Un virus informatico è un programma di piccole dimensioni appositamente scritto che può "attribuire" se stesso ad altri programmi per eseguire azioni dannose: danneggia i file, "contamina" la RAM, ecc.
Ce n'è molto virus diversi. Convenzionalmente, possono essere classificati come segue:
1) i virus di avvio o i virus BOOT infettano i settori di avvio dei dischi. Molto pericolosi, possono portare alla completa perdita di tutte le informazioni memorizzate sul disco;
2) i virus dei file infettano i file. Si dividono in:
virus che infettano i programmi (file con estensione .EXE e .COM);
macro virus virus che infettano file di dati, come documenti o lavori di Word eccellere libri;
i virus satellite utilizzano i nomi di altri file;
i virus della famiglia DIR distorcono informazioni di sistema sulle strutture dei file;
3) virus del file di avvio in grado di infettare sia il codice del settore di avvio che il codice del file;
4) i virus stealth o i virus STEALTH falsificano le informazioni lette dal disco in modo che il programma destinato a queste informazioni riceva dati errati. Questa tecnologia, a volte indicata come tecnologia Stealth, può essere utilizzata sia nei virus BOOT che nei file virus;
5) i retrovirus infettano programmi antivirus cercando di distruggerli o renderli inabili;
6) I worm inviano piccoli messaggi E-mail, il cosiddetto header, che è essenzialmente l'indirizzo Web della posizione del virus stesso. Quando si tenta di leggere un messaggio del genere, il virus inizia a leggere il globale Internet il suo "corpo" e dopo il caricamento inizia un'azione distruttiva. Molto pericoloso, poiché è molto difficile rilevarli, poiché il file infetto non contiene effettivamente il codice del virus.
Se non si adottano misure di protezione contro i virus informatici, le conseguenze dell'infezione possono essere molto gravi. In diversi paesi, il diritto penale prevede la responsabilità per i reati informatici, compresa l'introduzione di virus. Gli strumenti generali e software vengono utilizzati per proteggere le informazioni dai virus.
Vari programmi antivirus (antivirus) sono classificati come software di protezione. Antivirus è un programma che rileva e neutralizza i virus informatici. Va notato che i virus nel loro sviluppo sono in anticipo rispetto ai programmi antivirus, quindi, anche in caso di uso regolare di antivirus, non esiste una garanzia di sicurezza del 100%. I programmi antivirus possono rilevare e distruggere solo i virus conosciuti; quando compare un nuovo virus informatico, non c'è protezione contro di esso fino a quando non viene sviluppato il proprio antivirus. Tuttavia, molti moderni pacchetti antivirus includono uno speciale modulo software, chiamato analizzatore euristico, che è in grado di esaminare il contenuto dei file per la presenza di codice caratteristico dei virus informatici. Ciò consente di rilevare e avvertire tempestivamente del pericolo di infezione da un nuovo virus.
Esistono questi tipi di programmi antivirus:
1) programmi di rilevamento: progettati per trovare i file infetti da uno dei virus conosciuti. Alcuni programmi di rilevamento possono anche trattare i file alla ricerca di virus o distruggere i file infetti. Esistono rilevatori specializzati, ovvero progettati per combattere un virus, e polifagi che possono combattere molti virus;
2) programmi-healer: progettati per trattare dischi e programmi infetti. Il trattamento del programma consiste nella rimozione del corpo del virus dal programma infetto. Possono anche essere sia polifagi che specializzati;
3) revisori dei programmi: progettati per rilevare l'infezione da virus dei file, oltre a trovarli file danneggiati. Questi programmi memorizzano i dati sullo stato del programma e sulle aree di sistema dei dischi in uno stato normale (prima dell'infezione) e confrontano questi dati durante il funzionamento del computer. Se i dati non corrispondono, viene visualizzato un messaggio sulla possibilità di infezione;
4) guaritori-auditor: progettati per rilevare le modifiche nei file e nelle aree di sistema dei dischi e, in caso di modifiche, riportarli allo stato iniziale.
5) programmi di filtro: progettati per intercettare le chiamate al sistema operativo che vengono utilizzate dai virus per la riproduzione e informarne l'utente. L'utente può abilitare o disabilitare l'operazione corrispondente. Tali programmi sono residenti, ovvero risiedono nella RAM del computer.
6) programmi vaccinali: utilizzati per elaborare file e settori di avvio al fine di prevenire l'infezione da virus noti (in Di recente questo metodo viene utilizzato sempre di più).
Domande per l'autocontrollo.
1. Qual è il programma?
2. Cosa significa il concetto " Software"?
3. Denominare e caratterizzare le principali categorie di software.
4. Qual è la differenza programmi applicativi da impianto e strumentale?
5. Cosa è incluso nel software di sistema?
6. Qual è lo scopo del sistema operativo?
7. Descrivere le principali classi di sistemi operativi.
8. Descrivi il processo bootstrap sistema operativo nella RAM del computer.
9. Che cos'è un file?
10. Come è organizzato il file system?
11. Quale modulo del sistema operativo gestisce la manutenzione dei file?
12. Fornisci un esempio di una gerarchia struttura dei file.
13. Qual è il BIOS (Basic Input/Output System) e in quale sezione della memoria si trova?
14. Quali sono i moduli principali della sala operatoria Sistema MS-DOS?
15. Denominare i principali tipi di programmi di utilità e fornire loro una breve descrizione.
16. A cosa serve il pacchetto software? Comandante Norton?
17. Quale tipo di interfaccia è più conveniente per l'utente: comando o grafica?
18. Perché Norton Commander è così popolare?
19. Cosa sono i virus informatici, quali sono i loro effetti dannosi?
20. Quali sono i mezzi per combattere i virus informatici?
21. Qual è l'essenza del processo di compressione delle informazioni?
22. Descrivere le caratteristiche principali dei sistemi operativi Windows-NT e Windows 95.
23. Che cos'è la tecnologia OLE?
- Che cos'è un oggetto OLE, un server OLE, un client OLE?
- In che modo puoi incorporare e collegare oggetti esterni al documento di destinazione?
- Elencare e descrivere i modi in cui un oggetto server OLE può essere associato a un documento di destinazione.
- Confronta i metodi per incorporare e collegare gli oggetti.
- In che misura supportano la tecnologia OLE varie applicazioni Finestre? Dare esempi.
- Quali sono le possibilità della tecnologia OLE?
- Qual è lo scopo delle utilità di Windows?
- Come si accede alle utilità di Windows?
- A cosa serve ScanDisk?
- Quali sono le capacità delle modalità di scansione standard e completa di ScanDisk?
- Quanto spesso dovrebbe standard e controllo completo disco rigido?
- Qual è lo scopo di una deframmentazione del disco?
- Che cos'è la deframmentazione del disco?
- Che cos'è la formattazione del disco? Quando viene utilizzata la formattazione?
- Come posso formattare un disco?
39. Quali sono le caratteristiche di fast e formattazione completa dischi
- Che cos'è un archivio? Quali strumenti software sono chiamati archiviatori?
- Perché i metodi di compressione che modificano il contenuto dei dati sono chiamati irreversibili?
- Fornisci esempi di formati di compressione con perdita di dati.
- Qual è il vantaggio dei metodi di compressione reversibili rispetto a quelli irreversibili? E lo svantaggio?
44. Qual è la relazione tra il rapporto di compressione e l'efficienza del metodo di compressione?
- Che cos'è un virus informatico?
- In che modo un virus infetta un computer?
- Come funzionano i virus informatici?
- Quali fonti di infezione da virus informatici conosci?
- Quali segni possono essere utilizzati per rilevare il fatto dell'infezione da un virus informatico?
- Quali tipi di virus conosci? Quali azioni distruttive compiono?
- Quali misure vengono adottate per prevenire l'infezione da virus informatici?
- Che cos'è un antivirus? Quali tipi di antivirus conosci?
- Che cos'è un analizzatore euristico? Quali funzioni svolge?
CONFERENZA 5. PAROLA DELL'EDITOR DI TESTO.[:]
elaboratore di testi Word è un popolare strumento di elaborazione testi ed è incluso in pacchetto Microsoft ufficio. Elementi essenziali Finestre di parole mostrato in figura. L'aspetto della barra di formattazione e di altri elementi della finestra, la presenza dei bordi dell'area di testo, la fine del segno di paragrafo sono determinati dall'utente e pertanto possono essere diversi o assenti.
Testo creato in elaboratore di testi, è chiamato documento. I documenti possono essere salvati in vari formati, tuttavia, il formato principale è " Documento Word", in cui al nome del file viene assegnata automaticamente l'estensione .doc. Word permette di eseguire tipi complessi di formattazione del testo, creare, inserire e modificare figure e tabelle, scrivere formule matematiche, controlla l'ortografia del testo, inserisci i sommari ed esegui molte altre azioni di modifica dei documenti. Per automatizzare le operazioni ripetitive, Word dispone di un sistema integrato per la registrazione automatica delle macro, che sono un programma nel linguaggio Word Basic.
Ma torniamo a uno degli argomenti caldi: proteggere il tuo computer e le tue informazioni.
Ora ho iniziato a scrivere e ho pensato a un fatto interessante.
Quando prendiamo un virus, come l'influenza, cosa facciamo? Esatto, guariamo.
Come siamo trattati è un'altra questione. Alcuni con le pillole, altri con vodka e pepe. Per noi la cosa più importante è l'effetto del trattamento stesso.
Nel mondo dei computer, i virus vengono trattati programmi antivirus . Ma "compresse" e "droghe" appartengono a un'area completamente diversa. E quest'area è chiamata software con licenza di hacking - "pirateria".
In altre parole, se, ad esempio, non vogliamo pagare "Windows" o " Microsoft Office"o il programma" Photoshop ", quindi scaricali versioni piratate Con .
Lì, di solito, c'è un file che descrive come installare un programma hackerato. Può essere la sostituzione di un file, l'inserimento di un codice o chiave, ecc.
Quindi questi file modificati, codici e chiavi su gergo informatico chiamati "pillole" o "farmaci".
Scaricare senza pensare programmi hackerati da torrent è piuttosto rischioso. E di seguito ti spiego perché.
Allora cosa sono i virus informatici?
Virus informatici questi sono programmi che possono e danneggiano il tuo computer. O meglio, le tue informazioni sul computer.
La caratteristica distintiva di questi programmi è capacità di riprodursi. Questi programmi sono capaci autopropagarsi e infettare (infettare) i dati sia sul tuo computer che sui dispositivi che colleghi al tuo computer (unità flash, fotocamere, videocamere, ecc.).
Cosa possono fare?
Lo spettro è abbastanza ampio e non puoi elencare tutto. Distruggi i file sul tuo computer (foto, musica, film, ecc.) o semplicemente distruggi tutto sul tuo . Infettare il sistema operativo stesso, richiedendo l'invio di un SMS per attivare proprio questo sistema operativo (spendere denaro, ma il risultato è zero). Invia una e-mail a tutti i tuoi amici dalla tua rubrica. Ruba e invia allo sviluppatore del virus i tuoi accessi e le password e-mail, social networks, coordinate bancarie(se non ce ne sono ancora, appariranno sicuramente presto - e questo non dipende da te, ma dai progressi).
In una parola, avvelenano le nostre vite e il nostro computer.
Come si diffondono i virus?
Qui puoi tracciare un'analogia con il mondo reale. Ad esempio, il virus dell'influenza viene trasmesso da goccioline nell'aria attraverso il contatto.
Quindi proprio questo "al contatto" è il metodo principale per diffondere virus informatici. Ad esempio, collegando un'unità flash infetta al computer, è possibile infettare il computer. Collegandosi a Internet...
Sì, hai capito bene. In alcuni studi ho letto che ci sono più di 20.000 virus e altri malware che possono danneggiare un computer.
Quindi, se il tuo computer non è protetto dai virus, dopo un paio d'ore (da alcuni minuti a 2 giorni, a seconda della versione del programma operativo Sistemi Windows) aspettarsi "sorprese".
Bene, dove possiamo "raccogliere" un virus su Internet? Farò solo alcuni esempi.
Dagli stessi torrent. È molto difficile determinare se un programma è infetto o meno. Poiché i programmi antivirus spesso definiscono le "pillole" come virus. Il che non sorprende. I codici dei programmi e dei virus compromessi sono spesso molto simili. Quindi vai qui a tuo rischio.
No, non ti sto incoraggiando a rinunciare ai torrent. Li uso attivamente io stesso. Ma ti esorto a essere estremamente attento.
Un altro fenomeno comune sono le lettere non richieste che arrivano alla tua casella di posta, non si sa da chi e non è chiaro con quali link ( spam). Qui è meglio pensare 10 volte se cliccare o meno sul link.
È impossibile elencare tutte le opzioni. Ma, come dimostra la pratica, noi stessi siamo responsabili della penetrazione di virus su un computer a causa della nostra negligenza o disattenzione, che è ciò su cui si basano gli "scrittori di virus".
Molto spesso sento la domanda, perché le persone scrivono virus? La risposta in realtà non è semplice.
Il fatto è che il confine tra il mondo reale e il virtuale si sta gradualmente sfumando. Ci sono persone "buone" e "cattive". Ci sono anche persone ambiziose.
E non è sempre un dato di fatto che un programmatore scriva codice per fare molto male apposta. Piuttosto, scrive il programma a scopo di ricerca. Ma altri "specialisti" possono facilmente prendere questo codice e usarlo per scopi egoistici o di altro tipo.
Prendi, almeno dal mondo reale, l'invenzione della polvere da sparo o la scissione dell'atomo. Dopotutto, tutte queste cose sono state fatte per il bene dell'umanità. E si è rivelato come sempre.
OK. Anche se ho raggiunto l '"orrore", ma in realtà non tutto è così spaventoso. Come dicevo, il 95% di tutto dipende dall'elemento che si trova tra lo sgabello e il computer.
Per proteggersi da questo flagello, esistono programmi che catturano, bloccano e distruggono i virus informatici.
Questi programmi sono noti collettivamente come "Antivirus". E quasi fanno fronte ai loro doveri.
Perché "quasi"? Perché i "scrittori di virus" non segnano il tempo, inventano nuovi algoritmi e creano o modificano codici esistenti di programmi antivirus.
Dopotutto, quando appare un nuovo virus, deve prima essere rilevato. Quindi smontalo per ossa, ad es. vedere come è scritto il programma (determinare la firma). Quindi il rilevamento di questo virus viene incluso nel database antivirus del software antivirus. Quindi devi aggiornare questi database sul tuo personal computer, su cui è installato un software antivirus (spero).
Abbastanza lungo raggio. E tutto dipende in gran parte dalla rapidità dell'azienda che produce programmi antivirus. Con il tempo - questo va da uno o due giorni a "mai".
Se hai bisogno o meno di un programma del genere sul tuo computer dipende da te. Ti parlerò brevemente delle funzionalità dei programmi antivirus.
Esistono programmi antivirus a pagamento e gratuiti. Non ripeterò la versione gratuita, ma voglio notare che utilizzo l'antivirus gratuito Avast (avast) da più di 3 anni. Non ci sono state pretese contro di lui. Ma gratis è gratis. Stanco di stare seduto su spilli e aghi. Ora ho acquistato Avast Pro, anche se molte persone mi dicono che ho agito in modo stupido.
Ma il mio computer è mio e anche i miei soldi. E sta a me decidere cosa metterci sopra e cosa no. Il tempo lo dirà.
Naturalmente, tutti i programmi antivirus seri sono a pagamento. A seconda della misura in cui proteggono il tuo computer, dipende anche il prezzo del pacchetto software antivirus corrispondente.
Alcuni programmi antivirus contengono anche schermo protettivo, e per molti versi superiore in funzione al "nativo".
Quale antivirus è meglio scegliere Nessuno te lo dirà mai. E posso solo consigliare esperienza personale.
Per mia esperienza personale posso consigliarti demone antivirus a pagamento Avast e pagato antivirus kaspersky. Ma questa è solo una raccomandazione, ma non una chiamata per installare questi particolari programmi antivirus sul tuo computer.
Qual è il vantaggio del software a pagamento? Nel fatto che in tal caso c'è qualcuno a cui chiedere - una volta. Il secondo è gratuito 24 ore su 24 supporto tecnico. E il terzo sono possibili sconti al rinnovo della licenza. Il vantaggio potrebbe essere piccolo, ma lo è, a differenza dei programmi gratuiti.
Vorrei attirare la vostra attenzione su un altro punto.
Ci sono programmi antivirus e utilità antivirus. Le utilità antivirus sono generalmente sempre gratuite.
Cosa è differenza fondamentale programmi antivirus da utility antivirus?
Il programma antivirus "si trova" nella memoria del tuo computer e "guarda" tutto ciò che accade sul computer. Se viene rilevato un virus, lo blocca immediatamente e ti chiede cosa farne (lascialo in pace, mettilo in quarantena, distruggilo, ecc.). Inoltre, periodicamente "esamina" il server su Internet in cui si trova il database antivirus. E, se il database è stato aggiornato (ad esempio, rilevato su Internet nuovo virus e il programma per il suo rilevamento è incluso nel database antivirus), scarica immediatamente sul computer il database antivirus aggiornato.
L'utilità antivirus non fa tutto questo. Questo, di norma, è l'unico file che può essere scaricato dal server per trattare un computer già infetto (beh, o per ogni evenienza, controlla se il computer è infetto o meno).
Si esegue l'utilità, si esegue la scansione del computer, si rimuovono i virus e così via. - tutto è come un normale programma antivirus. Ma... Dopo aver curato il tuo computer, il programma si chiude e non controlla più cosa sta succedendo sul tuo computer. Inoltre, il database antivirus, che è "cablato" nel file stesso, non può essere aggiornato.
