A) zavedenie vírusov;
B) sieťové vírusy;
C) makrovírusy
D) vírusy zavádzajúce súbory.
24. Tvorba počítačové vírusy je:
A) dôsledok porúch operačného systému;
B) zábava pre programátorov;
IN) vedľajší účinok pri vývoji softvéru;
D) trestný čin;
E) nevyhnutná súčasť odbornej prípravy programátorov.
25. Nezákonný prístup k počítačom a informáciám sa týka:
A) k programovaniu;
B) k duševnej činnosti;
C) k počítačovému pirátstvu
D) na vytvorenie počítačového vírusu.
26. Hlavnou podmienkou ochrany pred počítačovými vírusmi je:
A) inštalácia operačného systému Windows na počítači;
B) nedostatok internetu;
C) nedostatok skenera;
D) inštalácia antivírusového programu do počítača
27. Antivírusový program je:
A) Internet Explorer;
B) Microsoft Publisher;
D) Kaspersky AntiVirus.
28. Antivírus je špeciálny program:
A) vytvárať nové programy;
B) úprava kódu počítačových vírusov;
C) na detekciu, zničenie a ochranu pred počítačovými vírusmi;
D) na vytváranie a distribúciu počítačových vírusov.
29. Sada počítačov prepojených prostredníctvom kanálov na prenos údajov, ktoré poskytujú používateľovi prostriedky výmeny informácií a kolektívneho využívania sieťových zdrojov, sa nazýva:
A) regionálna počítačová sieť;
B) počítačová sieť;
C) podniková počítačová sieť;
D) globálna počítačová sieť.
30. Hlavnou charakteristikou kanálov na prenos informácií je:
A) materiál, z ktorého je kábel vyrobený;
B) vzdialenosť medzi počítačmi;
B) šírka pásma
D) miestnosť, v ktorej sú umiestnené počítače.
31. Osobný počítač pripojený k sieti, na ktorom užívateľ vykonáva svoju prácu, sa nazýva:
A) pracovná stanica;
B) automatizovaná pracovná stanica (AWP);
C) sieťový server;
D) spínacia jednotka.
32. Osobný počítač pripojený k sieti a poskytujúci určité informačné služby používateľom siete sa nazýva:
A) pracovná stanica;
B) sieťový server;
B) spínací uzol;
D) automatizovaná pracovná stanica (AWP).
33. Sieť, ktorá existuje v rovnakom meste, okrese alebo regióne a je súčasťou miestnej a globálnej počítačovej siete, sa nazýva:
A) globálna sieť;
C) lokálna sieť.
34. Sieť pokrývajúca malú oblasť so vzdialenosťou medzi jednotlivými počítačmi do 2 kilometrov sa nazýva:
A) globálna sieť;
B) regionálna alebo podniková sieť;
C) lokálna sieť.
35. Topológia siete, ktorá používa centrálny stroj, ku ktorému sú pripojené všetky ostatné stroje v sieti, sa nazýva:
A) prstencový alebo "kruhový";
B) hviezdny alebo „hviezda“;
B) lineárna zbernica.
36. Topológia siete, v ktorej je posledná pracovná stanica spojená komunikačnými kanálmi s prvou pracovnou stanicou, sa nazýva:
A) prstencový alebo "kruhový";
B) hviezdny alebo „hviezda“;
B) lineárna zbernica.
37. Komunikačný kanál s veľkou šírkou pásma sa nazýva:
A) optický kábel;
B) krútený pár;
B) koaxiálny kábel.
38. Komunikačný kanál, ktorého nevýhodou je zložitosť ochrany údajov pred nelegálnym prístupom, je:
A) optický kábel;
B) infračervené lúče;
B) Mikrovlnná rúra - dosah.
39. Komunikačný kanál, v ktorom sa používa rádiový signál, sa nazýva:
A) optický kábel;
B) infračervené lúče;
C) rádiový kanál.
40. Jednotkou merania priepustnosti komunikačného kanálu je:
A) bit / s;
B) Kbps;
D) Mbps.
Príloha A
MINISTERSTVO DOPRAVY RUSKEJ FEDERÁCIE
SPOLKOVÁ ŽELEZNIČNÁ AGENTÚRA
POBOČKA ROZPOČTU ŠTÁTNEHO ŠTÁTU
VZDELÁVACIA INŠTITÚCIA VYSOKÉHO VZDELÁVANIA
ŠTÁT SAMARA
ŽELEZNIČNÁ DOPRAVA
V meste Saratov
Počítačové vírusy
Počítačový vírus je malý program napísaný vysokokvalifikovaným programátorom, schopný sebapropagácie a vykonávania rôznych deštruktívnych akcií. Doteraz je známych viac ako 50 000 počítačových vírusov.
Existuje veľa rôznych verzií týkajúcich sa dátumu narodenia prvého počítačového vírusu. Väčšina odborníkov sa však zhoduje na tom, že počítačové vírusy ako také sa prvýkrát objavili v roku 1986, hoci historicky vznik vírusov úzko súvisí s myšlienkou vytvorenia samoreplikujúcich sa programov. Jedným z „priekopníkov“ medzi počítačovými vírusmi je vírus „Brain“, ktorý vytvoril pakistanský programátor Alvi. Len v Spojených štátoch infikoval tento vírus viac ako 18 000 počítačov.
Vírusy pôsobia iba programovo. Spravidla sa pripoja k súboru alebo preniknú do tela súboru. V takom prípade je súbor údajne infikovaný vírusom. Vírus sa do počítača dostane iba spolu s infikovaným súborom. Ak chcete aktivovať vírus, musíte si stiahnuť infikovaný súbor a až potom začne vírus sám konať.
Niektoré vírusy sa počas vykonávania infikovaného súboru stanú rezidentnými (nachádzajúcimi sa v pamäti RAM počítača) a môžu infikovať ďalšie stiahnuté súbory a programy.
Iný typ vírusu môže okamžite po aktivácii spôsobiť vážne poškodenie, napríklad formátovaním pevného disku. Účinok vírusov sa môže prejaviť rôznymi spôsobmi: od rôznych vizuálnych efektov, ktoré narúšajú prácu, až po úplnú stratu informácií.
Hlavné zdroje vírusov:
disketa obsahujúca súbory infikované vírusom;
počítačová sieť vrátane e-mailu a internetu;
pevný disk, ktorý dostal vírus v dôsledku práce s infikovanými programami;
vírus, ktorý v RAM zostal po predchádzajúcom používateľovi.
Hlavné skoré príznaky infekcie počítačovým vírusom:
zníženie množstva voľnej pamäte RAM;
spomalenie načítania a prevádzky počítača;
nepochopiteľné (bez dôvodu) zmeny v súboroch, ako aj zmeny vo veľkosti a dátume poslednej úpravy súborov;
chyby pri načítaní operačného systému;
nemožnosť ukladať súbory do požadovaných adresárov;
nepochopiteľné systémové správy, hudobné a vizuálne efekty atď.
Známky aktívnej fázy vírusu:
zmiznutie spisov;
formátovanie pevného disku;
nemožnosť načítania súborov alebo operačného systému.
Existuje veľa rôznych vírusov. Môžu byť podmienečne klasifikované takto:
1) boot vírusy alebo BOOT vírusy infikujú bootovacie sektory diskov. Veľmi nebezpečné, môže viesť k úplnej strate všetkých informácií uložených na disku;
2) súborové vírusy infikovať súbory. Sa delia na:
vírusy infikujúce programy (súbory s príponami .EXE a .COM);
makrovírusy vírusy, ktoré infikujú dátové súbory, napríklad dokumenty Word alebo zošity programu Excel;
satelitné vírusy používajú názvy iných súborov;
dIR vírusy narúšajú systémové informácie o štruktúrach súborov;
3) boot-vírusy schopný infikovať kód bootovacieho sektora aj kód súboru;
4) neviditeľné vírusy alebo STEALTH vírusy falšujú informácie načítané z disku, takže program určený pre tieto informácie prijíma nesprávne údaje. Túto technológiu, ktorá sa niekedy nazýva aj technológia Stealth, možno použiť ako vo vírusoch BOOT, tak aj v súborových vírusoch;
5) retrovírusy infikovať antivirusový softvérsnaží sa ich zničiť alebo znefunkčniť;
6) červí vírusy poskytovať malé e-mailové správy s takzvanou hlavičkou, čo je v podstate webová adresa umiestnenia samotného vírusu. Pri pokuse o prečítanie takejto správy začne vírus čítať svoje „telo“ prostredníctvom globálneho internetu a po stiahnutí začne s deštruktívnou činnosťou. Sú veľmi nebezpečné, pretože je veľmi ťažké ich odhaliť, pretože infikovaný súbor v skutočnosti neobsahuje vírusový kód.
