Исследование проблем борьбы с вирусами и антивирусные программы (Теоретические основы сущности вирусов)
Содержание:
Введение
Проблема компьютерных вирусов в современном мире очень актуальна. Причина этого состоит в том, что большое количество информации находится в цифровом виде, а также из-за большого количество пользователей персональных компьютеров и глобальной сети Internet. Множество компаний не желает раскрывать конфиденциальную информацию, по этой причине злоумышленники создают огромное количество разнообразных вирусов для кражи информации, с целью использования в личных целях. С вирусами сталкивался почти каждый пользователь. Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.
Сегодня мы имеем очень много вирусов, вредоносных программ и проблем с нашими компьютерами. Они могут блокировать доступ к файлам и папкам, воровать у нас наши файлы, блокировать работу всей системы компьютера.
Поэтому выбранная тема курсовой работы является актуальной.
Объектом исследования в курсовой работе является программное обеспечение персональных компьютеров и их файловая система.
Предмет исследования – компьютерные вирусы.
Целью исследования в курсовой работе является углубленный анализ способов, позволяющих помочь пользователям обезопасить важную информацию.
Для достижения поставленной цели сформулированы следующие задачи:
- изучить сущность вирусов, являющихся вредоносными компьютерными программами;
- дать классификацию компьютерных вирусов;
- рассмотреть рейтинги компьютерных вирусов;
- охарактеризовать сущность антивирусных программ;
- проанализировать методы защиты от вирусов.
Методологической основой исследования являются учебная и методическая литература, статьи в периодической печати и Интернет-ресурсы.
1. Теоретические основы сущности вирусов
1.1 Вирусы как вредоносные компьютерные программы
Опасность злоумышленных несанкционированных действий интернет экстремизма над информацией приняла особенно угрожающий характер с развитием компьютерных сетей. Большинство систем обработки информации создавалось как обособленные объекты: рабочие станции, ЛВС, большие универсальные компьютеры и т.д. Каждая система использует свою рабочую платформу (Windows, Linux), а также разные сетевые протоколы (TCP/IP, ). Сложная организация сетей создает благоприятные предпосылки для совершения различного рода интернет экстремизма, связанных с несанкционированным доступом к конфиденциальной информации.
Большинство операционных систем, как автономных, так и сетевых, не содержат надежных механизмов защиты информации.
Следствием опасности сетевых интернет экстремистов стали постоянно увеличивающиеся расходы и усилия на защиту информации, доступ к которой можно осуществить через сетевые каналы связи. Сохранить целостность данных можно только при условии принятия специальных мер контроля доступа к данным и шифрования передаваемой информации. Разные системы нуждаются в разных степенях защиты. Актуальной стала задача объединения систем с различными степенями защищенности (например, на платформах Unix и Windows).
Необходимо иметь четкое представление о возможных каналах утечки информации и путях несанкционированного доступа к защищаемой информации. Только в этом случае возможно построение эффективных механизмов защиты информации в компьютерных сетях от интернет экстремизма и компьютерных вирусов [3, с. 47].
Компьютерным вирусом называется способная к самовоспроизводству и размножению программа.
Появилась теория самораспространяющихся программ в 40-х годах ХХ века в трудах Джона фон Неймана. В его работах описывались теоретические основы самовоспроизводящихся математических автоматов [8].
В 1983 г. Ученый Фред Коэн 3 ноября 1983 г. в диссертационной работе, ввел термин «компьютерный вируc». Коэн, в целях эксперимента, написал свой первый вирус, с целью демонстрации его работоспособности. Запустив вирус на компьютере, он убедился, что его творение размножается невероятно. В 1986 году появился первый вирус со зловредным кодом – он назывался Brain (в переводе Мозг). Он считался очень опасный. Заражал вирус только дискеты.
Начиная с 1990 года проблема, приобретает массовый характер. В 1991 году появился первый генератор вирусов - VCS v.1.0. [2, с.28]. Благодаря ему любой пользователь мог сконструировать вирус за 10 минут.
