- •Глава 1 Информация и информационные
- •Глава 2 Аппаратные средства Современных компьютеров
- •Глава 3 Программное обеспечение и операционная система
- •Глава 4 операционная система ms windows
- •Глава 5 компьютерная графика и мультимедиа
- •Глава 6 Текстовый процессор ms word
- •6.2 Элементы окна Microsoft Word
- •Глава 7 таблиЧный Процессор Ms Excel
- •7.8 Функции
- •Глава 8 компьютерные вирусы и программы
- •8.3 Антивирусная программа Norton AntiVirus
- •Глава 9 система управления базами данных
- •9.1 Технология обработки информации
- •Глава 10 алгоритмы и языки программирования
- •Глава 11 Компьютерные сети и сетевые технологии
- •Топология типа «звезда»
- •«Кольцевая» топология
- •11.3 Преимущества локальных вычислительных сетей
- •11.4 Стандарт передачи информации
Глава 8 компьютерные вирусы и программы
АРХИВАЦИИ
8.1 Компьютерные вирусы
Компьютерным вирусом называется программа, которая способна создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения путем размножения.
Вирусы можно разделить на классы по следующим признакам:
- по среде обитания вируса;
- по способу заражения среды обитания;
- по деструктивным возможностям (действиям);
- по особенностям алгоритма вируса.
По среде обитания вирусы можно разделить на сетевые, файловые и загрузочные.
Сетевые вирусы распространяются по компьютерной сети, файловые внедряются в выполняемые файлы, загрузочные - в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Существуют сочетания - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы и часто применяют оригинальные методы проникновения в систему.
Способы заражения делятся на резидентный и нерезидентный. Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них.
Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.
Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирусы. Такие вирусы считаются нерезидентными.
По своим действиям вирусы можно разделить на:
- безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
- опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
- очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системной памяти.
По особенностям алгоритма можно выделить следующие группы вирусов:
- компаньон-вирусы (companion) - это вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл;
вирусы-“черви” (worm) - вирусы, которые распространяются в компьютерной сети и, так же как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
- “паразитические” - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются “червями” или “компаньонами”;
- “студенческие” - крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок;
- ”стелс“ - вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и “подставляют” вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие “обманывать” резидентные антивирусные мониторы;
- “полиморфик”- вирусы (самошифрующиеся или вирусы-призраки, polymorphic) – достаточно трудно обнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика;
- “макро-вирусы” - вирусы этого семейства используют возможности макро-языков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы заражающие текстовые документы редактора Microsoft Word.
Возможные симптомы вирусного поражения. Основные симптомы вирусного поражения следующие:
- Замедление работы некоторых программ.
- Увеличение размеров файлов (особенно выполняемых).
- Появление не существовавших ранее “странных” файлов.
- Уменьшение объема оперативной памяти (по сравнению с обычным режимом работы).
- Внезапно возникающие разнообразные видео и звуковые эффекты.
Хотя вирусные атаки случаются не очень часто, общее число вирусов слишком велико, а ущерб от “хулиганских” действий вируса в системе может оказаться значительным. Существуют вирусы, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, привести к серьезным сбоям в работе компьютера. В результате этих действий можно навсегда потерять данные, необходимые для работы и понести существенный моральный и материальный ущерб. При всех перечисленных выше симптомах, а также при других “странных” проявлениях в работе системы (неустойчивая работа, частые “самостоятельные” перезагрузки и прочее) мы настоятельно рекомендуем, немедленно произвести проверку Вашей системы на наличие вирусов с помощью AVP. При этом лучше, если программа будет иметь самую последнюю версию и самые свежие обновления антивирусных баз.
Краткое описание и особенности AVP
Эта программа - новый шаг в борьбе с компьютерными вирусами. Она представляет из себя программу, использующую все возможности популярной во всем мире среды Microsoft Windows оптимизированную для работы в этой среде. Программа AVP имеет удобный пользовательский интерфейс, характерный для Windows. Также имеет большое количество настроек, выбираемых пользователем, одну из самых больших в мире антивирусных баз, что гарантирует надежную защиту от огромного числа самых разнообразных вирусов.
В ходе работы AVP проверяет:
- Оперативную память (DOS, XMS, EMS).
- Файлы, включая архивные и упакованные.
- Системные сектора, содержащие Master Boot Record, загрузочный сектор и таблицу разбиения диска.
Основные особенности AVP
- Определение и удаление огромного числа самых разнообразных вирусов, в том числе:
- полиморфных или самошифрующихся вирусов;
- стелс-вирусов или вирусов-невидимок;
- новых вирусов для Windows;
- макро вирусов, заражающих документы Word и таблицы Excel.
- Проверка внутри упакованных файлов.
- Проверка внутри архивных файлов.
- Проверка объектов на гибких, локальных, сетевых и CD-ROM дисках.
- Эвристический модуль Code Analyzer, необходимый для детектирования НЕИЗВЕСТНЫХ вирусов.
- Поиск в режиме избыточного сканирования.
- Проверка объектов на наличие в них изменений.
- Удобный пользовательский интерфейс.
- Создание, сохранение и загрузка большого количества различных настроек.
- Механизм проверки целостности антивирусной системы.
Мощная система помощи.
Главное окно AVP Сканера представляет собой панель с пятью вкладками.
Вкладка “Область” содержит список дисков (гибких, локальных и сетевых), которые могут быть просканированы, если отмечены флажком. Поставить/убрать флажок можно щелчком правой кнопкой “мыши”, двумя быстрыми щелчками левой кнопкой мыши по имени диска.
Для того, чтобы быстрее отметить нужные диски, во вкладке “Область” можно поставить следующие флажки:
Локальные диски - отметить все локальные диски вашего компьютера.
Сетевые диски - отметить все доступные сетевые диски.
Флоппи дисководы - отметить все гибкие диски вашего компьютера.
Вкладка “Объекты” задает список объектов, подлежащих сканированию и типы файлов, которые будут тестироваться.
Во вкладке “Объекты” можно установить следующие флажки:
Память - включить процедуру сканирования системной памяти (в том числе и High Memory Area);
Сектора - включить процедуру сканирования системных секторов;
Файлы - включить процедуру сканирования файлов (в том числе файлов и с такими атрибутами как System, Hidden и ReadOnly);.
Упакованные объекты - включить Unpack Engine, распаковывающий для тестирования файлы, упакованные утилитами PKLITE, DIET, LZEXE и т. д.;
Архивы - включить Extract Engine, позволяющий производить поиск вирусов в архивных файлах, созданных архиваторами ARJ, ZIP, RAR, LHA.
Вкладка “Действия” позволяет задавать действия на случай обнаружения зараженных (“Зараженные объекты”) и/или подозрительных (“Подозрительные объекты”) объектов во время сканирования.
Вкладка содержит четыре радиокнопки и два флажка:
Только отчет - при обнаружении зараженных объектов программа будет только информировать Вас о найденных вирусах.
Отчет о них Вы увидите в окне “Объект - Результат” и в файле отчета, если Вы его ведете. Лечение и удаление зараженных объектов производиться не будет.
Запрос на лечение - в случае обнаружения зараженного объекта, открыть диалоговое окно “Зараженный объект”;
Лечить без запроса - автоматически лечить все зараженные объекты.
Удалять без запроса - автоматически удалять все зараженные объекты ;
Если Вы установите флажок “Удалять без запроса”, то при запуске на сканирование AVP выдаст сообщение: Вы уверены в том, что Вы хотите УДАЛИТЬ ВСЕ зараженные объекты? Нажмите кнопку “Да”, если Вы подтверждаете свою установку для зараженных объектов или нажмите “Нет”, если Вы хотите изменить действия над зараженными объектами. При этом AVP откроет вкладку “Действия”, где можно выбрать новое действие и продолжить работу.
Копировать в отдельную папку (“Зараженные объекты”) - в случае обнаружения зараженного объекта, копировать его в папку, имя которой можно указать в строке ввода рядом с флажком, по умолчанию имя папки “Infected” и расположена она в папке, где находится AVP.
Копировать в отдельную папку (“Подозрительные объекты”) - в случае обнаружения подозрительного объекта, копировать его в папку, имя которой можно указать в строке ввода рядом с флажком. По умолчанию имя папки “Suspicious” и расположена она в папке, где находится AVP.
Вкладка “Настройки” позволяет настраивать программу на различные режимы сканирования. Вы можете выбрать следующие флажки:
Предупреждения - включить добавочный механизм проверки. При этом будет выводиться предупреждающее сообщение, если сканируемый файл или сектор содержит измененный или поврежденный вирус, а также, если в памяти компьютера обнаружена подозрительная последовательность машинных инструкций.
Анализатор кода - включить механизм Code Analyzer, который способен обнаружить еще неизвестные программе вирусы в исследуемых объектах;.
Избыточное сканирование - включить механизм полного сканирования содержимого исследуемых файлов вместо стандартной обработки только “точек входа” (т.е. тех мест, где начинается обработка программ системой).
Отчет о чистых объектах - показывать во время сканирования имя проверяемого объекта в столбце “Объект”, окна просмотра “Объект - Результат”. В столбце “Результат”, в свою очередь, напротив имени объекта будет появляться сообщение “в порядке”, если объект чистый.
Отчет об упакованных объектах - показывать во время сканирования в окне просмотра “Объект - Результат”, в столбце “Объект” имя проверяемого упакованного объекта, а в столбце “Результат” название программы упаковщика, которым он упакован. В следующей строке, в столбце “Объект” - еще раз имя объекта . В столбце “Результат” будет появляться “в порядке”, если объект чистый или название вируса, которым заражен упакованный объект.
Звуковые эффекты - подавать звуковой сигнал при обнаружении вируса;
Слежение за отчетом - в окне просмотра “Объект- Результат” автоматически следить за последовательностью сканируемых объектов, прокручивая окно просмотра. Если выключить флажок во время сканирования, окно перестанет прокручиваться и остановится в нужном вам месте.
Файл отчета - записывать файл отчета, в котором будет отражаться та же информация о тестировании, что и в окне “Объект - Результат”. Имя файла можно задать рядом в строке ввода (по умолчанию имя файла отчета - “Report.txt”).
После окончания сканирования указанных объектов автоматически активизируется вкладка “Статистика”. Данная вкладка содержит результаты работы AVP.
Вкладка разделена на две части:
Проверено - содержит число проверенных секторов, файлов, папок, архивных файлов и упакованных файлов, а также время проверки всех, указанных Вами, объектов.
Найдено - содержит информацию о количестве известных вирусов, найденных тел вирусов, вылеченных объектов, предупреждений, подозрений на вирус, испорченных объектов, и ошибок ввода/вывода.
AVP Monitor представляет собой резидентную антивирусную программу, которая постоянно находится в оперативной памяти и контролирует операции обращения к файлам и секторам. Прежде чем разрешить доступ к объекту, AVP Monitor проверяет его на наличие вируса. Таким образом, он позволяет обнаружить и удалить вирус до момента реального заражения системы.
Главное окно AVP Monitor содержит 5 вкладок: "Общие", "Объекты", "Действия", "Настройки", "Статистика". Перемещаясь по вкладкам и выбирая нужные опции, мы можем изменять настройки программы.
Примечание! Чтобы все произведенные Вами действия по выбору опций вступили в силу, нужно нажать кнопку "Применить" (в этом случае окно AVP Monitor останется открытым) или кнопку "OK" (в этом случае окно свернется в иконку) которые находятся в нижней части окна.