Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Тема 5.3 Методы и средства борьбы с вирусами
План урока:
1 Признаки появления вирусов
Есть ряд признаков, свидетельствующих о заражении компьютера:
Кроме того, есть некоторые характерные признаки поражения вирусом через электронную почту:
Есть также косвенные признаки заражения вашего компьютера:
Косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении, но при их появлении рекомендуется провести полную проверку вашего компьютера установленной на нем антивирусной программой.
Антивирусные средства применяются для реше ния следующих задач:
• обнаружение вирусов в КС;
• блокирование работы программ-вирусов;
• устранение последствий воздействия вирусов.
Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления дест руктивных функций вирусов. Необходимо отметить, что не суще ствует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.
При обнаружении вируса необходимо сразу же прекратить ра боту программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.
Устранение последствий воздействия вирусов ведется в двух направлениях:
• удаление вирусов;
• восстановление (при необходимости) файлов, областей памяти.
Для борьбы с вирусами используются программные и аппа ратно-программные средства, которые применяются в определен ной последовательности и комбинации, образуя методы борьбы с вирусами. Можно выделить методы обнаружения вирусов и мето ды удаления вирусов.
2 Методы обнаружения вирусов
Известны следующие методы обнаружения вирусов:
1 Сканирование – это один из самых старых и простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса - сигнатуры. Программа фиксирует наличие уже извест ных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру.
Недостатки:
Самой известной программой-сканером в России является Aidstest Дмитрия Лозинского.
2 Метод обнаружения изменений - базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно раз мещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характери стики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном нали чии вирусов.
Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров. Могут контролировать ся также объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.
Достоинство - является возможность обнару жения вирусов всех типов, а также новых неизвестных вирусов (обнаруживают даже «стелс»-вирусы). Например, программа-ревизор Adinf, разработанная Д. Ю Мостовым
Недостаток - программ-ревизоров невозможно определить вирус в файлах, которые по ступают в систему уже зараженными (например, обнаружения зараже ния макровирусами).
3 Эвристический анализ - как и метод обнаружения изме нений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения ин формации о файловой системе.
Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Эври стические анализаторы при обнаружении «подозрительных» ко манд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.
Эвристический анализатор имеется, например, в ан тивирусной программе Doctor Web.
4 В методе резидентных сторожей используются антивирусные программы, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. Резидентный сторож сообщит пользователю о том, что какая-либо программа пытается изменить загрузочный сектор жесткого диска или дискеты, а также выполнимый файл.
Существенным недостатком данного метода является значи тельный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей.
5 Вакцинация программ. Под вакцинацией программ понимается создание специально го модуля для контроля ее целостности. В качестве характеристи ки целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обна руживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стеле»- вирусов.
Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее.
Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе.
В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия заполненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом.
6 Постоянный мониторинг. Программы-мониторы имеют одно коренное отличие от других антивирусов. Дело в том, что они работают резидентно, то есть постоянно загружены в память компьютера. В задачу монитора входит проверка всех уязвимых файлов, к которым обращается любое приложение операционной системы.
В принципе, это самый удобный для пользователя вариант. И действительно, не нужно постоянно помнить о необходимости проверки новых файлов. Не нужно терять время в ожидании, пока сканер проверит все файлы на жестком диске. Программы-мониторы работают постоянно и незаметно для пользователя. Хотя, с другой стороны, любое резидентное приложение, тем более такое "активное", требует дополнительных затрат системных ресурсов. Поэтому на старых слабых компьютерах антивирусные мониторы могут стать причиной замедленной работы ПК. Второй важный плюс постоянного мониторинга помимо удобства для пользователей - это надежность. И действительно, этот метод, в отличие от остальных, позволяет определить и обезвредить вирус еще до того, как он приступил к своей разрушительной деятельности.
Монитор "перехватывает" обращения операционной системы к файлам и сначала проверяет их. При этом используются оба описанных выше метода - поиск известных сигнатур и эвристический анализ. Если в результате проверки монитор обнаруживает вирус, то доступ к файлу блокируется, а пользователю выдается специальное сообщение с предложением выбрать необходимое действие (попытаться вылечить файл, удалить его, поместить в специальную папку и т. п.). Ну а если объект "чист", то монитор ничего не делает, а приложение, обращавшееся к нему, продолжает свою работу.
3 Методы удаления последствий заражения вирусами.
Существует два мето да удаления последствий воздействия вирусов антивирусными программами.
Первый метод предполагает восстановление системы после воздействия известных вирусов. Разработчик программы, удаляющей вирус, должен знать структуру вируса и его характе ристики размещения в среде обитания.
Второй метод позволяет восстанавливать файлы и загрузоч ные сектора, зараженные неизвестными вирусами. Для восстанов ления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о незараженном файле и используя сведения об общих принципах работы вирусов, осуще ствляется восстановление файлов.
Если антивирусная программа не может восстановить главную загрузочную запись или загрузочные сектора, то можно попы таться это сделать вручную. В случае неудачи следует отформа тировать диск и установить ОС.
Существуют вирусы, которые, попадая в ЭВМ. становятся ча стью его ОС. Если просто удалить такой вирус, то система стано вится неработоспособной.
При загруз ке ЭВМ вирус постепенно зашифровывает жесткий диск. При об ращении к уже зашифрованным секторам резидентный вирус перехватывает обращения и расшифровывает информацию. Удаление вируса приведет к невозможности использовать зашиф рованную часть диска. При удалении такого вируса необходимо сначала расшифровать информацию на диске. Для этого необходимо знать механизм действия вируса.
Контрольные вопросы: