در صورت از بین رفتن اطلاعات چه باید کرد بررسی یک پارتیشن دیسک توسعه یافته

23.05.2019 مشاوره

کاربران گرامی، مطالب این مقاله را نمی توان کامل و جامع تلقی کرد، زیرا پیشرفت به طور پیوسته رو به جلو است و متأسفانه فناوری های نوشتن ویروس و بدافزار نیز رو به بهبود است. این مقاله با هدف اطلاع رسانی و افزایش آموزش و آگاهی کاربران گردآوری شده است. امیدوارم (به اشتباه ساده لوحانه) مطالب ارائه شده کسی را به نوشتن برنامه های مخرب سوق ندهد، بلکه آنها را به فکر وادار کند. به یاد داشته باشید، یک ضرب المثل حکیمانه وجود دارد: "در چاه تف نکنید، باید بنوشید." در مورد ما، اینترنت یک "چاه" عظیم اطلاعاتی است که ما اطلاعات مورد نیاز خود را از آن به دست می آوریم. این مسئولیت مستقیم ما است که آن را تمیز نگه داریم، زیرا ما اجزای جدایی ناپذیر آن هستیم (البته به طور غیر مستقیم، اما با این وجود :).

ویروس ها چیست؟

ویروس- این یک برنامه ویژه نوشته شده و با اندازه کوچک است، دنباله ای از کدهای دستورالعمل است که می تواند خود را به برنامه های دیگر "نسبت" کند (آنها را "عفونی" کند)، کپی هایی از خود ایجاد کند (نه همیشه یکسان) و آنها را در فایل ها، رایانه جاسازی کند. نواحی سیستم، و غیره .d.، و همچنین انجام اقدامات ناخواسته مختلف بر روی کامپیوتر.

ویروس های رایانه ای نام خود را مدیون شباهت خاصی با ویروس های طبیعی هستند: توانایی خودآلودگی. سرعت انتشار بالا؛ گزینش پذیری سیستم های آسیب دیده (هر ویروس فقط سیستم های خاصی یا گروه های همگن سیستم ها را آلوده می کند). توانایی "عفونت" سیستم های هنوز آلوده نشده؛ مشکلات در مبارزه با ویروس ها و غیره.

طبقه بندی ویروس های کامپیوتری

به طور معمول، ویروس ها را می توان بر اساس معیارهای زیر طبقه بندی کرد:
* با توجه به زیستگاه ویروس
* با توجه به روش آلودگی محیط زیست
* با قابلیت های مخرب
* با توجه به ویژگی های الگوریتم ویروس
* بر اساس نوع اقدامات مخرب

ویروس های بوت بخش بوت فلاپی دیسک و بخش بوت یا Master Boot Record (MBR) هارد دیسک را آلوده می کنند. اصل عملکرد ویروس های بوت بر اساس الگوریتم هایی برای راه اندازی سیستم عامل در هنگام روشن یا راه اندازی مجدد رایانه است.

برای روشن تر شدن موضوع، نحوه بوت شدن رایانه را با جزئیات توضیح خواهم داد: پس از روشن شدن رایانه شخصی، منبع تغذیه سیگنال POWER_ON را به مادربرد می فرستد که به نوبه خود ولتاژ مدار برق را در صورت طبیعی بودن بررسی می کند. ، سپس کامپیوتر روشن می شود. علاوه بر این، برنامه در BIOS (سیستم خروجی ورودی پایه) کارت گرافیک کنترل را دریافت می کند، اجزای کارت گرافیک را آزمایش می کند و با دریافت داده های مثبت، کنترل را به بایوس مادربرد منتقل می کند. رویه POST (Power-On Self Test) را راه اندازی می کند، که در صورت موفقیت آمیز بودن آزمایش و برگرداندن سیگنال های مثبت همه دستگاه های پیدا شده، BIOS، مطابق با داده های بخش Boot، خودآزمایی تمام اجزای سیستم را انجام می دهد. ابتدا کنترل را به دستگاهی که در این لیست قرار دارد منتقل می کند. کنترل با جستجوی اولین بخش فیزیکی، خواندن آن و راه اندازی بوت لودر منتقل می شود.

در مورد فلاپی دیسک یا سی دی، بخش بوت کنترل را دریافت می کند که جدول پارامتر دیسک (BPB - BIOS Parameter Block) را تجزیه و تحلیل می کند، آدرس فایل های سیستم عامل را محاسبه می کند، آنها را در حافظه می خواند و برای اجرا راه اندازی می کند. اگر هیچ فایل سیستم عاملی روی دیسک بوت وجود نداشته باشد، برنامه ای که در بخش بوت دیسک قرار دارد یک پیغام خطا نشان می دهد و پیشنهاد می کند دیسک بوت را جایگزین کنید.

در مورد هارد دیسک، کنترل به بوت لودر فوق الذکر داده می شود، که جدول پارتیشن دیسک را تجزیه و تحلیل می کند، آدرس بخش بوت فعال را محاسبه می کند (معمولا این بخش بخش بوت درایو C: است)، بارگذاری می شود. آن را به حافظه منتقل می کند و به کنترل آن منتقل می کند. پس از دریافت کنترل، بخش بوت فعال هارد دیسک همان اقداماتی را انجام می دهد که بخش بوت فلاپی دیسک را انجام می دهد. علاوه بر این، همه چیز ساده تر است، در فایل های سیستم یک لودر سیستم عامل وجود دارد که بارگیری بیشتر سیستم عامل را انجام می دهد.

هنگام آلوده کردن دیسک‌ها، ویروس‌های بوت کد خود را با برنامه‌ای جایگزین می‌کنند که هنگام بوت شدن سیستم کنترل را به دست می‌گیرد. بنابراین، اصل آلودگی در تمام روش‌هایی که در بالا توضیح داده شد یکسان است: ویروس، سیستم را مجبور می‌کند، در هنگام راه‌اندازی مجدد، در حافظه بخواند و کنترل را نه به کد بوت لودر اصلی، بلکه به کد ویروس بدهد.

فلاپی دیسک ها با تنها روش شناخته شده آلوده می شوند - ویروس به جای کد اصلی بخش بوت دیسکت، کد خود را می نویسد. هارد دیسک به سه روش ممکن آلوده می شود - ویروس یا به جای کد MBR یا به جای کد بخش بوت دیسک بوت (معمولاً درایو C:) نوشته می شود یا آدرس بخش بوت فعال را تغییر می دهد. در جدول پارتیشن دیسک واقع در MBR هارد دیسک.

هنگامی که یک دیسک آلوده می شود، ویروس در بیشتر موارد بخش بوت اصلی (یا MBR) را به بخش دیگری از دیسک (به عنوان مثال، به اولین بخش رایگان) منتقل می کند. اگر طول ویروس بیشتر از طول سکتور باشد، قسمت اول ویروس در بخش آلوده قرار می گیرد، قسمت های باقی مانده در بخش های دیگر (مثلاً در اولین بخش های آزاد) قرار می گیرند.

چندین گزینه برای قرار دادن بخش بوت اولیه روی دیسک و ادامه ویروس وجود دارد: در بخش هایی از دسته های آزاد یک دیسک منطقی، در بخش های سیستمی استفاده نشده یا به ندرت استفاده می شود، در بخش هایی که خارج از دیسک قرار دارند.

اگر ادامه ویروس در بخش‌هایی قرار داشته باشد که متعلق به خوشه‌های دیسک آزاد هستند (هنگام جستجوی این بخش‌ها، ویروس باید جدول تخصیص فایل - FAT را تجزیه و تحلیل کند)، سپس، به طور معمول، ویروس این خوشه‌ها را در FAT علامت‌گذاری می‌کند. (Fail Allocation Table) به عنوان بد (به اصطلاح خوشه های شبه بد). ).

همچنین، ویروس‌ها سکتور بوت اولیه را در یک سکتور استفاده نشده یا به ندرت استفاده می‌کنند - در یکی از بخش‌های هارد دیسک (در صورت وجود) که بین MBR و اولین بخش راه‌اندازی قرار دارد، و در فلاپی دیسک، چنین سکتوری از قسمت انتخاب می‌شود. آخرین بخش های دایرکتوری ریشه

برخی از ویروس ها کد خود را در آخرین بخش هارد دیسک می نویسند، زیرا این بخش ها تنها زمانی استفاده می شوند که هارد دیسک به طور کامل با اطلاعات پر شده باشد. روشی که کمتر مورد استفاده قرار می گیرد، روشی است که ادامه ویروس را خارج از دیسک نگه می دارد. این امر از دو طریق به دست می آید. اولین مورد به کاهش اندازه دیسک های منطقی می رسد: ویروس مقادیر لازم را از فیلدهای BPB مربوطه در بخش بوت و جدول پارتیشن دیسک هارد دیسک (در صورت آلوده بودن هارد دیسک) کم می کند، بنابراین مقدار آن را کاهش می دهد. اندازه دیسک منطقی و نوشتن کد آن در بخش هایی که از آن جدا شده اند.

راه دوم نوشتن اطلاعات خارج از پارتیشن فیزیکی دیسک است. در مورد فلاپی دیسک، ویروس باید یک آهنگ اضافی روی دیسک را فرمت کند (روش قالب بندی غیر استاندارد). ویروس هایی هستند که کد خود را خارج از فضای موجود هارد می نویسند، البته اگر سخت افزار نصب شده این اجازه را داشته باشد.

البته روش های دیگری نیز برای قرار دادن ویروس بر روی دیسک وجود دارد، به عنوان مثال برخی از ویروس ها حاوی یک لودر استاندارد MBR در بدن خود هستند و در صورت آلوده شدن، MBR اصلی را بدون ذخیره آن بازنویسی می کنند.

هنگامی که آلوده می شوند، اکثر ویروس ها اطلاعات سیستم ذخیره شده در بوت لودر اصلی را در کد بوت لودر خود کپی می کنند (برای MBR این اطلاعات جدول پارتیشن دیسک است و برای بخش بوت فلاپی دیسک ها بلوک پارامتر BIOS است). در غیر این صورت، سیستم نمی تواند خود را بوت کند، زیرا آدرس دیسک اجزای سیستم بر اساس این اطلاعات محاسبه می شود.

با این حال، برخی از ویروس‌های Stealth این اطلاعات را ذخیره نمی‌کنند یا حتی بیشتر از آن، عمداً آن را رمزگذاری می‌کنند. هنگامی که سیستم یا سایر برنامه‌ها به بخش‌های آلوده دسترسی پیدا می‌کنند، ویروس نسخه‌های اصلی آلوده نشده آن‌ها را جایگزین می‌کند و سیستم بدون هیچ مشکلی بوت می‌شود.

همچنین لازم به ذکر است که ویروس های بوت به ندرت با هم در یک دیسک کنار می آیند - آنها اغلب از بخش های دیسک مشابه برای قرار دادن کد / داده های خود استفاده می کنند. در نتیجه، کد/داده‌های ویروس اول در صورت آلوده شدن به ویروس دوم خراب می‌شوند و سیستم یا در حالت بوت یا حلقه می‌ماند.

الگوریتم ویروس بوت

تقریباً همه ویروس های بوت مقیم هستند. هنگامی که از یک دیسک آلوده بوت می شوند به حافظه کامپیوتر وارد می شوند. در این حالت، لودر سیستم محتویات اولین بخش از دیسکی که بوت از آن انجام می شود را می خواند، اطلاعات خوانده شده را در حافظه قرار می دهد و کنترل را به آن (یعنی ویروس) منتقل می کند. پس از آن، دستورالعمل های ویروس شروع به اجرا می کند که:
1. به عنوان یک قاعده، مقدار حافظه آزاد را کاهش می دهد (کلمه در آدرس 0040:0013)، کد آن را در فضای آزاد شده کپی می کند و ادامه آن (در صورت وجود) را از روی دیسک می خواند. در آینده، برخی از ویروس ها "منتظر" می شوند تا سیستم عامل بارگیری کند و این کلمه را به معنای اصلی خود بازگرداند. در نتیجه، آنها خارج از سیستم عامل نیستند، بلکه به عنوان بلوک های حافظه جداگانه سیستم عامل قرار دارند.
2. بردارهای وقفه لازم را قطع می کند (معمولا - INT 13h)، بخش بوت اصلی را در حافظه می خواند و کنترل را به آن منتقل می کند.

در آینده، ویروس بوت مانند یک ویروس فایل مقیم عمل می کند: دسترسی سیستم عامل به دیسک ها را قطع می کند و آنها را آلوده می کند، بسته به شرایط خاص، اقدامات مخرب انجام می دهد یا باعث ایجاد جلوه های صوتی یا تصویری می شود.

ویروس‌های بوت غیر مقیم وجود دارند - وقتی بارگذاری می‌شوند، MBR دیسک سخت و فلاپی دیسک‌ها را آلوده می‌کنند، اگر در درایوها وجود داشته باشند. سپس چنین ویروس هایی کنترل را به بوت لودر اصلی منتقل می کنند و دیگر بر عملکرد رایانه تأثیر نمی گذارند.

ویروس های فایل

این گروه شامل ویروس هایی است که در حین بازتولید خود به هر نحوی از سیستم فایل هر سیستم عامل استفاده می کنند.

معرفی یک ویروس فایل تقریبا در تمامی فایل های اجرایی تمامی سیستم عامل های معروف و همچنین کتابخانه های درایور پویا و مجازی (dll, VxD) و بسیاری فایل های دیگر امکان پذیر است.

ویروس هایی وجود دارند که فایل هایی را که حاوی متن های منبع برنامه، کتابخانه یا ماژول های شی هستند آلوده می کنند. ممکن است یک ویروس در فایل های داده بنویسد، اما این اتفاق می افتد یا در نتیجه یک خطای ویروس یا زمانی که ویژگی های تهاجمی آن آشکار می شود. ویروس‌های ماکرو نیز کد خود را روی فایل‌های داده – اسناد یا صفحات گسترده – می‌نویسند، با این حال، این ویروس‌ها آنقدر خاص هستند که در یک گروه جداگانه قرار می‌گیرند.

این روش عفونت ساده ترین است: ویروس به جای کد فایل آلوده، کد خود را می نویسد و محتویات آن را از بین می برد. طبیعتا در این حالت فایل از کار می افتد و بازیابی نمی شود. چنین ویروس هایی خیلی سریع خود را شناسایی می کنند، زیرا سیستم عامل و برنامه ها به سرعت کار نمی کنند.

تزریق ویروس به ابتدای فایل

معرفی یک ویروس به ابتدای فایل در اکثریت قریب به اتفاق موارد هنگام آلوده کردن فایل های DOS BAT و COM استفاده می شود.ویروس های متعددی وجود دارند که خود را در ابتدای فایل های EXE سیستم عامل های DOS، ویندوز و حتی لینوکس می نویسند. فایل آلوده را ضد عفونی کنید، مجددا راه اندازی کنید، منتظر بمانید تا تمام شود و دوباره به ابتدای آن بنویسید (گاهی اوقات یک فایل موقت برای این کار استفاده می شود که فایل خنثی شده در آن نوشته می شود)، یا کد برنامه را در حافظه کامپیوتر بازیابی کنید و آدرس های لازم را در بدنه آن پیکربندی کنید (به عنوان مثال عملکرد سیستم عامل را کپی کنید).

تزریق ویروس در انتهای یک فایل

رایج ترین راه برای تزریق ویروس به فایل، اضافه کردن ویروس به انتهای فایل است. در این حالت، ویروس شروع فایل را به گونه ای تغییر می دهد که اولین دستورات اجرایی برنامه موجود در فایل، دستورات ویروس باشد.

در یک فایل DOS COM، در اکثر موارد این امر با تغییر سه (یا بیشتر) بایت اول آن به کدهای دستورالعمل JMP Loc_Virus (یا، به طور کلی، به کدهای برنامه ای که کنترل را به بدنه ویروس منتقل می کند) به دست می آید.

ویروس هایی که به فایل های SYS نفوذ می کنند، کدهای خود را به بدنه فایل متصل می کنند و آدرس های برنامه های Strategy و Interrupt درایور آلوده را تغییر می دهند. در طول شروع اولیه یک درایور آلوده، ویروس درخواست سیستم عامل مربوطه را رهگیری می کند، آن را به درایور ارسال می کند، منتظر پاسخ به این درخواست می ماند، آن را تصحیح می کند و همراه با درایور در همان بلوک RAM باقی می ماند. چنین ویروسی می تواند بسیار خطرناک و سرسخت باشد، زیرا زمانی که سیستم عامل قبل از هر برنامه ضد ویروسی بارگیری می شود، به رم وارد می شود، مگر اینکه البته یک درایور نیز باشد.

ویروس‌هایی نیز وجود دارند که درایورهای سیستم را به روشی متفاوت آلوده می‌کنند: ویروس هدر خود را تغییر می‌دهد تا سیستم‌عامل فایل آلوده را به‌عنوان زنجیره‌ای از دو (یا بیشتر) درایور در نظر بگیرد.

به طور مشابه، یک ویروس می تواند کدهای خود را در ابتدای درایور بنویسد و اگر فایل حاوی چندین درایور باشد، سپس در وسط فایل.

تزریق ویروس به وسط فایل

روش های مختلفی برای تزریق ویروس به وسط فایل وجود دارد. در ساده ترین آنها، ویروس بخشی از فایل را به انتهای خود منتقل می کند یا فایل را "گسترش" می کند و کد آن را در فضای آزاد می نویسد. این روش بسیار شبیه به روش های ذکر شده در بالا است. برخی از ویروس ها بلوک فایل قابل حمل را به گونه ای فشرده می کنند که طول فایل در هنگام آلودگی تغییر نمی کند.

روش دوم روش "حفره" است که در آن ویروس در قسمت های آشکارا استفاده نشده فایل نوشته می شود. ویروس را می توان در قسمت های استفاده نشده جدول آدرس DOS فایل EXE یا سربرگ فایل NewEXE، در قسمت پشته فایل COMMAND.COM ("Lehigh") یا در ناحیه پیام متنی کپی کرد. از کامپایلرهای محبوب ("NMSG"). ویروس‌هایی وجود دارند که فقط فایل‌هایی را آلوده می‌کنند که حاوی بلوک‌هایی هستند که با مقداری بایت ثابت پر شده‌اند، در حالی که ویروس به جای چنین بلوکی، کد خود را می‌نویسد.

ویروس های بدون نقطه ورود

یک گروه نسبتاً ناچیز از ویروس ها که "نقطه ورود" ندارند (EPO-viruses - Entry Point Obscuring Virus) باید به طور جداگانه ذکر شود. اینها شامل ویروس هایی است که دستورات انتقال کنترل را در هدر فایل های COM (JMP) نمی نویسند و آدرس نقطه شروع را در هدر فایل های EXE تغییر نمی دهند. چنین ویروس هایی دستوری می نویسند تا به کد خود در جایی در وسط فایل تغییر کنند و کنترل را نه مستقیماً در هنگام راه اندازی فایل آلوده، بلکه هنگام فراخوانی رویه ای حاوی کد برای انتقال کنترل به بدنه ویروس دریافت می کنند. علاوه بر این، این روش را می توان بسیار به ندرت انجام داد (به عنوان مثال، هنگام نمایش یک پیام در مورد یک خطای خاص). در نتیجه، ویروس می‌تواند سال‌ها در داخل فایل بخوابد و تنها در شرایط محدود خاصی به آزادی بپرد.

قبل از نوشتن دستوری برای پرش به کد خود به وسط فایل، ویروس باید آدرس "صحیح" فایل را انتخاب کند - در غیر این صورت ممکن است فایل آلوده خراب شود. راه های مختلفی وجود دارد که ویروس ها چنین آدرس هایی را در فایل ها تعیین می کنند.

راه اول- در فایل دنباله ای از کدهای استاندارد C/Pascal را جستجو کنید. این ویروس ها در فایل های آلوده به دنبال هدرهای رویه C/Pascal استاندارد می گردند و به جای آن کد خود را می نویسند.

راه دوم- ردیابی یا جداسازی کد فایل. چنین ویروس هایی فایل را در حافظه بارگذاری می کنند، سپس آن را ردیابی یا جدا می کنند و بسته به شرایط مختلف، یک فرمان (یا دستورات) را انتخاب می کنند که به جای آن کد انتقال روی بدنه ویروس نوشته می شود.

راه سومفقط توسط ویروس های مقیم استفاده می شود - آنها نوعی وقفه را هنگام شروع یک فایل کنترل می کنند (اغلب - INT 21h). به محض اینکه فایل آلوده این وقفه را ایجاد می کند، ویروس به جای دستور فراخوانی وقفه، کد خود را می نویسد.

همراه - ویروس ها

دسته "همراه" شامل ویروس هایی است که فایل های آلوده را تغییر نمی دهند. الگوریتم عملکرد این ویروس ها به این صورت است که یک فایل دوقلو برای فایل آلوده ایجاد می شود و زمانی که فایل آلوده راه اندازی می شود، این دوقلو است که کنترل می شود، یعنی. ویروس.

رایج‌ترین ویروس‌های همراه از ویژگی DOS برای اجرای یک فایل COM استفاده می‌کنند، اگر دو فایل در یک فهرست با نام یکسان اما پسوندهای نام متفاوت وجود داشته باشد - COM و EXE. این گونه ویروس ها فایل های ماهواره ای را برای فایل های EXE ایجاد می کنند که همنام هستند، اما با پسوند COM، برای مثال، XCOPY.COM برای فایل XCOPY.EXE ایجاد می شود. ویروس در فایل COM می نویسد و فایل EXE را به هیچ وجه تغییر نمی دهد. هنگام اجرای چنین فایلی، DOS اولین کسی است که فایل COM را شناسایی و اجرا می کند. ویروس، که سپس فایل EXE را راه اندازی می کند. برخی از ویروس ها نه تنها از نوع COM-EXE، بلکه از BAT-COM-EXE نیز استفاده می کنند.

گروه دوم شامل ویروس‌هایی است که وقتی آلوده می‌شوند، نام فایل را به نام دیگری تغییر می‌دهند، آن را به خاطر می‌آورند (برای راه‌اندازی بعدی فایل میزبان)، و کد خود را در دیسک زیر نام فایل آلوده می‌نویسند. برای مثال فایل XCOPY.EXE به XCOPY.EXD تغییر نام داده و ویروس با نام XCOPY.EXE نوشته می شود. هنگام راه‌اندازی، کنترل کد ویروس را بر عهده می‌گیرد و سپس XCOPY اصلی را که با نام XCOPY.EXD ذخیره می‌شود، راه‌اندازی می‌کند. یک واقعیت جالب این است که این روش احتمالاً در همه سیستم عامل ها کار می کند - ویروس هایی از این نوع نه تنها در DOS، بلکه در Windows و OS / 2 یافت می شوند.

گروه سوم شامل ویروس های به اصطلاح "Path-companion" است که روی ویژگی های DOS PATH "بازی" می کنند. آنها یا کد خود را تحت نام فایل آلوده می نویسند، اما در یک سطح PATH "بالاتر" می نویسند (در نتیجه DOS اولین کسی است که فایل ویروس را شناسایی و راه اندازی می کند)، یا فایل قربانی را یک زیر شاخه بالاتر و غیره منتقل می کند.

کرم های فایل

کرم های فایل، به نوعی، نوعی ویروس همراه هستند، اما به هیچ وجه حضور آنها را با هیچ فایل اجرایی مرتبط نمی دانند. هنگامی که آنها تکثیر می شوند، فقط کد خود را در برخی از فهرست های دیسک کپی می کنند به این امید که این کپی های جدید روزی توسط کاربر اجرا شوند. گاهی اوقات این ویروس‌ها نام‌های «ویژه» به نسخه‌های خود می‌دهند تا کاربر را تشویق به اجرای کپی خود کنند - به عنوان مثال، INSTALL.EXE یا WINSTART.BAT.

کرم هایی وجود دارند که کپی های خود را در بایگانی می نویسند (ARJ، ZIP، RAR، و غیره). این ویروس ها عبارتند از "ArjVirus" و "Winstart". برخی از ویروس ها دستور اجرای فایل آلوده به فایل های BAT را می نویسند.

کرم های فایل را نباید با کرم های شبکه اشتباه گرفت. اولی فقط از توابع فایل برخی از سیستم عامل ها استفاده می کند، در حالی که دومی از پروتکل های شبکه برای بازتولید آنها استفاده می کند.

ویروس ها را پیوند دهید

ویروس‌های پیوند، مانند یک همراه - ویروس‌ها محتوای فیزیکی فایل‌ها را تغییر نمی‌دهند، با این حال، وقتی یک فایل آلوده راه‌اندازی می‌شود، سیستم‌عامل را مجبور می‌کنند تا کد خود را اجرا کند. آنها با اصلاح فیلدهای ضروری سیستم فایل به این هدف دست می یابند.

تا به امروز، تنها یک نوع از Link-virus شناخته شده است - ویروس های خانواده "Dir_II". هنگامی که آنها سیستم را آلوده می کنند، بدن خود را به آخرین خوشه درایو منطقی می نویسند. هنگام آلوده کردن یک فایل، ویروس ها فقط شماره اولین خوشه فایل را که در بخش مربوطه دایرکتوری قرار دارد تصحیح می کنند. خوشه فایل اولیه جدید به خوشه حاوی بدنه ویروس اشاره می کند. بنابراین، زمانی که فایل‌ها آلوده می‌شوند، طول آنها و محتوای دسته‌های دیسک حاوی این فایل‌ها تغییر نمی‌کند و همه فایل‌های آلوده روی یک دیسک منطقی تنها یک کپی از ویروس خواهند داشت.

پس از آلوده شدن، اطلاعات دایرکتوری به یک ویروس اشاره می کند، به عنوان مثال. هنگامی که یک فایل راه اندازی می شود، این فایل ها نیستند که کنترل را به دست می گیرند، بلکه ویروس ها هستند.

OBJ-، LIB-ویروس ها و ویروس ها در کد منبع

ویروس‌هایی که کتابخانه‌های کامپایلر، ماژول‌های شی و کدهای منبع برنامه را آلوده می‌کنند کاملاً عجیب و غریب و عملاً غیر معمول هستند. در مجموع حدود ده مورد از آنها وجود دارد. ویروس هایی که فایل های OBJ و LIB را آلوده می کنند، کد خود را در قالب یک ماژول شی یا کتابخانه بر روی آنها می نویسند. بنابراین فایل آلوده قابل اجرا نیست و قادر به انتشار بیشتر ویروس در وضعیت فعلی نیست. حامل یک ویروس "زنده" یک فایل COM یا EXE است که با پیوند دادن یک فایل OBJ/LIB آلوده به ماژول ها و کتابخانه های شی دیگر به دست می آید. بنابراین، ویروس در دو مرحله پخش می‌شود: فایل‌های OBJ/LIB در مرحله اول آلوده می‌شوند و یک ویروس قابل اجرا در مرحله دوم (پیوند دادن) به دست می‌آید.

آلوده شدن متون منبع برنامه ادامه منطقی روش انتشار قبلی است. در این حالت، ویروس کد منبع خود را به متن های منبع (در این مورد، ویروس باید آن را در بدن خود داشته باشد) یا تخلیه هگزادسیمال خود (که از نظر فنی آسان تر است) اضافه می کند. یک فایل آلوده تنها پس از کامپایل و پیوند می تواند ویروس را گسترش دهد.

الگوریتم ویروس فایل

روش بازگرداندن برنامه به حالت اولیه بستگی به نحوه آلوده شدن فایل دارد. اگر ویروسی در ابتدای فایل خود را تزریق کند، یا کدهای برنامه آلوده را با تعداد بایتی معادل طول ویروس جابجا می کند یا بخشی از کد برنامه را از انتهای آن به ابتدا منتقل می کند یا بازیابی می کند. فایل روی دیسک و سپس آن را راه اندازی می کند. اگر ویروس خودش را تا انتهای فایل نوشته باشد، در هنگام بازیابی برنامه، از اطلاعات ذخیره شده در بدن خود در زمان آلوده شدن فایل استفاده می کند. این می تواند طول فایل، چند بایت از ابتدای فایل در مورد یک فایل COM، یا چند بایت از یک هدر در مورد یک فایل EXE باشد. اگر ویروس به روش خاصی در وسط فایل ثبت شده باشد، در هنگام بازیابی فایل از الگوریتم های خاصی نیز استفاده می کند.

تزریق ویروس به فایل های DOS COM و EXE

فایل های باینری COM یا EXE قابل اجرا که از نظر عنوان و نحوه اجرای برنامه ها متفاوت هستند. پسوند نام فایل ("*.COM" یا "*.EXE") همیشه با فرمت فایل واقعی مطابقت ندارد، اما به هیچ وجه بر عملکرد برنامه تأثیر نمی گذارد. فایل های COM و EXE به طور متفاوتی آلوده می شوند، بنابراین، ویروس باید بین فایل های یک فرمت از دیگری تمایز قائل شود. ویروس ها این مشکل را از دو طریق حل می کنند: برخی پسوند نام فایل ("*.COM"، "*.EXE") را تجزیه و تحلیل می کنند، و برخی دیگر - هدر فایل. روش اول به عنوان آلوده کردن فایل های *.COM- (یا *.EXE-) و روش دوم - آلوده کردن فایل های COM- (یا EXE-) نامیده می شود.

در بیشتر موارد، ویروس به درستی فایل را آلوده می کند. با توجه به اطلاعات موجود در بدنه ویروس، می توانید فایل آلوده را به طور کامل بازیابی کنید. اما ویروس ها، مانند بسیاری از برنامه ها، اغلب حاوی خطاهایی هستند که در نگاه اول نامحسوس هستند. به همین دلیل، حتی یک ویروس که به خوبی نوشته شده باشد می تواند به طور غیرقابل برگشتی به فایلی که آلوده شود آسیب برساند. به عنوان مثال، ویروس هایی که بین انواع فایل ها با پسوند نام (*.COM، *.EXE) تمایز قائل می شوند بسیار خطرناک هستند، زیرا فایل هایی را که پسوند نام آنها با فرمت داخلی مطابقت ندارد خراب می کنند.

یکی از رایج ترین نمونه های آلوده شدن فایل های نادرست COMMAND.COM از Windows95 است. این فایل در واقع یک فایل EXE است، علاوه بر این، حجم آن بیش از 90K است که برای یک فایل COM غیرممکن است. بنابراین، ویروس‌هایی که فایل‌های COM/EXE را با پسوند نام متمایز می‌کنند و طول فایل‌های COM آلوده را بررسی نمی‌کنند (مثلاً «Junkie»)، این COMMAND.COM را خراب می‌کنند و غیرقابل اجرا می‌شود.

مبدل بدوی

هنگامی که یک فایل آلوده می شود، یک ویروس می تواند تعدادی از اقدامات را انجام دهد که گسترش آن را پنهان کرده و سرعت می بخشد. چنین اقداماتی شامل پردازش ویژگی فقط خواندنی، حذف آن قبل از آلودگی، و بازیابی آن پس از آن است. بسیاری از ویروس های فایل، آخرین تاریخ اصلاح یک فایل را می خوانند و پس از آلوده شدن، آن را بازیابی می کنند. برخی از ویروس ها برای پنهان کردن گسترش خود، وقفه سیستم عامل را که هنگام دسترسی به یک دیسک محافظت شده از نوشتن (INT 24h) رخ می دهد، قطع می کنند و خودشان آن را پردازش می کنند.

سرعت انتشار

در مورد ویروس های فایل، لازم است به ویژگی آنها مانند سرعت توزیع توجه شود. هر چه یک ویروس سریعتر پخش شود، احتمال بروز اپیدمی آن ویروس بیشتر است. هرچه سرعت انتشار ویروس کمتر باشد، تشخیص آن دشوارتر می شود (مگر اینکه، البته، این ویروس هنوز برای برنامه های آنتی ویروس شناخته نشده است). مفاهیم "سریع" و "آهسته" ویروس (Fast Infector، Slow Infector) کاملاً نسبی هستند و فقط به عنوان ویژگی یک ویروس در هنگام توصیف آن استفاده می شود.

ویروس‌های غیر مقیم اغلب "آهسته" هستند - بیشتر آنها یک یا دو یا سه فایل را در هنگام راه‌اندازی آلوده می‌کنند و قبل از راه‌اندازی برنامه ضد ویروس (یا پیکربندی نسخه جدیدی از آنتی‌ویروس) وقت ندارند کامپیوتر را پر کنند. برای این ویروس ظاهر می شود). البته، ویروس‌های «سریع» غیرمقیم وجود دارند که هنگام راه‌اندازی، همه فایل‌های اجرایی را جستجو کرده و آن‌ها را آلوده می‌کنند، اما چنین ویروس‌هایی بسیار قابل توجه هستند: وقتی هر فایل آلوده راه‌اندازی می‌شود، رایانه برای برخی به طور فعال با هارد دیسک کار می‌کند ( گاهی اوقات برای مدت طولانی)، که ویروس را آشکار می کند.

«سرعت» ویروس‌های مقیم معمولاً بیشتر از ویروس‌های غیر مقیم است - وقتی به فایل‌ها دسترسی پیدا می‌کنند، آنها را آلوده می‌کنند. در نتیجه، همه یا تقریباً تمام فایل‌های روی دیسک که دائماً در کار استفاده می‌شوند آلوده می‌شوند.

سرعت انتشار ویروس‌های فایل مقیمی که فایل‌ها را فقط زمانی که برای اجرا اجرا می‌شوند آلوده می‌کنند، کمتر از ویروس‌هایی است که فایل‌ها را هنگام باز کردن، تغییر نام، تغییر ویژگی‌های فایل و غیره آلوده می‌کنند. بسیاری از ویروس ها هنگام ایجاد کپی خود در RAM کامپیوتر، سعی می کنند منطقه حافظه را با بالاترین آدرس ها اشغال کنند و قسمت موقت مفسر دستور COMMAND.COM را از بین ببرند. در پایان برنامه آلوده، قسمت موقت مفسر بازیابی می شود و فایل COMMAND.COM باز می شود و اگر ویروس هنگام باز شدن فایل ها را آلوده کند، آلوده می شود. بنابراین، هنگامی که چنین ویروسی راه اندازی می شود، فایل COMMAND.COM اولین موردی است که آلوده می شود.

مواد و داده ها از منابع زیر گرفته شده است:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info

برای نظر دادن، لطفآ وارد سامانه شوید یا ثبت نام کنید

ویروس های کامپیوتری

و فایل های خراب و آلوده
طبقه بندی ویروس ها پیشگیری و کنترل ویروس های کامپیوتری

معرفی

در حال حاضر، بسیاری از زمینه های فعالیت انسان با استفاده از کامپیوتر مرتبط است. چرا این ماشین های الکترونیکی اینقدر محکم در زندگی ما جاسازی شده اند؟ همه چیز خیلی پیش پا افتاده است آنها کارهای محاسباتی و طراحی معمولی را انجام می دهند و مغز ما را برای کارهای ضروری و مسئولیت پذیرتر آزاد می کنند. در نتیجه، خستگی به شدت کاهش می‌یابد و ما شروع به کار بسیار پربارتر از بدون استفاده از رایانه می‌کنیم.
امکانات کامپیوترهای مدرن غنی ترین تخیل را شگفت زده می کند. آنها می توانند چندین کار را به صورت موازی انجام دهند که پیچیدگی آنها بسیار زیاد است. بنابراین، برخی از تولیدکنندگان به فکر ایجاد هوش مصنوعی هستند. و اکنون کار یک کامپیوتر شبیه کار یک دستیار الکترونیکی هوشمند برای یک شخص است.
اما چه کسی فکرش را می‌کرد که این معجزه الکترونیکی فناوری با بیماری‌هایی مشابه بیماری‌های انسانی مشخص می‌شود. او، مانند یک شخص، می تواند توسط یک "ویروس" اما یک کامپیوتر مورد حمله قرار گیرد. و اگر اقدامی نکنید، کامپیوتر به زودی "بیمار می شود" یعنی. شروع به انجام اقدامات نادرست یا حتی "مرگ" خواهد کرد. آسیب ناشی از "ویروس" بسیار جدی خواهد بود. ویروس های کامپیوتری چیست و چگونه با آنها مقابله کنیم بیشتر مورد بحث قرار خواهد گرفت.

ویروس های کامپیوتری

ویروس کامپیوتری چیست؟

تا به امروز، چندین نوع اصلی بدافزار وجود دارد:
- ویروس کامپیوتری کلاسیک؛
- تروجان یا اسب تروا (troj);
- کرم (کرم)؛
- جاسوس یا جاسوس، کی لاگر
-rootkick
- ربات یا زامبی

زمانی، این ویروس‌های کلاسیک بودند که بیشترین شیوع را داشتند - اما سازندگان آنها به ندرت هدف خاصی را برای آسیب رساندن به کاربر نهایی تعیین می‌کردند، بلکه برای اهداف آموزشی ایجاد شده بودند. ویروس نویسان امروزی اهداف کاملاً واضح و قابل درک را دنبال می کنند - پول، و "فرزندان" آنها بسیار خطرناک تر از پیشینیان خود شده اند. بنابراین اجازه دهید خطرناک ترین شکارچیان فضای اطلاعاتی امروز را معرفی کنم - اینها تروجان ها و کرم ها هستند.
تروجان یا تروج نام خود را از شباهت روش آلودگی و حرکت تاکتیکی معروف در زمان محاصره تروا گرفته است. نمونه ای از عفونت تروجان - نامه ای از یک "آشنا" خاص با متن دریافت می کنید: - "سلام! من تازه از دریا برگشتم - استراحت خوبی داشتم! این هم تصاویر من - نگاه کنید."، و پیوست فایل هایی با پسوند ".JPG". همین فایل ها همان اسب تروجان هستند که کد مخرب در اعماق آن پنهان شده است. رایج ترین منابع عفونت ایمیل، سایت های دوستیابی، سایت های موسیقی و سایت های نرم افزار رایگان هستند. یک "تروجان" چه می کند؟ به عنوان یک قاعده، وظیفه آن باز کردن راه برای سایر ویروس ها است تا به عنوان اولین سکوی پرش عمل کنند. چگونه از عفونت با "تروجان" جلوگیری کنیم؟ در اینجا همه چیز مانند زندگی است - از خود محافظت کنید و از روابط گاه به گاه اجتناب کنید =). این قانون برای هر ویروس و سایر بدافزارها صادق است. اگر ایمیلی برای شما ارسال شده است - قبل از مشاهده پیوست‌ها، فرستنده را بررسی کنید، پیوست را در رایانه خود ذخیره کنید و آن را با یک آنتی ویروس بررسی کنید و تنها سپس آن را باز کنید.

کرم یا کرم - یکی از ویژگی های این برنامه ها در تکامل و استقلال است. هنگامی که یک کرم وارد کامپیوتر می شود، معمولا به برنامه های پست الکترونیکی و پیجرهای اینترنتی حمله می کند. پس از دسترسی به نامه یا پیجر، او شروع به ارسال نامه ها / پیام هایی می کند که حاوی نسخه اصلاح شده خود است. پس از آن، فایل های اجرایی (EXE، COM، BAT) را یا خود تخریب می کند یا آلوده می کند. از آنجایی که ویروس خودش تغییر می کند، تا زمانی که در پایگاه داده آنتی ویروس شما شناسایی نشود، آسیب ناپذیر است. به همین دلیل است که امروزه یک آنتی ویروس دارای مجوز برای هر دارنده رایانه شخصی نیاز فوری است.

ویروس کامپیوتری یک برنامه کوچک ویژه نوشته شده است که می تواند خود را به برنامه های دیگر "نسبت" کند (به عنوان مثال آنها را "آلوده" کند)، و همچنین اعمال ناخواسته مختلفی را در رایانه انجام دهد. برنامه ای که حاوی ویروس باشد، آلوده نامیده می شود. هنگامی که چنین برنامه ای شروع می شود، ابتدا ویروس کنترل می شود. ویروس برنامه های دیگر را پیدا کرده و "عفونت" می کند، و همچنین برخی از اقدامات مضر را انجام می دهد (به عنوان مثال، فایل ها یا جدول تخصیص فایل (FAT) روی دیسک را خراب می کند، RAM را "آلوده می کند" و غیره). برای پوشاندن یک ویروس، اقداماتی برای آلوده کردن برنامه های دیگر و ایجاد آسیب ممکن است همیشه انجام نشود، اما مثلاً تحت شرایط خاصی. پس از اینکه ویروس اقدامات مورد نیاز خود را انجام داد، کنترل را به برنامه ای که در آن قرار دارد منتقل می کند و طبق معمول کار می کند. بنابراین، از نظر ظاهری، کار یک برنامه آلوده مانند برنامه غیر آلوده به نظر می رسد.
بسیاری از انواع ویروس ها به گونه ای طراحی شده اند که وقتی یک برنامه آلوده راه اندازی می شود، ویروس در حافظه کامپیوتر باقی می ماند و هر از چند گاهی برنامه ها را آلوده کرده و اعمال ناخواسته ای را روی کامپیوتر انجام می دهد.
همه اقدامات ویروس را می توان بسیار سریع و بدون ارسال هیچ پیامی انجام داد، برای این کاربر بسیار دشوار است، تقریبا غیرممکن است که تشخیص دهد چیزی غیرعادی در رایانه اتفاق می افتد.
تا زمانی که برنامه های نسبتا کمی روی رایانه آلوده شده باشند، حضور ویروس تقریباً نامرئی است. با این حال، پس از مدتی، اتفاق عجیبی در رایانه شروع می شود، به عنوان مثال:
- برخی از برنامه ها کار نمی کنند یا به اشتباه شروع به کار می کنند.
- پیام های اضافی، نمادها و غیره روی صفحه نمایش داده می شوند.
- سرعت کار بر روی رایانه به طور قابل توجهی کاهش می یابد.
- برخی از فایل ها خراب هستند و غیره
در این مرحله، به عنوان یک قاعده، تعداد زیادی (یا حتی اکثر) برنامه های فنی که با آنها کار می کنید به ویروس آلوده شده اند و برخی از فایل ها و دیسک ها خراب می شوند. علاوه بر این، برنامه های آلوده از رایانه شما ممکن است قبلاً با استفاده از فلاپی دیسک یا یک شبکه محلی به رایانه های همکاران و دوستان شما منتقل شده باشند.
برخی از ویروس ها بسیار موذی هستند. در ابتدا آنها به طور نامحسوس تعداد زیادی برنامه و دیسک را آلوده می کنند و سپس آسیب بسیار جدی وارد می کنند ، به عنوان مثال کل هارد دیسک را روی رایانه فرمت می کنند ، طبیعتاً پس از آن بازیابی اطلاعات به سادگی غیرممکن است. و ویروس هایی وجود دارند که بسیار مخفیانه رفتار می کنند و به تدریج اطلاعات روی هارد دیسک را خراب می کنند یا جدول تخصیص فایل (FAT) را جابجا می کنند.
بنابراین، اگر اقداماتی را برای محافظت در برابر ویروس انجام ندهید، عواقب عفونت می تواند بسیار جدی باشد. مثلاً در ابتدای سال 1989م این ویروس که توسط دانشجوی آمریکایی موریس نوشته شده بود، هزاران رایانه از جمله رایانه های متعلق به وزارت دفاع ایالات متحده را آلوده و از کار انداخت. عامل این ویروس از سوی دادگاه به سه ماه حبس و 270 هزار دلار جریمه نقدی محکوم شد. مجازات می توانست شدیدتر باشد، اما دادگاه در نظر گرفت که ویروس داده ها را خراب نکرد، بلکه فقط چند برابر شد.
برای اینکه یک برنامه ویروسی نامرئی باشد، باید کوچک باشد. بنابراین، ویروس ها معمولا به زبان های سطح پایین اسمبلی یا در دستورات سطح پایین زبان C نوشته می شوند.
ویروس ها توسط برنامه نویسان یا دانش آموزان باتجربه صرفاً از روی کنجکاوی یا برای انتقام گرفتن از شخص یا شرکتی که با آنها به شیوه ای ناشایست یا برای اهداف خرابکارانه تجاری یا جهت دار رفتار کرده است، نوشته می شوند. اهداف نویسنده هرچه که باشد، ویروس ممکن است به رایانه شما سرایت کند و سعی کند همان اقدامات مضر فردی را که برای او ایجاد شده است انجام دهد.
لازم به ذکر است که نوشتن ویروس کار چندان دشواری نیست و برای یک دانشجوی برنامه نویسی کاملاً قابل دسترسی است. بنابراین هر هفته ویروس های جدید بیشتری در جهان ظاهر می شوند. و بسیاری از آنها در کشور ما ساخته می شوند.

فایل های خراب و آلوده

یک ویروس کامپیوتری می تواند خراب کند، به عنوان مثال. هر فایلی را که روی دیسک‌های موجود در رایانه وجود دارد، به‌طور نامناسب تغییر دهید. اما این ویروس می تواند برخی از انواع فایل ها را "آلوده" کند. این بدان معنی است که یک ویروس می تواند به این فایل ها "نفوذ" کند، یعنی. آنها را طوری تغییر دهید که حاوی ویروسی باشند که تحت شرایط خاص شروع به کار کند.
لازم به ذکر است که متون برنامه ها و اسناد، فایل های اطلاعات پایگاه داده، جداول صفحه گسترده و سایر فایل های مشابه توسط یک ویروس رایج آلوده نمی شوند، فقط می تواند آنها را خراب کند. آلودگی این گونه فایل ها فقط توسط ماکرو ویروس ها انجام می شود. این ویروس ها حتی می توانند اسناد شما را نیز آلوده کنند.
رکورد بوت اصلی لودر سیستم عامل و هارد دیسک. ویروس هایی که این نواحی را آلوده می کنند، ویروس بوت یا BOOT نامیده می شوند. چنین ویروسی کار خود را در بوت اولیه کامپیوتر شروع می کند و ساکن می شود، یعنی. به طور دائم در حافظه کامپیوتر باقی می ماند. مکانیسم توزیع، آلودگی رکوردهای بوت درج شده در دیسکت های کامپیوتر است. اغلب چنین ویروس هایی از دو قسمت تشکیل شده اند، زیرا رکورد بوت کوچک است و قرار دادن کل برنامه ویروس در آنها دشوار است. بخشی از ویروس در قسمت دیگری از دیسک قرار دارد، به عنوان مثال، در انتهای فهرست اصلی دیسک یا در یک خوشه در ناحیه داده دیسک (معمولاً چنین خوشه ای معیوب اعلام می شود تا از بازنویسی ویروس در هنگام نوشتن اطلاعات جلوگیری کنید).
فایل‌های درایورهای دستگاه که در بند DEVICE فایل CONFIG.SYS مشخص شده‌اند. ویروسی که در آنها وجود دارد هر بار که به دستگاه مربوطه دسترسی پیدا می کند کار خود را شروع می کند. ویروس هایی که درایورهای دستگاه را آلوده می کنند بسیار نادر هستند زیرا درایورها به ندرت از یک رایانه به رایانه دیگر کپی می شوند. همین امر در مورد فایل های سیستم DOS (MSDOS.SYS و IO.SYS) نیز صدق می کند - آلودگی آنها نیز از نظر تئوری امکان پذیر است، اما برای انتشار ویروس بی اثر است.

به عنوان یک قاعده، هر نوع خاص از ویروس می تواند تنها یک یا دو نوع فایل را آلوده کند. اغلب ویروس هایی وجود دارند که فایل های اجرایی را آلوده می کنند. در رتبه دوم از نظر شیوع، ویروس های بوت هستند. برخی از ویروس ها هم فایل ها و هم قسمت های بوت دیسک را آلوده می کنند. ویروس هایی که درایورهای دستگاه را آلوده می کنند بسیار نادر هستند، معمولاً چنین ویروس هایی می توانند فایل های اجرایی را نیز آلوده کنند.

طبقه بندی ویروس ها

ویروس ها را می توان بر اساس معیارهای مختلف به کلاس هایی تقسیم کرد. در اینجا، برای مثال، بر اساس خیانت:

ویروس هایی که فوراً هارد دیسک را فرمت می کنند، جدول تخصیص فایل را خراب می کنند، بخش های بوت را خراب می کنند، به اصطلاح فلش رام (محلی که BIOS در آن قرار دارد) کامپیوتر (ویروس چرنوبیل) را پاک می کنند، به عبارت دیگر صدمات جبران ناپذیری به بار می آورند. در اسرع وقت به کامپیوتر این همچنین شامل نتایج شکایت برنامه نویسانی است که ویروس ها را علیه برنامه های ضد ویروس می نویسند. این به اصطلاح به آلرژی به برخی برنامه های ضد ویروس اشاره دارد. این ویروس ها کاملاً خائنانه هستند. در اینجا مثلاً آلرژی به Dr.Weber هنگام فراخوانی این برنامه، بدون معطلی، آنتی ویروس را مسدود می کند، هر چیزی را که در دایرکتوری است با آنتی ویروس و C: WINDOWS خراب می کند. در نتیجه باید سیستم عامل را دوباره نصب کنید و سپس با روش های دیگر با ویروس مبارزه کنید.
- ویروس هایی که برای عمر طولانی در کامپیوتر طراحی شده اند. آنها به تدریج و با احتیاط برنامه به برنامه بدون تبلیغات حضور خود را آلوده می کنند و قسمت های شروع برنامه ها را با پیوندهایی به محل قرارگیری بدن ویروس جایگزین می کنند. علاوه بر این، آنها تغییری در ساختار دیسک ایجاد می کنند که برای کاربر نامحسوس است، که تنها زمانی احساس می شود که برخی از داده ها به طور ناامیدکننده ای از بین رفته باشند (به عنوان مثال، ویروس "OneHalf-3544"، "Yankey-2C").
بر اساس روش های انتقال و تولید مثل نیز می توان تقسیم بندی کرد.
قبلاً، ویروس‌ها عمدتاً فقط فایل‌های اجرایی (با پسوندهای com و exe.) را تحت تأثیر قرار می‌دادند. در واقع ویروس یک برنامه است و باید اجرا شود.
در حال حاضر ویروس ها از طریق ایمیل به عنوان برنامه های آزمایشی یا به عنوان تصاویر ارسال می شوند، به عنوان مثال، اگر فایل "PicturesForYou.jpg" را از طریق ایمیل دریافت کرده اید، عجله نکنید تا به آن نگاه کنید، به خصوص که از هیچ جا آمده است. اگر با دقت بیشتری به نام نگاه کنید، مشخص می شود که دارای 42 فاصله بیشتر و پسوند exe معتبر است. یعنی نام کامل واقعی فایل به صورت زیر خواهد بود:
"PicturesForYou.jpg .exe". حالا هر کسی می‌فهمد که این عکس واقعاً چه چیزی را حمل می‌کند. این یک فایل تصویری نیست که بیننده تصویر هنگام فعال شدن آن را فراخوانی کند، بلکه یک ویروس گستاخ و کمی پوشیده است که فقط منتظر می ماند تا با کلیک ماوس یا فشار دادن کلید فعال شود. شما خودتان چنین ویروسی را مانند یک "اسب تروا" در زیر پوسته یک عکس در رایانه خود دانلود می کنید. از این رو نام عامیانه برای ویروس هایی مانند "تروجان" است.
در حال حاضر، پوسته هایی از کانال های اطلاعاتی مانند Internet Explorer، Outlook Express، Microsoft Office وجود دارد. چند دسته از به اصطلاح "ماکرو ویروس ها" اکنون ظاهر شده اند. آنها حاوی دستورات مخفی برای این پوسته ها هستند که برای کاربر عادی نامطلوب است. و این کد دیگر کد کامپیوتر نیست، یعنی دیگر یک برنامه نیست، بلکه متن برنامه است که توسط پوسته اجرا شده است. بنابراین، می توان آن را در هر قالب مورد نیاز نوشت: html، .htm - برای اینترنت اکسپلورر، .doc، .xls، .xlw، .txt، .prt، یا هر نوع دیگری - برای Microsoft Office و غیره. چنین ویروس هایی باعث آسیب می شوند. فقط ماهیت خاصی دارد، زیرا پوسته دستوراتی برای فرمت کردن هارد دیسک ندارد. اما با این وجود، این نوع ویروس شایسته توجه است، زیرا با کمک هایپرلینک های مخفی می تواند بدنه ویروس را به طور مستقل از اینترنت به رایانه شما بارگیری کند و برخی از ویروس ها می توانند از طریق اینترنت از سرورهای خاص به روزرسانی و بارگیری شوند. . به عنوان مثال، یکی از دانش آموزان ژاپنی دقیقاً چنین ویروسی ایجاد کرد که یک "لودر" کوچک را به هر قالبی از داده های ورودی از اینترنت متصل می کند. علاوه بر این، این لودر به طور مستقل بدنه ویروس را از اینترنت از سرور با آدرس IP Babilon5 دانلود می کند. چهار تا از این اجساد وجود دارد. هر کدام از آنها به تنهایی قادر به تخریب رایانه شما هستند، اما هدف خاصی دارند. این نوع ویروس ترکیبی بین ماکرو ویروس ها و ویروس های معمولی است. اما باید توجه داشت که این هیبریدها هستند که سرسخت ترین، حیله گرترین، خطرناک ترین و پرشمارترین در بین ویروس ها هستند. اخیراً، رسوایی در مورد برنامه نویسی به وجود آمد که به گفته کارشناسان، یک ویروس ماکرو را ایجاد کرده و شروع به انتشار کرد که فایل های متنی مایکروسافت ورد را آلوده می کند. از تاریخ و زمان ایجاد سند اصلی که در قسمت‌های نامرئی فایل‌های doc ذخیره می‌شود، محاسبه شد. این امکان وجود دارد که فایل قبل از اینکه ویروس به آن ضمیمه شود توسط شخص دیگری ایجاد شده باشد، سپس سوال مهاجم باز بماند. اما کارشناسان می گویند او است.
برای مثال ویروس Win32.HLLM.Klez. یکی از انواع کرم های شبکه خطرناک با ارسال کپی از خود از طریق ایمیل توزیع می شود. علاوه بر این، این کرم می‌تواند در یک شبکه محلی پخش شود و رایانه‌هایی را که دیسک‌های آنها منابع شبکه مشترک قابل نوشتن هستند، آلوده کند. زمانی که کرم وارد سیستم می شود، خود را به آدرس هایی می فرستد که در دفترچه آدرس ویندوز، پایگاه داده ICQ و فایل های محلی یافت می شوند. ایمیل های آلوده ارسال شده توسط این کرم از یکی از باگ های نسبتاً شناخته شده در سیستم امنیتی اینترنت اکسپلورر استفاده می کنند، که اجازه می دهد یک فایل برنامه (دارای ویروس) متصل به ایمیل به طور خودکار هنگام مشاهده ایمیل در Outlook و Outlook Express راه اندازی شود.
بیایید سعی کنیم روش های پنهان سازی و محافظتی که توسط ویروس ها علیه ما کاربران عادی و برنامه های ضد ویروس استفاده می شود را در نظر بگیریم.
خیانت اصلی ترین و سریع ترین راه برای انجام حقه های کثیف قبل از کشف شدن است. به عنوان مثال، ویروس چرنوبیل، BIOS (برنامه راه اندازی که در تراشه ROM قرار دارد و عملکرد رایانه را تضمین می کند) به طور کامل پاک می کند. پس از این، کامپیوتر به هیچ وجه نمی تواند چیزی را نمایش دهد. اما اگر سوئیچ در داخل کامپیوتر نصب شود که نوشتن در ناحیه رام را ممنوع کند، کار آن به راحتی مسدود می شود. بنابراین، این اولین و همچنین، همانطور که فکر می کنم، آخرین نماینده ویروس های سخت افزاری بود.
ویروس های احیا کننده بدن خود را به چند قسمت تقسیم می کنند و در مکان های مختلف هارد دیسک ذخیره می کنند. بر این اساس، این قطعات می توانند به طور مستقل یکدیگر را پیدا کرده و برای بازسازی بدن ویروس جمع شوند. برنامه آنتی ویروس فقط بدن ویروس را شناسایی و از بین می برد و قسمت هایی از این بدن با تغییر در پایگاه داده آنتی ویروس گنجانده نمی شود. قالب بندی هدفمند سطح پایین هارد دیسک به مقابله با چنین ویروس هایی کمک می کند. برای حفظ اطلاعات باید اقدامات احتیاطی انجام شود.
ویروس های حیله گر نه تنها از ما، بلکه از برنامه های آنتی ویروس نیز پنهان می شوند. این «آفتاب‌پرست‌ها» با کمک حیله‌گرانه‌ترین و پیچیده‌ترین عملیات‌ها، هم از داده‌های جاری (زمان ایجاد فایل) و هم با استفاده از تقریباً نیمی از کل مجموعه دستورالعمل‌های پردازنده، خود را تغییر می‌دهند. البته در یک نقطه خاص، طبق یک الگوریتم حیله گر، آنها به یک ویروس شرور تبدیل می شوند و شروع به مقابله با رایانه ما می کنند. این سخت ترین نوع ویروس برای شناسایی است، اما برخی از برنامه های ضد ویروس مانند "Dr.Weber" قادر به شناسایی و خنثی کردن ویروس های مشابه با استفاده از به اصطلاح آنالیز اکتشافی هستند.
ویروس های "نامرئی" از روش به اصطلاح "Stelth" برای جلوگیری از شناسایی خود استفاده می کنند. این شامل این واقعیت است که یک ویروس ساکن در حافظه، تماس‌های DOS (و در نتیجه برنامه‌های کاربردی) را به فایل‌ها و مناطق دیسک آلوده رهگیری می‌کند و آنها را به شکل اصلی (غیر آلوده) خود منتشر می‌کند. البته، این اثر فقط در یک کامپیوتر آلوده مشاهده می شود - در یک کامپیوتر "تمیز"، تغییرات در فایل ها و مناطق بوت دیسک به راحتی قابل تشخیص است. اما برخی از برنامه های ضد ویروس می توانند ویروس های "نامرئی" را حتی در رایانه های آلوده شناسایی کنند.
کرم شبکه راندون در مارس 2003 ظاهر شد. از طریق کانال های IRC و منابع شبکه محلی پخش می شود و رایانه های دارای سیستم عامل Windows2000 و Windows XP را آلوده می کند. برای نفوذ به رایانه، به یک شبکه محلی یا یک سرور IRC متصل می شود، کاربرانی را که روی آن قرار دارند اسکن می کند، با آنها در پورت 445 ارتباط برقرار می کند و سعی می کند رمز عبور را از لیست داخلی عبارات پرکاربرد حدس بزند. اگر سیستم با موفقیت به خطر بیفتد، Random تروجان Apher را به آن ارسال می کند، که به نوبه خود بقیه اجزای کرم را از یک وب سایت راه دور دانلود می کند. پس از آن، "راندون" اجزای خود را در فهرست سیستم ویندوز نصب می کند، فایل اصلی خود را ثبت می کند. برای پنهان کردن حضور خود در حافظه، از ابزار ویژه HideWindows استفاده می کند که آن نیز جزء کرم است. به لطف او، معلوم می شود که برای کاربر نامرئی است، به طوری که فرآیند فعال Randon فقط در Task Manager ویندوز قابل شناسایی است. عوارض جانبی آن ایجاد حجم زیاد ترافیک اضافی در دستگاه آلوده و سیل کانال های IRC است.
با توجه به آزمایشگاه کسپرسکی، یکی از توسعه دهندگان پیشرو برنامه های ضد ویروس، مروری بر فعالیت ویروس برای مارس 2003 ارائه می دهد (جدول 2 و شکل 1).

20 بدافزار برتر رایج

برگه 2
سهم نام در تعداد کل موارد ویروس (%)
1. I-Worm.Klez 37.60%
2. I-Worm.Sobig 10.75%
3. I-Worm.Lentin 9.03%
4. I-Worm.Avron 3.30%
5.Macro.Word97.بنابراین 2.62%
6. I-Worm.Tanatos 1.38%
7. کلان. Word97.Marker 1.21%
8. Worm.Win32.Opasoft 1.13%
9. I-Worm.Hybris 1.04%
10. Win95.CIH 0.69٪
11. Worm.Win32.Randon 0.58%
12. VBS Redlof 0.57٪
13. Backdoor.Death 0.51%
14.Win95.Spaces 0.51%
15. I-Worm.Roron 0.49%
16.Trojan.PSW.Gip 0.49%
17. Backdoor.NetDevil 0.48%
18.Win32.HLLP.Hantaner 0.45%
19. TrojanDropper.Win32.Delf 0.42%
20. TrojanDropper.Win32.Yabinder 0.41%
سایر بدافزارها* 26.33%

*در 20 مورد رایج قرار نمی گیرد

پیشگیری و مبارزه با ویروس های کامپیوتری

روش های اساسی محافظت در برابر ویروس های رایانه ای

برای محافظت در برابر ویروس ها می توانید از موارد زیر استفاده کنید:
- ابزارهای عمومی حفاظت از اطلاعات، که به عنوان بیمه در برابر آسیب فیزیکی به دیسک ها، برنامه های نادرست عملکرد یا اقدامات نادرست کاربر نیز مفید است.
- اقدامات پیشگیرانه برای کاهش احتمال ابتلا به ویروس کامپیوتری؛
- برنامه های تخصصی برای محافظت در برابر ویروس ها.
-ابزارهای رایج امنیت اطلاعات برای چیزی بیش از محافظت در برابر ویروس ها مفید هستند. دو نوع اصلی از این صندوق ها وجود دارد:
کپی کردن اطلاعات - ایجاد کپی از فایل ها و مناطق سیستم دیسک.
کنترل دسترسی از استفاده غیرمجاز از اطلاعات، به ویژه محافظت در برابر تغییرات برنامه ها و داده ها توسط ویروس ها، برنامه های نادرست و اقدامات اشتباه کاربران جلوگیری می کند.
علیرغم اینکه ابزارهای عمومی امنیت اطلاعات برای محافظت در برابر ویروس های رایانه ای بسیار مهم هستند، هنوز کافی نیستند. استفاده از برنامه های تخصصی برای محافظت در برابر ویروس های کامپیوتری ضروری است. این برنامه ها را می توان به چند نوع تقسیم کرد:
برنامه های آشکارساز به شما امکان می دهند فایل های آلوده به یکی از چندین ویروس شناخته شده را شناسایی کنید.
برنامه‌ها - پزشکان یا فاژها، برنامه‌ها یا دیسک‌های آلوده به "ویروس‌ها را درمان می‌کنند"، بدن ویروس را از برنامه‌های آلوده "گزیده می‌کنند". بازگرداندن برنامه به حالتی که قبل از آلوده شدن به ویروس بود.
برنامه ها - حسابرسان ابتدا اطلاعات مربوط به وضعیت برنامه ها و مناطق سیستم دیسک ها را به خاطر می آورند و سپس وضعیت آنها را با حالت اصلی مقایسه می کنند. در صورت مشاهده مغایرت، به کاربر اطلاع داده می شود.
پزشکان - حسابرسان ترکیبی از حسابرسان و پزشکان هستند، یعنی. برنامه‌هایی که نه تنها تغییرات فایل‌ها و قسمت‌های سیستم دیسک‌ها را تشخیص می‌دهند، بلکه می‌توانند به طور خودکار آنها را به حالت اولیه خود بازگردانند.
برنامه های فیلتر در حافظه رم رایانه قرار دارند و تماس های سیستم عامل را که توسط ویروس ها برای تولید مثل و ایجاد آسیب استفاده می شود را رهگیری می کنند و آنها را به کاربر گزارش می دهند. کاربر می تواند عملیات مربوطه را فعال یا غیرفعال کند.
برنامه ها - واکسن ها یا ایمن سازها برنامه ها و دیسک ها را به گونه ای تغییر می دهند که بر عملکرد برنامه ها تأثیری نداشته باشد، اما ویروسی که واکسیناسیون علیه آن انجام می شود این برنامه ها و دیسک ها را قبلاً آلوده می داند. این برنامه ها بسیار ناکارآمد هستند و بیشتر مورد توجه قرار نمی گیرند.
متأسفانه، هیچ نوع نرم افزار ضد ویروسی محافظت کامل در برابر ویروس های رایانه ای را ارائه نمی دهد. بنابراین، بهترین استراتژی برای محافظت در برابر ویروس ها، دفاع چند سطحی و "لایه ای" است. اجازه دهید ساختار این دفاع را شرح دهیم.
ابزار شناسایی در "دفاع" در برابر ویروس ها با برنامه ها - آشکارسازهایی مطابقت دارد که به شما امکان می دهد نرم افزارهای تازه دریافت شده را برای وجود ویروس ها بررسی کنید.
در خط مقدم دفاع، برنامه های فیلتر (برنامه های مقیم برای محافظت در برابر ویروس) قرار دارند. این برنامه ها می توانند اولین برنامه هایی باشند که حمله ویروس را گزارش می کنند و از آلودگی برنامه ها و دیسک جلوگیری می کنند.
دومین رده دفاعی را برنامه ها - حسابرسان، برنامه - پزشکان و پزشکان - حسابرسان تشکیل می دهند. حسابرسان یک حمله را حتی زمانی که ویروس موفق شده است از طریق خط مقدم دفاع "نشت کند" تشخیص می دهند. برنامه‌های Doctor برای بازیابی برنامه‌های آلوده در صورتی که نسخه‌ای از آن در آرشیو وجود نداشته باشد استفاده می‌شود. اما آنها همیشه کار درست را انجام نمی دهند. پزشکان - حسابرسان حمله ویروس را تشخیص داده و ویروس ها - فایل های آلوده را درمان می کنند و صحت درمان ویروس را کنترل می کنند و در صورت غیرممکن بودن درمان ویروس ها، قطعا حذف ویروس ها (فایل های آلوده) را توصیه می کنند.
عمیق ترین لایه دفاعی ابزار کنترل دسترسی است. آنها اجازه نمی دهند ویروس ها و برنامه های بد رفتار، حتی اگر وارد رایانه شده باشند، داده های مهم را خراب کنند.
و در نهایت، در "ذخیره استراتژیک" نسخه های آرشیوی اطلاعات و دیسکت های "مرجع" با محصولات نرم افزاری وجود دارد. آنها به شما امکان می دهند در صورت آسیب دیدن اطلاعات روی هارد دیسک، اطلاعات را بازیابی کنید.

برنامه ها - آشکارسازها و پزشکان

در بیشتر موارد، برای شناسایی ویروسی که رایانه را آلوده کرده است، می توانید برنامه های آشکارساز از قبل توسعه یافته را پیدا کنید. این برنامه ها بررسی می کنند که آیا فایل های موجود در درایو مشخص شده توسط کاربر حاوی ترکیبی از بایت های خاص یک ویروس خاص هستند یا خیر. هنگامی که در هر فایلی یافت می شود، پیام مربوطه روی صفحه نمایش داده می شود. بسیاری از آشکارسازها دارای حالت درمان ویروس یا حذف ویروس هستند.
لازم به ذکر است که برنامه آشکارساز تنها می تواند ویروس هایی را شناسایی کند که برای خود شناخته شده هستند (یعنی در پایگاه داده آنتی ویروس این برنامه گنجانده شده اند).
یکی از این برنامه ها KIS Kaspersky است.
همه چیز در آن دارای یک رابط کاربری راحت و قابل درک است. این برنامه برای سیستم عامل ویندوز XP و ویندوز ویستا طراحی شده است که به آن اجازه می دهد تا به صورت موازی با سایر برنامه ها کار کند. آزمایشگاه کسپرسکی رهبر روسیه در توسعه سیستم های امنیتی ضد ویروس است.
AVAST نیز وجود دارد.
اینها مدافعان رایانه شما هستند که در کار ثابت شده اند - درمان اکثر ویروس ها و حذف ویروس ها در صورت تهدید جدی یا غیرقابل درمان آنها.
اکثر برنامه های آشکارساز دارای عملکرد "دکتر" هستند، به عنوان مثال. آنها سعی می کنند فایل ها و مناطق دیسک آلوده را به حالت اولیه خود - برای درمان ویروس ها - برگردانند. آن دسته از فایل هایی که قابل درمان نیستند معمولاً غیرقابل اجرا یا حذف می شوند.

پیشگیری از عفونت با ویروس

بیایید به اقداماتی نگاه کنیم که می تواند احتمال آلوده شدن رایانه به ویروس را کاهش دهد و همچنین در صورت وقوع، آسیب ناشی از عفونت ویروسی را به حداقل برساند.
1. خوب است که نسخه های آرشیوی و مرجع نرم افزار و بسته های داده مورد استفاده را داشته باشید و در صورت لزوم آن را به روز کنید. قبل از بایگانی داده ها، توصیه می شود آنها را از نظر وجود ویروس بررسی کنید.
2. همچنین توصیه می شود که اطلاعات سرویس دیسک خود (FAT، بخش های بوت) و CMOS (حافظه غیر فرار کامپیوتر) را روی فلاپی دیسک کپی کنید. کپی و بازیابی چنین اطلاعاتی را می توان با استفاده از برنامه Norton Utilities Rescue انجام داد.
3. باید محافظت از نوشتن را روی دیسکت های آرشیو تنظیم کنید.
4. نباید درگیر کپی بدون مجوز و غیرقانونی نرم افزار از رایانه های دیگر شوید. ممکن است ویروس داشته باشند.
5. تمام داده هایی که از خارج می آیند باید برای ویروس ها بررسی شوند، به خصوص فایل های "دانلود شده" از اینترنت.
6. تهیه بسته بازیابی از قبل روی دیسکت های دارای حفاظت نوشتن ضروری است.
7. برای مدت زمان کار معمولی، که مربوط به بازیابی رایانه نیست، ارزش آن را دارد که بوت شدن از فلاپی دیسک را غیرفعال کنید. این از عفونت بوت ویروس جلوگیری می کند.
8. از برنامه ها - فیلترهایی برای تشخیص زودهنگام ویروس ها استفاده کنید.
9. به طور دوره ای دیسک را با برنامه ها - آشکارسازها یا پزشکان - آشکارسازها یا ممیزی ها برای تشخیص خرابی های احتمالی در دفاع بررسی کنید.
10. پایگاه داده برنامه های ضد ویروس را به روز کنید.
11. کاربران مشکوک را از رایانه خود دور نگه دارید.

نتیجه

در پایان، من می خواهم در مورد مبارزه بیش از حد غیرتمندانه با ویروس های رایانه ای هشدار دهم. انجام هر روز یک اسکن کامل ویروس از هارد دیسک شما نیز گام درخشانی برای جلوگیری از عفونت نیست. من تنها راه متمدن برای محافظت در برابر ویروس ها را در رعایت اقدامات پیشگیرانه هنگام کار با رایانه می بینم. و همچنین برای مقابله با ویروس رایانه ای باید به کمک متخصصان متوسل شوید. علاوه بر این، حتی اگر ویروس همچنان به رایانه نفوذ کند، این دلیلی برای وحشت نیست.
اغلب مشکل اصلی اینترنت ویروس ها و هکرها نیست، بلکه پدیده ای رایج مانند بی سوادی رایانه است. با استفاده از قیاس کسپرسکی، ناآگاهی از قوانین جاده. افرادی که اخیراً نحوه دریافت و ارسال نامه را آموخته اند، ویروس های رایانه ای را شیطانی می کنند و تقریباً آنها را به عنوان کرم های سیاه نامرئی تصور می کنند که در طول سیم ها می خزند. در اینجا چند قانون ساده وجود دارد که با رعایت آنها می توانید سعی کنید از عفونت با ویروس ها جلوگیری کنید. اول: آنها از ویروس های رایانه ای نمی ترسند، همه آنها درمان می شوند. دوم، Microsoft Outlook را طوری تنظیم کنید که در منطقه سایت های محدود کار کند، که از اجرای خودکار برنامه های خاص جلوگیری می کند - اصل اساسی انتشار ویروس کامپیوتری. سوم، ایمیل های دریافت کنندگان مشکوک را باز نکنید. چهارم: از یک آنتی ویروس جدید و مهمتر از آن LICENSE استفاده کنید.

پس از اجرای یک برنامه حاوی ویروس، امکان آلوده کردن سایر فایل ها وجود دارد. بیشتر اوقات، بخش بوت دیسک و فایل های اجرایی با پسوندهای EXE، COM، SYS یا BAT به ویروس آلوده می شوند. فایل های متنی و گرافیکی به ندرت آلوده می شوند.

برنامه آلوده برنامه ای است که حاوی یک برنامه ویروسی است که در آن تعبیه شده است.

علائم تظاهرات ویروس ها

هنگامی که رایانه ای به ویروس آلوده می شود، تشخیص به موقع آن بسیار مهم است. برای انجام این کار، باید در مورد علائم اصلی تظاهرات ویروس ها بدانید. این موارد شامل موارد زیر است:

خاتمه کار یا عملکرد نادرست برنامه هایی که قبلاً با موفقیت کار می کردند.

عملکرد آهسته کامپیوتر؛

عدم توانایی در بوت کردن سیستم عامل؛

ناپدید شدن فایل ها و دایرکتوری ها یا تحریف محتوای آنها.

تغییر تاریخ و زمان تغییر فایل؛

تغییر اندازه فایل ها؛

افزایش قابل توجه غیرمنتظره تعداد فایل های روی دیسک؛

کاهش قابل توجه در اندازه RAM رایگان؛

نمایش پیام ها یا تصاویر غیرمنتظره بر روی صفحه نمایش؛

دادن سیگنال های صوتی پیش بینی نشده؛

یخ زدن و از کار افتادن مکرر کامپیوتر.

لازم به ذکر است که پدیده های فوق لزوماً به دلیل وجود ویروس ایجاد نمی شوند، بلکه ممکن است به دلایل دیگر ایجاد شوند. بنابراین، تشخیص درست وضعیت رایانه همیشه دشوار است.

انواع اصلی ویروس ها

در حال حاضر، بیش از 15000 ویروس نرم افزاری شناخته شده است که می توان آنها را بر اساس ویژگی های زیر طبقه بندی کرد (شکل 11.10):

بر اساس زیستگاه؛

با توجه به روش عفونت؛

با توجه به میزان تاثیر؛

با توجه به ویژگی های الگوریتم.

بسته به زیستگاهویروس ها را می توان جدا کرد

در شبکه،

فایل،

چکمه

بوت فایل.

ویروس های شبکه در شبکه های مختلف کامپیوتری پخش می شوند.

· ویروس های فایل عمدتاً به ماژول های اجرایی وارد می شوند. به فایل هایی با پسوند COM و EXE. ویروس‌های فایل می‌توانند انواع دیگر فایل‌ها را نیز آلوده کنند، اما به عنوان یک قاعده، آنها در چنین فایل‌هایی نوشته می‌شوند، هرگز کنترل نمی‌شوند و بنابراین، توانایی تولید مثل را از دست می‌دهند.

· ویروس های بوت، بخش بوت دیسک (بخش بوت) یا بخش حاوی برنامه بوت دیسک سیستم (Master Boot Record) را آلوده می کنند.

· ویروس های بوت فایل هم فایل ها و هم بخش های بوت دیسک را آلوده می کنند.

با توجه به نحوه عفونتویروس ها به دو دسته تقسیم می شوند

مسکونی

غیر ساکن.

· هنگامی که یک ویروس مقیم کامپیوتری را آلوده می کند (عفونت می کند)، قسمت مقیم آن را در RAM رها می کند، که سپس دسترسی سیستم عامل به اشیاء آلوده (فایل ها، بخش های بوت دیسک و غیره) را قطع کرده و به آنها نفوذ می کند. ویروس های مقیم در حافظه باقی می مانند و تا زمانی که کامپیوتر خاموش یا راه اندازی مجدد نشود فعال باقی می مانند.

· پروس های غیر مقیم حافظه کامپیوتر را آلوده نمی کنند و برای مدت محدودی فعال هستند.

با توجه به میزان تاثیر، ویروس ها را می توان به انواع زیر تقسیم کرد:

غیر خطرناکعدم تداخل در عملکرد رایانه، اما با کاهش مقدار RAM و فضای دیسک آزاد، اقدامات چنین ویروس هایی در هر گونه جلوه های گرافیکی یا صوتی آشکار می شود.

ویروس های خطرناک، که می تواند منجر به خرابی های مختلف در رایانه شود.

بسیار خطرناک، که تأثیر آن می تواند منجر به از بین رفتن برنامه ها ، از بین رفتن داده ها ، پاک شدن اطلاعات در مناطق سیستمی دیسک شود.

با توجه به ویژگی های الگوریتم دسته بندی ویروس ها به دلیل تنوع زیاد آنها دشوار است.

قابل ذکر است تکثیر ویروس هایی به نام کرم، که در شبکه های کامپیوتری توزیع می شوند، آدرس رایانه های شبکه را محاسبه کرده و کپی آنها را در این آدرس ها می نویسند.

شناخته شده ویروس های نامرئی به نام ویروس های مرحله ایشناسایی و خنثی کردن آن‌ها بسیار دشوار است، زیرا آنها تماس‌های سیستم‌عامل را به فایل‌ها و بخش‌های دیسک آسیب‌دیده رهگیری می‌کنند و به جای بدنه آن‌ها، قسمت‌های غیر آلوده دیسک را جایگزین می‌کنند.

تشخیص سخت ترین ویروس های جهش یافته، حاوی الگوریتم های رمزگذاری-رمزگشایی است که به لطف آن کپی های همان ویروس یک زنجیره بایت تکرار شونده ندارند.

همچنین به اصطلاح وجود دارد برنامه های شبه ویروس یا "تروجان".، که اگرچه قادر به انتشار خود نیستند، اما بسیار خطرناک هستند، زیرا به عنوان یک برنامه مفید، بخش بوت و سیستم فایل دیسک را از بین می برند.

