Arvutiviiruste ja viirusetõrjeprogrammide klassifikatsioon. Viirusetõrjed Viirusetõrjetarkvara klassifikatsioon

Viiruste tuvastamise põhimeetodid

viirusetõrjeprogrammid, mis töötati välja paralleelselt viiruste arenguga. Uute viiruste loomise tehnoloogiate ilmnemisel muutus viirusetõrjete väljatöötamisel kasutatav matemaatiline aparaat keerukamaks.

Esimesed viirusetõrjealgoritmid põhinesid võrdlusel standardiga. Me räägime programmidest, milles viiruse tuvastab klassikaline kernel, kasutades teatud maski. Algoritmi mõte on kasutada statistilisi meetodeid. Mask peaks ühest küljest olema väike, et failimaht oleks vastuvõetava suurusega, ja teisest küljest piisavalt suur, et vältida valepositiivseid tulemusi (kui "oma oma" tajutakse "kellegi teise omana" ja pahe vastupidi).

Esimesed sellel põhimõttel üles ehitatud viirusetõrjeprogrammid (nn polüfaagiskannerid) tundsid teatud arvu viirusi ja teadsid, kuidas neid ravida. Need programmid loodi järgmiselt: arendaja, olles saanud viiruse koodi (viiruse kood oli algselt staatiline), lõi selle koodi põhjal unikaalse maski (jada 10-15 baiti) ja sisestas selle viirusetõrjeprogrammide andmebaasi. Viirusetõrjeprogramm kontrollis failid ja kui leidis selle baitide jada, järeldas, et fail on nakatunud. See järjestus (signatuur) valiti nii, et see oleks ainulaadne ja seda ei leitud tavalisest andmekogumist.

Kirjeldatud lähenemisviise kasutas enamik viirusetõrjeprogramme kuni 90ndate keskpaigani, mil ilmusid esimesed polümorfsed viirused, mis muutsid oma keha vastavalt eelnevalt ettearvamatutele algoritmidele. Seejärel täiendati signatuurimeetodit nn protsessori emulaatoriga, mis võimaldab leida krüpteeritud ja polümorfseid viirusi, millel pole selgesõnaliselt püsivat allkirja.

Protsessori emuleerimise põhimõte on näidatud joonisel fig. 1 . Kui tavaliselt koosneb tingimusahel kolmest põhielemendist: CPU®OS®Programm, siis protsessori emuleerimisel lisatakse sellisele ahelale emulaator. Emulaator justkui reprodutseerib programmi tööd mõnes virtuaalses ruumis ja rekonstrueerib selle algse sisu. Emulaator suudab alati programmi täitmist katkestada, kontrollib selle toiminguid, vältides millegi rikkumist ja kutsub välja viirusetõrje skannimise kerneli.

Teine mehhanism, mis ilmus 90ndate keskel ja mida kasutavad kõik viirusetõrjed, on heuristiline analüüs. Fakt on see, et protsessori emuleerimisseade, mis võimaldab teil saada analüüsitud programmi tehtud toimingute kokkuvõtte, ei võimalda alati neid toiminguid otsida, kuid see võimaldab teil teha mõningast analüüsi ja püstitada hüpoteesi. nagu "viirus või mitte viirus?"

Sel juhul põhineb otsuste tegemine statistilistel lähenemisviisidel. Ja vastavat programmi nimetatakse heuristiliseks analüsaatoriks.

Paljunemiseks peab viirus tegema teatud spetsiifilisi toiminguid: kopeerima mällu, kirjutama sektoritesse jne. Heuristiline analüsaator (see on osa viirusetõrje tuumast) sisaldab selliste toimingute loendit, vaatab programmi käivitatavat koodi, teeb kindlaks, mida see teeb ja teeb selle põhjal otsuse, kas programm on viirus või mitte. .

Samas on puuduvate viiruste osakaal, isegi viirusetõrjeprogrammile teadmata, väga väike. Seda tehnoloogiat kasutatakse nüüd laialdaselt kõigis viirusetõrjeprogrammides.

Viirusetõrjeprogrammide klassifikatsioon

viirusetõrjeprogrammid liigitatakse puhasteks viirusetõrjeteks ja kahekordse kasutusega viirusetõrjeteks (joonis 2).

Puhtaid viirusetõrjeid eristab viirusetõrjetuuma olemasolu, mis täidab proovide skannimise funktsiooni. Põhimõte on sel juhul, et ravi on võimalik, kui viirus on teada. Puhtad viirusetõrjed jagunevad omakorda failidele juurdepääsu tüübi alusel kahte kategooriasse: need, mis kontrollivad juurdepääsu (juurdepääsul) või kasutaja nõudmisel (nõudmisel). Tavaliselt nimetatakse juurdepääsuga tooteid monitorideks ja tellitavaid tooteid skanneriteks.

Tellitav toode töötab järgmise skeemi järgi: kasutaja soovib midagi kontrollida ja esitab päringu (nõudmine), misjärel viiakse läbi kontroll. Juurdepääsuga toode on püsiprogramm, mis jälgib juurdepääsu ja teostab juurdepääsu ajal kontrolli.

Lisaks saab viirusetõrjeprogramme, nagu viirusi, jagada olenevalt platvormist, millel viirusetõrje töötab. Selles mõttes võivad platvormid koos Windowsi või Linuxiga hõlmata Microsoft Exchange Serverit, Microsoft Office'i, Lotus Notesi.

Kahe kasutusega programmid on programmid, mida kasutatakse nii viirusetõrjetes kui ka tarkvaras, mis ei ole viirusetõrje. Näiteks CRC-checkerit – kontrollsummadel põhinevat muutuste audiitorit – saab kasutada mitte ainult viiruste püüdmiseks. Teatud tüüpi kaheotstarbelised programmid on käitumisblokeerijad, mis analüüsivad teiste programmide käitumist ja blokeerivad need kahtlaste toimingute tuvastamisel. Käitumuslikud blokaatorid erinevad klassikalisest viirusetõrjetuumaga viirusetõrjest, mis tunneb ära ja ravib laboris analüüsitud viiruseid, millele on ette nähtud ravialgoritm, selle poolest, et nad ei saa viirusi ravida, kuna ei tea neist midagi. See blokaatorite omadus võimaldab neil töötada mis tahes viirustega, sealhulgas tundmatutega. See on tänapäeval eriti oluline, kuna viiruste ja viirusetõrjevahendite levitajad kasutavad samu andmeedastuskanaleid, st Internetti. Samas vajab viirusetõrjefirma alati aega viiruse enda kättesaamiseks, analüüsiks ja vastavate ravimoodulite kirjutamiseks. Kahe kasutusega grupi programmid võimaldavad blokeerida viiruse levikut seni, kuni ettevõte kirjutab ravimooduli.

Ülevaade kõige populaarsematest isiklikest viirusetõrjetest

Ülevaade sisaldab kõige populaarsemaid isiklikuks kasutamiseks mõeldud viirusetõrjeid viielt tuntud arendajalt. Tuleb märkida, et mõned allpool käsitletavad ettevõtted pakuvad mitmeid isiklike programmide versioone, mis erinevad funktsionaalsuse ja vastavalt ka hinna poolest. Oma ülevaates vaatlesime iga ettevõtte ühte toodet, valides kõige funktsionaalsema versiooni, mida tavaliselt nimetatakse Personal Proks. Teiste isiklike viirusetõrjete valikud leiate vastavatelt veebisaitidelt.

Kaspersky viirusetõrje

Personal Pro v. 4.0

Arendaja: Kaspersky Lab. Veebisait: http://www.kaspersky.ru/. Hind: 69 dollarit (1-aastane litsents).

Kaspersky Anti-Virus Personal Pro (joonis 3) on üks populaarsemaid lahendusi Venemaa turul ja sisaldab mitmeid ainulaadseid tehnoloogiaid.

Office Guard käitumisblokeerija moodul hoiab makro täitmist kontrolli all, peatades kõik kahtlased toimingud. Office Guard mooduli olemasolu tagab 100% kaitse makroviiruste eest.

Inspector jälgib kõiki teie arvutis tehtud muudatusi ja kui failides või süsteemiregistris tuvastatakse volitamata muudatusi, võimaldab teil taastada ketta sisu ja eemaldada pahatahtlikud koodid. Inspektor ei nõua viirusetõrje andmebaasi värskendamist: terviklikkuse kontrollimisel lähtutakse originaalfailidest sõrmejälgede võtmisel (CRC summad) ja nende hilisemal võrdlemisel muudetud failidega. Erinevalt teistest inspektoritest toetab Inspector kõiki populaarsemaid käivitatava failivorminguid.

Heuristiline analüsaator võimaldab kaitsta teie arvutit isegi tundmatute viiruste eest.

Monitori taustaviiruste püüdur, mis on pidevalt arvuti mälus olemas, teostab kõigi failide viirusetõrjekontrolli kohe nende käivitamise, loomise või kopeerimise ajal, mis võimaldab teil kontrollida kõiki failitoiminguid ja vältida nakatumist isegi tehnoloogiliselt arenenumad viirused.

Viirusetõrje e-posti filtreerimine takistab viiruste sisenemist teie arvutisse. Mail Checkeri pistikprogramm mitte ainult ei eemalda meili sisust viirusi, vaid taastab täielikult ka kirjade algse sisu. Meilikirjavahetuse põhjalik kontroll ei võimalda viirusel peituda e-kirja mis tahes elemendis, kontrollides kõiki sissetulevate ja väljaminevate kirjade piirkondi, sealhulgas manustatud faile (sh arhiveeritud ja pakitud) ja muid pesastustasemega sõnumeid.

Viirusetõrjeskanner Scanner võimaldab nõudmisel läbi viia kohalike ja võrgudraivide kogu sisu täismahus skannimise.

Skriptikontrolli skriptiviiruse püüdur võimaldab kõigi töötavate skriptide viirusetõrjet enne nende käivitamist.

Arhiveeritud ja tihendatud failide tugi võimaldab eemaldada nakatunud tihendatud failist pahatahtliku koodi.

Nakatunud objektide isoleerimine tagab nakatunud ja kahtlaste objektide isoleerimise ning nende edasise liikumise spetsiaalselt organiseeritud kataloogi edasiseks analüüsiks ja taastamiseks.

Viirusetõrje automatiseerimine võimaldab koostada programmi komponentide töögraafiku ja järjekorra; automaatselt alla laadida ja ühendada uued viirusetõrje andmebaasi värskendused Interneti kaudu; saatke meili teel hoiatusi tuvastatud viiruserünnakute kohta jne.

Norton AntiVirus 2003 Professional Edition

Arendaja: Symantec. Veebisait: http://www.symantec.ru/.

Hind 89,95 eurot.

Programm töötab operatsioonisüsteemides Windows 95/98/Me/NT4.0/2000 Pro/XP.

Hind: 39,95 dollarit

Programm töötab operatsioonisüsteemides Windows 95/98/Me/NT4.0/2000 Pro/XP.

SISSEJUHATUS

Me elame kahe aastatuhande vahetusel, mil inimkond on astunud uue teadus- ja tehnikarevolutsiooni ajastusse.

Kahekümnenda sajandi lõpuks olid inimesed selgeks saanud paljud mateeria ja energia muundumise saladused ning said neid teadmisi oma elu parandamiseks kasutada. Kuid peale mateeria ja energia mängib inimese elus tohutut rolli veel üks komponent – informatsioon. See on lai valik teavet, sõnumeid, uudiseid, teadmisi, oskusi.

Meie sajandi keskel ilmusid spetsiaalsed seadmed - arvutid, mis keskendusid teabe salvestamisele ja teisendamisele, ning toimus arvutirevolutsioon.

Tänapäeval on personaalarvutite laialdane kasutamine kahjuks osutunud seotud isepaljunevate viirusprogrammide tekkega, mis häirivad arvuti normaalset tööd, hävitavad ketaste failistruktuuri ja kahjustavad arvutisse salvestatud teavet. .

Vaatamata paljudes riikides vastuvõetud arvutikuritegude vastu võitlemise seadustele ja spetsiaalse viirusetõrjetarkvara arendamisele kasvab uute tarkvaraviiruste arv pidevalt. See eeldab personaalarvuti kasutajalt teadmisi viiruste olemuse, viirustega nakatumise viiside ja nende eest kaitsmise kohta. See oli ajendiks minu töö teema valikul.

See on täpselt see, millest ma oma essees räägin. Näitan peamisi viiruste liike, käsitlen nende toimimismustreid, välimuse põhjuseid ja arvutisse tungimise viise ning pakun ka kaitse- ja ennetusmeetmeid.

Töö eesmärk on viia kasutaja kurssi arvutiviroloogia põhitõdedega, õpetada viiruste tuvastamist ja nendega võitlemist. Töömeetod - selleteemaliste trükiste analüüs. Minu ees seisis raske ülesanne – rääkida millestki, mida on väga vähe uuritud ja kuidas see välja kukkus, on teie otsustada.

1. ARVUTIVIRUSED JA NENDE OMADUSED JA KLASSIFIKATSIOON

1.1. Arvutiviiruste omadused

Tänapäeval kasutatakse personaalarvuteid, milles kasutajal on vaba juurdepääs masina kõikidele ressurssidele. Just see avas võimaluse ohuks, mis sai tuntuks arvutiviirusena.

Mis on arvutiviirus? Selle mõiste ametlikku määratlust pole veel leiutatud ja on tõsiseid kahtlusi, kas seda üldse saab anda. Paljud katsed anda viiruse "kaasaegne" määratlus on ebaõnnestunud. Probleemi keerukuse aimu saamiseks proovige näiteks määratleda mõiste "toimetaja". Te kas mõtlete välja midagi väga üldist või hakkate loetlema kõiki teadaolevaid toimetajatüüpe. Neid mõlemaid saab vaevalt vastuvõetavaks pidada. Seetõttu piirdume arvutiviiruste mõningate omaduste kaalumisega, mis võimaldavad rääkida neist kui teatud programmiklassist.

Esiteks on viirus programm. Selline lihtne väide iseenesest võib hajutada palju legende arvutiviiruste erakordsetest võimetest. Viirus võib teie monitoril olevat pilti ümber pöörata, kuid ta ei saa pöörata monitori ennast. Tõsiselt ei tasu võtta ka legende tapjaviirustest, mis "hävitavad operaatoreid, kuvades ekraanil surmava värviskeemi 25. kaadris". Kahjuks avaldavad mõned mainekad väljaanded aeg-ajalt "viimaseid uudiseid arvutirindelt", mis lähemal uurimisel osutuvad teema mitte päris selge mõistmise tulemuseks.

Viirus on programm, millel on võime ennast taastoota. See võime on ainus vahend, mis on omane igat tüüpi viirustele. Kuid mitte ainult viirused ei ole võimelised ise paljunema. Iga operatsioonisüsteem ja paljud teised programmid on võimelised looma oma koopiaid. Viiruse koopiad ei pea mitte ainult originaaliga täielikult kokku langema, vaid ei pruugi sellega üldse kokku langeda!

Viirus ei saa eksisteerida "täielikus isolatsioonis": tänapäeval on võimatu ette kujutada viirust, mis ei kasutaks teiste programmide koodi, teavet failistruktuuri kohta või isegi ainult teiste programmide nimesid. Põhjus on selge: viirus peab kuidagi tagama, et kontroll läheb üle iseendale.

1.2. Viiruste klassifikatsioon

Praegu on teada üle 5000 tarkvaraviiruse, neid saab klassifitseerida järgmiste kriteeriumide järgi:

¨ elupaik

¨ elupaiga saastamise meetod

¨ mõju

¨ algoritmi omadused

Sõltuvalt nende elupaigast võib viirused jagada võrgu-, faili-, alglaadimis- ja failikäivitusviirusteks. Võrguviirused levitatakse erinevates arvutivõrkudes. Failiviirused on põimitud peamiselt käivitatavatesse moodulitesse, st COM- ja EXE-laienditega failidesse. Failiviirused saab manustada teist tüüpi failidesse, kuid reeglina sellistesse failidesse kirjutatuna ei saa nad kunagi kontrolli ja kaotavad seetõttu reprodutseerimisvõime. Käivitusviirused on manustatud ketta alglaadimissektorisse (Boot sektor) või sektorisse, mis sisaldab süsteemi ketta alglaadimisprogrammi (Master Boot Re-

juhe). Faili käivitamine Viirused nakatavad nii faile kui ka ketaste algsektoreid.

Nakatumise meetodi järgi jagatakse viirused resident- ja mitteresidentideks. Resident viirus kui arvuti on nakatunud (nakatatud), jätab see oma püsiva osa RAM-i, mis seejärel katkestab operatsioonisüsteemi juurdepääsu nakkusobjektidele (failidele, ketta alglaadimissektoritele jne) ja sisestab end neisse. Residentsed viirused asuvad mälus ja on aktiivsed seni, kuni arvuti välja lülitatakse või taaskäivitatakse. Mitteresidentsed viirused ei nakata arvuti mälu ja on aktiivsed piiratud aja.

Mõjuastme järgi võib viirused jagada järgmisteks tüüpideks:

¨ mitteohtlik, mis ei sega arvuti tööd, kuid vähendavad vaba RAM-i ja kettamälu hulka, selliste viiruste tegevus avaldub mõnes graafilises või heliefektis

¨ ohtlik viirused, mis võivad teie arvutiga põhjustada mitmesuguseid probleeme

¨ väga ohtlik, mille mõju võib põhjustada programmide kadumise, andmete hävimise ja teabe kustutamise ketta süsteemialadel.

2. VIIRUSTE PEALISED LIIGID JA NENDE TOIMIMISSKEEM

Erinevate viiruste hulgast saab eristada järgmisi põhirühmi:

¨ saabas

¨ fail

¨ faili alglaadimine

Vaatame nüüd kõiki neid rühmi lähemalt.

2.1. Käivitusviirused

Vaatame ühe väga lihtsa alglaadimisviiruse tööd, mis nakatab diskette. Me jätame teadlikult mööda kõigist arvukatest nüanssidest, mis selle toimimise algoritmi range analüüsi käigus paratamatult kokku puutuksid.

Mis juhtub, kui arvuti sisse lülitate? Esiteks läheb kontroll üle bootstrap programm, mis on salvestatud kirjutuskaitstud mällu (ROM) st. PNZ ROM.

See programm testib riistvara ja kui testid on edukad, proovib leida A-draivist disketi:

Igale disketile on märgitud nn. sektorid ja rajad. Sektorid ühendatakse klastriteks, kuid see pole meie jaoks oluline.

Sektorite hulgas on mitmeid teenuseid, mida operatsioonisüsteem kasutab oma vajadusteks (need sektorid ei saa sisaldada teie andmeid). Teenindussektoritest huvitab meid praegu üks – nn. alglaadimissektor(boot-sektor).

Alglaadimissektori kauplused disketi teave- pindade arv, radade arv, sektorite arv jne. Kuid nüüd ei huvita meid see teave, vaid väike bootstrap programm(PNZ), mis peab laadima operatsioonisüsteemi ise ja edastama sellele juhtimise.

Seega on tavaline alglaadimisskeem järgmine:

Vaatame nüüd viirust. Boot viirustel on kaks osa – nn. pea jne. saba. Üldiselt võib saba olla tühi.

Oletame, et teil on puhas diskett ja nakatunud arvuti, mille all peame silmas arvutit, millel on aktiivne viirus. Niipea kui see viirus tuvastab, et draivi on ilmunud sobiv ohver - meie puhul diskett, mis pole kirjutuskaitsega ja pole veel nakatunud, hakkab see nakatama. Disketti nakatamisel teeb viirus järgmisi toiminguid:

Valib ketta teatud ala ja märgib selle operatsioonisüsteemile kättesaamatuks, seda saab teha erineval viisil, kõige lihtsamal ja traditsioonilisel juhul märgitakse viiruse poolt hõivatud sektorid halvaks (halvaks)

Kopeerib selle saba ja algse (terve) alglaadimissektori ketta valitud alale

Asendab alglaadimisprogrammi (päris) alglaadimissektoris oma peaga

Korraldab skeemi järgi kontrolli üleandmise ahela.

Seega saab viiruse pea nüüd esimesena kontrolli, viirus installitakse mällu ja annab juhtimise üle algsesse alglaadimissektorisse. Keti sees

PNZ (ROM) - PNZ (ketas) - SÜSTEEM

ilmub uus link:

PNZ (ROM) - VIIRUS - PNZ (ketas) - SÜSTEEM

Moraal on selge: Ärge kunagi jätke diskette (kogemata) draivi A.

Uurisime lihtsa alglaadimisviiruse toimimisskeemi, mis elab diskettide alglaadimissektorites. Reeglina võivad viirused nakatada mitte ainult diskettide alglaadimise sektoreid, vaid ka kõvaketaste alglaadimise sektoreid. Veelgi enam, erinevalt diskettidest on kõvakettal kahte tüüpi alglaadimissektoreid, mis sisaldavad kontrollitavaid alglaadimisprogramme. Kui arvuti käivitub kõvakettalt, võtab esmalt juhtimise üle MBR-i (Master Boot Record) alglaadimisprogramm. Kui teie kõvaketas on jagatud mitmeks partitsiooniks, märgitakse alglaadimiseks ainult üks neist. MBR-i alglaadimisprogramm leiab kõvaketta alglaadimispartitsiooni ja annab juhtimise üle selle partitsiooni alglaadimisprogrammile. Viimase kood ühtib tavalistel diskettidel sisalduva alglaadimisprogrammi koodiga ning vastavad alglaadimissektorid erinevad vaid parameetritabelites. Seega on kõvakettal kaks alglaadimisviiruste rünnakuobjekti - bootstrap programm MBR Ja esmane programm alglaadimissektori allalaadimine alglaadimisketas.

2.2. Failiviirused

Vaatleme nüüd, kuidas toimib lihtne failiviirus. Erinevalt alglaadimisviirustest, mis on peaaegu alati püsivad, ei pruugi failiviirused olla residendid. Vaatleme mitteresidentse failiviiruse tööskeemi. Oletame, et meil on nakatunud käivitatav fail. Sellise faili käivitamisel saab viirus kontrolli alla, sooritab mõned toimingud ja annab juhtimise üle “ülemale” (kuigi pole veel teada, kes sellises olukorras on peremees).

Milliseid toiminguid viirus teeb? Otsib nakatamiseks uut objekti - sobivat tüüpi faili, mis pole veel nakatunud (kui viirus on “korralik”, muidu on mõni, mis nakatab kohe ilma midagi kontrollimata). Faili nakatades sisestab viirus end selle koodi, et saada kontrolli faili käivitamise üle. Lisaks oma põhifunktsioonile – paljunemisele – võib viirus teha ka midagi keerulist (ütlema, küsima, mängima) – see sõltub juba viiruse autori kujutlusvõimest. Kui failiviirus on resident, installib see end mällu ja suudab faile nakatada ja muid võimeid näidata mitte ainult nakatunud faili töötamise ajal. Käivitatava faili nakatamisel muudab viirus alati oma koodi – seetõttu saab käivitatava faili nakatumise alati tuvastada. Kuid failikoodi muutes ei tee viirus tingimata muid muudatusi:

à ta ei ole kohustatud faili pikkust muutma

à kasutamata koodilõigud

à ei ole faili alguse muutmiseks vajalik

Lõpuks sisaldavad failiviirused sageli viiruseid, millel on mingi seos failidega, kuid mida ei pea nende koodi sisse põimima. Vaatleme näitena tuntud Dir-II perekonna viiruste toimimisskeemi. Tuleb tunnistada, et 1991. aastal ilmudes said need viirused Venemaal tõelise katkuepideemia põhjuseks. Vaatame mudelit, mis näitab selgelt viiruse põhiideed. Teave failide kohta salvestatakse kataloogidesse. Iga kataloogi kirje sisaldab faili nime, loomise kuupäeva ja kellaaega, lisateavet, esimene klastri number fail jne. varubaidid. Viimased on jäetud "reservi" ja MS-DOS ise neid ei kasuta.

Käivitatavate failide käivitamisel loeb süsteem kataloogikirjest faili esimese klastri ja seejärel kõik teised klastrid. Dir-II perekonna viirused teostavad failisüsteemi järgmise "ümberkorraldamise": viirus ise kirjutab mõnesse ketta vabasse sektorisse, mille märgib halvaks. Lisaks salvestab see teavet esimeste käivitatavate failide klastrite kohta reserveeritud bittidesse ja kirjutab selle teabe asemele viited iseendale.

Seega, kui suvaline fail käivitatakse, saab viirus kontrolli alla (operatsioonisüsteem käivitab selle ise), installib end mällu ja annab juhtimise üle kutsutud failile.

2.3. Alglaadimisfailide viirused

Me ei võta alglaadimisfaili viiruse mudelit arvesse, kuna te ei õpi uut teavet. Siin on aga hea võimalus põgusalt arutleda viimasel ajal ülipopulaarsest alglaadimisfailiviirusest OneHalf, mis nakatab põhikäivitussektorit (MBR) ja käivitatavaid faile. Peamine hävitav mõju on kõvaketta sektorite krüptimine. Iga kord, kui see käivitatakse, krüpteerib viirus teise osa sektoreid ja pärast poole kõvaketta krüpteerimist teatab see sellest rõõmsalt. Peamine probleem selle viiruse ravimisel on see, et viiruse eemaldamisest MBR-ist ja failidest ei piisa, peate selle krüpteeritud teabe dekrüpteerima. Kõige surmavam toiming on lihtsalt uue terve MBR üle kirjutada. Peaasi, et ära satu paanikasse. Kaaluge kõike rahulikult ja konsulteerige asjatundjatega.

2.4. Polümorfsed viirused

Enamik küsimusi on seotud terminiga "polümorfne viirus". Seda tüüpi arvutiviirus tundub tänapäeval olevat kõige ohtlikum. Selgitame, mis see on.

Polümorfsed viirused on viirused, mis muudavad oma koodi nakatunud programmides nii, et sama viiruse kaks koopiat ei pruugi ühes bitis kattuda.

Sellised viirused mitte ainult ei krüpteeri oma koodi erinevate krüpteerimisteede abil, vaid sisaldavad ka krüpteerija ja dekrüpteerija genereerimise koodi, mis eristab neid tavalistest krüpteerimisviirustest, mis suudavad krüpteerida ka oma koodi osi, kuid millel on samal ajal konstantne krüpteerija ja dekrüpteerija kood. .

Polümorfsed viirused on isemodifitseerivate dekrüpteerijatega viirused. Sellise krüptimise eesmärk: kui teil on nakatunud ja originaalfail, ei saa te ikkagi selle koodi tavapärase lahtivõtmisega analüüsida. See kood on krüptitud ja on mõttetu käskude komplekt. Dekrüpteerimise teostab käivitamise ajal viirus ise. Sel juhul on võimalikud valikud: ta saab end lahti krüpteerida korraga või saab sellise dekrüpteerimise teha "lennult", saab uuesti krüpteerida juba kasutatud jaotisi. Seda kõike tehakse selleks, et viiruse koodi analüüsimine oleks keeruline.

3. ARVUTIVIROLOOGIA AJALUGU JA VIIRUSTE VÄLJUMISE PÕHJUSED

Arvutiviroloogia ajalugu näib tänapäeval olevat pidev “võidujooks liidri nimel” ja vaatamata kaasaegsete viirusetõrjeprogrammide kogu võimsusele on juhiks just viirused. Tuhandete viiruste hulgas on vaid mõnikümmend originaalarendust, mis kasutab tõeliselt põhimõtteliselt uusi ideid. Kõik ülejäänud on "teema variatsioonid". Kuid iga originaalarendus sunnib viirusetõrje loojaid uute tingimustega kohanema ja viirustehnoloogiale järele jõudma. Viimase üle võib vaielda. Näiteks 1989. aastal õnnestus ühel Ameerika üliõpilasel luua viirus, mis keelas umbes 6000 USA kaitseministeeriumi arvutit. Või 1991. aastal puhkenud kuulsa Dir-II viiruse epideemia. Viirus kasutas tõeliselt originaalset, põhimõtteliselt uut tehnoloogiat ja suutis algul traditsiooniliste viirusetõrjevahendite ebatäiuslikkuse tõttu laialt levida.

Või arvutiviiruste kasv Ühendkuningriigis: Christopher Pyne’il õnnestus luua viirused Pathogen ja Queeq, aga ka viirus Smeg. See oli viimane, mis oli kõige ohtlikum, seda võis asetada kahele esimesele viirusele ja seetõttu muutsid nad pärast iga programmi käivitamist konfiguratsiooni. Seetõttu oli neid võimatu hävitada. Viiruste levitamiseks kopeeris Pine arvutimänge ja programme, nakatas need ning saatis need siis võrku tagasi. Kasutajad laadisid nakatunud programme arvutisse ja nakatasid oma kettaid. Olukorda raskendas asjaolu, et Pine'il õnnestus viirused nende vastu võitlevasse programmi sisestada. Selle käivitamisega said kasutajad viiruste hävitamise asemel teise. Selle tulemusena hävitati paljude ettevõtete toimikud, põhjustades miljonite naelte suurust kahju.

Ameerika programmeerija Morris sai laialt tuntuks. Teda teatakse kui viiruse loojat, mis nakatas 1988. aasta novembris umbes 7 tuhat internetti ühendatud personaalarvutit.

Arvutiviiruste tekke ja leviku põhjused peituvad ühelt poolt inimisiksuse psühholoogias ja selle varjukülgedes (kadedus, kättemaks, tunnustamata loojate edevus, võimetus oma võimeid konstruktiivselt kasutada), teisest küljest riistvarakaitse ja personaalarvutisüsteemide vastutegevuse puudumise tõttu.

4. VIIRUSTE ARVUTI SISESTAMISE VIISID JA VIIRUSPROGRAMMI LEVITAMISE MEHHANISM

Peamised viisid, kuidas viirused arvutisse sisenevad, on irdkettad (floppy ja laser), samuti arvutivõrgud. Kõvaketas võib viirustega nakatuda, kui laadite programmi viirust sisaldavalt disketilt. Selline nakatumine võib olla ka juhuslik, näiteks kui diskett ei eemaldatud draivist A ja arvuti taaskäivitati ning diskett ei pruugi olla süsteemne. Disketti nakatamine on palju lihtsam. Viirus võib sinna sattuda ka siis, kui diskett lihtsalt sisestatakse nakatunud arvuti kettaseadmesse ja loetakse näiteks selle sisukord.

Viirus sisestatakse tööprogrammi reeglina nii, et selle käivitamisel antakse juhtimine esmalt üle sellele ja alles pärast kõigi käskude täitmist naaseb see tööprogrammi. Saanud juurdepääsu kontrollile, kirjutab viirus end ennekõike ümber teise tööprogrammi ja nakatab selle. Pärast viirust sisaldava programmi käivitamist on võimalik teisi faile nakatada. Kõige sagedamini on viirusega nakatunud ketta alglaadimissektor ja käivitatavad failid laienditega EXE, COM, SYS, BAT. Tekstifailide nakatumine on äärmiselt haruldane.

Pärast programmi nakatamist võib viirus sooritada mingisugust sabotaaži, mitte liiga tõsist, et mitte tähelepanu äratada. Ja lõpuks, ärge unustage tagastada juhtimine programmile, millest see käivitati. Iga nakatunud programmi käivitamine kannab viiruse üle järgmisele. Seega nakatub kogu tarkvara.

Arvutiprogrammi viirusega nakatamise protsessi illustreerimiseks on mõttekas võrrelda kettasalvestust vanamoodsa arhiiviga, mille kaustad on lindil. Kaustad sisaldavad programme ja viiruse sisestamise toimingute jada näeb sel juhul välja selline (vt lisa 1).

5. VIIRUSTE MÄRGID

Kui teie arvuti on viirusega nakatunud, on oluline see tuvastada. Selleks peaksite teadma peamisi viiruste tunnuseid. Nende hulka kuuluvad järgmised:

¨ varem edukalt toiminud programmide lõpetamine või vale töö

¨ arvuti aeglane jõudlus

¨ operatsioonisüsteemi ei saa laadida

¨ failide ja kataloogide kadumine või nende sisu rikkumine

¨ faili muutmise kuupäeva ja kellaaja muutmine

¨ failide suuruse muutmine

¨ kettal olevate failide arvu ootamatu märkimisväärne suurenemine

¨ vaba RAM-i suuruse märkimisväärne vähenemine

¨ ootamatute teadete või piltide kuvamine

¨ ootamatute helisignaalide andmine

¨ sagedased külmumised ja arvuti jooksmised

Tuleb märkida, et ülaltoodud nähtused ei pruugi olla põhjustatud viiruse olemasolust, vaid võivad olla muude põhjuste tagajärg. Seetõttu on alati keeruline arvuti seisukorda õigesti diagnoosida.

6. VIIRUSE AVASTAMINE NING KAITSE- JA ENNETUSMEETMED

6.1. Kuidas viirust tuvastada ? Traditsiooniline lähenemine

Niisiis, teatud viirusekirjutaja loob viiruse ja käivitab selle "ellu". Ta võib mõnda aega oma südamerahuga ringi käia, kuid varem või hiljem saab "lafa" otsa. Keegi kahtlustab, et midagi on valesti. Reeglina avastavad viirused tavakasutajad, kes märkavad oma arvuti käitumises teatud kõrvalekaldeid. Enamasti ei tule nad ise infektsiooniga toime, kuid seda neilt ei nõuta.

On vaid vajalik, et viirus jõuaks võimalikult kiiresti spetsialistide kätte. Spetsialistid uurivad seda, saavad teada, "mida see teeb", "kuidas see teeb", "millal see teeb" jne. Sellise töö käigus kogutakse selle viiruse kohta kogu vajalik teave, eelkõige viiruse allkiri. viirus on isoleeritud – baitide jada, mis teda üsna kindlalt iseloomustab. Signatuuri koostamiseks võetakse tavaliselt viiruse koodi kõige olulisemad ja iseloomulikumad lõigud. Samal ajal saavad selgeks ka viiruse toimimise mehhanismid, näiteks alglaadimisviiruse puhul on oluline teada, kus see oma saba peidab, kus asub algne alglaadimissektor ning failiviirus, faili nakatamise meetod. Saadud teave võimaldab teil teada saada:

· kuidas viirust tuvastada, selleks on meetodid signatuuride otsimiseks potentsiaalsetes viiruserünnakute objektides - määratakse failid ja/või alglaadimissektorid

· kuidas viirust neutraliseerida, võimalusel töötatakse välja algoritme viiruskoodi eemaldamiseks mõjutatud objektidelt

6.2. Viiruste tuvastamise ja kaitse programmid

Arvutiviiruste tuvastamiseks, eemaldamiseks ja nende eest kaitsmiseks on välja töötatud mitut tüüpi eriprogramme, mis võimaldavad viiruseid tuvastada ja hävitada. Selliseid programme nimetatakse viirusetõrje . Viirusetõrjeprogramme on järgmist tüüpi:

· detektoriprogrammid

· arstiprogrammid või faagid

· auditiprogrammid

· filtriprogrammid

Vaktsiini- või immuniseerimisprogrammid

Detektoriprogrammid Nad otsivad RAM-ist ja failidest konkreetsele viirusele iseloomulikku signatuuri ning kui leitakse, väljastavad vastava teate. Selliste viirusetõrjeprogrammide puuduseks on see, et nad suudavad leida ainult selliseid viiruseid, mis on selliste programmide arendajatele teada.

