Соберите алгоритм работы антивирусной программы для обезвреживания подозрительных файлов
1. Цель работы: Научиться определять первые признаки появления компьютерных вирусов. Ознакомиться с основными видами антивирусных программ. Узнать принцип роботы основных нтивирусных программ.
2. Краткие теоретические сведения:
Компьютерным вирусом – называется специально написанная программа способная приписывать себя к другим программам, создавать свои копии и помещать их в файлы, системные области диска и в вычислительные сети с целью нарушения работы системы файлов и каталогов, создания всевозможных помех в работе на компьютере.
Вирусы принято классифицировать:
1. По среде обитания:
- сетевые вирусы (они распространяются по разным компьютерным сетям);
- файловые вирусы (заражают исполняемые файлы программ – com, exe, bat.);
- загрузочные вирусы (заражают загрузочный сектор диска (boot-sector) или сектор, содержащий программу загрузки системного диска – Master Boot Record);
- файлово-загрузочные (действуют так же как и загрузочные вирусы)
2. По способу заражения:
- резидентные (такой вирус при инфицировании ПК оставляет в оперативке свою резидентную часть, которая потом перехватывает обращение ОС к объектам заражения и поражает их. Резидентные вирусы живут до первой перезагрузки ПК);
- нерезидентные (не заражают оперативную память и могут быть активными ограниченное время)
3. По результату воздействия:
- неопасные (как правило эти вирусы забивают память компьютера путем своего размножения и могут организовывать мелкие пакости – проигрывать заложенную в них мелодию или показывать картинку);
- опасные (эти вирусы способны создать некоторые нарушения в функционировании ПК – сбои, перезагрузки, глюки, медленная работа компьютера и т.д.);
- очень опасные (опасные вирусы могут уничтожить программы, стереть важные данные, убить загрузочные и системные области жесткого диска, который потом можно выбросить)
4. По алгоритму работы:
- паразитические (меняют содержимое файлов и секторов диска. Такие вирусы легко вычисляются и удаляются);
- мутанты (их очень тяжело обнаружить из-за применения в них алгоритмов шифрования. Каждая следующая копия размножающегося вируса не будет похожа на предыдущую);
- репликаторы (вирусы-репликаторы, они же сетевые черви, проникают через компьютерные сети, они находят адреса компьютеров в сети и заражают их);
- троянский конь (один из самых опасных вирусов, так как трояны не размножаются, а воруют ценную (порой очень дорогую) информацию – пароли, банковские счета, электронные деньги и т.д.);
- невидимки (это трудно обнаружимые вирусы, которые перехватывают обращения ОС к зараженным файлам и секторам дисков и подставляют вместо своего незараженные участки.
Антивирусными программами – называются программы, предназначенные для обнаружения или обнаружения и обезвреживания компьютерных вирусов.
3.1. Запустить антивирусную программу.
3.2. Открыть справочную систему антивирусной программы.
3.3. Ознакомиться с интерфейсом приложения (зарисовать и записать основные компоненты с помощью справочной системы).
3.4. Ознакомиться с помощью справочной системы, как можно проверить на вирусы файлы, каталоги и диски.
Часто сталкиваюсь с тем, что дети не верят в то, что могут учиться и научиться, считают, что учиться очень трудно.
Урок 07. Практическая работа №2. Антивирусная защита.
Практическая работа № 2.
Тема: Антивирусная защита.
Цель: Изучить технологию тестирования компьютера на наличие вируса и профилактические меры. Познакомиться со способами лечения зараженных объектов.
Теоретическая часть.
Компьютерный вирус – это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может “ приписывать” себя к другим программам (“заражать” их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.
Программа, внутри которой находится вирус, называется “зараженной” Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и заражает другие программы, а также выполняет какие-нибудь вредные действия (портит файлы или таблицу размещения файлов на диске, “засоряет” оперативную память и т.д.).
Классификация вирусов.
По среде обитания
распространяются по компьютерной сети
внедряются в выполняемые файлы
внедряются в загрузочный сектор диска (Boot-сектор)
внедряются в выполняемые файлы и в загрузочный сектор диска
проникают в системные модули и драйверы периферийных устройств, поражают программы-интерпретаторы
По способу заражения
находятся в памяти, активны до выключения компьютера
не заражают память, являются активными ограниченное время
По деструктивным возможностям (по способам воздействия)
практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения
уменьшают свободную память; создают звуковые, графические и прочие эффекты
могут привести к серьёзным сбоям в работе
могут привести к потере программ или системных данных
По особенностям алгоритма вируса
вирусы, не изменяющие файлы, создают для EXE-файлов файлы-спутники с расширением COM
паразитические программы, которые изменяют содержимое файлов и секторов диска и могут быть легко обнаружены
обычные файловые вирусы, которые пытаются заразить антивирусные программы, уничтожая их, или делая неработоспособными
распространяются по сети, рассылают свои копии, вычисляя сетевые адреса. Это самые распространенные в виртуальной сети вирусы. Они очень быстро «размножаются». Иногда дают своим копиям отдельные имена. Например, «install.exe».
изменяют содержимое дисковых секторов или файлов
примитив, содержат большое количество ошибок
это файловые вирусы, которых антивирусные программы не находят, потому что во время проверки они фальсифицируют ответ. Они перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки
не имеют ни одного постоянного участка кода, труднообнаруживаемы, основное тело вируса зашифровано
пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в шаблон Normal.dot
квазивирусные, или «троянские»
это вирусы, не способные к «размножению».
Троянская программа маскируется под полезную или интересную программу, выполняя во время своего функционирования ещё и разрушительную работу (например, стирает FAT-таблицу) или собирает на компьютере не подлежащую разглашению информацию. В отличие от вирусов, троянские программы не обладают свойством самовоспроизводства.