In altre parole, l'utilità antivirus con database antivirus è aggiornata esattamente il giorno in cui l'hai scaricata. Dopo un giorno, una settimana e ancor più un mese, il significato dell'utilità "obsoleta" viene perso. È vero, puoi scaricare una nuova utility aggiornata ogni giorno e controllare manualmente il tuo computer ogni giorno, poiché è gratuito. Ma... non puoi proprio avere tempo.
Un esempio utilità antivirus può servire come utilità di guarigione Dr.Web CureIt!®
Bene, se il computer si guasta a tal punto che smette di "muoversi", allora dovrai chiedere a qualcuno di scaricare l'immagine del disco di guarigione di Dr.Web LiveCD e di masterizzarla su un CD. È troppo prodotto gratuito. In questo caso, avvia dal CD e "tratta" il tuo computer. Bene, un disco di guarigione simile di Kaspersky (Kaspersky Rescue Disk).
Bene, una specie di, in breve, tutto sui virus. Ce n'è uno in più elemento importante sicurezza sul computer è "". Ma di questo parleremo in una delle prossime lezioni.
È tutto per oggi. Buona fortuna e successo creativo a tutti.
Per gli aggiornamenti del blog Per utenti di computer inesperti ed essere il primo a conoscere nuovi articoli e lezioni.
Sinceramente a tutti i miei lettori e iscritti
Oleg Ivashinenko
Se l'articolo ti è piaciuto, condividilo con i tuoi amici sui social network.
Alla voce 14 commenti
|
Uso un programma antivirus gratuito e uso regolarmente l'utility curelt di Dr.Web! Mi piace l'utilità, ma in termini di aggiornamento, non sapevo che non fosse aggiornato. Grazie al mio amico e insegnante Oleg Ivashinenko per la meravigliosa lezione "Informazioni su virus e programmi antivirus". Consiglio a tutti di visitare il suo sito e ovviamente di imparare. Mi piace. | |
Virus e programmi antivirus
Nella nostra epoca, molte aree dell'attività umana sono associate all'uso di un computer. Queste macchine sono profondamente radicate nelle nostre vite. Hanno un enorme potenziale, consentendo così al cervello umano di essere liberato per compiti più necessari e responsabili. Un computer può archiviare ed elaborare una quantità molto grande di informazioni, che attualmente è una delle risorse più costose.
Man mano che i sistemi informatici e il software si evolvono e si aggiornano, il volume e la vulnerabilità dei dati che archiviano aumentano. Uno dei nuovi fattori che ha aumentato notevolmente questa vulnerabilità è la produzione di massa di potenti personal computer compatibili con il software
Computer, che è stata una delle ragioni per l'emergere di una nuova classe di programmi vandalici: i virus informatici. Il pericolo maggiore derivante dal rischio che il software venga infettato da virus informatici è la possibilità di distorcere o distruggere informazioni vitali, che possono comportare non solo perdite finanziarie e temporanee, ma anche vittime umane.
I virus informatici sono diventati molto diffusi e la loro lotta dà all'utente medio un grande "mal di testa". Pertanto, è importante capire come si diffondono e appaiono i virus e come affrontarli.
I migliori risultati si ottengono attualmente nella creazione di programmi e metodi antivirus per la loro applicazione. Una serie di sviluppi sono stati portati a livello di prodotti software e sono ampiamente utilizzati dagli utenti.
1. L'essenza e la manifestazione dei virus informatici.
Un virus informatico è un programma scritto appositamente che può attaccarsi spontaneamente ad altri programmi, creare copie di se stesso e iniettarle in file, aree di sistemi informatici e reti di computer al fine di interrompere il funzionamento di programmi, danneggiare file e directory e creare tutti i tipi di interferenza nel lavorare su un computer.
Le ragioni della comparsa e della diffusione dei virus informatici, da un lato, sono nascoste nella psicologia della personalità umana e della sua lati ombrosi(invidia, vendetta, vanità di creatori non riconosciuti, incapacità di applicare in modo costruttivo le proprie capacità), invece, sono dovute alla mancanza di protezione hardware e all'opposizione del sistema operativo di un personal computer.
I principali modi in cui i virus possono entrare in un computer sono i dischi rimovibili (floppy e laser), nonché le reti di computer. L'infezione da virus del disco rigido può verificarsi quando il computer viene avviato da un floppy disk contenente un virus. Tale infezione può anche essere accidentale, ad esempio, se il floppy disk non viene rimosso dall'unità e il computer viene riavviato, mentre il floppy disk potrebbe non essere di sistema. È molto più facile infettare un floppy disk. Un virus può penetrarvi anche se il floppy disk viene semplicemente inserito nell'unità disco di un computer infetto e, ad esempio, viene letto il suo indice.
Un disco infetto è un disco con un programma antivirus nel settore di avvio.
Dopo aver eseguito un programma contenente un virus, diventa possibile infettare altri file. Molto spesso, il settore di avvio del disco e file eseguibili, con le estensioni EXE, COM, SYS o BAT.
I file di testo e grafici sono estremamente raramente infetti.
Un programma infetto è un programma che contiene un programma antivirus incorporato in esso.
Quando un computer viene infettato da un virus, è molto importante rilevarlo in modo tempestivo. Per fare ciò, dovresti conoscere i principali segni della manifestazione dei virus. Questi includono quanto segue:
Cessazione del lavoro o funzionamento non corretto di programmi precedentemente funzionanti con successo;
Prestazioni del computer lente;
Impossibilità di avviare il sistema operativo;
Scomparsa di file e directory o distorsione del loro contenuto;
Modifica della data e dell'ora di modifica del file;
Ridimensionamento dei file;
Un inaspettato aumento significativo del numero di file sul disco;
Significativa riduzione delle dimensioni della RAM libera;
Visualizzazione di messaggi o immagini imprevisti sullo schermo;
Dare segnali sonori imprevisti;
Frequenti blocchi e arresti anomali del computer.
