereux, dans l'algorithme dont les procédures de destruction des données sont spécialement définies et la capacité d'assurer une usure rapide des pièces mobiles des mécanismes en introduisant une résonance et en détruisant les têtes de lecture / écriture de certains disques durs.
Pour la lutte contre les virus, il existe des programmes qui peuvent être divisés en groupes principaux: moniteurs, détecteurs, médecins, inspecteurs et vaccins.
Surveiller les programmes (programmes de filtrage) résident dans le système d'exploitation de l'ordinateur, interceptentet informez l'utilisateur des hits du système d'exploitation qui sont utilisés par les virus pour se multiplier et causer des dommages. L'utilisateur a la possibilité d'autoriser ou de refuser l'exécution de ces appels. L'avantage de ces programmes est la capacité de détecter des virus inconnus. L'utilisation de programmes de filtrage vous permet de détecter les virus à un stade précoce de l'infection informatique. Les inconvénients des programmes sont l'incapacité de suivre les virus qui accèdent directement au BIOS, ainsi que les virus de démarrage qui sont activés avant le démarrage de l'antivirus au démarrage du DOS, et l'émission fréquente de demandes d'opérations.
Programmes de détection vérifiez s'il existe une combinaison d'octets spécifique au virus dans les fichiers et sur les disques. S'il est détecté, un message correspondant s'affiche. L'inconvénient est la capacité de se protéger uniquement contre les virus connus.
Programmes de docteur restaurer les programmes infectés en supprimant le corps du virus. Habituellement, ces programmes sont conçus pour des types spécifiques de virus et sont basés sur la comparaison de la séquence de codes contenus dans le corps du virus avec les codes des programmes analysés. Les programmes de médecin doivent être périodiquement mis à jour afin d'obtenir de nouvelles versions qui détectent de nouveaux types de virus.
Programmes d'auditeur analyser les modifications de l'état des fichiers et des zones système du disque. Vérifiez l'état du secteur de démarrage et de la table FAT; longueur du fichier, attributs et heure de création; somme de contrôle des codes. L'utilisateur est informé de l'identification des incohérences.
Les programmes de vaccination modifient les programmes et les risques de telle manière que cela n'affecte pas le fonctionnement des programmes, mais le virus contre lequel est vacciné considère les programmes ou les disques déjà infectés. Les programmes antivirus existants sont principalement de la classe hybride (détecteurs-médecins, médecins-inspecteurs, etc.).
En Russie, les programmes antivirus les plus utilisés de Kaspersky Lab (Anti-IViral Toolkit Pro) et DialogueNauka (Adinf, Dr.Web). Package antivirus AntiViral Toolkit Pro (AVP) comprend AVP Scanner, le chien de garde résident AVP Monitor et le programme d'administration des composants installés. Control Center et plusieurs autres. AVP Scanner, en plus de l'analyse traditionnelle des fichiers exécutables et des fichiers de documents, traite les bases de données de courrier électronique. L'utilisation du scanner vous permet de détecter les virus dans les fichiers compressés et archivés (non protégés par des mots de passe). Détecte et supprime les macrovirus, polymorphes, stèles, chevaux de Troie, ainsi que les virus auparavant inconnus. Ceci est réalisé, par exemple, grâce à l'utilisation d'analyseurs heuristiques. De tels analyseurs simulent le fonctionnement du processeur et analysent les actions du fichier diagnostiqué. En fonction de ces actions, une décision est prise sur la présence d'un virus.
Le moniteur surveille les voies de pénétration de virus typiques, telles que les opérations d'accès aux fichiers et aux secteurs.
AVP Control Center est un shell de service conçu pour définir l'heure de début du scanner, mettre à jour automatiquement les composants du package, etc.
En cas d'infection ou de suspicion d'infection informatique par un virus, vous devez:
- évaluer la situation et ne pas prendre de mesures qui conduisent à la perte d'informations;
- redémarrez le système d'exploitation de l'ordinateur. Dans ce cas, utilisez une disquette système spéciale, précédemment créée et protégée en écriture. Cela empêchera l'activation des virus de démarrage et de mémoire résidant sur le disque dur de l'ordinateur;
- exécutez les programmes antivirus existants jusqu'à ce que tous les virus aient été détectés et supprimés. S'il est impossible de supprimer le virus et si le fichier contient des informations précieuses, archivez le fichier et attendez la sortie de la nouvelle version de l'antivirus. Une fois terminé, redémarrez votre ordinateur.
Cours 14 Virus informatiques
Classification des délits informatiques.