Троянская программа маскируется, как правило, под коммерческий продукт. Её другое название «троянский конь».
программы, которые запускаются при определённых временных или информационных условиях для осуществления вредоносных действий (как правило, несанкционированного доступа к информации, искажения или уничтожения данных)
это один из видов вирусов, способных к самовоспроизведению. Однако их копия явно отличается от оригинала.
Основными путями проникновения вирусов в компьютер являются съёмные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может быть и не системной. Заражение дискеты происходит, даже если её просто вставили в дисковод зараженного компьютера или, например, прочитали её оглавление.
Признаки заражения
Есть также косвенные признаки заражения вашего компьютера:
- частые зависания и сбои в работе компьютера;
- прекращение работы или неправильная работа ранее успешно работавших программ;
- медленная работа компьютера при запуске программ;
- невозможность загрузки операционной системы;
- исчезновение файлов и каталогов или искажение их содержимого;
- изменение размеров файлов;
- неожиданное значительное увеличение количества файлов на диске;
- существенное уменьшение размеров свободной оперативной памяти;
- частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
- Microsoft Internet Explorer "зависает" или ведет себя неожиданным образом.
В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуем вам провести полную проверку вашего компьютера.
Антивирусные программы.
Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные антивирусные программы. Различают следующие виды антивирусных программ:
Назначение и основные функции Антивируса Касперского Personal
Антивирус Касперского Personal предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционной системы Windows.
Антивирус Касперского Personal выполняет следующие функции:
- Защита от вирусов и вредоносных программ - обнаружение и уничтожение вредоносных программ, проникающих через съемные и постоянные файловые носители, электронную почту и протоколы интернета. Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности):
- Постоянная защита компьютера - проверка всех запускаемых, открываемых и сохраняемых на компьютере объектов на присутствие вирусов.
- Проверка компьютерапо требованию - проверка и лечение как всего компьютера в целом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можете запускать самостоятельно или настроить ее регулярный автоматический запуск.
- Карантин - помещение объектов, возможно зараженных вирусами или их модификациями, в специальное безопасное хранилище, где вы можете их лечить, удалять, восстанавливать в исходный каталог, а также отправлять экспертам Лаборатории Касперского на исследование. Файлы на карантине хранятся в специальном формате и не представляют опасности.
- Формирование отчета - фиксирование всех результатов работы Антивируса Касперского Personal в отчете. Подробный отчет о результатах проверки включает общую статистику по проверенным объектам, хранит настройки, с которыми была выполнена та или иная задача, а также последовательность проверки и обработки каждого объекта в отдельности.
Как проверить CD-диск или дискету.
Через дискеты, CD и другие съемные диски легко заразить компьютер вирусом. Если дискета (или загрузочный CD-диск) заражена загрузочным вирусом, и вы оставили ее в дисководе и перезагрузились, результаты могут быть самые печальные.
Рекомендуем вам проверять все съемные диски перед их использованием.
Вы можете запустить проверку сменных дисков из главного окна Антивируса Касперского Personal, а также из контекстного меню Windows.
Для проверки сменных дисков из контекстного меню Windows
- Выберите диски (вы можете выбрать сразу и CD-диск и дискету).
- Установите курсор мыши на имени выбранного объекта.
- Щелчком по правой кнопке мыши откройте контекстное меню Windows и выберите пункт Проверить на вирусы.
Чтобы проверить CD-диск или дискету на присутствие вирусов из главного окна Антивируса Касперского Personal
- Вставьте CD-диск в CD-ROM-устройство или дискету в дисковод. Обратите внимание, программа сможет проверить и CD-диск и дискету за один прием.
- Воспользуйтесь гиперссылкой Проверить съемные диски, расположенной в левой части закладки Защита.
или
По гиперссылке Проверить объекты перейдите в окно Выбор объектов для проверки, выберите съемные диски и нажмите на кнопку Проверить.
Сразу после запуска проверки на экране откроется окно Проверка, где будет отображаться процесс выполнения действия над выбранными объектами списка.
Если для проверки вы выбрали только один съемный диск (устройство), по окончании проверки Антивирус Касперского Personal предложит вставить следующий диск (устройство).
Обратите внимание на некоторые особенности работы программы:
В момент монтирования съемного диска в систему (когда диск определяется операционной системой как новое устройство) Антивирус выполнит проверку такого диска и на присутствие boot-вируса.
Во время выполнения проверки компьютера, выбранных объектов, обновления антивирусных баз, а также постоянной защиты формируется отчет о проверенных объектах и результатах их обработки, а также общая статистика. Полный список всех выполняемых задач ведется Антивирусом Касперского в окне Отчеты, открыть который можно по гиперссылке Просмотреть отчеты в левой части закладки Защита. Здесь фиксируется статус каждой задачи, а также дата и время ее окончания.
Информация по обработке объекта может быть следующих видов:
Внимание (например: Внимание! Остались необработанные объекты).
Примечание (например: задача прервана).
Выделив любой отчет и нажав на кнопку Подробнее можно просмотреть информацию о ходе проверки:
а на вкладке Отчет информацию о зараженных и вылеченных объектах:
Профилактика заражения компьютера вирусами.
Никакие самые надежные и разумные меры не смогут обеспечить стопроцентную защиту от компьютерных вирусов и троянских программ, но, выработав для себя ряд правил, вы существенно снизите вероятность вирусной атаки и степень возможного ущерба.
Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и потери каких-либо данных.
Ниже перечислены основные правила безопасности, выполнение которых позволит вам избегать вирусных атак.
Правило № 1: защитите ваш компьютер с помощью антивирусных программ и программ безопасной работы в интернете. Для этого:
- Безотлагательно установите антивирусную программу.
- Ежедневно обновляйте антивирусные базы. Обновление можно проводить несколько раз в день при возникновениях вирусных эпидемий
- Задайте рекомендуемые настройки для постоянной защиты. Постоянная защита вступает в силу сразу после включения компьютера и затрудняет вирусам проникновение на компьютер.
- Задайте рекомендуемые настройки для полной проверки компьютера и запланируйте ее выполнение не реже одного раза в неделю.
Правило № 2: будьте осторожны при записи новых данных на компьютер:
Правило № 3: внимательно относитесь к информации об эпидемиях компьютерных вирусов..
В большинстве случаев о начале новой эпидемии сообщается задолго до того, как она достигнет своего пика. Вероятность заражения в этом случае еще невелика, и, скачав обновленные антивирусные базы, вы сможете защитить себя от нового вируса заблаговременно.
Правило № 4: с недоверием относитесь к вирусным мистификациям - "страшилкам", письмам об угрозах заражения.
Правило № 5: пользуйтесь сервисом Windows Update и регулярно устанавливайте обновления операционной системы Windows.
Правило №6: покупайте дистрибутивные копии программного обеспечения у официальных продавцов.
Правило № 7: ограничьте круг людей, допущенных к работе на вашем компьютере.
Правило № 8: уменьшите риск неприятных последствий возможного заражения:
- Своевременно делайте резервное копирование данных. В случае потери данных система достаточно быстро может быть восстановлена при наличии резервных копий. Дистрибутивные диски, дискеты, флэш-карты и другие носители с программным обеспечением и ценной информацией должны храниться в надежном месте.
- Обязательно создайте системную аварийную дискету, с которой при необходимости можно будет загрузиться, используя "чистую" операционную систему.
Задание 1. Тестирование дискеты на наличие компьютерного вируса.
- Вставьте дискету в дисковод А:.
- Запустите имеющуюся у вас антивирусную программу, например AVP Касперского.
- Задайте область проверки —, режим проверки — лечение зараженных файлов и нажмите кнопку Проверить.
- Обратите внимание на индикатор процесса сканирования. Если антивирусная программа обнаружила вирусы и произвела лечение файлов (что видно в отчете о сканировании), запустите процесс сканирования дискеты еще раз и убедитесь, что все вирусы удалены.
- Составьте отчет о проделанной работе, описав каждый пункт выполнения задания.
- Выполните дополнительные задания.
- Запишите ответы на контрольные вопросы в тетрадь для лабораторных работ.
Дополнительные задания
Задание 2. Антивирусная проверка информации на жестком диске.
Запустите имеющуюся у вас антивирусную программу и проверьте наличие вирусов на локальном диске С:.
Задание 3. Проверка дискеты с записанным файлом на наличие вируса.
Найдите на диске С: файлы с любым расширением, начинающиеся на букву w ( маска для поиска — w*). Скопируйте самый маленький по размеру из найденных файлов на дискету (проведите сортировку по размеру). Проверьте дискету с записанным файлом на наличие вирусов.
Контрольные вопросы:
- Что такое компьютерный вирус?
- На какие типы разделяют компьютерные вирусы в различных видах классификации?
- Чем отличаются макровирусы от обычных загрузочных вирусов?
- Каковы основные пути проникновения вирусов в компьютер?
- По каким признакам можно судить о поражении компьютера вирусом?
- Какие типы антивирусных программ вам известны?
- Каковы назначение и основные функции Антивируса Касперского Personal?
- Как проверить CD-диск или дискету на наличие вируса с помощью программы Антивирус Касперского?
- В каком файле содержится информация о зараженных и вылеченных объектах?
- Перечислите профилактические меры для борьбы с заражением вирусами.
Если Вы являетесь автором материалов или обладателем авторских прав, и Вы возражаете против его использования на моем интернет-ресурсе - пожалуйста, свяжитесь со мной. Информация будет удалена в максимально короткие сроки.
Спасибо тем авторам и правообладателям, которые согласны на размещение своих материалов на моем сайте! Вы вносите неоценимый вклад в обучение, воспитание и развитие подрастающего поколения.
В мире нет ничего особенного. Никакого волшебства. Только физика.
Чак Паланик
Вопросы к экзамену
Для всех групп технического профиля
Учу детей тому, как надо учиться
Часто сталкиваюсь с тем, что дети не верят в то, что могут учиться и научиться, считают, что учиться очень трудно.
Урок 07. Практическая работа №2. Антивирусная защита.
Практическая работа № 2.
Тема: Антивирусная защита.
Цель: Изучить технологию тестирования компьютера на наличие вируса и профилактические меры. Познакомиться со способами лечения зараженных объектов.
Теоретическая часть.
Компьютерный вирус – это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может “ приписывать” себя к другим программам (“заражать” их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.
Программа, внутри которой находится вирус, называется “зараженной” Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и заражает другие программы, а также выполняет какие-нибудь вредные действия (портит файлы или таблицу размещения файлов на диске, “засоряет” оперативную память и т.д.).
Классификация вирусов.
По среде обитания
распространяются по компьютерной сети
внедряются в выполняемые файлы
внедряются в загрузочный сектор диска (Boot-сектор)
внедряются в выполняемые файлы и в загрузочный сектор диска
проникают в системные модули и драйверы периферийных устройств, поражают программы-интерпретаторы
По способу заражения
находятся в памяти, активны до выключения компьютера
не заражают память, являются активными ограниченное время
По деструктивным возможностям (по способам воздействия)
практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения
уменьшают свободную память; создают звуковые, графические и прочие эффекты
могут привести к серьёзным сбоям в работе
могут привести к потере программ или системных данных
По особенностям алгоритма вируса
вирусы, не изменяющие файлы, создают для EXE-файлов файлы-спутники с расширением COM
паразитические программы, которые изменяют содержимое файлов и секторов диска и могут быть легко обнаружены
обычные файловые вирусы, которые пытаются заразить антивирусные программы, уничтожая их, или делая неработоспособными
распространяются по сети, рассылают свои копии, вычисляя сетевые адреса. Это самые распространенные в виртуальной сети вирусы. Они очень быстро «размножаются». Иногда дают своим копиям отдельные имена. Например, «install.exe».
изменяют содержимое дисковых секторов или файлов
примитив, содержат большое количество ошибок
это файловые вирусы, которых антивирусные программы не находят, потому что во время проверки они фальсифицируют ответ. Они перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки
не имеют ни одного постоянного участка кода, труднообнаруживаемы, основное тело вируса зашифровано
пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в шаблон Normal.dot
квазивирусные, или «троянские»
это вирусы, не способные к «размножению».
Троянская программа маскируется под полезную или интересную программу, выполняя во время своего функционирования ещё и разрушительную работу (например, стирает FAT-таблицу) или собирает на компьютере не подлежащую разглашению информацию. В отличие от вирусов, троянские программы не обладают свойством самовоспроизводства.
Троянская программа маскируется, как правило, под коммерческий продукт. Её другое название «троянский конь».программы, которые запускаются при определённых временных или информационных условиях для осуществления вредоносных действий (как правило, несанкционированного доступа к информации, искажения или уничтожения данных)
это один из видов вирусов, способных к самовоспроизведению. Однако их копия явно отличается от оригинала.
Основными путями проникновения вирусов в компьютер являются съёмные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может быть и не системной. Заражение дискеты происходит, даже если её просто вставили в дисковод зараженного компьютера или, например, прочитали её оглавление.
Признаки заражения
Есть также косвенные признаки заражения вашего компьютера:
- частые зависания и сбои в работе компьютера;
- прекращение работы или неправильная работа ранее успешно работавших программ;
- медленная работа компьютера при запуске программ;
- невозможность загрузки операционной системы;
- исчезновение файлов и каталогов или искажение их содержимого;
- изменение размеров файлов;
- неожиданное значительное увеличение количества файлов на диске;
- существенное уменьшение размеров свободной оперативной памяти;
- частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
- Microsoft Internet Explorer "зависает" или ведет себя неожиданным образом.
В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуем вам провести полную проверку вашего компьютера.
Антивирусные программы.
Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные антивирусные программы. Различают следующие виды антивирусных программ:
Назначение и основные функции Антивируса Касперского Personal
Антивирус Касперского Personal предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционной системы Windows.
Антивирус Касперского Personal выполняет следующие функции:
- Защита от вирусов и вредоносных программ - обнаружение и уничтожение вредоносных программ, проникающих через съемные и постоянные файловые носители, электронную почту и протоколы интернета. Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности):
- Постоянная защита компьютера - проверка всех запускаемых, открываемых и сохраняемых на компьютере объектов на присутствие вирусов.
- Проверка компьютерапо требованию - проверка и лечение как всего компьютера в целом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можете запускать самостоятельно или настроить ее регулярный автоматический запуск.
- Карантин - помещение объектов, возможно зараженных вирусами или их модификациями, в специальное безопасное хранилище, где вы можете их лечить, удалять, восстанавливать в исходный каталог, а также отправлять экспертам Лаборатории Касперского на исследование. Файлы на карантине хранятся в специальном формате и не представляют опасности.
- Формирование отчета - фиксирование всех результатов работы Антивируса Касперского Personal в отчете. Подробный отчет о результатах проверки включает общую статистику по проверенным объектам, хранит настройки, с которыми была выполнена та или иная задача, а также последовательность проверки и обработки каждого объекта в отдельности.
Как проверить CD-диск или дискету.
Через дискеты, CD и другие съемные диски легко заразить компьютер вирусом. Если дискета (или загрузочный CD-диск) заражена загрузочным вирусом, и вы оставили ее в дисководе и перезагрузились, результаты могут быть самые печальные.
Рекомендуем вам проверять все съемные диски перед их использованием.
Вы можете запустить проверку сменных дисков из главного окна Антивируса Касперского Personal, а также из контекстного меню Windows.
Для проверки сменных дисков из контекстного меню Windows
- Выберите диски (вы можете выбрать сразу и CD-диск и дискету).
- Установите курсор мыши на имени выбранного объекта.
- Щелчком по правой кнопке мыши откройте контекстное меню Windows и выберите пункт Проверить на вирусы.
Чтобы проверить CD-диск или дискету на присутствие вирусов из главного окна Антивируса Касперского Personal
- Вставьте CD-диск в CD-ROM-устройство или дискету в дисковод. Обратите внимание, программа сможет проверить и CD-диск и дискету за один прием.
- Воспользуйтесь гиперссылкой Проверить съемные диски, расположенной в левой части закладки Защита.
или
По гиперссылке Проверить объекты перейдите в окно Выбор объектов для проверки, выберите съемные диски и нажмите на кнопку Проверить.
Сразу после запуска проверки на экране откроется окно Проверка, где будет отображаться процесс выполнения действия над выбранными объектами списка.
Если для проверки вы выбрали только один съемный диск (устройство), по окончании проверки Антивирус Касперского Personal предложит вставить следующий диск (устройство).
Обратите внимание на некоторые особенности работы программы:
В момент монтирования съемного диска в систему (когда диск определяется операционной системой как новое устройство) Антивирус выполнит проверку такого диска и на присутствие boot-вируса.
Во время выполнения проверки компьютера, выбранных объектов, обновления антивирусных баз, а также постоянной защиты формируется отчет о проверенных объектах и результатах их обработки, а также общая статистика. Полный список всех выполняемых задач ведется Антивирусом Касперского в окне Отчеты, открыть который можно по гиперссылке Просмотреть отчеты в левой части закладки Защита. Здесь фиксируется статус каждой задачи, а также дата и время ее окончания.
Информация по обработке объекта может быть следующих видов:
Внимание (например: Внимание! Остались необработанные объекты).
Примечание (например: задача прервана).
Выделив любой отчет и нажав на кнопку Подробнее можно просмотреть информацию о ходе проверки:
а на вкладке Отчет информацию о зараженных и вылеченных объектах:
Профилактика заражения компьютера вирусами.
Никакие самые надежные и разумные меры не смогут обеспечить стопроцентную защиту от компьютерных вирусов и троянских программ, но, выработав для себя ряд правил, вы существенно снизите вероятность вирусной атаки и степень возможного ущерба.
Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и потери каких-либо данных.
Ниже перечислены основные правила безопасности, выполнение которых позволит вам избегать вирусных атак.
Правило № 1: защитите ваш компьютер с помощью антивирусных программ и программ безопасной работы в интернете. Для этого:
- Безотлагательно установите антивирусную программу.
- Ежедневно обновляйте антивирусные базы. Обновление можно проводить несколько раз в день при возникновениях вирусных эпидемий
- Задайте рекомендуемые настройки для постоянной защиты. Постоянная защита вступает в силу сразу после включения компьютера и затрудняет вирусам проникновение на компьютер.
- Задайте рекомендуемые настройки для полной проверки компьютера и запланируйте ее выполнение не реже одного раза в неделю.
Правило № 2: будьте осторожны при записи новых данных на компьютер:
Правило № 3: внимательно относитесь к информации об эпидемиях компьютерных вирусов..
В большинстве случаев о начале новой эпидемии сообщается задолго до того, как она достигнет своего пика. Вероятность заражения в этом случае еще невелика, и, скачав обновленные антивирусные базы, вы сможете защитить себя от нового вируса заблаговременно.
Правило № 4: с недоверием относитесь к вирусным мистификациям - "страшилкам", письмам об угрозах заражения.
Правило № 5: пользуйтесь сервисом Windows Update и регулярно устанавливайте обновления операционной системы Windows.
Правило №6: покупайте дистрибутивные копии программного обеспечения у официальных продавцов.
Правило № 7: ограничьте круг людей, допущенных к работе на вашем компьютере.
Правило № 8: уменьшите риск неприятных последствий возможного заражения:
- Своевременно делайте резервное копирование данных. В случае потери данных система достаточно быстро может быть восстановлена при наличии резервных копий. Дистрибутивные диски, дискеты, флэш-карты и другие носители с программным обеспечением и ценной информацией должны храниться в надежном месте.
- Обязательно создайте системную аварийную дискету, с которой при необходимости можно будет загрузиться, используя "чистую" операционную систему.
Задание 1. Тестирование дискеты на наличие компьютерного вируса.
- Вставьте дискету в дисковод А:.
- Запустите имеющуюся у вас антивирусную программу, например AVP Касперского.
- Задайте область проверки —, режим проверки — лечение зараженных файлов и нажмите кнопку Проверить.
- Обратите внимание на индикатор процесса сканирования. Если антивирусная программа обнаружила вирусы и произвела лечение файлов (что видно в отчете о сканировании), запустите процесс сканирования дискеты еще раз и убедитесь, что все вирусы удалены.
- Составьте отчет о проделанной работе, описав каждый пункт выполнения задания.
- Выполните дополнительные задания.
- Запишите ответы на контрольные вопросы в тетрадь для лабораторных работ.
Дополнительные задания
Задание 2. Антивирусная проверка информации на жестком диске.
Запустите имеющуюся у вас антивирусную программу и проверьте наличие вирусов на локальном диске С:.
Задание 3. Проверка дискеты с записанным файлом на наличие вируса.
Найдите на диске С: файлы с любым расширением, начинающиеся на букву w ( маска для поиска — w*). Скопируйте самый маленький по размеру из найденных файлов на дискету (проведите сортировку по размеру). Проверьте дискету с записанным файлом на наличие вирусов.
Контрольные вопросы:
- Что такое компьютерный вирус?
- На какие типы разделяют компьютерные вирусы в различных видах классификации?
- Чем отличаются макровирусы от обычных загрузочных вирусов?
- Каковы основные пути проникновения вирусов в компьютер?
- По каким признакам можно судить о поражении компьютера вирусом?
- Какие типы антивирусных программ вам известны?
- Каковы назначение и основные функции Антивируса Касперского Personal?
- Как проверить CD-диск или дискету на наличие вируса с помощью программы Антивирус Касперского?
- В каком файле содержится информация о зараженных и вылеченных объектах?
- Перечислите профилактические меры для борьбы с заражением вирусами.
Если Вы являетесь автором материалов или обладателем авторских прав, и Вы возражаете против его использования на моем интернет-ресурсе - пожалуйста, свяжитесь со мной. Информация будет удалена в максимально короткие сроки.
Спасибо тем авторам и правообладателям, которые согласны на размещение своих материалов на моем сайте! Вы вносите неоценимый вклад в обучение, воспитание и развитие подрастающего поколения.
Антивирус – программа, ищущая вирусы, трояны, червей, бэкдоры и прочее нежелательное ПО на компьютере пользователя. Как правило антивирусы разрабатываются для семейства ОС Windows, что как бы намекает на следующие особенности этой операционки: а) большую распространенность, б) большую уязвимость к атакам, в) большую перспективность рынка антивирусов из-за высокой коммерциализации, г) увы, малую компьютерную грамотность её пользователей.
Антивирусы бывают платные и бесплатные. Подробно о плюсах и минусах обоих категорий мы говорить здесь не будем, замечу только лишь, что все не так однозначно, как может показаться на первый взгляд.
Если посмотреть со стороны на работу антивируса, его самого можно легко принять за вирус, но только со знаком плюс. Методы работы антивируса – слежение за сетевым трафиком, прослушивание портов, контроль служб, модификация и удаление файлов, сбор статистики и отправка данных разработчику ПО, изрядное потребление вычислительных мощностей… Разве что вывода из строя оборудования не хватает! Разумеется, все это направлено во благо пользователя и во имя сохранения его данных, но общая картина по меньшей мере любопытна. Кстати, именно из-за этой особенности крайне не рекомендуется устанавливать на одну машину сразу два антивируса. Мало того, что это без танцев с бубном редко кому удастся, так и последствия их совместной «работы» могут быть самыми причудливыми, вплоть до летальных для ОС.
В массовом сознании накрепко засел миф, что многие вирусы созданы самими антивирусными компаниями, точки над «i» в этом вопросе расставит неплохая статья здесь.
Разные антивирусы по-разному борются с вредоносным ПО. Все антивирусы могут обнаруживать вирусы, но, к сожалению, не все эффективно лечить. В состав антивируса могут входить несколько модулей, в зависимости от релиза и того, на что способна контора-разработчик антивируса. Модули могут быть следующие: модуль поиска нежелательного ПО, модуль анализа подозрительного поведения программ (эвристический модуль), карантинный модуль для изоляции подозрительных файлов, модуль обновлений – для поддержания актуальности новым угрозам, модуль «исцеления» зараженных файлов, брандмауэр, он же файрвол, и некоторые другие.
Антивирус не является панацеей! Это один из множества «бойцов», брошенных в бой с угрозами безопасности в бесконечной войне за информацию, причем не самый сильный. Никакой антивирус не дает 100% защиты в силу особенностей его функционирования.
К сожалению, большая часть работы антивируса направлена на устранение последствий «негигиеничной» рискованной, а иногда, увы, попросту неграмотной работы пользователя в Интернете, с внешними носителями данных и неизвестными приложениями.
Основные методы борьбы с вирусами
Сигнатурный метод обнаружения
Достоинства этого метода:
- Отработанная надежность. Метод применяется давно и с успехом, можно сказать что это основной метод обнаружения вируса.
- Высокое быстродействие.
Недостатки:
Эвристические методы обнаружения
Многие антивирусные программы содержат в себе модуль так называемого эвристического поиска вредоносных программ. Суть метода в анализе поведения всех запускаемых программ. Если в процессе работы системы вдруг обнаруживается «подозрительное» поведение приложения, то есть программа вдруг начинает делать то, что раньше не делала, то срабатывает тревога и эвристический модуль сообщает пользователю о потенциальной угрозе.
Достоинства метода:
- Весьма перспективное направление, в будущем возможности эвристического модуля возрастут и компьютер и информация будут лучше защищены от неожиданных и новейших угроз.
- Эвристический модуль может реагировать на угрозы, информации о которых нет в базе сигнатур.
Недостатки метода:
- Ложное срабатывание на безопасные события. В итоге пользователь может в раздражении отключить эвристический модуль, уменьшив защиту.
- Из-за особенностей работы эвристического модуля есть проблема излишнего потребления вычислительных мощностей. Попросту говоря, антивирус сжирает всю память и процессор, в итоге не то что в игры не поиграешь, в Word`е толком не поработаешь. Итог тот же – отключение модуля и уменьшение защиты.
Брандмауэр или файрвол
Брандмауэр предназначен для защиты от сетевых угроз – из локальной сети и Интернета.
Этот модуль далеко не всегда входит в стандартный набор антивируса, зачастую брандмауэр разрабатывается, поставляется и продается как отдельная программа.
Многие программы для соединения с удаленными компьютерами или серверами могут использовать небезопасные методы, оставляя «дырки» и уязвимости для проникновения извне.
Суть работы брандмауэра в контроле как входящего, так и исходящего трафика путем ограничения возможности устанавливать соединения с определенными удаленными ресурсами. Самый наглядный метод защиты – белые и черные списки сетевых ресурсов.
«Черный» список сетевых ресурсов – это список, например, сайтов, куда заходить нельзя, а «белый» список – это список ресурсов, куда только и можно заходить. Как нетрудно заметить, метод белого списка значительно более безопасен, но и сильно ограничивает возможности пользователя и программ.
Одной из основных частей любого антивируса является совокупность алгоритмов работы антивируса, так называемый антивирусный "движок" - модуль, отвечающий за проверку объектов и обнаружение вредоносных программ. Именно от антивирусного "движка", от того, как он разработан, какие он использует методы детектирования и эвристики, зависит качество детектирования вредоносных программ и, как следствие, уровень защиты, предоставляемый антивирусом.
Содержание
Введение 3
Критерии качества работы антивируса 4
Алгоритмы работы антивирусов 6
Поиск по "сигнатурам" 7
Поиск по контрольным суммам (CRC) 8
Использование редуцированной маски 9
Криптоанализ 10
Статистический анализ 11
Эвристический анализ 12
Эмуляция 14
Оригинальные технологии в антивирусных "движках" 15
База данных антивирусного "движка" 17
Полиморфные вирусы 18
Заключение 21Работа состоит из 1 файл
Основные алгоритмы работы антивирусов.doc
Федеральное агентство по образованию
ГОУ ВПО «Пермский государственный технический университет»
Кафедра «Автоматики и Телемеханики»
по «Основным технологиям эксплуатации защищенных компьютерных и телекоммуникационных систем»
«ОСНОВНЫЕ АЛГОРИТМЫ РАБОТЫ АНТИВИРУСОВ»
Выполнил: студент группы КЗИ-06 Осипович А.Э.
Принял: ассистент кафедры АТ Безукладников И.И.
Одной из основных частей любого антивируса является совокупность алгоритмов работы антивируса, так называемый антивирусный "движок" - модуль, отвечающий за проверку объектов и обнаружение вредоносных программ. Именно от антивирусного "движка", от того, как он разработан, какие он использует методы детектирования и эвристики, зависит качество детектирования вредоносных программ и, как следствие, уровень защиты, предоставляемый антивирусом.
Критерии качества работы антивируса
К сожалению, разработчики антивирусного программного обеспечения очень редко раскрывают детали реализации своих "движков". Однако и по косвенным признакам можно определить, является ли "движок" хорошим или нет. Вот основные критерии, по которым можно определить качество антивирусного "движка":
Качество детектирования. Насколько хорошо антивирус определяет вирусы. Этот критерий можно оценить по результатам различных тестов, которые проводятся несколькими организациями и обычно представлены на web-ресурсах разработчика.
Уровень детектирования эвристическими анализаторами. К сожалению, без тестирования на коллекции вирусов определить этот параметр невозможно, однако можно довольно легко определить, каков уровень ложных срабатываний у конкретного "движка".
Уровень ложных срабатываний. Если на 100% незараженных файлах антивирус рапортует об обнаружении возможно зараженного файла, то это - ложное срабатывание. Стоит ли доверять такому эвристическому анализатору, который беспокоит пользователя ложными тревогами? Ведь за большим количеством ложных срабатываний пользователь может пропустить действительно новый вирус.
Поддержка большого количества упаковщиков и архиваторов. Это очень важный фактор, так как часто создатели вредоносных программ, написав вирус, упаковывают его несколькими утилитами упаковки исполняемых модулей и, получив несколько разных вирусов, выпускают их "в свет". По сути, все эти вирусы являются экземплярами одного и того же варианта. Для антивирусного "движка", который поддерживает все или почти все популярные утилиты упаковки, не составит труда определить все эти экземпляры одного и того же вируса, назвав их при этом одним и тем же именем, для других же "движков" потребуется обновление антивирусной базы (а также время на анализ экземпляра вируса антивирусными экспертами).
Частота и размер обновлений антивирусной базы. Эти параметры являются косвенными признаками качества "движка". Так как частый выпуск обновлений гарантирует, что пользователь всегда будет защищен от только что появившихся вирусов. Размер обновления (и количество детектируемых вирусов в этом обновлении) говорит о качестве проектирования антивирусной базы и, отчасти, "движка".
Возможность обновления "движка" без обновления самой антивирусной программы. Иногда для обнаружения вируса требуется обновить не только антивирусную базу данных, но и сам "движок". Если антивирус не поддерживает такую возможность, то пользователь может остаться без защиты перед лицом нового вируса. Кроме этого, такая возможность позволяет оперативно улучшать "движок" и исправлять в нем ошибки.
Алгоритмы работы антивирусов
С появлением первых компьютерных вирусов программисты довольно быстро разобрались в принципах их работы и создали первые антивирусные программы. С тех пор прошло довольно много времени, и современный антивирус отличается от тех первых антивирусов, как персональный компьютер отличается от калькулятора.
Антивирусный "движок" (Anti-Virus Engine) - это программный модуль, который предназначен для детектирования вредоносного программного обеспечения. "Движок" является основным компонентом любой антивирусной программы, вне зависимости от ее назначения. Движок используется как в персональных продуктах - персональный сканер или монитор, так и в серверных решениях - сканер для почтового или файлового сервера, межсетевого экрана или прокси-сервера. Как правило, для детектирования вредоносных программ, в большинстве "движков" реализованы следующие технологии:
- Поиск по "сигнатурам" (уникальной последовательности байт);
- Поиск по контрольным суммам или CRC (контрольной суммы с уникальной последовательности байт);
- Использование редуцированной маски;
- Криптоанализ;
- Статистический анализ;
- Эвристический анализ;
- Эмуляция.
Рассмотрим каждый из этих методов подробнее.
Поиск по "сигнатурам"
Поиск по контрольным суммам (CRC)
Поиск по контрольным суммам (CRC - cyclic redundancy check), по сути, является модификацией поиска по сигнатурам. Метод был разработан во избежание основных недостатков сигнатурного поиска - размера базы и уменьшения вероятности ложных срабатываний. Суть метода состоит в том, что для поиска вредоносного кода берется не только "опорная" строка - сигнатура, а, вернее сказать, контрольная сумма этой строки, но и местоположение сигнатуры в теле вредоносной программы. Местоположение используется для того, чтобы не подсчитывать контрольные суммы для всего файла. Таким образом, вместо 10-12 байт сигнатуры (минимально) используется 4 байта для хранения контрольной суммы и еще 4 байта - для местоположения. Однако метод поиска по контрольным суммам несколько медленнее, чем поиск по сигнатурам.
Использование масок для обнаружения вредоносного кода довольно часто бывает осложнено наличием шифрованного кода (так называемые полиморфные вирусы), поскольку при этом либо невозможно выбрать маску, либо маска максимального размера не удовлетворяет условию однозначной идентификации вируса без ложных срабатываний.
Невозможность выбора маски достаточного размера в случае полиморфного вируса легко объясняется. Путем шифрования своего тела вирус добивается того, что большая часть его кода в пораженном объекте является переменной, и, соответственно, не может быть выбрана в качестве маски.
Для детектирования таких вирусов применяются следующие методы: использование редуцированной маски, криптоанализ и статистический анализ. Рассмотрим эти методы подробнее.
Использование редуцированной маски
При поражении объектов вирус, использующий шифрование, преобразует свой код в шифрованную последовательность данных:
T - базовый код вируса;
S - зашифрованные коды вируса;
F - функция шифрования вируса, произвольно выбирающаяся из некоторого множества преобразований .
Способ редуцированной маски заключается в том, что выбирается преобразование R зашифрованных кодов вируса S, такое, что результат преобразования (то есть некоторая последовательность данных S') не будет зависеть от ключей преобразования F, то есть
S' = R (S) = R (F (T)) = R' (T).
При применении преобразования R к всевозможным вариантам шифрованного кода S результат S' будет постоянным при постоянном T. Таким образом, идентификация пораженных объектов производится путем выбора S' в качестве редуцированной маски и применения к пораженным объектам преобразования R.
Этот способ заключается в следующем: по известному базовому коду вируса и по известному зашифрованному коду (или по "подозрительному" коду, похожему на зашифрованное тело вируса) восстанавливаются ключи и алгоритм программы-расшифровщика. Затем этот алгоритм применяется к зашифрованному участку, результатом чего является расшифрованное тело вируса. При решении этой задачи приходится иметь дело с системой уравнений.
Как правило, этот способ работает значительно быстрее и занимает гораздо меньше памяти, чем эмуляция инструкций вируса. Однако решение подобных систем часто является задачей высокой сложности.
Причем основная проблема - это математический анализ полученного уравнения или полученной системы уравнений. Во многом задача решения систем уравнений при восстановлении зашифрованного тела вируса напоминает классическую криптографическую задачу восстановления зашифрованного текста при неизвестных ключах. Однако здесь эта задача звучит несколько иначе: необходимо выяснить, является ли данный зашифрованный код результатом применения некоторой известной с точностью до ключей функции. Причем заранее известны многие данные для решения этой задачи: участок зашифрованного кода, участок незашифрованного кода, возможные варианты функции преобразования. Более того, сам алгоритм этого преобразования и ключи также присутствуют в анализируемых кодах. Однако существует значительное ограничение, заключающееся в том, что данная задача должна решаться в конкретных границах оперативной памяти и процедура решения не должна занимать много времени.
Также используется для детектирования полиморфных вирусов. Во время своей работы сканер анализирует частоту использования команд процессора, строит таблицу встречающихся команд процессора, и на основе этой информации делает вывод о заражении файла вирусом. Данный метод эффективен для поиска некоторых полиморфных вирусов, так как эти вирусы используют ограниченный набор команд в декрипторе, тогда как "чистые" файлы используют совершенно другие команды с другой частотой. Например, все программы для MS-DOS часто используют прерывание 21h, однако в декрипторе полиморфных DOS-вирусов эта команда практически не встречается.
Основной недостаток этого метода в том, что есть ряд сложных полиморфных вирусов, которые используют почти все команды процессора и от копии к копии набор используемых команд сильно изменяется, то есть по построенной таблице частот не представляется возможным обнаружить вирус.
Когда количество вирусов превысило несколько сотен, антивирусные эксперты задумались над идеей детектирования вредоносных программ, о существовании которых антивирусная программа еще не знает (нет соответствующих сигнатур). В результате были созданы так называемые эвристические анализаторы. Эвристическим анализатором называется набор подпрограмм, которые анализируют код исполняемых файлов, макросов, скриптов, памяти или загрузочных секторов для обнаружения в нем разных типов вредоносных компьютерных программ. Существуют два принципа работы анализатора.
Статический метод. Поиск общих коротких сигнатур, которые присутствуют в большинстве вирусов (так называемые "подозрительные" команды). Например, большое количество вирусов производит поиск вирусов по маске *.EXE, открывает найденный файл, производит запись в открытый файл. Задача эвристик в этом случае - найти сигнатуры, отражающие эти действия. Затем происходит анализ найденных сигнатур, и, если найдено некоторое количество необходимых и достаточных "подозрительных команд", то принимается решение о том, что файл инфицирован. Большой плюс этого метода - простота реализации и хорошая скорость работы, но при этом уровень обнаружения новых вредоносных программ довольно низок.
Динамический метод. Этот метод появился одновременно с внедрением в антивирусные программы эмуляции команд процессора . Суть метода состоит в эмуляции исполнения программы и протоколировании всех "подозрительных" действий программы. На основе этого протокола принимается решение о возможном заражении программы вирусом. В отличие от статического метода, динамический метод более требовательный к ресурсам компьютера, однако и уровень обнаружения у динамического метода значительно выше.
В эвристическом анализаторе, входящем в состав почти каждого антивируса, используются оба описанные выше методы анализа - криптоанализ и статистический анализ. Современный эвристический анализатор изначально разрабатывается так, чтобы быть расширяемым (в отличие от большинства эвристических анализаторов первого поколения, которые разрабатывались для обнаружения вредоносных программ только в исполняемых модулях).
В настоящее время эвристический анализатор позволяет обнаруживать вредоносные коды в исполняемых файлах, секторах и памяти, а также новые скрипт-вирусы и вредоносные программы для Microsoft Office (и других программ, использующих VBA), и, наконец, вредоносный код, написанный на языках высокого уровня, таких как Microsoft Visual Basic.
Гибкая архитектура и комбинация различных методов позволяет добиться достаточно высокого уровня детектирования новых вредоносных программ. При этом разработчики прилагают все усилия для того, чтобы количество ложных тревог свести к минимуму. Продукты, представляемые лидерами антивирусной индустрии, чрезвычайно редко ошибаются в детектировании вредоносных кодов.
Читайте также: