Виявлення та ліквідація вірусів на ПК

2

МІНІСТЕРСТВО ПРАЦІ ТА СОЦІАЛЬНОЇ ПОЛІТИКИ УКРАЇНИ

ЖИТОМИРСЬКЕ ВИЩЕ ПРОФЕСІЙНЕ УЧИЛИЩЕ - ІНТЕРНАТ

ДИПЛОМНА РОБОТА

НА ТЕМУ: Виявлення та ліквідація вірусів на ПК

Виконав: Хаян О.Г.

Керівник роботи: Цокол С.О.

ЖИТОМИР - 2008

Зміст

Вступ

1. Комп'ютерні віруси, їх властивості та класифікація

1.1 Ознаки наявності вірусу в роботі з комп'ютером

1.2 Основні види вірусів та схеми їх функціонування

1.3 Шляхи проникнення вірусів у комп'ютер і механізм розподілу вірусних програм

2. Програми виявлення і захисту від вірусів

3. Антивірусні програми

3.1 AIDSTEST

3.2 DOCTOR WEB

3.3 Microsoft Antivirus

3.4 ADINF (Advanced Diskinfoscope)

3.5 Антивірус Касперського

4. Основні заходи по захисту від вірусів

5. Практична частина видалення вірусів

Висновок

Список використаної літератури

Вступ

При роботі з сучасним персональним комп'ютером користувача (а особливо починаючого) може підстерігати безліч неприємностей: втрата даних, зависання системи, вихід з ладу окремих частин комп'ютера і інші. Однією з причин цих проблем разом з помилками в програмному забезпеченні) і невмілими діями самого оператора ЕОМ можуть бути комп'ютерні віруси, що проникли в систему. Ці програми подібно біологічним вірусам розмножуються, записуючись в системні області диска або приписуючись до файлів і проводять різні небажані дії, які, часто, мають катастрофічні наслідки. Щоб не стати жертвою цієї напасті, кожному користувачу слід добре знати принципи захисту від комп'ютерних вірусів.

З давніх часів відомо, що до будь-якої отрути рано чи пізно можна знайти протиотруту. Такою протиотрутою в комп'ютерному світі сталі програми, звані антивірусними. Дані програми можна класифікувати по п'яти основних групах: фільтри, детектори, ревізори, доктори та вакцинатори.

Антивіруси-фільтри - це резидентні програми, які оповіщають користувача про всі спроби якої-небудь програми записатися на диск, а вже тим більше відформатувати його, а також про інші підозрілі дії (наприклад про спроби змінити установки CMOS). При цьому виводиться запит про дозвіл або заборону даної дії. Принцип роботи цих програм заснований на перехопленні відповідних векторів переривань. До переваги програм цього класу в порівнянні з програмами-детекторами можна віднести універсальність по відношенню як до відомих, так і невідомим вірусам, тоді як детектори пишуться під конкретні, відомі на даний момент програмісту види. Це особливо актуально зараз, коли з'явилася безліч вірусів-мутантів, не мають постійного коду. Проте, програми-фільтри не можуть відстежувати віруси, що звертаються безпосередньо до BIOS, а також BOOT-віруси, що активізуються ще до запуску антивірусу, в початковій стадії завантаження DOS, До недоліків також можна віднести часту видачу запитів на здійснення якої-небудь операції: відповіді на питання віднімають у користувача багато часу і діють йому на нерви. При установці деяких антивірусів-фільтрів можуть виникати конфлікти з іншими резидентними програмами, що використовують ті ж переривання, які просто перестають працювати.

Найбільше розповсюдження в нашій країні отримали програми-детектори, а вірніше програми, об'єднуючі в собі детектор і доктор. Самі відомі представники цього класу - Aidstest, Doctor Web, MicroSoft AntiVirus, Антивірус Касперського далі буде розглянуто докладніше.

Антивіруси-детектори розраховані на конкретні віруси і засновані на порівнянні послідовності кодів містяться в тілі вірусу з кодами програм, що перевіряються. Такі програми потрібно регулярно обновляти, оскільки вони швидко застарівають і не можуть знаходити нові види вірусів.

Ревізори - програми, які аналізують поточний стан файлів і системних областей диска і порівнюють його з інформацією, збереженою раніше в одному з файлів даних ревізора. При цьому перевіряється стан BOOT-сектора, таблиці FAT, а також довжина файлів, їх час створення, атрибути, контрольна сума. Аналізуючи повідомлення програми-ревізора, користувач може вирішити, чи викликані зміни: вірусом чи ні. При видачі такого роду повідомлень не слід вдаватися до паніки, оскільки причиною змін, наприклад, довжини програми може бути зовсім і не вірус.

1. КОМП'ЮТЕРНІ ВІРУСИ, ЇХ ВЛАСТИВОСТІ І КЛАСИФІКАЦІЯ

1.1 Ознаки наявності вірусу в роботі з комп'ютером

Всі дії вірусу можуть виконуватися достатньо швидко і без видачі яких-небудь повідомлень, тому користувачу дуже важко помітити, що в комп'ютері відбувається щось незвичайне.

Поки на комп'ютері заражені відносно мало програм, наявність вірусу може бути практично непомітним. Проте після деякого часу на комп'ютері починає творитися щось дивне, наприклад:

ѕ припинення роботи або неправильна робота раніше успішно функціонуючих програм

ѕ повільна робота комп'ютера

ѕ неможливість завантаження операційної системи

ѕ зникнення файлів і каталогів або спотворення їх вмісту

ѕ зміна дати і часу модифікації файлів

ѕ зміна розмірів файлів

ѕ несподіване значне збільшення кількості файлів на диску

ѕ істотне зменшення розміру вільної оперативної пам'яті

ѕ висновок на екран непередбачених повідомлень або зображень

ѕ подача непередбачених звукових сигналів

ѕ часті зависання і збої в роботі комп'ютера

До цього моменту, як правило, вже достатньо багато (або навіть більшість) програм є зараженими вірусом, а деякі файли і диски - зіпсованими. Більш того, заражені програми з одного комп'ютера могли бути перенесений за допомогою дискет або по локальній мережі на інші комп'ютери.

Деякі види вірусів поводяться ще більш підступно. Вони спочатку непомітно заражають велике число програм або дисків, а потім заподіюють дуже серйозні пошкодження, наприклад, формують весь жорсткий диск на комп'ютері. А бувають віруси, які прагнуть поводитися якомога більш непомітно, але потроху і поступово псують дані на жорсткому диску комп'ютера.

Таким чином, якщо не робити мер по захисту від вірусу, то наслідки зараження комп'ютера можуть бути дуже серйозними.

1.2 Основні види вірусів та схеми їх функціонування

Залежно від середовища незаселеного віруси можна розділити на мережні, файлові, завантажувальні і файлово-завантажувальні.

Мережні віруси розповсюджуються по різних комп'ютерних сітках.

Файлові віруси упроваджуються головним чином у виконувані модулі, тобто У файли, розширення COM і EXE, що мають. Файлові віруси можуть упроваджуватися і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не одержують управління і, отже, втрачають здібність до розмноження.

Завантажувальні віруси упроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Re-cord).

Файлово-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.

За способом зараження віруси діляться на резидентні і нерезиденті:

Резидентний вірус при зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження (файлам, завантажувальним секторам дисків і т. п.) і упроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до виключення або перезавантаження комп'ютера.

Нерезидентні віруси не заражають пам'ять комп'ютера і є активними обмежений час.

По ступеню дії віруси можна розділити на наступні види:

ѕ безпечні, що не заважають роботі комп'ютера, але зменшують об'єм вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах

ѕ небезпечні віруси, які можуть привести до різних порушень в роботі комп'ютера

ѕ дуже небезпечні, дія яких може привести до втрати програм, знищення даних, стиранню інформації в системних областях диска.

По особливостях алгоритму віруси важко класифікувати через велику різноманітність. Найпростіші віруси - паразитичні, вони змінюють вміст файлів і секторів диска і можуть бути достатньо легко знайдені і знищені. Можна відзначити вируси-реплікатори, названі черв'яками, які розповсюджуються по комп'ютерних сітях, обчислюють адреси мережних комп'ютерів і записують за цими адресами свої копії. Відомі віруси-невидимки, названі стелс-вірусами, які дуже важко знайти і знешкоджувати, оскільки вони перехоплюють звернення операційної системи до уражених файлів і секторів дисків і підставляють замість свого тіла незаражені ділянки диска. Найбільш важко знайти віруси-мутанти, алгоритми шифровки-розшифровки, завдяки яким копії одного і того ж вірусу не мають жодного ланцюжка байтів, що повторюється, що містять. Є і так звані квазівірусні або «троянські» програми, які хоча і не здібні до саморозповсюдження, але дуже небезпечні, оскільки, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків.

1.3 Шляхи проникнення вірусів у комп'ютер і механізм розподілу вірусних програм

Основними шляхами проникнення вірусів в комп'ютер є знімні диски (гнучкі і лазерні), а також комп'ютерні сіті. Зараження жорсткого диска вірусами може відбутися при завантаженні програми з дискети, що містить вірус. Таке зараження може бути і випадковим, наприклад, якщо дискету не вийняли з дисковода А і перезавантажили комп'ютер, при цьому дискета може бути і не системною. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст.

Вірус, як правило, упроваджується в робочу програму так, щоб при її запуску управління спочатку передалося йому і лише після виконання всіх його команд знову повернулося до робочої програми. Отримавши доступ до управління, вірус перш за все переписує сам себе в іншу робочу програму і заражає її. Після запуску програми, що містить вірус, стає можливим зараження інших файлів. Найбільш часто вірусом заражаються завантажувальний сектор диска і виконувані файли, розширення EXE, COM, SYS, BAT, що мають. Украй рідко заражаються текстові файли.

Після зараження програми вірус може виконати яку-небудь диверсію, не дуже серйозну, щоб не привернути уваги. І нарешті, не забуває повернути управління тій програмі, з якої був запущений. Кожне виконання зараженої програми переносить вірус в наступну. Таким чином, заразиться все програмне забезпечення.

Для ілюстрації процесу зараження комп'ютерної програми вірусом має сенс уподібнити дискову пам'ять старомодному архіву з теками на тасьмі. В теках розташовані програми, а послідовність операцій по упровадженню вірусу в цьому випадку виглядатиме таким чином.

1.4 Програми виявлення і захисту від вірусів

Для виявлення, видалення і захисти від комп'ютерних вірусів розроблено декілька видів спеціальних програм, які дозволяють знаходити і знищувати віруси. Такі програми називаються антивірусними. Розрізняють наступні види антивірусних програм:

ѕ програми-детектори

ѕ програми-доктори або фаги

ѕ програми-ревізори

ѕ програми-фільтри

ѕ програми-вакцини або імунізатори

Програми-детектори здійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті і у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам таких програм.

Програми-доктори або фаги, а також програми-вакцини не тільки знаходять заражені вірусами файли, але і «лікують» їх, тобто видаляють з файлу тіло програми-вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки тоді переходять до «лікування» файлів. Серед фагів виділяють поліфаги, тобто програми-доктори, призначені для пошуку і знищення великої кількості вірусів. Самі відомі з них: Aidstest, Scan, Norton AntiVirus, Doctor Web, Антивірус Касперського.

Враховуючи, що постійно з'являються нові віруси, програми-детектори і програми-доктори швидко застарівають, і потрібне регулярне оновлення версій.

Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з початковим. Знайдені зміни виводяться на екран монітора. Як правило, порівняння станів проводять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файлу, код циклічного контролю (контрольна сума файлу), дата і час модифікації, інші параметри. Програми-ревізори мають достатньо розвинуті алгоритми, знаходять стелс-віруси і можуть навіть очистити зміни версії програми, що перевіряється, від змін, внесених вірусом. До числа програм-ревізорів відноситься широко поширена в Росії програма Adinf.

Програмами-фільтри або «сторожем» є невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

ѕ спроби корекції файлів з розширеннями COM, EXE

ѕ зміна атрибутів файлу

ѕ прямий запис на диск за абсолютною адресою

ѕ запис в завантажувальні сектори диска

ѕ завантаження резидентної програми

При спробі якої-небудь програми провести вказані дії «сторож» посилає користувачу повідомлення і пропонує заборонити або дозволити відповідну дію. Програми-фільтри вельми корисні, оскільки здатні знайти вірус на найранішій стадії його існування до розмноження. Проте, вони не «лікують» файли і диски. Для знищення вірусів вимагається застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх «настирливість»(наприклад, вони постійно видають попередження про будь-яку спробу копіювання виконуваного файлу), а також можливі конфлікти з іншим програмним забезпеченням. Прикладом програми-фільтру є програма Vsafe, що входить до складу пакету утиліт MS DOS.

Вакцини або імунізатори - це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-доктори, що «лікують» цей вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує програму або диск так, щоб це не відображалося на їх роботі, а вірус сприйматиме їх зараженими і тому не упровадиться. В даний час програми-вакцини мають обмежене застосування.

Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення знайдених вірусів на кожному комп'ютері дозволяють уникнути розповсюдження вірусної епідемії на інші комп'ютери.

3. Антивірусні програми

3.1 AIDSTEST

В нашій країні, як вже було сказане вище, особливу популярність набули антивірусні програми, що суміщають в собі функції детекторів і докторів. Самою відомою з них є програма AIDSTEST Д.Н. Лозінського. В Україні практично на кожному IBM-сумісному персональному комп'ютері є одна з версій цієї програми. Одна з останніх версія знаходить більше 8000 вірусів.

Aidstest для свого нормального функціонування вимагає, щоб в пам'яті не було резидентних антивірусів, що блокують запис в програмні файли, тому їх слід вивантажити, або, вказавши опцію вивантаження самій резидентній програмі, або скористатися відповідною утилітою.

При запуску Aidstest перевіряє себе оперативну пам'ять на наявність відомих йому вірусів і знешкоджує їх. При цьому паралізуються тільки функції вірусу, пов'язані з розмноженням, а інші побічні ефекти можуть залишатися. Тому програма після закінчення знешкодження вірусу в пам'яті видає запит про перезавантаження. Слід обов'язково послідувати цій пораді, якщо оператор ПЕВМ не є системним програмістом, вивченням властивостей вірусів, що займається. При чому слід перезавантажитися кнопкою RESET, оскільки при "теплому перезавантаженні" деякі віруси можуть зберігатися. Додатково, краще запустити машину і Aidstest із захищеної від запису дискети, оскільки при запуску із зараженого диска вірус може записатися в пам'ять резидентом і перешкоджати лікуванню.

Aidstest тестує своє тіло на наявність відомих вірусів, а також по спотвореннях в своєму коді судить про своє зараження невідомим вірусом. При цьому можливі випадки помилкової тривоги, наприклад при стисненні антивіруса пакувальником. Програма не має графічного інтерфейсу, і режими її роботи задаються за допомогою ключів. Вказавши шлях, можна перевірити не весь диск, а окремий підкаталог.

3.2 DOCTOR WEB

Останнім часом стрімко росте популярність іншої антивірусної програми - Doctor Web. Dr.Web так само, як і Aidstest відноситься до класу детекторів - докторів, але на відміну від останнього, має так званий "евристичний аналізатор" - алгоритм, що дозволяє знаходити невідомі віруси. "Лікувальна павутина", як перекладається з англійського назва програми, стала відповіддю вітчизняних програмістів на нашестю вірусів-мутантів, що самомодифікуються. Останні при розмноженні модифікують своє тіло так, що не залишається жодного характерного ланцюжка байт, присутньої в початковій версії вірусу. Dr.Web можна назвати антивірусом нового покоління в порівнянні з Aidstest і його аналогами.

Управління режимами також як і в Aidstest здійснюється за допомогою ключів. Користувач може вказати програмі, тестувати як весь диск, так і окремі підкаталоги або групи файлів, або ж відмовитися від перевірки дисків і тестувати тільки оперативну пам'ять.

Але, звичайно, головною особливістю "Лікувальної павутини" є наявність евристичного аналізатора, який підключається ключем /S. Балансу між швидкістю і якістю можна добитися, вказавши ключу рівень евристичного аналізу: 0 - мінімальний, 1 - оптимальний, 2 - максимальний; при цьому, природно, швидкість зменшується пропорційно збільшенню якості. До того ж Dr.Web дозволяє тестувати файли, вакциновані CPAV, а також упаковані LZEXE, PKLITE, DIET.

Тестування вінчестера Dr.Web-ом займає на багато більше часу, ніж Aidstest-ом, тому не кожний користувач може собі дозволити витрачати стільки часу на щоденну перевірку всього жорсткого диска. Таким користувачам можна порадити більш ретельно (з опцією /S2) перевіряти принесені ззовні дискети. Якщо інформація на дискеті знаходиться в архіві (а останнім часом програми і дані переносяться з машини на машину тільки у такому вигляді; навіть фірми-виробники програмного забезпечення, наприклад Borland, пакують свою продукцію), слід розпакувати його в окремий каталог на жорсткому диску і зразу ж, не відкладаючи, запустити Dr.Web, задавши йому як параметр замість імені диска повний шлях до цього підкаталогу. Та все ж потрібно хоча б раз в дві неділі проводити повну перевірку "вінчестера" на віруси із завданням максимального рівня евристичного аналізу.

Так само як і у випадку з Aidstest при початковому тестуванні не варто дозволяти програмі лікувати файли, в яких вона знайде вірус, оскільки не можна виключити, що послідовність байт, прийнята в антивірусі за шаблон може зустрітися в здоровій програмі.

3.3 Microsoft Antivirus

До складу сучасних версій MS-DOS входить антивірусна програма Microsoft Antivirus (MSAV). Цей антивірус може працювати в режимах детектора-доктора і ревізора.

MSAV має дружній інтерфейс в стилі MS-Windows, природно, підтримується миша. Добре реалізована контекстна допомога: підказка є практично до будь-якого пункту меню, до будь-якої ситуації. Універсально реалізований доступ до пунктів меню: для цього можна використовувати клавіші управління курсором, ключові клавіші (F1-F9), клавіші, відповідні однієї з букв назви пункту, а також миша. Прапорці установок в пункті меню Options можна встановлювати як клавішею ПРОПУСК, так і клавішею ENTER. Серйозною незручністю при використовуванні програми є те, що вона зберігає таблиці з даними про файли не в одному файлі, а розкидає їх по всіх директоріях.

При першій перевірці MSAV створює в кожній директорії, що містить здійснимі файли, файли CHKLIST.MS, в які записує інформацію про розмір, дату, час, атрибути, а також контрольну суму контрольованих файлів. При подальших перевірках програма порівнюватиме файли з інформацією в CHKLIST.MS-файлах. Якщо змінилися розмір і дата, то програма повідомить про це користувача і запитає про подальші дії: відновити інформацію (Update), встановити дату і час у відповідність з даними в CHKLIST.MS (Repair), продовжити, не звертаючи уваги на зміни в даному файлі (Continue), перервати перевірку (Stop). Якщо змінилася контрольна сума, то MSAV виведе таке ж вікно, тільки замість пункту Repair буде пункт Delete (видалити), оскільки програма не може відновити вміст файлу. При виявленні вірусу в режимі Detect&Clean програма видалить цей вірус. Перевірку диска в обох режимах можна припинити, або повністю перервати, натискуючи ESC (або F3) і відповівши на відповідне питання програми. Під час сканування диска виводиться інформація про виконану роботу: відсоток оброблених каталогів і відсоток оброблених файлів в поточному каталозі. Ця інформація видається також наочно, у вигляді кольорової смужки, як і при перевірці пам'яті. В кінці перевірки MSAV видає звіт у вигляді таблиці, в якій повідомляється про кількість перевірених жорстких дисків і гнучких дисків, про кількість перевірених, інфікованих і вилікуваних файлів. Крім того, виводиться час сканування.

В меню Options можна конфігурувати програму за власним бажанням. Тут можна встановити режим пошуку вірусів-невидимок (Anti-Stealth), перевірки всіх (а не тільки здійснимих) файлів (Check All Files), а також дозволити або заборонити створювати таблиці CHKLIST.MS (Create New Checksums). До того ж можна задати режим збереження звіту про виконану роботу у файлі. Якщо встановити опцію Create Backup, то перед видаленням вірусу із зараженого файлу його копія буде збережена з розширенням *.VIR

Знаходячись в основному меню, можна проглянути список вірусів, відомих програмі MSAV, натискуючи клавішу F9. При цьому виведеться вікно з назвами вірусів. Щоб подивитися більш докладну інформацію про вірус, потрібно підвести курсор до його імені і натискувати ENTER. Можна швидко перейти до вірусу, що цікавить, набравши перші букви його імені. Інформацію про вірус можна вивести на принтер, вибравши відповідний пункт меню.

3.4 ADINF (Advanced Diskinfoscope)

ADinf відноситься до класу програм-ревізорів. Антивірус має високу швидкість роботи, здатний з успіхом протистояти вірусам, що знаходяться в пам'яті. Він дозволяє контролювати диск, читаючи його по секторах через BIOS і не використовуючи системні переривання DOS, які може перехопити вірус.

Для лікування заражених файлів застосовується модуль ADinf Cure Module, що не входить в пакет ADinf і що поставляється окремо. Принцип роботи модуля - збереження невеликої бази даних, що описує контрольовані файли. Працюючи спільно, ці програми дозволяють знайти і видалити близько 97% файлових вірусів і 100% вірусів в завантажувальному секторі. Наприклад, гучний вірус SatanBug був легко знайдений, і заражені їм файли автоматично відновлені. Причому, навіть ті користувачі, які придбали ADinf і ADinf Cure Module за декілька місяців до появи цього вірусу, змогли без праці його позбутися.

ADinf має добре виконаний дружній інтерфейс, який реалізований в графічному режимі. Програма працює безпосередньо з відеопам'яттю, минувши BIOS, при цьому підтримуються всі графічні адаптери. Наявність великої кількості ключів дозволяє користувачу створити максимально зручну для нього конфігурацію системи. Можна встановити, що саме потрібно контролювати: файли із заданими розширеннями, завантажувальні сектори, наявність збійних кластерів, нові файли на наявність Stealth-вірусів, файли із списку незмінних і т.д. По своєму бажанню користувач може заборонити перевіряти деякі каталоги (це потрібно, якщо каталоги є робочими і в них весь час відбуваються зміни). Є можливість змінювати спосіб доступу до диска (BIOS, Int13h або Int25h/26h), редагувати список розширень файлів, що перевіряються, а також призначити кожному розширенню власний вьюер, за допомогою якого будуть видимими файли з цим розширенням. В традиціях сучасного програмного забезпечення реалізована робота з мишею. Як і вся продукція фірми "ДіалогНаука", ADinf підтримує програмно-апаратний комплекс Sheriff.

При інсталяції ADinf в систему є можливість змінити ім'я основного файлу ADINF.EXE і ім'я таблиць, при цьому користувач може задати будь-яке ім'я. Це дуже корисна функція, оскільки останнім часом з'явилася безліч вірусів, що "полюють" за антивірусами (наприклад, є вірус, який змінює програму Aidstest так, що вона замість заставки фірми "ДіалогНаука" пише: "Лозінській - пень"), у тому числі і за ADinf.

Корисною функцією є можливість роботи з DOS, не виходячи з програми. Це корисно, коли потрібно запустити зовнішній антивірус для лікування файлу, якщо у користувача немає лікуючого блоку ADinf Cure Module.

Ще одна цікава функція - заборона роботи з системою при виявленні змін на диску. Ця функція корисна, коли за терміналами працюють користувачі, що не мають ще великого досвіду в спілкуванні з комп'ютером. Такі користувачі, по незнанню або по халатності, можуть проігнорувати повідомлення ADinf і продовжити роботу як ні в чому не бувало, що може привести до важких наслідків.

Якщо ж встановлений ключ -Stop в рядку виклику Adinf AUTOEXEC.BAT, то при виявленні змін на диску програма зажадає покликати системного програміста, обслуговуючого даний термінал, а якщо користувач натискуватиме ESC або ENTER, то система перезавантажиться і все повториться знову.

Принцип роботи ADinf заснований на збереженні в таблиці копії MASTER-BOOT і BOOT секторів, список номерів збійних кластерів, схему дерева каталогів і інформацію про всі контрольовані файли. Крім того, програма запам'ятовує і при кожному запуску перевіряє, чи не змінився доступний DOS об'єм оперативної пам'яті (що буває при зараженні більшістю завантажувальних вірусів), кількість встановлених вінчестерів, таблиці параметрів вінчестера в області змінних BIOS.

При першому запуску програма запам'ятовує об'єм оперативної пам'яті, знаходить і запам'ятовує адресу обробника переривання Int 13h в BIOS, який використовуватиметься при всіх подальших перевірках, і будує таблиці для дисків, що перевіряються. При цьому перевіряється, чи показував вектор переривання 13h в BIOS перед завантаженням DOS.

При подальших запусках ADinf перевіряє об'єм оперативної пам'яті, доступної DOS, змінні BIOS, завантажувальні сектори, список номерів збійних кластерів (оскільки деякі віруси, записавшися в кластер, позначають його, як збійний, щоб їх не затерли інші дані, а також не знайшли примітивні антивіруси). До того ж антивірус шукає знов створені і знищені підкаталоги, нові, видалені, перейменовані, переміщені і змінилися файли (перевіряється зміна довжини і контрольної суми). Якщо ADinf знайде, що, змінився файл із списку незмінних, або у файлі відбулися зміни без зміни дати і часу, а також наявність у файлу дивної дати (число більше 31, місяць більше 12 або рік більше поточного) або часу (хвилин більше 59, годин більше 23 або секунд більше 59), то він видасть попередження про те, що можливе зараження вірусом.

Після перевірки ADinf видає зведену таблицю, що повідомляє про зміни на диску. По таблиці можна переміщатися стрілками і проглядати докладну інформацію, натискуючи ENTER на пункті, що цікавить. Існує можливість переходу до будь-якого пункту за допомогою "швидких клавіш". Файли, що змінилися, можна проглянути в класичному режимі (шістнадцятирозрядний дамп / ASCII-коди) за допомогою вбудованого вьюера, який читає диск через BIOS. Можна також скористатися зовнішнім вьюером, заздалегідь вказавши до нього шлях. Підключивши зовнішнього редактора, можна відредагувати файл, що змінився.

Не зовсім звично виглядає форма, в якій ADinf повідомляє про знайдені підозрілі зміни: замість видачі повідомлення про конкретні зміни він виводить червоне вікно із списком всіх можливих і позначає галочкою пункти, відповідні змінам, що відбулися зараз. Якщо після отримання такого повідомлення натискувати ESC, то програма запитає про подальші дії: відновити інформацію про диск, не обновляти її, лікувати (за наявності лікуючого модуля ADinf Cure Module) або записати протокол. Для лікування можна скористатися зовнішнім антивірусом, завантаживши його з вікна роботи з DOS, яке викликається комбінацією клавіш ALT+V.

Якщо зміни не відносяться до розряду підозрілих, то після видачі таблиці змін можна натискувати ESC. При цьому програма запитає, чи потрібно обновляти дані про диск в таблицях або не потрібно, а також чи потрібно створювати файл в звітом про виконану роботу. Після вибору одного з пунктів програма виконує дію, що зажадалася, і завершує свою роботу.

3.5 Антивірус Касперського

Антивірус Касперського - це принципово новий підхід до захисту інформації. Головне в програмі - це об'єднання і помітне поліпшення поточних функціональних можливостей всіх продуктів компанії в одне комплексне рішення захисту. Програма забезпечує не тільки антивірусний захист, але і захист від невідомих загроз. Більше не потрібно встановлювати декілька продуктів на комп'ютер, щоб забезпечити собі повноцінний захист. Достатньо просто встановити Антивірус Касперського. Комплексний захист забезпечується на всіх каналах надходження і передачі інформації. Гнучка настройка будь-якого компоненту програми дозволяє максимально повно адаптувати Антивірус Касперського під потреби конкретного користувача. Захист Антивіруса Касперського будується виходячи з джерел загроз, тобто на кожне джерело передбачений окремий компонент програми, що забезпечує його контроль і необхідні заходи щодо запобігання шкідливої дії цього джерела на дані користувача. Така побудова системи захисту дозволяє гнучко використовувати і настроювати будь-який з компонентів під потрібні конкретного користувача або підприємства в цілому.

Антивірус Касперського включає:

Компоненти захисту, забезпечують захист вашого комп'ютера на всіх каналах надходження і передачі інформації.

Задачі пошуку вирусів, за допомогою яких виконується перевірка комп'ютера або окремих файлів, каталогів, дисків або областей, на присутність вірусів.

Сервісні функції, забезпечують інформаційну підтримку в роботі з програмою і дозволяють розширити її функціональність.

Файловий Антивірус - компонент, контролюючий файлову систему комп'ютера. Він перевіряє всі файли, що ВІДКРИВАЮТЬСЯ, ЗАПУСКАЮТЬСЯ І ЗБЕРІГАЮТЬСЯ, на вашому комп'ютері і всіх приєднаних дисках. Кожний файл, до якого ви звернетеся, буде перехоплений Антивірусом Касперського і перевірений на присутність відомих вірусів. Подальша робота з файлом можлива тільки в тому випадку, якщо файл не заражений або був успішно вилікуваний Антивірусом. Якщо ж файл із яких-небудь причин неможливо вилікувати, він буде видалений, при цьому копія файлу буде збережена в резервному сховищі, або поміщений на карантин.

Поштовий Антивірус - компонент перевірки всіх вхідних і витікаючих поштових повідомлень вашого комп'ютера. Він аналізує електронні листи на присутність шкідливих програм. Лист буде доступний адресату тільки в тому випадку, якщо воно не містить небезпечних об'єктів.

Веб-антивірус спеціально розроблений для запобігання подібних ситуацій. Даний компонент перехоплює і блокує виконання скрипту, розташованого на веб-сайті, якщо він представляє загрозу. Строгому контролю також піддається весь http-трафік.

Для того, щоб знайти нову шкідливу програму ще до того, як вона встигне завдати шкоди, Лабораторією Касперського розроблений спеціальний компонент - Проактивний захист. Він заснований на контролі і аналізі поведінки всіх програм, встановлених на вашому комп'ютері. На підставі виконуваних дій Антивірус Касперського ухвалює рішення: є програма небезпечної чи ні. Таким чином, ваш комп'ютер захищений не тільки від вже відомих вірусів, але і від нових, ще не досліджених.

4. Основні заходи по захисту від вірусів

Для того, щоб не піддати комп'ютер зараженню вірусами і забезпечити надійне зберігання інформації на дисках, необхідно дотримувати наступні правила:

ѕ оснастіть свій комп'ютер сучасними антивірусними програмами, наприклад Aidstest, Doctor Web, і постійно відновлюйте їх версії

ѕ перед прочитуванням з дискет інформації, записаної на інших комп'ютерах, завжди перевіряйте ці дискети на наявність вірусів, запускаючи антивірусні програми свого комп'ютера

ѕ при перенесенні на свій комп'ютер файлів у вигляді, що архівується, перевіряйте їх відразу ж після розархівування на жорсткому диску, обмежуючи область перевірки тільки знову записаними файлами

ѕ періодично перевіряйте на наявність вірусів жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті і системних областей дисків із захищеної від запису дискети, заздалегідь завантаживши операційну систему із захищеної від запису системної дискети

ѕ завжди захищайте свої дискети від запису при роботі на інших комп'ютерах, якщо на них не буде проводитись запис інформації

ѕ обов'язково робіть архівні копії на дискетах цінної для вас інформації

ѕ не залишайте в кишені дисковода А дискети при включенні або перезавантаженні операційної системи, щоб виключити зараження комп'ютера завантажувальними вірусами

ѕ використовуйте антивірусні програми для вхідного контролю всіх виконуваних файлів, одержуваних з комп'ютерних мереж.

6. Практична частина видалення вірусів

Віруси на сьогоднішній час є надзвичайно серйозною проблемою, вирішити яку під силу далеко не кожному користувачу ПК. Для цього і створенні програми за допомогою яких можна виявити та знешкодити віруси.

Розглянемо на конкретному прикладі, як виявляти та знешкоджувати віруси, за допомогою антивірусної програми Kaspersky Internet Security 7.0

1. Вставляємо будь який носій інформації (диск, дискету або „флешку”) в дисковод чи підключаємо через USB-порт і за допомогою „Контекстного меню” вибираємо команду перевірити на віруси і програма автоматично перевіряє носій.

2. Запускаємо програму пошуку вірусів на комп'ютері. Для цього позначаємо директорії, які необхідно перевірити на наявність вірусів.

3. Коли програма знайшла вірус чи підозрілу програму, з'являється діалогове вікно „Лікувати”, коли ще програму чи файл можна відновити, „Видалити”, якщо уражений об'єкт не можливо відновити.

4. Можна також поставити завдання перед антивірусною програмою, щоб вона сканувала диски вашого комп'ютера наприклад кожної неділі о 9.00 і тоді програма буде автоматично вмикатись та перевіряти позначені ділянки комп'ютера.

5. На лазерних дисках вірус можна виявити але знешкодити його практично неможливо.

6. Для більш ефективної роботи антивірусної програми необхідно регулярно поновлювати бази даних вірусів через Internet.

ВИСНОВОК

Отже, можна привести масу фактів, що свідчать про те, що загроза інформаційному ресурсу зростає з кожним днем, піддаючи в паніку відповідальних осіб в банках, на підприємствах і в компаніях у всьому світі. І загроза ця виходить від комп'ютерних вірусів, які спотворюють або знищують життєво важливу, цінну інформацію, що може привести не тільки до фінансових втрат, але і до людських жертв.

Комп'ютерний вірус - спеціально написана програма, здатна мимовільно приєднуватися до інших програм, створювати свої копії і упроваджувати їх у файли, системні області комп'ютера і в обчислювальні сіті з метою порушення роботи програм, псування файлів і каталогів, створення всіляких перешкод в роботі комп'ютера.

В даний час число програмних вірусів безперервно зростає. Відомі випадки, коли створювалися навчальні посібники, що допомагають в написанні вірусів.

З історії комп'ютерної вірусології ясно, що будь-яка оригінальна комп'ютерна розробка примушує творців антивірусів пристосовуватися до нових технологій, постійно удосконалити антивірусні програми.

Причини появи і розповсюдження вірусів приховані з одного боку в психології людини, з другого боку - з відсутністю засобів захисту у операційної системи.

Основні шляхи проникнення вірусів - знімні диски і комп'ютерні сіті. Щоб цього не трапилося, дотримуйте заходи по захисту. Також для виявлення, видалення і захисти від комп'ютерних вірусів розроблено декілька видів спеціальних програм, званих антивірусними. Якщо ви все ж таки знайшли в комп'ютері вірус, то по традиційному підходу краще покликати професіонала, щоб той далі розібрався.

Але деякі властивості вірусів спантеличують навіть фахівців. Ще зовсім недавно було важко собі уявити, що вірус може пережити холодне перезавантаження або розповсюджуватися через файли документів. В таких умовах не можна не надавати значення хоча б початковому антивірусному утворенню користувачів. При всій серйозності проблеми жоден вірус не здатний принести стільки шкоди, скільки блідий користувач з тремтячими руками!

Отже, здоров'я ваших комп'ютерів, збереження ваших даних - у ваших руках!

Список використаної літератури

1. Рудченко В. Д., Макарчук О. М., Патанжоглу М. О. Практичний курс інформатики / За ред.. Мадзігона В. М. - К.: Фенікс, 2000. - 304 с.

2. Глушаков С. В., Сурядный А. С., Хачиров Т. С. Домашний ПК / Худож.-оформитель С. И. Правдюк. - Харьков: Фолио, 2005. - 495 с. (Учебный курс)

3. Поисковик: www.meta.com.ua, www.ukr.net, www.rambler.ru.