Автор работы: Пользователь скрыл имя, 06 Февраля 2015 в 19:46, реферат
Мы живем в эпоху информационного общества. Это время, когда информация играет большую роль в жизни общества. И поэтому многие области деятельности человека связаны с применением компьютера. Эти машины плотно внедрились в нашу жизнь. Они имеют колоссальные возможности, позволяя тем самым освободить мозг человека для более необходимых и ответственных задач. Компьютер может хранить и обрабатывать очень большое количество информации, которая в настоящее время является одним из самых дорогих ресурсов.
ВВЕДЕНИЕ
2
1 КОМПЬЮТЕРНЫЙ ВИРУС
3
1.1 ИСТОРИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ. ХРОНОЛОГИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ И ЧЕРВЕЙ
4
1.2 КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
7
1.2.1 КЛАССИФИКАЦИЯ ВИРУСОВ ПО СРЕДЕ ОБИТАНИЯ
7
1.2.2 КЛАССИФИКАЦИЯ ВИРУСОВ ПО СПОСОБАМ ЗАРАЖЕНИЯ
8
1.2.3 КЛАССИФИКАЦИЯ ВИРУСОВ ПО ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ
8
1.2.4 КЛАССИФИКАЦИЯ ВИРУСОВ ПО ОСОБЕННОСТЯМ АЛГОРИТМА
8
2 ОСНОВНЫЕ ВИДЫ ВИРУСОВ И СХЕМЫ ИХ ФУНКЦИОНИРОВАНИЯ
11
2.1 ФАЙЛОВЫЕ ВИРУСЫ
11
2.2 ЗАГРУЗОЧНЫЕ ВИРУСЫ
13
2.3 ФАЙЛОВО-ЗАГРУЗОЧНЫЕ ВИРУСЫ
15
2.4 ШИФРУЮЩИЕСЯ И ПОЛИМОРФНЫЕ ВИРУСЫ
16
2.5 СТЕЛС-ВИРУСЫ
18
3 ТРОЯНСКИЕ КОНИ, ПРОГРАММНЫЕ ЗАКЛАДКИ И СЕТЕВЫЕ ЧЕРВИ
20
4 ПУТИ ПРОНИКНОВЕНИЯ ВИРУСОВ В КОМПЬЮТЕР И МЕХАНИЗМ РАСПРЕДЕЛЕНИЯ ВИРУСНЫХ ПРОГРАММ
23
5 ПРИЗНАКИ ПРОЯВЛЕНИЯ ВИРУСОВ
24
6 МЕТОДЫ ЗАЩИТЫ ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ
25
6.1 ПРОГРАММЫ-ДЕТЕКТОРЫ
25
6.2 ПРОГРАММЫ-РЕВИЗОРЫ
27
6.3 ПРОГРАММЫ-ФИЛЬТРЫ
28
6.4 ПРОГРАММЫ-ВАКЦИНЫ (ИММУНИЗАТОРЫ)
29
7 АНТИВИРУСНЫЕ ПРОГРАММЫ
30
7.1 ТРЕБОВНИЯ К АНТИВИРУСНЫМ ПРОГРАММАМ
30
7.2 МЕТОДИКИ АНТИВИРУСНЫХ ПРОГРАММ
31
7.2.1СКАНИРОВАНИЕ
31
7.2.2 ЭВРИСТИЧЕСКИЙ АНАЛИЗ
32
7.2.3 ОБНАРУЖЕНИЕ ИЗМЕНЕНИЙ
32
7.2.4 РЕЗИДЕНТНЫЕ МОНИТОРЫ
33
7.3 ОБРАЗ АНТИВИРУСНЫХ ПРОГРАММ
33
7.3.1 ESET
34
7.3.2 SYMANTEC
35
7.3.3 «ЛАБОРАТОРИЯ КАСПЕРСКОГО»
36
8 СРАВНЕНИЕ АНТИВИРУСНЫХ ПРОГРАММ
40
ЗАКЛЮЧЕНИЕ
44
СПИСОК ЛИТЕРАТУРЫ
Некоторые детекторы умеют ловить «невидимые» вирусы, даже когда они активны. Для этого они читают диск, не используя вызовы DOS. Правда, этот метод работает не на всех дисководах.
Большинство программ-детекторов имеют функцию «доктора», т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.
Большинство программ-докторов умеют «лечить» только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.
Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.
Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.
Многие программы-ревизоры являются довольно «интеллектуальными» - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.
Другие программы часто используют различные полумеры - пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла AUTOEXEC.BAT, надеясь работать на «чистом» компьютере, и т.д. Увы, против некоторых «хитрых» вирусов все это бесполезно.
Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.
В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. доктора-ревизоры,- программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.
