Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Методы обнаружения и удаления компьютерных вирусов. Профилактические меры защиты




 

Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.

Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, достигают астрономических величин в сотни миллионов долларов ежегодно. Антивирусные программы, технические и аппаратные способы не дают полной гарантии защиты от вирусов. Способы противодействия компьютерным вирусам можно разделить на следующие группы:

- профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения;

- использование антивирусных программ, обезвреживающих и удаляющих известные вирусы;

- применение способов обнаружения и удаления неизвестного вируса.

Одним из основных методов борьбы с вирусами является своевременная компьютерная профилактика, которая предполагает соблюдение небольшого числа правил, позволяющих значительно снизить вероятность заражения вирусом и потери каких-либо данных. Чтобы избежать или снизить ве­роятность заражения вирусом, следует применять следу­ющие профилактические меры:

- использовать дистрибутивные копии программного обеспечения;

- использовать при работе на компьютере программу антивирусный монитор, который должен резидентно находиться в памяти компьютера;

- использовать по-возможности программы-фильтры, программы-ревизоры, программы-доктора;

- при работе в сети на сервере администраторам сетей следует активно использовать стандартные возможности защиты сети: ограничение прав пользователей; установку атрибутов «только на чтение» или «только на запуск» для всех выполняемых файлов;

- если нет необходимости грузить систему с дискеты, то рекомендуется поставить в BIOS Setup порядок загрузки «сначала - С:, потом - A:», что надежно защитит компьютер от загрузочных вирусов;

- на дискеты с файлами, которые не нужно изме­нять, установить защиту от записи;

- проверять вновь полученные программные продукты и дискеты, используемые на других компьютерах;

- перед открытием проверять документы Word/Excel, полученные из локальной сети, из глобальной сети Internet или по электронной почте, антивирусными программами;

- периодически обновлять и систематически приме­нять свои антивирусные программы;

- периодически копировать информацию, создавать копию файлов и системных областей дисков; файлы рекомендуется архивировать, т.к. к архивным файлам, вирус не приписывается;

- ограничить круг лиц, допущенных к работе на компьютере;

- рекомендуется иметь загрузочную дискету, защищенную от записи, с копией системной области (CMOS, Partition Table, Boot Record);

- рекомендуется иметь загрузочную дискету, защищенную от записи, с антивирусными программами;

- использовать утилиты проверки целостности информации, они сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т.д.);

- периодически сравнивать информацию, хранящуюся в базе данных, с реальным содержимым жесткого диска, так как любое несоответствие может служить сигналом о появлении вируса;

Хотя предотвратить заражение вирусами компьютер, включенный в локальную и глобальную компьютерную сеть, достаточно трудно, однако, применяя различные способы защиты информации, можно значительно сни­зить вероятность заражения вирусом и эффективно его «вы­лечить». При заражении вирусом рекомендуется: если имеются архивные файлы, то можно уничто­жить все зараженные или подозреваемые в заражении файлы, при невозможности применить эти меры целесо­образно осуществить следующие действия:

- выключить ПЭВМ и отключить все коммуника­ции;

- установить защиту от записи на все носители ин­формации ПЭВМ;

- создать загрузочную дискету, т.е. отформатировать ее и записать на нее системные файлы;

- записать на нее антивирусные программы и драйвер клавиатуры keyrus.com.

- защитить дискету от записи;

- перезагрузить операционную систему с эталонной и защищенной от записи дискеты;

- запустить антивирусную программу-фильтр (иначе, запустить последовательно драйвер клавиатуры и антивирусную программу, записанную на дискету);

- скопировать зараженные файлы или всю информацию на новый магнитный носитель;

- новый носитель использовать для обнаружения и уничтожения вируса с помощью программ-детек­торов и докторов;

- если тип вируса распознан на новом носителе, то необходимые антивирусные программы при­менить для уничтожения вируса на рабочем но­сителе;

- если вирус не найден, нужно обратиться к специ­алистам.

Можно попытаться вылечить зараженные файлы и без переноса информации на другой носитель, т.е. установив режим «Лечение» в антивирусной программе. К сожалению, не существует антивирусной программы, которая обеспечила бы 100% защиту компьютера. Только хорошо подобранный набор антивирусных средств и регулярная профилактика сведет к минимуму возможные потери информации.

