Дата, количество часов	Тема. Практическое задание	Отметка о выполнении Руководителя учебной практики
21.05.2012 6-часов.	Введение. Инструктаж по ТБ. Программное обеспечение ПК. Организация памяти. Сервисные программы. Методы защиты информации. Антивирусные программы Касперский, Dr. Web, Nod 32. Технология обработки архивов Win Zip Win Rar.
22.05.2012 6-часов	Технология обработки текстовой информации. Системы оптического распознавания информации. Автоматизация ввода информации в компьютер. Связь сканера с операционной системой. Сканирование документов. Автоматическое распознавание текстов. Порядок распознавания текстовых документов. Распознавание документов в программе Fine Reader.
23.05.2012 6-часов	Системы машинного перевода. PROMT. Работа со словарями. Сохранение переведенных документов.
24.052012 6-часов	Технология обработки числовой информации (Excel). Создание таблиц в Excel. Построение графиков и диаграмм. Решение экономических, статистических задач в MS Excel.
25.05.2012 6-часов	Технология подготовки компьютерных презентаций. Работа с программой MS Power Point 2007: общие рекомендации, использование встроенных шаблонов. Настройка презентации, добавление элементов анимации.
29.05.2012 6-часов	Создание презентаций по технике безопасности, реклама фирмы МНТ, состав ПК, зоопарк. Настройка, защита. Вставка объектов. Видео. Звук.
30.05.2012 6-часов	Издательская система Publisher. Реклама. Создание открытки, календаря, резюме, веб - сайта, буклета. Распечатка буклета на сетевом принтере Canon LPB 3000
31.05.2012 6-часов	Документационное обеспечение управления. Оформление организационно-распорядительных документов. Бланка и его реквизита, обязательные реквизиты бланка и правила его записи. Основные технологии создания документов. Самостоятельная работа.
1.06.2012 6-часов	Локальная компьютерная сеть. Глобальная сеть интернет.
отчет	Оформление и распечатка отчетов. Показ презентаций с использованием интерактивной доски в конференц-зале. Зачет.

Антивирусная программа (антивирус)— любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Целевые платформы антивирусного ПО

На данный момент антивирусное программное обеспечение разрабатывается в основном для ОС семейства Windows от компании Microsoft, что вызвано большим количеством вредоносных программ именно под эту платформу (а это, в свою очередь, вызвано большой популярностью этой ОС, также как и большим количеством средств разработки, в том числе бесплатных и даже «инструкций по написанию вирусов»). В настоящий момент на рынок выходят продукты и под другие платформы настольных компьютеров, такие как Linux и Mac OS X. Это вызвано началом распространения вредоносных программ и под эти платформы, хотя UNIX-подобные системы всегда славились своей надежностью. Например, известное видео «Mac or PC» шуточно показывает преимущество Mac OS над Windows и большим антивирусным иммунитетом Mac OS по сравнению с Windowss. Помимо ОС для настольных компьютеров и ноутбуков, также существуют платформы и для мобильных устройств, такие как Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др. Пользователи устройств на данных ОС также подвержены риску заражения вредоносным программным обеспечением, поэтому некоторые разработчики антивирусных программ выпускают продукты и для таких устройств.

Классификация антивирусных продуктов

Классифицировать антивирусные продукты можно сразу по нескольким признакам, таким как: используемые технологии антивирусной защиты, функционал продуктов, целевые платформы.

По используемым технологиям антивирусной защиты:

• Классические антивирусные продукты (продукты, применяющие только сигнатурный метод детектирования. Продукты преактивной антивирусной защиты (продукты, применяющие только преактивные технологии антивирусной защиты.

• Комбинированные продукты (продукты, применяющие как классические, сигнатурные методы защиты так и проективные).

По функционалу продуктов:

• Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту)

• Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных, и другие функции)

По целевым платформам:

• Антивирусные продукты для ОС семейства Windows

• Антивирусные продукты для ОС семейства *NIX (к данному семейству относятся ОС BSD, Linux, Mac OS X и др.)

• Антивирусные продукты для мобильных платформ (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др.)

Антивирусные продукты для корпоративных пользователей можно также классифицировать по объектам защиты:

• Антивирусные продукты для защиты рабочих станций

• Антивирусные продукты для защиты файловых и терминальных серверов

• Антивирусные продукты для защиты почтовых и Интернет-шлюзов

• Антивирусные продукты для защиты серверов виртуализации

• и др.

Лжеантивирусы

В 2009 началось активное распространение т.н. лжеантивирусов – программного обеспечения, не являющегося антивирусным (т.е. не имеющего реального функционала для противодействия вредоносным программам), но выдающим себя за таковое. По сути, лжеантивирусы могут являться как программами для обмана пользователей и получения прибыли в виде платежей за «лечение системы от вирусов», так и обычным вредоносным программным обеспечением.

Работа антивируса

Говоря о системах Майкрософт, обычно антивирус действует по схеме: - поиск, в базе данных антивирусного ПО, сигнатур вирусов - если найден инфицированный код в памяти (оперативной и/или постоянной), запускается процесс карантина и процесс блокируется - зарегистрированная программа обычно удаляет вирус, незарегистрированная просит регистрации, и оставляет систему уязвимой.

