Автор работы: Пользователь скрыл имя, 26 Марта 2013 в 16:43, контрольная работа
Раздел "компьютерные вирусы" в информационной прессе в настоящее время буквально пестрит разнообразными сообщениями о появлении новых разновидностей вирусных инфекций (в дальнейшем – просто "вирусы"). Но рядом с такими сообщениями всегда рисуется реклама средств активной и пассивной борьбы с вирусами, приводятся рекомендации по предохранению от заражения и леденящие душу описания последствий и симптомов "заболевания".
Введение
1. Компьютерные вирусы
1)Исполнимые файлы
2) Загрузчик операционной системы и главная загрузочная запись жесткого диска
3) Драйверы устройств
4) INTERNET-вирусы
4.1 Вложенные файлы
4.2 Троянские программы
4.3 HTML-вирусы
4.4 Java-вирусы
2. Основные методы защиты от компьютерных вирусов
1) Копирование информации и разграничение доступа
2) Проверка поступающих извне данных
3) Подготовка "ремонтного набора"
4) Защита от загрузочных вирусов
5) Периодическая проверка на наличие вирусов
Заключение
Список использованной литературы.
г) "Невидимые" и самомодифицирующиеся вирусы
Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Я расскажу о двух из них: "невидимых" (Stealth) и самомодифицирующихся вирусах:
1) "Невидимые" вирусы
Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в загрузочных областях диска можно легко обнаружить. Замечу, что некоторые антивирусные программы могут все же обнаруживать "невидимые" вирусы даже на зараженном компьютере. Такие программы для этого выполняют чтение диска, не пользуясь услугами DOS (например, ADinf).
2) Самомодифицирующиеся вирусы
Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса.
Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами. Однако программы-детекторы все же научились ловить "простые" самомодифицирующиеся вирусы. В этих вирусах вариации механизма расшифровки закодированной части вируса касаются только использования тех или иных регистров компьютера, констант шифрования, добавления "незначащих" команд и т.д. И программы-детекторы приспособились обнаруживать команды в стартовой части вируса, несмотря на маскирующие изменения в них. Но в последнее время появились вирусы с чрезвычайно сложными механизмами самомодификации. В них стартовая часть вируса генерируется автоматически по весьма сложным алгоритмам: каждая значащая инструкция расшифровщика передается одним из сотен тысяч возможных вариантов, при этом используется более половины всех команд Intel-8088. Проблема распознавания таких вирусов надежного решения пока не получила.
Что могут и чего не могут компьютерные вирусы
У многих пользователей ЭВМ из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентных публикаций в печати создается своеобразный комплекс боязни вирусов ("вирусофобия"). Этот комплекс имеет два проявления:
1. Склонность приписывать любое
повреждение данных или
2. Преувеличенные представления о возможностях вирусов. Некоторые пользователи думают, например, что достаточно вставить в дисковод зараженную дискету, чтобы компьютер заразился вирусом. Распространено также мнение, что для компьютеров просто стоящих в одной комнате, заражение одного компьютера обязательно тут же приводит к заражению остальных.
Заражение компьютера вирусом может произойти в одном из следующих случаев:
на компьютере была выполнена зараженная программа типа COM или EXE или зараженный модуль оверлейной программы (типа OVR или OVL);
компьютер загружался с дискеты, содержащей зараженный загрузочный сектор;
на компьютере была установлена зараженная операционная система или зараженный драйвер устройства.
Отсюда следует, что нет никаких оснований бояться заражения компьютера вирусом, если:
на незараженном компьютере производится копирование файлов с одной дискеты на другую. Если компьютер "здоров", то ни он сам, ни копируемые дискеты не будут заражены вирусом. Единственный вариант передачи вируса в этой ситуации - это копирование зараженного файла: при этом его копия, разумеется, тоже будет "заражена", но, ни компьютер, ни какие-то другие файлы заражены не будут;
2. Основные методы защиты от компьютерных вирусов
Для защиты от вирусов можно использовать:
общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей; профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вируса. Имеются две основные разновидности этих средств:
копирование информации - создание копий файлов и системных областей дисков;
разграничение доступа
предотвращает
Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов:
Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.
Программы-доктора, или "фаги", "лечат" зараженные программы или диски, "выкусывая" из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.
Программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояния с исходным.
При выявлении несоответствий об этом сообщается пользователю.
Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние.
Программы-фильтры
Наилучшей стратегией защиты от вирусов является комплексная многоуровневая защита:
Перед первым этапом следует разместить программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов;
На первом этапе размещаются программы-фильтры, т.к. они первыми сообщат о работе вируса и предотвратят заражение программ и дисков;
На втором этапе размещаются ревизоры и доктора: они позволяют обнаружить вирусы, "пробившиеся" через первый этап, а затем вылечить зараженные программы, но следует учитывать, что они не всегда лечат правильно и идеальным вариантом было бы иметь копию нужных программ в архивах на дискетах, защищенных от записи.
Самый главный этап защиты - разграничение доступа, которое не позволяет проникшим вирусам и неверно работающим программам испортить важные данные.
а) Действия при заражении компьютерным вирусом
При заражении компьютера вирусом (или при подозрении на это) важно соблюдать четыре правила:
1. Прежде всего, не
надо торопиться и принимать
опрометчивых решений:
2. Тем не менее, одно
действие должно быть
3. Все действия по обнаружению последствий заражения и лечению компьютера следует выполнять только при перезагрузке компьютера с защищенной от записи "эталонной" дискеты с операционной системой.
При этом следует использовать только программы (исполнимые файлы), хранящиеся на защищенных от записи дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при перезагрузке DOS или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.
4. Если Вы не обладаете
достаточными знаниями и
б) Лечение компьютера
Рассмотрим более сложный случай, когда вирус уже успел заразить или испортить какие-то файлы на дисках компьютера. При этом эксперты рекомендуют следующие действия:
1. Перезагрузить операционную
систему DOS с заранее подготовленной
эталонной дискеты. Эта
2. Если для Вашего компьютера имеется программа для установки конфигурации (для моделей IBM PC AT и PS/2 она имеется всегда; часто она вызывается при нажатии определенной комбинации клавиш во время начальной загрузки компьютера), следует выполнить эту программу и проверить, правильно ли установлены параметры конфигурации компьютера (они могут быть испорчены вирусом). Если они установлены неправильно, их надо переустановить.
3. Далее следует сам
процесс лечения: Если на
Запустить для диска программу-детектор, обнаруживающую тот вирус, заражению которым подвергся компьютер (если Вы не знаете, какой детектор обнаруживает данный вирус, запускайте все имеющиеся программы-детекторы по очереди, пока одна из них не обнаружит вирус). Режим лечения при этом лучше не устанавливать. Если программа-детектор обнаружила загрузочный вирус, Вы можете смело использовать ее режим лечения для устранения вируса. При обнаружении вируса DIR его также надо удалить с помощью антивирусной программы, ни в коем случае не используя для этого программы типа NDD или ChkDsk.
Теперь (когда известно, что вирусов типа DIR на диске нет) можно проверить целостность файловой системы и поверхности диска с помощью программы NDD: "NDD D: /C". Если повреждения файловой системы значительны, то целесообразно скопировать с диска все нужные файлы, копий которых нет в архиве, на дискеты и заново отформатировать диск. Если диск имеет сложную файловую структуру, то можно попробовать откорректировать ее с помощью программы DiskEdit (из комплекса Norton Utilities).
Если Вы сохраняли сведения о файлах на диске для программы-ревизора, то полезно запустить программу - ревизор для диагностики изменений в файлах. Это позволит установить, какие файлы были заражены или испорчены вирусом. Если программа-ревизор выполняет также функции доктора, можно доверить ей и восстановление зараженных файлов.
Удалить с диска все ненужные файлы, а также файлы, копии которых имеются в архиве. Те файлы, которые не были изменены вирусом (это можно установить с помощью программы-ревизора), удалять не обязательно. Ни в коем случае нельзя оставлять на диске COM- и EXE-файлы, для которых программа-ревизор сообщает, что они были изменены. Те COM- и EXE-файлы, о которых неизвестно, изменены они вирусом или нет, следует оставлять на диске только при самой крайней необходимости.
5. Если диск, который Вы обрабатываете, является системным (т. е. с него можно загрузить операционную систему DOS), то на него следует заново записать загрузочный сектор и файлы операционной системы (это можно сделать командой SYS из комплекса DOS).
6. Если ваш компьютер заразился файловым вирусом, и Вы не производили лечение с помощью ревизора-доктора, следует выполнить программу - доктор для лечения данного диска. Зараженные файлы, которые программа-доктор не смогла восстановить, следует уничтожить. Разумеется, если на диске остались только те файлы, которые не могут заражаться вирусом (например, исходные тексты программ и документы), то программу для уничтожения вируса для данного диска выполнять не надо.