I suddetti fenomeni non sono necessariamente causati dalla presenza di un virus, ma possono essere dovuti ad altre cause. Pertanto, è sempre difficile diagnosticare correttamente lo stato del computer.
2. Classificazione dei virus.
Molti virus informatici che esistono allo stadio attuale possono essere suddivisi in diversi gruppi.
1. Per habitat.
I virus di rete si diffondono su varie reti, ad es. quando si trasferiscono informazioni da un computer a un altro, interconnesso da una rete, come Internet.
I file virus infettano i file eseguibili e vengono caricati dopo l'avvio del programma in cui si trova. I file virus possono infiltrarsi anche in altri file, ma quando vengono scritti in tali file, non ricevono il controllo e perdono la capacità di riprodursi.
I virus di avvio infettano il settore di avvio dei floppy disk o dei dischi logici contenenti il programma di avvio.
I virus di avvio dei file infettano contemporaneamente i file e i settori di avvio di un disco.
2. Secondo il metodo di contaminazione dell'ambiente.
Quando un virus residente infetta un computer, lascia la sua parte residente nella RAM, che quindi intercetta l'accesso del sistema operativo agli oggetti infetti (file, settori di avvio del disco, ecc.) e si infiltra in essi. I virus residenti risiedono nella memoria e rimangono attivi fino allo spegnimento o al riavvio del computer.
Un virus non residente non infetta la memoria del computer ed è attivo per un tempo limitato. Vengono attivati in determinati momenti, ad esempio durante l'elaborazione di documenti con un elaboratore di testi.
3. Con possibilità distruttive (distruttive).
I virus innocui si manifestano solo nel fatto che riducono la quantità di memoria sul disco a causa della loro diffusione.
Non pericolosi, riducono anche la quantità di memoria, non interferiscono con il computer, tali virus generano effetti grafici, sonori e di altro tipo.
Virus pericolosi che possono causare vari problemi al computer, come blocchi o stampa errata di un documento.
Molto pericoloso, la cui azione può portare alla perdita di programmi, dati, cancellazione di informazioni nelle aree di memoria del sistema e persino portare al guasto delle parti mobili del disco rigido quando entra in risonanza.
4. Secondo le caratteristiche dell'algoritmo.
I virus replicatori (worm) si diffondono nelle reti di computer, calcolano gli indirizzi dei computer di rete e ne scrivono le copie su questi indirizzi.
I virus invisibili (virus invisibili) sono virus molto difficili da rilevare e neutralizzare, poiché intercettano le chiamate del sistema operativo ai file e ai settori del disco interessati e sostituiscono le parti non infette del disco al posto delle proprie.
I mutanti (ghost) contengono algoritmi di crittografia-decrittografia, grazie ai quali le copie dello stesso virus non hanno una singola catena di byte ripetuta. Tali virus sono i più difficili da rilevare.
I trojan (quasi-virus) non sono in grado di autopropagarsi, ma sono molto pericolosi, perché, travestiti da programma utile, distruggono il boot sector e file system dischi.
I satelliti sono un virus che non cambia il file, ma per i programmi eseguibili (exe) creano programmi con lo stesso nome come com, che, quando viene eseguito il programma originale, vengono prima lanciati, quindi trasferiscono il controllo al programma eseguibile originale .
I virus per studenti sono i virus più semplici e più facilmente rilevabili.
Tuttavia, non esiste una chiara divisione tra loro e tutti possono essere una combinazione di opzioni di interazione: una sorta di "cocktail" virale.
3. Programmi antivirus.
Per rilevare, rimuovere e proteggere dai virus informatici, sono stati sviluppati programmi speciali che consentono di rilevare e distruggere i virus.
Tali programmi sono chiamati programmi antivirus. I moderni programmi antivirus sono prodotti multifunzionali che combinano strumenti preventivi e profilattici, nonché strumenti per il trattamento dei virus e il recupero dei dati.
3.1 Requisiti per i programmi antivirus.
Il numero e la varietà di virus è elevato e, per rilevarli in modo rapido ed efficace, un programma antivirus deve soddisfare determinati parametri.
Stabilità e affidabilità del lavoro. Questo parametro, senza dubbio, è decisivo, anche il più miglior antivirus sarà del tutto inutile se non può funzionare normalmente sul tuo computer, se, a causa di qualche malfunzionamento del programma, il processo di verifica del computer non va fino in fondo. Poi c'è sempre la possibilità che alcuni file infetti siano passati inosservati.
La dimensione del database dei virus del programma (il numero di virus rilevati correttamente dal programma). Data la costante comparsa di nuovi virus, il database deve essere aggiornato regolarmente: a cosa serve un programma che non vede la metà dei nuovi virus e, di conseguenza, crea un'errata sensazione che il computer sia "pulito". Ciò dovrebbe includere anche la capacità del programma di rilevare vari tipi di virus e la capacità di lavorare con file di vario tipo (archivi, documenti). Importante anche la presenza di un monitor residente che controlla tutti i nuovi file "al volo" (cioè automaticamente man mano che vengono scritti su disco).
La velocità del programma, la presenza di funzionalità aggiuntive come algoritmi per determinare anche sconosciuto al programma virus (scansione euristica). Ciò dovrebbe includere anche la possibilità di recuperare i file infetti senza cancellarli dal disco rigido, ma solo rimuovendo i virus da essi. Anche la percentuale è importante. falsi positivi programmi (definizione errata di un virus in un file "pulito").
Multipiattaforma (disponibilità di versioni del programma per diversi sistemi operativi). Naturalmente, se l'antivirus viene utilizzato solo a casa, su un computer, questo parametro non è disponibile di grande importanza. Ma un antivirus per una grande organizzazione è semplicemente obbligato a supportare tutti i sistemi operativi comuni. Inoltre, quando si lavora su una rete, è importante disporre di funzioni server progettate per lavoro amministrativo, nonché la possibilità di lavorare con diversi tipi di server.
3.2 Caratteristiche dei programmi antivirus.
I programmi antivirus sono suddivisi in: programmi di rilevamento, programmi medico, programmi auditor, programmi filtro, programmi vaccino.
I programmi di rilevamento forniscono la ricerca e il rilevamento di virus nella RAM e su supporti esterni e, al rilevamento, emettono un messaggio corrispondente. Esistono rilevatori universali e specializzati.
I rilevatori universali nel loro lavoro utilizzano il controllo dell'immutabilità dei file mediante il conteggio e il confronto con uno standard di checksum. Lo svantaggio dei rilevatori universali è l'impossibilità di determinare le cause della corruzione dei file.
I rilevatori specializzati cercano i virus noti in base alla loro firma (un pezzo di codice ripetuto). Lo svantaggio di tali rilevatori è che non sono in grado di rilevare tutti i virus conosciuti.
Un rilevatore in grado di rilevare diversi virus è chiamato polirilevatore.
Lo svantaggio di tali programmi antivirus è che possono trovare solo virus noti agli sviluppatori di tali programmi.
I programmi medico (fagi) non solo trovano i file infetti da virus, ma li "trattano", ad es. rimuovere il corpo del programma antivirus dal file, riportando i file al loro stato originale. All'inizio del loro lavoro, i fagi cercano virus nella RAM, li distruggono e solo allora procedono al "trattamento" dei file. Tra i fagi si distinguono i polifagi, ad es. programmi medici progettati per trovare e distruggere un gran numero di virus.
Dato che nuovi virus compaiono costantemente, i programmi di rilevamento e i programmi medici diventano rapidamente obsoleti e sono necessari aggiornamenti regolari delle loro versioni.
I programmi di controllo sono tra i mezzi più affidabili per la protezione dai virus. I revisori ricordano lo stato iniziale di programmi, directory e aree di sistema del disco quando il computer non è infetto da virus, quindi confrontano periodicamente o su richiesta dell'utente Stato attuale con l'originale. Le modifiche rilevate vengono visualizzate sullo schermo del monitor video. Di norma, gli stati vengono confrontati immediatamente dopo il caricamento del sistema operativo. Durante il confronto, vengono controllati la lunghezza del file, il codice di controllo ciclico (checksum del file), la data e l'ora della modifica e altri parametri.
I programmi di controllo hanno algoritmi abbastanza avanzati, rilevano virus invisibili e possono persino distinguere tra le modifiche alla versione del programma da controllare e le modifiche apportate dal virus.
I programmi di filtro (watchmen) sono piccoli programmi residenti progettati per rilevare azioni sospette durante il funzionamento del computer che sono caratteristiche dei virus. Tali azioni possono essere:
Tenta di correggere i file con estensioni COM ed EXE;
Modifica degli attributi dei file;
Scrittura diretta su disco a indirizzo assoluto;
Scrittura su settori di avvio del disco.
Quando un programma tenta di eseguire le azioni specificate, il "guardiano" invia un messaggio all'utente e si offre di vietare o consentire l'azione corrispondente. I programmi di filtro sono molto utili, in quanto sono in grado di rilevare un virus nella fase iniziale della sua esistenza prima della riproduzione. Tuttavia, non "riparano" file e dischi. Per distruggere i virus, devi usare altri programmi, come phages. Gli svantaggi dei programmi di watchdog includono il loro "fastidio" (ad esempio, emettono costantemente un avviso su qualsiasi tentativo di copiare un file eseguibile), nonché possibili conflitti con altri software.
I vaccini (immunizzatori) sono programmi residenti che prevengono l'infezione dei file. I vaccini vengono utilizzati se non ci sono programmi medici che "trattano" questo virus. La vaccinazione è possibile solo contro virus conosciuti.
Il vaccino modifica il programma o il disco in modo tale che non influisca sul loro lavoro e il virus li percepirà come infetti e quindi non attecchirà. I programmi vaccinali sono attualmente di uso limitato.
Uno svantaggio significativo di tali programmi è la loro capacità limitata di prevenire l'infezione da un gran numero di virus diversi.
3.3 Breve panoramica dei programmi antivirus.
Quando si sceglie un programma antivirus, è necessario prendere in considerazione non solo la percentuale di rilevamenti di virus, ma anche la capacità di rilevare nuovi virus, il numero di virus nel database antivirus, la frequenza dei suoi aggiornamenti e la disponibilità di funzioni aggiuntive.
Attualmente, un antivirus serio deve essere in grado di riconoscere almeno 25.000 virus. Questo non significa che siano tutti "liberi". In effetti, la maggior parte di loro ha cessato di esistere o si trova nei laboratori e non viene distribuita. In realtà, puoi incontrare 200-300 virus e solo poche decine di essi sono pericolosi.
Ci sono molti programmi antivirus. Considera il più famoso di loro.
Norton Antivirus (produttore: Symantec).
Uno degli antivirus più famosi e popolari. Il tasso di riconoscimento del virus è molto alto (vicino al 100%). Il programma utilizza un meccanismo che consente di riconoscere nuovi virus sconosciuti.
Nell'interfaccia del programma Norton Antivirusè presente una funzione LiveUpdate che permette di aggiornare sia il programma che la firma del virus impostata via Web con un solo clic. Il Virus Control Wizard ti fornisce informazioni dettagliate sul virus rilevato e ti dà anche la possibilità di rimuovere il virus automaticamente o con maggiore attenzione, attraverso una procedura passo passo che ti consente di vedere ciascuna delle azioni eseguite durante la rimozione processi.
I database antivirus vengono aggiornati molto frequentemente (a volte gli aggiornamenti vengono visualizzati più volte alla settimana). C'è un monitor residente.
Lo svantaggio di questo programma è la complessità delle impostazioni (sebbene non sia praticamente necessario modificare le impostazioni di base).
L'antivirus del dottor Solomon (produttore: "Software del dottor Solomon").
È considerato uno dei migliori antivirus (Eugene Kaspersky una volta ha detto che questo è l'unico concorrente del suo AVP). Rileva quasi il 100% dei virus noti e nuovi. Un gran numero di funzioni, uno scanner, un monitor, euristiche e tutto il necessario per resistere con successo ai virus.
McAfee VirusScan (Produttore: McAfee Associates).
Questo è uno dei pacchetti antivirus più famosi. Rimuove molto bene i virus, ma VirusScan è peggio di altri pacchetti quando si tratta di rilevare nuove varietà di virus di file. È facile e veloce da installare utilizzando le impostazioni predefinite, ma puoi anche personalizzarlo a tuo piacimento. È possibile eseguire la scansione di tutti i file o solo dei file software, distribuire o non distribuire la procedura di scansione file compressi. Ha molte funzioni per lavorare con Internet.
Dott. Web (produttore: "Scienza del dialogo")
Antivirus domestico popolare. Riconosce bene i virus, ma ce ne sono molti meno nel suo database rispetto ad altri programmi antivirus.
Kaspersky AntiVirus Pro (produttore: Kaspersky Lab).
Questo antivirus è riconosciuto in tutto il mondo come uno dei più affidabili.
Nonostante la facilità d'uso, ha tutto l'arsenale necessario per combattere i virus. Meccanismo euristico, scansione ridondante, scansione di archivi e file compressi: questo non è un elenco completo delle sue capacità.
Kaspersky Lab monitora da vicino l'emergere di nuovi virus e rilascia gli aggiornamenti in modo tempestivo database antivirus. C'è un monitor residente per controllare i file eseguibili.
Conclusione.
Nonostante l'uso diffuso di programmi antivirus, i virus continuano a "riprodursi". Per farvi fronte, è necessario creare programmi antivirus più universali e qualitativamente nuovi che includano tutte le qualità positive dei loro predecessori. Purtroppo al momento non esiste un programma antivirus del genere che garantisca una protezione al 100% contro tutti i tipi di virus, ma alcune aziende, come Kaspersky Lab, hanno ottenuto fino ad oggi dei buoni risultati.
I virus possono essere suddivisi in diversi...
Descrizione della presentazione su singole diapositive:
1 diapositiva
Descrizione della diapositiva:
2 diapositive
Descrizione della diapositiva:
3 diapositiva
Descrizione della diapositiva:
Virus informatico? Cos'è? Uso massiccio del PC offline e modalità di rete, compreso l'accesso a Internet globale, ha sollevato il problema di infettarli con virus informatici. Un virus informatico è generalmente chiamato programma di piccole dimensioni scritto in modo speciale. Capace di attaccarsi spontaneamente ad altri programmi (cioè infettarli), creare copie di sé e iniettarle in file, aree di sistema di un computer e in altri computer combinati con esso al fine di violare operazione normale programmi, danni a file e directory, creando varie interferenze quando si lavora su un computer.
4 diapositive
Descrizione della diapositiva:
Segni della comparsa di virus. rallentare il computer; impossibilità di avviare il sistema operativo; frequenti "blocchi" e arresti anomali del computer; smettere di lavorare o lavoro sbagliato programmi di successo in precedenza; aumento del numero di file sul disco; ridimensionamento dei file; comparsa periodica sullo schermo del monitor di contenuti inappropriati messaggi di sistema; riducendo la quantità di RAM libera; un notevole aumento del tempo di accesso a disco rigido; modificare la data e l'ora di creazione del file; distruzione della struttura dei file (scomparsa di file, distorsione delle directory, ecc.); la spia del drive si accende quando non è in uso.
5 diapositiva
Descrizione della diapositiva:
Canali di infezione... Floppy disk Il canale di infezione più comune negli anni '80-'90. Ora praticamente assente a causa dell'emergere di più comuni e canali efficaci e la mancanza di unità floppy su molti computer moderni. Unità flash (unità flash) Al giorno d'oggi, le unità flash USB sostituiscono i floppy disk e ripetono il loro destino - un gran numero di virus diffusi attraverso dispositivi di archiviazione rimovibili, comprese fotocamere digitali, videocamere digitali, lettori digitali (lettori MP3), Telefono cellulare. L'uso di questo canale in precedenza era principalmente dovuto alla possibilità di creare sull'unità fascicolo speciale autorun.inf, in cui è possibile specificare il programma da eseguire Windows Explorer quando si apre una tale unità. V ultima versione MS Windows, con il nome commerciale Windows 7, è stata rimossa la possibilità di eseguire automaticamente i file da supporti portatili. Le unità flash sono la principale fonte di infezione per i computer non connessi a Internet.
6 diapositiva
Descrizione della diapositiva:
…più canali… E-mail Di solito, i virus nei messaggi di posta elettronica sono mascherati da allegati innocui: immagini, documenti, musica, collegamenti a siti Web. Alcune e-mail possono effettivamente contenere solo collegamenti, ovvero le e-mail stesse potrebbero non contenere codice dannoso, ma se si apre un collegamento di questo tipo, è possibile accedere a un sito Web appositamente creato contenente codice virus. Molti virus di posta, che sono entrati nel computer dell'utente, utilizzano quindi la rubrica da quella installata client di posta digita Outlook per inviarsi ulteriormente. sistemi di scambio messaggistica istantaneaÈ anche comune inviare collegamenti a presunte foto, musica o programmi che sono in realtà virus tramite ICQ e altri programmi di messaggistica istantanea.
7 diapositiva
Descrizione della diapositiva:
…e più canali! Pagine Web È anche possibile infettare tramite le pagine Internet per la presenza sulle pagine del World Wide Web di vari contenuti "attivi": script, componenti ActiveX. In questo caso vengono utilizzate vulnerabilità nel software installato sul computer dell'utente o vulnerabilità nel software del proprietario del sito (il che è più pericoloso, poiché i siti rispettabili con un grande flusso di visitatori sono esposti all'infezione) e utenti ignari, avendo accede a tale sito, rischiando di infettare il proprio computer. Internet e reti locali (worm) I worm sono un tipo di virus che si infiltra nel computer della vittima senza l'intervento dell'utente. I worm utilizzano i cosiddetti "buchi" (vulnerabilità) nel software del sistema operativo per infiltrarsi in un computer. Le vulnerabilità sono errori e difetti nel software che consentono il download e l'esecuzione in remoto del codice macchina, a seguito del quale un worm entra nel sistema operativo e, di norma, inizia a infettare altri computer tramite una rete locale o Internet. Gli aggressori utilizzano i computer degli utenti infetti per inviare spam o attacchi DDoS.