Virus informatiques, leurs propriétés et leur classification
Propriétés des virus informatiques
Tout d'abord, un virus est un programme. Une déclaration aussi simple en elle-même peut dissiper de nombreuses légendes sur les capacités extraordinaires des virus informatiques. Le virus peut inverser l'image sur votre moniteur, mais il ne peut pas retourner le moniteur lui-même. Les légendes des virus tueurs «tuant les opérateurs en affichant une gamme de couleurs mortelle dans la 25e image» ne doivent pas non plus être prises au sérieux.
Un virus est un programme capable de se reproduire. Cette capacité est la seule commune à tous les types de virus. Mais non seulement les virus sont capables de se reproduire eux-mêmes. N'importe quel système d'exploitation et bien d'autres programmes peuvent créer leurs propres copies. Les copies du virus non seulement ne doivent pas nécessairement coïncider complètement avec l'original, mais peuvent ne pas coïncider du tout avec lui!
Un virus ne peut pas exister en «isolement complet»: on ne peut aujourd'hui imaginer un virus qui n'utilise pas le code d'autres programmes, des informations sur la structure des fichiers, ou même simplement les noms d'autres programmes. La raison est claire: le virus doit en quelque sorte assurer le transfert de contrôle à lui-même.
Classification des virus
habitat
le mode de contamination de l'habitat
impact
fonctionnalités de l'algorithme
Selon l'habitat, les virus peuvent être divisés en réseau, fichier, démarrage et fichier-démarrage.
Virus de réseaudistribué à divers réseaux informatiques.
Virus de fichierssont principalement intégrés dans des modules exécutables, c'est-à-dire dans des fichiers avec les extensions COM et EXE. Les virus de fichiers peuvent s'injecter dans d'autres types de fichiers, mais, en règle générale, enregistrés dans de tels fichiers, ils ne prennent jamais le contrôle et, par conséquent, perdent leur capacité à se répliquer.
Virus de démarragesont intégrés dans le secteur d'amorçage du disque (secteur d'amorçage) ou dans le secteur contenant le programme d'amorçage du disque système (MasterBootRe-cord).
Démarrage de fichierles virus infectent à la fois les fichiers et les secteurs de démarrage des disques.
Par la méthode d'infection, les virus sont divisés en résidents et non-résidents.
Virus résidant en mémoirelorsqu'un ordinateur est infecté (infecté), il laisse sa partie résidente dans la RAM, qui intercepte alors l'accès du système d'exploitation aux objets de l'infection (fichiers, secteurs de démarrage des disques, etc.) et s'y embarque. Les virus résidents résident en mémoire et restent actifs jusqu'à ce que l'ordinateur soit arrêté ou redémarré.
Virus non résidents en mémoiren'infectent pas la mémoire de l'ordinateur et sont actifs pendant une durée limitée.
Selon le degré d'exposition, les virus peuvent être divisés en types suivants:
non dangereuxqui n'interfèrent pas avec le fonctionnement de l'ordinateur, mais réduisent la quantité de RAM libre et de mémoire sur les disques, les actions de ces virus se manifestent par des effets graphiques ou sonores
dangereuxvirus pouvant entraîner diverses perturbations de l'ordinateur
très dangereux, dont l'impact peut entraîner la perte de programmes, la destruction de données, l'effacement d'informations dans les zones système du disque.
Il est difficile de classer les virus en fonction de leurs caractéristiques d'algorithme en raison de leur grande variété.
virus réplicateursappelé vers, qui se répandent sur les réseaux informatiques, calculent les adresses des ordinateurs du réseau et écrivent des copies d'eux-mêmes à ces adresses.
Connu virus invisiblesappelé virus furtifs, qui sont très difficiles à détecter et à neutraliser, car ils interceptent les appels du système d'exploitation aux fichiers et secteurs de disque infectés et substituent des zones de disque non infectées à leur corps.
Le plus difficile à trouver virus mutantscontenant des algorithmes de cryptage-décryptage, grâce auxquels les copies du même virus n'ont pas une seule chaîne d'octets répétée. Il y a aussi des soi-disant quasi-viralou troyenprogrammes qui, bien que non capables d'auto-propagation, sont très dangereux, car, se déguisant en programme utile, ils détruisent le secteur d'amorçage et le système de fichiers des disques.
Virus de démarrage
Considérons le fonctionnement d'un virus de démarrage très simple qui infecte les disquettes. (Secteur de démarrage).