Ak neprijmete opatrenia na ochranu pred počítačovými vírusmi, následky infekcie môžu byť veľmi vážne. V mnohých krajinách ustanovuje trestná legislatíva zodpovednosť za počítačové trestné činy vrátane zavedenia vírusov. Na ochranu informácií pred vírusmi sa používajú všeobecné a softvérové \u200b\u200bnástroje.
Medzi bežné prostriedky na prevenciu infekcie vírusom a jeho ničivých účinkov patria:
zálohovanie informácií (vytváranie kópií súborov a systémových oblastí pevných diskov);
odmietnutie použitia náhodných a neznámych programov. Najčastejšie sa vírusy šíria spolu s počítačovými programami;
obmedzenie prístupu k informáciám, najmä fyzická ochrana diskety pri kopírovaní súborov z nej.
Rôzne antivírusové programy (antivírusy) sa označujú ako ochranný softvér.
Antivírus je program, ktorý detekuje a neutralizuje počítačové vírusy. Je potrebné poznamenať, že vírusy majú vo svojom vývoji náskok pred antivírusovými programami, a preto ani v prípade pravidelného používania antivírusov neexistuje 100% záruka bezpečnosti. Antivírusové programy dokážu zistiť a zničiť iba známe vírusy; pri objavení sa nového počítačového vírusu ochrana pred ním neexistuje, kým sa nevyvinie vlastný antivírus. Mnoho moderných antivírusových balíkov však obsahuje špeciálny softvérový modul s názvom heuristický analyzátor, ktorá dokáže preskúmať obsah súborov na prítomnosť kódu typického pre počítačové vírusy. To umožňuje včas identifikovať a varovať pred nebezpečenstvom infekcie novým vírusom.
Rozlišujú sa tieto typy antivírusových programov:
1) programy detektorov: určené na vyhľadanie infikovaných súborov jedným zo známych vírusov. Niektoré programy detektorov môžu tiež liečiť súbory na vírusy alebo zničiť infikované súbory. Existujú špecializované detektory určené na zvládnutie jedného vírusu a polyfágyktoré môžu bojovať proti mnohým vírusom;
2) liečiteľské programy: určené na liečenie infikovaných diskov a programov. Liečba programu spočíva v odstránení tela vírusu z infikovaného programu. Môžu to byť aj polyfágy, aj špecializované;
3) audítorské programy: určené na zisťovanie vírusovej infekcie súborov a vyhľadanie poškodených súborov. Tieto programy si pamätajú údaje o stave programu a systémových oblastiach diskov v normálnom stave (pred infikovaním) a porovnávajú tieto údaje, keď je počítač v prevádzke. V prípade nesúladu údajov sa zobrazí správa o možnosti infekcie;
4) liečitelia-audítori: určené na zisťovanie zmien v súboroch a systémových oblastiach diskov a v prípade zmien ich vrátenie do pôvodného stavu.
5) filtračné programy: určené na zachytávanie hovorov do operačného systému, ktoré používajú vírusy na šírenie, a o tom informujú používateľa. Používateľ môže povoliť alebo zakázať príslušnú operáciu. Takéto programy sú rezidentné, to znamená, že sú umiestnené v pamäti RAM počítača.
6) očkovacie programy: sa používajú na spracovanie súborov a zavádzacích sektorov s cieľom zabrániť infekcii známymi vírusmi (táto metóda sa v poslednej dobe používa čoraz viac).
Je potrebné poznamenať, že výber jedného „najlepšieho“ antivírusu je mimoriadne chybné rozhodnutie. Odporúča sa používať niekoľko rôznych antivírusových balíkov súčasne. Pri výbere antivírusového programu by ste mali venovať pozornosť takému parametru, ako je počet rozpoznávacích podpisov (postupnosť znakov, ktoré zaručene rozpoznajú vírus). Druhým parametrom je prítomnosť heuristického analyzátora na neznáme vírusy, ktorého prítomnosť je veľmi užitočná, ale výrazne spomaľuje čas prevádzky programu.
testové otázky
Čo je počítačový vírus?
Ako vírus infikuje počítač?
Ako fungujú počítačové vírusy?
Aké zdroje počítačovej vírusovej infekcie poznáte?
Aké sú príznaky zistenia počítačovej vírusovej infekcie?
Aké typy vírusov poznáte? Aké deštruktívne akcie uskutočňujú?
Aké opatrenia sa prijímajú na zabránenie infekcie počítačovým vírusom?
Čo je to antivírus? Aké typy antivírusov poznáte?
Čo je to heuristický analyzátor? Aké funkcie vykonáva?
Všeobecné informácie.Používatelia počítačov sa najčastejšie stretávajú s jedným z typov počítačovej kriminality - počítačovými vírusmi. Posledne uvedené sú špeciálnym typom škodlivého softvéru, ktorý spôsobuje používateľom a personálu údržby počítačov veľké problémy 1.
Počítačový vírussa nazýva program schopný sebareprodukcie a reprodukcie, ktorý je implementovaný v iných programoch.
Analógia medzi pojmami počítačový a biologický vírus je zrejmá. Nie každý program, ktorý sa dokáže replikovať, je však počítačovým vírusom. Vírusy vždy spôsobia zmätok -narúšajú normálnu činnosť počítača, ničia štruktúru súborov atď., preto sa klasifikujú ako takzvané škodlivé programy.
Historicky je vznik počítačových vírusov spojený s myšlienkou vytvorenia samoreprodukujúcich sa mechanizmov, najmä programov, ktorá vznikla v 50. rokoch. J. von Neumann už v roku 1951 navrhol metódu na vytvorenie takýchto mechanizmov a jeho úvahy sa ďalej rozvíjali v prácach iných výskumníkov. Ako prvé sa objavili herné programy využívajúce prvky budúcej vírusovej technológie a potom na základe nahromadených vedeckých a praktických výsledkov začali niektorí ľudia vyvíjať samoreplikujúce sa programy s cieľom poškodiť používateľov počítačov.
Tvorcovia vírusov zamerali svoje úsilie na oblasť PC kvôli ich masívnosti a takmer úplnému nedostatku účinných ochranných nástrojov na úrovni hardvéru aj operačného systému. Medzi stimuly poháňajúce autorov vírusov patria:
Túžba niekoho „otravovať“;
1 N. N. Bezrukov
Neprirodzená potreba páchania trestnej činnosti;
Túžba presadiť sa, zlomyseľnosť a zároveň nepochopenie všetkých dôsledkov šírenia vírusu;
Neschopnosť konštruktívne využiť svoje vedomosti (ide skôr o ekonomický problém);
Dôvera v úplnú beztrestnosť (vo viacerých krajinách neexistujú normy právnej zodpovednosti za vytváranie a šírenie vírusov).
Hlavnými kanálmi pre prenikanie vírusov do osobného počítača sú jednotky vymeniteľných médií a sieťová komunikácia, najmä internet.
Prvé prípady hromadnej infekcie PC vírusmi boli zaznamenané v roku 1987, keď sa objavil takzvaný pakistanský vírus, ktorý vytvorili bratia Amjat a Bazit Alvi. Rozhodli sa tak potrestať Američanov, ktorí v Pakistane kúpili lacné nelegálne kópie softvéru, ktorý bratia začali infikovať vyvinutým vírusom. Vírus infikoval viac ako 18 000 počítačov v USA a putoval po celom svete do ZSSR. Ďalším všeobecne známym vírusom bol vírus Lehigh (Lehigh vírus), ktorý sa rozšíril na univerzite s rovnakým názvom v USA. V priebehu niekoľkých týždňov zničil obsah niekoľkých stoviek diskiet z knižnice počítačového centra univerzity a osobné diskety študentov. Do februára 1989 bolo v USA infikovaných týmto vírusom asi 4 000 počítačov.
