Компьюетрные вирусы и осуществление безопасности ИС

Автор работы: Пользователь скрыл имя, 12 Апреля 2012 в 00:03, курсовая работа

Краткое описание

Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации.
Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов.
С давних времён известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.
Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Aidstest, Doctor Web, MicroSoft AntiVirus. Антивирусы-детекторы расчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.

Содержание работы

ВВЕДЕНИЕ 3
ГЛАВА 1. КОМПЬЮТЕРНЫЕ ВИРУСЫ, ИХ СВОЙСТВА И КЛАССИФИКАЦИЯ 5
2.1 ОПИСАНИЕ И СВОЙСТВА КОМПЬЮТЕРНЫХ ВИРУСОВ 5
2.1 КЛАССИФИКАЦИЯ ВИРУСОВ 8
2.3 АНАЛИЗ АЛГОРИТМА ВИРУСА 15
ГЛАВА 2. СПОСОБЫ ЗАЩИТЫ ОТ ВРЕДОНОСНЫХ ПРОГРАММ 17
2.1 МЕТОДЫ ЗАЩИТЫ ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ 17
2.2 АНТИВИРУСНЫЕ ПРОГРАММЫ И ИХ КЛАССИФИКАЦИЯ 21
ЗАКЛЮЧЕНИЕ 25
СПИСОК ИСТОЧНИКОВ 26

Содержимое работы - 1 файл

курсач.docx

— 58.72 Кб (Скачать файл)

     Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в  ней могут сидеть какой-нибудь новый  вирус или слегка модифицированная версия старого вируса, неизвестные  программам-детекторам.

     Многие  программы-детекторы (в том числе  и Aidstest) не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Дело в том, что для чтения диска они используют функции DOS, а они перехватываются вирусом, который говорит, что все хорошо. Правда, Aidstest и другие детекторы пытаются выявить вирус путем просмотра оперативной памяти, но против некоторых "хитрых" вирусов это не помогает. Так что надежный диагноз программы-детекторы дают только при загрузке DOS с "чистой", защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с этой дискеты.

     Некоторые детекторы (скажем ADinf фирмы "Диалог-Наука") умеют ловить "невидимые" вирусы, даже когда они активны. Для этого они читают диск, не используя вызовы DOS. Правда, этот метод работает не на всех дисководах.

     Большинство программ-детекторов имеют функцию "доктора", т.е. они пытаются вернуть  зараженные файлы или области  диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

     Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов. К таким программам относится AVSP фирмы "Диалог-МГУ".

     Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю[9].

     Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду  запуска программы-ревизора в командный  файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда  он еще не успел нанести большого вреда. Более того, та же программа-ревизор  сможет найти поврежденные вирусом  файлы.

     Многие  программы-ревизоры являются довольно "интеллектуальными" - они могут  отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом  и производят одинаковые изменения  в разных программных файлах. Понятно, что в нормальной ситуации такие  изменения практически никогда  не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что  они вызваны именно вирусом.

     Другие  программы часто используют различные  полумеры – пытаются обнаружить вирус  в оперативной памяти, требуют  вызовы из первой строки файла AUTOEXEC.BAT, надеясь работать на "чистом" компьютере, и т.д. Увы, против некоторых "хитрых" вирусов все это бесполезно[3].

     Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно[8].

     В последнее время появились очень  полезные гибриды ревизоров и  докторов, т.е. Доктора-ревизоры,- программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы[9].

     Но  они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные", известные на момент написания программы, механизмы  заражения файлов.

     Существуют  также программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

     Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера[7].

     Программы-вакцины, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

 

2.2 АНТИВИРУСНЫЕ ПРОГРАММЫ  И ИХ КЛАССИФИКАЦИЯ

     Антивирусная  программа (антивирус) — изначально компьютерная программа, которая предназначена для обезвреживания вирусов и различного рода вредоносного ПО, с целью сохранности данных и оптимальной работы вашего персонального компьютера[4]. 

     Антивирусное  ПО, пришлось ждать не долго, оно появилось сразу после появления первых вредоносных программ. В нынешний момент над разработкой антивирусных программ трудятся целые корпорации во главе с тысячами людей, которые постоянно "латают дыры", чтоб наш информационный мир был более чистым и безопасным. 

     Антивирусные  программы (антивирусы) используют два определенных принципа работы (устранения) с вредоносным ПО[9]:

    • Сканирование вашего компьютера и сопоставление уже имеющегося вируса с базой данных на сервере определенного производителя. 
    • Сканирование и обнаружение программ, которые ведут себя подозрительно и могут по определению являться вредоносным ПО. 

     Также можно определить некоторую классификацию  антивирусных модулей, которые входят в составы различных антивирусных программ (антивирусов): 

     1. Сканеры — антивирусный модуль, который работает на основе сопоставления. Другими словами, антивирус ищет наличие вируса по базе сигнатур. Качество сканирования зависит от даты обновления баз данных и от эвристического анализа[3]. 

     2. Ревизорный модуль — запоминает состояние файловой системы, что в последствии дает возможность сравнить отличия и сопоставить результаты. В случае отличия, вирус ловиться[3]. 

     3. Мониторы — это специальный программы помощники, которые в случае выявления потенциально опасного вредоносного ПО(чаще всего встречаются EXE файлы) предлагают пользователю на выбор несколько операций, в число которых обязательно входит функция "удалить"[3]. 

     4. Вакцины — принцип действия этого модуля, может напоминать нам обычную "прививку". Другими словами, когда вирус хочет проникнуть и заразить программу, то роль вакцины заключается в том, чтоб показать вирусу, что программа уже заражена. К сожалению, в данный момент, когда количество вирусов в глобальной сети измеряется миллионами, данный способ уже устарел[3]. 

     Антивирусы защищают ваш компьютер от вирусов и других вредоносных программ, например червей и троянов. Антивирусные программы нужно регулярно обновлять в интернете. Для получения обновлений надо подписаться на услугу обновления антивирусных баз производителя антивирусной программы. Перед подключением к сети Интернет необходимо запускать антивирусную программу! 

     Основные  задачи антивирусов[1]: 

  1. Сканирование файлов и программ в режиме реального времени. 
  2. Сканирование компьютера по требованию. 
  3. Сканирование интернет-трафика. 
  4. Сканирование электронной почты. 
  5. Защита от атак враждебных веб-узлов. 
  6. Восстановление поврежденных файлов (лечение). 

     Самыми  популярными и эффективными антивирусными  программами являются антивирусные сканеры (другие названия: доктора, фаги, полифаги). Следом за ними по эффективности и популярности следуют CRC-сканеры. Применяются также различного типа  мониторы (фильтры, блокировщики) и иммунизаторы (детекторы). 

     Сканеры. Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Сканеры также можно разделить на две категории - "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel. Сканеры также делятся на "резидентные", производящие сканирование "на лету", и "нерезидентные", обеспечивающие проверку системы только по запросу[7]. 

     CRC-сканеры. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом[7]. 

     Антивирусные  мониторы. Антивирусные мониторы - это резидентные программы, перехватывающие "вирусо-опасные" ситуации и сообщающие об этом пользователю. К "вирусо-опасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные сектора дисков, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения[7]. 

     Иммунизаторы. Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, что он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и мониторы, практически не используются в настоящее время[9]. 

     Примеры антивирусных программ: 

     Наиболее  распространенные антивирусные программы: ADINF, AIDSTEST, AVP, DrWeb. NAV (Symantec), SCAN (McAfee), VIRUSAFE (Eliashim) и др. К антивирусам, которые зарекомендовали себя как достаточно надежные сканеры, можно отнести AVAST (Avil Software, Чехословакия), Dr.Solomon's AVTK ("Anti-Virus Toolkit", S&S International, Великобритания), NVC ("Norman Virus Control", Norman plc, Норвегия). Эти три программы вместе с AVP в последние годы показывают стабильно высокие результаты во всех антивирусных тестах. Неплохим сканером является также IBM Anti-Virus. За ними следуют F-PROT (Frisk Software, Исландия) и TBAV ("Thunderbyte Anti-Virus", ESaSS, Нидерланды). Эти две программы являются, пожалуй, наиболее мощными и популярными в мире shareware-сканерами. Нельзя не отметить антивирус SWEEP (Sophos plc, Великобритания)[4]. 

 

ЗАКЛЮЧЕНИЕ

 

     При работе с современным персональным компьютером пользователя (а особенно начинающего) может подстерегать множество  неприятностей: потеря данных, зависание системы, выход из строя отдельных частей компьютера и другие. Одной из причин этих проблем наряду с ошибками в программном обеспечении) и неумелыми действиями самого оператора ПЭВМ могут быть проникшие в систему компьютерные вирусы. Эти программы подобно биологическим вирусам размножаются, записываясь в системные области диска или приписываясь к файлам и производят различные нежелательные действия, которые , зачастую, имеют катастрофические последствия. Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов.

Информация о работе Компьюетрные вирусы и осуществление безопасности ИС