Автор работы: s***********@bk.ru, 28 Ноября 2011 в 10:47, курсовая работа
Вряд ли стоит напоминать, что компьютеры стали настоящими помощниками
человека и без них уже не может обойтись ни коммерческая фирма, ни
государственная организация. Однако в связи с этим особенно обострилась
проблема защиты информации.
Вирусы, получившие широкое распространение в компьютерной технике,
взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами
о том, что с помощью компьютерных вирусов злоумышленники взламывают сети,
грабят банки, крадут интеллектуальную собственность...
|Ведение |2 |
|Кто и почему пишет вирусы |2 |
|Компьютерные вирусы, их свойства и классификация |3 |
| Свойства компьютерных вирусов |3 |
| Классификация вирусов |4 |
| Загрузочные вирусы |5 |
| Файловые вирусы |6 |
| Загрузочно-файловые вирусы |6 |
| Полиморфные вирусы |6 |
| Стелс-вирусы |7 |
| Троянские кони, программные закладки и сетевые черви |7 |
| Пути проникновения вирусов в компьютер и механизмы их |8 |
|распространения | |
|Признаки появления вирусов |8 |
|Методы защиты от компьютерных вирусов |8 |
|Антивирусные программы |10 |
|Заключение |14 |
В отличие от других антивирусов Advansed Diskinfoscope не требует
загрузки с эталонной, защищённой от записи дискеты. При загрузке с
винчестера надежность защиты не уменьшается.
ADinf имеет хорошо выполненный дружественный интерфейс, который
реализован в графическом режиме. Программа работает непосредственно с
видеопамятью, минуя BIOS, при этом поддерживаются все графические
адаптеры. Наличие большого количества ключей позволяет пользователю
создать максимально удобную для него конфигурацию системы. Можно
установить, что именно нужно контролировать: файлы с заданными
расширениями, загрузочные сектора, наличие сбойных кластеров, новые файлы
на наличие Stealth-вирусов, файлы из списка неизменяемых и т.д. По своему
желанию пользователь может запретить проверять некоторые каталоги (это
нужно, если каталоги являются рабочими и в них всё время происходят
изменения). Имеется возможность изменять способ доступа к диску (BIOS,
Int13h или
Int25h/26h), редактировать список
а также назначить каждому расширению собственный вьюер, с помощью
которого будут просматриваться файлы с этим расширением. В традициях
современного программного обеспечения реализована работа с мышью. Как и
вся продукция фирмы "ДиалогНаука", ADinf поддерживает программно-
аппаратный комплекс Sheriff.
При инсталляции ADinf в систему имеется возможность изменить имя
основного файла ADINF.EXE и имя таблиц, при этом пользователь может
задать любое имя. Это очень полезная функция, так как в последнее время
появилось множество вирусов, "охотящихся" за антивирусами (например,
есть вирус, который изменяет программу Aidstest так, что она вместо
заставки фирмы "ДиалогНаука" пишет: "Лозинский - пень"), в том числе и за
ADinf.
Полезной функцией является
программы. Это бывает полезно, когда нужно запустить внешний антивирус
для лечения файла, если у пользователя нет лечащего блока ADinf Cure
Module.
Ещё одна интересная функция - запрещение работы с системой при
обнаружении изменений на диске. Эта функция полезна, когда за
терминалами работают пользователи, не имеющие ещё большого опыта в общении
с компьютером. Такие пользователи, по незнанию или по халатности, могут
проигнорировать сообщение ADinf и продолжить работу, как ни в чём не
бывало, что может привести к тяжёлым последствиям.
Если же установлен ключ -Stop в строке вызова Adinf AUTOEXEC.BAT,
то при обнаружении изменений на диске программа потребует позвать
системного программиста, обслуживающего данный терминал, а если
пользователь нажмет ESC или ENTER, то система перезагрузится и все
повторится снова.
Принцип работы ADinf основан на сохранении в таблице копии MASTER-
BOOT и BOOT секторов, список номеров сбойных кластеров, схему дерева
каталогов и информацию обо всех контролируемых файлах. Кроме того,
программа запоминает и при каждом запуске проверяет, не изменился ли
доступный DOS объем оперативной памяти (что бывает при заражении
большинством загрузочных вирусов), количество установленных винчестеров,
таблицы параметров винчестера в области переменных BIOS.
При первом запуске программа запоминает объем оперативной памяти,
находит и запоминает адрес обработчика прерывания Int 13h в BIOS, который
будет использоваться при всех последующих проверках, и строит таблицы для
проверяемых дисков. При этом проверяется, показывал ли вектор прерывания
13h в BIOS перед загрузкой DOS.
При последующих запусках ADinf проверяет объем оперативной памяти,
доступной DOS, переменные BIOS, загрузочные сектора, список номеров
сбойных кластеров (так как некоторые вирусы, записавшись в кластер,
помечают его, как сбойный, чтобы их не затёрли другие данные, а также не
обнаружили примитивные антивирусы). К тому же антивирус ищет вновь
созданные и уничтоженные подкаталоги, новые, удаленные, переименованные,
перемещённые и изменившиеся файлы (проверяется изменение длины и
контрольной суммы). Если ADinf обнаружит, что, изменился файл из списка
неизменяемых, либо в файле произошли изменения без изменения даты и
времени, а также наличие у файла странной даты (число больше 31,
месяц больше 12 или год больше текущего) или времени (минут больше 59,
часов больше 23 или секунд больше 59), то он выдаст предупреждение о том,
что возможно заражение вирусом.
Если обнаружены изменения
сравнить системные таблицы, которые были до и после изменения, и по желанию
восстановить прежний сектор. После восстановления измененный сектор
сохраняется в файле на диске для последующего анализа. Новые сбойные
кластеры (вернее информация о них в FAT) могут появиться после запуска
какой-либо утилиты, лечащей диск (например, NDD) или благодаря действиям
вируса. Если Adinf выдал сообщение, а пользователь не запускал никаких
подобных утилит, то, скорее всего в компьютер забрался вирус. При
получении такого сообщения следует продолжить проверку, внимательно следя
за всеми сообщениями об изменениях файлов и загрузочных секторов. Если в
системе действительно вирус, то такие сообщения не заставят себя долго
ждать (ведь если все тело вируса будет находиться в "сбойном" кластере, ему
никогда не передастся управление).
После проверки ADinf выдаёт сводную таблицу, сообщающую об
изменениях на диске. По таблице можно перемещаться стрелками и
просматривать подробную информацию, нажав ENTER на интересующем пункте.
Существует возможность перехода к любому пункту с помощью "быстрых"
клавиш. Изменившиеся файлы можно просмотреть в классическом режиме
(шестнадцатеричный дамп / ASCII-коды) с помощью встроенного вьюера,
который читает диск через BIOS. Можно также воспользоваться внешним
вьюером, предварительно указав к нему путь. Подключив внешний редактор,
можно отредактировать изменившийся файл.
Не совсем привычно выглядит форма, в которой ADinf сообщает об
обнаруженных подозрительных изменениях: вместо выдачи сообщения о
конкретных изменениях он выводит красное окно со списком всех возможных
и помечает галочкой пункты, соответствующие изменениям, произошедшим в
настоящий момент. Если после получения такого сообщения нажать ESC, то
программа запросит о дальнейших действиях: обновить информацию о диске,
не обновлять её, лечить (при наличии лечащего модуля ADinf Cure Module)
или записать протокол. Для лечения можно воспользоваться внешним
антивирусом, загрузив его из окна работы с DOS, которое вызывается
комбинацией клавиш ALT+V.
Если изменения не относятся к разряду подозрительных, то после выдачи
таблицы изменений можно нажать ESC. При этом программа спросит, нужно ли
обновлять данные о диске в таблицах или не нужно, а также нужно ли
создавать файл в отчете о проделанной работе. После выбора одного из
пунктов программа выполняет затребованное действие и завершает свою
работу.
Ни один тип антивирусных программ по отдельности не дает полной
защиты от вирусов. Лучшей стратегией защиты от вирусов является
многоуровневая, "эшелонированная" оборона. Средствам разведки в "обороне"
от вирусов соответствуют программы-детекторы, позволяющие проверять
вновь полученное программное обеспечение на наличие вирусов. На
переднем крае обороны находятся программы-фильтры. Эти программы могут
первыми сообщить о работе вируса и предотвратить заражение программ и
дисков. Второй эшелон обороны составляют программы-ревизоры, программы-
доктора и доктора-ревизоры. Самый глубокий эшелон обороны - это средства
разграничения доступа. Они не позволяют вирусам и неверно работающим
программам, даже если они проникли в компьютер, испортить важные данные.
Что будет завтра?
Чего ожидать от компьютерного андеграунда в последующие годы? Скорее
всего основными проблемами останутся: 1) полиморфик-DOS-вирусы, к которым
добавятся проблемы полиморфизма в макро-вирусах и вирусах для Windows и
OS/2; 2) макро-вирусы, которые будут находить все новые и новые приемы
заражения и скрытия своего кода в системе; 3) сетевые вирусы, использующие
для своего распространения протоколы и команды компьютерных сетей.
Пункт 3) находится пока только на самой ранней стадии - вирусы делают