Arstiprogrammid või faagid ja vaktsiiniprogrammid mitte ainult ei leia viirustega nakatatud faile, vaid ka “ravi” neid, s.t. eemaldage failist viirusprogrammi keha, tagastades failid nende algsesse olekusse. Oma töö alguses otsivad faagid RAM-ist viiruseid, hävitavad need ja alles seejärel jätkavad failide "puhastamist". Faagidest eristatakse polüfaage, s.o. Arstiprogrammid, mis on loodud suure hulga viiruste otsimiseks ja hävitamiseks. Neist kuulsaimad: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Arvestades, et uusi viiruseid tuleb pidevalt juurde, vananevad detektor- ja arstiprogrammid kiiresti ning vaja on regulaarset versiooniuuendust.

Audiitori programmid on üks usaldusväärsemaid vahendeid viiruste eest kaitsmiseks. Audiitorid jätavad programmide, kataloogide ja ketta süsteemialade algoleku meelde, kui arvuti pole viirusega nakatunud, ning võrdlevad seejärel perioodiliselt või kasutaja soovil praegust olekut algse olekuga. Tuvastatud muudatused kuvatakse monitori ekraanil. Olekute võrdlemine toimub reeglina kohe pärast operatsioonisüsteemi laadimist. Võrdlemisel kontrollitakse faili pikkust, tsüklilist juhtkoodi (faili kontrollsummat), muutmise kuupäeva ja kellaaega ning muid parameetreid. Audiitorprogrammidel on üsna arenenud algoritmid, need tuvastavad varjatud viirused ja suudavad isegi puhastada kontrollitava programmi versiooni muudatused viiruse tehtud muudatustest. Auditiprogrammide hulgas on Venemaal laialdaselt kasutatav programm Adinf.

Filtreerimisprogrammid või "vahimees" on väikesed residentprogrammid, mis on loodud viirustele iseloomulike kahtlaste toimingute tuvastamiseks arvuti töö ajal. Sellised toimingud võivad olla:

· katsed parandada COM-, EXE-laienditega faile

· faili atribuutide muutmine

otse kirjutamine kettale absoluutsel aadressil

· kirjutamine ketta alglaadimissektoritesse

Kui mõni programm proovib määratud toiminguid sooritada, saadab “valvur” kasutajale teate ja pakub vastava toimingu keelamist või lubamist. Filtriprogrammid on väga kasulikud, kuna suudavad tuvastada viiruse selle olemasolu varases staadiumis enne replikatsiooni. Kuid nad ei "puhasta" faile ja kettaid. Viiruste hävitamiseks peate kasutama muid programme, näiteks faage. Valveprogrammide puudused hõlmavad nende "pealetükkivust" (näiteks hoiatavad pidevalt iga käivitatava faili kopeerimise katse eest), samuti võimalikke konflikte muu tarkvaraga. Filtriprogrammi näiteks on programm Vsafe, mis on osa MS DOS-i utiliidipaketist.

Vaktsiinid või immuniseerijad- Need on püsivad programmid, mis takistavad failide nakatumist. Vaktsiine kasutatakse juhul, kui puuduvad arstiprogrammid, mis seda viirust "ravivad". Vaktsineerimine on võimalik ainult teadaolevate viiruste vastu. Vaktsiin muudab programmi või ketast nii, et see ei mõjuta selle tööd ja viirus tajub seda nakatununa ega juurdu seetõttu. Praegu on vaktsiiniprogrammide kasutamine piiratud.

Viirustega nakatunud failide ja ketaste õigeaegne avastamine ning tuvastatud viiruste täielik hävitamine igas arvutis aitavad vältida viiruseepideemia levikut teistesse arvutitesse.

6.3. Põhimeetmed viiruste eest kaitsmiseks

Selleks, et vältida arvuti kokkupuudet viirustega ja tagada teabe usaldusväärne salvestamine ketastele, peate järgima järgmisi reegleid:

¨ varustage oma arvuti kaasaegsete viirusetõrjeprogrammidega, nagu Aidstest, Doctor Web, ja värskendage pidevalt nende versioone

¨ enne teistesse arvutitesse salvestatud teabe lugemist diskettidelt kontrollige neid diskette viiruste suhtes, käivitades arvutis viirusetõrjeprogrammid

¨ arhiivitud failide arvutisse ülekandmisel kontrollige neid kohe pärast kõvakettal lahtipakkimist, piirates skannimisala ainult äsja salvestatud failidega

¨ kontrollige perioodiliselt oma arvuti kõvakettaid viiruste suhtes, käivitades viirusetõrjeprogrammid, et testida faile, mälu ja ketaste süsteemialasid kirjutuskaitsega disketilt pärast operatsioonisüsteemi laadimist kirjutuskaitsega süsteemi disketilt

¨ Kaitske oma diskette alati kirjutamise eest, kui töötate teistes arvutites, kui neile teavet ei kirjutata

¨ tehke kindlasti teie jaoks väärtuslikust teabest diskettidele varukoopiaid

¨ ärge jätke operatsioonisüsteemi sisselülitamisel või taaskäivitamisel diskette A-draivi taskusse, et arvuti ei saaks alglaadimisviirustega nakatuda

¨ kasutage viirusetõrjeprogramme kõigi arvutivõrkudest saadud käivitatavate failide sisendi juhtimiseks

¨ suurema turvalisuse tagamiseks tuleb Adinf diskaudiitori igapäevase kasutamisega kombineerida Aidstest ja Doctor Web

KOKKUVÕTE

Seega võime tsiteerida palju fakte, mis viitavad sellele, et oht teaberessurssidele suureneb iga päevaga, pannes pankade, ettevõtete ja ettevõtete otsustajad paanikasse üle kogu maailma. Ja see oht tuleneb arvutiviirustest, mis moonutavad või hävitavad elutähtsat väärtuslikku teavet, mis võib kaasa tuua mitte ainult rahalisi kaotusi, vaid ka inimohvreid.

Arvutiviirus - spetsiaalselt kirjutatud programm, mis on võimeline spontaanselt liituma teiste programmidega, looma endast koopiaid ja sisestama neid failidesse, arvuti süsteemialadesse ja arvutivõrkudesse, et häirida programmide tööd, kahjustada faile ja katalooge ning luua igasugused häired arvuti töös.

Praegu on teada üle 5000 tarkvaraviiruse, mille arv kasvab pidevalt. On teada juhtumeid, kus viiruste kirjutamise abistamiseks loodi õpetused.

Peamised viiruste tüübid: alglaadimine, fail, fail-buutimine. Kõige ohtlikum viirustüüp on polümorfne.

Arvutiviroloogia ajaloost on selge, et igasugune originaalne arvutiarendus sunnib viirusetõrje loojaid uute tehnoloogiatega kohanema ja viirusetõrjeprogramme pidevalt täiustama.

Viiruste ilmumise ja leviku põhjused on peidetud ühelt poolt inimese psühholoogias, teisalt aga kaitsemeetmete puudumise tõttu operatsioonisüsteemis.

Peamised viiruste tungimise teed on irdkettad ja arvutivõrgud. Selle vältimiseks järgige kaitsemeetmeid. Samuti on arvutiviiruste tuvastamiseks, eemaldamiseks ja nende eest kaitsmiseks välja töötatud mitut tüüpi eriprogramme, mida nimetatakse viirusetõrjeprogrammideks. Kui leiate oma arvutist viiruse, siis traditsioonilist lähenemist kasutades on parem helistada professionaalile, et seda täpsemalt selgitada.

Kuid mõned viiruste omadused mõistatavad isegi spetsialiste. Alles hiljuti oli raske ette kujutada, et viirus võib külma alglaadimise üle elada või dokumendifailide kaudu levida. Sellistes tingimustes on võimatu mitte tähtsustada vähemalt kasutajate esmast viirusetõrjeharidust. Vaatamata probleemi tõsidusele ei suuda ükski viirus teha nii palju kahju kui valge näoga ja värisevate kätega kasutaja!

Niisiis, Teie arvutite tervis, teie andmete turvalisus on teie kätes!

Bibliograafia

1. Arvutiteadus: õpik / toim. Prof. N.V. Makarova. - M.: Rahandus ja statistika, 1997.

2. Saladuste ja aistingute entsüklopeedia / Koostanud. tekst Yu.N. Petrova. - Mn.: Kirjandus, 1996.

3. Bezrukov N.N. Arvutiviirused. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Kaasaegsed tehnoloogiad viiruste vastu võitlemiseks // PC World. - nr 8. - 1993.

Vaatamata sellele, et üldine infoturve ja ennetavad meetmed on viiruste eest kaitsmisel väga olulised, on spetsialiseeritud programmide kasutamine vajalik. Need programmid võib jagada mitut tüüpi:

? Detektoriprogrammid kontrollivad, kas kettal olevad failid sisaldavad teadaoleva viiruse jaoks kindlat baitide kombinatsiooni (signatuur) ja annavad sellest kasutajale teada (VirusScan/SCAN/McAfee Associates).
? Arstiprogrammid ehk faagid “ravivad” nakatunud programme, “hammustades” nakatunud programmidest välja viiruse keha, nii elupaiga taastamisega kui ka ilma (nakatunud fail) – SCAN-programmi tervendav moodul – programm CLEAN.
? Doctor-detektori programmid (Lozinsky's Aidstest, Danilovi Doctor Web, MSAV, Norton Antivirus, Kaspersky AVP) suudavad tuvastada teadaoleva viiruse olemasolu kettal ja ravida nakatunud faili. Tänapäeval kõige levinum viirusetõrjeprogrammide rühm.

Lihtsamal juhul näeb ketta sisu viiruste kontrollimise käsk välja selline: aidstest / key1 / key 2 / key 3 /---

? Filtriprogrammid (watchmen) asuvad arvuti RAM-is ja võtavad kinni need operatsioonisüsteemi kõned, mida viirused kasutavad paljunemiseks ja kahju tekitamiseks, ning teavitavad neist kasutajat:
- katse rikkuda OS-i põhifaili COMMAND.COM;
- katse kirjutada otse kettale (eelmine kirje kustutatakse) ja kuvatakse teade, et mõni programm üritab kettale kopeerida;
- ketta vormindamine,
- programmi püsiv paigutus mällu.

Olles tuvastanud katse ühele neist toimingutest, annab filtriprogramm kasutajale olukorra kirjelduse ja nõuab temalt kinnitust. Kasutaja saab selle toimingu lubada või keelata. Viirustele iseloomulike toimingute juhtimine toimub vastavate katkestuskäitlejate asendamise teel. Nende programmide miinusteks on pealetükkivus (näiteks valvur annab hoiatuse iga käivitatava faili kopeerimise katse kohta), võimalikud konfliktid muu tarkvaraga ja mõnede viiruste poolt valvuritest möödahiilimine. Filtrite näited: Anti4us, Vsafe, Disk Monitor.

Tuleb märkida, et tänapäeval on paljudel arsti-detektori klassi programmidel ka residendi moodul - filter (kaitse), näiteks DR Web, AVP, Norton Antivirus. Seega võib selliseid programme liigitada arst-detektor-valvur.

? Riist- ja tarkvara viirusetõrjevahendid (Sheriffi riist- ja tarkvarakompleks). Sarnaselt valveprogrammidega on riist- ja tarkvara viirusetõrjetööriistad, mis pakuvad usaldusväärsemat kaitset viiruste süsteemi tungimise eest. Sellised kompleksid koosnevad kahest osast: riistvarast, mis paigaldatakse mikroskeemi kujul emaplaadile, ja tarkvarast, mis salvestatakse kettale. Riistvaraosa (kontroller) jälgib kõiki kettale kirjutamise toiminguid, tarkvara osa, asudes RAM-is, jälgib kõiki info sisestus-/väljundoperatsioone. Nende tööriistade kasutamise võimalus nõuab aga hoolikat kaalumist arvutis kasutatavate lisaseadmete (nt kettakontrollerite, modemite või võrgukaartide) seadistamisel.
? Audiitorprogrammid (Adinf/Advanced Disk infoskoop/raviplokiga ADinf Cure Module Mostovoy). Auditiprogrammidel on kaks tööetappi. Esiteks mäletavad nad teavet programmide oleku ja ketaste süsteemialade kohta (käivitussektor ja sektor koos tabeliga kõvaketta jagamiseks loogilisteks partitsioonideks). Eeldatakse, et praegu ei ole programmid ja süsteemikettaalad nakatunud. Seejärel, kui võrrelda süsteemialasid ja kettaid algsete omadega, teavitatakse kasutajat, kui leitakse lahknevus. Audiitorprogrammid on võimelised tuvastama nähtamatud (STEALTH) viirused. Faili pikkuse kontrollimisest ei piisa; mõned viirused ei muuda nakatunud failide pikkust. Usaldusväärsem kontroll on lugeda kogu fail ja arvutada selle kontrollsumma (bitihaaval). Peaaegu võimatu on muuta kogu faili nii, et selle kontrollsumma jääks samaks. Audiitorite väiksemateks puudusteks on asjaolu, et turvalisuse tagamiseks tuleb neid regulaarselt kasutada, näiteks iga päev välja kutsuda failist AUTOEXEC.BAT. Kuid nende vaieldamatuteks eelisteks on kontrollide kiire kiirus ja asjaolu, et need ei vaja sagedast versiooniuuendust. Audiitori versioonid, isegi kuus kuud vanad, tuvastavad ja eemaldavad usaldusväärselt kaasaegsed viirused.
? Vaktsiini- või immuniseerimisprogrammid (CPAV). Vaktsiiniprogrammid muudavad programme ja kettaid nii, et see ei mõjuta programmide tööd, kuid viirus, mille vastu vaktsineeritakse, loeb need programmid ja kettad juba nakatunuks. Need programmid ei ole piisavalt tõhusad.

Tavaliselt võib viirusevastase kaitse strateegiat määratleda kui mitmetasandilist "kihilist" kaitset. Struktuuriliselt võib see välja näha selline. Luurevahendid viirustevastases "kaitses" vastavad detektoriprogrammidele, mis võimaldavad tuvastada äsja vastuvõetud tarkvara viiruste olemasolu tuvastamiseks. Kaitsevaldkonnas on esirinnas filtriprogrammid, mis asuvad arvuti mälus. Need programmid võivad olla esimesed, kes teatavad viiruse toimimisest. “Kaitse” teine ešelon koosneb auditiprogrammidest. Audiitorid tuvastavad viiruserünnaku isegi siis, kui see on suutnud "lekkida" läbi eesmise kaitseliini. Arstiprogramme kasutatakse nakatunud programmide taastamiseks, kui nakatunud programmi koopiat arhiivis pole, kuid need ei parane alati õigesti. Arstid-inspektorid tuvastavad viirusrünnaku ja ravivad nakatunud programme ning jälgivad ravi õigsust. Kaitse sügavaim ešelon on juurdepääsukontrolli vahendid. Need ei lase viirustel ja talitlushäiretega programmidel olulisi andmeid rikkuda, isegi kui need on arvutisse tunginud. "Strateegiline reserv" sisaldab teabe arhiivikoopiaid ja tarkvaratoodetega "viiteid" diskette. Need võimaldavad teil kahjustatud teavet taastada.

Iga viiruse tüübi kahjulikud toimed võivad olla väga erinevad. See hõlmab oluliste failide või isegi BIOS-i püsivara kustutamist, isikliku teabe (nt paroolid) edastamist kindlale aadressile, volitamata meilikampaaniate korraldamist ja rünnakuid teatud veebisaitidele. Tasulistele numbritele on võimalik helistada ka mobiiltelefoni kaudu. Varjatud haldusutiliidid (tagauks) võivad isegi täieliku kontrolli arvuti üle ründajale üle anda. Õnneks saab kõigi nende hädadega edukalt võidelda ja peamiseks relvaks selles võitluses saab loomulikult olema viirusetõrjetarkvara.

Kaspersky viirusetõrje. Võib-olla on "Kaspersky Anti-Virus" Venemaal kõige kuulsam seda tüüpi toode ja nimest "Kaspersky" on saanud pahatahtlike koodide vastu võitleja sünonüüm. Samanimeline labor mitte ainult ei anna pidevalt välja oma turvatarkvara uusi versioone, vaid teeb ka arvutikasutajate seas õppetööd. Kaspersky Anti-Virus uusim, üheksas versioon, nagu ka eelmised versioonid, eristub lihtsa ja äärmiselt läbipaistva liidesega, mis ühendab kõik vajalikud utiliidid ühes aknas. Tänu installiviisardile ja intuitiivsetele menüüvalikutele saab isegi algaja kasutaja seda toodet konfigureerida. Kasutatavate algoritmide võimsus rahuldab isegi professionaale. Iga tuvastatud viiruse üksikasjaliku kirjelduse leiate, helistades otse programmist vastavale Interneti-lehele.

Dr. Võrk. Teine populaarne Venemaa viirusetõrje, mis konkureerib populaarsuselt Kaspersky Anti-Virusega, on Dr. Võrk. Selle prooviversioonil on huvitav funktsioon: see nõuab kohustuslikku registreerimist Interneti kaudu. Ühest küljest on see väga hea – kohe pärast registreerimist uuendatakse viirusetõrje andmebaasi ja kasutaja saab allkirjade kohta uusimad andmed. Teisest küljest on prooviversiooni võrguühenduseta installimine võimatu ja nagu kogemused on näidanud, on ebastabiilse ühenduse korral probleemid vältimatud.

Panda Antivirus + Firewall 2007. Arvutiturbe valdkonna terviklik lahendus - Panda Antivirus + Firewall 2007 pakett - sisaldab lisaks viirusetõrjeprogrammile ka võrgutegevust jälgivat tulemüüri. Programmi põhiakna liides on kujundatud "loomulikes" rohelistes toonides, kuid vaatamata visuaalsele atraktiivsusele on menüünavigatsioonisüsteem üles ehitatud ebamugavalt ja algaja kasutaja võib seadetes segadusse sattuda.

Panda pakett sisaldab mitmeid originaallahendusi, näiteks TruePrevent, patenteeritud tehnoloogia tundmatute ohtude otsimiseks, mis põhineb kõige kaasaegsematel heuristilistel algoritmidel. Tähelepanu tasub pöörata ka arvuti haavatavuste otsimise utiliidile - see hindab turvasüsteemi “aukude” ohtu ja pakub vajalike värskenduste allalaadimist.

Norton Antivirus 2005. Peamine mulje kuulsa ettevõtte Symanteci tootest - viirusetõrjekompleksist Norton Antivirus 2005 - on keskendumine võimsatele arvutisüsteemidele. Norton Antivirus 2005 liidese reageerimine kasutaja toimingutele viibib märgatavalt. Lisaks seab see installimisel üsna ranged nõuded operatsioonisüsteemi ja Internet Exploreri versioonidele. Erinevalt Dr.Webist ei nõua Norton Antivirus viiruseandmebaaside värskendamist installimise ajal, vaid tuletab teile meelde, et need on kogu töö ajal aegunud.

McAfee VirusScan. Valisime testimiseks huvitava viirusetõrjetoote, mis on arendajate sõnul skänner nr 1 - McAfee VirusScan -, kuna sarnaste rakenduste seas paistis see silma suure levimahu poolest (üle 40 MB). ). Uskudes, et see väärtus tuleneb selle laiast funktsionaalsusest, jätkasime installimist ja avastasime, et see sisaldab lisaks viirusetõrje skannerile ka tulemüüri, aga ka utiliite kõvaketta puhastamiseks ja objektide garanteeritud eemaldamiseks kõvakettalt. draiv (failipurustaja).

Küsimused 6. ja 7. peatüki jaoks

1. Infoturbe vahendite ja tehnoloogiate arendamise etapid.
2. Standardse turvamudeli komponendid.
3. Turvaohtude allikad ja nende klassifikatsioon.
4. Tahtmatud ohud infoturbele.
5. Infoturbe tahtlikud ohud.
6. Infolekkekanalite klassifikatsioon.
7. Infoturbe probleemide reguleerimine.
8. Riigi infoturbesüsteemi ülesehitus.
9. Infoturbe meetodid ja vahendid.
10. Andmeturbeohtude klassifikatsioon.
11. Informatsiooni viiruste eest kaitsmise meetodid.
12. Terviklikkuse kontrollimise meetodid.
13. Arvutiviiruste klassifikatsioon.
14. Viirusetõrje.
15. Ennetavad viirusetõrjemeetmed.
16. Viirusetõrjetarkvara toodete klassifikatsioon.