- •Кременчуцький державний університет
- •Укладачі: д.Т.Н., проф. М.І. Гученко, асист. О.Г. Славко, асист. П.П. Костенко
- •Перелік лабораторних робіт Лабораторна робота № 5
- •Короткі теоретичні відомості
- •Хід роботи
- •1. Сканування папок на наявність вірусів:
- •2. Оновлення антивірусної бази:
- •Варіанти завдань
- •Контрольні питання
- •Лабораторна робота № 6
- •Короткі теоретичні відомості
- •Хід роботи
- •Варіанти завдань до роботи
- •Контрольні питання
- •Лабораторна робота № 7
- •Короткі теоретичні відомості
- •Хід роботи
- •Контрольні питання
- •Лабораторна робота № 8
- •Короткі теоретичні відомості
- •Хід роботи
- •Контрольні питання:
- •Список літератури
- •Укладачі: д.Т.Н., проф. М.І. Гученко, асист. О.Г. Славко, асист. П.П. Костенко
- •39600, М. Кременчук, вул. Першотравнева, 20
Перелік лабораторних робіт Лабораторна робота № 5
Тема. Комп'ютерні віруси та антивірусні програми
Мета: освоїти навички виявлення та розпізнавання вірусів, отримати практичні навички боротьби з ними, навчитися захищати ПК від різного роду прояву та зараження вірусними програмами.
Короткі теоретичні відомості
Комп'ютерний вірус – це спеціально написана невелика за розміром програма, яка може "приписувати" себе до інших програм (тобто "заражати" їх), а також виконувати різні небажані дії на комп'ютері. Програма, усередині якої знаходиться вірус, називається "зараженою". Коли така програма починає роботу, то керування спочатку отримує вірус. Вірус знаходить і "заражає" інші програми, а також виконує які-небудь шкідливі дії (наприклад, псує файли або FAT-таблицю, "засмічує" оперативну пам'ять і т. д.). Для маскування вірусу дії із зараження інших програм і нанесенню шкоди можуть виконуватися не завжди, а при виконанні певних умов. Після того, як вірус виконає потрібні йому дії, він передає керування тій програмі, у якій він знаходиться, і вона працює так само, як завжди. Тим самим ззовні робота зараженої програми виглядає аналогічно роботі незараженої.
Комп'ютерний вірус може зіпсувати, тобто змінити неналежним чином, будь-який файл на наявних у комп'ютері дисках. Але деякі види файлів вірус може "заразити". Це означає, що вірус може "впровадитися" в ці файли, тобто змінити їх так, що вони міститимуть вірус, який при деяких обставинах може почати свою роботу.
Прояв наявності вірусу в роботі на ПЕВМ
Усі дії вірусу можуть виконуватися достатньо швидко та без видачі яких-небудь повідомлень, тому користувачеві дуже важко помітити, що в комп'ютері відбувається щось незвичайне.
Деякі ознаки зараження:
– деякі програми перестають працювати або починають працювати неправильно;
– на екран виводяться сторонні повідомлення, символи і т.д.;
– робота на комп'ютері істотно сповільнюється;
– деякі файли виявляються зіпсованими;
– операційна система не завантажується;
– зміна дати і часу модифікації файлів;
– зміна розмірів файлів;
– значне збільшення кількості файлів на дисках;
– істотне зменшення розміру вільної оперативної пам'яті й т.д.
Деякі види вірусів спочатку непомітно заражають велике число програм або дисків, а потім заподіюють дуже серйозні пошкодження, наприклад, форматують весь твердий диск на комп'ютері. Інші віруси прагнуть поводитися якомога більш непомітно, але потроху поступово псують дані на твердому диску.
Таким чином, якщо не вживати заходів щодо захисту від вірусу, то наслідки зараження комп'ютера можуть бути дуже серйозними.
Різновиди комп'ютерних вірусів
Віруси класифікують за середовищем існування та за способом дії. За місцем існування віруси поділяють на наступні види:
– файлові віруси, які проникають головним чином у файли з розширенням exe, com, bat, але можуть розповсюджуватися і через файли документів;
– завантажувальні, які проникають у завантажувальний сектор диска або в сектор, що містить програму завантаження системного диска;
– макровіруси, які заражають файли-документи і шаблони документів Word і Excel;
– мережеві, розповсюджуються по комп'ютерній мережі.
За способом дії (особливостям алгоритму) віруси вирізняються великою різноманітністю. Відомі віруси-паразити, віруси-черв'яки, віруси-невидимки (стелс-вируси), віруси-примари (віруси-мутанти), компаньйон-віруси, троянські коні та ін.
Найчастіше зустрічаються віруси, що заражають exe-файли. Деякі віруси заражають і файли, і завантажувальні області дисків.
Щоб запобігти своєму виявленню, деякі віруси застосовують досить хитрі прийоми маскування. Розглянемо "невидимі" віруси, що самомодифікуються.
"Невидимі" віруси. Багато резидентних вірусів (резидентний вірус при інфікуванні комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження та проникає в них), і файлові, і завантажувальні, запобігають своєму виявленню тим, що перехоплюють звернення операційної системи до заражених файлів і областей диска та видають їх у початковому (незараженому) вигляді. Зрозуміло, цей ефект спостерігається тільки на зараженому комп'ютері – на "чистому" комп'ютері зміни у файлах і завантажувальних областях диска можна легко виявити.
Віруси, що самомодифікуються. Інший спосіб, який використовується вірусами для того, щоб сховатися від виявлення, – модифікація свого тіла. Багато вірусів зберігають велику частину свого тіла в закодованому вигляді, щоб за допомогою дизасемблерів не можна було розібратися в механізмі їх роботи. Віруси, що самомодифікуються, використовують цей прийом і часто змінюють параметри цього кодування, а крім того, змінюють і свою стартову частину, яка слугує для декодування решти команд вірусу. Таким чином, у тілі подібного вірусу немає жодної постійної послідовності байтів, за якою можна було б ідентифікувати вірус. Це, звичайно, ускладнює знаходження таких вірусів програмами-детекторами.
Методи захисту від комп'ютерних вірусів
Яким би не був вірус, користувачеві необхідно знати основні методи захисту від комп'ютерних вірусів.
Для захисту від вірусів можна використовувати:
– загальні засоби захисту інформації, які корисні також і як страховка від фізичного псування дисків, неправильно працюючих програм або помилкових дій користувача;
– профілактичні заходи, що дозволяють зменшити ймовірність зараження вірусом;
– спеціалізовані програми для захисту від вірусів.
Загальні засоби захисту інформації корисні не лише для захисту від вірусів. Є два основні різновиди цих засобів:
– копіювання інформації – створення копій файлів і системних областей дисків;
– розмежуванню доступу запобігає несанкціоноване використання інформації, зокрема, захист від змін програм і даних вірусами, неправильно працюючими програмами і помилковими діями користувачів.
Не дивлячись на те, що загальні засоби захисту інформації дуже важливі для захисту від вірусів, усе ж таки їх недостатньо. Необхідне застосування спеціалізованих програм для захисту від вірусів. Ці програми можна розділити на декілька видів: детектори, доктори (фаги), ревізори, доктори-ревізори, фільтри і вакцини (імунізатори).
Програми-детектори дозволяють виявляти файли, заражені одним з декількох відомих вірусів. Ці програми перевіряють, чи є у файлах на вказаному користувачем диску специфічна для даного вірусу комбінація байтів. Така комбінація називається сигнатурою. При її виявленні в якому-небудь файлі на екран виводиться відповідне повідомлення. Багато детекторів мають режими лікування або знищення заражених файлів. Слід підкреслити, що програми-детектори можуть виявляти тільки ті віруси, які їй "відомі".
Таким чином, з того, що програма не пізнається детекторами як заражена, не випливає, що вона здорова – у ній можуть сидіти який-небудь нову віруси або злегка модифікована версія старого вірусу, невідомі програмам-детекторам.
Програми-ревізори мають дві стадії роботи. Спочатку вони запам'ятовують зведення про стан програм і системних областей дисків (завантажувального сектора та сектора з таблицею розбиття твердого диска). Передбачається, що у цей момент програми і системні області дисків не заражені. Після цього за допомогою програми-ревізора можна у будь-який момент порівняти стан програм і системних областей дисків з початковим. Про виявлені невідповідності повідомляється користувачеві.
Багато програм-ревізорів є досить "інтелектуальними" – вони можуть відрізняти зміни у файлах, викликані, наприклад, переходом до нової версії програми, від змін, що вносяться вірусом, і не піднімають помилкової тривоги. Річ у тому, що віруси зазвичай змінюють файли досить специфічним чином і проводять однакові зміни в різних програмних файлах. Зрозуміло, що в нормальній ситуації такі зміни практично ніколи не зустрічаються, тому програма-ревізор, зафіксувавши факт таких змін, може з упевненістю повідомити, що вони викликані саме вірусом.
Програми-фільтри, які розташовуються резидентно в оперативній пам'яті комп'ютера та перехоплюють ті звернення до операційної системи, які використовуються вірусами для розмноження та нанесення шкоди, і повідомляють про них користувачеві. Користувач може дозволити або заборонити виконання відповідної операції.
Деякі програми-фільтри не "ловлять" підозрілі дії, а перевіряють програми, що викликаються на виконання, на наявність вірусів. Це викликає уповільнення роботи комп'ютера.
Проте переваги використання програм-фільтрів досить значущі – вони дозволяють виявити багато вірусів на найбільш ранній стадії.
Програми-вакцини, або імунізатори, модифікують програми і диски таким чином, що це не відображається на роботі програм, але той вірус, від якого проводиться вакцинація, уважає ці програми або диски вже зараженими. Ці програми неефективні.
Жоден тип антивірусних програм окремо не дає повного захисту від вірусів. Кращою стратегією захисту від вірусів є багаторівнева, "ешелонована" оборона. Розглянемо структуру цієї оборони.
Засобам розвідки в "обороні" від вірусів відповідають програми-детектори, що дозволяють перевіряти знову отримане програмне забезпечення на наявність вірусів.
На передньому краю оборони знаходяться програми-фільтри. Ці програми можуть першими повідомити про роботу вірусу і запобігти зараженню програм і дисків.
Другий ешелон оборони складають програми-ревізори, програми-доктори і доктори-ревізори.
Найглибший ешелон оборони – це засоби розмежування доступу. Вони не дозволяють вірусам і неправильно працюючим програмам, навіть якщо вони проникли до комп'ютера, зіпсувати важливі дані. У "стратегічному резерві" знаходяться архівні копії інформації. Це дозволяє відновити інформацію при її пошкодженні.
Отже, одним з основних методів боротьби з вірусами є своєчасна профілактика їх появи і розповсюдження. Тільки комплексні профілактичні заходи захисту забезпечують захист від можливої втрати інформації. До комплексу таких заходів входять:
1. Реґулярна архівація інформації (створення резервних копій важливих файлів і системних областей вінчестера).
2. Використання тільки ліцензійних дистрибутивних копій програмних продуктів.
3. Систематична перевірка комп'ютера на наявність вірусів. Комп'ютер повинен бути оснащений ефективним реґулярно використовуваним пакетом антивірусних програм, що постійно оновлюється. Для забезпечення більшої безпеки слід застосовувати паралельно декілька антивірусних програм.
4. Здійснення вхідного контролю нового програмного забезпечення, дискет, дисків тощо. При перенесенні на комп'ютер файлів у вигляді, що архівується, після розпаковування їх також необхідно перевіряти.
5. При роботі на інших комп'ютерах завжди потрібно захищати свої носії від запису в тих випадках, коли на них не планується запис інформації.
6. При пошуку вірусів слід використовувати свідомо чисту операційну систему, завантажену з дискети.
7. При роботі в мережі необхідно використовувати антивірусні програми для вхідного контролю всіх файлів, що отримуються з комп'ютерних мереж. Ніколи не слід запускати неперевірені файли, отримані через комп'ютерні мережі.
Сучасні технології антивірусного захисту дозволяють захистити від вірусу файлові сервери, поштові сервери та сервери додатків. Наприклад, антивірус Касперського для захисту файлових серверів дозволяє виявити і нейтралізувати всі типи шкідливих програм на файлових серверах і серверах додатків, що працюють під керуванням ОС Solaris, включаючи "троянські" програми, Java і ACTIVEX-аплети.
До складу антивірусу Касперського для захисту файлових серверів входять:
– антивірусний сканер, що здійснює антивірусну перевірку всіх доступних файлових систем на наявність вірусів за вимогою користувача. Перевіряються зокрема файли, що архівуються і стислі;
– антивірусний демон, що є різновидом антивірусного сканера з оптимізованою процедурою завантаження антивірусних баз у пам'ять, здійснює перевірку даних у масштабі реального часу;
– ревізор змін, Kaspersky Inspector, відслідковує всі зміни, що відбуваються у файлових системах комп'ютера. Модуль не вимагає оновлень антивірусної бази: контроль здійснюється на основі зняття контрольних сум файлів (CRC сум) та їх подальшого порівняння з даними, отриманими після зміни файлів.
Комбіноване використання цих модулів дозволяє створити антивірусний захист, що найточніше відповідає системним вимогам.
Антивірус Касперського забезпечує повномасштабний централізований антивірусний захист поштових систем.
Перевірці на наявність вірусів піддаються всі елементи електронного листа – тіло, прикріплені файли (зокрема архівовані та компресовані), упроваджені OLE-об'єкти, повідомлення будь-якого рівня вкладеності. Виявлені підозрілі або інфіковані об'єкти можуть бути вилікувані, видалені, перейменовані, або розміщені в заздалегідь визначену карантинну директорію для подальшого аналізу.
Щоденне оновлення бази вірусних сиґнатур, автоматично реалізується через Інтернет за допомогою спеціального вбудованого модуля та забезпечує високий рівень детектування комп'ютерних вірусів.