В наше время, в интернете можно найти огромное число конструкторов, что, разумеется, пугает. Но при этом обнадеживает то, что антивирусные компании не дремлют и регулярно улучшают свои продукты.
В настоящее время к наиболее известным вирусам относятся.
1. «Brain», создан в 1986 год, первый вирус в мире. Благодаря этой программе было заражено примерно 18 тыс. компьютеров. При попытке сканирования, вирус поступал следующим образом, он выставлял на обозрение вместо зараженного объекта специально созданную им нейтральную копию. Такой тип программ, скрывающие свое присутствие в системе, именуют «стелс - вирусами» [9]. Полагаю, вирус был столь успешен именно благодаря эффекту неожиданности.
2. Jerusalem, создан в 1988 году. Вирус Jerusalem форматировал жесткие диски компьютеров в пятницу, 13-ого числа. Вирус создан в Израиле 13 мая. При попытке запуска зараженного файла, он его попросту удалял, а в пятницу, 13-ого числа многие компании испытывали настоящий шок, увидев последствия работы вируса. Что бы обезопасить себя от подобного вируса, я рекомендую вам регулярно делать «бекап» (Резервное копирование).
3. «Червь Морриса», создан в 1988 год. Этому вирусу в ноябре удалось парализовать весь интернет. Убытки составили 96 млн. долларов. Страшно представить, что бы было, если бы вирусу удалось парализовать интернет в наше время.
4. «Win95.CIH», создан в 1998 год. Этот вирус оказался очень опасным и вывел из строя около 500 тыс. компьютеров. Вирус разработал тайванский студент. Вирус проникал в компьютер через почту, сменные носители. Вирус проявлял себя только 26 апреля (дата аварии на ЧАЭС). В этот день он не просто форматировал жесткий диск, но и удалял содержимое BIOS, после такого вреда компьютер не включался. Заражено оказалось 300 тыс. компьютеров. Уничтожали вирус несколько лет. Для восстановления BIOS требуется специальное устройство программатор, так что в данном случаи разумнее обратится в специализированную компанию, для восстановления работы компьютера.
5. «Nimda», создан в 2001 год. Вирус разработан в Китае. Вирус сразу же получал права администратора, это позволяла ему полностью контролировать компьютер. Название «Nimda» это «admin», но написанное наоборот. Вирус уничтожал системы ПК. Мне приходилось сталкиваться с подобным вирусом, рекомендую попробовать найти его через «безопасный режим». В случаи же не удачи, придется переустанавливать систему.
Раньше вирусы создавали хакеры - энтузиасты. Сегодня же вредоносное ПО в открытую продается в интернете, чем и пользуются мошенники.
Однако не всякая могущая саморазмножаться программа является компьютерным вирусом. С программно-технической точки зрения под компьютерным вирусом понимается специальная программа, способная самопроизвольно присоединяться к другим программам (“заражать” их). При запуске последних вирус может выполнять различные нежелательные действия: порчу файлов и каталогов (при файловой организации программной среды), модификацию и уничтожение данных, переполнение машинной памяти, создание помех в работе ЭВМ и т.п. Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий.
После того как вирус выполнит нужные ему действия, он передает управление той зараженной программе, в которой он находится в момент ее запуска, и она работает также как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.
Многим пользователям не известны даже базовые правила безопасности, поэтому вирусы находят новых жертв.
1.2 Классификация компьютерных вирусов
С самого начала развития компьютерных систем и по настоящее время угроза вирусного заражения является лидирующей среди всех угроз безопасности информации. По данным статистики, ежегодный ущерб мировой экономике измеряется в миллиардах долларов. А с учетом всё возрастающей степени информатизации всех сфер человеческой деятельности и тесной связи мировой экономики и глобальных вычислительных сетей такие ущербы будут только расти.
К компьютерным вирусам относятся программные модули (программы), отличительной особенностью которых является способность к саморепликации.
На рис. 1 представлена классификация компьютерных вирусов по схеме "субъект-процесс-объект" [1, c. 30].