Но они могут лечить не от всех вирусов, а только от тех, которые используют «стандартные», известные на момент написания программы, механизмы заражения файлов.
Существуют также программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.
Некоторые программы-фильтры не «ловят» подозрительные действия, а проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера.
Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.
Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.
Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам.
Стабильность и надежность работы. Этот параметр, без сомнения, является определяющим – даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.
Размеры вирусной базы программы (количество вирусов, которое правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться – что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение «частоты» компьютера. Сюда же следует отнести и возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архив, документы). Немаловажным также является наличие резидентного монитора, осуществляющего проверку всех новых файлов «на лету» (то есть автоматически, по мере их записи на диск).
Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование). Сюда же следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является также процент ложных срабатываний программы (ошибочное определение вируса в «чистом» файле).
Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, но одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.
Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами:
Антивирусные программы могут реализовывать все перечисленные выше методики, либо только некоторые из них.
Сканирование является наиболее традиционным методом поиска вирусов. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Антивирусные программы-сканеры, способные удалить обнаруженные вирусы, обычно называются полифагами.
Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.
Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.
Эвристический анализ зачастую используется совместно со сканированием для поиска шифрующихся и полиморфных вирусов. В большинстве случаев эвристический анализ позволяет также обнаруживать и ранее неизвестные вирусы. В этом случае, скорее всего их лечение будет невозможно.
Если эвристический анализатор сообщает, что файл или загрузочный сектор, возможно, заражен вирусом, вы должны отнестись к этому с большим вниманием. Необходимо дополнительно проверить такие файлы с помощью самых последних версий антивирусных программ сканеров или передать их для исследования авторам антивирусных программ.
Заражая компьютер, вирус делает изменения на жестком диске: дописывает свой код в заражаемый файл, изменяет системные области диска и т. д. На обнаружении таких изменений основываются работа антивирусных программ-ревизоров.
Антивирусные программы-ревизоры запоминают характеристики всех областей диска, которые могут подвергнутся нападению вируса, а затем периодически проверяют их. В случае обнаружения изменений, выдается сообщение о том, что возможно на компьютер напал вирус.
Следует учитывать, что не все изменения вызваны вторжением вирусов. Так, загрузочная запись может изменится при обновлении версии операционной системы, а некоторые программы записывают внутри своего выполнимого файла данные.
Антивирусные программы, постоянно находящиеся в оперативной памяти компьютера и отслеживающие все подозрительные действия, выполняемые другими программами, носят название резидентных мониторов или сторожей. К сожалению, резидентные мониторы имеют очень много недостатков, которые делают этот класс программ малопригодными для использования. Они раздражают пользователей большим количеством сообщений, по большей части не имеющим отношения к вирусному заражению, в результате чего их отключают.
При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.
В настоящее время серьезный антивирус должен уметь распознавать не менее 25000 вирусов. Это не значит, что все они находятся «на воле». На самом деле большинство из них или уже прекратили свое существование или находятся в лабораториях и не распространяются. Реально можно встретить 200-300 вирусов, а опасность представляют только несколько десятков из них.
Существует большое количество платных и бесплатных антивирусных программ.
Среди платных можно выделить следующие популярные торговые марки:
Среди условно бесплатных:
Рассмотрим наиболее известные из них.
ESET – международный разработчик антивирусного программного обеспечения и решений в области компьютерной безопасности для корпоративных и домашних пользователей. Основана в 1992 году. Штаб-квартира ESET находится в Братиславе (Словакия). Компания представлена более чем в 180 странах мира.
Разработчики ESET первыми в антивирусной индустрии стали использовать эвристические методы детектирования и обнаружения новых вредоносных программ, не отраженных в сигнатурной базе антивируса.
Технология ThreatSense — единый эвристический механизм, представляющий собой так называемую расширенную эвристику (Advanced Heuristics).
В решениях ESET NOD32 эвристика – это технологическая платформа, на которой базируется работа всей системы. Эвристический метод используется для выявления около 90% нового вредоносного ПО. Для детектирования сложных угроз также применяются эмуляция, алгоритмический анализ, пассивная эвристика и сигнатурный метод обнаружения вредоносного кода
Технология ThreatSense.Net позволяет расширить возможности аналитики ThreatSense до уровня глобального сервиса и действует как система быстрого оповещения, обеспечивая автоматическую передачу новых образцов подозрительных или вредоносных программ экспертам вирусной лаборатории ESET для анализа и принятия оперативного решения. Это позволяет осуществить не только двунаправленный обмен информацией между пользователями и экспертами, но и оперативно предотвратить возможность глобального заражения ПК пользователей во всем мире новыми неизвестными вирусами.