Базы антивирусов

Для использования антивирусов необходимы постоянные обновления так называемых баз антивирусов. Они представляют собой информацию о вирусах - как их найти и обезвредить. Поскольку вирусы пишут часто, то необходим постоянный мониторинг активности вирусов в сети. Для этого существуют специальные сети, которые собирают соответствующую информацию. После сбора этой информации производится анализ вредоносности вируса, анализируется его код, поведение, и после этого устанавливаются способы борьбы с ним. Чаще всего вирусы запускаются вместе с операционной системой. В таком случае можно просто удалить строки запуска вируса из реестра, и на этом в простом случае процесс может закончиться. Более сложные вирусы используют возможность заражения файлов. Например, известны случаи, как некие даже антивирусные программы, будучи зараженными, сами становились причиной заражения других чистых программ и файлов. Поэтому более современные антивирусы имеют возможность защиты своих файлов от изменения и проверяют их на целостность по специальному алгоритму. Таким образом, вирусы усложнились, как и усложнились способы борьбы с ними. Сейчас можно увидеть вирусы, которые занимают уже не десятки килобайт, а сотни, а порой могут быть и размером в пару мегабайт. Обычно такие вирусы пишут в языках программирования более высокого уровня, поэтому их легче остановить. Но по-прежнему существует угроза от вирусов, написанных на низкоуровневых машинных кодах наподобие ассемблера. Сложные вирусы заражают операционную систему, после чего она становится уязвимой и нерабочей.

Виды антивирусных программ

Сейчас на рынке программного обеспечения представлен достаточно широкий спектр антивирусных программ. Чтобы правильно использовать антивирусные средства, необходимо различать их по назначению.

Существуют несколько видов программных средств борьбы с вирусами – это сканеры (другие названия: фаги, полифаги), ревизоры диска (CRC-сканеры), резидентные мониторы и иммунизаторы.

Сканеры:

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы.

Во многих сканерах используются также алгоритмы «эвристического сканирования», т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.

Сканеры также можно разделить на две категории - «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов.

К достоинствам сканеров всех типов относится:

• Универсальность

К недостаткам:

• Малейшие модификации вируса могут сделать его невидимым для сканера: программный код не будет полностью совпадать с описанием в базе данных. К примеру, существует много вариантов вируса «Чернобыль», и почти для каждого из них антивирусным кампаниям приходилось выпускать отдельное обновление антивирусной базы данных. Другим аспектом данной проблемы являются т.н. полиморфные вирусы, т.е. вирусы, не имеющие постоянного программного кода: заражая очередной файл, они при помощи шифрования самостоятельно изменяют свой вид, при этом сохраняя свою функциональность.

• Время между появлением вируса и выходом соответствующего обновления пользователь остается практически незащищенным от атак новых вирусов. Сейчас скорость доставки противоядия сведена до минимума, в некоторых случаях исчисляясь минутами. Но и этого не достаточно, поэтому даже современную скорость разработки и доставки защиты от новых вирусов нельзя считать достаточной. Именно поэтому еще в начале 90-х, эксперты придумали и внедрили в сканеры оригинальный способ обнаружения неизвестных вирусов – эвристический анализатор, т.е. анализ последовательности команд в проверяемом объекте, аккумуляция статистики и принятие решения о возможности присутствия в нем неизвестного компьютерного вируса. Однако, данный метод характеризуется наличием ложных срабатываний, недостаточно высоким уровнем надежности и отсутствием гарантии эффективного удаления обнаруженных вирусов. Для борьбы же с полиморфными вирусами были изобретены другие приемы: алгоритмические языки, описывающие все возможные варианты кода и системы автоматической дешифрации кода (эмуляторы).

• Антивирусный сканер проверяет файлы, только когда пользователь “попросит” его это сделать, т.е. запустит программу. Это требует постоянного внимания и концентрации. Очень часто пользователи забывают проверить сомнительный файл, загруженный, например, из интернета и, в результате, собственноручно заражают свой компьютер. Таким образом, сканер способен определить факт заражения постфактум, т.е. уже после того, как в системе появится вирус.

• Большой размер антивирусных баз, которые сканерам приходится «таскать за собой»

• Требовательность к системным ресурсам

• Небольшая скорость поиска вирусов

Мониторы:

На данный момент различаются три основных типа: файловые мониторы, мониторы для почтовых программ и мониторы для специальных приложений.

По своей сути все они являются разновидностью сканеров, которые постоянно находятся в памяти компьютера и осуществляют автоматическую проверку всех используемых файлов в масштабе реального времени. Современные мониторы осуществляют проверку в момент открытия и закрытия программы. Таким образом, исключается возможность запуска ранее инфицированных файлов и заражения файла резидентным вирусом.

Для включения антивирусной защиты, пользователю достаточно загрузить монитор при запуске операционной системы или приложения.

Благодаря фоновому режиму работы антивирусная проверка осуществляется автоматически. В случае обнаружения вредоносной программы, монитор, в зависимости от настроек, вылечит файл, заблокирует его выполнение или изолирует, переместив в специальную карантинную директорию для дальнейшего исследования.

Файловые мониторы являются наиболее распространенной разновидностью этого типа антивирусных программ. Они работают как часть операционной системы, в масштабе реального времени проверяя все используемые объекты, вне зависимости от их происхождения и принадлежности какому-либо приложению. Файловые мониторы широко используются как на рабочих станциях, так и на файловых серверах и серверах приложений.

Мониторы для почтовых программ представляют собой антивирусные модули, интегрирующиеся в программы обработки электронной почты – как серверные, так и клиентские. Таким образом, они становятся неотъемлемой частью программы и при поступлении нового письма автоматически проверяют его. В отличие от файловых мониторов они требуют меньше системных ресурсов и гораздо более устойчивы, так как возможность системного конфликта на уровне приложения существенно меньше, нежели на уровне операционной системы. Почтовые мониторы проверяют все входящие и исходящие сообщения сразу же после их получения или отправления.

Ревизоры диска:

Эта технология защиты основана на том факте, что вирусы являются обычными компьютерными программами, имеющими способность тайно создавать новые или внедряться в уже существующие объекты (файлы, загрузочные секторы).

Принцип работы ревизоров диска (CRC-сканеров) основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры проверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры неспособны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут детектировать вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup-a или при распаковке файлов из архива), поскольку в их базах отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.

К достоинствам наиболее продвинутых ревизоров изменений стоит отнести исключительно высокую скорость работы, низкие требования к аппаратной части компьютера, высокий процент восстановления файлов и загрузочных секторов, поврежденных вирусами, в том числе неизвестными. Их подход к лечению зараженных объектов основывается не на знании как выглядит вирус, а на знании как выглядит «чистый» файл или сектор: все, что «портит чистоту» рассматривается как изменение, достойное внимания ревизора, который способен вернуть объект к исходному состоянию. Именно поэтому ревизоры не требуют громоздкой антивирусной базы данных, довольствуясь лишь описаниями способов внедрения вирусов, которые занимают, в зависимости от продукта, всего от 300 до 500 килобайт. Зная эти способы, программа может быстро и эффективно удалить вирус вне зависимости от того, где находится его код: начале, середине, конце или же вообще разбросан в виде небольших кусков по всему зараженному объекту.

Иммунизаторы:

Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые из них обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он летален – абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, практически не используются в настоящее время.

Второй тип иммунизации защищает систему от поражения каким-либо определенным типом вируса. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.

Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Virus.Win32.Sality.aa

Технические детали

Файловый вирус, который заражает исполняемые файлы Windows. Размер тела вируса составляет около 64 КБ. Вирус использует полиморфное шифрование, из за чего размер тела вируса варьируется.

Инсталляция

При запуске зараженного файла вирус внедряет свой код в адресное пространство зараженного процесса и запускает его в отдельном потоке, после чего возвращает управление программе-носителю. Извлекает из своего тела файл:

%System%\drivers\<5 случайных прописных букв>.sys – имеет размер 5184 байта.

И создает службу с именем «aic32p», запускающую извлеченный файл при каждой последующей загрузке Windows.

Заражение файлов

Вирус заражает исполняемые файлы Windows (PE-EXE) со следующими расширениями: .EXE, .SCR Вирус не заражает файлы размером больше 20 971 520 байт и меньше 4 096 байт. Заражаются только файлы, которые содержат в PE-заголовке следующие секции:

TEXT

UPX

CODE

При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска, съемных носителях и всех доступных для записи сетевых папках.

Технические детали Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 171519 байт. Написана на. С++.

Деструктивная активность

Вирус добавляет исполняемый файл процесса, в котором работает его код в список доверенных процессов Windows Firewall. Завершает процессы, которые содержат следующие строки в именах, и удаляет их исполняемые файлы:

Часть II. Программное обеспечение

6.1. Компьютерные вирусы и их классификация

Компьютерный вирус - это программа, которая способна создавать свои копии (не обязательно пол­ностью совпадающие с оригиналом) и внедрять их в различные объек­ты ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.

Вирусы можно разделить на классы по следующим признакам:

1. По среде обитания вируса.

По среде обитания вирусы можно разделить на сетевые, файловые и загрузочные. Сетевые вирусы рас­пространяются по компьютерной сети, файловые внедряются в выполняемые файлы, загрузочные - в за­грузочный сектор диска (Boot-сектор).

2. По способу заражения среды обитания.

Способы заражения делятся на резидентный и нерезидентный. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает об­ращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находят­ся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

3. По деструктивным возможностям.

По деструктивным возможностям вирусы можно разделить на:

• безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

• неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графически­ми, звуковыми и пр. эффектами;

• опасные вирусы, которые могут привести к серьезным сбоям в работе;

• очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходи­мую для работы компьютера информацию, записанную в системных областях памяти.