По данным www.securelist.com, за первый квартал 2016 года среди прочих видов зловредного программного обеспечения компьютерные вирусы и черви занимают лидирующие позиции по количеству заражений компьютеров пользователей.
Рис.1. Классификация компьютерных вирусов
В табл. 1 и табл. 2 произведено классифицирование наиболее распространенных компьютерных вирусов и червей по признакам, представленных в настоящей классификации за период с января по апрель 2016 года.
Таблица 1 - Классификация компьютерных вирусов по субъекту вирусного заражения [1, c.33]
|
А |
|||||||||||||||||||||
|
A.1 |
A.2 |
A.3 |
A.4 |
A.5 |
|||||||||||||||||
|
1 |
2 |
3 |
4 |
1 |
2 |
1 |
2 |
3 |
1 |
2 |
3 |
4 |
5 |
6 |
1 |
2 |
3 |
4 |
5 |
6 |
|
|
Net-Worm. Win32 .Kido. ih |
+ |
- |
- |
+ |
- |
+ |
- |
- |
+ |
- |
- |
- |
+ |
- |
- |
- |
- |
- |
+ |
+ |
- |
|
Virus. Win32. Sality. aa |
+ |
- |
- |
- |
- |
+ |
- |
- |
- |
- |
- |
- |
+ |
- |
- |
+ |
- |
- |
+ |
+ |
- |
|
Virus. Win32. Virut. ce |
- |
- |
+ |
- |
+ |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
+ |
+ |
- |
- |
- |
+ |
+ |
+ |
Таблица 2. Классификация компьютерных вирусов по процессу вирусного заражения и объекту заражения [1, c.34]
|
Б |
В |
||||||||||||||||||||
|
Б.1 |
Б.2 |
B.1 |
B.2 |
B.3 |
|||||||||||||||||
|
1 |
2 |
1 |
2 |
3 |
4 |
5 |
1 |
2 |
3 |
4 |
5 |
1 |
2 |
3 |
1 |
2 |
3 |
4 |
5 |
6 |
|
|
Net-Worm. Win32 .Kido. ih |
+ |
- |
+ |
- |
+ |
- |
- |
+ |
+ |
+ |
+ |
+ |
- |
- |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
Virus. Win32. Sality. aa |
- |
+ |
- |
+ |
+ |
- |
+ |
+ |
- |
- |
+ |
- |
- |
- |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
Virus. Win32. Virut. ce |
- |
+ |
+ |
+ |
+ |
- |
- |
+ |
- |
- |
- |
- |
- |
- |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
Используя такую таблицу и зная количество зараженных вирусом компьютеров, можно выявить признаки, характерные для наиболее опасных компьютерных вирусов и сетевых червей.
На рис. 2 представлен нормированный ущерб мировой экономике от вирусов за период с 2003г. по 2015 г.
Рис.2. Ущерб от компьютерных вирусов в 2003 – 2015 гг. [4, c.33]
Вирусы всегда наносят ущерб – они препятствуют нормальной работе ПК, разрушают файловую структуру и т.д., поэтому их относят к разряду так называемых вредоносных программ. Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно в оперативной памяти, вследствие чего до перезагрузки операционной системы он время от времени заражает программы и выполняет вредные действия на компьютере.
Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Многие резидентные вирусы предотвращают свое обнаружение тем, что перехватывают обращения операционной системы (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают сведения о них в исходном (неискаженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.
Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью программ-дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, затрудняет нахождение таких вирусов программами-детекторами.
Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.
Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное, например:
- некоторые программы перестают работать или начинают работать неправильно;
- на экран выводятся посторонние сообщения, символы и т.д.;
- работа на компьютере существенно замедляется;
- некоторые файлы оказываются испорченными и т.д.
К этому моменту, как правило, уже достаточно много (или даже большинство) программ являются зараженными вирусом, а некоторые файлы и диски - испорченными. Более того, зараженные программы с одного компьютера могли быть перенесены с помощью дискет или по локальной сети на другие компьютеры.
Некоторые виды вирусов ведут себя еще более коварно. Они вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, формируют весь жесткий диск на компьютере. А бывают вирусы, которые стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске компьютера.
1.3 Рейтинги компьютерных вирусов
Проблема компьютерных вирусов в современном мире стала очень остра. Это связано с все большим количеством информации в цифровом виде, огромным количеством пользователей персональных компьютеров и глобальной сети Internet.
Также множество компаний желают ограничить доступ к конфиденциальной информации их фирмы или коммерческой тайне. В связи с этим злоумышленники создают огромное количество разнообразных вирусов, как для кражи информации, так и для ее уничтожения. Также вирус может перейти вместе с флеш картой или диском.
В глобальном рейтинге отмечен рост активности почти всех угроз. Спад испытали только троянская программа Win32/Bundpil и вредоносные элементы веб-страниц HTML/ScrInject. В апреле в десятку вошла новая вредоносная программа Win32/TrojanDownloader.Wauchos. Злоумышленники используют ее для загрузки других вредоносных программ на компьютер (downloader), получая плату за установку от других киберпреступников.
В рейтинге угроз по России наблюдался рост активности, исключение составляют только вредоносные программы Win32/Dorkbot и Win32/Hoax.Arch-SMS, а также вредоносные элементы веб-страниц HTML/ScrInject и JS/IFra-me. Win32/Hoax.ArchSMS – семейство вредоносного ПО, представляющее собой платные SMS-архивы. Они могут содержать бесплатные программы или другое ПО, за установку которого злоумышленники вымогают деньги у пользователей. В рейтинге присутствует также вредоносная программа MSIL/CoinMiner, которая используется злоумышленниками для майнинга биткоинов на зараженном компьютере.
Таблица 3 - Глобальный рейтинг
|
Угроза |
Уровень распространенности |
Динамика |
|
Win32/Bundpil |
2,79 % |
- |
|
Win32/Sality |
1,68 % |
+ |
|
INF/Autorun |
1,61 % |
+ |
|
Win32/Qhost |
1,55 % |
+ |
|
HTML/ScrInject |
1,4 % |
- |
|
Win32/Conficker |
1,34 % |
+ |
|
Win32/Ramnit |
1,28 % |
+ |
|
Win32/Dorkbot |
1,08 % |
+ |
|
Win32/TrojanDownloader.Wauchos |
0,96 % |
+ |
|
Win32/TrojanDownloader.Waski |
0,94 % |
+ |
Таблица 4 - Рейтинг угроз по России
|
Угроза |
Уровень распространенности |
Динамика |
|
Win32/Qhost |
13,2 % |
+ |
|
HTML/ScrInject |
2,93 % |
- |
|
Win32/Spy.Ursnif |
1,32 % |
+ |
|
Win32/Dorkbot |
1,23 % |
- |
|
INF/Autorun |
1,1 % |
+ |
|
Win32/Hoax.ArchSMS |
0,9 % |
- |
|
HTML/IFrame |
0,77 % |
+ |
|
Win32/Conficker |
0,67 % |
+ |
|
JS/IFrame |
0,61 % |
- |
|
MSIL/CoinMiner |
0,53 % |
+ |
По убеждению экспертов, задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т.д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.
2. Анализ антивирусных программ
2.1 Сущность антивирусных программ
Антивирусная программа (антивирус) – это специализированная программа для защиты компьютера, а именно для обнаружения опасных деструктивных программ и предотвращения заражения, так называемым, вирусным атакам и эпидемиям. Первый шаг на путь к появлению антивирусных программ совершил американский программист Энди Хопкинс в восьмидесятых годах прошлого столетия. Речь идет об утилитах CHK4BOMB и BOMBSQAD, которые позволяли сканировать загрузочный модуль, противостоять некоторым типам вирусов, а также перехватывать небольшое количество операций через BIOS.
