Защита от компьютерных вирусов

Содержание 

Введение……………………………………………………………………………...3

Глава 1. Методы защиты от компьютерных вирусов……………………………..4

Глава 2. Антивирусные программы………………………………………………...7

Заключение………………………………………………………………………….11

Список используемой литературы………………………………………………...12 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Введение

     Чтобы эффективно бороться с вирусами, необходимо иметь представление о «привычках»  вирусов и ориентироваться в  методах противодействия вирусам. Вирусом называется специально созданная  программа, способная самостоятельно распространяться в компьютерной среде. Если вирус попал в компьютер вместе с одной из программ или с файлом документа, то через некоторое время другие программы или файлы на этом компьютере будут заражены. Если компьютер подключен к локальной или глобальной сети, то вирус может распространиться и дальше, на другие компьютеры. Авторы вирусных программ создают их из разных побуждений, однако результаты работы вирусов оказываются, как правило, схожими: инфекции портят программы и документы, находящиеся на компьютере, что часто приводит к их утрате. Некоторые вирусы способны уничтожать вообще всю информацию на дисках компьютеров, стоимость которой может в десятки и сотни раз превышать стоимость самого компьютера. Для того, чтобы избежать этого следует использовать определенные меры по защите от различных компьютерных вирусов, а также специально созданные антивирусные программы. 
 
 
 
 
 
 
 
 
 
 
 

     Глава 1. Методы защиты от компьютерных вирусов

     Каким бы не был вирус, пользователю необходимо знать  основные  методы защиты от компьютерных вирусов.

     Для защиты от вирусов можно использовать:

     ·     общие средства защиты информации, которые полезны также и как  страховка от физической порчи дисков, неправильно работающих программ или  ошибочных действий пользователя;

     ·     профилактические меры, позволяющие уменьшить вероятность  заражения вирусом;

     ·     специализированные программы для  защиты от вирусов.

     Общие средства защиты информации полезны  не только для защиты от вирусов. Имеются  две основные разновидности этих средств:

     ·     копирование информации - создание копий файлов  и системных областей дисков;

     ·     разграничение  доступа  предотвращает  несанкционированное использование  информации, в частности, защиту от изменений программ и данных  вирусами, неправильно работающими программами и ошибочными действиями пользователей.

     Несмотря  на то, что общие средства защиты информации  очень важны  для  защиты от вирусов, все же их недостаточно.  Необходимо и применение  специализированных программ для защиты от вирусов. Эти  программы можно разделить на  несколько  видов:  детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

     Программы- детекторы  позволяют обнаруживать файлы, зараженные одним из  нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее  сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".

     Таким образом, из того, что программа не опознается детекторами как  зараженная, не следует, что она здорова - в  ней могут сидеть какой-нибудь  новый  вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

     Программы- ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска).  Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей  дисков  с исходным. О выявленных несоответствиях сообщается пользователю.

     Многие  программы-ревизоры являются довольно "интеллектуальными" -  они  могут отличать изменения в файлах, вызванные, например, переходом к  новой версии  программы, от изменений, вносимых вирусом, и не  поднимают ложной  тревоги.  Дело в том, что вирусы обычно изменяют файлы весьма  специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью  сообщить, что  они вызваны именно вирусом.    

     Для проверки того, не изменился ли  файл, некоторые  программы-ревизоры  проверяют  длину файла. Но эта проверка недостаточна - некоторые вирусы не  изменяют длину зараженных файлов. Более надежная проверка - прочесть  весь  файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.

     В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. доктора-ревизоры,- программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее  сохраненную информацию о состоянии файлов и областей  дисков. Это  позволяет  им  вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

     Но  они могут лечить не от всех вирусов, а только от  тех, которые  используют "стандартные", известные на момент написания программы, механизмы  заражения файлов. 

     Существуют  также программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения  к  операционной  системе, которые используются вирусами для  размножения и нанесения  вреда, и сообщают  о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

     Программы- вакцины, или иммунизаторы, модифицируют  программы и диски  таким образом, что это не отражается на работе  программ,  но тот вирус,  от  которого производится вакцинация, считает эти программы  или  диски уже  зараженными. Эти программы крайне неэффективны. 
 
 
 
 
 
 
 
 
 
 
 
 

     Глава 2. Антивирусные программы

     Итак, что же такое антивирус? Сразу  же развеем одну часто возникающую  иллюзию. Почему-то многие считают, что  антивирус может обнаружить любой  вирус, то есть, запустив антивирусную программу или монитор, можно быть абсолютно уверенным в их надежности. Такая точка зрения не совсем верна. Дело в том, что антивирус - это тоже программа, конечно, написанная профессионалом. Но эти программы способны распознавать и уничтожать только известные вирусы. То есть антивирус против конкретного вируса может быть написан только в том случае, когда у программиста есть в наличии хотя бы один экземпляр этого вируса. Вот и идет эта бесконечная война между авторами вирусов и антивирусов, правда, первых в нашей стране почему-то всегда больше, чем вторых. Но и у создателей антивирусов есть преимущество. Дело в том, что существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов. Как правило, такие вариации создают непрофессиональные программисты, которые по каким-то причинам решили написать вирус. Для борьбы с такими "копиями" придумано новое оружие - эвристические анализаторы. С их помощью антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не 100%, но все же его коэффициент полезного действия больше 0,5. Таким образом, в этой информационной войне, как, впрочем, и в любой другой, остаются сильнейшие. Вирусы, которые не распознаются антивирусными детекторами, способны написать только наиболее опытные и квалифицированные программисты.

     В нашей стране, как уже было сказано  выше,  особую  популярность приобрели  антивирусные программы, совмещающие  в  себе  функции детекторов и  докторов. Самой известной из них  является программа AIDSTEST Д.Н. Лозинского.

     При запуске Aidstest проверяет себя оперативную  память на наличие известных ему  вирусов и обезвреживает их. При  этом  парализуются только функции  вируса, связанные с размножением, а  другие побочные эффекты могут  оставаться. Поэтому программа после  окончания обезвреживания вируса в памяти выдает запрос о перезагрузке. Следует обязательно последовать этому совету, если оператор ПЭВМ не является системным программистом, занимающимся изучением свойств вирусов. При чем следует перезагрузиться кнопкой  RESET, так как при "теплой перезагрузке" некоторые вирусы  могут сохраняться. Вдобавок,  лучше запустить машину  и Aidstest  с защищённой от записи дискеты, так как при запуске с зараженного диска вирус может записаться в память  резидентом  и препятствовать лечению.

     В последнее время стремительно растет популярность другой антивирусной программы - Doctor Web. Dr.Web так же, как  и  Aidstest относится к классу детекторов - докторов, но в отличие от последнего, имеет так называемый "эвристический анализатор" -  алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Последние при размножении  модифицируют свое тело так, что не остается ни одной характерной цепочки байт,  присутствовавшей в исходной версии вируса. Dr.Web можно назвать антивирусом нового поколения по сравнению с Aidstest и его аналогами.

     В состав современных версий MS-DOS (например, 7.10) входит  антивирусная программа Microsoft Antivirus (MSAV).  Этот  антивирус может работать в режимах детектора-доктора и ревизора.

     MSAV имеет дружественный интерфейс  в стиле MS-Windows, естественно, поддерживается  мышь. Хорошо реализована  контекстная помощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсором, ключевые  клавиши (F1-F9), клавиши, соответствующие одной из букв названия  пункта, а также мышь. Флажки установок в пункте меню Options можно  устанавливать как клавишей ПРОБЕЛ, так и  клавишей  ENTER.  Серьёзным неудобством при использовании программы является то, что она сохраняет таблицы с данными о файлах не в одном файле,  а  разбрасывает их по всем директориям.

     ADinf (Advanced Diskinfoscope) относится к классу программ-ревизоров.  Антивирус имеет высокую скорость работы, способен с успехом противостоять вирусам, находящимся в памяти. Он позволяет контролировать диск,  читая его по секторам через BIOS и не используя системные  прерывания DOS, которые может перехватить вирус.

     Программа ADinf получила первый приз на Втором Всесоюзном конкурсе  антивирусных  программ в 1990  году,  а  также  второй  приз  на  конкурсе  Borland Contest'93. ADinf был  единственным антивирусом, который летом 1991  года  обнаружил  вирус  DIR, построенный на принципиально новом способе заражения и маскировки.

     Для лечения заражённых файлов применяется  модуль  ADinf  Cure Module, не входящий в пакет ADinf  и поставляющийся  отдельно. Принцип работы модуля - сохранение небольшой базы данных,  описывающей контролируемые файлы.  Работая совместно,  эти программы позволяют обнаружить и удалить около 97% файловых вирусов и 100% вирусов  в  загрузочном  секторе.

     Полезной  функцией является возможность работы с DOS, не выходя из программы. Это бывает полезно, когда нужно  запустить  внешний антивирус для лечения  файла, если  у  пользователя  нет  лечащего блока ADinf Cure Module.

     Ещё одна интересная функция - запрещение работы с системой при обнаружении изменений на диске. Эта  функция  полезна,  когда  за терминалами работают пользователи, не имеющие ещё большого  опыта в общении с компьютером. Такие пользователи, по незнанию или по халатности, могут проигнорировать сообщение ADinf и продолжить работу, как ни в чём не бывало, что может привести к  тяжёлым  последствиям.

     В отличие от других антивирусов Advansed Diskinfoscope не требует загрузки с эталонной, защищённой от записи дискеты. При загрузке с винчестера надежность защиты не уменьшается. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Заключение

     Мы  рассмотрели различные меры по защите от компьютерных вирусов и несколько видов антивирусных программ. Следует заметить, что ни один тип антивирусных программ по отдельности  не дает  полной  защиты от вирусов.

     Лучшей  стратегией защиты от вирусов является  многоуровневая, "эшелонированная" оборона. Средствам разведки в "обороне" от вирусов соответствуют  программы-детекторы, позволяющие  проверять  вновь  полученное  программное  обеспечение  на  наличие вирусов.    На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков. Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.  Самый глубокий  эшелон обороны - это средства  разграничения  доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.