cart-icon Товаров: 0 Сумма: 0 руб.
г. Нижний Тагил
ул. Карла Маркса, 44
8 (902) 500-55-04

Полифаги это в информатике – 3.Антивирусные программы.

Содержание

3.Антивирусные программы.

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Антивирусные программы могут использовать различные принципы для поиска и лечения зараженных файлов. Антивирусы - программы, призванные обнаруживать и удалять все вирусные программы с Вашего компьютера. Наиболее представительными, на мой взгляд, являются DrWeb, Antiviral Tolkit Pro, ADInf .Первые две программы постоянно получают всяческие международные сертификаты и вообще считаются одними из лучших. В революционном деле борьбы с вирусами главное - иметь свежий антивирус.

Также важно все-таки не запускать неизвестно что. Однако, при борьбе с вирусами не стоит впадать в дикую крайность и стирать все подряд. На этом построено действие "психологических" вирусов, рассчитанных именно на то, что Вы своими руками порушите систему.

Антивирусы-полифаги – наиболее распространенные средства по борьбе с вредоносными программами. Исторически они появились первыми и до сих пор удерживают несомненное лидерство в этой области.

Самыми популярными и эффективными антивирусными программами являются антивирусные программы полифаги (например, Kaspersky Anti-Virus, Dr.Web).Принцип работы полифагов основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов.

Для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа обнаруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.

Для поиска новых вирусов используются алгоритмы “эвристического сканирования “, то есть анализ последовательности команд в проверяемом объекте. Если “подозрительная” последовательность команд обнаруживается, то полифаг выдает сообщение о возможном заражении объекта.

Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами.

К достоинствам полифагов относится их универсальность. К недостаткам можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости вирусов.

В основе работы полифагов стоит простой принцип – поиск в программах и документах знакомых участков вирусного кода (так называемых сигнатур вирусов). Под сигнатурой могут пониматься разные вещи.

В общем случае сигнатура – это такая запись о вирусе, которая позволяет однозначно идентифицировать присутствие вирусного кода в программе или документе. Чаще всего сигнатура – это непосредственно участок вирусного кода или его контрольная сумм..

Первоначально антивирусы-полифаги работали по очень простому принципу – осуществляли последовательный просмотр файлов на предмет нахождения в них вирусных программ. Если сигнатура вируса была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа. Прежде чем начать проверку файлов, программа-фаг всегда проверяет оперативную память. Если в оперативной памяти оказывается вирус, то происходит его деактивация. Это вызвано тем, что зачастую вирусные программы производят заражение тех программ, которые запускаются или открываются в тот момент, когда вирус находится в активной стадии (это связано со стремлением экономить на усилиях по поиску объектов заражения). Таким образом, если вирус останется активным в памяти, то тотальная проверка всех исполняемых файлов приведет к тотальному заражению системы.

Тем более в настоящее время вирусные программы значительно усложнились. Например, появились так называемые “stealth- вирусы”. В основе их работы лежит тот факт, что операционная система при обращении к периферийным устройствам (в том числе и к жестким дискам) использует механизм прерываний. Здесь для неискушенного читателя необходимо сделать “лирическое” отступление на тему “Как работает механизм прерываний”. При возникновении прерывания управление передается специальной программе – ”Обработчику прерывания”. Эта программа отвечает за ввод и вывод информации в/из периферийного устройства. Кроме того, прерывания делятся на уровни взаимодействия с периферией (в нашем случае – с жесткими и гибкими дисками). Есть уровень операционной системы (в среде MS DOS – прерывание 25h), есть уровень базовой системы ввода/вывода (уровень BIOS – прерывание 13h). Опытные системные программисты могут работать и напрямую, обращаясь к портам ввода/вывода устройств. Но это – уже довольно серьезная и трудная задача. Столь многоуровневая система сделана, прежде всего, с целью сохранения переносимости приложений. Именно благодаря такой системе, скажем, оказалось возможным осуществлять запуск DOS-приложений в многозадачных средах типа MS Windows или IBM OS/2.

Но в такой системе изначально скрыта и уязвимость: управляя обработчиком прерываний, можно управлять потоком информации от периферийного устройства к пользователю. Stealth-вирусы, в частности, используют механизм перехвата управления при возникновении прерывания. Заменяя оригинальный обработчик прерывания своим кодом, stealth-вирусы контролируют чтение данных с диска. В случае, если с диска читается зараженная программа, вирус “выкусывает” собственный код (обычно код не буквально ”выкусывается”, а происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения “чистый” код. Таким образом, до тех пор пока вектор обработчика прерываний изменен вирусным кодом, сам вирус активен в памяти компьютера, обнаружить его простым чтением диска средствами операционной системы невозможно. Схожий механизм маскировки используется и загрузочными вирусами, о которых будет сказано дальше.

