Компьютерные вирусы

Автор работы: Пользователь скрыл имя, 12 Апреля 2012 в 20:39, курсовая работа

Краткое описание

Цель работы – изучить классификации компьютерных вирусов и вредоносных программ, выявить, как влияют различные вирусы на компьютер. Ознакомиться с методами борьбы с компьютерными вирусами.

Содержание работы

Введение

5
1. ИСТОРИЯ ВОЗНИКНОВЕНИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ

6
2. КОМПЬЮТЕРНЫЕ ВИРУСЫ

8
2.1. Свойства компьютерных вирусов

8
2.2. Классификация вирусов
2.3 Характеристика вирусов
2.3.1 По среде обитания
2.3.2 По способу заражения
2.3.3 По деструктивным возможностям
2.3.4 По особенностям алгоритма
2.4 Вредоносное ПО

10
12
12
15
16
17
18
3. ПУТИ ПРОНИКНОВЕНИЯ ВИРУСОВ В КОМПЬЮТЕР

20
3.1. Признаки появления вирусов

20
3.2. Что делать при наличии признаков заражения

23
4. МЕТОДЫ БОРЬБЫ С КОМПЬЮТЕРНЫМИ ВИРУСАМИ

24
Заключение

29
Список используемой литературы

30

Содержимое работы - 1 файл

КУРСОВАЯ РАБОТА.КОМПЬЮТЕРНЫЕ ВИРУСЫ.ЯМАШЕВОЙ Н.Р.КМФиК10.doc

— 439.15 Кб (Скачать файл)

Первые «персоналочные» вирусы были существами простыми и неприхотливыми – особо от пользователей не скрывались, «скрашивали» своё разрушительное действие (удаление файлов, разрушение логической структуры диска) выводимыми на экран картинками и каверзными «шутками»: «Назовите точную высоту горы Килиманджаро в миллиметрах! При введении неправильного ответа все данные на вашем винчестере будут уничтожены!!!». Выявить такие вирусы было нетрудно: они «приклеивались» к исполняемым (*.com или *.exe) файлам, изменяя их оригинальные размеры, - чем и пользовались первые антивирусы, успешно выявлявшие нахалов.

Позднее вирусы стали хитрее – они научились маскироваться, запрятывая свой программный код в таких потаённых уголках, до которых, как им казалось, ни один антивирус добраться не мог. Поначалу – действительно, не добирались. Потому и назывались такие вирусы «невидимками» (stealth).

Казалось, фантазия вирусописателей наконец-то истощилась. И когда против stealth-вирусов[4] было наконец-то найдено «противоядие», компьютерный народ вздохнул с облегчением. А всё ещё только начиналось…

 

2.2 Классификация вирусов

 

В настоящее время не существует единой системы классификации и именования вирусов, однако, в различных источниках можно встретить разные классификации. Помимо вирусов существует различные вредоносные программы и шпионские программы, не являющиеся по своей сути вирусами на приносящие вред пользователю. Классификация вирусов представлена на (рис.1).[2]

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Рис.1 – Классификация компьютерных вирусов

2.3 Характеристика компьютерных вирусов

 

2.3.1 По среде обитания

 

Под «средой обитания» понимаются системные области компьютера, операционные системы или приложения, в компоненты (файлы) которых внедряется код вируса.

Загрузочные [6]- записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты. При включении компьютера первым делом управление передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве (ПЗУ). Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А.

Всякая дискета размечена на секторы и дорожки. Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд. Среди служебных секторов содержится сектор начальной загрузки (boot-sector).

В секторе начальной загрузки хранится информация о дискете - количество поверхностей, количество дорожек, количество секторов и пр. Также там хранится небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.

Таким образом, нормальная схема начальной загрузки следующая:

ПЗУ - ПНЗ (диск) - СИСТЕМА

Рассмотрим вирус. В загрузочных вирусах выделяют две части - голову и хвост.

К примеру, имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия: выделяет некоторую область диска и помечает ее как недоступную операционной системе, копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор, замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой и организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке

ПЗУ - ПНЗ (диск) - СИСТЕМА

появляется новое звено:

ПЗУ - ВИРУС - ПНЗ (диск) - СИСТЕМА

Это схема функционирования простого бутового вируса, живущего в загрузочных секторах дискет.

Файловые вирусы [6] либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Рассмотрим схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину».

Вирус  ищет новый объект для заражения - подходящий по типу файл, который еще не заражен (в том случае, если вирус «приличный», а то попадаются такие, что заражают сразу, ничего не проверяя). Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции - размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код - следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:

-             он не обязан менять длину файла

-             неиспользуемые участки кода

-             не обязан менять начало файла

Наконец, к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код. Нельзя не признать, что появившись в 1991 г., вирусы Dir-II стали причиной настоящей эпидемии в России. Рассмотрим модель, на которой ясно видна основная идея вируса. Информация о файлах хранится в каталогах. Каждая запись каталога включает в себя имя файла, дату и время создания, некоторую дополнительную информацию, номер первого кластера файла и резервные байты (оставлены «про запас» и самой MS-DOS не используются).

При запуске исполняемых файлов система считывает из записи в каталоге первый кластер файла и далее все остальные кластеры. Вирусы семейства Dir-II производят следующую «реорганизацию» файловой системы: сам вирус записывается в некоторые свободные секторы диска, которые он помечает как сбойные. Кроме того, он сохраняет информацию о первых кластерах исполняемых файлов в резервных битах, а на место этой информации записывает ссылки на себя.

Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.

Сетевые вирусы распространяются по компьютерной сети, используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Скрипт-вирусы,[6] также как и макро-вирусы, являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Они либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов. Также, данные вирусы могут заражать файлы других форматов (например, HTML), если в них возможно выполнение скриптов.[5]

 

2.3.2 По способу заражения

 

Резидентный [6]вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них.

Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы.

Нерезидентные [6]вирусы не заражают память компьютера и являются активными ограниченное время.

Нерезидентные вирусы, активны довольно непродолжительное время — только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе-носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы. Поэтому файлы, зараженные нерезидентными вирусами значительно проще удалить с диска и при этом не позволить вирусу заразить их повторно.

 

2.3.3 По деструктивным возможностям

 

Существует несколько типов вирусов.[1]

1. Самые безобидные из них никак не влияют на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

2. Неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

3. Опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера. Некоторые наши абоненты могли наблюдать у себя на мониторе табличку с обратным отсчетом, предупреждающую о перезагрузке компьютера. Наличие этого вируса приводило к невозможности работы на компьютере.

4. Очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти. К таким вирусам относится, например, небезызвестный Чернобыль.

Наиболее часто пользователь сталкивается с неопасными и опасными вирусами.

 

 

2.3.4 По особенностям алгоритма вируса

 

Перезаписывающие вирусы, записывают своё тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестаёт запускаться. При запуске программы выполняется код вируса, а не сама программа.

Вирусы-компаньоны, как и перезаписывающие вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его. При запуске программы вначале выполняется код вируса, а затем управление передаётся оригинальной программе.

Файловые черви, создают свои копии с привлекательными для пользователя названиями на дисках и в подкаталогах дисков, никаким образом не изменяя других файлов, (например, Game.exe, install.exe и др.) в надежде на то, что пользователь их запустит.

Вирусы-звенья, как и компаньон-вирусы, не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске заражённой программы на собственный адрес. После выполнения кода вируса управление обычно передаётся вызываемой пользователем программе.

Паразитические вирусы — это файловые вирусы, изменяющие содержимое файла, добавляя в него свой код. При этом заражённая программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед, после или вместе с программой, в зависимости от места внедрения вируса в программу.

«Стелс»-вирусы (вирусы-невидимки, stealth), представляют собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы.

«Полиморфик»-вирусы - достаточно труднообнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Вирусы маскируются в системе под именами обычных процессов.

Макро-вирусы - вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время широко распространены макро-вирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel;

Сетевые вирусы (сетевые черви) - вирусы, которые распространяются в компьютерной сети и, так же, как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). [2]

 

2.4 Вредоносное ПО

 

Троянские программы – это вредоносные программы, которые в отличие от вирусов и червей не могут копировать самих себя и заражать файлы. Также одно из основных отличий троянской программы от вируса заключается в том, что обычный вирус после своего рождения больше не имеет никакой связи с создателем, а троян, как правило, предназначен для дальнейшего взаимодействия с тем, кто его запустил. Обычно они обнаруживаются в форме исполняемых файлов (.EXE,.COM) и не содержат ничего, кроме непосредственно «троянского» кода. Поэтому единственный способ борьбы с ними – их удаление. Троянские программы наделяются различными функциями – от перехвата клавиатурного ввода (регистрация и передача каждого нажатия клавиш) до удаления файлов (или форматирования диска). Некоторые из них («бэкдор»-программы) предназначены для особой цели – они устанавливают так называемую «заднюю дверь» (Backdoor).

Информация о работе Компьютерные вирусы