Компьютерные вирусы. Антивирусные программы 1 Компьютерные вирусыВирус — программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Вирусы попадают на жесткий диск компьютера или его оперативную память (загрузочные вирусы) через носимые хранилища данных – гибкие дискеты, CD(DVD)-диски, карты флэш-памяти, но больше всего вирусов приходит из Всемирной паутины. Вирусы пишут как энтузиасты одиночки, так и целые организации (группы хакеров). Они могут преследовать различные цели, но результат почти всегда одинаков – потерянные (испорченные, и даже украденные) данные. В некоторых случаях заражение компьютера вирусом приводит к огромным денежным убыткам. И хотя вирусописание и вирусораспространение во многих странах считается преступлением, это не спасает ситуацию в целом и с каждым годом вредоносных программ становиться все больше и больше. Чаще всего вирусы поражают загрузочный сектор диска (как жесткого, так и гибкого) и исполняемые файлы [8]. 2 Классификация вирусовКлассифицировать вирусы можно по следующим признакам [9]: · по среде обитания; · по способу заражения среды обитания; · по деструктивным возможностям; · по особенностям алгоритма вируса. По среде обитания вирусы можно разделить на: · файловые вирусы, которые внедряются в выполняемые файлы (*.com, *.exe, *.sys, *.bat, *.dll); · загрузочные вирусы, которые внедряются в загрузочный сектор диска или в сектор, содержащий системный загрузчик винчестера; · макро-вирусы, которые внедряются в системы, использующие при работе так называемые макросы (например, в программах MS Word, MS Excel); · сетевые вирусы распространяются по различным сетям, т. е. при передаче данных с одного компьютера на другой, соединенных сетью. Существуют и сочетания - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему и их труднее обнаружить. По способам заражения вирусы бывают: · резидентные; · нерезидентные. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными лишь ограниченное время. По деструктивным возможностям вирусы можно разделить на: · безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения); · неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами; · опасные - вирусы, которые могут привести к серьезным сбоям в работе; · очень опасные, могущие привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти и т. д. По особенностям алгоритма можно выделить следующие основные группы вирусов: · компаньон-вирусы (companion) - алгоритм работы этих вирусов состоит в том, что они создают для exe-файлов файлы-спутники, имеющие то же самое имя, но с расширением com, которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой программе; · вирусы-«черви» (worm) - вариант компаньон-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в подкаталогах дисков, никаким образом не изменяя других файлов и не используя СОМ-ЕХЕ прием; · сетевые черви - вирусы, которые распространяются в компьютерной сети и, так же, как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевых вирусов известно всего несколько штук. Например, XMasTree, Вирус Морриса (Internet Worm). · «паразитические» - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон-вирусами»; · «студенческие» - самые простые и легко обнаруживаемые вирусы, содержащие большое число ошибок; · «стелс»-вирусы (вирусы-невидимки), представляют собой весьма совершенные программы, которые перехватывают обращения операционной системы к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные программы-фильтры; · «полиморфик»-вирусы (самошифрующиеся или вирусы-призраки) - достаточно труднообнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика; · макро-вирусы - вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время широко распространены макро-вирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel; · троянские программы (квазивирусы) – не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков. На сегодняшний день сетевые вирусы не представляют никакой опасности, так как они нежизнеспособны в современных сетях, как глобальных, так и локальных. Однако это не мешает обычным вирусам и макро-вирусам поражать компьютерные сети (локальные и глобальные). Делают они это, в отличие от сетевых вирусов, не используя сетевые протоколы и «дыры» в программном обеспечении. Заражению подвергаются файлы на «общих» дисках на серверах и рабочих местах, через которые эти вирусы перебираются и на другие рабочие места, а часто и передаются в Internet. Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается в памяти компьютера и время от времени заражает программы и выполняет нежелательные действия на компьютере. Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметным. К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие: · некоторые ранее исполнявшиеся программы перестают запускаться или внезапно останавливаются в процессе работы; · увеличивается длина исполняемых файлов; · быстро сокращается объём свободной дисковой памяти и оперативной памяти; · на носителях появляются дополнительные сбойные кластеры, в которых вирусы прячут свои фрагменты или части повреждённых файлов; · замедляется работа некоторых программ; · в текстовых файлах появляются бессмысленные фрагменты; · на экране появляются странные сообщения, которые раньше не наблюдались; · появляются не существовавшие ранее "странные" файлы, особенно в каталоге Windows или корневом; · операционная система перестаёт загружаться с винчестера; · появляются сообщения об отсутствии винчестера; · данные на носителях портятся; · снижается скорость работы в Интернете (вирусы могут передавать информацию по сети); · жалобы от друзей (или провайдера) о том, что к ним приходят непонятные письма - вирусы любят рассылать себя по почте. Для защиты информации от вирусов используются общие и программные средства. К общим средствам, помогающим предотвратить заражение и его разрушительных последствий относят: · резервное копирование информации (создание копий файлов и системных областей жестких дисков); · избежание пользования случайными и неизвестными программами. Чаще всего вирусы распространяются вместе с компьютерными программами; · ограничение доступа к информации, в частности физическая защита дискеты во время копирования файлов с нее. К программным средствам защиты относят разные антивирусные программы (антивирусы). 