В целях борьбы со stealth-вирусами ранее рекомендовалось (и, в принципе, рекомендуется и сейчас) осуществлять альтернативную загрузку системы с гибкого диска и только после этого проводить поиск и удаление вирусных программ. В настоящее время загрузка с гибкого диска может оказаться проблематичной (для случая с win32 антивирусными приложениями запустить их не удастся). Ввиду всего вышесказанного, антивирусы-полифаги оказываются максимально эффективными только при борьбе с уже известными вирусами, то есть с такими, чьи сигнатры и методы поведения знакомы разработчикам. Только в этом случае вирус со 100-процентной точностью будет обнаружен и удален из памяти компьютера, а потом – и из всех проверяемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. Поэтому главное при пользовании любым полифагом – как можно чаще обновлять версии программы и вирусные базы. Для удобства пользователей базы вынесены в отдельный модуль, и, например, пользователи AVP могут обновлять эти базы ежедневно при помощи Интернета.

Особняком тут стоят так называемые эвристические анализаторы. Дело в том, что существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов. Как правило, такие вариации создают непрофессиональные программисты, которые по каким-то причинам решили написать вирус. Для борьбы с такими “копиями” и были придуманы эвристические анализаторы. С их помощью антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не 100%, но все же его коэффициент полезного действия больше 0,5. Вирусы, которые не распознаются антивирусными детекторами, способны написать только наиболее опытные и квалифицированные программисты.

Эвристическим анализатором кода называется набор подпрограмм, анализирующих код исполняемых файлов, памяти или загрузочных секторов для обнаружения в нем разных типов компьютерных вирусов. Основной частью эвристического анализатора является эмулятор кода. Эмулятор кода работает в режиме просмотра, то есть его основная задача – не эмулировать код, а выявлять в нем всевозможные события, т. е. совокупность кода или вызов определенной функции операционной системы, направленные на преобразование системных данных, работу с файлами или часто используемые вирусные конструкции. Грубо говоря, эмулятор просматривает код программы и выявляет те действия, которые эта программа совершает. Если действия этой программы укладываются в какую-то определенную схему, то делается вывод о наличии в программе вирусного кода.

Конечно, вероятность как пропуска, так и ложного срабатывания весьма высока. Однако правильно используя механизм эвристики, пользователь может самостоятельно прийти к верным выводам. Например, если антивирус выдает сообщение о подозрении на вирус для единичного файла, то вероятность ложного срабатывания весьма высока. Если же такое повторяется на многих файлах (а до этого эвристик ничего подозрительного в этих файлах не обнаруживал), то можно говорить о заражении вашей системы вирусом с вероятностью, близкой к 100%. Наиболее мощным эвристическим анализатором в настоящее время обладает антивирус Dr.Web (http://www.drweb.ru). Если и уступает ему, то ненамного AVP (http://www.avp.com).

Использование эвристического анализатора, помимо всего вышеперечисленного, позволяет также бороться с вирус-генераторами и полиморфными вирусами. Классический метод с определением вирусов по сигнатуре в этом случае вообще оказывается

неэффективен. Вирус-генераторы – это специализированный набор библиотек, который позволяет легко сконструировать свой собственный вирус, даже имея слабые познания в программировании. Написав несложную программу, вы далее подключаете к этой программе библиотеки генератора, вставляете в нужных местах вызовы внешних процедур – и вот ваш элементарный вирус превратился в достаточно сложный продукт. Самое печальное, что в этом случае сигнатура вируса будет каждый раз другая, поэтому отследить вирус оказывается возможным только по характерным вызовам внешних процедур – а это уже работа эвристического анализатора. Полиморфный вирус имеет еще более сложную структуру. Само тело вируса видоизменяется от заражения к заражению, при этом сохраняя свое функциональное наполнение.

В простейшем случае – если разбросать в теле вируса случайным образом ничего не делающие операторы (типа “ mov ax, ax” или “nop”), то тело вирусного кода претерпит значительные изменения, а алгоритм останется прежним. В этом случае на помощь также приходит эвристический анализатор.

Блокировщики.

Антивирусные блокировщики- это программы, перехватывающие “вирусоопасные” ситуации и сообщающие об этом пользователю. К таким ситуациям относится, например, запись в загрузочный сектор диска. Эта запись происходит при установке на компьютер новой операционной системы или при заражении загрузочным вирусом.

Наибольшее распространение получили антивирусные блокировщики в BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения.

Ревизоры.