برنامه های شناسایی و محافظت از ویروس

ویژگی های برنامه های آنتی ویروس

برای شناسایی، حذف و محافظت در برابر ویروس های رایانه ای، انواع مختلفی از برنامه های ویژه ایجاد شده است که به شما امکان می دهد ویروس ها را شناسایی و از بین ببرید. به چنین برنامه هایی آنتی ویروس می گویند.

انواع برنامه های آنتی ویروس زیر وجود دارد:

برنامه ها - آشکارسازها;

برنامه ها - پزشکان یا فاژها؛

برنامه ها - حسابرسان;

فیلتر کردن برنامه ها

برنامه های واکسن یا ایمن سازها

برنامه ها - آشکارسازهاجستجوی دنباله ای از بایت های مشخصه یک ویروس خاص (امضای ویروس) را در RAM و در فایل ها انجام دهید و در صورت شناسایی، پیام مربوطه را صادر کنید. عیب چنین برنامه های ضد ویروسی این است که فقط می توانند ویروس هایی را پیدا کنند که برای توسعه دهندگان چنین برنامه هایی شناخته شده است.

برنامه های دکتر یا فاژها -طراحی شده برای درمان دیسک ها و برنامه های آلوده. درمان برنامه شامل حذف بدن ویروس از برنامه آلوده است. Polyphage قادر است بسیاری از ویروس ها را از بین ببرد. معروف ترین آنها Aidstest، Norton AntiVirus و Doctor Web هستند.

برنامه های حسابرس: طراحی شده برای تشخیص آلودگی ویروسی فایل ها و همچنین یافتن فایل های خراب. این برنامه ها داده های مربوط به وضعیت برنامه و مناطق سیستم دیسک ها را در حالت عادی (قبل از آلودگی) به خاطر می آورند و این داده ها را در حین کار با کامپیوتر مقایسه می کنند. اگر داده ها مطابقت نداشته باشند، پیامی در مورد احتمال عفونت نمایش داده می شود.

فیلتر برنامه ها یا ذخیره سازیطراحی شده برای رهگیری تماس های سیستم عامل، که توسط ویروس ها برای تولید مثل استفاده می شود و کاربر را در مورد آن آگاه می کند. کاربر می تواند عملیات مربوطه را فعال یا غیرفعال کند. چنین برنامه هایی مقیم هستند، یعنی در رم کامپیوتر قرار دارند.

برنامه های واکسن: برای پردازش فایل ها و بخش های بوت به منظور جلوگیری از آلودگی توسط ویروس های شناخته شده استفاده می شود (این روش اخیراً بیشتر و بیشتر استفاده می شود).

واکسن یا ایمن سازبرنامه های مقیمی هستند که از عفونت فایل ها جلوگیری می کنند. در صورتی که هیچ برنامه پزشکی برای "درمان" این ویروس وجود نداشته باشد، از واکسن ها استفاده می شود. واکسیناسیون فقط در برابر ویروس های شناخته شده امکان پذیر است. واکسن برنامه یا دیسک را به گونه ای تغییر می دهد که روی کار آنها تأثیری نداشته باشد و ویروس آنها را آلوده تشخیص دهد و بنابراین ریشه نمی دهد. برنامه های واکسن در حال حاضر کاربرد محدودی دارند.

لازم به ذکر است که انتخاب یک آنتی ویروس "بهترین" تصمیم بسیار اشتباهی است. توصیه می شود از چندین بسته آنتی ویروس مختلف به طور همزمان استفاده کنید. هنگام انتخاب یک برنامه آنتی ویروس، باید به پارامتری مانند تعداد امضاهای شناسایی (توالی از کاراکترهایی که تضمین می شود ویروس را تشخیص دهند) توجه کنید. پارامتر دوم وجود یک تحلیلگر اکتشافی ویروس های ناشناخته است، وجود آن بسیار مفید است، اما به طور قابل توجهی سرعت برنامه را کاهش می دهد. تا به امروز، تعداد زیادی برنامه ضد ویروس مختلف وجود دارد.

یکی از بهترین آنتی ویروس ها با الگوریتم تشخیص ویروس قدرتمند. Polyphage که قادر به اسکن فایل‌ها در آرشیو، اسناد Word و کتاب‌های اکسل است، ویروس‌های چند شکلی را که اخیراً گسترش یافته‌اند، شناسایی می‌کند. کافی است بگوییم که DrWeb بود که همه گیری ویروس بسیار خطرناک OneHalf را متوقف کرد. تحلیلگر اکتشافی DrWeb که برنامه ها را برای وجود قطعات کد مشخصه ویروس ها بررسی می کند، به شما امکان می دهد تقریباً 90٪ از ویروس های ناشناخته را پیدا کنید. هنگام بارگذاری یک برنامه، اول از همه DrWeb خود را از نظر یکپارچگی بررسی می کند، پس از آن رم را آزمایش می کند. این برنامه می تواند در حالت تعاملی کار کند، دارای یک رابط کاربری مناسب قابل تنظیم است.

بازرس دیسک ضد ویروس ADINF (Advanced DiskINFoscope) به شما این امکان را می دهد که هم ویروس های معمولی، مخفی کاری و چند شکلی موجود و همچنین ویروس های کاملا جدید را پیدا کرده و از بین ببرید. این آنتی ویروس یک واحد درمان از حسابرس ADINF - Adinf Cure Module - در اختیار دارد که می تواند تا 97٪ از همه ویروس ها را خنثی کند. این رقم توسط Dialognauka بر اساس نتایج آزمایشی که روی مجموعه ویروس‌های دو مرجع شناخته شده در این زمینه - D.N. Lozinsky و دکتر Solomon's (بریتانیا) انجام شده است، ارائه شده است.

ADINF هنگامی که رایانه روشن است به طور خودکار بارگیری می شود و بخش بوت و فایل های روی دیسک را کنترل می کند (تاریخ و زمان ایجاد، طول، جمع کنترل)، پیام هایی را در مورد تغییرات آنها نمایش می دهد. با توجه به اینکه ADINF عملیات دیسک را با دور زدن سیستم عامل انجام می دهد، با اشاره به عملکردهای BIOS، نه تنها توانایی شناسایی ویروس های مخفی فعال، بلکه سرعت بالایی در اسکن دیسک نیز به دست می آید. اگر یک ویروس بوت یافت شود، ADINF به سادگی بخش بوت قبلی را که در جدول آن ذخیره شده است، بازیابی می کند. اگر ویروس یک فایل باشد، Adinf Cure Module به کمک می آید، که بر اساس گزارش ماژول اصلی در مورد فایل های آلوده، پارامترهای فایل جدید را با موارد قبلی ذخیره شده در جداول ویژه مقایسه می کند. هنگامی که ناهماهنگی ها شناسایی می شوند، ADINF وضعیت قبلی فایل را بازیابی می کند و مانند پلی فاژها، بدنه ویروس را از بین نمی برد.

آنتی ویروس AVP (برنامه آنتی ویروس) یک پلی فاژ است که در حین کار خود رم، فایل ها از جمله فایل های بایگانی را روی دیسک های فلاپی، محلی، شبکه و CD-ROM و همچنین ساختارهای داده سیستم مانند بخش بوت، جدول پارتیشن بررسی می کند. ، و غیره این برنامه دارای یک تحلیلگر اکتشافی است که به گفته توسعه دهندگان آنتی ویروس قادر است تقریباً 80٪ از همه ویروس ها را پیدا کند. AVP یک برنامه 32 بیتی برای سیستم عامل های ویندوز 98، NT و 2000 است، دارای یک رابط کاربر پسند و یکی از بزرگترین پایگاه داده ضد ویروس در جهان است. پایگاه داده های آنتی ویروس برای AVP تقریباً یک بار در هفته به روز می شوند و می توان آنها را از اینترنت دریافت کرد. این برنامه طیف گسترده ای از ویروس ها را جستجو و حذف می کند، از جمله:

ویروس های چند شکلی یا خود رمزگذاری شونده؛
ویروس های پنهان یا ویروس های نامرئی؛
ویروس های جدید برای ویندوز؛
ویروس های ماکرو که اسناد Word و صفحات گسترده اکسل را آلوده می کنند.

علاوه بر این، برنامه AVP عملیات فایل را در سیستم در پس‌زمینه نظارت می‌کند، یک ویروس را قبل از اینکه سیستم واقعا آلوده شود شناسایی می‌کند و همچنین ویروس‌های ناشناخته را با استفاده از یک ماژول اکتشافی شناسایی می‌کند.

ویروس های کامپیوتری

ویروس های فایل

یک ویروس می تواند سه نوع فایل را آلوده کند:

تیم (BAT)؛

درایورهای قابل بارگیری (IO.SYS، MSDOS.SYS، و غیره)؛

باینری های اجرایی (EXE, COM).

امکان وارد کردن ویروس به فایل های داده وجود دارد، اما این موارد یا در نتیجه یک خطای ویروس رخ می دهد یا زمانی که ویروس ویژگی های تهاجمی خود را نشان می دهد.

یک ویروس به یک فایل SYS به روش زیر تزریق می شود: ویروس ها خود را به یک فایل SYS تزریق می کنند، کدهای خود را به "بدنه" فایل اختصاص می دهند و آدرس های برنامه های Strategy و Interrupt درایور آلوده کننده را تغییر می دهند (ویروس هایی وجود دارد. که آدرس تنها یکی از برنامه ها را تغییر می دهد). هنگامی که یک درایور آلوده اولیه می شود، ویروس درخواست مربوطه را از سیستم عامل رهگیری می کند، آن را به درایور ارسال می کند، منتظر پاسخ می ماند، آن را تصحیح می کند و همراه با درایور در همان بلوک حافظه در RAM باقی می ماند. چنین ویروسی می تواند بسیار خطرناک و سرسخت باشد، زیرا در هنگام بارگیری DOS قبل از هر برنامه ضد ویروسی به داخل RAM نفوذ می کند، البته اگر درایور نیز باشد.

فایل درایور آلوده:

همچنین ممکن است یک درایور سیستم را به روش دیگری آلوده کنید، زمانی که یک ویروس هدر خود را تغییر می دهد تا DOS فایل آلوده را به عنوان زنجیره ای از دو (یا چند) فایل در نظر بگیرد.

فایل درایور آلوده:

ویروس به روش زیر به فایل‌های COM و EXE تزریق می‌شود: فایل‌های باینری اجرایی دارای فرمت‌های COM یا EXE هستند، در هدر و نحوه راه‌اندازی برنامه‌ها برای اجرا متفاوت هستند. پسوند نام فایل (COM یا EXE) همیشه با فرمت فایل واقعی مطابقت ندارد، که به هیچ وجه بر عملکرد برنامه تأثیر نمی گذارد. فایل های COM یا EXE به روش های مختلفی آلوده می شوند، بنابراین، ویروس باید فایل های یک فرمت را از دیگری تشخیص دهد.

ویروس ها این مشکل را از دو طریق حل می کنند: برخی پسوند نام فایل را تجزیه می کنند، برخی دیگر هدر فایل را تجزیه می کنند. روش اول عفونت نامیده می شود.فایل های COM- (EXE-)، راه دوم آلودگی: فایل های COM- (EXE-). در بیشتر موارد، یک ویروس یک فایل را به درستی آلوده می کند، یعنی با استفاده از اطلاعات موجود در بدنه آن، می توانید فایل آلوده را به طور کامل بازیابی کنید. اما ویروس ها، مانند بسیاری از برنامه ها، اغلب حاوی خطاهایی هستند که در نگاه اول نامحسوس هستند. به همین دلیل، حتی یک ویروس که به خوبی نوشته شده باشد، در صورت آسیب دیدن فایل، می تواند به طور غیر قابل برگشتی به فایل آسیب برساند. به عنوان مثال، ویروس هایی که بین انواع فایل ها با پسوند نام (.COM-، .EXE-) تمایز قائل می شوند بسیار خطرناک هستند، زیرا فایل هایی را که پسوند نام آنها با فرمت داخلی مطابقت ندارد خراب می کنند.

هنگام انتشار، ویروس های فایل به بدنه فایل آلوده وارد می شوند: ابتدا، انتهای یا وسط. چندین امکان برای وارد کردن ویروس در وسط یک فایل وجود دارد: می توان آن را در جدول تنظیمات آدرس یک فایل EXE ("Boot - Exe")، منطقه پشته فایل COMMAND.COM ("Lehigh") کپی کرد. ")، می تواند فایل را گسترش دهد یا بخشی از فایل را در انتهای آن بازنویسی کند، و کدهای آنها را در فضای آزاد شده ("Apri l - 1- Exe"، "Phoenix") و غیره بازنویسی کند. علاوه بر این، ویروس را در فضای آزاد کپی کنید. وسط فایل ممکن است در نتیجه یک خطای ویروس رخ دهد. در این صورت ممکن است فایل به طور غیر قابل برگشتی خراب شود. روش های دیگری نیز برای تزریق ویروس به وسط فایل وجود دارد، به عنوان مثال، ویروس "Mutant" از روش فشرده سازی برخی از بخش های فایل استفاده می کند.

معرفی یک ویروس به ابتدای یک فایل می تواند به سه صورت اتفاق بیفتد. راه اول این است که ویروس ابتدا فایل آلوده را تا انتهای آن بازنویسی می کند و خود را در فضای آزاد شده کپی می کند. هنگامی که یک فایل را به روش دوم آلوده می کند، ویروس یک کپی از خود در RAM ایجاد می کند، فایل آلوده را به آن اضافه می کند و الحاق حاصل را روی دیسک ذخیره می کند. با آلوده شدن به روش سوم، ویروس بدون اینکه محتویات قدیمی ابتدای فایل را ذخیره کند، کدهای خود را در ابتدای فایل می نویسد، طبیعتاً فایل از کار می افتد و قابل بازیابی نیست.

تزریق ویروس به ابتدای فایل در اکثر موارد زمانی که فایل های COM آلوده می شوند استفاده می شود. فایل های EXE یا در نتیجه خطای ویروس یا هنگام استفاده از الگوریتم ویروس «پاسکال» با این روش آلوده می شوند.

معرفی ویروس به انتهای فایل رایج ترین روش عفونت است. در این حالت، ویروس شروع فایل را به گونه ای تغییر می دهد که اولین دستورات اجرایی برنامه موجود در فایل، دستورات ویروس باشد. در یک فایل COM، این امر با تغییر سه (یا بیشتر) بایت اول آن به کدهای دستور JMP Loc_Virus (یا به طور کلی به کدهای برنامه ای که کنترل را به بدنه ویروس منتقل می کند) به دست می آید. فایل EXE یا به فرمت فایل COM تبدیل می شود و سپس به عنوان آخرین فایل آلوده می شود یا هدر فایل (طول، آدرس های شروع) اصلاح می شود.

ما روش استاندارد عفونت را روشی می نامیم که در آن ویروس به انتهای فایل اضافه می شود و اولین بایت های فایل COM و چندین فیلد هدر فایل EXE را تغییر می دهد.

ویروس پس از انتقال کنترل به آن، طبق الگوریتم زیر عمل می کند:

برنامه (اما نه فایل) را به شکل اصلی آن بازیابی می کند.

اگر ویروس مقیم باشد، رم را برای وجود کپی آن بررسی می کند و در صورت پیدا نشدن نسخه، حافظه کامپیوتر را آلوده می کند. اگر ویروس مقیم نباشد، فایل‌های آلوده نشده را در دایرکتوری‌های فعلی و ریشه، در دایرکتوری‌های مشخص‌شده در دستور PATH جستجو می‌کند، درخت دایرکتوری درایوهای منطقی را اسکن می‌کند و سپس فایل‌های شناسایی شده را آلوده می‌کند.

در صورت وجود، عملکردهای اضافی را انجام می دهد: اقدامات مخرب، جلوه های گرافیکی یا صوتی.

کنترل را به برنامه اصلی برمی گرداند.

بوت کردن ویروس ها

ویروس های بوت بخش بوت فلاپی دیسک و بخش بوت یا Master Boot Record یک هارد دیسک را آلوده می کنند. هنگامی که یک دیسک آلوده می شود، ویروس در بیشتر موارد بخش بوت اصلی را به بخش دیگری از دیسک منتقل می کند. اگر طول ویروس بیشتر از طول سکتور باشد، قسمت اول ویروس به بخش آلوده منتقل می شود و بقیه در بخش های دیگر قرار می گیرند. سپس ویروس اطلاعات سیستم ذخیره شده در بوت لودر اصلی را کپی می کند و آنها را در بخش بوت می نویسد (برای MBR این اطلاعات جدول پارتیشن دیسک است و برای بخش بوت فلاپی دیسک ها بلوک پارامتر BIOS است).

الگوریتم ویروس بوت

تزریق به حافظه هنگام بوت شدن از یک دیسک آلوده انجام می شود. در این حالت، لودر سیستم محتویات اولین بخش از دیسکی که بوت از آن انجام می شود را می خواند، اطلاعات خوانده شده را در حافظه قرار می دهد و کنترل را به آن (یعنی ویروس) منتقل می کند. پس از آن، دستورالعمل های ویروس شروع به اجرا می کند، که باعث کاهش مقدار حافظه آزاد می شود. ادامه آن را از روی دیسک می خواند. خود را به ناحیه دیگری از حافظه منتقل می کند. بردارهای وقفه لازم را تنظیم می کند. اقدامات اضافی را انجام می دهد؛ بخش اصلی Boot را در حافظه کپی می کند و کنترل را به آن منتقل می کند.

متعاقباً، ویروس بوت مانند ویروس فایل مقیم عمل می کند: دسترسی سیستم عامل به دیسک ها را قطع می کند و آنها را راه اندازی می کند و بسته به شرایط خاص، اقدامات مخرب انجام می دهد یا باعث ایجاد جلوه های صوتی یا تصویری می شود.

ویژگی های ویروس های کامپیوتری

ماهیت و تجلی ویروس های رایانه ای

متأسفانه، استفاده انبوه از رایانه های شخصی با ظهور برنامه های ویروسی خودبازتولید کننده همراه بود که از عملکرد عادی رایانه جلوگیری می کند، ساختار فایل دیسک ها را از بین می برد و به اطلاعات ذخیره شده در رایانه آسیب می رساند. یک ویروس کامپیوتری پس از نفوذ به یک رایانه، می تواند به رایانه های دیگر سرایت کند. ویروس کامپیوترییک برنامه نوشته شده مخصوص است که می تواند به طور خود به خود به برنامه های دیگر متصل شود، از خود کپی ایجاد کند و آنها را در فایل ها، مناطق سیستم کامپیوتری و شبکه های کامپیوتری جاسازی کند تا برنامه ها را مختل کند، فایل ها و دایرکتوری ها را خراب کند و انواع تداخل را در کار بر روی یک دستگاه ایجاد کند. دلایل پیدایش و انتشار ویروس‌های رایانه‌ای از یک سو در روان‌شناسی شخصیت انسان و جنبه‌های سایه آن (حسادت، انتقام، غرور خالقان ناشناخته، ناتوانی در به کارگیری سازنده توانایی‌های آن‌ها) پنهان است. از سوی دیگر به دلیل عدم حفاظت سخت افزاری و مقابله با سیستم عامل رایانه شخصی. علیرغم قوانینی که در بسیاری از کشورها برای مبارزه با جرائم رایانه ای و توسعه نرم افزارهای ویژه برای محافظت در برابر ویروس ها اتخاذ شده است، تعداد نرم افزارهای جدید نیز افزایش یافته است. ویروس ها دائما در حال رشد هستند. این امر مستلزم آن است که کاربر رایانه شخصی در مورد ماهیت ویروس ها، نحوه آلوده کردن ویروس ها و محافظت در برابر آنها بداند.راه های اصلی ورود ویروس ها به رایانه، دیسک های قابل جابجایی (فلاپی و لیزری) و همچنین شبکه های رایانه ای است. زمانی که کامپیوتر از فلاپی دیسک حاوی ویروس بوت می شود، عفونت هارد دیسک با ویروس ها ممکن است رخ دهد. چنین عفونتی همچنین می تواند تصادفی باشد، برای مثال، اگر فلاپی دیسک از درایو A: حذف نشود و رایانه مجددا راه اندازی شود، در حالی که فلاپی دیسک ممکن است یک دیسک سیستم نباشد. آلوده کردن فلاپی دیسک بسیار ساده تر است. حتی اگر فلاپی دیسک به سادگی در درایو دیسک رایانه آلوده وارد شود و برای مثال فهرست محتویات آن خوانده شود، ویروس می تواند به آن نفوذ کند. دیسک آلوده- این دیسکی است که در بخش بوت که برنامه ویروس در آن قرار دارد، پس از راه اندازی برنامه حاوی ویروس، امکان آلوده کردن سایر فایل ها وجود دارد. بیشتر اوقات، بخش بوت دیسک و فایل های اجرایی با پسوندهای EXE، COM، SYS یا BAT به ویروس آلوده می شوند. فایل های متنی و گرافیکی به ندرت آلوده می شوند. برنامه آلودهبرنامه ای است که حاوی یک برنامه ویروسی است که در آن تعبیه شده است.وقتی کامپیوتری به ویروس آلوده می شود، تشخیص به موقع آن بسیار مهم است. برای انجام این کار، باید در مورد علائم اصلی تظاهرات ویروس ها بدانید. این موارد شامل موارد زیر است:

خاتمه کار یا عملکرد نادرست برنامه هایی که قبلاً با موفقیت کار می کردند.

عملکرد کند کامپیوتر

عدم توانایی در بوت کردن سیستم عامل؛

ناپدید شدن فایل ها و دایرکتوری ها یا تحریف محتوای آنها.

تغییر تاریخ و زمان تغییر فایل؛

تغییر اندازه فایل ها؛

افزایش قابل توجه غیرمنتظره تعداد فایل های روی دیسک؛

کاهش قابل توجه در اندازه RAM رایگان؛

نمایش پیام ها یا تصاویر ناخواسته بر روی صفحه نمایش؛

دادن سیگنال های صوتی پیش بینی نشده؛

فریز مکرر و خرابی کامپیوتر

لازم به ذکر است که پدیده های فوق لزوماً به دلیل وجود ویروس ایجاد نمی شوند، بلکه ممکن است به دلایل دیگر ایجاد شوند. بنابراین، تشخیص درست وضعیت رایانه همیشه دشوار است. انواع اصلی ویروس ها در حال حاضر بیش از 5000 نرم افزار وجود دارد ویروس ها،آنها را می توان بر اساس ویژگی های زیر طبقه بندی کرد (شکل 11.10): 11.10. طبقه بندی ویروس های کامپیوتری: الف - بر اساس زیستگاه. ب - با توجه به روش عفونت؛ ج - با توجه به درجه تأثیر; د - با توجه به ویژگی های الگوریتم ها بسته به از زیستگاهویروس ها را می توان به شبکه، فایل، بوت و فایل بوت تقسیم کرد. ویروس های شبکهدر شبکه های مختلف کامپیوتری توزیع شده است. ویروس های فایلعمدتاً در ماژول های اجرایی پیاده سازی می شوند. به فایل هایی با پسوند COM و EXE. ویروس‌های فایل می‌توانند انواع دیگر فایل‌ها را نیز آلوده کنند، اما به عنوان یک قاعده، آنها در چنین فایل‌هایی نوشته می‌شوند، هرگز کنترل نمی‌شوند و بنابراین، توانایی تولید مثل را از دست می‌دهند. بوت کردن ویروس هادر بخش راه‌اندازی دیسک (بخش راه‌اندازی) یا در بخش حاوی برنامه راه‌اندازی دیسک سیستم (Master Boot Record) تعبیه شده‌اند. ویروس های بوت فایلهم فایل ها و هم بخش های بوت دیسک ها را آلوده می کند. توسط روش عفونتویروس ها به دو دسته مقیم و غیر مقیم تقسیم می شوند. ویروس مقیمهنگام آلوده کردن (عفونت کردن) یک کامپیوتر، قسمت مقیم خود را در RAM رها می کند، که سپس دسترسی سیستم عامل به اشیاء آلوده (فایل ها، بخش های بوت دیسک و غیره) را قطع می کند و به آنها نفوذ می کند. ویروس های مقیم در حافظه باقی می مانند و تا زمانی که کامپیوتر خاموش یا راه اندازی مجدد نشود فعال باقی می مانند. ویروس های غیر مقیمحافظه کامپیوتر را آلوده نمی کند و برای مدت محدودی فعال هستند. درجه تاثیرویروس ها را می توان به انواع زیر تقسیم کرد:

غیر خطرناک, عدم تداخل در عملکرد رایانه، اما با کاهش مقدار RAM و فضای دیسک آزاد، اقدامات چنین ویروس هایی در هر گونه جلوه های گرافیکی یا صوتی آشکار می شود.

خطرناکویروس هایی که می توانند منجر به نقص های مختلف رایانه شوند.

بسیار خطرناککه تأثیر آن می تواند منجر به از بین رفتن برنامه ها، تخریب داده ها، پاک شدن اطلاعات در مناطق سیستم دیسک شود.

توسط ویژگی های الگوریتمدسته بندی ویروس ها به دلیل تنوع زیاد آنها دشوار است. ساده ترین ویروس ها انگلی, آنها محتویات فایل ها و بخش های دیسک را تغییر می دهند و می توانند به راحتی شناسایی و از بین بروند. می توانید توجه داشته باشید ویروس های تکثیر کننده, به نام کرم‌هایی که در شبکه‌های کامپیوتری پخش می‌شوند، آدرس رایانه‌های شبکه را محاسبه کرده و کپی‌های آن‌ها را در این آدرس‌ها می‌نویسند. شناخته شده ویروس های نامرئی, تماس گرفت ویروس های مخفی،شناسایی و خنثی کردن آن‌ها بسیار دشوار است، زیرا تماس‌های سیستم‌عامل به فایل‌ها و بخش‌های دیسک آسیب‌دیده را رهگیری می‌کنند و مناطق دیسک آلوده نشده را به جای خود جایگزین می‌کنند. تشخیص ویروس‌های جهش‌یافته که حاوی الگوریتم‌های رمزگذاری-رمزگشایی هستند، بسیار دشوار است، به همین دلیل کپی‌های همان ویروس یک رشته بایت تکرار شونده ندارند. همچنین به اصطلاح شبه ویروسی یا وجود دارد "تروجان" برنامه هایی که اگرچه قادر به انتشار خود نیستند، اما بسیار خطرناک هستند، زیرا در ظاهر به عنوان یک برنامه مفید، بخش بوت و سیستم فایل دیسک را از بین می برند.

برنامه های شناسایی و محافظت از ویروس

ویژگی های برنامه های آنتی ویروسبه منظور شناسایی، حذف و محافظت در برابر ویروس های رایانه ای، انواع مختلفی از برنامه های ویژه ایجاد شده است که به شما امکان می دهد ویروس ها را شناسایی و از بین ببرید. چنین برنامه هایی نامیده می شوند ضد ویروس. انواع زیر از برنامه های ضد ویروس وجود دارد (شکل 11.11): برنامه ها - آشکارسازهاجستجوی دنباله ای از بایت های مشخصه یک ویروس خاص (امضای ویروس) را در رم و فایل ها انجام دهید و در صورت شناسایی، پیام مناسبی را صادر کنید. مضرات چنین ضد ویروسی pro-Fig. 11.11. انواع برنامه های آنتی ویروس

gram این است که آنها فقط می توانند ویروس هایی را پیدا کنند که برای توسعه دهندگان چنین برنامه هایی شناخته شده است. برنامه های دکتریا فاژها،همچنین برنامه های واکسننه تنها فایل های آلوده به ویروس را پیدا کنید، بلکه آنها را نیز "درمان" کنید، یعنی. بدنه برنامه ویروس را از فایل حذف کنید و فایل ها را به حالت اولیه خود بازگردانید. در ابتدای کار، فاژها به دنبال ویروس ها در RAM می گردند، آنها را از بین می برند و تنها پس از آن به "درمان" فایل ها می پردازند. از جمله فاژها هستند پلی فاژها, آن ها برنامه های پزشک که برای یافتن و از بین بردن تعداد زیادی ویروس طراحی شده اند. معروف ترین پلی فاژها برنامه های Aidstest هستند , اسکن, آنتی ویروس نورتونو دکتر وب . با توجه به اینکه ویروس‌های جدید دائماً ظاهر می‌شوند، برنامه‌های تشخیص و برنامه‌های پزشک به سرعت قدیمی می‌شوند و به‌روزرسانی‌های منظم نسخه‌های آنها مورد نیاز است. حسابرسان برنامهیکی از مطمئن ترین ابزارهای محافظت در برابر ویروس ها هستند. ممیزان وضعیت اولیه برنامه ها، دایرکتوری ها و نواحی سیستم دیسک را زمانی که کامپیوتر به ویروس آلوده نمی شود به یاد می آورند و سپس به صورت دوره ای یا بنا به درخواست کاربر، وضعیت فعلی را با حالت اصلی مقایسه می کنند. تغییرات شناسایی شده روی صفحه مانیتور ویدیویی نمایش داده می شود. به عنوان یک قاعده، مقایسه وضعیت بلافاصله پس از بارگیری سیستم عامل انجام می شود. هنگام مقایسه، طول فایل، کد کنترل چرخه ای (جمع چک فایل)، تاریخ و زمان اصلاح و سایر پارامترها بررسی می شود. برنامه های حسابرسی دارای الگوریتم های نسبتاً پیشرفته ای هستند، ویروس های مخفی را شناسایی می کنند و حتی می توانند بین تغییرات نسخه برنامه در حال بررسی و تغییرات ایجاد شده توسط ویروس تمایز قائل شوند. از جمله برنامه‌های حسابرسان، برنامه Adinf است که به طور گسترده در روسیه توسط Dialog-Science استفاده می‌شود. فیلتر کردن برنامه هایا "نگهبان"برنامه‌های مقیم کوچکی هستند که برای شناسایی فعالیت‌های رایانه‌ای مشکوک که مشخصه ویروس‌ها هستند، طراحی شده‌اند. چنین اقداماتی ممکن است:

تلاش برای تصحیح فایل ها با پسوندهای COM و EXE.