Supposons que vous ayez une disquette vierge et un ordinateur infecté, nous entendons par là un ordinateur avec un virus résident actif. Dès que ce virus détecte qu'une victime appropriée est apparue dans le lecteur - dans notre cas, une disquette non écrite et pas encore infectée, il procède à l'infection. En infectant une disquette, le virus effectue les actions suivantes:
alloue une certaine zone du disque et la marque comme inaccessible au système d'exploitation, cela peut être fait de différentes manières, dans le cas le plus simple et traditionnel les secteurs occupés par le virus sont marqués comme mauvais (mauvais)
copie sa queue et son secteur de démarrage d'origine (sain) dans la zone de disque sélectionnée
remplace le programme de démarrage dans le secteur de démarrage (présent) par sa tête
organise la chaîne de transfert de contrôle selon le schéma.
Ainsi, la tête du virus est maintenant la première à prendre le contrôle, le virus est installé en mémoire et transfère le contrôle au secteur de démarrage d'origine.
Virus de fichiers
Voyons maintenant comment fonctionne un simple virus de fichier.
Contrairement aux virus de démarrage, qui résident presque toujours en mémoire, les virus de fichiers ne sont pas nécessairement résidents en mémoire. Considérons le schéma de fonctionnement d'un virus de fichier non résident en mémoire. Supposons que nous ayons un fichier exécutable infecté. Lorsqu'un tel fichier est lancé, le virus prend le contrôle, effectue certaines actions et transfère le contrôle au «maître»
Que fait le virus? Il recherche un nouvel objet à infecter - un fichier d'un type approprié qui n'a pas encore été infecté. En infectant un fichier, le virus s'injecte dans son code pour prendre le contrôle lors de l'exécution du fichier. En plus de sa fonction principale - la reproduction, le virus peut bien faire quelque chose de complexe (par exemple, demander, jouer) - cela dépend déjà de l'imagination de l'auteur du virus. Si le virus de fichier réside dans la mémoire, il sera installé en mémoire et pourra infecter les fichiers et afficher d'autres capacités non seulement pendant l'exécution du fichier infecté. En infectant un fichier exécutable, un virus modifie toujours son code - par conséquent, une infection d'un fichier exécutable peut toujours être détectée.
Mais, en modifiant le code du fichier, le virus n'apporte pas nécessairement d'autres modifications:
il n'est pas obligé de modifier la longueur du fichier
sections de code inutilisées
n'a pas besoin de changer le début du fichier
Ainsi, lorsqu'un fichier est lancé, le virus prend le contrôle (le système d'exploitation le lance lui-même), s'installe en mémoire et transfère le contrôle au fichier appelé.
Virus de fichiers de démarrage
La principale action destructrice est le cryptage des secteurs du disque dur. À chaque lancement, le virus crypte la partie suivante des secteurs et, après avoir crypté la moitié du disque dur, le signale avec plaisir. Le principal problème dans le traitement de ce virus est qu'il ne suffit pas de supprimer le virus des fichiers, il est nécessaire de décrypter les informations cryptées par celui-ci.
Virus polymorphes
Ce type de virus informatique semble être le plus dangereux aujourd'hui. Expliquons ce que c'est.
Les virus polymorphes sont des virus qui modifient leur code dans les programmes infectés de telle sorte que deux copies du même virus ne coïncident en aucun cas.
De tels virus chiffrent non seulement leur code à l'aide de divers chemins de chiffrement, mais contiennent également le code de chiffrement et de génération de déchiffreur, qui les distingue des virus de chiffrement conventionnels, qui peuvent également chiffrer des parties de leur code, mais en même temps avoir un code de chiffrement et de déchiffrement permanent.
Les virus polymorphes sont des virus avec des décrypteurs auto-modifiants. Le but de ce cryptage: ayant les fichiers infectés et originaux, vous ne pouvez toujours pas analyser son code en utilisant un démontage ordinaire. Ce code est crypté et est un ensemble de commandes sans signification. Le déchiffrement est déjà effectué par le virus lui-même lors de l'exécution. Dans le même temps, des options sont possibles: il peut se décrypter en une seule fois, ou il peut effectuer un tel décryptage "en cours de route", il peut rechiffrer les sections déjà utilisées. Tout cela est fait pour rendre difficile l'analyse du code du virus.
Virus furtifs
Les virus furtifs trompent les programmes antivirus et passent donc inaperçus. Cependant, il existe un moyen simple de désactiver le mécanisme de masquage des virus furtifs. Il suffit de démarrer l'ordinateur à partir d'une disquette système non infectée et immédiatement, sans lancer d'autres programmes à partir du disque de l'ordinateur (qui peut également être infecté), vérifiez l'ordinateur avec un programme antivirus.