- •Классификация именований вирусов по «Доктор Веб»
- •2.1. Файловые вирусы
- •2.1.1. Overwriting-вирусы
- •2.1.2. Parasitic-вирусы
- •2.1.3. Companion-вирусы
- •2.1.4. Link-вирусы
- •2.1.5. Файловые черви
- •2.1.7. Алгоритм работы файлового вируса
- •2.1.8. Особые случаи
- •2. 2. Загрузочные вирусы
- •2.3 Макровирусы
- •2.3.1. Word-, Excel-, Office 97-вирусы
- •2.3.2. Алгоритм работы Word-макровирусов
- •2.3.3. Алгоритм работы Excel-макровирусов
- •2.3.4. AmiPro-вирусы
- •2.4. Сетевые вирусы
- •2.5. Прочие вредные программы
- •2.5.1. "Троянские кони" (логические бомбы)
- •2.5.2. Intended-вирусы
- •2.5.3. Конструкторы вирусов
- •2.5.4. Полиморфные генераторы
- •2.6. Резидентные вирусы
- •2.6.2. Загрузочные вирусы
- •2.6.3. Windows-вирусы
- •2.6.4. Макровирусы
- •2.7. "Стелс"-вирусы
- •2.7.1. Загрузочные вирусы
- •2.7.2. Файловые вирусы
- •2.7.3. Макровирусы
- •2.8. Полиморфик-вирусы
- •2.8.1. Полиморфные расшифровщики
- •2.8.2. Уровни полиморфизма
- •2.8.3. Изменение выполняемого кода
- •Глава 3 Методы обнаружения и удаления компьютерных вирусов
- •3.1 Профилактика заражения компьютера
- •3.2. Откуда берутся вирусы
- •3.2.1. Глобальные сети — электронная почта
- •3.2.2. Электронные конференции, файл-серверы ftp и bbs
- •3.2.3. Локальные сети
- •3.2.4. Пиратское программное обеспечение
- •3.2.5. Персональные компьютеры общего пользования
- •3.2.6. Ремонтные службы
- •3.3. Основные правила защиты
- •3.4.2. Типы антивирусов
- •3.4.3. Антивирусные программы, наиболее известные в России
- •3.4.4. Методика использования антивирусных программ
- •3.5. Обнаружение неизвестного вируса
- •3.6. Обнаружение загрузочного вируса
- •3.7. Обнаружение файлового вируса
- •3.8. Обнаружение макровируса
- •3.9. Обнаружение резидентного вируса
- •3.9.2. Windows-вирусы
- •3.10. Анализ алгоритма вируса
- •3.11. Восстановление пораженных объектов
- •3.11.1. Восстановление файлов-документов и таблиц
- •3.11.2. Восстановление загрузочных секторов
- •3.11.3. Восстановление файлов
- •3.11.4. Дезактивация оперативной памяти
3.11.3. Восстановление файлов
В подавляющем большинстве случаев восстановление зараженных файлов является достаточно сложной процедурой, которую невозможно произвести "руками" без необходимых знаний — форматов выполняемых файлов, языка Ассемблера и т. д. К тому же обычно зараженными на диске оказываются сразу несколько десятков или сотен файлов и для их обезвреживания необходимо разработать собственную программу-антивирус (можно также воспользоваться возможностями редактора антивирусных баз из комплекта AVP версий 2.х).
При лечении файлов следует учитывать следующие правила:
— необходимо протестировать и вылечить все выполняемые файлы (СОМ, ЕХЕ, SYS, оверлеи) во всех каталогах всех дисков вне зависимости от атрибутов файлов (т. е. файлы read-only, системные и скрытые);
— желательно сохранить неизменными атрибуты и дату последней модификации файла;
— необходимо учесть возможность многократного поражения файла вирусом ("бутерброд" из вирусов).
Само лечение файла производится в большинстве случаев одним из нескольких стандартных способов, зависящих от алгоритма размножения вируса. В большинстве случаев это сводится к восстановлению заголовка файла и уменьшению его длины.
3.11.4. Дезактивация оперативной памяти
Процедура дезактивации памяти, как и лечение зараженных файлов, требует некоторых знаний об операционной системе и обязательного знания языка Ассемблер.
При лечении оперативной памяти следует обнаружить коды вируса и изменить их таким образом, чтобы вирус в дальнейшем не мешал работе антивирусной программы, — "отключить" подпрограммы заражения и "стеле". Для этого требуется полный анализ кода вируса, так как процедуры заражения и "стеле" могут располагаться в различных участках вируса, дублировать друг друга и получать управление при различных условиях.
В большинстве случаев для дезактивации памяти достаточно "обрубить" прерывания, перехватываемые вирусом: INT 21h — в случае файловых вирусов и INT 13h — в случае загрузочных (существуют, конечно, вирусы, перехватывающие другие прерывания или несколько прерываний). Например, если вирус заражает файлы при их открытии, то это может выглядеть примерно так:
При дезактивации TSR-копии вируса необходимо помнить, что вирус может предпринимать специальные меры для восстановления своих кодов (например, некоторые вирусы семейства Yankee восстанавливают их при помощи методов помехозащищенного кодирования), и в этом случае придется нейтрализовать и механизм самовосстановления вируса. Некоторые вирусы, кроме того, подсчитывают CRC своей резидентной копии и перезагружают компьютер или стирают сектора диска, если CRC не совпадает с оригинальным значением. В этом случае необходимо "обезвредить" также и процедуру подсчета CRC.
См книгу D:\Документы\Тема\Книги\Security\Protection_to_information
DNS (Domain Name System) - доменная система имён - система, устанавливающая связь доменных адресов c ... - адресами. IP
FTP - это имя протокола сети, обслуживающего прием и передачу файлов
HTML - это язык разметки гипертекстовых документов
HTTP - это имя протокола сети, обслуживающего прием и передачу гипертекста
Internet Explorer является ... встроенным браузером ОС Windows
IP-адрес, назначаемый автоматически при подключении устройства к сети и используемый до завершения сеанса подключения, называется ..динамическим.
IRC и ICQ являются ..средствами общения on-line .
WWW явлется ... Интернет-сервисом, представляющим собой систему Web-серверов
Аббревиатура IRC означает ... ретранслируемый Интернет-чат
Аббревиатура имени протокола передачи гипертекстовых документов в Интернет имеет вид ... http
Алгоритмы шифрования бывают ... симметричные асимметричные
Алгоритмы шифрования бывают ..с использованием хэш-функций .
В адресе URL: http://www.if-art.com/pgallery/aperson.html часть: www.if-art.com указывает на доменное имя сервера ...
В адресе электронной почты: student@mail.ru именем почтового ящика является ... student
В локальных вычислительных сетях в качестве передающей среды используются:
Гиперссылкой в Web-документе является ... объект, содержащий адрес Web-страницы или файла
Двоичная запись IP-адреса состоит из ... четырех байтов
Из списка к административным доменам первого уровня относятся: com net gov edu
Из списка к географическим доменам первого уровня относятся: uk ua ru de
Именем поисковой системы Internet является ... Google
Интернет-браузером называется ... программа для доступа к ресурсам в Интернет и отображения Web-страниц
Информационная или рекламная рассылка, автоматически рассылаемая по списку, без предварительной подписки называется ... спамом
К браузерам относится ... Internet Explorer Opera
Комбинация стандартов, топологий и протоколов для создания работоспособной сети называется ... сетевой архитектурой
Криптосистемой является ... семейство обратимых преобразований открытого текста в шифрованный
Место на сервере, где хранится сообщение электронной почты, пока его не запросит получатель, называется ... электронным почтовым ящиком
Методы шифрования с открытым ключом для шифрования и расшифровывания документов используют ... два разных ключа: открытый и закрытый
На этапе формирования цифровой подписи создает(ют)ся ..два ключа: секретный и открытый .
Недостатками витой пары проводов являются:
По сравнению с другими типами кабелей оптоволоконный:
Преимуществами централизованной структуры вычислительных сетей перед архитектурой «клиент - сервер» являются: простота администрирования высокая информационная безопасность
Распределённые вычисления в компьютерных сетях основаны на архитектуре клиент - сервер ...
Режимами передачи данных по каналам связи являются: полудуплексный симплексный дуплексный
Результатом реализации угроз информационной безопасности может быть ... перехват данных по каналам связи
Результатом реализации угроз информационной безопасности может быть ... внедрение дезинформации
Серверными операционными системами являются: UNIX Windows 2000 Server Novell Netware
Сетевой архитектурой является ... Ethernet
Сетевой протокол для удалённого доступа к компьютеру с помощью командного интерпретатора называется ... Telnet
Сетевыми кабелями, имеющими скорость передачи более 100 Кбит/сек. Являются: коаксиальный оптоволоконный
Системой, автоматически устанавливающей связь между IP-адресами в сети Интернет и текстовыми именами, является ... доменная система имен (DNS)
Типами компьютерных сетей являются сети: одноранговые и на основе сервера
Топология с последовательным обслуживанием узлов сети ..кольцо .
Уникальным числовым идентификатором компьютера, подключённого к локальной сети или Интернету, является ... IP-адрес
Унифицированный указатель на ресурс - URL (например, «http://ru.wikipedia.org/wiki/Заглавная_страница») - содержит ... имя протокола доступа к ресурсу
Унифицированный указатель на ресурс - URL (например, «http://ru.wikipedia.org/wiki/Заглавная_страница») - содержит ..имя протокола доступа к ресурсу .
Устройством, соединяющим две сети, использующие одинаковые методы передачи данных, является ... мост
Формой написания IP-адреса является запись вида: ххх.ххх.ххх.ххх,где ххх - это ... десятичные числа от 0 до 255
Целями использования компьютерных сетей являются: совместное использование ресурсов обеспечение надежности с помощью альтернативных источников информации масштабируемость
Цифровая подпись обеспечивает ... невозможность отказа от авторства удостоверение источника документа защиту от изменений документа
Часть адреса http://www.osp.ru/archlit/77.htm, являющаяся адресом host-компьютера ... www.osp.ru
Частью адреса http://www.inga.rsu.ru, обозначающей домен первого уровня, является ... ru
Шлюз служит для: подключения локальной сети к глобальной
Электронная цифровая подпись устанавливает ... авторство документа
Эталонная модель взаимодействия открытых систем OSI имеет ..7. уровней.
полносвязной