تغییر ویژگی های فایل؛

نوشتن مستقیم روی دیسک در یک آدرس مطلق؛

نوشتن در بخش های بوت دیسک

هنگامی که هر برنامه ای سعی می کند اقدامات مشخص شده را انجام دهد، "نگهبان" پیامی را برای کاربر ارسال می کند و پیشنهاد می کند که عمل مربوطه را ممنوع یا مجاز کند. برنامه های فیلتر بسیار مفید هستند، زیرا می توانند ویروس را در اولین مرحله وجودش قبل از تولید مثل شناسایی کنند. با این حال، آنها فایل ها و دیسک ها را "درمان" نمی کنند. برای از بین بردن ویروس ها باید از برنامه های دیگری مانند فاژها استفاده کنید. از مضرات برنامه‌های واچ داگ می‌توان به «آزار» آن‌ها اشاره کرد (مثلاً در مورد هرگونه تلاش برای کپی کردن یک فایل اجرایی هشدار می‌دهند)، و همچنین درگیری‌های احتمالی با نرم‌افزارهای دیگر. نمونه ای از یک برنامه فیلتر، برنامه است v امن،بخشی از بسته ابزار سیستم عامل MS DOS. واکسن هایا ایمن سازهابرنامه های مقیمی هستند که از عفونت فایل ها جلوگیری می کنند. در صورتی که هیچ برنامه پزشکی برای "درمان" این ویروس وجود نداشته باشد، از واکسن ها استفاده می شود. واکسیناسیون فقط در برابر ویروس های شناخته شده امکان پذیر است. واکسن برنامه یا دیسک را به گونه ای تغییر می دهد که روی کار آنها تأثیری نداشته باشد و ویروس آنها را آلوده تشخیص دهد و بنابراین ریشه نمی دهد. در حال حاضر، برنامه‌های واکسن کاربرد محدودی دارند.تشخیص به موقع فایل‌ها و دیسک‌های آلوده به ویروس، و نابودی کامل ویروس‌های شناسایی‌شده در هر رایانه، به جلوگیری از انتشار یک اپیدمی ویروس به رایانه‌های دیگر کمک می‌کند. کیت آنتی ویروس JSC "Dialogue-Science"در میان فراوانی ابزارهای نرم افزاری مدرن برای مبارزه با ویروس های رایانه ای، اولویت باید به کیت ضد ویروس Dialog-Science JSC داده شود که شامل چهار محصول نرم افزاری است: پلیفاژهای Aidstest و Doctor Web (به اختصار Dr.Web)، بازرس دیسک ADinf. و ADinf Cure Module. بیایید به طور خلاصه نحوه و زمان استفاده از این برنامه های آنتی ویروس را بررسی کنیم. برنامه پلی فاژ Aidstest . تست کمک -این برنامه ای است که می تواند بیش از 1300 ویروس رایانه ای را که در روسیه گسترده شده اند شناسایی و نابود کند. نسخه ها ایدز تستبه طور منظم با اطلاعات در مورد ویروس های جدید به روز و به روز می شود. برای تماس ایدز تستدستور:AIDSTEST را وارد کنید []where path - نام دیسک، نام کامل یا مشخصات فایل، ماسک گروه فایل:* - همه پارتیشن‌های دیسک سخت،** - همه دیسک‌ها، از جمله دیسک‌های شبکه و CD ROM؛ گزینه‌ها - هر ترکیبی از کلیدهای زیر: /F - رفع برنامه های آلوده و حذف فایل های خراب؛ /G - تمام فایل ها را در یک ردیف بررسی کنید (نه تنها COM، EXE و SYS)؛ /S - کند کار برای جستجوی ویروس های خراب؛ /X - حذف تمام فایل های دارای نقض در ساختار ویروس؛ /Q - درخواست مجوز برای حذف فایل های خراب؛ /B - پردازش فلاپی دیسک بعدی را پیشنهاد نکنید. مثال 11.27 ایدز تستبرای بررسی و "درمان" دیسک که در: برنامه های آلوده شناسایی شده رفع خواهند شد. همه فایل های دیسک مشمول تایید هستند. اگر فایل قابل تعمیر نباشد، برنامه اجازه می‌خواهد آن را حذف کند: aidstest b: /f/g/q برنامه Doctor Web polyphage. این برنامه در درجه اول برای مبارزه با ویروس های چند شکلی که اخیراً در دنیای کامپیوتر ظاهر شده اند طراحی شده است. استفاده دکتر. وببرای بررسی دیسک ها و حذف ویروس های شناسایی شده به طور کلی، مانند یک برنامه ایدز تستدر این مورد، عملاً هیچ تکراری تأیید وجود ندارد، زیرا ایدز تستو دکتر وبروی مجموعه های مختلف ویروس کار کنید. برنامه دکتر وبمی تواند به طور موثر با ویروس های جهش یافته پیچیده ای که خارج از توان برنامه هستند مقابله کند ایدز تستبر خلاف ایدز تستبرنامه دکتر وبقادر به تشخیص تغییرات در کد برنامه خود، به طور موثر فایل های آلوده به ویروس های ناشناخته جدید، نفوذ به فایل های رمزگذاری شده و بسته بندی شده، و همچنین غلبه بر "پوشش واکسن" است. این به دلیل وجود یک تحلیلگر اکتشافی به اندازه کافی قدرتمند به دست می آید. در حالت تحلیل اکتشافی، برنامه دکتر وبفایل‌ها و نواحی سیستم دیسک‌ها را بررسی می‌کند، سعی می‌کند ویروس‌های جدید یا ناشناخته را با توالی کدهای خاص ویروس شناسایی کند. در صورت یافتن هر یک، هشداری نمایش داده می شود مبنی بر اینکه جسم ممکن است با یک ویروس ناشناخته آلوده شده باشد.سه سطح تحلیل اکتشافی وجود دارد. در حالت تحلیل اکتشافی، مثبت کاذب ممکن است، به عنوان مثال. شناسایی فایل هایی که آلوده نیستند سطح "ابتکار" مستلزم سطحی از تجزیه و تحلیل کد بدون حضور مثبت کاذب است. هر چه سطح "ابتکار" بیشتر باشد، درصد خطاها یا مثبت کاذب بالاتر است. دو سطح اول تجزیه و تحلیل اکتشافی توصیه می شود. سطح سوم تجزیه و تحلیل اکتشافی برای بررسی اضافی فایل ها برای زمان "مشکوک" ایجاد آنها فراهم می کند. برخی از ویروس ها هنگام آلوده کردن فایل ها، زمان ایجاد نادرست را به عنوان نشانه آلوده بودن این فایل ها تعیین می کنند. به عنوان مثال، برای فایل های آلوده، ثانیه ممکن است 62 باشد، و سال ایجاد ممکن است 100 سال افزایش یابد. دکتر وبهمچنین ممکن است شامل فایل های افزودنی به پایگاه داده ویروس اصلی برنامه باشد و قابلیت های آن را گسترش دهد. با برنامه کار کنید دکتر. وبدر دو حالت موجود است:

در حالت رابط تمام صفحه با استفاده از منوها و کادرهای محاوره ای؛

در حالت کنترل خط فرمان

برای یک بار استفاده نامنظم، حالت اول راحت تر است، اما برای استفاده منظم به منظور کنترل سیستماتیک ورودی فلاپی دیسک، بهتر است از حالت دوم استفاده کنید. هنگام استفاده از حالت دوم، دستور اجرا مربوطه دکتر. وبباید یا در منوی کاربر پوسته عملیاتی نورتون فرمانده یا در یک فایل فرمان ویژه گنجانده شود. خط فرمان برای اجرای Dr. وب به این شکل است: DrWeb [درایو: [مسیر] ] [سوئیچ] که درایو:X: - دستگاه دیسک سخت منطقی یا دستگاه دیسک دیسک فیزیکی، به عنوان مثال F: یا A:، * - همه دستگاه های منطقی روی هارد دیسک، مسیر - این مسیر یا ماسک فایل های مورد نیاز است. مهمترین کلیدها عبارتند از: /AL - تشخیص همه فایل ها در دستگاه مشخص شده؛ /CU[P] - "درمان" دیسک ها و فایل ها، حذف ویروس های یافت شده. P - حذف ویروس ها با تایید کاربر؛ /DL - حذف فایل هایی که نمی توانند به درستی ضد عفونی شوند؛ /NA[سطح] - تجزیه و تحلیل اکتشافی فایل ها و جستجوی ویروس های ناشناخته در آنها، که در آن سطح می تواند مقادیر O, 1 را بگیرد. , 2؛ /RP[نام فایل] - پروتکل را در یک فایل بنویسید (به طور پیش فرض در فایل REPORT.WEB)؛ /CL - برنامه را در حالت خط فرمان اجرا کنید، هنگام آزمایش فایل ها و مناطق سیستم، رابط تمام صفحه استفاده نمی شود؛ /QU - بلافاصله پس از آزمایش به DOS خارج می شود؛ /؟ - نمایش یک صفحه راهنمای مختصر اگر هیچ سوئیچی در خط فرمان Dr.Web مشخص نشده باشد، تمام اطلاعات مربوط به راه اندازی فعلی از فایل پیکربندی DRWEB.INI که در همان فهرست فایل DRWEB.EXE قرار دارد خوانده می شود. فایل پیکربندی هنگام کار با برنامه ایجاد می شود دکتر وببا استفاده از دستور ذخیره پارامترهای مورد نیاز برای تست. مثال 11.28. راه اندازی یک برنامه آنتی ویروس دکتر وببرای بررسی و درمان دیسک که در:.فایل های آلوده شناسایی شده "درمان" خواهند شد. همه فایل های دیسک مشمول تایید هستند. اگر فایل قابل "درمان" نباشد، برنامه اجازه حذف آن را می خواهد. تجزیه و تحلیل اکتشافی سطح 1 باید برای جستجوی ویروس ها استفاده شود. برنامه فقط باید در حالت خط فرمان با خروج از DOS پس از اتمام آزمایش اجرا شود: DrWeb В: /AL /CUP /HA1 /QU / CL تکنولوژی کار با Dr. وب در حالت رابط تمام صفحه.برای شروع در حالت رابط تمام صفحه کافی است فقط نام برنامه را در خط فرمان وارد کنید. بلافاصله پس از بارگذاری برنامه، تست رم کامپیوتر در صورتی که با تنظیمات قبلی غیرفعال نشده باشد، آغاز می شود. پیشرفت تست در پنجره تست نمایش داده می شود. پس از اتمام تست حافظه، توقف رخ می دهد. برنامه را می توان با استفاده از منوی اصلی واقع در خط بالای صفحه ادامه داد. برای فعال کردن منو، کلید را فشار دهید منوی اصلی شامل حالت‌های زیر است: افزونه‌های تنظیمات Dr.WebTest وقتی هر حالتی را انتخاب می‌کنید، منوی فرعی مربوطه باز می‌شود. Submenu دکتر وببه شما اجازه می دهد تا به طور موقت از DOS خارج شوید، اطلاعات مختصری در مورد برنامه Dr.Web و نویسنده آن دریافت کنید، یا از برنامه خارج شوید. فایل پیکربندی INI افزونه ها.آنتی ویروس ADinf Disk Audit. بازرس ADinf به شما امکان می دهد ظاهر هر ویروسی، از جمله ویروس های مخفی، ویروس های جهش یافته و ویروس های ناشناخته در حال حاضر را شناسایی کنید. برنامه ADinfبه یاد می آورد:

اطلاعات در مورد بخش های بوت؛

اطلاعات در مورد خوشه های بد؛

طول و جمع های چک فایل ها.

تاریخ و زمان ایجاد فایل ها

در طول عملیات کامپیوتر، برنامه ADinfاین خواص را حفظ می کند. در حالت کنترل روزانه ADinfوقتی برای اولین بار رایانه خود را روشن می کنید، هر روز به طور خودکار شروع می شود. تغییرات ویروس مانند به ویژه نظارت می شود و بلافاصله یک هشدار صادر می شود. علاوه بر کنترل یکپارچگی فایل ADinfایجاد و حذف زیر شاخه ها، ایجاد، حذف، جابجایی و تغییر نام فایل ها، ظهور خوشه های بد جدید، ایمنی بخش های بوت و موارد دیگر را نظارت می کند. تمام مکان های ممکن برای ورود ویروس به سیستم مسدود شده است. Adinfدیسک‌ها را بدون استفاده از DOS بررسی می‌کند و با دسترسی مستقیم به BIOS، آنها را بر اساس بخش می‌خواند. با این روش تایید ADinfویروس‌های پنهان‌کاری پنهان را شناسایی می‌کند و اسکن دیسک با سرعت بالا را فراهم می‌کند. واحد درمان ADinfCure ماژول. ماژول ADinfCure-برنامه ای است که به "درمان" رایانه از یک ویروس جدید بدون انتظار برای آخرین نسخه های Aidstest پلی فاژها یا دکتر وب،که ویروس برای آنها شناخته خواهد شد. برنامه ماژول ADinfCureاز این واقعیت استفاده می کند که با وجود تنوع بسیار زیاد ویروس ها، روش های بسیار کمی برای معرفی آنها به فایل ها وجود دارد. در طول عملیات عادی، هنگام اجرای منظم حسابرس Adinf، گزارش می دهد ماژول درمان ADinfکدام فایل از آخرین اجرا تغییر کرده است. ماژول درمان Adinfاین فایل ها را تجزیه و تحلیل می کند و اطلاعاتی را که ممکن است برای بازیابی فایل در صورت آلوده شدن به ویروس لازم باشد در جداول خود می نویسد. اگر عفونت رخ داده باشد، ADinf متوجه تغییرات می شود و دوباره تماس می گیرد ماژول درمان Adinf،که بر اساس تجزیه و تحلیل فایل آلوده و مقایسه آن با اطلاعات ثبت شده، سعی در بازگرداندن فایل به حالت اولیه خواهد داشت. اقدامات اساسی برای محافظت در برابر ویروس هابرای اینکه رایانه در معرض آلودگی ویروس قرار نگیرد و از ذخیره مطمئن اطلاعات روی دیسک ها اطمینان حاصل شود، قوانین زیر باید رعایت شود:

برای مثال، رایانه خود را به برنامه های ضد ویروس به روز مجهز کنید ایدز تستیا وب دکتر،و به طور مداوم نسخه های خود را به روز می کنند.

قبل از خواندن اطلاعات ذخیره شده در رایانه های دیگر از فلاپی دیسک، همیشه با اجرای برنامه های ضد ویروس بر روی رایانه خود، این دیسکت ها را از نظر ویروس بررسی کنید.

هنگام انتقال فایل‌های بایگانی شده به رایانه، بلافاصله پس از باز کردن فایل‌های فشرده روی دیسک سخت، آن‌ها را بررسی کنید، و محدوده بررسی را فقط به فایل‌های تازه ضبط شده محدود کنید.

با اجرای برنامه های ضد ویروس برای آزمایش فایل ها، حافظه و مناطق سیستم دیسک ها از یک فلاپی دیسک محافظت شده از نوشتن، پس از بارگیری سیستم عامل همچنین از یک دیسکت سیستم محافظت شده از نوشتن، به طور دوره ای هارد دیسک های رایانه خود را از نظر ویروس بررسی کنید.

همیشه هنگام کار بر روی رایانه های دیگر، فلاپی دیسک های خود را از نوشتن محافظت کنید، اگر آنها روی اطلاعات نوشته نمی شوند.

حتماً کپی های آرشیوی را روی دیسکت های اطلاعات ارزشمند برای شما تهیه کنید.

فلاپی دیسک را در جیب درایو A نگذارید: هنگام روشن یا راه اندازی مجدد سیستم عامل برای جلوگیری از آلوده شدن رایانه به ویروس های بوت.

استفاده از برنامه های ضد ویروس برای کنترل ورودی کلیه فایل های اجرایی دریافتی از شبکه های کامپیوتری؛

برای ایمنی بیشتر برنامه ایدز تستو دکتر وبباید با استفاده روزانه حسابرس دیسک ترکیب شود ADinf.

در صورت از بین رفتن اطلاعات چه باید کرد بررسی یک پارتیشن دیسک توسعه یافته

ویروس ها چیست؟

طبقه بندی ویروس های کامپیوتری

ویروس های فایل

همراه - ویروس ها

کرم های فایل

ویروس ها را پیوند دهید

OBJ-، LIB-ویروس ها و ویروس ها در کد منبع

الگوریتم ویروس فایل

ویروس های فایل

بوت کردن ویروس ها

ویژگی های ویروس های کامپیوتری

ماهیت و تجلی ویروس های رایانه ای

برنامه های شناسایی و محافظت از ویروس

برترین مقالات مرتبط