Антивирусные программы-ревизоры позволяют обнаружить вирус. Чаще всего обнаружением вируса дело и заканчивается. Существует блок лечения для популярного антивируса-ревизора Adinf, так называемый Cure Module, но такой блок позволяет лечить лишь те файлы, которые были не заражены на момент создания базы данных программы. Однако обнаружить вирус на компьютере (или даже подозрение на него) антивирусы-ревизоры могут с большой степенью надежности. Обычно наиболее оптимальным является связка полифаг и ревизор. Ревизор служит для обнаружения факта заражения системы. Если система заражена, то в дело пускается полифаг. Если же ему не удалось уничтожить вирус, то можно обратиться к разработчику антивирусных средств, – скорее всего на ваш компьютер попал новый, неизвестный разработчикам вирус.

Недостаток ревизоров состоит в том, что они не могут обнаружить вирус в новых файлах (на дискетах, при распаковке файлов из архива, в электронной почте), поскольку в их базах данных отсутствует информация об этих файлах.

Основу работы ревизоров составляет контроль за изменениями, характерными для работы вирусных программ. Далее мы рассмотрим, как этот контроль осуществляется. Как уже говорилось выше, в качестве примера будет рассматриваться работа антивируса AP’98. При установке программы создаются специальные таблицы. В них содержится информация: о контрольных суммах неизменяемых файлов, содержимом системных областей, адресах обработчиков прерываний, размере доступной оперативной памяти и т. п. Вся остальная работа ревизора состоит в сравнении текущего состояния диска с ранее сохраненными данными, поэтому крайне важно, чтобы все контрольные таблицы создавались не на зараженной машине. Только в этом случае работа ревизора будет достаточно эффективной. Итак, перейдем к стадиям работы программы-ревизора.

Контроль оперативной памяти. Эта стадия проверки включает в себя процедуры обнаружения следов активных загрузочных и stealth-вирусов в памяти компьютера. Если такие алгоритмы будут найдены, вы получите соответствующее предупреждение. Сначала программа ищет уже знакомые вирусы. Далее программа проверяет, изменился ли обработчик Int13h. Если он изменился, то с вероятностью 90% можно сказать, что компьютер инфицирован загрузочным вирусом (загрузочные вирусы вынуждены перехватывать это прерывание с тем, чтобы после своей активизации передать управление “нормальному” загрузочному сектору и система загрузилась без сбоев). Ревизор выдаст вам предупреждение об этом и сообщит адрес в памяти, по которому находится новый обработчик Int13h. В принципе информация о местонахождении обработчика необходима программистам и системным администраторам, а рядовому пользователю следует обратить внимание на предупреждение.EXE удается обнаружить истинный адрес обработчика Int13h в BIOS и работать, используя его. Если по каким-либо причинам ревизору не удалось получить реальный адрес обработчика, то выдается предупреждение. Истинный адрес обработчика прерывания достигается путем пошагового просмотра тела вируса (по алгоритму своей работы загрузочный вирус вынужден в конце концов передавать управление оригинальному обработчику). Некоторые вирусы блокируют трассировку прерываний: при попытке трассировать их коды они “завешивают” систему, перезагружают компьютер и т. д. Поэтому, если при трассировке прерываний компьютер начинает вести себя “странно”, то следует быть очень осторожным – не исключено, что оперативная память поражена вирусом.

Важным параметром является и размер свободной оперативной памяти. Обычно ревизор запускается самым первым, до загрузки каких-либо еще программ. Если же размер оперативной памяти уменьшился – это верный признак присутствия в ОЗУ еще какой-то программы. Скорее всего программа эта – вирус.

Контроль системных областей. Контроль системных областей предназначен для обнаружения вирусов, которые используют для своей активации механизм загрузки. Как известно, первой с диска загружается загрузочная запись (boot record), которая содержит в себе мини-программу, управляющую дальнейшей загрузкой. Для жесткого диска первой производится загрузка главной загрузочной записи (MasterBootRecord или MBR).

Тут необходимо сделать очередное “лирическое” отступление, посвященное обнаружению загрузочных вирусов. В случае, если система поражена загрузочным вирусом, то именно ему передается управление при попытке загрузиться с пораженного диска. В этом сила вируса – если поражен жесткий диск, то управление вирусу будет передаваться при каждом включении компьютера. Загрузочные вирусы в чистом виде передаются исключительно через дискеты, причем заражение осуществляется при попытке загрузиться с пораженной дискеты. Со временем использование дискет вообще и загрузочных дискет, в частности, сократилось до минимума. Однако способ захвата управления оказался столь удобен, что в настоящее время очень распространены вирусы, которые могут поражать как файлы, так и загрузочные сектора. Попав на “чистый” копьютер, такие вирусы первым делом поражают главную загрузочную запись. Однако методы обнаружения именно загрузочных вирусов в настоящее время крайне эффективны и приближаются к 100% надежности. Чтобы понять, как происходит обнаружение вируса, рассмотрим обнаружение такого вируса “вручную”.

Произведем загрузку с чистой дискеты (при этом прерывание 13h гарантировано не будет перехвачено загрузочным вирусом) и рассмотрим сектор 0/0/1 винчестера (это физический адрес сектора главной загрузочной записи). Если винчестер разделен (при помощи fdisk) на логические диски, то код занимает приблизительно половину сектора и начинается с байтов FAh 33h COh (вместо 33h иногда может быть 2Bh). Заканчиваться код должен текстовыми строками типа “Missing operating system”. В конце сектора размещаются внешне разрозненные байты таблицы разделов. Нужно обратить внимание на размещение активного раздела в таблице разделов. Если операционная система расположена на диске С, а активен 2, 3 или 4 раздел, то вирус мог изменить точку старта, сам разместившись в начале другого логического диска (заодно нужно посмотреть и там). Но также это может говорить о наличии на машине нескольких операционных систем и какого-либо boot-менеджера, обеспечивающего выборочную загрузку. Проверяем всю нулевую дорожку. Если она чистая, то есть ее сектора содержат только байт-заполнитель, все в порядке. Наличие мусора, копий сектора 0/0/1 и прочего может говорить о присутствии загрузочного вируса. Впрочем, антивирусы при лечении загрузочных вирусов лишь “обезглавливают” противника (восстанавливают исходное значение сектора 0/0/1), оставляя тело “догнивать” на нулевой дорожке. Проверяем boot-сектор MS-DOS, он обычно расположен в секторе в 0/1/1. Его внешний вид для сравнения можно найти как в книге Е. Касперского, так и на любой “чистой” машине.

Примерно таким же способом действуют и программы-ревизоры. Их особенность в том, что они не могут судить об изначальной “чистоте” оперативной памяти, поэтому чтение Master Boot Record происходит тремя различными способами:

(bios) – прямым обращением в BIOS; (i13h) – чтением через BIOS-прерывание Int13h; (i25h) – чтением средствами операционной системы (прерывание Int25h).

Если считанная информация не совпадает, налицо действие stealth-алгоритмов. Для большей надежности AP’98 производит чтение MBR через IDE-порты жесткого диска. На сегодня в “дикой природе” не встречались вирусы, которые могут маскироваться от ревизора, обладающего такой функцией.

Аналогичным образом проводится проверка и простого (не главного) загрузочного сектора.

Обычно за счет того, что ревизор сохраняет резервную копию системных областей, восстановление повреждений от загрузочного вируса происходит довольно прозаично: если пользователь дает на то свое согласие, ревизор просто записывает системные области заново, используя сохраненные ранее данные.

Контроль неизменяемых файлов. Последняя стадия проверки, направленная на обнаружение деятельности файловых вирусов – контроль изменения файлов. Для всех файлов, которые активно используются и в то же время не должны изменяться (обычно это программы типа win.com и т. п.) создаются контрольные таблицы. В них содержатся значения контрольных сумм и размеров файлов. Затем, в ходе дальнейшего использования ревизора, информация с дисков сравнивается с эталонной, хранящейся в таблицах. Если информация не совпадает, то весьма вероятно нахождение в системе файлового вируса. Самый явный признак – изменение размера или содержимого файла без изменения даты создания файла.

В принципе, рекомендуется внести в разряд “неизменяемых” те исполняемые файлы, путь к которым указан в переменной PATH. Они чаще всего становятся жертвой файловых вирусов.

Чтобы не дать stealth-вирусам “обмануть” систему, чтение данных также происходит как средствами операционной системы, так и средствами BIOS. Если эти данные не совпали, то можно говорить о том, что в системе активно действует вирус-“невидимка”.

После того как все файлы проверены, ревизоры часто сохраняют дополнительные области памяти, которые могут быть испорчены вирусами. Это FLASH- и CMOS-память. Эти области памяти также изменяются достаточно редко и поэтому их изменения могут быть подозрительны.

Еще раз скажем, что наиболее эффективной антивирусной защитой будет использование “связки” ревизор – полифаг. Ревизор позволяет отследить активность вируса на вашем диске, а полифаг служит для проверки новых файлов, а также удаления уже известных вирусов. Но при работе с антивирусными средствами надо четко представлять их реальные возможности, общие алгоритмы работы и следовать тем рекомендациям, которые мы вам дали.

Список литературы:

1.Алтухов Е.В. Основы информатики и вычислительной техники: Учеб.пособие для сред.спец.учеб.заведений / Е.В.Алтухов,Л.А.Рыбалко,В.С.Савченко.-М.: Высш.шк., 1992.-302с.

2. «Портфолио». Фестиваль исследовательских и творческих работ учащихся [Электронный ресурс] . — Электрон. дан. (8 файлов, 50 тыс. записей). —М., [2005].- Режим доступа: http://portfolio.1september.ru/

3. Бурин Е. А. Введение в основы информатики и вычислительной техники: Курс лекций: [для вузов].-Алма-Ата: Мектеп, 1989.-143 с.: ил.; 20 см.-Библиогр.: с.143

4. Безруков Н.Н. Компьютерные вирусы. - М. : Наука, 1991.

