yandex rtb 1
ГоловнаЗворотній зв'язок
yande share
Главная->Математика і інформатика->Содержание->Тема 4 Изучение основ работы с антивирусными программами

Введение в специальность

Тема 4 Изучение основ работы с антивирусными программами

Антивирусные программы — это программы, которые обнаруживают и удаляют вирусы из оперативной памяти компьютера и файловой системы.

Вирусы классифицируют по следующим основным признакам:

·            среда обитания;

·            операционная система (OC);

·            особенности алгоритма работы;

·            деструктивные возможности.

По среде обитания вирусы можно разделить на:

·            файловые;

·            загрузочные;

·            макро;

·            сетевые.

Файловые вирусы (наиболее распространенный тип вирусов) либо различными способами внедряются в выполняемые файлы, либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов (MS Word).

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Заражаемая операционная система (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OС – DOS, Windows, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

Среди особенностей алгоритмов работы вирусов выделяются следующие пункты:

·            резидентность;

·            использование стелс-алгоритмов;

·            самошифрование и полиморфичность;

·            использование нестандартных приемов.

По деструктивным возможностям вирусы можно разделить на:

·            безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

·            неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

·            опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

·            очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов – вводить в резонанс и разрушать головки некоторых типов винчестеров.

Антивирусные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры – это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы записаться в зарезервированные операционной системой области винчестера, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки операционной системы. К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания.

Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.

Ревизоры-программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет.

К последней группе относятся самые неэффективные антивирусы-вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.

DOCTOR WEB

В последнее время стремительно растет популярность антивирусной программы Doctor Web (рисунок 1). Dr.Web относится к классу детекторов-докторов, но в отличие от последнего имеет так называемый «эвристический анализатор» – алгоритм, позволяющий обнаруживать неизвестные вирусы. «Лечебная паутина», как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов, которые при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса.

 

 

Рисунок 1 – Окно программы Dr.Web

 

Управление режимами может осуществляется с помощью ключей. Пользователь может указать программе тестировать как весь диск, так и отдельные каталоги или группы файлов, либо же вовсе отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную (указывается с помощью ключа /H ). Как и Aidstest Doctor Web может создавать отчет о работе (ключ /P), загружать знакогенератор Кириллицы (ключ /R ), поддерживает работу с программно-аппаратным комплексом Sheriff (ключ /Z ).

Но, конечно, главной особенностью «Лечебной паутины» является наличие эвристического анализатора, который подключается ключем /S. Баланса между скоростью и качеством можно добиться, указав ключу уровень эвристического анализа:

-          0 – минимальный;

-          1 – оптимальный;

-          2 – максимальный;

при этом, естественно, скорость уменьшается пропорционально увеличению качества.

Важной функцией является контроль заражения тестируемых файлов резидентным вирусом (ключ /V). При сканировании памяти нет стопроцентной гарантии, что «Лечебная паутина» обнаружит все вирусы, находящиеся там. Так вот, при задании функции /V Dr.Web пытается воспрепятствовать оставшимся резидентным вирусам заразить тестируемые файлы.

NA (Norton Antivirus)

Программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антивирус может лечить, как известные, так и неизвестные вирусы, причем о способе лечения последних программе может сообщить сам пользователь. К тому же NA может лечить самомодифицирующиеся и стелс-вирусы (невидимки).

При запуске NA появляется система окон с меню и информация о состоянии программы (рисунок 2). Очень удобна контекстная система подсказок, которая дает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, и меняется при переходе от пункта к пункту. Так же немаловажным достоинством является поддержка мыши. Существенный недостаток интерфейса NA – отсутствие возможности выбора пунктов меню нажатием клавиши с соответствующей буквой, хотя это несколько компенсируется возможностью выбрать пункт, нажав ALT и цифру, соответствующую номеру этого пункта.

В состав пакета NA входит также резидентный драйвер, который позволяет обнаруживать большинство невидимых вирусов (кроме вирусов типа Ghost-1963 или DIR), дезактивировать вирусы на время своей работы, а также запрещает изменять READ ONLY файлы.

При первом запуске AVSP следует протестировать систему на наличие известных вирусов, выбрав пункты меню «Поиск и удаление вирусов» и «Комплексная проверка». При этом проверяется оперативная память, BOOT-сектор и файлы. После этого (если вирусов не обнаружено) нужно создать таблицы данных о файлах и системных областях, выбрав в основном меню пункт «Данные о файлах и вирусах» и подменю «Создание файлов данных».

Указать программе, что именно нужно проверять, пользователь может с помощью пункта «Установка параметров». Можно установить проверку размеров файлов, их контрольных сумм, наличие в них вирусов, либо все это вместе. Для этого нужно установить «флажки» напротив соответствующих пунктов. Так же можно указать, что именно проверять (Boot-сектор, память, или файлы). Как и в большинстве антивирусных программ, здесь пользователю предоставляется возможность выбрать между скоростью и качеством. Суть скоростной проверки заключается в том, что просматривается не весь файл, а только его начало; при этом удается обнаружить большинство вирусов. Если же вирус пишется в середину, либо файл заражён несколькими вирусами (при этом «старые» вирусы как бы оттесняются в середину «молодым») то программа его и не заметит. Поэтому следует установить оптимизацию по качеству, тем более что в NA качественное тестирование занимает не намного больше времени, чем скоростное.

Все операции могут производиться на текущем диске (по умолчанию), по текущему пути, а также на всех дисках. Для того, чтобы поменять путь или диск следует нажать клавишу TAB. Во время работы информация о пути выводится в верхнем левом углу.

Для проверки компьютера на наличие известных вирусов нужно в основном меню выбрать пункт «Поиск и удаление вирусов». После этого можно выбрать либо режим «Проверка наличия вирусов», либо режим «Комплексная проверка». В первом случае будет произведена проверка файлов и загрузочных секторов на известные вирусы, а во втором – будут проверены не только файлы и BOOT-сектора, но и память.

В первую очередь программа произведет предварительный проход для оценки объема предстоящей работы, а затем просмотрит все программные файлы. В любой момент пользователь может нажать ESC для прерывания просмотра или пробел для временной остановки. По умолчанию NA проверяет размеры файлов. Если размер изменен, то проверяется контрольная сумма и строится карта изменения файла. Если файл новый, то он проверяется на наличие известных вирусов.

Во время проверки диска в окно, расположенное в правой части экрана могут выводиться различные сообщения, например, об изменении размера файла. После проверки их все можно будет просмотреть, выбрав в меню пункт «Просмотр Сообщений». Иногда может быть выдано сообщение о подозрительных файлах. Это означает, что по некоторым признакам можно судить о том, что файл заражен новым вирусом или он ранее был им заражен, но после лечения характерные для вируса признаки остались. Такое сообщение выдается также о файлах, у которых странное время создания.

При комплексной проверке NA выводит имена файлов, в которых произошли изменения, а также так называемую карту изменений. Если у большинства изменённых файлов она одинаковая, то, вероятнее всего, в систему «закрался» какой-то вирус. Чаще всего в такой ситуации программа сама «заподозрит» неладное и предложит внести информацию о нём в библиотеку. При этом шаблон вируса будет выбран автоматически.

AVP

AVP представляет из себя полностью 32-разрядное приложение, оптимизированное для работы в среде Microsoft Windows 95/98/NT/2000, и предназначенное для поиска и удаления вирусов. AVP имеет удобный пользовательский интерфейс, большое количество настроек, выбираемых пользователем, а также одну из самых больших в мире антивирусных баз, что гарантирует надежную защиту от огромного числа самых разнообразных вирусов. Главное окно программы AVP сканер представлено на рисунке 3.

В ходе работы программа сканирует:

-          оперативную память (DOS, XMS, EMS);

-          файлы, включая архивные и упакованные;

-          системные сектора, содержащие Master Boot Record, загрузочный сектор (Boot-сектор) и таблицу разбиения диска (Partition Table).

Основные особенности программы:

-                   детектирование и удаление огромного числа самых разнообразных вирусов, в том числе:

§         полиморфных или самошифрующихся вирусов;

§         стелс-вирусов или вирусов-невидимок;

§         макро вирусов, заражающих документы Word и таблицы Excel;

-                   сканирование внутри упакованных файлов (модуль Unpacking Engine).

-                   сканирование внутри архивных файлов (модуль Extracting Engine).

-                   сканирование объектов на гибких, локальных, сетевых и CD-ROM дисках.

-                   эвристический модуль Code Analyzer, необходимый для детектирования неизвестных вирусов.

-                   поиск в режиме избыточного сканирования.

-                   проверка объектов на наличие в них изменений.

 

Рисунок 3 – Окно программы AVP-сканер

 

AVP-Monitor – резидентный модуль, находящийся постоянно в оперативной памяти компьютера и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального заражения системы в целом.

 

Контрольные вопросы.

1           Антивирусные программы и их виды.

2           Вирусы и их классификация.

3           Возможности программы Dr.Web.

4           Возможности программы AVP.

 

 

6