Následne sa ako lavína začal zvyšovať počet vírusov a nimi infikovaných počítačov, čo si vyžadovalo prijatie neodkladných opatrení technickej, organizačnej a právnej povahy. Objavili sa rôzne antivírusové nástroje, v dôsledku ktorých sa situácia začala podobať pretekom v zbrojení a prostriedkom ochrany pred nimi. Určitý účinok sa dosiahol prijatím legislatívnych aktov o počítačovej trestnej činnosti v mnohých rozvinutých krajinách, medzi ktorými boli aj články o vytváraní a distribúcii počítačových vírusov.
V súčasnosti existuje na svete viac ako 20 tisíc vírusov vrátane kmeňov, t.j. odrody vírusov rovnakého typu. Vírusy nerozpoznávajú hranice, takže väčšina z nich prechádza cez Rusko. Okrem toho bol zaznamenaný trend k zvyšovaniu počtu vírusov vyvinutých domácimi programátormi. Ak sa situácia nezmení, potom sa v budúcnosti bude môcť Rusko uchádzať o úlohu vodcu v oblasti vytvárania vírusov.
Klasifikácia vírusov.Životný cyklus počítačových vírusov zvyčajne zahŕňa ďalšie fázy:
Latencia, počas ktorej vírus nepodnikne nijaké kroky;
Inkubačná doba, počas ktorej sa vírus iba množí;
Aktívne obdobie, počas ktorého sa spolu s reprodukciou vykonávajú neoprávnené činnosti, ktoré sú vlastné vírusovému algoritmu.
Prvé dve fázy slúžia na skrytie zdroja vírusu, kanálu jeho prieniku a na infikovanie čo najväčšieho počtu súborov pred detekciou vírusu. Trvanie týchto fáz môže byť určené časovým intervalom poskytnutým v algoritme, výskytom udalosti v systéme, prítomnosťou určitej konfigurácie hardvéru počítača (najmä prítomnosťou jednotky pevného disku) atď.
Počítačové vírusy sa klasifikujú podľa nasledujúcich charakteristík:
Biotop;
Mimochodom, životné prostredie je kontaminované;
Prostredníctvom aktivácie;
Spôsob prejavu (deštruktívne akcie alebo spôsobené účinky);
Ako prevlek.
Vírusy je možné zavádzať iba do programov, ktoré môžu byť zase obsiahnuté buď v súboroch, alebo v niektorých komponentoch systémovej oblasti disku, ktoré sa zúčastňujú procesu bootovania operačného systému. Podľa biotoprozlíšiť medzi:
spisvírusy infikujúce spustiteľné súbory;
topánkavírusy, ktoré infikujú komponenty oblasti systému používané pri načítaní OS;
boot súboruvírusy, ktoré integrujú vlastnosti prvých dvoch skupín.
Vírusy súborov môžu infikovať:
Premiestniteľné strojové programy nezávislé od polohy umiestnené v súboroch COM;
Premiestniteľné strojové programy závislé od polohy umiestnené v súboroch EXE;
Ovládače zariadení (súbory SYS a BIN);
Súbory s komponentmi DOS;
Moduly objektov (súbory OBJ);
Súbory s programami v programovacích jazykoch (na základe kompilácie týchto programov);
Príkazové súbory (súbory BAT);
Objektové a symbolické knižnice (LIB a ďalšie súbory);
Prekryvné súbory (OVL, PIF a ďalšie súbory). Najčastejšie súborové vírusy sú schopné vstreknúť do COM
a / alebo EXE súbory.
Zavádzacie vírusy môžu infikovať:
Zavádzací sektor na disketách;
Zavádzací sektor systémového logického disku vytvorený na pevnom disku;
Zavádzač mimo systému na pevnom disku. Spúšťacie vírusy sa šíria na disketách, na ktoré sa ráta
že sa z nich pokúsi bootovať, čo sa nestáva tak často. Vírusy súborov majú vyššiu infekčnosť.
Vírusy zavádzania súborov sú ešte infekčnejšie, pretože sa môžu šíriť v programových súboroch aj na dátových disketách.
Infekčné metódybiotopy závisia od typu biotopov. Vírusom infikované prostredie sa nazýva nosič vírusu. Po implantácii možno nájsť telo súborového vírusu:
Na konci spisu;
Na začiatku súboru;
V strede súboru;
V zadnej (voľnej) časti posledného klastra obsadeného súborom.
Najjednoduchšie sa implementuje zavedenie vírusu na koniec súboru COM. Po získaní kontroly vírus vyberie súbor obete a upraví ho nasledovne:
1. Pripojte k súboru svoju vlastnú kópiu (telo vírusu).
2. Zachová pôvodný začiatok súboru v tejto kópii.
3. Nahradí pôvodný začiatok súboru príkazom na prenos kontroly do tela vírusu.
Po spustení programu infikovaného opísanou metódou sa najskôr spustí vykonanie tela vírusu, v dôsledku čoho:
Obnoví sa pôvodný začiatok programu (nie však v súbore, ale v pamäti!);
Možno sa hľadá a infikuje iná obeť;
Je možné, že sa vykonávajú činnosti neoprávnené používateľom;
Kontrola sa prenesie na začiatok nosiča vírusu, v dôsledku čoho sa vykoná obvyklým spôsobom.
Implantácia vírusu na začiatku súboru COM sa vykonáva inak: vytvorí sa nový súbor, ktorý je spojením tela vírusu a obsahu pôvodného súboru. Dva opísané spôsoby zavedenia vírusu vedú k predĺženiu pôvodného súboru.
Implantácia vírusu do stredu súboru je najkomplexnejšia a najšpecializovanejšia. Problém spočíva v tom, že v takom prípade musí vírus „poznať“ štruktúru súboru obete (napríklad command.com), aby mohol preniknúť najmä do oblasti zásobníka. Popísaný spôsob implantácie nezvyšuje dĺžku súboru.
Prejavy (deštruktívne účinky) vírusov môžu byť:
Vplyv na výkon počítača;
Skreslenie programových súborov;
Skreslenie dátových súborov;
Formátovanie disku alebo jeho časti;
Výmena informácií na disku alebo jeho časti;
Skreslenie systémového alebo nesystémového diskového zavádzača;
Zničenie pripojenia súborov poškodením tabuľky FAT;
Skreslenie údajov v pamäti CMOS.
Väčšina vírusov prvej skupiny, ktoré spôsobujú vizuálne alebo zvukové efekty, sa neformálne nazýva „iluzionisti“. Ostatné vírusy tej istej skupiny môžu spomaliť počítač alebo narušiť normálnu činnosť používateľa úpravou a blokovaním funkcií vykonávaných programov a operačného systému. Vírusy všetkých ostatných skupín sa často nazývajú „vandali“ kvôli ich nenapraviteľným škodám, ktoré spravidla spôsobujú.
Podľa spôsoby maskovaniarozlíšiť medzi:
Nemaskujúce vírusy;
Samošifrovacie vírusy;
Tajné vírusy.
Autori prvých vírusov venovali osobitnú pozornosť mechanizmom reprodukcie (replikácie) zavedením tiel do iných programov. Antivírusové nástroje neboli maskované. Takéto vírusy sa nazývajú nemaskujúce vírusy.
S príchodom antivírusových nástrojov vývojári vírusov zamerali svoje úsilie na maskovanie svojich produktov. Najskôr sa zrealizovala myšlienka samošifrovacieho vírusu. Zároveň je len časť z neho k dispozícii na zmysluplné čítanie a zvyšok sa dešifruje bezprostredne predtým, ako vírus začne fungovať. Tento prístup sťažuje detekciu vírusu a analýzu jeho tela odborníkmi.
Objavili sa tiež tajné vírusy, ktoré dostali meno podľa rozsiahleho projektu na výrobu tajných lietadiel. Metódy maskovania používané tajnými vírusmi sú zložité a možno ich zhruba rozdeliť do dvoch kategórií: maskovanie prítomnosti vírusu v programe na prenos vírusov; maskovanie prítomnosti vírusu rezidentného v pamäti v RAM.
