zaochnoe_informatika_2013 / информатика заочное 2012 / ДОПОЛНЕНИЕ К ЛЕКЦИИ1
.pdfс ними необходимо провести обратное преобразование - распаковку или разархивирование.
Объекты сжатия
В зависимости от того, в каком объекте размещены данные, подвергаемые сжатию, различают:
Уплотнение файлов применяют для уменьшения их размеров при подготовке к передаче по каналам электронных сетей или к транспортировке на внешнем носителе малой емкости, например на гибком диске.
Уплотнение папок используют как средство архивации данных перед длительным хранением, в частности при резервном копировании.
Уплотнение дисков служит целям повышения эффективности использования их рабочего пространства и, как правило, применяется к дискам, имеющим недостаточную емкость.
Обратимость сжатия
Несмотря на изобилие алгоритмов сжатия данных, теоретически есть только три способа уменьшения их избыточности. Это либо изменение содержания данных, либо изменение их структуры, либо и то и другое вместе.
Если при сжатии данных происходит изменение их содержания, метод сжатия необратим и при восстановлении данных из сжатого файла не происходит полного восстановления исходной последовательности.
Такие методы называют также методами сжатия с регулируемой потерей информации. Они применимы только, для тех типов данных, для которых формальная утрата части содержания не приводит к значительному снижению потребительских свойств. В первую очередь это относится к мультимедийным данным: видеорядам, музыкальным записям, звукозаписям и рисункам. Методы сжатия с потерей информации обычно обеспечивают гораздо более высокую степень сжатия, чем обратимые методы, но их нельзя применять к текстовым документам, базам данных и, тем более, к программному коду.
Характерными форматами сжатия с потерей информации являются
.JPG для графических данных
.MPG для видеоданных
.МРЗ для звуковых данных.
Если при сжатии данных происходит только изменение их структуры, то метод сжатия обратим. Из результирующего кода можно восстановить исходный массив путем применения обратного метода.
Обратимые методы применяют для сжатия любых типов данных.
Характерными форматами сжатия без потери информации являются.
*.GIF, .TIP, .PCX и многие другие для графических данных:
*. AVI для видеоданных:
*ZIP, .ARJ, RАR, LZH, LH, CAB и многие другие для любых типов данных.
На сегодняшний день существует множество программ-архиваторов, например, для среды MS Windows самыми популярными являются WinZip,
51
WinRAR и WinArj. Можно выделить некоторые базовые возможности программ данного типа
-Создание архива и добавление в него одного или целой группы
файлов. При этом можно сохранить информацию о местоположении файла (запоминание маршрутов имен). Добавление файлов осуществляется из конкретной папки. Вы можете выделить несколько файлов в текущей папке или задать маску имени файла. Если необходимо добавить в архив файлы из вложенных папок, включается специальный флажок рекурсии. Дополнительными параметрами являются выбор метода сжатия (максимальный, быстрый и т.д.) и установка пароля на архивный файл. Заметим, что архив с паролем является своеобразной вашей личной информации, поскольку ни просмотреть содержимое файлов такого архива, ни распаковать их без знания пароля практически невозможно.
-Перемещение файлов в архив. Эта процедура означает удаление неупакованных версий файлов после записи в архив.
-Создание многотомного архива. Используется для размещения большого объема информации в упакованном виде в нескольких архивных файлах указанного размера, именуемых томами. При этом, как правило, первый том будет иметь расширение, стандартное для данного архиватора, а последующие тома в расширении будут иметь цифры по возрастанию. Обычно каждый том записывается на отдельную дискету.
-Создание самораспаковывающегося архива или преобразование созданного архива в самораспаковывающийся. При этом создается исполняемый файл с расширением ЕХЕ, который при запуске автоматически распакует находящиеся в нем файлы.
-Просмотр содержимого архива. При открытии архивного файла вы получите исчерпывающую информацию о том, какие файлы содержатся в архиве, каковы их первоначальный размер и размер в сжатом виде, степень сжатия и дату записи. Вы можете также просмотреть содержимое файла без извлечения его из архива с помощью соответствующего приложения (если приложение, работающее с данным типом файла, установлено на вашем ПК).
-Обновление содержимого архива. Поскольку в архиве хранится дата записи файла, можно использовать функцию обновления. Здесь существует два варианта - обновление только существующих в архиве файлов или обновление версий и добавление новых файлов, которых ранее в архиве не было. При обновлении открывается папка, из которой первоначально добавлялись файлы в архив.
-Распаковка файлов (извлечение файлов из архива). Существуют два вариантараспаковки: с воссозданием структуры папок и без воссоздания маршрутов имен (распаковка всех файлов в одну указанную папку).
-Удаление файлов из архива.
-тестирование целостности структуры архивов;
-полное или частичное восстановление поврежденных архивов,
-защита архивов от просмотра и несанкционированной модификации.
Вбольшинстве случаев защиту архивов выполняют с помощью пароля,
52
который запрашивается при попытке просмотреть, распаковать или изменить архив.
Характеристика, компьютерных вирусов. Программы обнаружения и защиты от вирусов. Основные меры по защите от вирусов. Антивирусные программные средства.
Термин «компьютерный вирус2 впервые употребил сотрудник Лехайского университета (США) на 7-ой конференции по безопасности информации. К основным отличительным признакам компьютерного вируса относят саморазмножение, скрытность, возможность нанесения ущерба. Однако ни один из этих признаков не является абсолютным, поэтому строгое определение дать сложно. Определение Е.Касперского:
Компьютерный вирус - это программа, которая способна создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в вычислительные сети и /или файлы, системные области компьютера и прочие выполняемые объекты без ведома пользователя с возможным последующим нанесением ущерба. При этом копии сохраняют возможность дальнейшего распространения.
Программа-вирус способна к самораспространению. Это и есть главный критерий, по которому отличается программа-вирус от остальных программ. Другое отличие заключается в том, что обычно понятие компьютерный вирус связывают- с какой-нибудь опасностью, подстерегающей даже высоконадежные компьютерные системы, так как программы-вирусы специально предназначены для того, чтобы нарушать нормальную работу компьютерных систем. Основными способами проникновения вирусов на ПК является использование непроверенных сменных носителей и получение информации по компьютерным сетям.
Классификация компьютерных вирусов
Вирусы можно разделить на классы по следующим признакам:
1.по среде обитания вируса
2.по способу заражения
3.по деструктивным возможностям (степени нанесения ущерба)
4.по особенностям алгоритма вируса.
По среде обитания все вирусы можно разделить на файловые, загрузочные, сетевые, макро-вирусы и файлово-загрузочные(как комбинация)
Загрузочные вирусы. Эти вирусы поражают обычно сектор начального загрузчика дискеты BR или сектор главного загрузчика винчестера MBR. Заражение винчестера подобным вирусом осуществляется при попытке загрузить систему с зараженной дискеты. Как описывалось в предыдущем модуле, после тестирования оборудования ПК программа начальной загрузки операционной системы из BIOS считывает первый физический сектор загрузочного диска и передает на него управление. В этом случае загрузчик операционной системы с содержащимся в ней вирусом записывается в
53
оперативную память и активизируется. Далее вирус поражает MBR или сектор начального загрузчика логического диска. При заражении диска вирус обычно переписывает содержимое BR или MBR в какой-либо другой сектор диска, а свой код записывает на его место. Так винчестер ПК становится разносчиком загрузочного вируса, способным тиражировать его на все дискеты, вставляемые
вдисковод данного компьютера.
-Файловые вирусы. Вирусы данного типа внедряются в содержимое различных файлов (чаще всего поражаются исполняемые файлы операционных систем). Схема заражения следующая: после запуска зараженного исполняемого файла вирус активизируется в оперативной памяти. Далее вирус инфицирует память компьютера или ищет и поражает незараженные файлы на дисках ПК. При заражении файла вирус переписывает свой код в один из кластеров, принадлежащих исполняемому файлу программы, перемещая первоначальное содержимое кластера в другое место. Так вирус размножается в теле других программ.
-Сетевые вирусы для распространения используют специальные правила взаимодействия компьютеров в сетях (сетевые протоколы). Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Заметим, что через компьютерную сеть вы можете получить файлы, содержащие вирусы различных типов.
-Макро-вирусы. Это программы, написанные на макро-языках, которые встроены в некоторые прикладные приложения (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков, позволяющие вирусу внедрять свой код в другие файлы (документы или шаблоны), и таким образом заражать их. Наибольшее распространение получили макро-вирусы для приложений популярного комплекта MS Office (MS Word, MS Excel, MS Access).
Многие вирусы являются комбинацией вирусов разных типов, например, файлово-загрузочные вирусы. В последнее время появились современные сетевые вирусы, которые объединяют возможности встроенного макро-языка в MS Word, протоколы и особенности электронной почты и функции автозапуска, необходимые для распространения вируса. При своем распространении вирус использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.
Существует ряд опасных программ, не относящихся к вирусам по основным признакам, но способных нанести значительный ущерб пользователю персонального компьютера.
Троянские программы. Так называемые «троянские кони» или «трояны» - это программы, прикрывающиеся под названием известных утилит и уничтожающие информацию на зараженном компьютере при определенных условиях.
Утилиты скрытого администрирования удаленного компьютера
54
после внедрения в ваш ПК позволяют не только передавать хакеру все пароли, но и предоставляют ему полный доступ к ресурсам компьютера.
По способам заражения различают резидентные и нерезидентные вирусы
РЕЗИДЕНТНЫЙ вирус размещает себя или некоторую свою часть в оперативной памяти компьютера, получая возможность перехватывать обращения операционной системы к дискам к файлам. При обращении операционной системы к этим объектам, вирус внедряется в них. Резидентный вирус находится в оперативной памяти я является активным (т.е. способным заражать все новые и новые объекты) вплоть до выключения или перезагрузки компьютера. Резидентными являются все загрузочные вирусы.
Нерезидентный вирус не заражает оперативную память компьютера, то есть не размещает свой код в оперативной памяти. Он является активным только во время работы зараженной программы.
По деструктивным возможностям (степени возможного нанесения ущерба) вирусы можно разделить на:
-безвредные, т.е. не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
-неопасные, действие которых приводит к уменьшению свободного пространства на диске и ограничивается различными «пугающими» графическими или звуковыми эффектами;
-опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
-очень опасные, в алгоритм работы, которых заложены процедуры, способные привести к потере программ, уничтожению данных и информации, записанной в системных областях дисковой памяти.
По особенностям, алгоритма можно выделить следующие группы вирусов:
1.вирусы-«спутники»
2.вирусы в структуре файловой системы
3.стелс-вирусы
4.вирусы-призраки
5.полиморфные и MtE-вирусы
6.макровирусы
Стелс-вирусы способны перехватить обращения операционной системы к зараженным объектам и подставить вместо своего кода незараженные участки информации. Таким образом, создается иллюзия нормальной работы.
Полиморфик-вирусы при размножении модифицируют свой код, чем в значительной степени затрудняют процедуру обнаружения и лечения объектов, зараженных подобным вирусом.
К возможным симптомам вирусного заражения можно отнести:
-замедление работы некоторых программ;
-увеличение размеров файлов (особенно выполняемых);
55
-появление не существовавших ранее «странных» файлов (например, файлов с необычной датой);
-уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы);
-внезапно возникающие разнообразные видео и звуковые эффекты.
Семейства вирусов - это группы из нескольких вирусов. Иногда эти группы насчитывают более десятка представителей.
Вирусам одного семейства или одной группы присуща одна или несколько отличительных черт, которую называют «почерком» , ЛИБО В ЭТИХ вирусах встречается одни и тот же алгоритм, либо одинаковые приемы программирования. Часто все вирусы одного семейства принадлежат одному автору, которым либо постепенно совершенствует свою программу, либо,
используя те же алгоритмы и приемы, пишет новые.
Размер программы измеряется количеством байт, которые она занимает в памяти. По отношению к программам-вирусам применяется термин длина вируса. Она тоже измеряется в байтах, но это не всегда размер всей программывируса.
Длина вируса является важным его свойством, ее необходимо знать при лечении файлов и загрузочных секторов.
Длина вирусов колеблется от очень большой до очень маленькой. Например, существуют вирусы с длиной меньше 100 байт и наряду с ними имеющие значительный размер - более 30 Кб. Но чаще всего дойна вируса находится в диапазоне от 500 до 2000 байт.
Способы защиты от компьютерных вирусов
-Исключение возможности загрузки с непроверенной дискеты. Рекомендуется не помещать непроверенную дискету в дисковод ПК до включения питания. В этом случае вы сможете защитить ваш компьютер от заражения загрузочным вирусом.
-Включение предупреждения любой записи в загрузочный сектор жесткого диска в CMOS BIOS. Если при помощи утилиты CMOS Setup в меню
Advanced BIOS Features разрешить параметр Virus Warning (установить значение параметра Enabled), при попытке записи информации в загрузочный сектор винчестера вы получите предупреждающее сообщение. Это поможет защититься от вирусов, поражающих загрузочный сектор. Заметим, что следует запретить данный параметр перед использованием утилиты fdisk для изменения разделов винчестера и/или перед установкой операционной - системы.
-Предотвращение доступа к дисковой памяти по записи (для дискет). Если вам необходимо только считывать или копировать файлы с вашей дискеты на постороннем компьютере, можно перевести пластмассовый переключатель на обратной стороне дискеты справа в нижнее состояние. При этом откроется окошко, и ваша дискета будет защищена от записи любой информации на нее, в том числе и вирусов.
56
-Резервирование системной области дисков. С помощью специальных утилит можно сохранить образ системной области винчестера на внешних носителях. В этом случае при разрушении данных можно восстановить большую часть данных.
-Резервирование ценной информации на внешних носителях, защищенных от записи.
-Предварительная проверка всех внешних носителей с использованием антивирусных программ.
Типы антивирусных средств
I.Программы детекторы или программы-сканеры.
Это наиболее известный и наиболее распространенный вид антивирусных программ. Они осуществляют поиск известных версий вирусов методом сканирования, т.е. поиском сигнатур вирусов. Поэтому программы-сканеры могут обнаружить только уже известные вирусы, которые были предварительно изучены, и для которых была определена сигнатура.
Использование программ-сканеров не защищает компьютер от новых вирусов. Кроме того, такие программы не могут обнаружить большинство полиморфных вирусов, так как для таких вирусов невозможно определить сигнатуру. Для эффективного использования программ-детекторов, реализующих метод простого сканирования, рекомендуется постоянно обновлять их, получая самые последние версии, так как в них уже будут включены новые типы вирусов.
В последнее время программы-детекторы поставляются со специальными базами данных - сигнатурами вирусов, которые может пополнять сам пользователь. Некоторые сканеры позволяют подключать к своей базе данных внешние файлы - дополнения, содержащие сведения о новых вирусах. В таких случаях достаточно приобретать новые файлы-дополнения к базе для обновления антивирусной программы.
Для компьютеров, подключенных к internet, существует возможность автоматического пополнения базы сигнатур вирусов новыми сигнатурами,
конечно же, при использовании соответствующих антивирусных программ. Программы-сканеры практически не вызывают ложные позитивные
тревоги. Если программа сообщила о заражении, то можно быть уверенным, что это действительно так. Но если сканер не обнаружил вирусы в системе, это означает только то, что в системе нет вирусов, на которые он рассчитан.
Антивирусные программы-сканеры, которые могут удалить обнаруженный вирус, называются полифагами
В последнее время распространяются полифаги, которые кроме простого сканирования в поисках сигнатур вирусов, содержащихся в их вирусной базе, используют еще и эвристический анализ проверяемых объектов на наличие неизвестных вирусов. Они изучают код проверяемых файлов и содержимое загрузочных секторов и пытаются обнаружить в них участки, выполняющие характерные для вирусов действия. Сканеры, использующие эвристический поиск, уже способны обнаружить многие полиморфные и автоматические
57
вирусы, а также некоторые новые неизвестные вирусы (неизвестные самому антивирусу).
2.Программы-мониторы, или резидентные сторожа.
Это целый класс антивирусов, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. С помощью монитора можно остановить распространение вируса на самой ранней стадии.
Их цель - не пропустить вирус на компьютер. И поэтому они контролируют обращение к дискам. При обнаружении «подозрительного» действия программа-монитор, либо блокирует выполнение такого действия до специального разрешения пользователя, либо просто выдает на экран предупреждающее сообщение, либо совершает другие специальные действия.
Рассмотрим наиболее опасные «подозрительных» действий:
– низкоуровневое форматирование диска; Это очень опасная операция. Вызывает потерю всех данных на диске. Если
монитор обнаружит попытку выполнения такой операции, то пользователю необходимо отменить еѐ и проверить компьютер на наличие вирусов;
- запись данных в загрузочные секторы жѐсткого диска.
Если пользователь не форматировал диски, не изменял метку диска и не устанавливал новую версию ОС, го необходимо отменить операцию и проверить компьютер на наличие вирусов;
- запись данных в загрузочный сектор дискеты; Если пользователь не форматировал дискету, не изменял еѐ метку
(команда LABEL), не записывал на дискету ОС (командой SYS или другим способом), необходимо отменить операцию и проверить компьютер на наличие вирусов;
-запись данных в исполняемый файл,
Вслучае, когда монитор сообщает о такой попытке, необходимо обратить внимание на файл, в который выполняется запись. Если это неизменяемый файл, и пользователь уверен в этом, то необходимо отменить операцию и проверить компьютер на наличие вирусов. Но некоторые программы действительно могут записывать в свой выполнимый файл различную информацию, например, свою конфигурацию.
!!!Пользователь должен быть знаком с программным обеспечением своею компьютера.
-Изменение атрибута файла;
Скорее всего это действие вируса. В этом случае пользователь должен проанализировать ситуацию.
Невысокая популярность программ-мониторов объясняется психологическим фактором. Многие программы могут выполнять действия, на которые реагируют мониторы. Большое число запросов мешает пользователю работать. Монитор может «замучить» пользователя, и он его отключит.
Мониторы отнимают время на проверку программ во время их запуска и процесс загрузки программы замедлится. Ещѐ одним недостатком программ-мониторов
58
является то, что они уменьшают объѐм памяти, доступной программам пользователей, ведь он должен резидентно находится в памяти.
Поэтому мониторы необходимо применять в следующих случаях:
-запуск новых программ неизвестного происхождения;
-во время подозрения на вирус:
-некоторое время после удаления вируса для исключения его появления вновь.
В настоящее время фирмы-производители антивирусных средств
поставляют, как правило, целые антивирусные комплексы, а не отдельные программы. В состав многих таких комплексов входят резидентные мониторы. Например, вместе с антивирусным пакетом Antiviral Toolkid Pro (AVP), созданный фирмой КАМИ (Е. Касперский) поставляется резидентный монитор Antiviral Monitor. Он позволяет обнаружить и сообщить обо всех проявлениях, которые могут быть вызваны компьютерными вирусами.
Вкомплект Microsoft Anti-Virus входит резидентный монитор Vsate, позволяющий постоянно контролировать работу компьютера. В состав комплекта Norton Antivirus for Windows входит приложение Norton Antivirus Auto-Protect. Кроме проверки запускаемых файлов "Norton Antivirus AutoProtect выполняет все функции обычного резидентного монитора, позволяя при этом пользователям сделать установки случаев, в которых необходимо сообщать о подозрительном действии.
Большинство распространѐнных ныне мониторов предназначены для контроля за подключаемыми к компьютеру дисками. Такие мониторы освобождают пользователя от необходимости помнить об обязательном сканировании каждого нового диска или дискеты. Монитор открывает доступ к диску, лишь убедившись в его «чистоте».
Впакет антивирусной защиты Dr Solomon's Antivirus Toolkit входит монитор WinGuard, в обязанности которого входит контроль за подключением внешних дисков, выполнением операций с файлами и поведением исполняемых файлов (сканирование файлов при записи).
Программы - ревизоры
Программы-ревизоры первоначально запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, параметры всех контролируемых файлов (иногда только контрольную сумму файлов), информацию о структуре каталогов, номера плохих кластеров диска, иногда - объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры и многое другое.
Для определения наличия вируса в системе программы-ревизоры проверяют созданные ими образы и производят сравнение с текущим состоянием. Если обнаружено изменение - вполне вероятно, что эти изменения произведены вирусом.
Ревизоры могут обнаружить любые вирусы, даже ранее неизвестные. Но для этого необходимо "поставить на учет" заведомо чистые от вирусов возможные объекты нападения. Кроме этого, ревизор не обнаружит вирус,
59
который попал с новым, зараженным уже файлом, так как он "не знает" параметров этого файла до заражения вирусом. Вот когда новый вирус уже заразит другие файлы или загрузочный сектор, он будет обнаружен ревизором. Не сможет ревизор обнаружить вирус, заражающий файлы только при копировании, опять же не имея возможности сравнить параметры файлов. Ревизоры неэффективно использовать для обнаружения вирусов в файлах документов, так как эти файлы очень часто изменяются. Кроме того, следует учитывать, что ревизоры только обнаруживают изменения, но не все изменения связаны с внедрением вируса. Загрузочная запись может измениться при обновлении версии операционной системы, могут измениться командные файлы, некоторые программы могут записывать в свои исполняемые файлы данные, что тоже приводит к изменению файлов, в конце концов, пользователь может просто перекомпилировать свою программу.
В этих случаях у ревизоров один общий недостаток с программамимониторами, пользователь должен хорошо разбираться во всех таких случаях и сам принимать решения – является ли изменение результатом действия вируса или нет. То есть программы-ревизоры не предназначены для рядового пользователя.
Правда, в последнее время ревизоры пополняются базами сигнатур вирусов, и при подозрении на вирус ревизор тут же осуществляет сканирование в поисках вирусов.
Перспективные средства защиты
К перспективным средствам защиты, стоит отнести адаптивные, самообучающиеся и интеллектуальные средства.
Адаптивные средства развиваются уже сейчас. Это средства, которые содержат постоянно пополняемые базы вирусов.
Самообучающееся средство должно при обнаружении неизвестного ему вируса автоматически его проанализировать и добавить к списку вирусов, с которыми может успешно бороться.
Интеллектуальные средства защиты основаны на определении алгоритма и спецификации программы по ее коду, и, следовательно, возможности выявления программ, осуществляющих несанкционированные действия. Известны попытки создания интеллектуальных программ-мониторов, которые пытаются различать ложные тревоги, но пока, к сожалению, это приводит к снижению их надежности.
Как показывает теория и подтверждает практика, создание универсальных средств, которые способны противостоять абсолютно всем вирусам, невозможно.
Практически известно, что дня любого вируса можно создать антивирус, но не для любого антивируса можно создать вирус, обходящий его.
Программа Проверка диска (ScanDisk).
60