5.Основы информатики и вычислительной техники: Пробный учебник для 10-11 классов средн. шк..-2-е изд..-М.: Просвещение, 1992.-254с

6.Николаев Р. Начала информатики: Язык Лого / Под ред. Б.Сендова; Пер. с болг. Э.Паскалевой.-М.: Наука, 1989.-173с

7.Кушниренко А.Г. Основы информатики и вычислительной техники: Проб.учеб.для сред.учеб.заведений / А.Г.Кушниренко, Г.В.Лебедев, Р.А.Сворень.-2-е изд..-М.: Просвещение, 1991.-223с.: ил.

8.Информатика: Энцикл.словарь для начинающих / [Александров В.В. и др.];Под общ.ред.Д.А.Поспелова.-М.: Педагогика-пресс, 1994

9.Дворкин П.Л. Основы информатики и вычислительной техники: Учебн.пособие / Под ред.Лапчика М.П..-Омск: ОМПИ, 1988.

10. Компьютерная документация от А до Я – Вирусы [Электронный ресурс] . — Электрон. дан. (3 файлов, 112 тыс. записей). —М., [2004].- Режим доступа:

virusy.org.ru. свободный. Загл. с экрана

17

studfiles.net

Полифаги




Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Антивирусные программы могут использовать различные принципы для поиска и лечения зараженных файлов.

  • Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Антивирусные программы могут использовать различные принципы для поиска и лечения зараженных файлов.



Полифаги

  • Самыми популярными и эффективными антивирусными программами являются антивирусные программы полифаги (например, Kaspersky Anti-virus, Dr-Web). Принцип работы полифагов основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов.



Для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа обнаруживает такую последовательность в каком либо файле, то файл считается зараженным вирусом и подлежит лечению.

  • Для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа обнаруживает такую последовательность в каком либо файле, то файл считается зараженным вирусом и подлежит лечению.



Для поиска новых вирусов используются алгоритмы «эвристического сканирования», то есть анализ последовательности команд проверяемых в объекте. Если «подозрительная» последовательность команд обнаруживается, то полиграф выдает сообщение о возможном заражение объекта.

  • Для поиска новых вирусов используются алгоритмы «эвристического сканирования», то есть анализ последовательности команд проверяемых в объекте. Если «подозрительная» последовательность команд обнаруживается, то полиграф выдает сообщение о возможном заражение объекта.



Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами.

  • Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами.



  • К достоинствам полифагов относятся их универсальность. К недостаткам можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости поисков вирусов.



Ревизоры

  • Принцип работы ревизоров (например, ADinf) основан на подсчете контрольных сумм для присутствующих на диске файлов. Эти контрольные суммы затем сохраняются в базе данных антивируса, как и некоторая другая информация: длины файлов, даты их последней модификации и пр.



При последующем запуске ревизоры сверяют данные содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то ревизоры символизируют о том, что файл был изменен или заражен вирусом.

  • При последующем запуске ревизоры сверяют данные содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то ревизоры символизируют о том, что файл был изменен или заражен вирусом.



Недостаток ревизоров состоит в том, что они не могут обнаружить вирусы в новых файлах (на дискетах, при распаковке файлов из архива, в электронной почте), поскольку в их базовых данных отсутствует информация о их файлах.

  • Недостаток ревизоров состоит в том, что они не могут обнаружить вирусы в новых файлах (на дискетах, при распаковке файлов из архива, в электронной почте), поскольку в их базовых данных отсутствует информация о их файлах.



Блокировщики

  • Антивирусные блокировщики – это программы, перехватывающие «вирусоопасные» ситуации и сообщают об этом пользователю. К таким ситуациям относятся, например, запись в загрузочном секторе диска. Эта запись происходит при установке на компьютер новой операционной системы или при заражение загрузочным вирусом.



Наибольше распространение получили антивирусные блокировщики в Bios компьютера. С помощью программы Bios Setup можно провести настройку Bios таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами.

  • Наибольше распространение получили антивирусные блокировщики в Bios компьютера. С помощью программы Bios Setup можно провести настройку Bios таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами.



К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения.

  • К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения.


rpp.nashaucheba.ru

Кроссворд по информатике | Социальная сеть работников образования

по горизонтали


2.        ПОЛИМОРФИЗМ—Мутация вирусов

4.        ПРОГРАММА—Алгоритм,  записанный на «понятном» компьютеру языке

5.        КОНСТРУКТОР—Утилита для создания новых компьютерных вирусов

10.        ДИЗАССЕМБЛЕР—Утилита для перевода машинных кодов какой-либо программы в ее представление на языке ассемблера

13.        МОНИТОР—Резидентно находящаяся в оперативной памяти утилита, которая позволяет выявлять «подозрительные» действия пользовательских программ, а при обнаружении «подозрительной» функции либо выдает на экран сообщение, либо блокирует выполнение перехваченной функции, либо совершает другие специальные действия.

15.        АЛГОРИТМ—И процесс решения задачи,  и  кулинарный рецепт, и инструкция по пользованию стиральной машиной

16.        РЕВИЗОР—Антивирус, чей принцип работы основан на подсчете контрольных сумм для присутствующих на диске файлов.

20.        ПОЛИФАГ—Антивирусная программа, принцип работы которой основан на проверке файлов, загрузочных секторов дисков и оперативной памяти в поиске в них известных и новых вирусов.

21.        ОБЪЕКТ—Мы его преобразуем из начального состояния в конечное.

24.        САМОРАЗМНОЖЕНИЕ—Одно из главных свойств вирусов, способность к созданию себе подобных

25.        ПАСКАЛЬ—Язык программирования и известный математик

27.        БИОЛОГИЯ—Наука, от которой пришло название "вирус".

28.        СЕМЕЙСТВО—Встречается и в информатике,  а   в биологии. кошачье …

29.        ВИРУС—Программа, способная к саморазмножению.

31.        ДИЗАЙН—науки использующие результаты эргономики

33.        СТЕЛС—Вирус-"невидимка".

34.        ОПЕРАТОРСКОЙ—Для целей эргономического анализа выделяют пять классов ..... деятельности

по вертикали


1.        ПОЛИМОРФИК—Вирус, предпринимающие специальные меры для затруднения их поиска и анализа, не содержат ни одного постоянного участка кода

3.        ПСИХОЛОГИЯ—основание эргономики

6.        СЕРИЯ—Последовательность команд и часть мыльной оперы

7.        ДОКТОР—"Лечащий" антивирус

8.        МАКРОВИРУС—Вирусы, поражающие документы MS Office, основанные на использовании макрокоманд

9.        МОДИФИКАЦИЯ—Видоизменение вируса

11.        ИНТЕРНЕТ—….-черви. Вирусы, распространяющиеся в сети во вложенных файлах в почтовое сообщение

12.        МАССИВ—Набор однотипных переменных, объединенных одним именем

14.        ЭРГОНОМИКА—ставящая своей задачей оптимизацию трудовой деятельности человека

17.        СОЦИОЛОГИЯ—основание эргономики

18.        КОМПАНЬОН—Вирусы, не изменяющие файлы, но создающие для .EXE файлов .COM файлы с тем же именем.

19.        АДА—Язык программирования, названный в честь сотрудницы Ч.Бэббиджа

22.        КОНЬ—Троянский-…

23.        ФОРМА—Окно, в котором размещаются управляющие элементы

26.        АНТИВИРУС—Программа против вирусов

30.        СКАНЕР—Антивирусная программа, то же что и полифаг

32.        НОТ—науки использующие результаты эргономики

nsportal.ru

Виды антивирусных программ, их достоинства и недостатки

Антивирусные программы

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Антивирусные программы могут использовать различные принципы для поиска и лечения зараженных файлов.

Полифаги. Самыми популярными и эффективными антивирусными программами являются антивирусные программы полифаги (например, Kaspersky Anti-Virus, Dr. Web). Принцип работы полифагов основан на проверке файлов, загрузочных секторов дисков и операционной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов.

Для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа обнаруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.

Для поиска новых вирусов используют алгоритмы «эвристического сканирования», то есть анализ последовательности команд в проверяемом объекте. Если «подозрительная» последовательность команд обнаруживается, то полифаг выдает сообщение о возможном заражении объекта.

Полифаги могут обеспечивать проверку файлов в процессе их загрузки в операционную память. Такие программы называются антивирусными мониторами.

К достоинствам полифагов относится их универсальность. К недостаткам можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов.

Ревизоры. Принцип работы ревизоров (например, ADinf) основан на подсчете контрольных сумм для присутствующих на диске файлов. Эти контрольные суммы затем сохраняются в база данных антивируса, как и некоторая другая информация: длины файлов, даты их последней модификации и пр.

При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то ревизоры сигнализируют о том, что файл был изменен или заражен вирусом.

Недостаток ревизоров состоит в том, что они не могут обнаружить вирус в новых файлах, поскольку в их базах данных отсутствует информация об этих файлах.

Блокировщики. Антивирусные блокировщики – это программы, перехватывающие «вирусоопасные» ситуации и сообщающие об этом пользователю. К таким ситуациям относятся, например, запись в загрузочный файл сектор диска. Эта запись происходит при установке на компьютер новой операционной системы или при заражении загрузочным вирусом.