Automatická modifikácia tela vírusu;
Implementácia účinku odstránenia tela vírusu z nosiča vírusu pri jeho načítaní z disku, najmä pomocou debuggeru (to sa robí prerušením prerušenia, samozrejme, ak je v pamäti rezidentný vírus);
Implantácia tela vírusu do súboru bez zväčšenia jeho veľkosti;
Vplyv nemennosti dĺžky infikovaného súboru (vykonáva sa podobne ako v položke 2);
Ponechanie pôvodného začiatku programových súborov nezmenené.
Napríklad pri čítaní adresára pomocou nástrojov systému DOS môže vírus rezidentný v pamäti zachytiť príslušné prerušenie a umelo skrátiť dĺžku súboru. Skutočná dĺžka súboru sa samozrejme nezmení, ale používateľovi sa zobrazia informácie maskujúce jeho zväčšenie. Pri priamej práci s adresármi (obchádzajúc nástroje DOS) môžete získať pravdivé informácie o vlastnostiach súboru. Takéto schopnosti poskytuje najmä škrupina Norton Commander.
Vkladanie vírusu do špeciálnej zóny rezidentných modulov DOS, do chvosta klastrov, do pamäte CMOS, videopamäte atď.;
Úprava zoznamu nesystémových bootloaderov, ako už bolo spomenuté;
Manipulácia s obslužnými programami prerušenia, najmä so špeciálnymi metódami ich výmeny, s cieľom obísť rezidentné antivírusové nástroje;
Úprava celkového množstva pamäte RAM.
Počas každodennej práce je používateľ schopný detekovať vírus jeho príznakmi.Prirodzene, príznaky vírusu sú priamo determinované spôsobmi manifestácie v ňom implementovanými, ako aj ďalšími charakteristikami vírusu. Nasledujúce sa rozlišujú ako príznaky vírusov:
Zvýšenie počtu súborov na disku;
Zníženie množstva voľnej pamäte RAM;
Zmena času a dátumu vytvorenia súboru;
Zväčšenie veľkosti programového súboru;
Vzhľad zaregistrovaných chybných klastrov na disku;
Neobvyklá činnosť programu;
Spomalenie programu;
Rozsvieti svetlo jednotky v čase, keď by nemal byť prístup na disk;
Znateľné zvýšenie času prístupu na pevný disk;
Poruchy operačného systému, najmä jeho zmrazenie;
Neschopnosť načítať operačný systém;
Zničenie štruktúry súborov (zmiznutie súborov, skreslenie adresárov).
Spolu s počítačovými vírusmi existujú aj ďalšie nebezpečné programy, napríklad formálne nazývané „červy“ replikátory.Ich hlavnou vlastnosťou je schopnosť reprodukcie bez toho, aby boli zavedené do iných programov. Replikátory sú vytvárané s cieľom šíriť sa cez uzly počítačovej siete a môžu mať náplň pozostávajúcu najmä z vírusov. V tomto ohľade možno nájsť analógiu medzi „červom“ a guľovou bombou.
Príkladom replikátora je program Vianočný stromček, ktorý nakreslí vianočný stromček na displej a potom odošle jeho kópie na všetky registrované e-mailové adresy.
Klasifikácia antivírusových nástrojov. ATteraz je k dispozícii veľké množstvo antivírusových nástrojov. Všetky však nemajú vlastnosť univerzálnosti: každý je navrhnutý pre konkrétne vírusy alebo blokuje niektoré kanály infekcie alebo šírenia vírusu PC. V tejto súvislosti možno za sľubnú oblasť výskumu považovať aplikáciu metód umelej inteligencie na problém vytvárania antivírusových nástrojov.
Antivírusový nástrojoznačuje softvérový produkt, ktorý vykonáva jednu alebo viac z nasledujúcich funkcií:
Ochrana štruktúry súborov pred zničením;
Detekcia vírusov;
Neutralizácia vírusu.
Filtrovať vírus (strážca)je rezidentný program, ktorý sleduje vykonávanie akcií typických pre vírusy a vyžaduje od používateľa potvrdenie vykonania akcií. Ovládanie sa vykonáva výmenou príslušných ovládačov prerušenia. Kontrolovanými akciami môžu byť:
Aktualizácia programových súborov;
Priamy záznam na disk (podľa fyzickej adresy);
Formátovanie disku;
Rezidentné umiestnenie programu v RAM. Detektorzavolal program, ktorý vyhľadáva
vírusy na externom úložnom médiu aj v pamäti RAM. Výsledkom činnosti detektora je zoznam infikovaných súborov alebo oblastí, ktoré môžu naznačovať konkrétne vírusy, ktoré ich infikovali.
Detektory sa delia na univerzálne (inšpektori) a špecializované. Univerzálnydetektory kontrolujú integritu súborov výpočtom kontrolného súčtu a jeho porovnaním so štandardom. Norma je uvedená v dokumentácii k softvérovému produktu alebo je možné ju určiť na samom začiatku jeho fungovania.
Špecializovanýdetektory sú nakonfigurované na špecifické vírusy, jeden alebo viac. Ak je detektor schopný detekovať niekoľko rôzne vírusy, potom to nazývajú polydetektor.Činnosť špecializovaného detektora je založená na vyhľadávaní riadku kódu patriaceho konkrétnemu vírusu, ktorý je prípadne špecifikovaný regulárnym výrazom. Takýto detektor nie je schopný detekovať všetky možné vírusy.
Dezinfektor (lekár, fág)je program, ktorý odstraňuje vírus s obnovou alebo bez obnovenia
obnova biotopu. Mnoho vírusov narúša biotop takým spôsobom, že nie je možné obnoviť jeho pôvodný stav.
Najznámejšie polydetektorové fágy sú softvérové \u200b\u200bbalíčky Antiviral Toolkit Pro od Eugena Kasperského a DrWeb od Dialog.
Imunizátor (vakcína)sa týka programu, ktorý zabraňuje konkrétnemu vírusu infikovať biotop alebo pamäť. Imunizéry nevyriešia problém neutralizácie vírusu tým, že ho zničia, ale blokujú jeho schopnosť množiť sa. Takéto programy sa v súčasnosti prakticky nepoužívajú.
Metódy ochrany pred počítačovými vírusmi.Pri ochrane pred počítačovými vírusmi je zložitosť prijatých opatrení, organizačných aj technických, dôležitejšia ako kedykoľvek predtým. Do popredia „obrany“ je vhodné umiestniť prostriedky na ochranu údajov pred zničením, za ne - prostriedky na detekciu vírusov a nakoniec prostriedky na ich neutralizáciu.
Vždy a pravidelne by sa mali používať prostriedky na ochranu údajov pred možnou stratou a zničením.Aby sa zabránilo vírusovej infekcii, mali by ste navyše dodržiavať nasledujúce organizačné odporúčania:
Vždy, keď je to možné, používajte diskety so zapečateným slotom na ochranu proti zápisu;
Pokiaľ to nie je nevyhnutné, nepoužívajte neznáme diskety;
Neprenášajte svoje diskety na iných;
Nespúšťajte programy, ktorých účel nie je jasný; používať iba licencované softvérové \u200b\u200bprodukty;
Obmedzte prístup k počítaču neoprávneným osobám.
Ak potrebujete použiť softvérový produkt získaný z neznámeho zdroja, odporúča sa:
Otestujte softvérový produkt špecializovanými detektormi na prítomnosť vírusov. Je nežiaduce umiestňovať detektory na pevný disk - na tento účel musíte použiť disketu chránenú proti zápisu;
Zálohujte súbory nového softvérového produktu;
Zálohujte si súbory, ktoré sú potrebné na fungovanie nového softvéru;
Usporiadajte skúšobnú prevádzku nového softvérového produktu na pozadí vírusového filtra so zámernou reakciou na jeho správy.
Ochrana pred počítačovými vírusmi by sa mala stať súčasťou súboru opatrení na ochranu informácií v jednotlivých počítačoch aj v automatizovaných informačných systémoch ako celku.
ZOZNAM ODKAZOV
1. Andreev V.B.Právna informatika: Učebnica. Manuálny. - M: IMP, 1998.
2. Baranov A.K., Karpychev V.Yu., Minaev V.A.Technológie počítačových expertov v agentúrach pre vnútorné záležitosti: učebnica. - M.: Akadémia ministerstva vnútra Ruskej federácie, 1992.
