Теоретичні відомості
Комп’ютерний вірус - це невеличка за розміром програма, що може проникати в інші програми (заражати їх). Характерною особливістю цієї програми є здатність розмножуватися та виконувати небажані для користувача дії. Програма, в якій є комп’ютерний вірус, називається зараженою. Нині відомо понад 50 тис. вірусів.
Дії комп’ютерних вірусів можуть виявлятися по-різному:
псуються деякі файли;
програми перестають виконуватися або виконуються неправильно;
на екран монітора виводяться непередбачені повідомлення або символи;
робота комп’ютера сповільнюється і т.ін.
За механізмом впровадження вірусів їх можна поділити на кілька груп. До першої групи належать віруси, які під час запускання зараженої програми стають резидентними і можуть час від часу заражати інші програми та виконувати небажані дії на ПК. Інші різновиди вірусів після зараження програм і дисків спричиняють серйозні пошкодження, наприклад форматують жорсткий диск.
До другої групи належать віруси, які впроваджуються в модулі операційної системи, зокрема в програми-драйвери пристроїв введення-виведення. Свою роботу такі віруси розпочинають при кожному звертанні до відповідного пристрою.
Третя група найбільш чисельна. Віруси цієї групи впроваджуються в будь-які програми типу .com або .exe і розпочинають свою роботу при виконанні таких програм. Дуже часто при цьому вони залишаються в оперативній пам’яті резидентно і заражують інші програми.
Ще одну групу складають віруси, які змінюють файлову систему на диску. Такі віруси (DIR - віруси) розміщуються на певних ділянках диска, помічаючи їх як кінець файла. Для всіх виконуваних файлів покажчик першої ділянки файла замінюється посиланням на ділянку, в якій розміщено вірус. Отже, при виконанні будь-якої програми керування комп’ютером передається вірусу. Якщо ж диск, заражений DIR-вірусом, переглянути за допомогою незараженого ПК, то нічого дивного не спостерігається. Правда, при читанні або копіюванні файлів операція буде виконана лише з 512 або 1024 байтами файла. Якщо ж таку програму спробувати виконати, то комп’ютер стане також зараженим, а програма буде працювати нормально.
Заражені програми з одного ПК можуть бути перенесені за допомогою дискет або мережі на інші комп’ютери. Якщо не вживати заходів для захисту від комп’ютерних вірусів, то наслідки зараження комп’ютерів можуть бути серйозними. Первинне зараження ПК вірусом трапляється тоді, коли:
на комп’ютері виконувалася заражена програма з розширенням .com або .exe;
ОС завантажувалася з дискети, що містить заражений завантажувальний сектор;
на ПК було встановлено заражену ОС або драйвер пристрою;.
Для захисту інформації від вірусів використовуються загальні (профілактичні) та програмні засоби.
До загальних засобів належать:
резервне копіювання інформації (створення копій файлів і системних ділянок дисків);
розмежування доступу до інформації (запобігання несанкціонованому використанню інформації).
До програмних засобів відносяться антивірусні програми. Вони виконують різні функції:
програми-детектори призначені для того, щоб відшукати файли, заражені одним із відомих вірусів; деякі з них можуть також лікувати файли від вірусів або вилучати заражені файли;
програми-лікарі лікують заражені диски і програми, при цьому із зараженої програми вилучається тіло вірусу;
програми-ревізори використовуються для виявлення ушкоджених і заражених вірусом файлів; вони запам’ятовують дані про стан програми та системних ділянок дисків у нормальному стані (до зараження) і порівнюють ці дані у процесі роботи ПК; при невідповідності даних виводяться повідомлення;
лікарі-ревізори призначені для виявлення змін у файлах і на системних ділянках дисків та відновлення останніх;
програми-фільтри перехоплюють звертання до ОС, що використовуються вірусами для розмноження, і повідомляють про вірус користувачу, який має можливість дозволити або заборонити виконання відповідних операцій; вони є резидентрими (розміщуються в оперативній пам’яті ПК).
Для боротьби з найпоширенішими вірусами є програма-детектор AntiViral Toolkit Pro (AVP).
Програма AVP є 32-розрядним додатком для роботи в середовищі ОС Windows, має зручний інтерфейс, а також одну з найбільших у світі ативірусну базу. Ця програма шукає і вилучає найрізноманітніші віруси, у тому числі:
поліморфні, або віруси, що самошифруються;
стелс-віруси, або віруси-невидимки;
нові віруси для Windows;
макровіруси, що заражають документи Word і таблиці Excel.
У процесі виконання програма AVP перевіряє оперативну пам’ять, файли, системні та завантажувальний сектори, а також таблицю поділу диска. Здійснює пошук вірусів в упакованих й архівних файлах, на гнучких, локальних, мережевих і CD-ROM дисках. Крім того, вона контролює файлові операції системи у фоновому режимі, виявляє вірус до моменту реального зараження системи, а також за допомогою евристичного модуля визначає невідомі віруси.
Для запуску програми AVP необхідно двічі клацнути мишею на її значку або ярлику. При цьому завантажуються антивірусні бази даних, тестуються оперативна пам’ять й основний файл додатка AVP32.exe на наявність у них вірусів. Після завантаження програми у нижньому рядку її головного вікна з’являється повідомлення „Антивирусные базы загружены. Известных вирусов: N ”, де N – кількість вірусів.
Головне вікно програми AVP за структурою схоже на вікно Windows 98. Воно містить рядки заголовка і меню, п’ять вкладинок, кнопку Пуск (яка під час перевірки змінюється на кнопку Стоп) і вікно перегляду Объект – Результат.
Основні елементи головного вікна AVP:
зона заголовку (з кнопкою системного меню (ліворуч), заголовоку програми і кнопками Свернуть, Развернуть, Закрыть);
система меню вікна програми – містить пункти меню Файл, Поиск вирусов, Сервис і „?”.
Пункт меню Файл включає команди збереження, завантаження та настроювання програми AVP, а також виходу з неї.
Пункт меню Поиск вирусов містить команди запуску програми AVP для пошуку вірусів та її зупинки.
Пункт меню Сервис містить команди для автоматичного поновлення антивірусної бази із файлів або через межу Internet.
Пункт меню Справка забезпечує доступ до довідкової системи програми AVP.
У головному вікні є вкладинки Область, Объекты, Действия, Параметры і Статистика.
В
кладинка
Область
містить список дисків, що перевіряються
(рис.5).
Рисунок 5 – Головне вікно AVP (вкладинка Область)
В
кладинка
Объекты
задає список об’єктів і типи файлів
для перевірки (рис.6).
Рисунок 6 – Вікно AVP (вкладинка Объекты)
Об’єктами є пам’ять, сектори, файли, упаковані об’єкти й архіви, створені архіваторами ARJ, ZIP, RAR і LHA (архівні файли не лікуються). До типів файлів належать файли ОС MS DOS (.com, .txt і .sys), Windows (.exe, .vxd, .dll), файли, що мають формат документів чи таблиць MS Office, а також файли з розширенням .bat, .ov*, .bin і .prg.
У вкладинці Действия можна задати дії під час виявлення заражених і/або підозрілих об’єктів (рис.7) .
До таких дій належать:
звіт про знайдені віруси, що виводиться у вікні „Объект-Результат” й у файлі звіту;
запит на лікування, при якому відкривається діалогове вікно „Зараженный объект”;
лікування всіх заражених об’єктів без запиту;
вилучення всіх заражених об’єктів без запиту;
копіювання в окрему папку заражених і/або підозрілих об’єктів.
Вкладинка Параметры виконує настроєння програми AVP на різні режими перевірки; попередження, виявлення невідомого вірусу, звіт про чисті (без вірусів) об’єкти, звукові ефекти під час виявлення вірусів, створення файлу звіту та ін.
Вкладинка Статистика відображає результат роботи програми AVP (рис.8). Ця вкладинка стає активною після закінчення перевірки програми. Вкладинка складається з двох частин. У першій - Проверено – відображається кількість перевірених секторів, файлів, папок, архівних і упакованих файлів, а також час перевірки зазначених об’єктів.
У
другій – Найдено
– подається інформація про кількість
відомих вірусів, їх знайдених тіл,
вилікуваних об’єктів, попереджень,
підозр щодо вірусу, зіпсованих об’єктів
і помилок введення/виведення.
Рисунок 7 – Вікно AVP (вкладинка Действия)
Р
исунок.
8 – Вікно AVP (вкладинка Статистика)