Наибольшее распространение получили антивирусные блокировщики в BIOS компьютера. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами.

К достоинствам блокировщиков относятся их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения.

infourok.ru

Антивирусные программы полифаги

Принцип работы      Принцип его работы заключается в поиске в файлах, памяти и загрузочных секторах вирусных сигнатур, т.е. уникального программного кода вредоносной программы.
Недостатки Проблема 1:
     Малейшие модификации вредоносной программы могут сделать его невидимым для сканера. Поскольку существует несколько десятков вариантов вируса, то почти для каждого из них антивирусным компаниям приходится выпускать отдельное обновление антивирусной базы.
Проблема 2:
     Во время между появлением вредоносной программы и выходом соответствующего обновления пользователь оставался практически незащищенным от атак новых вирусов. Позднее, эксперты придумали и внедрили в сканеры оригинальный способ обнаружения неизвестных вредоносных программ – эвристический анализатор, т.е. анализ кода программы на предмет возможного присутствия в нем вредоносной программы. Однако, данный метод характеризуется высоким уровнем ложных срабатываний, недостаточной надежностью и невозможностью вылечить обнаруженное вредоносное ПО.
Проблема 3:
     Антивирусный сканер проверяет файлы, только когда пользователь “попросит“ его это сделать, т.е. запустит сканер. Это требует от пользователя постоянного внимания и концентрации. Очень часто он забывает проверить сомнительный файл, загруженный, например, из Интернета и, в результате, своими руками заражает компьютер. Сканер способен определить факт заражения только уже после того, как в системе появится вредоносная программа.

Антивирусный монитор

Принцип работы      По своей сути антивирусные мониторы являются разновидностью сканеров, которые постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты, пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на наличие в них кода вредоносной программы.
Недостатки Проблема 1:
     При использовании антивирусного монитора заметно замедляется работа и быстродействие компьютера. Это связано с тем, что при запуске каждой программы или файла монитору приходится в коде программы или файла искать включения кода вредоносной программы, которых на данный момент насчитывается несколько сотен тысяч. Отсюда понятно, что этот процесс не может происходить мгновенно, даже если вы работаете за достаточно мощным компьютером, то задержки при использовании антивирусного монитора неизбежны.
Проблема 2:
     Антивирусный монитор может вступать в конфликты с различными программамми, иногда он считает вредоносной совершенно безобидную, а нередко и весьма полезную программу (например, другой антивирус, поэтому не рекомендуется использовать на компьютере несколько антивирусных программ).
Проблема 3:
     Та же, что и антивирусного сканера: во время между появлением вредоносной программы и выходом соответствующего обновления пользователь остаётся практически незащищенным от атак новых вирусов.
Общий недостаток антивирусных программ полифагов:
     Полифаги содержат антивирусные базы данных, которые имеют большой размер, поскольку содержат информацию о максимально возможном количестве вредоносных программ, что, в свою очередь, приводит к относительно небольшой скорости их поиска.
Достоинства К достоинствам антивирусных программ полифагов отнесём их универсальность.

private-edu.narod.ru

Компьютерные вирусы и антивирусные программы - Программное обеспечение компьютера - Аппаратные и программные средства ИКТ - Каталог статей

Компьютерные вирусы и антивирусные программы

      Компьютерный вирус — специально созданная компьютерная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии, внедрять их в файлы с целью нарушения работы других программ, порчи файлов и каталогов.

     Признаки проявления вирусов:

  •   неправильная работа программ;
  •   медленная работа компьютера;
  •   невозможность загрузки операционной системы;
  •   исчезновение файлов и каталогов;
  •   изменение размеров файлов;
  •   неожиданное увеличение количества файлов на диске;
  •   уменьшение размеров свободной операционной памяти;
  •   вывод на экран неожиданных сообщений и изображений;
  •   подача непредусмотренных звуковых сигналов;
  •   частые «зависания» и сбои в работе компьютера.

     Вирусы могут распространяться через:

  • исполняемые программы;
  • документы Word, Excel;
  • программное обеспечение компьютера;
  • web-страницы;
  • файлы из Интернета;
  • письма e-mail;
  • дискеты и компакт-диски.

      Классификация вирусов по масштабу вредных воздействий

     Классификация вирусов по среде обитания

      Профилактика компьютерных вирусов:

  • иметь специальный загрузочный диск;
  • систематически проверять компьютер на наличие вирусов;
  • иметь последние версии антивирусных средств;
  • проверять все поступающие данные на наличие вирусов;
  • не использовать нелицензионные программные средства;
  • выбирать запрет на загрузку макросов при открытии документов Word и Excel;
  • выбрать высокий уровень безопасности в «Свойствах обозревателя»;
  • делать архивные копии файлов;
  • добавить в файл автозагрузки антивирусную программу сторож;
  • не открывать вложения электронного письма, если отправитель неизвестен.