3. Baturin Yu.M.Právo a politika v počítačovom kruhu. - Moskva: Nauka, 1987.
4. Baturin Yu.M.Problémy s počítačovým zákonom. - M.: Jurid. lit., 1991.
5. Baturin Yu.M., Zhodzishsky A.M.Počítačové zločiny a počítačová bezpečnosť. - M.: Jurid. lit., 1991.
6. Bauer F.L., Gooz G.Počítačová veda. Úvodný kurz: 2 hodiny - Moskva: Mir, 1990. - 1. časť.
7. N. N. BezrukovPočítačové vírusy. - M .: Nauka, 1991.
8. Borovkov V.P.Populárny úvod do Štatistiky. - M: Computer press, 1998.
9. Vekhov B.V.Počítačové zločiny: spôsoby páchania, metódy vyšetrovania. - M.: Zákon a právo, 1996.
10. Voskresensky G.M., Dudarev G.I., Maslennikov E.P.Štatistické metódy spracovania a analýzy sociálnych informácií pri riadiacich činnostiach orgánov vnútorných záležitostí. - M.: Akadémia ministerstva vnútra ZSSR, 1986.
11. Gudkov P.B.Počítačové trestné činy v oblasti ekonómie. - M .: MI Ministerstvo vnútra Ruska, 1995.
12. Gulbin Yu.Trestné činy v oblasti počítačových informácií // Ruské súdnictvo. - 1997. - č. 10. - S. 24-25.
13. Demidov V.N.Kriminologická charakteristika trestnej činnosti v Rusku a Tatarstane: Učebnica. - M.: VNII MIA Ruska, 1998.
14. Dyakonov V.P.Príručka o výpočtoch na mikrokalkulátoroch. - 3. vyd. - M: Nauka, 1989.
15. Dyakonov V.P.Príručka o algoritmoch a programoch pre osobné počítače v jazyku BASIC. - M: Nauka, 1989.
16. Zhenilo V.R.Informatika a výpočtová technika pri činnosti orgánov vnútorných záležitostí. Časť 3. Softvér pre výpočtovú techniku: učebnica. Manuálny. / Red. V.A. Minaeva. - M.: GUK MVD RF, 1996.
17. Zhenilo V.R., Minaev V.A.Počítačové technológie vo forenznom fonoskopickom výskume a skúškach: Učebnica. - M.: Akadémia ministerstva vnútra Ruskej federácie, 1994.
18. Ivakhnenko A.G., Yurachkovsksh Yu.P.Simulácia komplexných systémov na základe experimentálnych údajov. - M.: Rádio a komunikácia, 1987.
19. Informatika. Základný kurz: Učebnica. pre univerzity / Vyd. S. V. Simonovič. - SPb.: Peter, 1999.
20. Počítačová veda a matematika pre právnikov. Krátky kurz v tabuľkách a diagramoch: Učebnica. Manuálny. / Red. V.A.Minaeva. - M: MUI Ministerstva vnútra Ruska; Prior, 1998.
21. Informatika a výpočtová technika pri činnosti orgánov vnútorných záležitostí. Časť 2. Počítačový hardvér: učebnica. Manuálny. / Red. V.A.Minaeva. - M.: Ministerstvo vnútra GUK Ruskej federácie, 1995.
22. Informatika a výpočtová technika pri činnosti orgánov vnútorných záležitostí. Časť 4. Automatizácia riešenia praktických problémov v orgánoch vnútorných záležitostí: Učebnica. Manuálny. / Red. V.A.Minaeva. - M.: GUK MVD RF, 1996.
23. Informatika a výpočtová technika pri činnosti orgánov vnútorných záležitostí. Časť 5. Analytická činnosť a výpočtová technika: Učebnica. Manuálny. / Red. V.A. Minaev. - M.: GUK MVD RF, 1996.
24. Informatika a výpočtová technika pri činnosti orgánov vnútorných záležitostí. Časť 6. Počítačové siete v orgánoch pre vnútorné záležitosti: Učebnica. Manuálny. / Red. V.A. Minaev. - M.: GUK MVD RF, 1997.
25. Informačné technológie riadenia v orgánoch vnútorných záležitostí / Red. V.A. Minaeva. - M.: Akadémia riadenia Ministerstva vnútra Ruskej federácie, 1997.
26. Isakov S.A.Informácie a technická podpora orgánov pre vnútorné záležitosti: Učebnica. Manuálny. - M.: Právny inštitút Ministerstva vnútra Ruskej federácie, 1994.
27. Kazantsev S.Ya., Mazurenko P.I.Používanie počítačov pri činnostiach orgánov činných v trestnom konaní. - Kazaň: kazanská pobočka právneho inštitútu Ministerstva vnútra Ruskej federácie, 1997.
29. Kidmeier M.Multimédiá. - SPb.: „BHV-Petrohrad“, 1994.
30. Komentár k Trestnému zákonu Ruská federácia / Red. A.V. Naumova. - M.: Jurist, 1996.
31. Počítačové technológie spracovania informácií: učebnica. Manuálny. / Red. S.V. Nazarova. - M.: Financie a štatistika, 1995.
32. Počítačové technológie v právnej činnosti. Učebnica. a praktické. manuálna / pod. vyd. N. Polevoy, V. Krylov. - M.: Vydavateľstvo BEK, 1994.
33. Koncepcia rozvoja informačného podporného systému vnútorných záležitostí v boji proti kriminalite. Schválené uznesením Ministerstva vnútra Ruskej federácie č. 229 z 12.12.1993.
34. Korshunov Yu.M.Matematické základy kybernetiky. - M.: Energoatomizdat, 1987.
35. Forenzná veda a počítačová kriminalita: Materiály vedeckého a praktického seminára // Sat. článkov. - M.: EKTs Ministerstvo vnútra Ruska, 1993.
36. V.V. KrylovVyšetrovanie trestných činov v oblasti informácií. M: Gorodety. 1998.
37. Levin A.Návod na samoobsluhu pre prácu na počítači. - 5. vydanie - M.: Znalosti, 1999.
38. Lokálne siete: Príručka: Za 3 kn. Kniha. 1. Princípy stavby, architektúry, komunikačných nástrojov / Red. S.V. Nazarova. - M.: Financie a štatistika, 1994.
39. Lyapunov Yu., Maksimov V.Zodpovednosť za počítačové zločiny // Zákonnosť. - 1997. - č. 1. - S. 8-15.
40. McKlang Kr.J., Gerrieri J.A., McKlang K.A.Mikropočítače pre právnikov / Per. z angličtiny. A.P. Poležajevová. - M.: Právna literatúra, 1988.
41. A.A. MarkaryanIntegrácia úspechov prírodných a technických vied do forenznej vedy. - Izhevsk: UdSU, 1996.
42. V. V. MelnikovOchrana informácií v počítačových systémoch. - M.: Financie a štatistika, 1997.
43. Metodika a metódy prognózovania v oblasti boja proti trestnej činnosti: Zborník Akadémie Ministerstva vnútra ZSSR. - M.: Akadémia Ministerstva vnútra ZSSR, 1989.
44. Minaev V.A.Ľudské zdroje orgánov vnútorných záležitostí: moderné prístupy k riadeniu. - M.: Akadémia Ministerstva vnútra ZSSR, 1991.
45. Minin A.Ya.Základy manažmentu a informatiky: Kurz prednášok. - Jekaterinburg: Jekaterinburská vyššia škola ministerstva vnútra v Rusku, 1993.
46. Minin A.Ya.Informatizácia kriminologického výskumu: teória a metodológia. - Jekaterinburg: Vydavateľstvo Ural. University, 1992.
47. Veda a technika v službách vyšetrovania // Informačný bulletin odboru vyšetrovania Ministerstva vnútra Tatarskej republiky. - Problém. 5. - Kazaň, 1996.
48. O informáciách, informatizácii a ochrane informácií. Federálny zákon z 22. februára 1995 // Rossiyskaya Gazeta. - 1995 - 22. februára
49. Organizácia činnosti informačných pracovníkov horských lúčskych orgánov vnútorných záležitostí: so. materiály pre triedy v systéme služobného výcviku / Red. Yu.A. Bunicheva. - M.: GITs MVD RF, 1995.
50. Základy automatizácie riadenia v orgánoch vnútorných záležitostí: Učebnica. / Red. V.A. Minaeva, A.P. Polezhaeva. - M.: Akadémia ministerstva vnútra Ruskej federácie, 1993.
51. Základy matematického modelovania v činnostiach orgánov vnútorných záležitostí: Učebnica. Manuálny. / Red. V.A.Minaeva. - M.: Akadémia ministerstva vnútra Ruskej federácie, 1993.
52. Pershikov V.I., Savinkov V.M.Vysvetľujúci slovník informatiky. - 2. vyd. - M.: Financie a štatistika, 1995.
53. Petrovský A., Leontiev B.Efektívne hackovanie pre začiatočníkov a ďalšie. - M.: Informatívna kniha plus, 1999.
54. Polevoi N. S.Forenzná kybernetika: učebnica. - 2. vyd. - M.: Moskovská štátna univerzita, 1989.
55. Právna informatika a kybernetika: Učebnica. / Red. N. S. Polevoy. - M.: Právna literatúra, 1993.
56. Problémy programovania, organizácie a informačnej podpory predbežného vyšetrovania // Interuniversity. mezhved. Sob. vedecký. Tvorba. - Ufa, 1989.
57. Program elektronizácie vnútorných záležitostí Ruskej federácie na rok 1991 a najbližšie obdobie. Schválené uznesením Ministerstva vnútra Ruskej federácie č. 104 z 05.07.91.
58. Vyšetrovanie nelegálneho prístupu k počítačovým informáciám / Vyd. I.G. Shurukhnova. - Moskva: Vydavateľstvo Shchit, 1999.
59. Simonovich S.V., Evseev G.A.Praktická informatika: Študijný sprievodca. Univerzálny kurz. - M: AST-Press, 1998.
60. Simonovich S.V., Evseev G.A., Alekseev A.G.Špeciálna informatika: učebnica. - M: AST-Press, 1998.
61. Sawyer B., Foster D.L.Programovanie expertných systémov v jazyku Pascal: Preložené z angličtiny. - M.: Financie a štatistika, 1990.
62. Sokovykh Yu.Yu.Kvalifikácia trestných činov a informatika // Informačný vestník Vyšetrovacieho výboru Ministerstva vnútra Ruskej federácie, 1993, č. 4 (46).
63. Štatistické modelovanie a predpovedanie: učebnica. Manuálny. / Red. A.G. Granberg. - M.: Financie a štatistika, 1990.
64. Zadávacie podmienky pre vytvorenie informačnej počítačovej siete pre orgány vnútorných záležitostí Ruskej federácie. Schválené ministrom vnútra 22. februára 1992
65. Federálna registrácia GIC v boji proti zločinu. Pomáhať zamestnancom orgánov pre vnútorné záležitosti / Red. G.L. Lezhikova. - M.: GITs Ministerstvo vnútra Ruskej federácie, 1994.
66. Figurnov V.E.IBM PC pre používateľa. - 6. vyd. - M: Infra-M, 1995.
67. Shcherbinin A.I., Ignatov L.N., Puchkov S.I., Kotov I.A.Porovnávacia analýza softvéru na automatizáciu trestnej činnosti // Informačný bulletin Vyšetrovacieho výboru Ministerstva vnútra Ruskej federácie. - 1993. - č. 3 (46). - S. 73 - 82.
68. Shcherbinin A.I., Ilyin S.K., Ignatov L.N.Používanie osobných počítačov pri vyšetrovaní zložitých prípadov epizód sprenevery v bankovom sektore // Informačný bulletin Vyšetrovacieho výboru Ministerstva vnútra Ruskej federácie. - 1993. - č. 4 (46).
69. Expertné systémy. Ako to funguje a príklady. - M.: Rádio a komunikácia, 1987.
70. Yaromich S.A.Informatika okolo nás: referenčný slovník. - Odessa: Mayak, 1991.
POČÍTAČOVÉ VÍRUSY, ICH KLASIFIKÁCIA. ANTIVIRUSOVÝ SOFTVÉR
Počítačový vírus - ide o špeciálny program, ktorý sa môže spontánne pripojiť k iným programom a po spustení týchto programov môže vykonať rôzne nežiaduce akcie: poškodenie súborov a adresárov; skreslenie výsledkov výpočtu; upchatie alebo vymazanie pamäte; rušenie počítača. Prítomnosť vírusov sa prejavuje v rôznych situáciách.
- Niektoré programy prestanú fungovať alebo začnú pracovať nesprávne.
- Na obrazovke sa zobrazujú nepotrebné správy, signály a ďalšie efekty.
- Počítač sa výrazne spomalí.
- Štruktúra niektorých súborov je poškodená.
Existuje niekoľko znakov klasifikácie existujúcich vírusov:
- podľa biotopu;
- postihnutou oblasťou;
- podľa funkcií algoritmu;
- spôsobom infekcie;
- pre deštruktívne príležitosti.
Podľa biotopu sa rozlišujú súborové, bootovacie, makro a sieťové vírusy.
Vírusy súborov sú najbežnejším typom vírusov. Tieto vírusy prenikajú do spustiteľných súborov, vytvárajú sprievodné súbory (sprievodné vírusy) alebo využívajú organizáciu súborového systému (odkazujú vírusy).
Bootovacie vírusy sa zapisujú do bootovacieho sektoru disku alebo do bootovacieho sektoru pevného disku. Začnú pracovať, keď sa počítač naštartuje a zvyčajne sa stanú rezidentom.
Makro vírusy infikujú súbory široko používaných balíkov na spracovanie údajov. Tieto vírusy sú programy napísané v programovacích jazykoch zabudovaných do týchto balíkov. Najrozšírenejšie sú makrovírusy pre aplikácie balíka Microsoft Office.
Sieťové vírusy používajú na svoju distribúciu protokoly alebo príkazy počítačových sietí a e-mail. Základným princípom sieťového vírusu je schopnosť nezávisle prenášať jeho kód na vzdialený server alebo pracovnú stanicu. Plnohodnotné počítačové vírusy majú schopnosť spustiť svoj kód na vzdialenom počítači na vykonanie.
V praxi existujú rôzne kombinácie vírusov - napríklad vírusy spúšťajúce súbory, ktoré infikujú súbory aj bootovacie sektory diskov, alebo vírusy sieťových makier, ktoré infikujú upravené dokumenty a ich kópie odosielajú e-mailom.
Každý vírus spravidla infikuje súbory jedného alebo viacerých operačných systémov. Mnoho boot vírusov tiežzameraná na konkrétne formáty umiestnenia systémových údajov v bootovacích sektoroch diskov. Podľa vlastností algoritmu sa obyvatelia odlišujú; vírusy, utajené vírusy, polymorfné atď. Rezidentné vírusy môžu ponechať svoje kópie v operačnom systéme, zachytiť spracovanie udalostí (napríklad prístup k súborom alebo diskom) a vyvolať postupy na infikovanie objektov (súborov alebo sektorov). Tieto vírusy sú v pamäti aktívne nielen počas spustenia infikovaného programu, ale aj po ňom. Rezidentné kópie takýchto vírusov sú životaschopné, kým sa operačný systém nereštartuje, aj keď sú všetky infikované súbory na disku zničené. Ak je vírus rezidentný v pamäti tiež spustiteľný a aktivuje sa pri zavedení systému OS, nevymaže ho ani formátovanie disku, ak je tento vírus v pamäti.
Makrovírusy by sa tiež mali klasifikovať ako rezidentné vírusy, pretože sú neustále v pamäti počítača, keď je infikovaný editor v prevádzke.
Tajné algoritmy umožňujú vírusom úplne alebo čiastočne skryť svoju prítomnosť. Najbežnejším stealth algoritmom je zachytávanie požiadaviek OS na čítanie / zápis infikovaných objektov. V takom prípade tajné vírusy tieto objekty dočasne vyliečia alebo nahradia neinfikované oblasti informácií. Čiastočne sa malá skupina makrovírusov, ktoré ukladajú svoj hlavný kód nie v makrách, ale v iných oblastiach dokumentu, v jeho premenných alebo v automatickom texte, označuje ako tajné vírusy.
Polymorfizmus (samošifrovanie) sa používa na komplikovanie detekcie vírusov. Polymorfné vírusy sú ťažko detekovateľné vírusy, ktoré nemajú trvalý kód. Spravidla sa dve vzorky rovnakého vírusu nezhodujú. To sa dosiahne šifrovaním hlavnej časti vírusu a úpravou dešifrovacieho programu.
Pri vytváraní vírusov sa často používajú neštandardné techniky. Ich použitie by malo čo najviac sťažiť detekciu a odstránenie vírusu.
Trójske kone, skryté nástroje na správu, zamýšľané vírusy atď. Sa líšia podľa spôsobu infekcie.
Trójske kone dostanú svoje meno od trójskeho koňa. Účelom týchto programov je napodobniť všetky užitočné programy, nové verzie populárnych nástrojov alebo doplnky k nim. Keď ich používateľ napíše na svoj počítač, trójske kone sa aktivujú a vykonajú nežiaduce akcie.
Utajené prostriedky na správu sú typom trójskeho koňa. Z hľadiska svojej funkčnosti a rozhrania v mnohom pripomínajú systémy na správu počítačov v sieti vyvinuté a distribuované rôznymi spoločnosťami - výrobcami softvérových produktov. Počas inštalácie tieto pomocné programy nezávisle inštalujú skrytý systém diaľkového ovládania do počítača. Vďaka tomu bude možné tento počítač skryto ovládať. Implementácia inherentných algoritmov, obslužné programy, bez vedomia používateľa, prijímajú, spúšťajú alebo odosielajú súbory, ničia informácie, spúšťajú Erez počítač atď. Tieto pomôcky je možné použiť na detekciu a prenos hesiel a iných dôverných informácií, na spustenie vírusov a na zničenie údajov.
Medzi zamýšľané vírusy patria programy, ktoré sa nedokážu replikovať z dôvodu chýb v nich obsiahnutých. Do tejto triedy patria aj vírusy, ktoré sa replikujú iba raz. Po infikovaní ľubovoľného súboru strácajú schopnosť ďalej sa v ňom množiť.
Podľa svojich deštruktívnych schopností sa vírusy delia na:
- neškodný, ktorého účinok je obmedzený na zníženie voľnej pamäte na disku, spomalenie počítača, grafické a zvukové efekty;
- nebezpečné, čo môže potenciálne viesť k narušeniu štruktúry súborov a poruchám počítača;
- veľmi nebezpečné, v algoritme ktorého sú špeciálne stanovené postupy zničenia údajov a schopnosť zabezpečiť rýchle opotrebenie pohyblivých častí mechanizmov zavedením rezonancie a zničením čítacích / zapisovacích hláv niektorých pevných diskov.
Na boj proti vírusom existujú programy, ktoré možno rozdeliť do hlavných skupín: monitory, detektory, lekári, inšpektori a vakcíny.
Monitorujte programy (filtračné programy) sú rezidentmi v operačnom systéme počítača, zachytávajúa informovať používateľa o prístupoch OS, ktoré používajú vírusy na množenie a poškodenie. Užívateľ má možnosť povoliť alebo zakázať uskutočnenie týchto hovorov. Výhodou takýchto programov je schopnosť detegovať neznáme vírusy. Používanie filtračných programov vám umožňuje detekovať vírusy v ranom štádiu počítačovej infekcie. Nevýhodou programov je nemožnosť sledovať vírusy, ktoré priamo vstupujú do systému BIOS, ako aj bootovacie vírusy, ktoré sa aktivujú pred spustením antivírusu pri zavedení systému DOS, a časté vydávanie žiadostí o operácie.
Programy detektorov skontrolujte, či sa v súboroch a na diskoch nachádza vírusovo špecifická kombinácia bajtov. Ak je detekovaná, zobrazí sa zodpovedajúca správa. Nevýhodou je schopnosť chrániť iba pred známymi vírusmi.
Doktorské programy obnovte infikované programy odstránením tela vírusu z nich. Zvyčajne sú tieto programy určené pre konkrétne typy vírusov a sú založené na porovnaní sekvencie kódov obsiahnutých v tele vírusu s kódmi skenovaných programov. Doktorské programy musia byť pravidelne aktualizované, aby sa získali nové verzie, ktoré detekujú nové typy vírusov.
Programy audítorov analyzovať zmeny stavu súborov a systémových oblastí disku. Skontrolujte stav bootovacieho sektora a tabuľky FAT; dĺžka súboru, atribúty a čas vytvorenia; kontrolný súčet kódov. Používateľ je informovaný o identifikácii nezrovnalostí.
Vakcínové programy upravujú programy a riziká takým spôsobom, aby to neovplyvnilo fungovanie programov, ale vírus, proti ktorému sa očkuje, považuje programy alebo disky už za infikované. Existujúce antivírusové programy sú prevažne hybridnej triedy (detektory - lekári, lekári - inšpektori atď.).
V Rusku sú najrozšírenejšie antivírusové programy spoločnosti Kaspersky Lab (Anti-IViral Toolkit Pro) a DialogueNauka (Adinf, Dr.Web). Antivírusový balík AntiViral Toolkit Pro (AVP) obsahuje program AVP Scanner, rezidentný monitorovací program AVP Monitor a program na správu nainštalovaných komponentov. Control Center a množstvo ďalších. AVP Scanner, okrem tradičného skenovania spustiteľných súborov a súborov dokumentov, spracováva e-mailové databázy. Používanie skenera vám umožňuje detekovať vírusy v zabalených a archivovaných súboroch (ktoré nie sú chránené heslami). Zisťuje a odstraňuje makrovírusy, polymorfné, stele, trójske kone a tiež predtým neznáme vírusy. To sa dá dosiahnuť napríklad pomocou heuristických analyzátorov. Takéto analyzátory simulujú činnosť procesora a analyzujú činnosti diagnostikovaného súboru. V závislosti od týchto akcií sa rozhoduje o prítomnosti vírusu.
Monitor monitoruje typické cesty prieniku vírusov, ako sú operácie prístupu k súborom a sektorom.
AVP Control Center je servisný shell určený na nastavenie času začiatku skenera, automatickú aktualizáciu komponentov balíka atď.
V prípade infekcie alebo podozrenia na počítačovú infekciu vírusom musíte:
- zhodnotiť situáciu a neprijať opatrenia, ktoré vedú k strate informácií;
- reštartujte operačný systém počítača. V takom prípade použite špeciálnu predtým vytvorenú systémovú disketu chránenú proti zápisu. Vďaka tomu bude zabránené aktivácii bootovacích a pamäťových vírusov z pevného disku počítača;
- spustite existujúce antivírusové programy, kým nebudú zistené a odstránené všetky vírusy. Ak nie je možné vírus odstrániť a ak súbor obsahuje cenné informácie, archivujte ho a počkajte na vydanie novej verzie antivírusu. Po dokončení reštartujte počítač.
Prednáška 14 Počítačové vírusy
Klasifikácia počítačových trestných činov.
Počítačové vírusy, ich vlastnosti a klasifikácia
Vlastnosti počítačových vírusov
V prvom rade je vírus program. Samotné také jednoduché vyhlásenie môže vyvrátiť mnoho legiend o mimoriadnych schopnostiach počítačových vírusov. Vírus môže prevrátiť obraz na vašom monitore, ale nedokáže prevrátiť samotný monitor. Legendy o zabijáckych vírusoch, ktoré „zabíjajú operátorov zobrazením smrtiacej farebnej škály v 25. ráme“, by sa tiež nemali brať vážne.
Vírus je program so schopnosťou reprodukovať sa. Táto schopnosť je jediná spoločná pre všetky typy vírusov. Ale vírusy nie sú jediné, ktoré sa dokážu samy reprodukovať. Každý operačný systém a mnoho ďalších programov je schopných vytvárať svoje vlastné kópie. Kópie vírusu sa nielenže nemusia úplne zhodovať s originálom, ale nemusia sa s ním vôbec zhodovať!
Vírus nemôže existovať v „úplnej izolácii“: dnes si nemožno predstaviť vírus, ktorý nepoužíva kód iných programov, informácie o štruktúre súborov alebo dokonca iba názvy iných programov. Dôvod je jasný: vírus musí nejako zabezpečiť prenos kontroly na seba.
Klasifikácia vírusov
biotop
spôsob kontaminácie biotopu
dopad
funkcie algoritmu
V závislosti od biotopu je možné vírusy rozdeliť na sieťové, súborové, bootovacie a bootovacie.
Sieťové vírusydistribuované rôznym počítačové siete.
Registrujte vírusysú vložené hlavne do spustiteľných modulov, to znamená do súborov s príponami COM a EXE. Vírusy súborov môžu byť vložené do iných typov súborov, ale spravidla sú v týchto súboroch zaznamenané, nikdy nezískajú kontrolu, a preto stratia schopnosť replikovať sa.
Spustite vírusysú vložené do bootovacieho sektoru disku (Boot sektor) alebo do sektoru obsahujúceho bootovací program pre systémový disk (MasterBootRe-cord).
Zavedenie súboruvírusy infikujú súbory aj bootovacie sektory diskov.
Podľa spôsobu infekcie sa vírusy delia na rezidentné a nerezidentné.
Vírus rezidentnej v pamätikeď je počítač infikovaný (infikovaný), opustí svoju rezidentnú časť v RAM, ktorá potom zachytí prístup operačného systému k objektom infekcie (súbory, bootovacie sektory diskov atď.) A vstrekne sa do nich. Rezidentné vírusy sa nachádzajú v pamäti a zostávajú aktívne, kým sa počítač nevypne alebo nereštartuje.
Vírusy, ktoré nie sú rezidentmineinfikujú pamäť počítača a sú aktívne po obmedzenú dobu.
Podľa stupňa expozície možno vírusy rozdeliť do nasledujúcich typov:
nie je nebezpečnýktoré nezasahujú do chodu počítača, ale znižujú množstvo voľnej pamäte RAM a pamäte na diskoch, pôsobenie takýchto vírusov sa prejavuje v akýchkoľvek grafických alebo zvukových efektoch
nebezpečnévírusy, ktoré môžu viesť k rôznym poruchám počítača
veľmi nebezpečné, ktorých dopad môže viesť k strate programov, zničeniu údajov, vymazaniu informácií v systémových oblastiach disku.
Je ťažké klasifikovať vírusy podľa zvláštností algoritmu kvôli ich širokej rozmanitosti.
replikátorové vírusyzavolal červy, ktoré sa šíria po počítačových sieťach, vypočítajú adresy sieťových počítačov a na tieto adresy zapíšu svoje kópie.
Známe neviditeľné vírusyzavolal tajné vírusy, ktoré je veľmi ťažké odhaliť a zneškodniť, pretože zachytávajú volania operačného systému na infikované súbory a sektory diskov a namiesto ich tiel nahrádzajú neinfikované oblasti diskov.
Najťažšie nájsť mutantné vírusyobsahujúce šifrovacie a dešifrovacie algoritmy, vďaka ktorým kópie toho istého vírusu nemajú jediný opakovaný bajtový reťazec. Existujú aj tzv kvázi vírusováalebo Trójsky kôňprogramy, ktoré sa síce nemôžu samorozmnožovať, sú však veľmi nebezpečné, pretože keď sa vydávajú za užitočný program, zničia bootovací sektor a súborový systém diskov.
Spustite vírusy
Uvažujme o fungovaní veľmi jednoduchého bootovacieho vírusu, ktorý infikuje diskety. (boot-sektor).
Predpokladajme, že máte prázdnu disketu a infikovaný počítač, čo znamená počítač s aktívnym rezidentným vírusom. Hneď ako tento vírus zistí, že sa v jednotke objavila vhodná obeť - v našom prípade nepísaná a ešte neinfikovaná disketa, pokračuje v infikovaní. Po infikovaní diskety vírus vykoná nasledujúce akcie:
vyhradí určitú oblasť disku a označí ju ako neprístupnú pre operačný systém, dá sa to urobiť rôznymi spôsobmi, v najjednoduchšom a tradičnom prípade sú sektory obsadené vírusom označené ako zlé (zlé)
skopíruje jeho chvost a pôvodný (zdravý) bootovací sektor do vybranej oblasti disku
nahradí bootovací program v bootovacom sektore (prítomný) hlavou
organizuje reťazec prenosu kontroly podľa schémy.
Hlava vírusu je teda teraz prvá, ktorá získala kontrolu, vírus je nainštalovaný v pamäti a prenáša kontrolu do pôvodného bootovacieho sektoru.
Registrujte vírusy
Pozrime sa teraz na to, ako funguje jednoduchý súborový vírus.
Na rozdiel od bootovacích vírusov, ktoré sú takmer vždy rezidentné v pamäti, vírusy súborov nie sú nevyhnutne rezidentné v pamäti. Uvažujme o schéme činnosti súborového vírusu, ktorý nie je rezidentom. Predpokladajme, že máme infikovaný spustiteľný súbor. Po spustení takéhoto súboru získa vírus kontrolu, vykoná určité akcie a prenesie kontrolu na „hlavného“
Čo robí vírus? Vyhľadá nový objekt, ktorý má byť infikovaný - súbor vhodného typu, ktorý ešte nebol infikovaný. Infikovaním súboru sa vírus sám vstrekne do svojho kódu, aby získal kontrolu nad spustením súboru. Okrem svojej hlavnej funkcie - reprodukcie, môže vírus dobre robiť aj niečo zložité (povedzme, pýtať sa, hrať sa) - už to záleží na predstavivosti autora vírusu. Ak je súborový vírus rezidentom v pamäti, bude nainštalovaný v pamäti a bude schopný infikovať súbory a zobrazovať ďalšie schopnosti nielen počas spustenia infikovaného súboru. Napadnutím spustiteľného súboru vírus vždy zmení svoj kód - preto môže byť infekcia spustiteľného súboru vždy zistená.
Ale zmenou kódu súboru vírus nemusí nevyhnutne vykonať ďalšie zmeny:
nie je povinný meniť dĺžku spisu
nepoužité časti kódu
nie je povinný meniť začiatok spisu
Teda pri spustení ľubovoľného súboru získa vírus kontrolu (operačný systém ju sám spustí), nainštaluje sa do pamäte a prevedie kontrolu do volaného súboru.
Zavádzacie vírusy
Hlavnou deštruktívnou akciou je šifrovanie sektorov pevného disku. Pri každom spustení vírus zašifruje ďalšiu časť sektorov a po zašifrovaní polovice pevného disku to šťastne oznámi. Hlavným problémom pri liečbe tohto vírusu je, že nestačí iba odstrániť vírus zo súborov, je potrebné dešifrovať ním šifrované informácie.
Polymorfné vírusy
Tento typ počítačových vírusov sa dnes javí ako najnebezpečnejší. Poďme si vysvetliť, o čo ide.
Polymorfné vírusy sú vírusy, ktoré upravujú svoj kód v infikovaných programoch takým spôsobom, že sa dve kópie rovnakého vírusu nemusia zhodovať v jednom bite.
Takéto vírusy nielen šifrujú svoj kód pomocou rôznych šifrovacích ciest, ale obsahujú aj kód na generovanie šifrovania a dešifrovania, ktorý ich odlišuje od bežných šifrovacích vírusov, ktoré tiež môžu šifrovať časti svojho kódu, ale zároveň majú trvalé šifrovanie a dešifrovací kód.
Polymorfné vírusy sú vírusy so samočinne sa meniacimi dekódovačmi. Účel tohto šifrovania: keďže máte infikované a pôvodné súbory, stále nemôžete analyzovať jeho kód pomocou bežnej demontáže. Tento kód je šifrovaný a predstavuje nezmyselnú sadu príkazov. Dešifrovanie vykonáva samotný vírus už za behu programu. V takom prípade sú možné možnosti: môže sa dešifrovať naraz, alebo môže takéto dešifrovanie vykonať „popri tom“, môže znovu zašifrovať už použité sekcie. To všetko sa robí preto, aby sa sťažila analýza vírusového kódu.
Tajné vírusy
Tajné vírusy podvádzajú antivírusové programy a vďaka tomu zostávajú nepovšimnuté. Existuje však jednoduchý spôsob, ako deaktivovať mechanizmus maskovania vírusov stealth. Stačí počítač zaviesť z neinfikovanej systémovej diskety a okamžite bez spustenia ďalších programov z disku počítača (ktoré môžu byť tiež infikované) skontrolovať počítač antivírusovým programom.