 

6.17. Антивирусные программы. Классификация
антивирусных программ

 

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы, хотя они и не гарантируют стопроцентную защиту от вирусов. Существует несколько типов антивирусных программ:

1. Программы-детекторы обнаруживают файлы, зараженные вирусами. К этому классу относятся следующие программы:

- Aids Test Д. Лозинского, программа обновляется 2-3 раза в месяц, номер версии программы соответствует числу обнаруживаемых вирусов;

- AVSP А. Борисова, программа обновляется раз в полгода, имеет способность обучаться распознаванию новых вирусов;

- -V Е. Касперского, программа обновляется ежемесячно;

- Vir Scan (фирма IBM) и Scan (фирма MCAffe Associates);

2. Программы - полифаги (доктора) – программы, которые обнаруживают фиксированный набор известных им вирусов и в большинстве случаев обезвреживают их. Примеры: DR.Web (Doctor Web) И.А. Данилова; AntiViral Toolkit Pro Евгения Касперского; Aids Test Д. Лозинского.

3. Резидентные антивирусы (сторожа) – это программы, которые находятся постоянно в оперативной памяти компьютера и контролируют операции, проводимые с диском и памятью. При подозрении на вирус сообщают об этом пользователю, например, AntiViral Toolkit Pro Monitor.

4. Программы-ревизоры – программы, запоминающие сведения о состоянии файлов и системных областей дисков (длину, контрольную сумму и др.). При работе программы сравнивают рабочие характеристики файлов с исходными характеристиками и делают вывод о возможном заражении файлов. Некоторые программы-ревизоры (например, A Dinf) позволяют восстановить при необходимости исходное состояние системных областей и контролируемых файлов. Примеры: A Dinf Д. Мостового, фирма «Диалог-Наука»; A Dinf Cure Module Д. Мостового, В. Ладыгина, Д. Зуева, фирма «Диалог-Наука»; LOOKCMD; FSP.

5. Программы-фильтры - программы, которые располагаются резидентно в оперативной памяти и перехватывают обращение к операционной системе, которые вирусы используют для размножения и нанесения вреда. К таким программам относятся: Disk Monitor; FSP, Vaccine; Anti 4 us.

Самыми популярными и эффективными антивирусными программами являются:

- антивирусные сканеры (другие названия: фаги, полифаги);

- CRC -сканеры (также: ревизор, checksumer, integrity checker);

- блокировщики;

- иммунизаторы.

Часто антивирусные сканеры и CRC -сканеры объединяют в одну универсальную антивирусную программу, что значительно повышает ее мощность.

Антивирусные сканеры. Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти, на поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются маски - некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы, например: алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Во многих сканерах используются также алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения: «возможно заражен» или «не заражен» для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний. Различают следующие категории сканеров:

- универсальные сканеры - сканеры, рассчитанные на поиск и обезвреживание всех типов вирусов;

- специализированные сканеры - сканеры, предназначеные для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов, являются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel;

- резидентные (мониторы) сканеры - сканеры, которые перед тем как разрешить доступ к объекту, производят его сканирование на наличие вируса;

- нерезидентные сканеры - сканеры, которые обеспечивают проверку системы по запросу.

Резидентные сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска. Достоинство сканеров всех типов - их универсальность. Недостатки: большие размеры антивирусных баз, небольшая скорость поиска вирусов.

CRC-сканеры. Принцип работы CRC -сканеров основан на подсчете CRC -сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. CRC -суммы, длина файлов, дата их последней модификации и т.д. сохраняются в базе данных антивируса. При последующем запуске CRC -сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC -сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC -сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления. Однако у этого типа антивирусов есть недостатки, которые заметно снижают их эффективность. CRC -сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC -сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» и заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми.

Блокировщики. Антивирусные блокировщики – это резидентные программы, перехватывающие вирусо-опасные ситуации и сообщающие об этом пользователю. К вирусо-опасным ситуациям относятся вызовы на открытие для записи в выполняемые файлы, запись в boot - сектора дисков, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. Антивирусные блокировщики подразделяются на: программные блокировщики и блокировщики, выполненные в виде аппаратных компонентов компьютера.

Наиболее распространенной является встроенная в BIOS защита от записи. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS -утилиты FDISK немедленно вызывает ложное срабатывание защиты. Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики непопулярными на фоне остальных типов антивирусной защиты.

Достоинство блокировщиков - способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. Недостатки блокировщиков: существование путей обхода защиты блокировщиков, большое количество ложных срабатываний. Вышеуказанные недостатки являются причиной для отказа пользователей от антивирусных блокировщиков.

Иммунизаторы. Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении объектов и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первый тип иммунизаторов обычно записывается в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяет его на изменение. Недостаток: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому в настоящее время такие иммунизаторы, как и блокировщики, практически не используются.

Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.

Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов: одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 72 секунды, а другие - 70 секунд. Однако, несмотря на это, подобные иммунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.

 




Поделиться с друзьями:


Дата добавления: 2014-01-06; Просмотров: 3318; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.011 сек.