3 Программы обнаружения и защиты от вирусовЧтобы противостоять нашествию компьютерных вирусов, необходимо выбрать правильную стратегию защиты от них, в том числе программные антивирусные средства, грамотно используя которые можно предотвратить вирусную атаку. А если она все же произойдет, вовремя ее обнаружить, локализовать и успешно отразить, не потеряв ценной информации [9]. Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ: · программы-детекторы; · программы-доктора, или фаги; · программы-ревизоры; · программы-фильтры; · программы-вакцины, или иммунизаторы. Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. Программы-доктора, или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Kaspersky Antivirus, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации и другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. Программы-фильтры, или «сторожа», представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться: · попытки коррекции файлов с расширениями com, exe; · изменение атрибутов файла; · прямая запись на диск по абсолютному адресу; · запись и загрузочные сектора диска; · загрузка резидентной программы. При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не лечат файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, уничтожающие этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение. Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры. 4 АрхивацияАрхиватор - это программа, которая сжимает файл или группу файлов в один архивный файл с целью уменьшения их размера. При этом не теряется ни бита информации, и любой файл можно из архива извлечь. Что дает архивация? Во-первых, экономия места на диске, во-вторых, на дискете можно перенести большой объем информации, в-третьих, есть возможность пересылать большие файлы по электронной почте [5]. Наиболее известные архиваторы - это архиваторы zip, arj, rar, gzip, lha, ha, ace. Архив, созданный тем или иным архиватором, имеет расширение, соответствующее названию архиватора. Например, расширение файла archive.rar говорит о том, что он был создан с помощью архиватора rar. Архиваторы различаются возможностями и качеством сжатия, которое зависит также и от типа сжимаемых данных. Некоторые архиваторы лучше работают с одними типами данных, но плохо показывают себя с другими. К важным функциям архиваторов относят создание многотомных архивов и самораспаковывающихся архивов. Многотомные архивы - это архивы, разбитые на несколько отдельных файлов. Их применяют, когда необходимо перенести большой объём информации на дискетах: на каждую дискету помещается отдельный том архива. При извлечении данных из многотомного архива архиватор будет последовательно обрабатывать том за томом, и запрашивать смену дискеты. Самораспаковывающиеся архивы используются в тех случаях, когда необходимо перенести информацию на другой компьютер, но неизвестно, установлен ли там соответствующий архиватор. Самораспаковывающийся архив представляет собой исполняемый (.exe) файл, который включает в себя заархивированные данные и программу для их распаковки. Алгоритмов сжатия данных существует великое множество. Некоторые алгоритмы подходят для одних типов данных, другие - для других. Хорошо сжимаются простые растровые изображения, не содержащие большого количества деталей (.bmp, .psd и др.). Коэффициент сжатия во многом зависит от используемого алгоритма и сложности изображения. Например, чёрно-белое изображение чертёжного качества может быть сжато даже в сотню раз, цветные рисунки - в пять-десять раз, а цветные изображения высокого фотографического качества сжимаются менее чем в два раза. Хорошо сжимаются текстовые файлы (.txt, .doc, .pas и др.). Если файл содержит текст, написанный на естественном языке, например, повесть или рассказ, то коэффициент сжатия будет равен двум-трём, а если в файле записан текст программы, то коэффициент сжатия может достигать пяти и выше. Коэффициент сжатия исполняемых файлов(.exe, и др.) также сильно колеблется, однако, в среднем он равен примерно трём. В отношении звука (.wav, .au), использование универсальных методов сжатия редко даёт хорошие результаты - звуковой файл сокращается всего на 20-40%. То же самое касается и высококачественных изображений, имеющих много деталей. Поэтому для этих типов изображений используются специальные методы сжатия, особо хорошие результаты дают так называемые алгоритмы сжатия с потерями. Одна из идей этих алгоритмов состоит в том, что человеческий глаз и ухо не очень восприимчивы к некоторым мелким деталям изображения или звука, поэтому лишнюю информацию можно просто отбросить. Разумеется, кроме отбрасывания лишней информации, используются и другие алгоритмы, в результате чего достигается несравнимый коэффициент сжатия при минимальных потерях качества (с точки зрения восприятия человека). Такой подход используется в файлах формата jpeg, предназначенного для хранения статичных изображений и mpeg, предназначенного для хранения видео- и аудиоинформации. Сегодня особенно популярны такие форматы, как mpeg-3 (или mp3), предназначенный для хранения аудиоинформации и позволяющий достигнуть десятикратного сжатия почти без потери качества, и mpeg-4, используемый для хранения видеофильмов. Плохо архивируются, либо вообще увеличиваются в размере файлы, данные в которых уже сжаты, в том числе архивы (.rar, .zip, .arj и др.), графические файлы тех форматов, которые имеют собственное сжатие (.gif, .jpg, .png и др.), аудиофайлы (.mp3), видеофайлы (.mpg, .avi и др.), самораспаковывающиеся архивы (.exe). |
Разработки студентов > Группа 5 >