     Антивирусные программы — программы, которые предотвращают заражение компьютерным вирусом и ликвидируют последствия заражения.

      Существуют несколько типов антивирусных программ, различающихся выполняемыми функциями.

      Полифаги

     Самыми популярными и эффективными антивирусными программами являются антивирусные программы полифаги (например, Kaspersky Anti-Virus, Dr.Web). 
     Для поиска известных вирусов используются так называемые маски.
     Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса.
     Если антивирусная программа обнаруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.
     Для поиска новых вирусов используются алгоритмы "эвристического сканирования", то есть анализ последовательности команд в проверяемом объекте. Если "подозрительная" последовательность команд обнаруживается, то полифаг выдает сообщение о возможном заражении объекта.

      Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами.

      К достоинствам полифагов относится их универсальность. К недостаткам можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов.

      Ревизоры

      Принцип работы ревизоров (например, ADinf) основан на подсчете контрольных сумм для присутствующих на диске файлов. Эти контрольные суммы затем сохраняются в базе данных антивируса, как и некоторая другая информация: длины файлов, даты их последней модификации и пр.

      При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то ревизоры сигнализируют о том, что файл был изменен или заражен вирусом.

      Недостаток ревизоров состоит в том, что они не могут обнаружить вирус в новых файлах (на дискетах, при распаковке файлов из архива, в электронной почте), поскольку в их базах данных отсутствует информация об этих файлах.

     Блокировщики

       Антивирусные блокировщики - это программы, перехватывающие "вирусоопасные" ситуации и сообщающие об этом пользователю. К таким ситуациям относится, например, запись в загрузочный сектор диска. Эта запись происходит при установке на компьютер новой операционной системы или при заражении загрузочным вирусом.

      Наибольшее распространение получили антивирусные блокировщики в BIOS компьютера. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами.

      К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения.

ВИДЕОРОЛИК О РАБОТЕ ПОЛИФАГА
ВИДЕОРОЛИК О РАБОТЕ РЕВИЗОРА
ВИДЕОРОЛИК О РАБОТЕ БЛОКИРАТОРА

ДОПОЛНИТЕЛЬНО О КОМПЬЮТЕРНЫХ ВИРУСАХ

ДОПОЛНИТЕЛЬНО ОБ АНТИВИРУСНЫХ ПРОГРАММАХ


dpk-info.ucoz.ru

Антивирусные программы

Основным разносчиком вирусов является нелицензионное программное обеспечение, файлы, скопированные из случайных источников а также службы Интернета: электронная почта, Всемирная паутина – WWW. Каждый день в мире появляются сотни новых компьютерных вирусов. Борьбой с вирусами занимаются специалисты, создающие антивирусные программы.

Лицензионные антивирусные программы следует покупать у фирм-производителей. Антивирусную программу недостаточно лишь однажды установить на компьютер. Необходимо регулярно обновлять ее базу – добавлять настройки на новые типы вирусов. Наиболее оперативно такое обновление производится через Интернет серверами фирм-производителей. Антивирусные программы могут использовать различные принципы для поиска и лечения зараженных файлов.

Полифаги

Самыми популярными и эффективными антивирусными программами являются антивирусные программы полифаги (например, Kaspersky Anti-Virus, Dr.Web). Принцип работы полифагов основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов.

Для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа обнаруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.

Для поиска новых вирусов используются алгоритмы «эвристического сканирования», то есть анализ последовательности команд в проверяемом объекте. Если «подозрительная» последовательность команд обнаруживается, то полифаг выдает сообщение о возможном заражении объекта.

Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами.

К достоинствам полифагов относится их универсальность. К недостаткам можно отнести большие размеры используемых ими антивирусных баз данных, что приводит к относительно небольшой скорости поиска вирусов.

Ревизоры

Принцип работы ревизоров (например, Adinf) основан на подсчете контрольных сумм для присутствующих на диске файлов. Эти контрольные суммы затем сохраняются в базе данных антивируса, как и некоторая другая информация: длины файлов, даты их последней модификации и пр.

При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то ревизоры сигнализируют о том, что файл был изменен или заражен вирусом.

Недостаток ревизоров состоит в том, что они не могут обнаружить вирус в новых файлах (на дискетах, при распаковке файлов из архива, в электронной почте), поскольку в их базах данных отсутствует информация об этих файлах.

Блокировщики

Антивирусные блокировщики — это программы, перехватывающие «вирусоопасные» ситуации и сообщающие об этом пользователю. К таким ситуациям относится, например, запись в загрузочный сектор диска. Эта запись происходит при установке на компьютер новой операционной системы или при заражении загрузочным вирусом.

Наибольшее распространение получили антивирусные блокировщики в BIOS компьютера. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения.


Похожие статьи:

poznayka.org

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *