Автор работы: Пользователь скрыл имя, 05 Июня 2013 в 15:58, реферат
Пользователи должны соблюдать ряд правил, которые должны помочь антивирусам эффективно выполнять свою работу.
К таким правилам относятся:
- не стоит скачивать с интернета сомнительные файлы, а если это невозможно, то после скачки необходимо проверить их антивирусом;
- нельзя посещать неизвестные сайты;
- не надо открывать почтовые письма от неизвестных вам людей;
- при использовании различных накопотилей информации, их следует также проверять антивирусом;
Соблюдение этих простых правил должно обезопасить компьютеры от вредоносных программ. Также не стоит забывать о своевременном обновлении антивирусов.
Введение……………………………………………………………….3
1. История возникновения компьютерных вирусов…………….4
2. Компьютерные вирусы………………………………………....6
3. Каналы распространения………………………………………10
4. Назначение и характеристики антивирусных программ….....12
5. Методы обнаружения вирусов ………………………………..17
6. Рекомендации по защите от компьютерных вирусов………..20
Заключение…………………………………………………………….21
Список литературы……………………………………………………22
Черви — вид вирусов, которые
проникают на компьютер-жертву без
участия пользователя. Черви используют
так называемые «дыры» (уязвимости)
в программном обеспечении
4. Назначение и характеристики антивирусных программ
Борьба с компьютерными вирусами осуществляется с помощью антивирусных программ, которые в настоящее время должны обладать весьма значительным запасом "прочности" против различных ухищрений создателей компьютерных вирусов. Изначально самым распространенным способом обнаружения компьютерных вирусов был "поиск по маске", т.е. выявление в файлах специфичной для каждого вируса последовательности символов. Со временем эти последовательности стали объединять в специализированные антивирусные базы, которые стали неотъемлемым атрибутом современных антивирусных программ. Чем больше набор подобных шаблонов в базе антивирусной программы, тем с большим количеством вирусов она способна бороться.
Большая антивирусная база - залог удачного восстановления зараженного объекта в первоначальном виде. При этом необходимы индивидуальный подход к каждому вирусу и его тщательный анализ. Разные вирусы используют одинаковые методы заражения объектов, но не следует забывать и о том, что каждый вирус индивидуален, даже если это вирусы одного семейства.
Говоря о тенденциях увеличения числа компьютерных вирусов, нельзя не сказать о том, что все чаще встречаются сложные вирусы, не только способные обходить традиционную защиту и использовать свои механизмы заражения и маскировки, но и направленные против конкретных антивирусных средств.
К отличительным особенностям современных антивирусных программ можно добавить еще две: мощный эвристический механизм для борьбы с еще неизвестными программе вирусами и механизм для борьбы с самошифрующимися вирусами. Не вдаваясь в подробности работы этих сложных программных механизмов, отметим, что по характерным для вирусов участкам кода можно с определенной степенью вероятности утверждать о наличии неизвестного программе вируса в объекте. Тесты независимых изданий (например, английский журнал "Virus Bulletin") и большой опыт работы с пользователями во всем мире позволяют утверждать, что в 80 случаях из 100, когда объект заражен неизвестным вирусом, программа выдаст подозрение о заражении объекта. Эвристический механизм позволяет предполагать (прогнозировать) наличие вируса, маска которого на данный момент отсутствует в базе антивирусной программы. Встраивание эвристического механизма в антивирусные программы позволяет расширить их возможности, поскольку дает возможность вести борьбу с пока еще "неизвестными" вирусами. Любой механизм, работающий по эвристическому принципу, может давать ложные срабатывания. Однако, как показал продолжительный опыт работы, их процент незначителен, и в любом случае в таких вопросах лучше немного перестраховаться.
Характерной особенностью так называемых полиморфных вирусов является способность к существенной мутации своего кода, из-за чего некоторые программы (типа Aidstest, весьма популярной в свое время) принципиально не в состоянии обезвредить такие вирусы. Для борьбы с полиморфными вирусами антивирусы нового поколения используют встроенный эмулятор процессора, благодаря которому опознают вирусы под различными шифровщиками и упаковщиками, а с помощью блока эвристического анализа обнаруживают и многие (свыше 80%) неизвестные вирусы. Эмулятор процессора создает имитацию продолжительной работы компьютерных программ, что провоцирует полиморфные вирусы к мутации и, следовательно, к изменению программ.
Отличительными особенностями современных антивирусных программ являются заложенные в них новые возможности:
• проверка архивных и упакованных файлов;
• избыточное сканирование, при котором в поисках вируса объект "разбирается" по байтам и проводится тщательный анализ возможности выполнения деструктивного действия. Это несколько замедляет процесс сканирования, однако повышает надежность обнаружения и удаления вирусных тел из файлов компьютера;
• наличие вирусной энциклопедии с детальным описанием вирусов, которые могут обнаруживаться конкретной программой.
В России антивирусные программы
активно разрабатывают сле
• ЗАО "Лаборатория Касперского" (раньше называлась КАМИ), где идеологом развития средств борьбы с вирусами с самого начала является Е.В. Касперский;
• "Диалог-Наука", в которой раньше основным разработчиком был Д.Н. Лозинский, а затем коллектив пополнился И.А. Даниловым, благодаря которому появилась "Лаборатория Данилова".
Помимо антивирусных программ отечественного производства в нашей стране достаточно широко используются разработки таких зарубежных компаний, как Symantec, McAfee, Elashim, Avil Software, S&S International, Sophos.
Антивирусные программы можно классифицировать по различным признакам (рис. 2.1).
Рис. 2.1. Классификация антивирусных программ
По характеру действия антивирусные программы подразделяются на следующие виды: полифаги, ревизоры, вакцины.
Полифаги предназначены для выявления вирусов и излечения от них файлов. К полифагам относятся AidsTest (Д.Н. Лозинский), DrWeb (И.А. Данилов), AVP (Е.В. Касперский), NAV (Symantec).
Ревизоры (иногда встречается название "CRC-сканеры") служат для информирования пользователя обо всех изменениях в структуре и содержании файлов с момента последней проверки компьютера. Как правило, подобные программы включаются в состав стартового пакета и проводят проверку изменений в файловой системе компьютера по сравнению с предыдущим включением. Программы этой категории не тестируют файлы на предмет наличия в них вирусов и не удаляют вирусы из файлов, их задача - только констатация всех изменений, которые выводятся в виде таблицы. Решать, что явилось причиной изменений, - задача пользователя.
Примером программы-ревизора является ADINF, созданная в свое время Д.Н. Лозинским.
Вакцины (другое название - иммунизаторы) предназначены для защиты файлов от заражения, как правило, определенным вирусом. Так, например, корпорация Microsoft создала иммунизирующую программу, предотвращающую заражение операционных систем вирусом W32.Blaster. Worm.
По способу проверки антивирусные программы классифицируются на две категории:
• программы принудительного запуска. Для поиска и устранения вирусов такие программы (AidsTest, DrWeb for DOS) необходимо запускать специально. Несмотря на возможность многих антивирусных программ вести мониторинг на предмет отсутствия вирусов, иногда ими пользуются в режиме принудительного запуска для проверки отдельных носителей информации (дискет, дисков);
• программы, осуществляющие постоянное наблюдение за вирусной обстановкой. Такие программы (AVP, DrWeb for Windows, NAV), будучи запущены резидентно, ведут постоянный мониторинг на предмет отсутствия вирусов. В зависимости от установленных параметров при возникновении опасной ситуации программы проводят необходимые действия или формируют сообщение пользователю. Следящие программы наблюдают за появлением вирусов и удаляют вирусные тела из файлов без прерывания обычной работы компьютера.
По способу настройки программы можно объединить в две группы:
• пакетные (AidsTest, Cleaner), параметры работы которых задаются в командной строке при запуске программы;
• программы-оболочки (подавляющее
большинство современных
Обнаружение, основанное
на сигнатурах - метод, когда антивирусная
программа, просматривая файл, обращается
к антивирусным базам, которые
составлены производителем
1. Удалить инфицированный файл.
2.
Заблокировать доступ к
3.
Отправить файл в карантин (то
есть сделать его недоступным
для выполнения с целью
4. Попытаться «вылечить» файл, удалив тело вируса из файла.
5.
В случае невозможности
Для того чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в базу сигнатур вирусов нужно периодически загружать (обычно, через Интернет) данные о новых вирусах. Если бдительные и имеющие склонность к технике пользователи определят вирус по горячим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а те затем добавляют информацию о новых вирусах в свои базы.
Для многих антивирусных программ с базой сигнатур характерна проверка файлов в тот момент, когда операционная система создаёт, открывает, закрывает или посылает файлы по почте. Таким образом,
Обнаружение аномалий –
метод, при котором антивирусы, использующие
метод обнаружения
В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.
Другие названия: проактивная защита, поведенческий блокиратор, Host Intrusion Prevention System (HIPS).
В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше не вредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше.
Обнаружение, основанное на
эмуляции – метод, при котором
некоторые программы-антивирусы пытаются
имитировать начало выполнения кода
каждой новой вызываемой на исполнение
программы, перед тем как передать
ей управление. Если программа использует
самоизменяющийся код или проявляет
себя как вирус (то есть, например, немедленно
начинает искать другие .EXE-файлы), такая
программа будет считаться
Метод «Белого списка» - общая технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».
Практически все современные
антивирусные средства применяют технологию
эвристического анализа программного
кода. Эвристический анализ нередко
используется совместно с сигнатурным
сканированием для поиска сложных
шифрующихся и полиморфных
Панацеи от компьютерных вирусов не существует и существовать не может. Совершенствуется компьютерное оборудование, развиваются информационные технологии. К сожалению, вирусные разработчики постоянно повышают свое мастерство, создавая все более сложные и опасные вирусы. Однако соблюдение следующих рекомендаций по крайней мере снизит вероятность тяжелых последствий, которые могут вызвать их творения.
В целях защиты компьютеров от заражения вирусами рекомендуется:
• оснастить свой компьютер современными антивирусными программами (например, DrWeb, AVP, McAfee, NAV или другими) и постоянно обновлять их версии;
• регулярно создавать резервные копии важных файлов и системных областей жестких дисков;