کاربران گرامی، مطالب این مقاله را نمی توان کامل و جامع تلقی کرد، زیرا پیشرفت به طور پیوسته رو به جلو است و متأسفانه فناوری های نوشتن ویروس و بدافزار نیز رو به بهبود است. این مقاله با هدف اطلاع رسانی و افزایش آموزش و آگاهی کاربران گردآوری شده است. امیدوارم (به اشتباه ساده لوحانه) مطالب ارائه شده کسی را به نوشتن برنامه های مخرب سوق ندهد، بلکه آنها را به فکر وادار کند. به یاد داشته باشید، یک ضرب المثل حکیمانه وجود دارد: "در چاه تف نکنید، باید بنوشید." در مورد ما، اینترنت یک "چاه" عظیم اطلاعاتی است که ما اطلاعات مورد نیاز خود را از آن به دست می آوریم. این مسئولیت مستقیم ما است که آن را تمیز نگه داریم، زیرا ما اجزای جدایی ناپذیر آن هستیم (البته به طور غیر مستقیم، اما با این وجود :).
ویروس ها چیست؟
ویروس- این یک برنامه ویژه نوشته شده و با اندازه کوچک است، دنباله ای از کدهای دستورالعمل است که می تواند خود را به برنامه های دیگر "نسبت" کند (آنها را "عفونی" کند)، کپی هایی از خود ایجاد کند (نه همیشه یکسان) و آنها را در فایل ها، رایانه جاسازی کند. نواحی سیستم، و غیره .d.، و همچنین انجام اقدامات ناخواسته مختلف بر روی کامپیوتر.
ویروس های رایانه ای نام خود را مدیون شباهت خاصی با ویروس های طبیعی هستند: توانایی خودآلودگی. سرعت انتشار بالا؛ گزینش پذیری سیستم های آسیب دیده (هر ویروس فقط سیستم های خاصی یا گروه های همگن سیستم ها را آلوده می کند). توانایی "عفونت" سیستم های هنوز آلوده نشده؛ مشکلات در مبارزه با ویروس ها و غیره.
طبقه بندی ویروس های کامپیوتری
به طور معمول، ویروس ها را می توان بر اساس معیارهای زیر طبقه بندی کرد:
* با توجه به زیستگاه ویروس
* با توجه به روش آلودگی محیط زیست
* با قابلیت های مخرب
* با توجه به ویژگی های الگوریتم ویروس
* بر اساس نوع اقدامات مخرب
ویروس های بوت بخش بوت فلاپی دیسک و بخش بوت یا Master Boot Record (MBR) هارد دیسک را آلوده می کنند. اصل عملکرد ویروس های بوت بر اساس الگوریتم هایی برای راه اندازی سیستم عامل در هنگام روشن یا راه اندازی مجدد رایانه است.
برای روشن تر شدن موضوع، نحوه بوت شدن رایانه را با جزئیات توضیح خواهم داد: پس از روشن شدن رایانه شخصی، منبع تغذیه سیگنال POWER_ON را به مادربرد می فرستد که به نوبه خود ولتاژ مدار برق را در صورت طبیعی بودن بررسی می کند. ، سپس کامپیوتر روشن می شود. علاوه بر این، برنامه در BIOS (سیستم خروجی ورودی پایه) کارت گرافیک کنترل را دریافت می کند، اجزای کارت گرافیک را آزمایش می کند و با دریافت داده های مثبت، کنترل را به بایوس مادربرد منتقل می کند. رویه POST (Power-On Self Test) را راه اندازی می کند، که در صورت موفقیت آمیز بودن آزمایش و برگرداندن سیگنال های مثبت همه دستگاه های پیدا شده، BIOS، مطابق با داده های بخش Boot، خودآزمایی تمام اجزای سیستم را انجام می دهد. ابتدا کنترل را به دستگاهی که در این لیست قرار دارد منتقل می کند. کنترل با جستجوی اولین بخش فیزیکی، خواندن آن و راه اندازی بوت لودر منتقل می شود.
در مورد فلاپی دیسک یا سی دی، بخش بوت کنترل را دریافت می کند که جدول پارامتر دیسک (BPB - BIOS Parameter Block) را تجزیه و تحلیل می کند، آدرس فایل های سیستم عامل را محاسبه می کند، آنها را در حافظه می خواند و برای اجرا راه اندازی می کند. اگر هیچ فایل سیستم عاملی روی دیسک بوت وجود نداشته باشد، برنامه ای که در بخش بوت دیسک قرار دارد یک پیغام خطا نشان می دهد و پیشنهاد می کند دیسک بوت را جایگزین کنید.
در مورد هارد دیسک، کنترل به بوت لودر فوق الذکر داده می شود، که جدول پارتیشن دیسک را تجزیه و تحلیل می کند، آدرس بخش بوت فعال را محاسبه می کند (معمولا این بخش بخش بوت درایو C: است)، بارگذاری می شود. آن را به حافظه منتقل می کند و به کنترل آن منتقل می کند. پس از دریافت کنترل، بخش بوت فعال هارد دیسک همان اقداماتی را انجام می دهد که بخش بوت فلاپی دیسک را انجام می دهد. علاوه بر این، همه چیز ساده تر است، در فایل های سیستم یک لودر سیستم عامل وجود دارد که بارگیری بیشتر سیستم عامل را انجام می دهد.
هنگام آلوده کردن دیسکها، ویروسهای بوت کد خود را با برنامهای جایگزین میکنند که هنگام بوت شدن سیستم کنترل را به دست میگیرد. بنابراین، اصل آلودگی در تمام روشهایی که در بالا توضیح داده شد یکسان است: ویروس، سیستم را مجبور میکند، در هنگام راهاندازی مجدد، در حافظه بخواند و کنترل را نه به کد بوت لودر اصلی، بلکه به کد ویروس بدهد.
فلاپی دیسک ها با تنها روش شناخته شده آلوده می شوند - ویروس به جای کد اصلی بخش بوت دیسکت، کد خود را می نویسد. هارد دیسک به سه روش ممکن آلوده می شود - ویروس یا به جای کد MBR یا به جای کد بخش بوت دیسک بوت (معمولاً درایو C:) نوشته می شود یا آدرس بخش بوت فعال را تغییر می دهد. در جدول پارتیشن دیسک واقع در MBR هارد دیسک.
هنگامی که یک دیسک آلوده می شود، ویروس در بیشتر موارد بخش بوت اصلی (یا MBR) را به بخش دیگری از دیسک (به عنوان مثال، به اولین بخش رایگان) منتقل می کند. اگر طول ویروس بیشتر از طول سکتور باشد، قسمت اول ویروس در بخش آلوده قرار می گیرد، قسمت های باقی مانده در بخش های دیگر (مثلاً در اولین بخش های آزاد) قرار می گیرند.
چندین گزینه برای قرار دادن بخش بوت اولیه روی دیسک و ادامه ویروس وجود دارد: در بخش هایی از دسته های آزاد یک دیسک منطقی، در بخش های سیستمی استفاده نشده یا به ندرت استفاده می شود، در بخش هایی که خارج از دیسک قرار دارند.
اگر ادامه ویروس در بخشهایی قرار داشته باشد که متعلق به خوشههای دیسک آزاد هستند (هنگام جستجوی این بخشها، ویروس باید جدول تخصیص فایل - FAT را تجزیه و تحلیل کند)، سپس، به طور معمول، ویروس این خوشهها را در FAT علامتگذاری میکند. (Fail Allocation Table) به عنوان بد (به اصطلاح خوشه های شبه بد). ).
همچنین، ویروسها سکتور بوت اولیه را در یک سکتور استفاده نشده یا به ندرت استفاده میکنند - در یکی از بخشهای هارد دیسک (در صورت وجود) که بین MBR و اولین بخش راهاندازی قرار دارد، و در فلاپی دیسک، چنین سکتوری از قسمت انتخاب میشود. آخرین بخش های دایرکتوری ریشه
برخی از ویروس ها کد خود را در آخرین بخش هارد دیسک می نویسند، زیرا این بخش ها تنها زمانی استفاده می شوند که هارد دیسک به طور کامل با اطلاعات پر شده باشد. روشی که کمتر مورد استفاده قرار می گیرد، روشی است که ادامه ویروس را خارج از دیسک نگه می دارد. این امر از دو طریق به دست می آید. اولین مورد به کاهش اندازه دیسک های منطقی می رسد: ویروس مقادیر لازم را از فیلدهای BPB مربوطه در بخش بوت و جدول پارتیشن دیسک هارد دیسک (در صورت آلوده بودن هارد دیسک) کم می کند، بنابراین مقدار آن را کاهش می دهد. اندازه دیسک منطقی و نوشتن کد آن در بخش هایی که از آن جدا شده اند.
راه دوم نوشتن اطلاعات خارج از پارتیشن فیزیکی دیسک است. در مورد فلاپی دیسک، ویروس باید یک آهنگ اضافی روی دیسک را فرمت کند (روش قالب بندی غیر استاندارد). ویروس هایی هستند که کد خود را خارج از فضای موجود هارد می نویسند، البته اگر سخت افزار نصب شده این اجازه را داشته باشد.
البته روش های دیگری نیز برای قرار دادن ویروس بر روی دیسک وجود دارد، به عنوان مثال برخی از ویروس ها حاوی یک لودر استاندارد MBR در بدن خود هستند و در صورت آلوده شدن، MBR اصلی را بدون ذخیره آن بازنویسی می کنند.
هنگامی که آلوده می شوند، اکثر ویروس ها اطلاعات سیستم ذخیره شده در بوت لودر اصلی را در کد بوت لودر خود کپی می کنند (برای MBR این اطلاعات جدول پارتیشن دیسک است و برای بخش بوت فلاپی دیسک ها بلوک پارامتر BIOS است). در غیر این صورت، سیستم نمی تواند خود را بوت کند، زیرا آدرس دیسک اجزای سیستم بر اساس این اطلاعات محاسبه می شود.
با این حال، برخی از ویروسهای Stealth این اطلاعات را ذخیره نمیکنند یا حتی بیشتر از آن، عمداً آن را رمزگذاری میکنند. هنگامی که سیستم یا سایر برنامهها به بخشهای آلوده دسترسی پیدا میکنند، ویروس نسخههای اصلی آلوده نشده آنها را جایگزین میکند و سیستم بدون هیچ مشکلی بوت میشود.
همچنین لازم به ذکر است که ویروس های بوت به ندرت با هم در یک دیسک کنار می آیند - آنها اغلب از بخش های دیسک مشابه برای قرار دادن کد / داده های خود استفاده می کنند. در نتیجه، کد/دادههای ویروس اول در صورت آلوده شدن به ویروس دوم خراب میشوند و سیستم یا در حالت بوت یا حلقه میماند.
الگوریتم ویروس بوت
تقریباً همه ویروس های بوت مقیم هستند. هنگامی که از یک دیسک آلوده بوت می شوند به حافظه کامپیوتر وارد می شوند. در این حالت، لودر سیستم محتویات اولین بخش از دیسکی که بوت از آن انجام می شود را می خواند، اطلاعات خوانده شده را در حافظه قرار می دهد و کنترل را به آن (یعنی ویروس) منتقل می کند. پس از آن، دستورالعمل های ویروس شروع به اجرا می کند که:
1.
به عنوان یک قاعده، مقدار حافظه آزاد را کاهش می دهد (کلمه در آدرس 0040:0013)، کد آن را در فضای آزاد شده کپی می کند و ادامه آن (در صورت وجود) را از روی دیسک می خواند. در آینده، برخی از ویروس ها "منتظر" می شوند تا سیستم عامل بارگیری کند و این کلمه را به معنای اصلی خود بازگرداند. در نتیجه، آنها خارج از سیستم عامل نیستند، بلکه به عنوان بلوک های حافظه جداگانه سیستم عامل قرار دارند.
2.
بردارهای وقفه لازم را قطع می کند (معمولا - INT 13h)، بخش بوت اصلی را در حافظه می خواند و کنترل را به آن منتقل می کند.
در آینده، ویروس بوت مانند یک ویروس فایل مقیم عمل می کند: دسترسی سیستم عامل به دیسک ها را قطع می کند و آنها را آلوده می کند، بسته به شرایط خاص، اقدامات مخرب انجام می دهد یا باعث ایجاد جلوه های صوتی یا تصویری می شود.
ویروسهای بوت غیر مقیم وجود دارند - وقتی بارگذاری میشوند، MBR دیسک سخت و فلاپی دیسکها را آلوده میکنند، اگر در درایوها وجود داشته باشند. سپس چنین ویروس هایی کنترل را به بوت لودر اصلی منتقل می کنند و دیگر بر عملکرد رایانه تأثیر نمی گذارند.
ویروس های فایل
این گروه شامل ویروس هایی است که در حین بازتولید خود به هر نحوی از سیستم فایل هر سیستم عامل استفاده می کنند.
معرفی یک ویروس فایل تقریبا در تمامی فایل های اجرایی تمامی سیستم عامل های معروف و همچنین کتابخانه های درایور پویا و مجازی (dll, VxD) و بسیاری فایل های دیگر امکان پذیر است.
ویروس هایی وجود دارند که فایل هایی را که حاوی متن های منبع برنامه، کتابخانه یا ماژول های شی هستند آلوده می کنند. ممکن است یک ویروس در فایل های داده بنویسد، اما این اتفاق می افتد یا در نتیجه یک خطای ویروس یا زمانی که ویژگی های تهاجمی آن آشکار می شود. ویروسهای ماکرو نیز کد خود را روی فایلهای داده – اسناد یا صفحات گسترده – مینویسند، با این حال، این ویروسها آنقدر خاص هستند که در یک گروه جداگانه قرار میگیرند.
این روش عفونت ساده ترین است: ویروس به جای کد فایل آلوده، کد خود را می نویسد و محتویات آن را از بین می برد. طبیعتا در این حالت فایل از کار می افتد و بازیابی نمی شود. چنین ویروس هایی خیلی سریع خود را شناسایی می کنند، زیرا سیستم عامل و برنامه ها به سرعت کار نمی کنند.
تزریق ویروس به ابتدای فایل
معرفی یک ویروس به ابتدای فایل در اکثریت قریب به اتفاق موارد هنگام آلوده کردن فایل های DOS BAT و COM استفاده می شود.ویروس های متعددی وجود دارند که خود را در ابتدای فایل های EXE سیستم عامل های DOS، ویندوز و حتی لینوکس می نویسند. فایل آلوده را ضد عفونی کنید، مجددا راه اندازی کنید، منتظر بمانید تا تمام شود و دوباره به ابتدای آن بنویسید (گاهی اوقات یک فایل موقت برای این کار استفاده می شود که فایل خنثی شده در آن نوشته می شود)، یا کد برنامه را در حافظه کامپیوتر بازیابی کنید و آدرس های لازم را در بدنه آن پیکربندی کنید (به عنوان مثال عملکرد سیستم عامل را کپی کنید).
تزریق ویروس در انتهای یک فایل
رایج ترین راه برای تزریق ویروس به فایل، اضافه کردن ویروس به انتهای فایل است. در این حالت، ویروس شروع فایل را به گونه ای تغییر می دهد که اولین دستورات اجرایی برنامه موجود در فایل، دستورات ویروس باشد.
در یک فایل DOS COM، در اکثر موارد این امر با تغییر سه (یا بیشتر) بایت اول آن به کدهای دستورالعمل JMP Loc_Virus (یا، به طور کلی، به کدهای برنامه ای که کنترل را به بدنه ویروس منتقل می کند) به دست می آید.
ویروس هایی که به فایل های SYS نفوذ می کنند، کدهای خود را به بدنه فایل متصل می کنند و آدرس های برنامه های Strategy و Interrupt درایور آلوده را تغییر می دهند. در طول شروع اولیه یک درایور آلوده، ویروس درخواست سیستم عامل مربوطه را رهگیری می کند، آن را به درایور ارسال می کند، منتظر پاسخ به این درخواست می ماند، آن را تصحیح می کند و همراه با درایور در همان بلوک RAM باقی می ماند. چنین ویروسی می تواند بسیار خطرناک و سرسخت باشد، زیرا زمانی که سیستم عامل قبل از هر برنامه ضد ویروسی بارگیری می شود، به رم وارد می شود، مگر اینکه البته یک درایور نیز باشد.
ویروسهایی نیز وجود دارند که درایورهای سیستم را به روشی متفاوت آلوده میکنند: ویروس هدر خود را تغییر میدهد تا سیستمعامل فایل آلوده را بهعنوان زنجیرهای از دو (یا بیشتر) درایور در نظر بگیرد.
به طور مشابه، یک ویروس می تواند کدهای خود را در ابتدای درایور بنویسد و اگر فایل حاوی چندین درایور باشد، سپس در وسط فایل.
تزریق ویروس به وسط فایل
روش های مختلفی برای تزریق ویروس به وسط فایل وجود دارد. در ساده ترین آنها، ویروس بخشی از فایل را به انتهای خود منتقل می کند یا فایل را "گسترش" می کند و کد آن را در فضای آزاد می نویسد. این روش بسیار شبیه به روش های ذکر شده در بالا است. برخی از ویروس ها بلوک فایل قابل حمل را به گونه ای فشرده می کنند که طول فایل در هنگام آلودگی تغییر نمی کند.
روش دوم روش "حفره" است که در آن ویروس در قسمت های آشکارا استفاده نشده فایل نوشته می شود. ویروس را می توان در قسمت های استفاده نشده جدول آدرس DOS فایل EXE یا سربرگ فایل NewEXE، در قسمت پشته فایل COMMAND.COM ("Lehigh") یا در ناحیه پیام متنی کپی کرد. از کامپایلرهای محبوب ("NMSG"). ویروسهایی وجود دارند که فقط فایلهایی را آلوده میکنند که حاوی بلوکهایی هستند که با مقداری بایت ثابت پر شدهاند، در حالی که ویروس به جای چنین بلوکی، کد خود را مینویسد.
ویروس های بدون نقطه ورود
یک گروه نسبتاً ناچیز از ویروس ها که "نقطه ورود" ندارند (EPO-viruses - Entry Point Obscuring Virus) باید به طور جداگانه ذکر شود. اینها شامل ویروس هایی است که دستورات انتقال کنترل را در هدر فایل های COM (JMP) نمی نویسند و آدرس نقطه شروع را در هدر فایل های EXE تغییر نمی دهند. چنین ویروس هایی دستوری می نویسند تا به کد خود در جایی در وسط فایل تغییر کنند و کنترل را نه مستقیماً در هنگام راه اندازی فایل آلوده، بلکه هنگام فراخوانی رویه ای حاوی کد برای انتقال کنترل به بدنه ویروس دریافت می کنند. علاوه بر این، این روش را می توان بسیار به ندرت انجام داد (به عنوان مثال، هنگام نمایش یک پیام در مورد یک خطای خاص). در نتیجه، ویروس میتواند سالها در داخل فایل بخوابد و تنها در شرایط محدود خاصی به آزادی بپرد.
قبل از نوشتن دستوری برای پرش به کد خود به وسط فایل، ویروس باید آدرس "صحیح" فایل را انتخاب کند - در غیر این صورت ممکن است فایل آلوده خراب شود. راه های مختلفی وجود دارد که ویروس ها چنین آدرس هایی را در فایل ها تعیین می کنند.
راه اول- در فایل دنباله ای از کدهای استاندارد C/Pascal را جستجو کنید. این ویروس ها در فایل های آلوده به دنبال هدرهای رویه C/Pascal استاندارد می گردند و به جای آن کد خود را می نویسند.
راه دوم- ردیابی یا جداسازی کد فایل. چنین ویروس هایی فایل را در حافظه بارگذاری می کنند، سپس آن را ردیابی یا جدا می کنند و بسته به شرایط مختلف، یک فرمان (یا دستورات) را انتخاب می کنند که به جای آن کد انتقال روی بدنه ویروس نوشته می شود.
راه سومفقط توسط ویروس های مقیم استفاده می شود - آنها نوعی وقفه را هنگام شروع یک فایل کنترل می کنند (اغلب - INT 21h). به محض اینکه فایل آلوده این وقفه را ایجاد می کند، ویروس به جای دستور فراخوانی وقفه، کد خود را می نویسد.
همراه - ویروس ها
دسته "همراه" شامل ویروس هایی است که فایل های آلوده را تغییر نمی دهند. الگوریتم عملکرد این ویروس ها به این صورت است که یک فایل دوقلو برای فایل آلوده ایجاد می شود و زمانی که فایل آلوده راه اندازی می شود، این دوقلو است که کنترل می شود، یعنی. ویروس.
رایجترین ویروسهای همراه از ویژگی DOS برای اجرای یک فایل COM استفاده میکنند، اگر دو فایل در یک فهرست با نام یکسان اما پسوندهای نام متفاوت وجود داشته باشد - COM و EXE. این گونه ویروس ها فایل های ماهواره ای را برای فایل های EXE ایجاد می کنند که همنام هستند، اما با پسوند COM، برای مثال، XCOPY.COM برای فایل XCOPY.EXE ایجاد می شود. ویروس در فایل COM می نویسد و فایل EXE را به هیچ وجه تغییر نمی دهد. هنگام اجرای چنین فایلی، DOS اولین کسی است که فایل COM را شناسایی و اجرا می کند. ویروس، که سپس فایل EXE را راه اندازی می کند. برخی از ویروس ها نه تنها از نوع COM-EXE، بلکه از BAT-COM-EXE نیز استفاده می کنند.
گروه دوم شامل ویروسهایی است که وقتی آلوده میشوند، نام فایل را به نام دیگری تغییر میدهند، آن را به خاطر میآورند (برای راهاندازی بعدی فایل میزبان)، و کد خود را در دیسک زیر نام فایل آلوده مینویسند. برای مثال فایل XCOPY.EXE به XCOPY.EXD تغییر نام داده و ویروس با نام XCOPY.EXE نوشته می شود. هنگام راهاندازی، کنترل کد ویروس را بر عهده میگیرد و سپس XCOPY اصلی را که با نام XCOPY.EXD ذخیره میشود، راهاندازی میکند. یک واقعیت جالب این است که این روش احتمالاً در همه سیستم عامل ها کار می کند - ویروس هایی از این نوع نه تنها در DOS، بلکه در Windows و OS / 2 یافت می شوند.
گروه سوم شامل ویروس های به اصطلاح "Path-companion" است که روی ویژگی های DOS PATH "بازی" می کنند. آنها یا کد خود را تحت نام فایل آلوده می نویسند، اما در یک سطح PATH "بالاتر" می نویسند (در نتیجه DOS اولین کسی است که فایل ویروس را شناسایی و راه اندازی می کند)، یا فایل قربانی را یک زیر شاخه بالاتر و غیره منتقل می کند.
کرم های فایل
کرم های فایل، به نوعی، نوعی ویروس همراه هستند، اما به هیچ وجه حضور آنها را با هیچ فایل اجرایی مرتبط نمی دانند. هنگامی که آنها تکثیر می شوند، فقط کد خود را در برخی از فهرست های دیسک کپی می کنند به این امید که این کپی های جدید روزی توسط کاربر اجرا شوند. گاهی اوقات این ویروسها نامهای «ویژه» به نسخههای خود میدهند تا کاربر را تشویق به اجرای کپی خود کنند - به عنوان مثال، INSTALL.EXE یا WINSTART.BAT.
کرم هایی وجود دارند که کپی های خود را در بایگانی می نویسند (ARJ، ZIP، RAR، و غیره). این ویروس ها عبارتند از "ArjVirus" و "Winstart". برخی از ویروس ها دستور اجرای فایل آلوده به فایل های BAT را می نویسند.
کرم های فایل را نباید با کرم های شبکه اشتباه گرفت. اولی فقط از توابع فایل برخی از سیستم عامل ها استفاده می کند، در حالی که دومی از پروتکل های شبکه برای بازتولید آنها استفاده می کند.
ویروس ها را پیوند دهید
ویروسهای پیوند، مانند یک همراه - ویروسها محتوای فیزیکی فایلها را تغییر نمیدهند، با این حال، وقتی یک فایل آلوده راهاندازی میشود، سیستمعامل را مجبور میکنند تا کد خود را اجرا کند. آنها با اصلاح فیلدهای ضروری سیستم فایل به این هدف دست می یابند.
تا به امروز، تنها یک نوع از Link-virus شناخته شده است - ویروس های خانواده "Dir_II". هنگامی که آنها سیستم را آلوده می کنند، بدن خود را به آخرین خوشه درایو منطقی می نویسند. هنگام آلوده کردن یک فایل، ویروس ها فقط شماره اولین خوشه فایل را که در بخش مربوطه دایرکتوری قرار دارد تصحیح می کنند. خوشه فایل اولیه جدید به خوشه حاوی بدنه ویروس اشاره می کند. بنابراین، زمانی که فایلها آلوده میشوند، طول آنها و محتوای دستههای دیسک حاوی این فایلها تغییر نمیکند و همه فایلهای آلوده روی یک دیسک منطقی تنها یک کپی از ویروس خواهند داشت.
پس از آلوده شدن، اطلاعات دایرکتوری به یک ویروس اشاره می کند، به عنوان مثال. هنگامی که یک فایل راه اندازی می شود، این فایل ها نیستند که کنترل را به دست می گیرند، بلکه ویروس ها هستند.
OBJ-، LIB-ویروس ها و ویروس ها در کد منبع
ویروسهایی که کتابخانههای کامپایلر، ماژولهای شی و کدهای منبع برنامه را آلوده میکنند کاملاً عجیب و غریب و عملاً غیر معمول هستند. در مجموع حدود ده مورد از آنها وجود دارد. ویروس هایی که فایل های OBJ و LIB را آلوده می کنند، کد خود را در قالب یک ماژول شی یا کتابخانه بر روی آنها می نویسند. بنابراین فایل آلوده قابل اجرا نیست و قادر به انتشار بیشتر ویروس در وضعیت فعلی نیست. حامل یک ویروس "زنده" یک فایل COM یا EXE است که با پیوند دادن یک فایل OBJ/LIB آلوده به ماژول ها و کتابخانه های شی دیگر به دست می آید. بنابراین، ویروس در دو مرحله پخش میشود: فایلهای OBJ/LIB در مرحله اول آلوده میشوند و یک ویروس قابل اجرا در مرحله دوم (پیوند دادن) به دست میآید.
آلوده شدن متون منبع برنامه ادامه منطقی روش انتشار قبلی است. در این حالت، ویروس کد منبع خود را به متن های منبع (در این مورد، ویروس باید آن را در بدن خود داشته باشد) یا تخلیه هگزادسیمال خود (که از نظر فنی آسان تر است) اضافه می کند. یک فایل آلوده تنها پس از کامپایل و پیوند می تواند ویروس را گسترش دهد.
الگوریتم ویروس فایل
روش بازگرداندن برنامه به حالت اولیه بستگی به نحوه آلوده شدن فایل دارد. اگر ویروسی در ابتدای فایل خود را تزریق کند، یا کدهای برنامه آلوده را با تعداد بایتی معادل طول ویروس جابجا می کند یا بخشی از کد برنامه را از انتهای آن به ابتدا منتقل می کند یا بازیابی می کند. فایل روی دیسک و سپس آن را راه اندازی می کند. اگر ویروس خودش را تا انتهای فایل نوشته باشد، در هنگام بازیابی برنامه، از اطلاعات ذخیره شده در بدن خود در زمان آلوده شدن فایل استفاده می کند. این می تواند طول فایل، چند بایت از ابتدای فایل در مورد یک فایل COM، یا چند بایت از یک هدر در مورد یک فایل EXE باشد. اگر ویروس به روش خاصی در وسط فایل ثبت شده باشد، در هنگام بازیابی فایل از الگوریتم های خاصی نیز استفاده می کند.
تزریق ویروس به فایل های DOS COM و EXE
فایل های باینری COM یا EXE قابل اجرا که از نظر عنوان و نحوه اجرای برنامه ها متفاوت هستند. پسوند نام فایل ("*.COM" یا "*.EXE") همیشه با فرمت فایل واقعی مطابقت ندارد، اما به هیچ وجه بر عملکرد برنامه تأثیر نمی گذارد. فایل های COM و EXE به طور متفاوتی آلوده می شوند، بنابراین، ویروس باید بین فایل های یک فرمت از دیگری تمایز قائل شود. ویروس ها این مشکل را از دو طریق حل می کنند: برخی پسوند نام فایل ("*.COM"، "*.EXE") را تجزیه و تحلیل می کنند، و برخی دیگر - هدر فایل. روش اول به عنوان آلوده کردن فایل های *.COM- (یا *.EXE-) و روش دوم - آلوده کردن فایل های COM- (یا EXE-) نامیده می شود.
در بیشتر موارد، ویروس به درستی فایل را آلوده می کند. با توجه به اطلاعات موجود در بدنه ویروس، می توانید فایل آلوده را به طور کامل بازیابی کنید. اما ویروس ها، مانند بسیاری از برنامه ها، اغلب حاوی خطاهایی هستند که در نگاه اول نامحسوس هستند. به همین دلیل، حتی یک ویروس که به خوبی نوشته شده باشد می تواند به طور غیرقابل برگشتی به فایلی که آلوده شود آسیب برساند. به عنوان مثال، ویروس هایی که بین انواع فایل ها با پسوند نام (*.COM، *.EXE) تمایز قائل می شوند بسیار خطرناک هستند، زیرا فایل هایی را که پسوند نام آنها با فرمت داخلی مطابقت ندارد خراب می کنند.
یکی از رایج ترین نمونه های آلوده شدن فایل های نادرست COMMAND.COM از Windows95 است. این فایل در واقع یک فایل EXE است، علاوه بر این، حجم آن بیش از 90K است که برای یک فایل COM غیرممکن است. بنابراین، ویروسهایی که فایلهای COM/EXE را با پسوند نام متمایز میکنند و طول فایلهای COM آلوده را بررسی نمیکنند (مثلاً «Junkie»)، این COMMAND.COM را خراب میکنند و غیرقابل اجرا میشود.
مبدل بدوی
هنگامی که یک فایل آلوده می شود، یک ویروس می تواند تعدادی از اقدامات را انجام دهد که گسترش آن را پنهان کرده و سرعت می بخشد. چنین اقداماتی شامل پردازش ویژگی فقط خواندنی، حذف آن قبل از آلودگی، و بازیابی آن پس از آن است. بسیاری از ویروس های فایل، آخرین تاریخ اصلاح یک فایل را می خوانند و پس از آلوده شدن، آن را بازیابی می کنند. برخی از ویروس ها برای پنهان کردن گسترش خود، وقفه سیستم عامل را که هنگام دسترسی به یک دیسک محافظت شده از نوشتن (INT 24h) رخ می دهد، قطع می کنند و خودشان آن را پردازش می کنند.
سرعت انتشار
در مورد ویروس های فایل، لازم است به ویژگی آنها مانند سرعت توزیع توجه شود. هر چه یک ویروس سریعتر پخش شود، احتمال بروز اپیدمی آن ویروس بیشتر است. هرچه سرعت انتشار ویروس کمتر باشد، تشخیص آن دشوارتر می شود (مگر اینکه، البته، این ویروس هنوز برای برنامه های آنتی ویروس شناخته نشده است). مفاهیم "سریع" و "آهسته" ویروس (Fast Infector، Slow Infector) کاملاً نسبی هستند و فقط به عنوان ویژگی یک ویروس در هنگام توصیف آن استفاده می شود.
ویروسهای غیر مقیم اغلب "آهسته" هستند - بیشتر آنها یک یا دو یا سه فایل را در هنگام راهاندازی آلوده میکنند و قبل از راهاندازی برنامه ضد ویروس (یا پیکربندی نسخه جدیدی از آنتیویروس) وقت ندارند کامپیوتر را پر کنند. برای این ویروس ظاهر می شود). البته، ویروسهای «سریع» غیرمقیم وجود دارند که هنگام راهاندازی، همه فایلهای اجرایی را جستجو کرده و آنها را آلوده میکنند، اما چنین ویروسهایی بسیار قابل توجه هستند: وقتی هر فایل آلوده راهاندازی میشود، رایانه برای برخی به طور فعال با هارد دیسک کار میکند ( گاهی اوقات برای مدت طولانی)، که ویروس را آشکار می کند.
«سرعت» ویروسهای مقیم معمولاً بیشتر از ویروسهای غیر مقیم است - وقتی به فایلها دسترسی پیدا میکنند، آنها را آلوده میکنند. در نتیجه، همه یا تقریباً تمام فایلهای روی دیسک که دائماً در کار استفاده میشوند آلوده میشوند.
سرعت انتشار ویروسهای فایل مقیمی که فایلها را فقط زمانی که برای اجرا اجرا میشوند آلوده میکنند، کمتر از ویروسهایی است که فایلها را هنگام باز کردن، تغییر نام، تغییر ویژگیهای فایل و غیره آلوده میکنند. بسیاری از ویروس ها هنگام ایجاد کپی خود در RAM کامپیوتر، سعی می کنند منطقه حافظه را با بالاترین آدرس ها اشغال کنند و قسمت موقت مفسر دستور COMMAND.COM را از بین ببرند. در پایان برنامه آلوده، قسمت موقت مفسر بازیابی می شود و فایل COMMAND.COM باز می شود و اگر ویروس هنگام باز شدن فایل ها را آلوده کند، آلوده می شود. بنابراین، هنگامی که چنین ویروسی راه اندازی می شود، فایل COMMAND.COM اولین موردی است که آلوده می شود.
مواد و داده ها از منابع زیر گرفته شده است:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info
- برای نظر دادن، لطفآ وارد سامانه شوید یا ثبت نام کنید
ویروس های کامپیوتری
و فایل های خراب و آلوده
طبقه بندی ویروس ها پیشگیری و کنترل ویروس های کامپیوتری
معرفی
در حال حاضر، بسیاری از زمینه های فعالیت انسان با استفاده از کامپیوتر مرتبط است. چرا این ماشین های الکترونیکی اینقدر محکم در زندگی ما جاسازی شده اند؟ همه چیز خیلی پیش پا افتاده است آنها کارهای محاسباتی و طراحی معمولی را انجام می دهند و مغز ما را برای کارهای ضروری و مسئولیت پذیرتر آزاد می کنند. در نتیجه، خستگی به شدت کاهش مییابد و ما شروع به کار بسیار پربارتر از بدون استفاده از رایانه میکنیم.
امکانات کامپیوترهای مدرن غنی ترین تخیل را شگفت زده می کند. آنها می توانند چندین کار را به صورت موازی انجام دهند که پیچیدگی آنها بسیار زیاد است. بنابراین، برخی از تولیدکنندگان به فکر ایجاد هوش مصنوعی هستند. و اکنون کار یک کامپیوتر شبیه کار یک دستیار الکترونیکی هوشمند برای یک شخص است.
اما چه کسی فکرش را میکرد که این معجزه الکترونیکی فناوری با بیماریهایی مشابه بیماریهای انسانی مشخص میشود. او، مانند یک شخص، می تواند توسط یک "ویروس" اما یک کامپیوتر مورد حمله قرار گیرد. و اگر اقدامی نکنید، کامپیوتر به زودی "بیمار می شود" یعنی. شروع به انجام اقدامات نادرست یا حتی "مرگ" خواهد کرد. آسیب ناشی از "ویروس" بسیار جدی خواهد بود. ویروس های کامپیوتری چیست و چگونه با آنها مقابله کنیم بیشتر مورد بحث قرار خواهد گرفت.
ویروس های کامپیوتری
ویروس کامپیوتری چیست؟
تا به امروز، چندین نوع اصلی بدافزار وجود دارد:
- ویروس کامپیوتری کلاسیک؛
- تروجان یا اسب تروا (troj);
- کرم (کرم)؛
- جاسوس یا جاسوس، کی لاگر
-rootkick
- ربات یا زامبی
زمانی، این ویروسهای کلاسیک بودند که بیشترین شیوع را داشتند - اما سازندگان آنها به ندرت هدف خاصی را برای آسیب رساندن به کاربر نهایی تعیین میکردند، بلکه برای اهداف آموزشی ایجاد شده بودند. ویروس نویسان امروزی اهداف کاملاً واضح و قابل درک را دنبال می کنند - پول، و "فرزندان" آنها بسیار خطرناک تر از پیشینیان خود شده اند. بنابراین اجازه دهید خطرناک ترین شکارچیان فضای اطلاعاتی امروز را معرفی کنم - اینها تروجان ها و کرم ها هستند.
تروجان یا تروج نام خود را از شباهت روش آلودگی و حرکت تاکتیکی معروف در زمان محاصره تروا گرفته است. نمونه ای از عفونت تروجان - نامه ای از یک "آشنا" خاص با متن دریافت می کنید: - "سلام! من تازه از دریا برگشتم - استراحت خوبی داشتم! این هم تصاویر من - نگاه کنید."، و پیوست فایل هایی با پسوند ".JPG". همین فایل ها همان اسب تروجان هستند که کد مخرب در اعماق آن پنهان شده است. رایج ترین منابع عفونت ایمیل، سایت های دوستیابی، سایت های موسیقی و سایت های نرم افزار رایگان هستند. یک "تروجان" چه می کند؟ به عنوان یک قاعده، وظیفه آن باز کردن راه برای سایر ویروس ها است تا به عنوان اولین سکوی پرش عمل کنند. چگونه از عفونت با "تروجان" جلوگیری کنیم؟ در اینجا همه چیز مانند زندگی است - از خود محافظت کنید و از روابط گاه به گاه اجتناب کنید =). این قانون برای هر ویروس و سایر بدافزارها صادق است. اگر ایمیلی برای شما ارسال شده است - قبل از مشاهده پیوستها، فرستنده را بررسی کنید، پیوست را در رایانه خود ذخیره کنید و آن را با یک آنتی ویروس بررسی کنید و تنها سپس آن را باز کنید.
کرم یا کرم - یکی از ویژگی های این برنامه ها در تکامل و استقلال است. هنگامی که یک کرم وارد کامپیوتر می شود، معمولا به برنامه های پست الکترونیکی و پیجرهای اینترنتی حمله می کند. پس از دسترسی به نامه یا پیجر، او شروع به ارسال نامه ها / پیام هایی می کند که حاوی نسخه اصلاح شده خود است. پس از آن، فایل های اجرایی (EXE، COM، BAT) را یا خود تخریب می کند یا آلوده می کند. از آنجایی که ویروس خودش تغییر می کند، تا زمانی که در پایگاه داده آنتی ویروس شما شناسایی نشود، آسیب ناپذیر است. به همین دلیل است که امروزه یک آنتی ویروس دارای مجوز برای هر دارنده رایانه شخصی نیاز فوری است.
ویروس کامپیوتری یک برنامه کوچک ویژه نوشته شده است که می تواند خود را به برنامه های دیگر "نسبت" کند (به عنوان مثال آنها را "آلوده" کند)، و همچنین اعمال ناخواسته مختلفی را در رایانه انجام دهد. برنامه ای که حاوی ویروس باشد، آلوده نامیده می شود. هنگامی که چنین برنامه ای شروع می شود، ابتدا ویروس کنترل می شود. ویروس برنامه های دیگر را پیدا کرده و "عفونت" می کند، و همچنین برخی از اقدامات مضر را انجام می دهد (به عنوان مثال، فایل ها یا جدول تخصیص فایل (FAT) روی دیسک را خراب می کند، RAM را "آلوده می کند" و غیره). برای پوشاندن یک ویروس، اقداماتی برای آلوده کردن برنامه های دیگر و ایجاد آسیب ممکن است همیشه انجام نشود، اما مثلاً تحت شرایط خاصی. پس از اینکه ویروس اقدامات مورد نیاز خود را انجام داد، کنترل را به برنامه ای که در آن قرار دارد منتقل می کند و طبق معمول کار می کند. بنابراین، از نظر ظاهری، کار یک برنامه آلوده مانند برنامه غیر آلوده به نظر می رسد.
بسیاری از انواع ویروس ها به گونه ای طراحی شده اند که وقتی یک برنامه آلوده راه اندازی می شود، ویروس در حافظه کامپیوتر باقی می ماند و هر از چند گاهی برنامه ها را آلوده کرده و اعمال ناخواسته ای را روی کامپیوتر انجام می دهد.
همه اقدامات ویروس را می توان بسیار سریع و بدون ارسال هیچ پیامی انجام داد، برای این کاربر بسیار دشوار است، تقریبا غیرممکن است که تشخیص دهد چیزی غیرعادی در رایانه اتفاق می افتد.
تا زمانی که برنامه های نسبتا کمی روی رایانه آلوده شده باشند، حضور ویروس تقریباً نامرئی است. با این حال، پس از مدتی، اتفاق عجیبی در رایانه شروع می شود، به عنوان مثال:
- برخی از برنامه ها کار نمی کنند یا به اشتباه شروع به کار می کنند.
- پیام های اضافی، نمادها و غیره روی صفحه نمایش داده می شوند.
- سرعت کار بر روی رایانه به طور قابل توجهی کاهش می یابد.
- برخی از فایل ها خراب هستند و غیره
در این مرحله، به عنوان یک قاعده، تعداد زیادی (یا حتی اکثر) برنامه های فنی که با آنها کار می کنید به ویروس آلوده شده اند و برخی از فایل ها و دیسک ها خراب می شوند. علاوه بر این، برنامه های آلوده از رایانه شما ممکن است قبلاً با استفاده از فلاپی دیسک یا یک شبکه محلی به رایانه های همکاران و دوستان شما منتقل شده باشند.
برخی از ویروس ها بسیار موذی هستند. در ابتدا آنها به طور نامحسوس تعداد زیادی برنامه و دیسک را آلوده می کنند و سپس آسیب بسیار جدی وارد می کنند ، به عنوان مثال کل هارد دیسک را روی رایانه فرمت می کنند ، طبیعتاً پس از آن بازیابی اطلاعات به سادگی غیرممکن است. و ویروس هایی وجود دارند که بسیار مخفیانه رفتار می کنند و به تدریج اطلاعات روی هارد دیسک را خراب می کنند یا جدول تخصیص فایل (FAT) را جابجا می کنند.
بنابراین، اگر اقداماتی را برای محافظت در برابر ویروس انجام ندهید، عواقب عفونت می تواند بسیار جدی باشد. مثلاً در ابتدای سال 1989م این ویروس که توسط دانشجوی آمریکایی موریس نوشته شده بود، هزاران رایانه از جمله رایانه های متعلق به وزارت دفاع ایالات متحده را آلوده و از کار انداخت. عامل این ویروس از سوی دادگاه به سه ماه حبس و 270 هزار دلار جریمه نقدی محکوم شد. مجازات می توانست شدیدتر باشد، اما دادگاه در نظر گرفت که ویروس داده ها را خراب نکرد، بلکه فقط چند برابر شد.
برای اینکه یک برنامه ویروسی نامرئی باشد، باید کوچک باشد. بنابراین، ویروس ها معمولا به زبان های سطح پایین اسمبلی یا در دستورات سطح پایین زبان C نوشته می شوند.
ویروس ها توسط برنامه نویسان یا دانش آموزان باتجربه صرفاً از روی کنجکاوی یا برای انتقام گرفتن از شخص یا شرکتی که با آنها به شیوه ای ناشایست یا برای اهداف خرابکارانه تجاری یا جهت دار رفتار کرده است، نوشته می شوند. اهداف نویسنده هرچه که باشد، ویروس ممکن است به رایانه شما سرایت کند و سعی کند همان اقدامات مضر فردی را که برای او ایجاد شده است انجام دهد.
لازم به ذکر است که نوشتن ویروس کار چندان دشواری نیست و برای یک دانشجوی برنامه نویسی کاملاً قابل دسترسی است. بنابراین هر هفته ویروس های جدید بیشتری در جهان ظاهر می شوند. و بسیاری از آنها در کشور ما ساخته می شوند.
فایل های خراب و آلوده
یک ویروس کامپیوتری می تواند خراب کند، به عنوان مثال. هر فایلی را که روی دیسکهای موجود در رایانه وجود دارد، بهطور نامناسب تغییر دهید. اما این ویروس می تواند برخی از انواع فایل ها را "آلوده" کند. این بدان معنی است که یک ویروس می تواند به این فایل ها "نفوذ" کند، یعنی. آنها را طوری تغییر دهید که حاوی ویروسی باشند که تحت شرایط خاص شروع به کار کند.
لازم به ذکر است که متون برنامه ها و اسناد، فایل های اطلاعات پایگاه داده، جداول صفحه گسترده و سایر فایل های مشابه توسط یک ویروس رایج آلوده نمی شوند، فقط می تواند آنها را خراب کند. آلودگی این گونه فایل ها فقط توسط ماکرو ویروس ها انجام می شود. این ویروس ها حتی می توانند اسناد شما را نیز آلوده کنند.
رکورد بوت اصلی لودر سیستم عامل و هارد دیسک. ویروس هایی که این نواحی را آلوده می کنند، ویروس بوت یا BOOT نامیده می شوند. چنین ویروسی کار خود را در بوت اولیه کامپیوتر شروع می کند و ساکن می شود، یعنی. به طور دائم در حافظه کامپیوتر باقی می ماند. مکانیسم توزیع، آلودگی رکوردهای بوت درج شده در دیسکت های کامپیوتر است. اغلب چنین ویروس هایی از دو قسمت تشکیل شده اند، زیرا رکورد بوت کوچک است و قرار دادن کل برنامه ویروس در آنها دشوار است. بخشی از ویروس در قسمت دیگری از دیسک قرار دارد، به عنوان مثال، در انتهای فهرست اصلی دیسک یا در یک خوشه در ناحیه داده دیسک (معمولاً چنین خوشه ای معیوب اعلام می شود تا از بازنویسی ویروس در هنگام نوشتن اطلاعات جلوگیری کنید).
فایلهای درایورهای دستگاه که در بند DEVICE فایل CONFIG.SYS مشخص شدهاند. ویروسی که در آنها وجود دارد هر بار که به دستگاه مربوطه دسترسی پیدا می کند کار خود را شروع می کند. ویروس هایی که درایورهای دستگاه را آلوده می کنند بسیار نادر هستند زیرا درایورها به ندرت از یک رایانه به رایانه دیگر کپی می شوند. همین امر در مورد فایل های سیستم DOS (MSDOS.SYS و IO.SYS) نیز صدق می کند - آلودگی آنها نیز از نظر تئوری امکان پذیر است، اما برای انتشار ویروس بی اثر است.
به عنوان یک قاعده، هر نوع خاص از ویروس می تواند تنها یک یا دو نوع فایل را آلوده کند. اغلب ویروس هایی وجود دارند که فایل های اجرایی را آلوده می کنند. در رتبه دوم از نظر شیوع، ویروس های بوت هستند. برخی از ویروس ها هم فایل ها و هم قسمت های بوت دیسک را آلوده می کنند. ویروس هایی که درایورهای دستگاه را آلوده می کنند بسیار نادر هستند، معمولاً چنین ویروس هایی می توانند فایل های اجرایی را نیز آلوده کنند.
طبقه بندی ویروس ها
ویروس ها را می توان بر اساس معیارهای مختلف به کلاس هایی تقسیم کرد. در اینجا، برای مثال، بر اساس خیانت:
ویروس هایی که فوراً هارد دیسک را فرمت می کنند، جدول تخصیص فایل را خراب می کنند، بخش های بوت را خراب می کنند، به اصطلاح فلش رام (محلی که BIOS در آن قرار دارد) کامپیوتر (ویروس چرنوبیل) را پاک می کنند، به عبارت دیگر صدمات جبران ناپذیری به بار می آورند. در اسرع وقت به کامپیوتر این همچنین شامل نتایج شکایت برنامه نویسانی است که ویروس ها را علیه برنامه های ضد ویروس می نویسند. این به اصطلاح به آلرژی به برخی برنامه های ضد ویروس اشاره دارد. این ویروس ها کاملاً خائنانه هستند. در اینجا مثلاً آلرژی به Dr.Weber هنگام فراخوانی این برنامه، بدون معطلی، آنتی ویروس را مسدود می کند، هر چیزی را که در دایرکتوری است با آنتی ویروس و C: WINDOWS خراب می کند. در نتیجه باید سیستم عامل را دوباره نصب کنید و سپس با روش های دیگر با ویروس مبارزه کنید.
- ویروس هایی که برای عمر طولانی در کامپیوتر طراحی شده اند. آنها به تدریج و با احتیاط برنامه به برنامه بدون تبلیغات حضور خود را آلوده می کنند و قسمت های شروع برنامه ها را با پیوندهایی به محل قرارگیری بدن ویروس جایگزین می کنند. علاوه بر این، آنها تغییری در ساختار دیسک ایجاد می کنند که برای کاربر نامحسوس است، که تنها زمانی احساس می شود که برخی از داده ها به طور ناامیدکننده ای از بین رفته باشند (به عنوان مثال، ویروس "OneHalf-3544"، "Yankey-2C").
بر اساس روش های انتقال و تولید مثل نیز می توان تقسیم بندی کرد.
قبلاً، ویروسها عمدتاً فقط فایلهای اجرایی (با پسوندهای com و exe.) را تحت تأثیر قرار میدادند. در واقع ویروس یک برنامه است و باید اجرا شود.
در حال حاضر ویروس ها از طریق ایمیل به عنوان برنامه های آزمایشی یا به عنوان تصاویر ارسال می شوند، به عنوان مثال، اگر فایل "PicturesForYou.jpg" را از طریق ایمیل دریافت کرده اید، عجله نکنید تا به آن نگاه کنید، به خصوص که از هیچ جا آمده است. اگر با دقت بیشتری به نام نگاه کنید، مشخص می شود که دارای 42 فاصله بیشتر و پسوند exe معتبر است. یعنی نام کامل واقعی فایل به صورت زیر خواهد بود:
"PicturesForYou.jpg .exe". حالا هر کسی میفهمد که این عکس واقعاً چه چیزی را حمل میکند. این یک فایل تصویری نیست که بیننده تصویر هنگام فعال شدن آن را فراخوانی کند، بلکه یک ویروس گستاخ و کمی پوشیده است که فقط منتظر می ماند تا با کلیک ماوس یا فشار دادن کلید فعال شود. شما خودتان چنین ویروسی را مانند یک "اسب تروا" در زیر پوسته یک عکس در رایانه خود دانلود می کنید. از این رو نام عامیانه برای ویروس هایی مانند "تروجان" است.
در حال حاضر، پوسته هایی از کانال های اطلاعاتی مانند Internet Explorer، Outlook Express، Microsoft Office وجود دارد. چند دسته از به اصطلاح "ماکرو ویروس ها" اکنون ظاهر شده اند. آنها حاوی دستورات مخفی برای این پوسته ها هستند که برای کاربر عادی نامطلوب است. و این کد دیگر کد کامپیوتر نیست، یعنی دیگر یک برنامه نیست، بلکه متن برنامه است که توسط پوسته اجرا شده است. بنابراین، می توان آن را در هر قالب مورد نیاز نوشت: html، .htm - برای اینترنت اکسپلورر، .doc، .xls، .xlw، .txt، .prt، یا هر نوع دیگری - برای Microsoft Office و غیره. چنین ویروس هایی باعث آسیب می شوند. فقط ماهیت خاصی دارد، زیرا پوسته دستوراتی برای فرمت کردن هارد دیسک ندارد. اما با این وجود، این نوع ویروس شایسته توجه است، زیرا با کمک هایپرلینک های مخفی می تواند بدنه ویروس را به طور مستقل از اینترنت به رایانه شما بارگیری کند و برخی از ویروس ها می توانند از طریق اینترنت از سرورهای خاص به روزرسانی و بارگیری شوند. . به عنوان مثال، یکی از دانش آموزان ژاپنی دقیقاً چنین ویروسی ایجاد کرد که یک "لودر" کوچک را به هر قالبی از داده های ورودی از اینترنت متصل می کند. علاوه بر این، این لودر به طور مستقل بدنه ویروس را از اینترنت از سرور با آدرس IP Babilon5 دانلود می کند. چهار تا از این اجساد وجود دارد. هر کدام از آنها به تنهایی قادر به تخریب رایانه شما هستند، اما هدف خاصی دارند. این نوع ویروس ترکیبی بین ماکرو ویروس ها و ویروس های معمولی است. اما باید توجه داشت که این هیبریدها هستند که سرسخت ترین، حیله گرترین، خطرناک ترین و پرشمارترین در بین ویروس ها هستند. اخیراً، رسوایی در مورد برنامه نویسی به وجود آمد که به گفته کارشناسان، یک ویروس ماکرو را ایجاد کرده و شروع به انتشار کرد که فایل های متنی مایکروسافت ورد را آلوده می کند. از تاریخ و زمان ایجاد سند اصلی که در قسمتهای نامرئی فایلهای doc ذخیره میشود، محاسبه شد. این امکان وجود دارد که فایل قبل از اینکه ویروس به آن ضمیمه شود توسط شخص دیگری ایجاد شده باشد، سپس سوال مهاجم باز بماند. اما کارشناسان می گویند او است.
برای مثال ویروس Win32.HLLM.Klez. یکی از انواع کرم های شبکه خطرناک با ارسال کپی از خود از طریق ایمیل توزیع می شود. علاوه بر این، این کرم میتواند در یک شبکه محلی پخش شود و رایانههایی را که دیسکهای آنها منابع شبکه مشترک قابل نوشتن هستند، آلوده کند. زمانی که کرم وارد سیستم می شود، خود را به آدرس هایی می فرستد که در دفترچه آدرس ویندوز، پایگاه داده ICQ و فایل های محلی یافت می شوند. ایمیل های آلوده ارسال شده توسط این کرم از یکی از باگ های نسبتاً شناخته شده در سیستم امنیتی اینترنت اکسپلورر استفاده می کنند، که اجازه می دهد یک فایل برنامه (دارای ویروس) متصل به ایمیل به طور خودکار هنگام مشاهده ایمیل در Outlook و Outlook Express راه اندازی شود.
بیایید سعی کنیم روش های پنهان سازی و محافظتی که توسط ویروس ها علیه ما کاربران عادی و برنامه های ضد ویروس استفاده می شود را در نظر بگیریم.
خیانت اصلی ترین و سریع ترین راه برای انجام حقه های کثیف قبل از کشف شدن است. به عنوان مثال، ویروس چرنوبیل، BIOS (برنامه راه اندازی که در تراشه ROM قرار دارد و عملکرد رایانه را تضمین می کند) به طور کامل پاک می کند. پس از این، کامپیوتر به هیچ وجه نمی تواند چیزی را نمایش دهد. اما اگر سوئیچ در داخل کامپیوتر نصب شود که نوشتن در ناحیه رام را ممنوع کند، کار آن به راحتی مسدود می شود. بنابراین، این اولین و همچنین، همانطور که فکر می کنم، آخرین نماینده ویروس های سخت افزاری بود.
ویروس های احیا کننده بدن خود را به چند قسمت تقسیم می کنند و در مکان های مختلف هارد دیسک ذخیره می کنند. بر این اساس، این قطعات می توانند به طور مستقل یکدیگر را پیدا کرده و برای بازسازی بدن ویروس جمع شوند. برنامه آنتی ویروس فقط بدن ویروس را شناسایی و از بین می برد و قسمت هایی از این بدن با تغییر در پایگاه داده آنتی ویروس گنجانده نمی شود. قالب بندی هدفمند سطح پایین هارد دیسک به مقابله با چنین ویروس هایی کمک می کند. برای حفظ اطلاعات باید اقدامات احتیاطی انجام شود.
ویروس های حیله گر نه تنها از ما، بلکه از برنامه های آنتی ویروس نیز پنهان می شوند. این «آفتابپرستها» با کمک حیلهگرانهترین و پیچیدهترین عملیاتها، هم از دادههای جاری (زمان ایجاد فایل) و هم با استفاده از تقریباً نیمی از کل مجموعه دستورالعملهای پردازنده، خود را تغییر میدهند. البته در یک نقطه خاص، طبق یک الگوریتم حیله گر، آنها به یک ویروس شرور تبدیل می شوند و شروع به مقابله با رایانه ما می کنند. این سخت ترین نوع ویروس برای شناسایی است، اما برخی از برنامه های ضد ویروس مانند "Dr.Weber" قادر به شناسایی و خنثی کردن ویروس های مشابه با استفاده از به اصطلاح آنالیز اکتشافی هستند.
ویروس های "نامرئی" از روش به اصطلاح "Stelth" برای جلوگیری از شناسایی خود استفاده می کنند. این شامل این واقعیت است که یک ویروس ساکن در حافظه، تماسهای DOS (و در نتیجه برنامههای کاربردی) را به فایلها و مناطق دیسک آلوده رهگیری میکند و آنها را به شکل اصلی (غیر آلوده) خود منتشر میکند. البته، این اثر فقط در یک کامپیوتر آلوده مشاهده می شود - در یک کامپیوتر "تمیز"، تغییرات در فایل ها و مناطق بوت دیسک به راحتی قابل تشخیص است. اما برخی از برنامه های ضد ویروس می توانند ویروس های "نامرئی" را حتی در رایانه های آلوده شناسایی کنند.
کرم شبکه راندون در مارس 2003 ظاهر شد. از طریق کانال های IRC و منابع شبکه محلی پخش می شود و رایانه های دارای سیستم عامل Windows2000 و Windows XP را آلوده می کند. برای نفوذ به رایانه، به یک شبکه محلی یا یک سرور IRC متصل می شود، کاربرانی را که روی آن قرار دارند اسکن می کند، با آنها در پورت 445 ارتباط برقرار می کند و سعی می کند رمز عبور را از لیست داخلی عبارات پرکاربرد حدس بزند. اگر سیستم با موفقیت به خطر بیفتد، Random تروجان Apher را به آن ارسال می کند، که به نوبه خود بقیه اجزای کرم را از یک وب سایت راه دور دانلود می کند. پس از آن، "راندون" اجزای خود را در فهرست سیستم ویندوز نصب می کند، فایل اصلی خود را ثبت می کند. برای پنهان کردن حضور خود در حافظه، از ابزار ویژه HideWindows استفاده می کند که آن نیز جزء کرم است. به لطف او، معلوم می شود که برای کاربر نامرئی است، به طوری که فرآیند فعال Randon فقط در Task Manager ویندوز قابل شناسایی است. عوارض جانبی آن ایجاد حجم زیاد ترافیک اضافی در دستگاه آلوده و سیل کانال های IRC است.
با توجه به آزمایشگاه کسپرسکی، یکی از توسعه دهندگان پیشرو برنامه های ضد ویروس، مروری بر فعالیت ویروس برای مارس 2003 ارائه می دهد (جدول 2 و شکل 1).
20 بدافزار برتر رایج
برگه 2
سهم نام در تعداد کل موارد ویروس (%)
1. I-Worm.Klez 37.60%
2. I-Worm.Sobig 10.75%
3. I-Worm.Lentin 9.03%
4. I-Worm.Avron 3.30%
5.Macro.Word97.بنابراین 2.62%
6. I-Worm.Tanatos 1.38%
7. کلان. Word97.Marker 1.21%
8. Worm.Win32.Opasoft 1.13%
9. I-Worm.Hybris 1.04%
10. Win95.CIH 0.69٪
11. Worm.Win32.Randon 0.58%
12. VBS Redlof 0.57٪
13. Backdoor.Death 0.51%
14.Win95.Spaces 0.51%
15. I-Worm.Roron 0.49%
16.Trojan.PSW.Gip 0.49%
17. Backdoor.NetDevil 0.48%
18.Win32.HLLP.Hantaner 0.45%
19. TrojanDropper.Win32.Delf 0.42%
20. TrojanDropper.Win32.Yabinder 0.41%
سایر بدافزارها* 26.33%
*در 20 مورد رایج قرار نمی گیرد
پیشگیری و مبارزه با ویروس های کامپیوتری
روش های اساسی محافظت در برابر ویروس های رایانه ای
برای محافظت در برابر ویروس ها می توانید از موارد زیر استفاده کنید:
- ابزارهای عمومی حفاظت از اطلاعات، که به عنوان بیمه در برابر آسیب فیزیکی به دیسک ها، برنامه های نادرست عملکرد یا اقدامات نادرست کاربر نیز مفید است.
- اقدامات پیشگیرانه برای کاهش احتمال ابتلا به ویروس کامپیوتری؛
- برنامه های تخصصی برای محافظت در برابر ویروس ها.
-ابزارهای رایج امنیت اطلاعات برای چیزی بیش از محافظت در برابر ویروس ها مفید هستند. دو نوع اصلی از این صندوق ها وجود دارد:
کپی کردن اطلاعات - ایجاد کپی از فایل ها و مناطق سیستم دیسک.
کنترل دسترسی از استفاده غیرمجاز از اطلاعات، به ویژه محافظت در برابر تغییرات برنامه ها و داده ها توسط ویروس ها، برنامه های نادرست و اقدامات اشتباه کاربران جلوگیری می کند.
علیرغم اینکه ابزارهای عمومی امنیت اطلاعات برای محافظت در برابر ویروس های رایانه ای بسیار مهم هستند، هنوز کافی نیستند. استفاده از برنامه های تخصصی برای محافظت در برابر ویروس های کامپیوتری ضروری است. این برنامه ها را می توان به چند نوع تقسیم کرد:
برنامه های آشکارساز به شما امکان می دهند فایل های آلوده به یکی از چندین ویروس شناخته شده را شناسایی کنید.
برنامهها - پزشکان یا فاژها، برنامهها یا دیسکهای آلوده به "ویروسها را درمان میکنند"، بدن ویروس را از برنامههای آلوده "گزیده میکنند". بازگرداندن برنامه به حالتی که قبل از آلوده شدن به ویروس بود.
برنامه ها - حسابرسان ابتدا اطلاعات مربوط به وضعیت برنامه ها و مناطق سیستم دیسک ها را به خاطر می آورند و سپس وضعیت آنها را با حالت اصلی مقایسه می کنند. در صورت مشاهده مغایرت، به کاربر اطلاع داده می شود.
پزشکان - حسابرسان ترکیبی از حسابرسان و پزشکان هستند، یعنی. برنامههایی که نه تنها تغییرات فایلها و قسمتهای سیستم دیسکها را تشخیص میدهند، بلکه میتوانند به طور خودکار آنها را به حالت اولیه خود بازگردانند.
برنامه های فیلتر در حافظه رم رایانه قرار دارند و تماس های سیستم عامل را که توسط ویروس ها برای تولید مثل و ایجاد آسیب استفاده می شود را رهگیری می کنند و آنها را به کاربر گزارش می دهند. کاربر می تواند عملیات مربوطه را فعال یا غیرفعال کند.
برنامه ها - واکسن ها یا ایمن سازها برنامه ها و دیسک ها را به گونه ای تغییر می دهند که بر عملکرد برنامه ها تأثیری نداشته باشد، اما ویروسی که واکسیناسیون علیه آن انجام می شود این برنامه ها و دیسک ها را قبلاً آلوده می داند. این برنامه ها بسیار ناکارآمد هستند و بیشتر مورد توجه قرار نمی گیرند.
متأسفانه، هیچ نوع نرم افزار ضد ویروسی محافظت کامل در برابر ویروس های رایانه ای را ارائه نمی دهد. بنابراین، بهترین استراتژی برای محافظت در برابر ویروس ها، دفاع چند سطحی و "لایه ای" است. اجازه دهید ساختار این دفاع را شرح دهیم.
ابزار شناسایی در "دفاع" در برابر ویروس ها با برنامه ها - آشکارسازهایی مطابقت دارد که به شما امکان می دهد نرم افزارهای تازه دریافت شده را برای وجود ویروس ها بررسی کنید.
در خط مقدم دفاع، برنامه های فیلتر (برنامه های مقیم برای محافظت در برابر ویروس) قرار دارند. این برنامه ها می توانند اولین برنامه هایی باشند که حمله ویروس را گزارش می کنند و از آلودگی برنامه ها و دیسک جلوگیری می کنند.
دومین رده دفاعی را برنامه ها - حسابرسان، برنامه - پزشکان و پزشکان - حسابرسان تشکیل می دهند. حسابرسان یک حمله را حتی زمانی که ویروس موفق شده است از طریق خط مقدم دفاع "نشت کند" تشخیص می دهند. برنامههای Doctor برای بازیابی برنامههای آلوده در صورتی که نسخهای از آن در آرشیو وجود نداشته باشد استفاده میشود. اما آنها همیشه کار درست را انجام نمی دهند. پزشکان - حسابرسان حمله ویروس را تشخیص داده و ویروس ها - فایل های آلوده را درمان می کنند و صحت درمان ویروس را کنترل می کنند و در صورت غیرممکن بودن درمان ویروس ها، قطعا حذف ویروس ها (فایل های آلوده) را توصیه می کنند.
عمیق ترین لایه دفاعی ابزار کنترل دسترسی است. آنها اجازه نمی دهند ویروس ها و برنامه های بد رفتار، حتی اگر وارد رایانه شده باشند، داده های مهم را خراب کنند.
و در نهایت، در "ذخیره استراتژیک" نسخه های آرشیوی اطلاعات و دیسکت های "مرجع" با محصولات نرم افزاری وجود دارد. آنها به شما امکان می دهند در صورت آسیب دیدن اطلاعات روی هارد دیسک، اطلاعات را بازیابی کنید.
برنامه ها - آشکارسازها و پزشکان
در بیشتر موارد، برای شناسایی ویروسی که رایانه را آلوده کرده است، می توانید برنامه های آشکارساز از قبل توسعه یافته را پیدا کنید. این برنامه ها بررسی می کنند که آیا فایل های موجود در درایو مشخص شده توسط کاربر حاوی ترکیبی از بایت های خاص یک ویروس خاص هستند یا خیر. هنگامی که در هر فایلی یافت می شود، پیام مربوطه روی صفحه نمایش داده می شود. بسیاری از آشکارسازها دارای حالت درمان ویروس یا حذف ویروس هستند.
لازم به ذکر است که برنامه آشکارساز تنها می تواند ویروس هایی را شناسایی کند که برای خود شناخته شده هستند (یعنی در پایگاه داده آنتی ویروس این برنامه گنجانده شده اند).
یکی از این برنامه ها KIS Kaspersky است.
همه چیز در آن دارای یک رابط کاربری راحت و قابل درک است. این برنامه برای سیستم عامل ویندوز XP و ویندوز ویستا طراحی شده است که به آن اجازه می دهد تا به صورت موازی با سایر برنامه ها کار کند. آزمایشگاه کسپرسکی رهبر روسیه در توسعه سیستم های امنیتی ضد ویروس است.
AVAST نیز وجود دارد.
اینها مدافعان رایانه شما هستند که در کار ثابت شده اند - درمان اکثر ویروس ها و حذف ویروس ها در صورت تهدید جدی یا غیرقابل درمان آنها.
اکثر برنامه های آشکارساز دارای عملکرد "دکتر" هستند، به عنوان مثال. آنها سعی می کنند فایل ها و مناطق دیسک آلوده را به حالت اولیه خود - برای درمان ویروس ها - برگردانند. آن دسته از فایل هایی که قابل درمان نیستند معمولاً غیرقابل اجرا یا حذف می شوند.
پیشگیری از عفونت با ویروس
بیایید به اقداماتی نگاه کنیم که می تواند احتمال آلوده شدن رایانه به ویروس را کاهش دهد و همچنین در صورت وقوع، آسیب ناشی از عفونت ویروسی را به حداقل برساند.
1. خوب است که نسخه های آرشیوی و مرجع نرم افزار و بسته های داده مورد استفاده را داشته باشید و در صورت لزوم آن را به روز کنید. قبل از بایگانی داده ها، توصیه می شود آنها را از نظر وجود ویروس بررسی کنید.
2. همچنین توصیه می شود که اطلاعات سرویس دیسک خود (FAT، بخش های بوت) و CMOS (حافظه غیر فرار کامپیوتر) را روی فلاپی دیسک کپی کنید. کپی و بازیابی چنین اطلاعاتی را می توان با استفاده از برنامه Norton Utilities Rescue انجام داد.
3. باید محافظت از نوشتن را روی دیسکت های آرشیو تنظیم کنید.
4. نباید درگیر کپی بدون مجوز و غیرقانونی نرم افزار از رایانه های دیگر شوید. ممکن است ویروس داشته باشند.
5. تمام داده هایی که از خارج می آیند باید برای ویروس ها بررسی شوند، به خصوص فایل های "دانلود شده" از اینترنت.
6. تهیه بسته بازیابی از قبل روی دیسکت های دارای حفاظت نوشتن ضروری است.
7. برای مدت زمان کار معمولی، که مربوط به بازیابی رایانه نیست، ارزش آن را دارد که بوت شدن از فلاپی دیسک را غیرفعال کنید. این از عفونت بوت ویروس جلوگیری می کند.
8. از برنامه ها - فیلترهایی برای تشخیص زودهنگام ویروس ها استفاده کنید.
9. به طور دوره ای دیسک را با برنامه ها - آشکارسازها یا پزشکان - آشکارسازها یا ممیزی ها برای تشخیص خرابی های احتمالی در دفاع بررسی کنید.
10. پایگاه داده برنامه های ضد ویروس را به روز کنید.
11. کاربران مشکوک را از رایانه خود دور نگه دارید.
نتیجه
در پایان، من می خواهم در مورد مبارزه بیش از حد غیرتمندانه با ویروس های رایانه ای هشدار دهم. انجام هر روز یک اسکن کامل ویروس از هارد دیسک شما نیز گام درخشانی برای جلوگیری از عفونت نیست. من تنها راه متمدن برای محافظت در برابر ویروس ها را در رعایت اقدامات پیشگیرانه هنگام کار با رایانه می بینم. و همچنین برای مقابله با ویروس رایانه ای باید به کمک متخصصان متوسل شوید. علاوه بر این، حتی اگر ویروس همچنان به رایانه نفوذ کند، این دلیلی برای وحشت نیست.
اغلب مشکل اصلی اینترنت ویروس ها و هکرها نیست، بلکه پدیده ای رایج مانند بی سوادی رایانه است. با استفاده از قیاس کسپرسکی، ناآگاهی از قوانین جاده. افرادی که اخیراً نحوه دریافت و ارسال نامه را آموخته اند، ویروس های رایانه ای را شیطانی می کنند و تقریباً آنها را به عنوان کرم های سیاه نامرئی تصور می کنند که در طول سیم ها می خزند. در اینجا چند قانون ساده وجود دارد که با رعایت آنها می توانید سعی کنید از عفونت با ویروس ها جلوگیری کنید. اول: آنها از ویروس های رایانه ای نمی ترسند، همه آنها درمان می شوند. دوم، Microsoft Outlook را طوری تنظیم کنید که در منطقه سایت های محدود کار کند، که از اجرای خودکار برنامه های خاص جلوگیری می کند - اصل اساسی انتشار ویروس کامپیوتری. سوم، ایمیل های دریافت کنندگان مشکوک را باز نکنید. چهارم: از یک آنتی ویروس جدید و مهمتر از آن LICENSE استفاده کنید.
پس از اجرای یک برنامه حاوی ویروس، امکان آلوده کردن سایر فایل ها وجود دارد. بیشتر اوقات، بخش بوت دیسک و فایل های اجرایی با پسوندهای EXE، COM، SYS یا BAT به ویروس آلوده می شوند. فایل های متنی و گرافیکی به ندرت آلوده می شوند.
برنامه آلوده برنامه ای است که حاوی یک برنامه ویروسی است که در آن تعبیه شده است.
علائم تظاهرات ویروس ها
هنگامی که رایانه ای به ویروس آلوده می شود، تشخیص به موقع آن بسیار مهم است. برای انجام این کار، باید در مورد علائم اصلی تظاهرات ویروس ها بدانید. این موارد شامل موارد زیر است:
خاتمه کار یا عملکرد نادرست برنامه هایی که قبلاً با موفقیت کار می کردند.
عملکرد آهسته کامپیوتر؛
عدم توانایی در بوت کردن سیستم عامل؛
ناپدید شدن فایل ها و دایرکتوری ها یا تحریف محتوای آنها.
تغییر تاریخ و زمان تغییر فایل؛
تغییر اندازه فایل ها؛
افزایش قابل توجه غیرمنتظره تعداد فایل های روی دیسک؛
کاهش قابل توجه در اندازه RAM رایگان؛
نمایش پیام ها یا تصاویر غیرمنتظره بر روی صفحه نمایش؛
دادن سیگنال های صوتی پیش بینی نشده؛
یخ زدن و از کار افتادن مکرر کامپیوتر.
لازم به ذکر است که پدیده های فوق لزوماً به دلیل وجود ویروس ایجاد نمی شوند، بلکه ممکن است به دلایل دیگر ایجاد شوند. بنابراین، تشخیص درست وضعیت رایانه همیشه دشوار است.
انواع اصلی ویروس ها
در حال حاضر، بیش از 15000 ویروس نرم افزاری شناخته شده است که می توان آنها را بر اساس ویژگی های زیر طبقه بندی کرد (شکل 11.10):
بر اساس زیستگاه؛
با توجه به روش عفونت؛
با توجه به میزان تاثیر؛
با توجه به ویژگی های الگوریتم.
بسته به زیستگاهویروس ها را می توان جدا کرد
در شبکه،
فایل،
چکمه
بوت فایل.
ویروس های شبکه در شبکه های مختلف کامپیوتری پخش می شوند.
· ویروس های فایل عمدتاً به ماژول های اجرایی وارد می شوند. به فایل هایی با پسوند COM و EXE. ویروسهای فایل میتوانند انواع دیگر فایلها را نیز آلوده کنند، اما به عنوان یک قاعده، آنها در چنین فایلهایی نوشته میشوند، هرگز کنترل نمیشوند و بنابراین، توانایی تولید مثل را از دست میدهند.
· ویروس های بوت، بخش بوت دیسک (بخش بوت) یا بخش حاوی برنامه بوت دیسک سیستم (Master Boot Record) را آلوده می کنند.
· ویروس های بوت فایل هم فایل ها و هم بخش های بوت دیسک را آلوده می کنند.
با توجه به نحوه عفونتویروس ها به دو دسته تقسیم می شوند
مسکونی
غیر ساکن.
· هنگامی که یک ویروس مقیم کامپیوتری را آلوده می کند (عفونت می کند)، قسمت مقیم آن را در RAM رها می کند، که سپس دسترسی سیستم عامل به اشیاء آلوده (فایل ها، بخش های بوت دیسک و غیره) را قطع کرده و به آنها نفوذ می کند. ویروس های مقیم در حافظه باقی می مانند و تا زمانی که کامپیوتر خاموش یا راه اندازی مجدد نشود فعال باقی می مانند.
· پروس های غیر مقیم حافظه کامپیوتر را آلوده نمی کنند و برای مدت محدودی فعال هستند.
با توجه به میزان تاثیر، ویروس ها را می توان به انواع زیر تقسیم کرد:
غیر خطرناکعدم تداخل در عملکرد رایانه، اما با کاهش مقدار RAM و فضای دیسک آزاد، اقدامات چنین ویروس هایی در هر گونه جلوه های گرافیکی یا صوتی آشکار می شود.
ویروس های خطرناک، که می تواند منجر به خرابی های مختلف در رایانه شود.
بسیار خطرناک، که تأثیر آن می تواند منجر به از بین رفتن برنامه ها ، از بین رفتن داده ها ، پاک شدن اطلاعات در مناطق سیستمی دیسک شود.
با توجه به ویژگی های الگوریتم دسته بندی ویروس ها به دلیل تنوع زیاد آنها دشوار است.
قابل ذکر است تکثیر ویروس هایی به نام کرم، که در شبکه های کامپیوتری توزیع می شوند، آدرس رایانه های شبکه را محاسبه کرده و کپی آنها را در این آدرس ها می نویسند.
شناخته شده ویروس های نامرئی به نام ویروس های مرحله ایشناسایی و خنثی کردن آنها بسیار دشوار است، زیرا آنها تماسهای سیستمعامل را به فایلها و بخشهای دیسک آسیبدیده رهگیری میکنند و به جای بدنه آنها، قسمتهای غیر آلوده دیسک را جایگزین میکنند.
تشخیص سخت ترین ویروس های جهش یافته، حاوی الگوریتم های رمزگذاری-رمزگشایی است که به لطف آن کپی های همان ویروس یک زنجیره بایت تکرار شونده ندارند.
همچنین به اصطلاح وجود دارد برنامه های شبه ویروس یا "تروجان".، که اگرچه قادر به انتشار خود نیستند، اما بسیار خطرناک هستند، زیرا به عنوان یک برنامه مفید، بخش بوت و سیستم فایل دیسک را از بین می برند.
برنامه های شناسایی و محافظت از ویروس
ویژگی های برنامه های آنتی ویروس
برای شناسایی، حذف و محافظت در برابر ویروس های رایانه ای، انواع مختلفی از برنامه های ویژه ایجاد شده است که به شما امکان می دهد ویروس ها را شناسایی و از بین ببرید. به چنین برنامه هایی آنتی ویروس می گویند.
انواع برنامه های آنتی ویروس زیر وجود دارد:
برنامه ها - آشکارسازها;
برنامه ها - پزشکان یا فاژها؛
برنامه ها - حسابرسان;
فیلتر کردن برنامه ها
برنامه های واکسن یا ایمن سازها
برنامه ها - آشکارسازهاجستجوی دنباله ای از بایت های مشخصه یک ویروس خاص (امضای ویروس) را در RAM و در فایل ها انجام دهید و در صورت شناسایی، پیام مربوطه را صادر کنید. عیب چنین برنامه های ضد ویروسی این است که فقط می توانند ویروس هایی را پیدا کنند که برای توسعه دهندگان چنین برنامه هایی شناخته شده است.
برنامه های دکتر یا فاژها -طراحی شده برای درمان دیسک ها و برنامه های آلوده. درمان برنامه شامل حذف بدن ویروس از برنامه آلوده است. Polyphage قادر است بسیاری از ویروس ها را از بین ببرد. معروف ترین آنها Aidstest، Norton AntiVirus و Doctor Web هستند.
برنامه های حسابرس: طراحی شده برای تشخیص آلودگی ویروسی فایل ها و همچنین یافتن فایل های خراب. این برنامه ها داده های مربوط به وضعیت برنامه و مناطق سیستم دیسک ها را در حالت عادی (قبل از آلودگی) به خاطر می آورند و این داده ها را در حین کار با کامپیوتر مقایسه می کنند. اگر داده ها مطابقت نداشته باشند، پیامی در مورد احتمال عفونت نمایش داده می شود.
فیلتر برنامه ها یا ذخیره سازیطراحی شده برای رهگیری تماس های سیستم عامل، که توسط ویروس ها برای تولید مثل استفاده می شود و کاربر را در مورد آن آگاه می کند. کاربر می تواند عملیات مربوطه را فعال یا غیرفعال کند. چنین برنامه هایی مقیم هستند، یعنی در رم کامپیوتر قرار دارند.
برنامه های واکسن: برای پردازش فایل ها و بخش های بوت به منظور جلوگیری از آلودگی توسط ویروس های شناخته شده استفاده می شود (این روش اخیراً بیشتر و بیشتر استفاده می شود).
واکسن یا ایمن سازبرنامه های مقیمی هستند که از عفونت فایل ها جلوگیری می کنند. در صورتی که هیچ برنامه پزشکی برای "درمان" این ویروس وجود نداشته باشد، از واکسن ها استفاده می شود. واکسیناسیون فقط در برابر ویروس های شناخته شده امکان پذیر است. واکسن برنامه یا دیسک را به گونه ای تغییر می دهد که روی کار آنها تأثیری نداشته باشد و ویروس آنها را آلوده تشخیص دهد و بنابراین ریشه نمی دهد. برنامه های واکسن در حال حاضر کاربرد محدودی دارند.
لازم به ذکر است که انتخاب یک آنتی ویروس "بهترین" تصمیم بسیار اشتباهی است. توصیه می شود از چندین بسته آنتی ویروس مختلف به طور همزمان استفاده کنید. هنگام انتخاب یک برنامه آنتی ویروس، باید به پارامتری مانند تعداد امضاهای شناسایی (توالی از کاراکترهایی که تضمین می شود ویروس را تشخیص دهند) توجه کنید. پارامتر دوم وجود یک تحلیلگر اکتشافی ویروس های ناشناخته است، وجود آن بسیار مفید است، اما به طور قابل توجهی سرعت برنامه را کاهش می دهد. تا به امروز، تعداد زیادی برنامه ضد ویروس مختلف وجود دارد.
یکی از بهترین آنتی ویروس ها با الگوریتم تشخیص ویروس قدرتمند. Polyphage که قادر به اسکن فایلها در آرشیو، اسناد Word و کتابهای اکسل است، ویروسهای چند شکلی را که اخیراً گسترش یافتهاند، شناسایی میکند. کافی است بگوییم که DrWeb بود که همه گیری ویروس بسیار خطرناک OneHalf را متوقف کرد. تحلیلگر اکتشافی DrWeb که برنامه ها را برای وجود قطعات کد مشخصه ویروس ها بررسی می کند، به شما امکان می دهد تقریباً 90٪ از ویروس های ناشناخته را پیدا کنید. هنگام بارگذاری یک برنامه، اول از همه DrWeb خود را از نظر یکپارچگی بررسی می کند، پس از آن رم را آزمایش می کند. این برنامه می تواند در حالت تعاملی کار کند، دارای یک رابط کاربری مناسب قابل تنظیم است.
بازرس دیسک ضد ویروس ADINF (Advanced DiskINFoscope) به شما این امکان را می دهد که هم ویروس های معمولی، مخفی کاری و چند شکلی موجود و همچنین ویروس های کاملا جدید را پیدا کرده و از بین ببرید. این آنتی ویروس یک واحد درمان از حسابرس ADINF - Adinf Cure Module - در اختیار دارد که می تواند تا 97٪ از همه ویروس ها را خنثی کند. این رقم توسط Dialognauka بر اساس نتایج آزمایشی که روی مجموعه ویروسهای دو مرجع شناخته شده در این زمینه - D.N. Lozinsky و دکتر Solomon's (بریتانیا) انجام شده است، ارائه شده است.
ADINF هنگامی که رایانه روشن است به طور خودکار بارگیری می شود و بخش بوت و فایل های روی دیسک را کنترل می کند (تاریخ و زمان ایجاد، طول، جمع کنترل)، پیام هایی را در مورد تغییرات آنها نمایش می دهد. با توجه به اینکه ADINF عملیات دیسک را با دور زدن سیستم عامل انجام می دهد، با اشاره به عملکردهای BIOS، نه تنها توانایی شناسایی ویروس های مخفی فعال، بلکه سرعت بالایی در اسکن دیسک نیز به دست می آید. اگر یک ویروس بوت یافت شود، ADINF به سادگی بخش بوت قبلی را که در جدول آن ذخیره شده است، بازیابی می کند. اگر ویروس یک فایل باشد، Adinf Cure Module به کمک می آید، که بر اساس گزارش ماژول اصلی در مورد فایل های آلوده، پارامترهای فایل جدید را با موارد قبلی ذخیره شده در جداول ویژه مقایسه می کند. هنگامی که ناهماهنگی ها شناسایی می شوند، ADINF وضعیت قبلی فایل را بازیابی می کند و مانند پلی فاژها، بدنه ویروس را از بین نمی برد.
آنتی ویروس AVP (برنامه آنتی ویروس) یک پلی فاژ است که در حین کار خود رم، فایل ها از جمله فایل های بایگانی را روی دیسک های فلاپی، محلی، شبکه و CD-ROM و همچنین ساختارهای داده سیستم مانند بخش بوت، جدول پارتیشن بررسی می کند. ، و غیره این برنامه دارای یک تحلیلگر اکتشافی است که به گفته توسعه دهندگان آنتی ویروس قادر است تقریباً 80٪ از همه ویروس ها را پیدا کند. AVP یک برنامه 32 بیتی برای سیستم عامل های ویندوز 98، NT و 2000 است، دارای یک رابط کاربر پسند و یکی از بزرگترین پایگاه داده ضد ویروس در جهان است. پایگاه داده های آنتی ویروس برای AVP تقریباً یک بار در هفته به روز می شوند و می توان آنها را از اینترنت دریافت کرد. این برنامه طیف گسترده ای از ویروس ها را جستجو و حذف می کند، از جمله:
- ویروس های چند شکلی یا خود رمزگذاری شونده؛
- ویروس های پنهان یا ویروس های نامرئی؛
- ویروس های جدید برای ویندوز؛
- ویروس های ماکرو که اسناد Word و صفحات گسترده اکسل را آلوده می کنند.
علاوه بر این، برنامه AVP عملیات فایل را در سیستم در پسزمینه نظارت میکند، یک ویروس را قبل از اینکه سیستم واقعا آلوده شود شناسایی میکند و همچنین ویروسهای ناشناخته را با استفاده از یک ماژول اکتشافی شناسایی میکند.
ویروس های کامپیوتری
ویروس های فایل
یک ویروس می تواند سه نوع فایل را آلوده کند:
تیم (BAT)؛
درایورهای قابل بارگیری (IO.SYS، MSDOS.SYS، و غیره)؛
باینری های اجرایی (EXE, COM).
امکان وارد کردن ویروس به فایل های داده وجود دارد، اما این موارد یا در نتیجه یک خطای ویروس رخ می دهد یا زمانی که ویروس ویژگی های تهاجمی خود را نشان می دهد.
یک ویروس به یک فایل SYS به روش زیر تزریق می شود: ویروس ها خود را به یک فایل SYS تزریق می کنند، کدهای خود را به "بدنه" فایل اختصاص می دهند و آدرس های برنامه های Strategy و Interrupt درایور آلوده کننده را تغییر می دهند (ویروس هایی وجود دارد. که آدرس تنها یکی از برنامه ها را تغییر می دهد). هنگامی که یک درایور آلوده اولیه می شود، ویروس درخواست مربوطه را از سیستم عامل رهگیری می کند، آن را به درایور ارسال می کند، منتظر پاسخ می ماند، آن را تصحیح می کند و همراه با درایور در همان بلوک حافظه در RAM باقی می ماند. چنین ویروسی می تواند بسیار خطرناک و سرسخت باشد، زیرا در هنگام بارگیری DOS قبل از هر برنامه ضد ویروسی به داخل RAM نفوذ می کند، البته اگر درایور نیز باشد.
فایل درایور آلوده:
همچنین ممکن است یک درایور سیستم را به روش دیگری آلوده کنید، زمانی که یک ویروس هدر خود را تغییر می دهد تا DOS فایل آلوده را به عنوان زنجیره ای از دو (یا چند) فایل در نظر بگیرد.
فایل درایور آلوده:
به طور مشابه، یک ویروس می تواند کدهای خود را در ابتدای درایور بنویسد و اگر فایل حاوی چندین درایور باشد، سپس در وسط فایل.
ویروس به روش زیر به فایلهای COM و EXE تزریق میشود: فایلهای باینری اجرایی دارای فرمتهای COM یا EXE هستند، در هدر و نحوه راهاندازی برنامهها برای اجرا متفاوت هستند. پسوند نام فایل (COM یا EXE) همیشه با فرمت فایل واقعی مطابقت ندارد، که به هیچ وجه بر عملکرد برنامه تأثیر نمی گذارد. فایل های COM یا EXE به روش های مختلفی آلوده می شوند، بنابراین، ویروس باید فایل های یک فرمت را از دیگری تشخیص دهد.
ویروس ها این مشکل را از دو طریق حل می کنند: برخی پسوند نام فایل را تجزیه می کنند، برخی دیگر هدر فایل را تجزیه می کنند. روش اول عفونت نامیده می شود.فایل های COM- (EXE-)، راه دوم آلودگی: فایل های COM- (EXE-). در بیشتر موارد، یک ویروس یک فایل را به درستی آلوده می کند، یعنی با استفاده از اطلاعات موجود در بدنه آن، می توانید فایل آلوده را به طور کامل بازیابی کنید. اما ویروس ها، مانند بسیاری از برنامه ها، اغلب حاوی خطاهایی هستند که در نگاه اول نامحسوس هستند. به همین دلیل، حتی یک ویروس که به خوبی نوشته شده باشد، در صورت آسیب دیدن فایل، می تواند به طور غیر قابل برگشتی به فایل آسیب برساند. به عنوان مثال، ویروس هایی که بین انواع فایل ها با پسوند نام (.COM-، .EXE-) تمایز قائل می شوند بسیار خطرناک هستند، زیرا فایل هایی را که پسوند نام آنها با فرمت داخلی مطابقت ندارد خراب می کنند.
هنگام انتشار، ویروس های فایل به بدنه فایل آلوده وارد می شوند: ابتدا، انتهای یا وسط. چندین امکان برای وارد کردن ویروس در وسط یک فایل وجود دارد: می توان آن را در جدول تنظیمات آدرس یک فایل EXE ("Boot - Exe")، منطقه پشته فایل COMMAND.COM ("Lehigh") کپی کرد. ")، می تواند فایل را گسترش دهد یا بخشی از فایل را در انتهای آن بازنویسی کند، و کدهای آنها را در فضای آزاد شده ("Apri l - 1- Exe"، "Phoenix") و غیره بازنویسی کند. علاوه بر این، ویروس را در فضای آزاد کپی کنید. وسط فایل ممکن است در نتیجه یک خطای ویروس رخ دهد. در این صورت ممکن است فایل به طور غیر قابل برگشتی خراب شود. روش های دیگری نیز برای تزریق ویروس به وسط فایل وجود دارد، به عنوان مثال، ویروس "Mutant" از روش فشرده سازی برخی از بخش های فایل استفاده می کند.
معرفی یک ویروس به ابتدای یک فایل می تواند به سه صورت اتفاق بیفتد. راه اول این است که ویروس ابتدا فایل آلوده را تا انتهای آن بازنویسی می کند و خود را در فضای آزاد شده کپی می کند. هنگامی که یک فایل را به روش دوم آلوده می کند، ویروس یک کپی از خود در RAM ایجاد می کند، فایل آلوده را به آن اضافه می کند و الحاق حاصل را روی دیسک ذخیره می کند. با آلوده شدن به روش سوم، ویروس بدون اینکه محتویات قدیمی ابتدای فایل را ذخیره کند، کدهای خود را در ابتدای فایل می نویسد، طبیعتاً فایل از کار می افتد و قابل بازیابی نیست.
تزریق ویروس به ابتدای فایل در اکثر موارد زمانی که فایل های COM آلوده می شوند استفاده می شود. فایل های EXE یا در نتیجه خطای ویروس یا هنگام استفاده از الگوریتم ویروس «پاسکال» با این روش آلوده می شوند.
معرفی ویروس به انتهای فایل رایج ترین روش عفونت است. در این حالت، ویروس شروع فایل را به گونه ای تغییر می دهد که اولین دستورات اجرایی برنامه موجود در فایل، دستورات ویروس باشد. در یک فایل COM، این امر با تغییر سه (یا بیشتر) بایت اول آن به کدهای دستور JMP Loc_Virus (یا به طور کلی به کدهای برنامه ای که کنترل را به بدنه ویروس منتقل می کند) به دست می آید. فایل EXE یا به فرمت فایل COM تبدیل می شود و سپس به عنوان آخرین فایل آلوده می شود یا هدر فایل (طول، آدرس های شروع) اصلاح می شود.
ما روش استاندارد عفونت را روشی می نامیم که در آن ویروس به انتهای فایل اضافه می شود و اولین بایت های فایل COM و چندین فیلد هدر فایل EXE را تغییر می دهد.
ویروس پس از انتقال کنترل به آن، طبق الگوریتم زیر عمل می کند:
برنامه (اما نه فایل) را به شکل اصلی آن بازیابی می کند.
اگر ویروس مقیم باشد، رم را برای وجود کپی آن بررسی می کند و در صورت پیدا نشدن نسخه، حافظه کامپیوتر را آلوده می کند. اگر ویروس مقیم نباشد، فایلهای آلوده نشده را در دایرکتوریهای فعلی و ریشه، در دایرکتوریهای مشخصشده در دستور PATH جستجو میکند، درخت دایرکتوری درایوهای منطقی را اسکن میکند و سپس فایلهای شناسایی شده را آلوده میکند.
در صورت وجود، عملکردهای اضافی را انجام می دهد: اقدامات مخرب، جلوه های گرافیکی یا صوتی.
کنترل را به برنامه اصلی برمی گرداند.
بوت کردن ویروس ها
ویروس های بوت بخش بوت فلاپی دیسک و بخش بوت یا Master Boot Record یک هارد دیسک را آلوده می کنند. هنگامی که یک دیسک آلوده می شود، ویروس در بیشتر موارد بخش بوت اصلی را به بخش دیگری از دیسک منتقل می کند. اگر طول ویروس بیشتر از طول سکتور باشد، قسمت اول ویروس به بخش آلوده منتقل می شود و بقیه در بخش های دیگر قرار می گیرند. سپس ویروس اطلاعات سیستم ذخیره شده در بوت لودر اصلی را کپی می کند و آنها را در بخش بوت می نویسد (برای MBR این اطلاعات جدول پارتیشن دیسک است و برای بخش بوت فلاپی دیسک ها بلوک پارامتر BIOS است).
الگوریتم ویروس بوت
تزریق به حافظه هنگام بوت شدن از یک دیسک آلوده انجام می شود. در این حالت، لودر سیستم محتویات اولین بخش از دیسکی که بوت از آن انجام می شود را می خواند، اطلاعات خوانده شده را در حافظه قرار می دهد و کنترل را به آن (یعنی ویروس) منتقل می کند. پس از آن، دستورالعمل های ویروس شروع به اجرا می کند، که باعث کاهش مقدار حافظه آزاد می شود. ادامه آن را از روی دیسک می خواند. خود را به ناحیه دیگری از حافظه منتقل می کند. بردارهای وقفه لازم را تنظیم می کند. اقدامات اضافی را انجام می دهد؛ بخش اصلی Boot را در حافظه کپی می کند و کنترل را به آن منتقل می کند.
متعاقباً، ویروس بوت مانند ویروس فایل مقیم عمل می کند: دسترسی سیستم عامل به دیسک ها را قطع می کند و آنها را راه اندازی می کند و بسته به شرایط خاص، اقدامات مخرب انجام می دهد یا باعث ایجاد جلوه های صوتی یا تصویری می شود.
ویژگی های ویروس های کامپیوتری
ماهیت و تجلی ویروس های رایانه ای
متأسفانه، استفاده انبوه از رایانه های شخصی با ظهور برنامه های ویروسی خودبازتولید کننده همراه بود که از عملکرد عادی رایانه جلوگیری می کند، ساختار فایل دیسک ها را از بین می برد و به اطلاعات ذخیره شده در رایانه آسیب می رساند. یک ویروس کامپیوتری پس از نفوذ به یک رایانه، می تواند به رایانه های دیگر سرایت کند. ویروس کامپیوترییک برنامه نوشته شده مخصوص است که می تواند به طور خود به خود به برنامه های دیگر متصل شود، از خود کپی ایجاد کند و آنها را در فایل ها، مناطق سیستم کامپیوتری و شبکه های کامپیوتری جاسازی کند تا برنامه ها را مختل کند، فایل ها و دایرکتوری ها را خراب کند و انواع تداخل را در کار بر روی یک دستگاه ایجاد کند. دلایل پیدایش و انتشار ویروسهای رایانهای از یک سو در روانشناسی شخصیت انسان و جنبههای سایه آن (حسادت، انتقام، غرور خالقان ناشناخته، ناتوانی در به کارگیری سازنده تواناییهای آنها) پنهان است. از سوی دیگر به دلیل عدم حفاظت سخت افزاری و مقابله با سیستم عامل رایانه شخصی. علیرغم قوانینی که در بسیاری از کشورها برای مبارزه با جرائم رایانه ای و توسعه نرم افزارهای ویژه برای محافظت در برابر ویروس ها اتخاذ شده است، تعداد نرم افزارهای جدید نیز افزایش یافته است. ویروس ها دائما در حال رشد هستند. این امر مستلزم آن است که کاربر رایانه شخصی در مورد ماهیت ویروس ها، نحوه آلوده کردن ویروس ها و محافظت در برابر آنها بداند.راه های اصلی ورود ویروس ها به رایانه، دیسک های قابل جابجایی (فلاپی و لیزری) و همچنین شبکه های رایانه ای است. زمانی که کامپیوتر از فلاپی دیسک حاوی ویروس بوت می شود، عفونت هارد دیسک با ویروس ها ممکن است رخ دهد. چنین عفونتی همچنین می تواند تصادفی باشد، برای مثال، اگر فلاپی دیسک از درایو A: حذف نشود و رایانه مجددا راه اندازی شود، در حالی که فلاپی دیسک ممکن است یک دیسک سیستم نباشد. آلوده کردن فلاپی دیسک بسیار ساده تر است. حتی اگر فلاپی دیسک به سادگی در درایو دیسک رایانه آلوده وارد شود و برای مثال فهرست محتویات آن خوانده شود، ویروس می تواند به آن نفوذ کند. دیسک آلوده- این دیسکی است که در بخش بوت که برنامه ویروس در آن قرار دارد، پس از راه اندازی برنامه حاوی ویروس، امکان آلوده کردن سایر فایل ها وجود دارد. بیشتر اوقات، بخش بوت دیسک و فایل های اجرایی با پسوندهای EXE، COM، SYS یا BAT به ویروس آلوده می شوند. فایل های متنی و گرافیکی به ندرت آلوده می شوند. برنامه آلودهبرنامه ای است که حاوی یک برنامه ویروسی است که در آن تعبیه شده است.وقتی کامپیوتری به ویروس آلوده می شود، تشخیص به موقع آن بسیار مهم است. برای انجام این کار، باید در مورد علائم اصلی تظاهرات ویروس ها بدانید. این موارد شامل موارد زیر است:- خاتمه کار یا عملکرد نادرست برنامه هایی که قبلاً با موفقیت کار می کردند.
- عملکرد کند کامپیوتر
- عدم توانایی در بوت کردن سیستم عامل؛
- ناپدید شدن فایل ها و دایرکتوری ها یا تحریف محتوای آنها.
- تغییر تاریخ و زمان تغییر فایل؛
- تغییر اندازه فایل ها؛
- افزایش قابل توجه غیرمنتظره تعداد فایل های روی دیسک؛
- کاهش قابل توجه در اندازه RAM رایگان؛
- نمایش پیام ها یا تصاویر ناخواسته بر روی صفحه نمایش؛
- دادن سیگنال های صوتی پیش بینی نشده؛
- فریز مکرر و خرابی کامپیوتر
- غیر خطرناک, عدم تداخل در عملکرد رایانه، اما با کاهش مقدار RAM و فضای دیسک آزاد، اقدامات چنین ویروس هایی در هر گونه جلوه های گرافیکی یا صوتی آشکار می شود.
- خطرناکویروس هایی که می توانند منجر به نقص های مختلف رایانه شوند.
- بسیار خطرناککه تأثیر آن می تواند منجر به از بین رفتن برنامه ها، تخریب داده ها، پاک شدن اطلاعات در مناطق سیستم دیسک شود.
برنامه های شناسایی و محافظت از ویروس
ویژگی های برنامه های آنتی ویروسبه منظور شناسایی، حذف و محافظت در برابر ویروس های رایانه ای، انواع مختلفی از برنامه های ویژه ایجاد شده است که به شما امکان می دهد ویروس ها را شناسایی و از بین ببرید. چنین برنامه هایی نامیده می شوند ضد ویروس. انواع زیر از برنامه های ضد ویروس وجود دارد (شکل 11.11): برنامه ها - آشکارسازهاجستجوی دنباله ای از بایت های مشخصه یک ویروس خاص (امضای ویروس) را در رم و فایل ها انجام دهید و در صورت شناسایی، پیام مناسبی را صادر کنید. مضرات چنین ضد ویروسی pro-Fig. 11.11. انواع برنامه های آنتی ویروس![](https://i0.wp.com/phys.bspu.by/static/lib/inf/posob/stu_m/glaves/glava11/ris_11_11.gif)
- تلاش برای تصحیح فایل ها با پسوندهای COM و EXE.
- تغییر ویژگی های فایل؛
- نوشتن مستقیم روی دیسک در یک آدرس مطلق؛
- نوشتن در بخش های بوت دیسک
- در حالت رابط تمام صفحه با استفاده از منوها و کادرهای محاوره ای؛
- در حالت کنترل خط فرمان
- اطلاعات در مورد بخش های بوت؛
- اطلاعات در مورد خوشه های بد؛
- طول و جمع های چک فایل ها.
- تاریخ و زمان ایجاد فایل ها
- برای مثال، رایانه خود را به برنامه های ضد ویروس به روز مجهز کنید ایدز تستیا وب دکتر،و به طور مداوم نسخه های خود را به روز می کنند.
- قبل از خواندن اطلاعات ذخیره شده در رایانه های دیگر از فلاپی دیسک، همیشه با اجرای برنامه های ضد ویروس بر روی رایانه خود، این دیسکت ها را از نظر ویروس بررسی کنید.
- هنگام انتقال فایلهای بایگانی شده به رایانه، بلافاصله پس از باز کردن فایلهای فشرده روی دیسک سخت، آنها را بررسی کنید، و محدوده بررسی را فقط به فایلهای تازه ضبط شده محدود کنید.
- با اجرای برنامه های ضد ویروس برای آزمایش فایل ها، حافظه و مناطق سیستم دیسک ها از یک فلاپی دیسک محافظت شده از نوشتن، پس از بارگیری سیستم عامل همچنین از یک دیسکت سیستم محافظت شده از نوشتن، به طور دوره ای هارد دیسک های رایانه خود را از نظر ویروس بررسی کنید.
- همیشه هنگام کار بر روی رایانه های دیگر، فلاپی دیسک های خود را از نوشتن محافظت کنید، اگر آنها روی اطلاعات نوشته نمی شوند.
- حتماً کپی های آرشیوی را روی دیسکت های اطلاعات ارزشمند برای شما تهیه کنید.
- فلاپی دیسک را در جیب درایو A نگذارید: هنگام روشن یا راه اندازی مجدد سیستم عامل برای جلوگیری از آلوده شدن رایانه به ویروس های بوت.
- استفاده از برنامه های ضد ویروس برای کنترل ورودی کلیه فایل های اجرایی دریافتی از شبکه های کامپیوتری؛
- برای ایمنی بیشتر برنامه ایدز تستو دکتر وبباید با استفاده روزانه حسابرس دیسک ترکیب شود ADinf.