На протяжении длительного времени этих программ было вполне достаточно для полноценного обеспечения безопасности информации, потому что вредоносных программ было очень мало. Однако ассортимент вредоносных приложений с каждым годом возрастал все больше и больше, что, в конечном счете, привело к осознанию пользователей о необходимости в постоянной антивирусной защите. Так к началу 1985 года американским программистом Ги Вонгом, сотрудником компании GEE WIZ Sofware Company, была разработана антивирусная программа DPROTECT, отслеживающая работу запущенных программ, а также способная обезопасить от их нежелательных воздействий.
Параллельно с программами, позволяющими обеспечить информационную безопасность, появлялись приложения, которые наносили непосредственный вред компьютеру. Например, в 1987 и 1988 годах прошли масштабные эпидемии компьютерных вирусов, распространившиеся не только на территории США, но также в Азии и Европе. В результате этой пандемии с вирусами познакомились более 20 тысяч компьютеров.
А первым разработчиком антивирусных приложений на российском рынке стал в 1988 году Д.Н. Лозинский, разработавший программу Aidstest, которая использовала метод сигнатурного (сканирование файлов и сравнение их с образцами вирусов) поиска угроз. Его разработки и по сей день оказывают большой вклад в компании «Доктор Веб» для борьбы с вирусами.
С появлением многозадачной и разветвленной системой Windows и распространения интернета, требования к разработчикам стали существенно выше. Т.е. программе необходимо было производить проверку файлов очень быстро, что привело к резкому сокращению числа производителей, а также к существенному росту прибыли. Сегодня борьба с вредоносными программами также продолжается (более 60 компаний трудится над разработкой). И на данный момент самыми популярными из них остаются: Антивирус Касперского, Eset NOD32, Symantec Norton Anti - Virus, Dr.Web и Avast.
Вот уже на протяжении более двадцати лет, индустрия антивирусных программ заметно преобразилась. Появились более качественные утилиты, способные предотвращать практически любые вирусные угрозы. Но все же есть небольшая ложка дегтя в этой бочке меда, и существуют несколько заметных минусов, на которые пользователи постоянно выражают свое недовольствие. Первый и самый значимый фактор – это стоимость программы. Да, разработчики тоже как - то должны зарабатывать на хлеб, но ведь и не каждый пользователь может себе позволить ее приобрести. К примеру, цена за один год пользования Антивирусом Касперского колеблется в районе 1200 рублей. На второе место выходит требовательность к ресурсам, т.е. может возникнуть проблема нехватки производительности компьютера. Следующим фактором является интерфейс. Необходимо его как можно больше минимизировать, ведь люди тянутся к простоте.
2.2 Методы защиты от компьютерных вирусов
Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.
Для защиты от вирусов можно использовать:
- общие средства защиты информации - страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
- профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
- специализированные программы для защиты от вирусов.
Общие средства защиты информации необходимы не только для защиты от вирусов. Имеются две основные разновидности этих средств:
- средства резервного копирования информации - создание копий файлов и системных областей дисков;
- средства разграничения доступа - предотвращают несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами, а также ошибочные действия пользователей.
В настоящие время имеется большое количество антивирусных средств. Однако все они не обладают свойствами универсальности: каждое рассчитано на конкретные вирусы, либо перекрывает некоторые каналы заражения ПК или распространения вирусов. В связи с этим перспективной областью исследований можно считать применение методов искусственного интеллекта к проблеме создания антивирусных средств.
Антивирусным средством называют программный продукт, выполняющий одну или несколько из следующих функций:
- защиту файловой структуры от разрушения;
- обнаружение вирусов;
- нейтрализацию вирусов.
Антивирусные программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).
Детектором называется программа, осуществляющая поиск вирусов как на внешних носителях информации, так и в ОЗУ. Результатом работы детектора является список инфицированных файлов и/или областей, возможно, с указанием конкретных вирусов, их заразивших.
Детекторы делятся на универсальные и специализированные. Универсальные детекторы проверяют целостность файлов путем подсчета их контрольной суммы и ее сравнения с эталоном. Эталон либо указывается в документации на программный продукт, либо может быть определен в самом начале его эксплуатации.
Специализированные детекторы настроены на конкретные вирусы, один или несколько. Если детектор способен обнаруживать несколько различных вирусов, то его называют полидетектором. Работа специализированного детектора основывается на поиске строки кода, принадлежащей тому или иному вирусу, возможно заданной регулярным выражением. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение.
Детектор не способен обнаружить все возможные вирусы. Следует особо подчеркнуть, что программы-детекторы могут выявлять только те вирусы, которые им известны. Некоторые программы-детекторы могут настраиваться на новые типы вирусов, для этого им лишь необходимо указать комбинации байтов, присущие этим вирусам. Тем не менее, невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.
Большинство программ-детекторов имеют функцию "доктора" или фага, т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Дезинфектором (доктором, фагом) называется программа, осуществляющая удаление вируса как с восстановлением, так и без восстановления среды обитания.
Наиболее известными полидетекторами-фагами являются программные пакеты Antiviral Toolkit Pro Евгения Касперского и DrWeb фирмы "ДиалогНаука". Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов. К таким программам относится, например, AVSP фирмы "ДиалогНаука".
Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков. Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.
Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда.
Многие программы-ревизоры являются довольно "интеллектуальными" – они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.
Следует заметить, что многие программы-ревизоры не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Но некоторые программы-ревизоры, например ADinf фирмы "ДиалогНаука", все же умеют делать и это, не используя вызовы операционной системы для чтения диска (правда, она работают не на всех дисководах). Другие программы часто используют различные полумеры – пытаются обнаружить вирус в оперативной памяти, требуют вызова из первой строки файла AUTOEXEC.BAT, надеясь работать на "чистом" компьютере, и т.д. Увы, против некоторых "хитрых" вирусов все это бесполезно.
Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но одна такая проверка недостаточна – некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.
В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. доктора-ревизоры. Это такие программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Что позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.
Но даже такие программы, как доктора-ревизоры, могут лечить не от всех вирусов, а только от тех, которые используют "стандартные", известные на момент написания программы, механизмы заражения файлов.
Вирус-фильтром (монитором, сторожем) называется резидентная программа, обеспечивающая контроль выполнения характерных для вирусов действий и требующая от пользователя подтверждения на производство действий. Контроль осуществляется путем подмены обработчиков соответствующих прерываний. В качестве контролируемых действий могут выступать:
- обновление программных файлов;
- прямая запись на диск (по физическому адресу);
- форматирование диска;
- резидентное размещение программы в ОЗУ.
Программы-фильтры располагаются резидентно в оперативной памяти компьютера, перехватывают обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
Некоторые программы-мониторы не отслеживают подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера. Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
Иммунизатором (вакциной) называют программу, предотвращающую заражение среды обитания или памяти конкретными вирусами. Иммунизаторы решают проблему нейтрализации вируса не посредством его уничтожения, а путем блокирования его способности к размножению.
Программы-вакцины или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы малоэффективны, поэтому в настоящее время практически не используются.
При заражении компьютера вирусом (или при подозрении на это) важно соблюдать четыре правила:
- Прежде всего, не надо торопиться и принимать опрометчивых решений. Непродуманные действия могут привести не только к потере части файлов, но к повторному заражению компьютера.
- Надо немедленно выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.
- Все действия по обнаружению вида заражения и лечению компьютера следует выполнять при загрузке компьютера с защищенной от записи дискеты с ОС (обязательное правило).
- Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь более опытных коллег.
Защита от интернет экстремизма и компьютерных вирусов должна стать частью комплекса мер по защите информации как в отдельных компьютерах, так и в автоматизированных информационных системах в целом.
В будущем по современным сведениям разработчики Израиля планируют отказаться от постоянного обновления программ, суть которых состоит в том, чтобы искать вредоносные файлы и сверять их с кодом файлов своих баз данных. Также вскоре планируют снизить системное требование при применении кэширования проверенных файлов, что позволит использовать антивирусы на менее мощных процессорах. Еще одним нововведением стало добавление поддержки Unicode, которое сможет обеспечить полную совместимость с новыми версиями приложений. Так что можно надеяться, что вскоре появится такой антивирус, который сможет моментально анализировать и предотвращать любую вирусную угрозу
Заключение
Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем, на процессорах различных типов.
Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалить их из компьютера.
Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами. Наиболее традиционным методом поиска вирусов является сканирование.
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов антивирусных программ:
- программы-детекторы;
- программы-доктора или фаги;
- программы-ревизоры (инспектора);
- программы-фильтры (мониторы);
- программы-вакцины или иммунизаторы;
- сканер.
Наиболее популярными в настоящее время считаются – антивирус Касперского и Doctor Web.
Причины необходимости в защите зависят от конкретного профиля предприятия и его рода занятий. Для одних главной задачей является предотвращение утечки информации к конкурентам. Другие главное внимание могут уделять целостности информации. Например, для банка необходимо обеспечить достоверность платежных поручений, то есть, чтобы злоумышленник не мог внести изменения в платежное поручение. Для третьих компаний на первое место поднимается задача безотказной работы информационных систем (например, для провайдеров Интернет). Известны случаи, когда вирусы блокировали работу организаций и предприятий.
Из всего вышесказанного можно сделать вывод, что необходимость защиты от компьютерных вирусов на данный момент стоит на первом месте. Если правильно выбирать антивирусное программное обеспечение и регулярно обновлять его, то можно избежать заражения вирусом и соответственно всех его последствий.
Список используемых источников
- Гульев И. Создаем вирус и антивирус. – М.: ДМК - Пресс, 2013. – 27 - 50.
- Климентьев К. Е. Компьютерные вирусы и антивирусы: взгляд программиста, книга/ К. Е. Климентьев. – М.: ДМК Пресс, 2015.- 216с.
- Локальные вычислительные сети: Справочник. В 3-х кн. Кн. 1. Принципы построения, архитектура, коммуникационные средства. / Под ред. С.В. Назарова. - М.: Финансы и статистика, 2014. - 208 с.
- Ермакова А.Н., Бондарь Д.А., Печникова А.С. Анализ и синтез современных подходов к защите офисной информации // В сборнике: Моделирование производственных процессов и развитие информационных систем, 2012. - c. 32–34.
- Ермакова А.Н., Крылова К.А., Денисова С.И. Мониторинг реализации современных мер обеспечения информационной безопасности на предприятии. // В сборнике: Моделирование производственных процессов и развитие информационных систем. 2012. - c. 35–37.
- Яремчук С. Проактивные системы защиты, или Есть ли жизнь без антивируса?//Системный администратор, 2015, №7. – с. 9-13.
- Деловой журнал об информационных технологиях [Электронный ресурс]. – Режим доступа: CNews.ru.
- Информационной безопасность [Электронный ресурс] // descrypto интернет ресурс - URL: www.des-crypto.ru/itsecur/metod
- Компьютерные вирусы [Электронный ресурс] // Википедия: свободная энциклопедия, 2016. – URL: http://ru.wikipedia.org/wiki/ компьютерный_вирус
- Международная антивирусная компания ESET [Электронный ресурс]. – Режим доступа: Esetnod32.ru.
- COMSS1[Электронный ресурс] // comss.ru http: // www.comss.info / Istorija _ zarozhdenija _ antivirusov
- Распределение и использование прибыли как источник экономического роста предприятий (на примере ООО «Техкомплект-Р»)
- Система налогового учета (на примере ООО «СЕРВАЛ»)
- Психологические особенности поведения старших школьников конфликтных ситуациях
- «Проектирование реализации операций бизнес-процесса «Анализ и изучение конкуренции»»
- Проектирование реализации операций бизнес-процесса «Анализ и изучение конкуренции
- «Анализ поисковых систем в сети Интернет»
- Профессиональная этика организационных психологов
- Виды и состав угроз информационной безопасности (Основные определения и критерии классификации угроз)
- Сравнительный анализ способов и устройств хранения информации (История развития устройств хранения информации)
- Конфликты между школьниками
- Роль воспитателя в процессе адаптации детей к дошкольному учреждению .
- Регулирование предпринимательской деятельности