Курс лекций информатика
.pdfАрхиватор RAR (WinRAR) был создан как достаточно универсальное средство сжатия файлов, содержащих самую различную информацию, объединяющее достоинства и удобства программ двух классов - архиватора командной строки и полноэкранной оболочки для просмотра и других манипуляций с архивами.
В некоторых случаях использование RAR не может быть заменено ни одним из существующих архиваторов, а логичный и простой интерфейс делает его удобным средством работы с архивами и файлами.
По своим техническим характеристикам RAR не уступает широко распространенным и популярным архиваторам, а по некоторым показателям превосходит их.
Степень сжатия. На файлах типа .EXE, .COM, .LIB, .OBJ, .OVR и аналогичных им RAR обеспечивает максимальную по сравнению с другими архиваторами степень сжатия, превосходя PKZIP и ARJ примерно на 0.5 - 3% (кроме .EXE и .COM файлов уже сжатых программами типа LZEXE, PKLITE, DIET). На отдельных файлах (больших .LIB, некоторых других) выигрыш может достигать 5-7% от упакованного размера. Метод сжатия обычно существенно не влияет на результат.
Дополнительные возможности:
-разбиение архива на части (volumes) для переноса на дискеты;
-создание самораспаковывающихся архивных томов (SFX);
-создание непрерывных (solid) архивов с повышенной степенью
сжатия;
-защита информации паролем;
-защита архивов от модификации;
-восстановление структуры поврежденных архивов;
-добавление комментариев ко всему архиву и к отдельным файлам. Программа WinZip предназначена для архивации файлов и
извлечения файлов из архивов. Интерфейс WinZip версии 8.0 напоминает интерфейс Windows Explorer, включая кнопки панели управления. Как и
242
Windows Explorer, WinZip при создании или обновлении архивов автоматически сохраняет информацию о папках и подпапках.
В версии 8.0 появилась новая опция View as Web Page и опция Zip and E-Mail, позволяющая заархивировать документ и вложить его в электронное письмо, не покидая окна проводника Windows Explorer. Чтобы воспользоваться этой возможностью, достаточно щелкнуть правой кнопкой мыши на имени файла и выбрать пункт Zip and E-Mail из всплывающего меню. WinZip создаст Zip-файл и поместит в новое сообщение электронной почты. Zip-файл автоматически удаляется сразу же после того, как почтовая программа перестает в нем нуждаться.
WinZip Self-Extractor Personal Edition поддерживает создание самораспаковывающихся архивов. Они необходимы в случае передачи упакованной информации получателю, у которого может не быть нужной программы распаковки.
Так же, как и в Windows Explorer, в WinZip при щелчке правой кнопкой мыши на файле в списке архива появляется контекстное меню, включающее действия, которые можно проделать с этим конкретным типом файла, например Open, Print или New. Удерживание нажатой кнопки Shift во время щелчка добавляет в меню дополнительный пункт Open With..., что дает возможность сразу же выбрать нужное приложение для открытия файлов. WinZip теперь так же, как Windows Explorer, осуществляет операции с директориями и поддиректориями (папками и подпапками). WinZip сохраняет всю информацию о путях так же, как это делает Windows Explorer при применении операций копирования и вставки. Панель инструментов WinZip теперь также напоминает панель инструментов Windows Explorer.
Когда курсор мыши указывает на Zip-файл, программа выводит подсказку, в которой содержится информация о том, сколько файлов в архиве, появляется и комментарий к архиву, если он есть. Когда открывается Zip-файл, содержащий комментарии, WinZip выводит новую
243
иконку в строке состояния. Щелкнув на этой иконке, можно просмотреть и отредактировать комментарий.
8.8.Компьютерные вирусы и антивирусные программы
8.8.1.Компьютерные вирусы
Термин «компьютерный вирус» впервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на 7-й конференции по безопасности информации, проходившей в США.
Компьютерные вирусы - это класс программ, способных к саморазмножению и самомодификации в работающей вычислительной среде и вызывающих нежелательные для пользователей действия. Действия могут выражаться в нарушении работы программ, выводе на экран посторонних сообщений или изображений, порче записей, файлов, дисков, замедлении работы ЭВМ и др. мешающих нормальной работе пользователя действиях.
Вирусы можно разделить на классы по нескольким основным признакам: по среде обитания, по операционной системе; по особенности алгоритма работы; по деструктивным возможностям.
По среде обитания вирусы можно разделить на:
файловые;
загрузочные;
сетевые.
Файловые вирусы заражают выполняемые файлы (это наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы). Макро-вирусы - разновидность файловых вирусов встраивающиеся в документы и электронные таблицы популярных редакторов.
Загрузочные вирусы заражают загрузочные сектора дисков (bootсектор), либо главную загрузочную запись (Master Boot Record), либо меняют указатель на активный boot-сектор.
244
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты (почтовые вирусы).
Существует большое количество сочетаний - например, файловозагрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Среди особенностей алгоритма работы вирусов выделяются следующие:
резидентность;
использование стелс-алгоритмов;
самошифрование и полиморфичность;
использование нестандартных приемов.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время.
В многозадачных операционных системах время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.
Использование стелс - алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс - алгоритмом является перехват запросов OC на чтение/запись зараженных
245
объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрет вызовов меню просмотра макросов.
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик - вирусы (polymorphic) - это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик - вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
По деструктивным возможностям вирусы можно разделить на:
неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.
8.8.2. Меры защиты от компьютерных вирусов
Основными мерами защиты от вирусов считаются:
резервирование (ежедневное ведение архивов измененных файлов);
профилактика (использование программ полученных из проверенных источников, раздельное хранение вновь полученных программ и эксплуатирующихся, хранение неиспользуемых
246
программ в архивах, использование специального диска или тестового компьютера для записи новых программ);
ревизия (анализ вновь полученных программ специальными средствами и их запуск в контролируемой среде, систематическая проверка ВООТ-сектора используемых дискет и содержимого системных файлов (прежде всего сommand.com) и др.);
фильтрация (использование специальных сервисных программ для разбиения диска на зоны с установленным атрибутом read only,);
вакцинация (специальная обработка файлов, дисков, каталогов);
лечение (дезактивацию конкретного вируса с помощью специальной программы или восстановление первоначального
состояния программ путем удаления всех экземпляров вируса в каждом из зараженных файлов или дисков).
Наиболее важный принцип, которого следует придерживаться после обнаружения вируса и во время анализа зараженных им программ и действий по их очистке или восстановлению, состоит в следующем: все действия следует выполнять только с защищенной от записи системной дискеты и использовать антивирусные и другие программы предварительно записанные на ней.
Выполнение действий по анализу и восстановлению на зараженной операционной системе является грубой ошибкой и может иметь катастрофические последствия.
Антивирусные программы предназначены для предотвращения заражения компьютера вирусом и ликвидации последствий заражения. В зависимости от назначения и принципа действия различают следующие антивирусные программы :
сторожа или детекторы – предназначены для обнаружения файлов зараженных известными вирусами, или признаков, указывающих на возможность заражения;
доктора – предназначены для обнаружения и устранения известных им вирусов, удаляя их из тела программы и возвращая ее в исходное
247
состояние. Наиболее известными представителями являются Dr.Web, AidsTest, Norton Anti Virus;
ревизоры – они контролируют уязвимые и поэтому наиболее атакуемые компоненты компьютера, запоминают состояние служебных областей и файлов, а в случае обнаружения изменений сообщают пользователю;
резидентные мониторы или фильтры – постоянно находятся в памяти компьютера для обнаружения попыток выполнить несанкционированные действия. В случае обнаружения подозрительного действия выводят запрос пользователю на подтверждение операций;
вакцины – имитируют заражение файлов вирусами. Вирус будет воспринимать их зараженными и не будет внедряться.
Всовременных антивирусных программных продуктах AVP, Drweb, Dr.Solomon используются различные методики обнаружения вирусов:
сканирование сигнатур (для борьбы с вирусами, использующими неизменный код);
проверка целостности (путём создания и использования базы контрольных сумм файлов);
эвристические методы (анализ программы по выявлению таких действий, как форматирование жёсткого диска);
полиморфный анализ (в специальной защищённой области);
анализ на наличие макровирусов (они распространяются, например,
с файлами MS Word, MS Excel, MS Access).
Наряду с этими средствами ряд пакетов содержат дополнительные
функции защиты от почтовых вирусов и вирус-модулей ActiveX и Javaаплетов. Некоторые антивирусные пакеты (например, Panda Antivirus Platinum и PC-cillm) блокируют доступ компьютера к подозрительным Web-страницам.
Определенным недостатком всех антивирусных пакетов является то, что они сильно загружают систему при работе. Это может проявляться в
248
замедлении работы компьютера, в особенности, если часть модулей активизируются по умолчанию. Избежать большой загрузки процессора и оперативной памяти поможет отключение ряда не слишком необходимых функций сложных мониторингов, оставляя лишь самые простые (например, антивирусный монитор).
Наряду с классическими методами борьбы с вирусами появляются инновациионные методы. К примеру, ряд фирм предлагают проверку на вирусы через Интернет в так называемых «электронных больницах». Из числа последних можно выделить McAfee Clinic. Технология работы следующая. Компьютер пользователя через Интернет проводит программный модуль ActiveX, который берет сигнатуры со специального сайта. В России также оказываются подобные услуги, но в этом случае следует направить зараженный файл или сектор начальной загрузки на сервер компании-производителя антивирусного продукта.
Другим современным методом обеспечения антивирусной защиты писем электронной почты считается их автоматическая проверка у Интернет-провайдера
Среди антивирусных программных продуктов можно отметить,
прежде всего, пакеты: Norton Antivirus (Symantec), Vims Scan (McAfee), Dr.Solomon AV Toolkit (S&S IntL), AntiVirus (IBM), InocuLAN (Computer Associates) и AntiViral Toolkit Pro (Лаборатория Касперского). Данные программные продукты отвечают требованиям ICSA, отслеживая 300 наиболее распространённых и хотя бы 9 из каждых 10 остальных вирусов. В той или иной степени данные антивирусные программы обладают функциями проверки на вирусы и удаления их в реальном времени, отключения заражённых рабочих станций от сети, определения источника заражения, проверки сжатых файлов в режимах сканирования и реального времени. Кроме того, эти программы позволяют проводить удаленное сканирование ПК с Windows NT и ведут единый журнал событий, a Norton Antivirus и InocuLAN -позволяют также обновлять клиентские программы
249
с сервера и устанавливать уровень загрузки процессора на сервере при фильтрации проходящих сетевых пакетов.
Norton AntiVirus — пакет, предназначенный для защиты компьютера от вирусов во время работы в Интернете, обмена файлами по сети, загрузки файлов с дискет и CD. Программа может автоматически сканировать входящие почтовые сообщения, содержащие различного рода прикрепленные данные, в таких популярных почтовых программах, как
MS Outlook, MS Outlook Express, Eudora Pro, Eudora Lite, Netscape
Messenger, Netscape Mail. Программа защищает систему от опасных ActiveX-кодов, Java-апплетов и так называемых «троянов», а также определяет и удаляет вирусы из сжатых файлов (в том числе и из многократно сжатых файлов).
Программа имеет сходный вид с другими продуктами семейства
Norton, такими как Norton SystemWorks и NortonUtilities. Как и раньше, Norton AntiVirus дает простые и понятные инструкции о том, что делать, когда обнаружен вирус.
Для обнаружения новых и неизвестных вирусов используется передовая технология Bloodhound Heuristic: программы-анализаторы изучают структуру файла, программную логику, инструкции, данные файлов и прочие атрибуты, а затем используют эвристическую логику, чтобы определить вероятность инфицирования. «Чистые» файлы беспрепятственно проходят сквозь этот фильтр, а подозрительные задерживаются. Эта технология обеспечивает очень высокую степень защиты, автоматически определяя и обезвреживая до 95% всех новых и неизвестных вирусов.
Улучшены проверка архивов и исправление ошибок: автоматически обнаруживаются вирусы, скрытые в многоуровневых архивах (например, в Zip-файле, находящемся внутри другого Zip-файла).
Можно сконфигурировать программу таким образом, чтобы она автоматически выдавала сообщение в том случае, когда обнаружен новый вирус или когда созданы новые методы обезвреживания. Когда
250
антивирусные базы устаревают, программа сама предлагает запустить функцию LiveUpdate.
Программа защищает от вирусов, полученных через Интернет, Intranet, e-mail, содержащихся на дискетах, жестких дисках, CD, сетевых дисках. Функция «Автозащита» обеспечивает постоянную, не требующую больших системных ресурсов, фоновую защиту, которая автоматически сканирует файлы во время загрузки, открытия, создания и модификации (только NT) и запуска файлов. Функция «Карантин» позволяет переложить зараженный файл в «безопасную» область. Функция «Сканирование и обезвреживание» (Scan and Deliver) дает возможность отправлять подозрительные файлы в Symantec AntiVirus Research Center (SARC) для изучения. В том случае, если SARC определит, что файл содержит новый, неизвестный ранее вирус, будет создан новый антивирус, и можно будет незамедлительно получить обновление. Технология Striker32 обеспечивает обнаружение вирусов и восстановление данных, поврежденных сложными полиморфными вирусами.
Опция LiveUpdate предлагает быстрый и надежный способ для обновления антивирусных баз: достаточно запустить первую сессию LiveUpdate во время инсталляции и составить график, по которому будут автоматически запускаться все последующие сессии. Если учесть, что ежедневно обнаруживается порядка 10-15 новых вирусов, необходимость функции LiveUpdate становится очевидной. Поддержка микроопределений при обновлении позволяет загружать только новые описания вирусов, что значительно ускоряет процесс обновления. Программа предлагает еженедельное обновление антивирусных баз, обеспечивая защиту от самых последних вирусов.
Антивирусный пакет AVP, является расширенной версией известного антивирусного комплекта «Доктор Касперский». Комплекс содержит программу-фаг, тестирующую и восстанавливающую файлы и загрузочные сектора дисков, поврежденные вирусами. В процессе работы программы производится тестирование на неизвестные вирусы. Также в комплект
251