- •Оглавление
- •Введение
- •Основы теории операционных систем Общие сведения об операционных системах
- •Организация диалога пользователя
- •Графический режим диалога пользователя
- •Файловые менеджеры
- •Назначение функциональных клавиш
- •Системные вызовы
- •Архитектура операционной системы
- •Машино-независимые свойства операционных систем Файловая система пк
- •Типы файлов
- •Физическая организация fat
- •Работа с файлами и каталогами средствами ос ms dos
- •Команды общесистемного назначения
- •Работа с каталогами
- •Работа с файлами
- •Процессы
- •Запрос пользователя на создание процесса.
- •Защищенность и отказоустойчивость ос
- •Система raid – массивов дисков
- •Распределение ресурсов пк
- •Разрешение конфликтов при распределении ресурсов
- •Запрос – ожидание – запрос – ожидание - …..
- •Управление процессами в интерактивных ос
- •Организация ввода – вывода
- •Работа подсистемы по ввода – вывода
- •Поддерживать несколько файловых систем
- •Вести системную информацию о состоянии и распределение устройств:
- •Распределение ресурсов пк
- •Разрешение конфликтов при распределении ресурсов
- •Запрос – ожидание – запрос – ожидание - …..
- •Управление памятью
- •Раздел 1 Раздел 1
- •Раздел 2 Раздел2
- •Кэширование данных
- •Общая схема выполнения запроса к оп в системах с Кэш – памятью (выполнение системного вызова)
- •Операционная система Windows
- •Загрузка windows xp
- •Архитектура Windows xp
- •Основные компоненты ос Windows xp
- •Технологические принципы ос Windows
- •Физическая организация данных ntfs
- •Каталоги ntfs
- •Архивирование данных
- •Компьютерные вирусы
- •Реестр Windows xp
- •Операционная система Linux
- •Основные понятия ос linux
- •Файловая система ос linux
- •Процессы
- •Основные команды ос linux
- •Архивирование и сжатие файлов
- •Shell – сценарии
- •Архитектура сетевой операционной системы
Компьютерные вирусы
Компьютерным вирусом называется программа, способная выполнять на компьютере несанкционированные действия. Это специально написанная, как правило, небольшая по объему программа, которая может записывать (внедрять) свои копии в компьютерные программы, располагаться в исполнимых файлах, драйверах, документах, системных областях диска или дискеты, причем эти копии сохраняют способность к сохранению в этих файлах.
Для того чтобы вирус мог произвести свое разрушительное действие, его необходимо запустить. Без этого вирус может сколь угодно долго храниться на жестком диске или дискете и ничего не сможет сделать. На этом основаны методы борьбы с вирусом, пока вирус дремлет его можно обнаружить и обезвредить. Удаление вируса называется лечением файла.
Схема работы вируса
Известно несколько сотен компьютерных вирусов, но как правило, вирус проходит в своем развитии три этапа: Заражение – Размножение - Атака
Заражение – происходит при запуске программы, содержащий вирус, или при обращении к носителю, содержащему вирус в системной области. Код вируса поступает в ОП.
Размножение. При перемещении в ОП память код вируса становится резидентной программой, откуда заражает другие программы при их запуске, в первую очередь файлы ОС.
Атака – последняя стадия развития вируса. Во время атаки вирус производит свое более или менее вредное действие и при этом непременно проявляет себя. Механизм атаки может запускаться по счетчику, например, когда создано определенное число копий, по системным часам в определенное время. В компьютерных сетях при запуске определенных программ или определенных документов.
Классификация компьютерных вирусов
По воздействию:
Безвредные вирусы – увеличивают длину файла, изменяют дату создания, перегружают систему, создают очередь к устройствам;
Малоопасные – выдают неожиданные сообщения, звуковые или экранные эффекты;
Разрушительные – портят данные на диске, как правило, уничтожают системную область на диске;
По способу заражения:
Вирусы – компаньоны не заражают программу, а запускаются вместо другой программы. В ОС MS DOS пользователь вводит команду prog
ОС ищет файл prog.com, если такого файла нет, то ищется файл prog.exe. То же самое происходит при выборе пункта ВЫПОЛНИТЬ меню ПУСК. Сегодня программы имеют расширение .exe, .com используется редко. Поэтому, если известно, что определенная программа часто запускается из командной строки, ее можно заменить вирусом. Также вирус может заменить ярлык, так чтобы сначала запускался вирус, а затем программа.
Файловые вирусы, то есть вирусы, которые заражают исполнимые файлы. Такие вирусы приписывают себя к исполнимому файлу. С этой целью вирус просматривает папку, находит исполнимый файл, открывает его, и приписывает себя к коду. Можно выбирать не первый файл, а по датчику случайных чисел, после приписывания не изменять длину и дату модификации файла. (Перезаписывающий, паразитические вирусы).
Исполнимый файл состоит из нескольких сегментов (кода и данных). Длина сегмента всегда кратна 512 байт, если сегмент занят не полностью, то он дополняется нулями. Вирус может записывать себя в эти пустые места, при этом длина файла увеличиваться не будет. Обнаружение такого вируса более сложно. (полостные вирусы).
Вирусы – компаньоны и файловые вирусы после выполнения своей работы, передают управление основной программе, и после завершения основной программы выгружаются из памяти.
Резидентные вирусы после загрузке в ОП остаются там навсегда, как правило в области векторов прерываний. Очень умные вирусы могут изменять карту памяти, и объявлять некоторую область занятой. Резидентный вирус перехватывает один из векторов прерывания, например вектор прерывания системного вызова, сохраняет номер прерывания в своей переменной, запускает свою процедуру, затем передает управление настоящему системному вызову.
Загрузочные вирусы, поражают загрузочный сектор диска или дискеты. При включении компьютера загрузка ОС проводиться с загрузочного сектора диска. Загрузочные вирусы переписывают загрузочный сектор в безопасное место на диске, копируют себя в ОП, то становятся резидентными, а затем возвращают загрузочный сектор на место и загружают ОС.
Вирусы драйверов устройств. В Windows и UNIX драйвер представляет собой исполнимый файл, такой файл может быть заражен файловым вирусом. Драйвер работает в режиме ядра, что позволяет вирусу перехватывать вектор прерываний системных вызовов.
Макро вирусы. Такие приложения, как Word и Excel позволяют создавать макросы, то есть последовательность команд, которая выполняется при запуске макроса. Эти макросы могут содержать циклы для открытия документов, листов рабочей книги и т.д. Создавать такие макросы достаточно просто.
Вирусы, заражающие исходные тексты программ. Эти вирусы вставляют в текст программы вызов некоторой процедуры, которая соответствует вирусу.
Например
#include <virus.h> run_virus ( );
при вызове программы произойдет обращение к вирусу, который, например, будет искать другие тесты программ, заражать их и выполнять свои действия.
Способы распространения вирусов
Классический вариант. Когда вирус создан, он помещается в какую-либо программу, как правило, игру или полезную утилиту. Затем эта программа распространяется, например через Web-сайт бесплатных программ. Кто-то эту программу скачивает и запускает. Далее возможно несколько вариантов:
вирус может заразить несколько файлов на жестком диске, в надежде на то, что эти файлы будут распространяться далее.
может заразить загрузочный сектор жесткого диска, после этого вирус сможет запускаться в резидентном режиме при каждой последующей загрузке компьютера;
может проверять наличие дискеты в дисководе и заражать загрузочный сектор дискеты или просто записывать себя на дискету.
Сетевой вариант. Если компьютер подключен к локальной сети, то вирус может заразить файлы на сервере. Часто вирус изменяет работу программы, и пользователь обращается к администратору. Администратор может запустить программу в режиме «администратора» и вирус получит доступ к системным файлам, драйверам устройств, загрузочным секторам.
Автор вируса может создать Web-страницу, для просмотра которой требуется специальный программный модуль (плагин), который заражен вирусом. При запуске этого плагина вирус попадет на компьютер.
Макро вирусы. Последнее время получили распространение вирусы, которые распространяются вместе с документами, например Word, Excel. Эти документы рассылаются по электронной почте, публикуются на Web – сайтах или телеконференциях. Открывая такой документ, вирус попадает на компьютер.
Обнаружение вирусов
Обнаружение по базе данных. Большинство антивирусных программ выявляют вирусы по известным образцам их программного кода. С этой целью создаются базы данных вирусов. Просматриваются все файлы подряд и ищутся группы кодов, характерные для известных вирусов. Если в файле есть последовательность байт, зарегистрированная в азе данных, то выдается соответствующее сообщение.
Полиморфные вирусы (вирусы – призраки) – не имеют постоянного кода. Несколько разных вариантов одного и того же вируса не будут иметь одинаковых последовательностей байт. Вирусы распространяются в закодированном виде, внутри себя содержат программы кодирования и декодирования. Обнаружение по базе данных не возможно, применяются эвристические алгоритмы.
Стелс – вирусы (вирусы – невидимки), такие вирусы нельзя увидеть стандартными средствами операционной системы. Такие вирусы перехватывают системные вирусы, и например при просмотре файла, удаляют себя из тела зараженного файла, а при закрытии заражают снова. Для обнаружения таких вирусов антивирусные программы должны иметь собственные средства работы с файловой системой, независимые от ОС.
Вирус приписывая себя к файлу, увеличивает длину файла, но вирус может содержать программу сжатия – компрессор и декомпрессор.
-
Файл длинее
вирус
Исходная длина
Исходная длина
Исполнимая программа
Исполнимая программа
Не
используется
зашифрованный
вирус
Дешифратор
Вирус
Шифратор
декомпрессор
декомпрессор
компрессор
компрессор
Сжатая исполнимая программа
Сжатая исполнимая программа
заголовок
заголовок
заголовок
заголовок
Защита от заражения вирусом
Устанавливать чистое программное обеспечение, приобретенное у надежного производителя. Скачивать программы с Web – сайтов не рекомендуется;
Проверять дискеты перед тем, как загружать данные на свой компьютер;
Не открывать присоединенные к электронной почте файлы, если их происхождение не известно;
Просматривать графические файлы, Web – страницы, музыку стандартными средствами. Не применять для этого приложенные к файлу программы.
Периодически проверять компьютер на вирус;
Иметь резервную копию диску, сохранять данные на внешних носителях.