Компьютерные вирусы

Автор работы: s***********@bk.ru, 28 Ноября 2011 в 10:47, курсовая работа

Краткое описание

Вряд ли стоит напоминать, что компьютеры стали настоящими помощниками
человека и без них уже не может обойтись ни коммерческая фирма, ни
государственная организация. Однако в связи с этим особенно обострилась
проблема защиты информации.
Вирусы, получившие широкое распространение в компьютерной технике,
взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами
о том, что с помощью компьютерных вирусов злоумышленники взламывают сети,
грабят банки, крадут интеллектуальную собственность...

Содержание работы

|Ведение |2 |
|Кто и почему пишет вирусы |2 |
|Компьютерные вирусы, их свойства и классификация |3 |
| Свойства компьютерных вирусов |3 |
| Классификация вирусов |4 |
| Загрузочные вирусы |5 |
| Файловые вирусы |6 |
| Загрузочно-файловые вирусы |6 |
| Полиморфные вирусы |6 |
| Стелс-вирусы |7 |
| Троянские кони, программные закладки и сетевые черви |7 |
| Пути проникновения вирусов в компьютер и механизмы их |8 |
|распространения | |
|Признаки появления вирусов |8 |
|Методы защиты от компьютерных вирусов |8 |
|Антивирусные программы |10 |
|Заключение |14 |

Содержимое работы - 1 файл

Компьютерные вирусы.docx

— 75.83 Кб (Скачать файл)

     В отличие от  других  антивирусов   Advansed  Diskinfoscope  не  требует

загрузки  с  эталонной,  защищённой  от  записи  дискеты.  При  загрузке   с

винчестера  надежность защиты не уменьшается.

     ADinf  имеет хорошо  выполненный дружественный интерфейс,    который

реализован в   графическом режиме.  Программа работает  непосредственно с

видеопамятью,   минуя  BIOS,  при  этом   поддерживаются   все   графические

адаптеры.  Наличие  большого  количества  ключей   позволяет    пользователю

создать  максимально  удобную   для   него   конфигурацию   системы.   Можно

установить,   что   именно   нужно   контролировать:   файлы   с   заданными

расширениями, загрузочные сектора, наличие сбойных  кластеров,  новые  файлы

на наличие Stealth-вирусов, файлы из списка неизменяемых и  т.д.  По  своему

желанию пользователь  может  запретить  проверять  некоторые  каталоги  (это

нужно, если каталоги  являются  рабочими  и   в  них  всё  время  происходят

изменения).  Имеется  возможность  изменять способ доступа  к  диску  (BIOS,

Int13h или  Int25h/26h), редактировать список расширений  проверяемых  файлов,

а  также   назначить  каждому  расширению  собственный  вьюер,  с    помощью

которого  будут просматриваться файлы с этим  расширением.  В   традициях

современного  программного обеспечения реализована  работа  с  мышью.  Как  и

вся  продукция  фирмы  "ДиалогНаука",    ADinf    поддерживает   программно-

аппаратный  комплекс Sheriff.

     При инсталляции ADinf в систему   имеется   возможность   изменить  имя

основного файла ADINF.EXE и  имя  таблиц,   при   этом   пользователь  может

задать  любое имя. Это очень полезная функция, так   как  в  последнее  время

появилось множество   вирусов,   "охотящихся"   за  антивирусами  (например,

есть  вирус,  который  изменяет  программу  Aidstest  так,  что она вместо

заставки  фирмы "ДиалогНаука" пишет: "Лозинский - пень"), в том числе и за

ADinf.

     Полезной функцией является возможность   работы  с  DOS,  не  выходя  из

программы. Это бывает полезно, когда  нужно   запустить   внешний  антивирус

для лечения  файла, если  у  пользователя  нет   лечащего  блока  ADinf  Cure

Module.

     Ещё  одна  интересная  функция  -  запрещение  работы  с   системой  при

обнаружении  изменений на  диске.  Эта   функция    полезна,    когда    за

терминалами работают пользователи, не имеющие  ещё большого  опыта в  общении

с компьютером. Такие пользователи, по  незнанию  или  по  халатности,  могут

проигнорировать сообщение ADinf  и продолжить  работу,  как ни  в чём не

бывало, что может привести к  тяжёлым  последствиям.

     Если же установлен  ключ  -Stop  в строке  вызова  Adinf AUTOEXEC.BAT,

то при  обнаружении   изменений   на   диске   программа  потребует  позвать

системного   программиста,   обслуживающего   данный   терминал,   а    если

пользователь  нажмет ESC  или   ENTER,   то   система  перезагрузится  и  все

повторится  снова.

     Принцип работы ADinf основан на  сохранении  в таблице копии MASTER-

BOOT и  BOOT секторов, список   номеров   сбойных   кластеров,  схему   дерева

каталогов  и  информацию  обо  всех  контролируемых  файлах.   Кроме   того,

программа запоминает и  при  каждом  запуске   проверяет,  не  изменился  ли

доступный  DOS  объем  оперативной  памяти   (что   бывает   при   заражении

большинством  загрузочных  вирусов),  количество  установленных  винчестеров,

таблицы параметров винчестера в области  переменных BIOS.

     При первом  запуске  программа   запоминает  объем  оперативной   памяти,

находит и запоминает адрес обработчика  прерывания Int 13h  в BIOS,  который

будет использоваться при всех  последующих  проверках, и строит таблицы  для

проверяемых дисков. При этом проверяется,  показывал  ли  вектор  прерывания

13h в  BIOS перед загрузкой DOS.

     При последующих запусках  ADinf  проверяет объем оперативной памяти,

доступной  DOS,  переменные  BIOS,  загрузочные   сектора,   список  номеров

сбойных  кластеров  (так  как  некоторые  вирусы,   записавшись  в  кластер,

помечают  его, как сбойный, чтобы  их  не  затёрли другие данные, а также  не

обнаружили  примитивные   антивирусы).   К  тому  же  антивирус  ищет  вновь

созданные и уничтоженные  подкаталоги,  новые,  удаленные,  переименованные,

перемещённые  и   изменившиеся  файлы   (проверяется   изменение   длины   и

контрольной суммы).  Если ADinf обнаружит, что,  изменился файл  из  списка

неизменяемых,  либо  в файле произошли изменения без изменения даты  и

времени, а также наличие  у  файла   странной   даты   (число   больше   31,

месяц больше 12 или год больше текущего)  или  времени  (минут  больше   59,

часов больше 23 или секунд больше 59), то он выдаст  предупреждение  о  том,

что возможно заражение вирусом.

     Если обнаружены изменения BOOT-секторов,  то  можно  в  режиме  диалога

сравнить  системные таблицы, которые были до и после изменения, и по  желанию

восстановить  прежний  сектор.  После   восстановления   измененный   сектор

сохраняется в файле на  диске   для   последующего  анализа.  Новые  сбойные

кластеры (вернее информация о  них в  FAT)  могут  появиться  после  запуска

какой-либо утилиты,  лечащей диск (например, NDD)  или  благодаря  действиям

вируса.  Если  Adinf выдал сообщение, а пользователь  не  запускал  никаких

подобных  утилит,  то,  скорее  всего  в  компьютер  забрался   вирус.   При

получении такого сообщения следует продолжить проверку,  внимательно   следя

за всеми  сообщениями об изменениях файлов и  загрузочных  секторов.  Если  в

системе действительно вирус, то такие  сообщения  не   заставят  себя  долго

ждать (ведь если все тело вируса будет  находиться в "сбойном" кластере,  ему

никогда не передастся управление).

     После  проверки  ADinf  выдаёт  сводную    таблицу,    сообщающую    об

изменениях  на  диске.  По   таблице   можно    перемещаться   стрелками   и

просматривать подробную информацию, нажав ENTER   на   интересующем  пункте.

Существует  возможность перехода к   любому   пункту   с   помощью  "быстрых"

клавиш.  Изменившиеся  файлы   можно   просмотреть   в  классическом  режиме

(шестнадцатеричный   дамп  /  ASCII-коды)   с   помощью   встроенного  вьюера,

который читает  диск  через   BIOS.   Можно  также  воспользоваться  внешним

вьюером, предварительно указав к нему  путь.  Подключив внешний редактор,

можно отредактировать  изменившийся файл.

     Не совсем привычно  выглядит  форма,  в  которой   ADinf   сообщает  об

обнаруженных  подозрительных  изменениях:   вместо   выдачи    сообщения   о

конкретных  изменениях он выводит красное окно  со  списком всех  возможных

и помечает галочкой  пункты,  соответствующие   изменениям,  произошедшим  в

настоящий момент. Если после  получения  такого  сообщения  нажать  ESC,  то

программа  запросит  о  дальнейших действиях: обновить информацию  о  диске,

не обновлять  её,  лечить (при наличии лечащего модуля  ADinf  Cure  Module)

или  записать  протокол.  Для  лечения    можно    воспользоваться   внешним

антивирусом, загрузив  его  из  окна  работы  с  DOS,   которое   вызывается

комбинацией клавиш ALT+V.

     Если изменения не относятся  к разряду подозрительных, то  после выдачи

таблицы изменений можно нажать ESC. При  этом  программа  спросит,  нужно  ли

обновлять данные о  диске  в  таблицах  или  не  нужно,  а  также  нужно  ли

создавать файл в  отчете  о  проделанной  работе.  После  выбора  одного  из

пунктов  программа   выполняет   затребованное  действие  и  завершает  свою

работу. 

                                 Заключение 
 

     Ни один тип антивирусных  программ  по  отдельности   не  дает   полной

защиты  от  вирусов.  Лучшей   стратегией   защиты   от   вирусов   является

многоуровневая, "эшелонированная" оборона. Средствам  разведки  в  "обороне"

от  вирусов  соответствуют   программы-детекторы,   позволяющие    проверять

вновь  полученное  программное   обеспечение   на   наличие  вирусов.     На

переднем крае  обороны находятся программы-фильтры.  Эти программы могут

первыми сообщить о  работе  вируса  и  предотвратить  заражение  программ  и

дисков. Второй  эшелон  обороны  составляют  программы-ревизоры,  программы-

доктора и доктора-ревизоры.  Самый глубокий  эшелон обороны -  это  средства

разграничения  доступа.  Они  не  позволяют  вирусам  и  неверно  работающим

программам, даже если они проникли в компьютер, испортить важные данные.

Что будет  завтра?

      Чего ожидать от компьютерного  андеграунда в последующие   годы?  Скорее

всего основными проблемами останутся: 1)  полиморфик-DOS-вирусы,  к которым

добавятся проблемы полиморфизма в макро-вирусах  и вирусах для Windows  и

OS/2; 2) макро-вирусы, которые будут находить  все новые и новые приемы

заражения и скрытия своего кода в системе; 3) сетевые  вирусы,  использующие

для своего распространения протоколы и  команды компьютерных сетей.

      Пункт 3) находится пока только  на самой ранней стадии - вирусы  делают

Информация о работе Компьютерные вирусы