3.11.3. Восстановление файлов

В подавляющем большинстве случаев восстановление зараженных файлов является достаточно сложной процедурой, которую невозможно произвести "руками" без необходимых знаний — форматов выполняемых файлов, языка Ассемблера и т. д. К тому же обычно зараженными на диске оказываются сразу несколько десятков или сотен файлов и для их обезвреживания необходимо разработать собственную программу-антивирус (можно также воспользоваться возможностями редактора антивирусных баз из комплекта AVP версий 2.х).

При лечении файлов следует учитывать следующие правила:

— необходимо протестировать и вылечить все выполняемые файлы (СОМ, ЕХЕ, SYS, оверлеи) во всех каталогах всех дисков вне зависимости от атрибутов файлов (т. е. файлы read-only, системные и скрытые);

— желательно сохранить неизменными атрибуты и дату последней модификации файла;

— необходимо учесть возможность многократного поражения файла вирусом ("бутерброд" из вирусов).

Само лечение файла производится в большинстве случаев одним из нескольких стандартных способов, зависящих от алгоритма размножения вируса. В большинстве случаев это сводится к восстановлению заголовка файла и уменьшению его длины.

3.11.4. Дезактивация оперативной памяти

Процедура дезактивации памяти, как и лечение зараженных файлов, требует некоторых знаний об операционной системе и обязательного знания языка Ассемблер.

При лечении оперативной памяти следует обнаружить коды вируса и изменить их таким образом, чтобы вирус в дальнейшем не мешал работе антивирусной программы, — "отключить" подпрограммы заражения и "стеле". Для этого требуется полный анализ кода вируса, так как процедуры заражения и "стеле" могут располагаться в различных участках вируса, дублировать друг друга и получать управление при различных условиях.

В большинстве случаев для дезактивации памяти достаточно "обрубить" прерывания, перехватываемые вирусом: INT 21h — в случае файловых вирусов и INT 13h — в случае загрузочных (существуют, конечно, вирусы, перехватывающие другие прерывания или несколько прерываний). Например, если вирус заражает файлы при их открытии, то это может выглядеть примерно так:

При дезактивации TSR-копии вируса необходимо помнить, что вирус может предпринимать специальные меры для восстановления своих кодов (например, некоторые вирусы семейства Yankee восстанавливают их при помощи методов помехозащищенного кодирования), и в этом случае придется нейтрализовать и механизм самовосстановления вируса. Некоторые вирусы, кроме того, подсчитывают CRC своей резидентной копии и перезагружают компьютер или стирают сектора диска, если CRC не совпадает с оригинальным значением. В этом случае необходимо "обезвредить" также и процедуру подсчета CRC.

См книгу D:\Документы\Тема\Книги\Security\Protection_to_information

DNS (Domain Name System) - доменная система имён - система, устанавливающая связь доменных адресов c ... - адресами. IP

FTP - это имя протокола сети, обслуживающего прием и передачу файлов

HTML - это язык разметки гипертекстовых документов

HTTP - это имя протокола сети, обслуживающего прием и передачу гипертекста

Internet Explorer является ... встроенным браузером ОС Windows

IP-адрес, назначаемый автоматически при подключении устройства к сети и используемый до завершения сеанса подключения, называется ..динамическим.

IRC и ICQ являются ..средствами общения on-line .

WWW явлется ... Интернет-сервисом, представляющим собой систему Web-серверов

Аббревиатура IRC означает ... ретранслируемый Интернет-чат

Аббревиатура имени протокола передачи гипертекстовых документов в Интернет имеет вид ... http

Алгоритмы шифрования бывают ... симметричные асимметричные

Алгоритмы шифрования бывают ..с использованием хэш-функций .

В адресе URL: http://www.if-art.com/pgallery/aperson.html часть: www.if-art.com указывает на доменное имя сервера ...

В адресе электронной почты: student@mail.ru именем почтового ящика является ... student

В локальных вычислительных сетях в качестве передающей среды используются:

Гиперссылкой в Web-документе является ... объект, содержащий адрес Web-страницы или файла

Двоичная запись IP-адреса состоит из ... четырех байтов

Из списка к административным доменам первого уровня относятся: com net gov edu

Из списка к географическим доменам первого уровня относятся: uk ua ru de

Именем поисковой системы Internet является ... Google

Интернет-браузером называется ... программа для доступа к ресурсам в Интернет и отображения Web-страниц

Информационная или рекламная рассылка, автоматически рассылаемая по списку, без предварительной подписки называется ... спамом

К браузерам относится ... Internet Explorer Opera

Комбинация стандартов, топологий и протоколов для создания работоспособной сети называется ... сетевой архитектурой

Криптосистемой является ... семейство обратимых преобразований открытого текста в шифрованный

Место на сервере, где хранится сообщение электронной почты, пока его не запросит получатель, называется ... электронным почтовым ящиком

Методы шифрования с открытым ключом для шифрования и расшифровывания документов используют ... два разных ключа: открытый и закрытый

На этапе формирования цифровой подписи создает(ют)ся ..два ключа: секретный и открытый .

Недостатками витой пары проводов являются:

По сравнению с другими типами кабелей оптоволоконный:

Преимуществами централизованной структуры вычислительных сетей перед архитектурой «клиент - сервер» являются: простота администрирования высокая информационная безопасность

Распределённые вычисления в компьютерных сетях основаны на архитектуре клиент - сервер ...

Режимами передачи данных по каналам связи являются: полудуплексный симплексный дуплексный

Результатом реализации угроз информационной безопасности может быть ... перехват данных по каналам связи

Результатом реализации угроз информационной безопасности может быть ... внедрение дезинформации

Серверными операционными системами являются: UNIX Windows 2000 Server Novell Netware

Сетевой архитектурой является ... Ethernet

Сетевой протокол для удалённого доступа к компьютеру с помощью командного интерпретатора называется ... Telnet

Сетевыми кабелями, имеющими скорость передачи более 100 Кбит/сек. Являются: коаксиальный оптоволоконный

Системой, автоматически устанавливающей связь между IP-адресами в сети Интернет и текстовыми именами, является ... доменная система имен (DNS)

Типами компьютерных сетей являются сети: одноранговые и на основе сервера

Топология с последовательным обслуживанием узлов сети ..кольцо .

Уникальным числовым идентификатором компьютера, подключённого к локальной сети или Интернету, является ... IP-адрес

Унифицированный указатель на ресурс - URL (например, «http://ru.wikipedia.org/wiki/Заглавная_страница») - содержит ... имя протокола доступа к ресурсу

Унифицированный указатель на ресурс - URL (например, «http://ru.wikipedia.org/wiki/Заглавная_страница») - содержит ..имя протокола доступа к ресурсу .

Устройством, соединяющим две сети, использующие одинаковые методы передачи данных, является ... мост

Формой написания IP-адреса является запись вида: ххх.ххх.ххх.ххх,где ххх - это ... десятичные числа от 0 до 255

Целями использования компьютерных сетей являются: совместное использование ресурсов обеспечение надежности с помощью альтернативных источников информации масштабируемость

Цифровая подпись обеспечивает ... невозможность отказа от авторства удостоверение источника документа защиту от изменений документа

Часть адреса http://www.osp.ru/archlit/77.htm, являющаяся адресом host-компьютера ... www.osp.ru

Частью адреса http://www.inga.rsu.ru, обозначающей домен первого уровня, является ... ru

Шлюз служит для: подключения локальной сети к глобальной

Электронная цифровая подпись устанавливает ... авторство документа

Эталонная модель взаимодействия открытых систем OSI имеет ..7. уровней.

полносвязной