- •Литература
- •Тема 1. Общие принципы организации и функционирования компьютера
- •1.1. Архитектура и структура эвм. Принципы построения компьютеров
- •1.2. Аппаратные средства. Функции основных блоков эвм.
- •1.3. Устройство персонального компьютера
- •Тема 2. Вычислительные и логические возможности эвм.
- •2.1. Представление числовой информации в эвм
- •2.2. Представление произвольной информации в эвм
- •2.3. Логические основы построения эвм
- •Тема 3. Системное программное обеспечение пк
- •3.1. Структура программного обеспечения
- •3.2. Функции операционной системы
- •3.3. Операционные системы Windows
- •3.4. Объектно-ориентированная платформа
- •3.5. Пользовательский графический интерфейс ос Windows
- •Окно рабочего стола
- •Тема 4. Прикладное программное обеспечение пк
- •4.1. Стандартные прикладные Windows-приложения
- •4.2. Классификация и основные особенности пакетов прикладных программ
- •4.3. Текстовые процессоры
- •4.4. Табличные процессоры
- •4.5. Системы управления базами данных (субд)
- •1. Централизация хранения данных.
- •2. Общий интерфейс между пользователем и бд.
- •3. Концепция администратора бд.
- •4.6. Система автоматизации научно-исследовательских работ MathCad
- •Тема 5. Компьютерные сети
- •5.1. Назначение и классификация компьютерных сетей
- •2. По типу организации передачи данных
- •3. По структуре построения (топологии).
- •Тема 6. Internet
- •6.1. Краткие сведения
- •6.2. Основные возможности internet
- •6.2.1. Передача файлов ( протокол ftp)
- •6.2.2. Глобальные гипертекстовые структуры (www)
- •6.2.3. Электронная почта (e-mail)
- •6.2.4. Сетевые новости (usenet news)
- •6.3. Программа Microsoft Internet Explorer
- •Тема 7. Защита информации
- •7.1. Средства обеспечения информационной безопасности
- •7.2. Компьютерные вирусы
7.2. Компьютерные вирусы
Компьютерный вирус – это специально написанная короткая программа для того, чтобы затруднить, исказить или исключить обработку информации на ПЭВМ одним или многим пользователями.
О влиянии вирусов на компьютерную обработку информации свидетельствует следующий факт. В 1989 г. аспирант университета США Р. Морис создал первую программу-вирус, которая была запущена в компьютерную сеть Министерства обороны и вывела из строя программное обеспечение более 6000 ЭВМ.
7.2.1. Классификация вирусов. Вирусы можно разделить на классы по следующим основным признакам:
- среда обитания;
- операционная система (ОС);
- особенности алгоритма работы;
- деструктивные возможности.
В зависимости от среды обитания вирусы можно разделить на: файловые; загрузочные; макровирусы; сетевые.
Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (вирусы-компаньоны), либо используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают себя или в загрузочный сектор диска (boot-сектор), или в сектор, содержащий системный загрузчик винчестера (Master Boot Record), или меняют указатель на активный boot-сектор.
Макровирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Имеется большое количество сочетаний, например файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют "стелc-" и полиморфик-технологии. Другой пример такого сочетания – сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Среди особенностей алгоритма работы вирусов выделяются следующие: резидентность; использование "стелс"-алгоритмов; самошифрование и полиморфичность; применение нестандартных приемов.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки ОС. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
Использование "стелc"-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным "стелс"-алгоритмом является перехват запросов ОС на чтение-запись зараженных объектов и затем "стелс"-вирусы либо временно лечат их, либо подставляют вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых "стелс"-вирусов — вирус Frodo, первый загрузочный "стелс"-вирус — Brain.
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру обнаружения вируса. Полиморфик-вирусы (polymorphic) достаточно трудно поддаются обнаружению; они не имеют сигнатур, т. е. не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса.
По деструктивным возможностям (наносимый вред) вирусы разделены на:
безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
очень опасные – в алгоритм их работы заведомо заложены процедуры, которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.
Возможные воздействия вирусов:
• появление на экране надписей и рисунков, мешающих работе пользователя и повышающих его нервное напряжение;
• случайное или целенаправленное изменение данных и программ;
• уничтожение данных и программ;
• разрушение технических средств ПЭВМ.
Только перечень общих воздействий вирусов на ПЭВМ свидетельствует о необходимости больших затрат (интеллектуальных, административных и материальных) на борьбу с компьютерными вирусами.
Если в ПЭВМ побывает зараженная дискета, то это еще не означает, что ПЭВМ будет обязательно заражена вирусом. Заражение, как правило, происходит в случаях, когда:
• была установлена зараженная операционная система или драйвер периферийного устройства;
• выполнялся зараженный файл типа соm или ехе;
• выполнялся оверлейный файл (файл, загруженный при выполнении другой программы).
Наиболее типичными признаками заражения ПЭВМ вирусом являются:
• изменение длины и атрибутов файлов;
• пропажа файлов или появление новых;
• загрузка известной программы, которая идет медленнее, чем обычно или она не загружается вовсе;
• существенное замедление выполнения программы;
• слишком частые обращения к НГМД;
• частое "зависание" ПЭВМ;
• появление на экране различных пятен, осыпающихся символов и др.
Любой случай непонятного диалога с ПЭВМ нельзя оставлять без внимания.
7.3.2. Средства защиты от вирусов. Антивирусные программы делятся на несколько видов:
1. Программы-детекторы обнаруживают файлы, зараженные вирусами. К числу таких программ относятся:
• Aids Test Д. Лозинского, программы которого обновляются 2–3 раза в месяц, номер версии программы соответствует числу обнаруживаемых вирусов;
• АVSР А. Борисова, обновляется один раз в полгода, имеет способность обучаться распознаванию новых вирусов;
• АVР Е. Касперского, обновляется ежемесячно;
• Vir Scan (IВМ) и Scan (фирма McAfee Associates).
Если детектор вирус не обнаруживает, это еще не значит, что его в ПЭВМ нет.
2. Программы-ревизоры запоминают первичное состояние файлов (длину, контрольную сумму и др.), а затем при работе сравнивают рабочие характеристики файлов с исходными и делают вывод о возможном заражении файлов.
Примеры ревизоров:
• А Dinf Д. Мостового;
• А Dinf Cure Module Д. Мостового, В. Ладыгина, Д. Зуева;
• LOOKCMD;
• FSP.
3. Программы-доктора, "лечащие" зараженные файлы, то есть приводящие файлы в состояние, которое было до заражения вирусом. Такими являются совмещающие несколько функций программы Аids Тest, АVSР, АVР, А Dinf, А Dinf Сure Моdule, а также программа Doctor Web И. Данилова, которая эффективно обнаруживает и "лечит" не только известные, но и новые вирусы, обновляется раз в месяц.
4. Программы-фильтры располагаются резидентно в оперативной памяти и перехватывают обращения к операционной системе, которые вирусы используют для размножения и нанесения вреда. К таким программам относятся Disk Monitor, FSP, Vacine, Antivirus.
Перечислим действия пользователей при обнаружении заражённых файлов. Если имеются резервные копии в виде архивных файлов, то можно уничтожить все зараженные или подозреваемые в заражении файлы. При невозможности применить эти меры целесообразно выполнить следующие действия:
• выключить ПЭВМ и отключить все коммуникации;
• установить защиту от записи на все носители информации ПЭВМ;
• перезагрузить операционную систему с эталонной и защищенной от записи дискеты;
• запустить антивирусную программу-фильтр;
• скопировать зараженные файлы или весь носитель на новый;
• использовать новый носитель для обнаружения и уничтожения вируса с помощью программ-детекторов и докторов;
• использовать необходимые антивирусные программы для уничтожения вируса на рабочем носителе, если тип вируса распознан на новом носителе;
• обратиться к специалистам, если вирус не найден.
Чтобы избежать или, во всяком случае, снизить вероятность заражения вирусом, следует применить такие меры:
• использовать при работе программы-фильтры всегда, когда это возможно;
• установить защиту от записи на дискеты с файлами, которые не нужно изменять;
• проверять чужие дискеты с помощью программ-детекторов;
• архивировать файлы, которые изменялись, перед архивацией использовать программы-детекторы;
• обновлять периодически и применять систематически применять свои антивирусные программы.
Хотя предотвратить заражение вирусами ПЭВМ, включенную в локальную и глобальную компьютерную сеть, достаточно трудно, однако, применяя различные способы защиты информации, можно значительно снизить вероятность заражения вирусом и эффективно "вылечить" свою ПЭВМ.