8 diapositiva
Descrizione della diapositiva:
Il primo virus informatico è apparso 40 anni fa Quest'anno ricorre il 40° anniversario del primo virus informatico al mondo: Creeper. Questo worm è stato scritto nel 1971 da un dipendente di una società che gestiva ARPANET, una rete creata dall'Agenzia di ricerca avanzata del Dipartimento della Difesa statunitense nel 1969 e predecessore di Internet. Creeper, infatti, non lo è ancora stato virus a tutti gli effetti, perché non ha causato alcun danno al sistema. Invece, ha cercato i computer sulla rete, li ha copiati da solo, ha visualizzato un messaggio sul terminale: "Sono il creeper, prendimi se puoi!" ("Sono un Creeper, prendimi se puoi! "). Se Creeper ha rilevato una copia esistente di se stesso, è "saltato" su un altro computer.
9 diapositiva
Descrizione della diapositiva:
10 diapositive
Descrizione della diapositiva:
Per evitare che il tuo computer venga infettato da virus e per garantire archiviazione sicura le informazioni sui dischi devono essere osservate seguenti regole: Per non esporre il computer a virus e per garantire una memorizzazione affidabile delle informazioni sui dischi, è necessario seguire le seguenti regole: dotare il computer di moderni programmi antivirus, come AntiViral Toolkit Pro, Doctor Web, e rinnovare costantemente i loro versioni prima di leggere le informazioni registrate dai dischetti su altri computer, controlla sempre questi floppy disk per virus eseguendo i programmi antivirus del tuo computer quando trasferisci file archiviati sul tuo computer, controllali immediatamente dopo averli decompressi sul tuo disco rigido, limitando l'area di scansione ai nuovi file scritti solo periodicamente verificare la presenza di virus dischi fissi computer, eseguendo programmi antivirus per testare file, memoria e aree di sistema dei dischi da un floppy disk protetto da scrittura, dopo aver precedentemente caricato il sistema operativo da un dischetto di sistema protetto da scrittura, proteggere sempre i dischetti dalla scrittura quando si lavora su altri computer se le informazioni non vengono scritte su di loro, assicurati di farlo copie d'archivio non lasciare i floppy disk nella tasca dell'unità A quando si accende o si riavvia il sistema operativo per prevenire l'infezione del computer con virus di avvio.
11 diapositiva
Descrizione della diapositiva:
Ad oggi, più di 50.000 virus software, il cui numero è in continua crescita. Ci sono casi noti in cui guide di studio per aiutare a scrivere virus. I principali tipi di virus: boot, file, file-boot. Più vista pericolosa i virus sono polimorfici. Dalla storia della virologia informatica, è chiaro che qualsiasi sviluppo originale del computer costringe i creatori di antivirus ad adattarsi alle nuove tecnologie, a migliorare costantemente i programmi antivirus.
12 diapositiva
Descrizione della diapositiva:
Antivirus Un programma antivirus (antivirus) è qualsiasi programma per rilevare virus informatici, nonché programmi indesiderati (considerati dannosi) in generale e recuperare file infettati (modificati) da tali programmi, nonché per prevenire - prevenire l'infezione (modifica) di file o il sistema operativo con codice dannoso.
13 diapositiva
Descrizione della diapositiva:
Rogue antivirus Nel 2009, la distribuzione attiva del cosiddetto. antivirus canaglia - software che non è antivirus (cioè non ha funzionalità reali per contrastare il malware), ma finge di essere tale. In effetti, gli antivirus non autorizzati possono essere sia programmi progettati per ingannare gli utenti e realizzare un profitto sotto forma di pagamenti per "trattare il sistema dai virus", sia un normale software dannoso.
14 diapositiva
Descrizione della diapositiva:
Come funziona l'antivirus Parlando di sistemi Microsoft, solitamente l'antivirus funziona secondo lo schema: - ricerca nel database del software antivirus per "firme" di virus - se viene trovato un codice infetto - sia operativo e/o permanente - la quarantena il processo viene avviato e il processo viene bloccato: il programma registrato di solito elimina i virus, non registrato richiede la registrazione e lascia il sistema vulnerabile
15 diapositiva
Descrizione della diapositiva:
16 diapositiva
Descrizione della diapositiva:
NOD32 NOD32- pacchetto antivirus, prodotto dalla società slovacca ESET. La prima versione è stata rilasciata alla fine del 1987. Il nome è stato originariamente decifrato come Nemocnica na Okraji Disku ("Ospedale sul bordo del disco", una parafrasi del titolo dell'allora popolare serie televisiva in Cecoslovacchia "Ospedale alla periferia della città"). NOD32 è una soluzione antivirus completa per la protezione in tempo reale. Eset NOD32 fornisce protezione contro virus e altre minacce, inclusi Trojan, worm, spyware, adware e attacchi di phishing. Eset NOD32 utilizza ThreatSense, una tecnologia brevettata progettata per rilevare nuove minacce emergenti in tempo reale analizzando i programmi in esecuzione alla ricerca di codice dannoso, che consente di prevenire le azioni degli autori di malware. Quando si aggiornano i database, vengono utilizzati diversi server mirror, mentre è anche possibile creare un mirror di aggiornamento interno, che riduce il carico sul canale Internet. Per ricevere gli aggiornamenti dai server ufficiali sono necessari username e password, ottenibili attivando il proprio codice prodotto nella pagina di registrazione del sito regionale. Insieme ai database dei virus, NOD32 utilizza metodi euristici, che possono portare a migliore rilevamento virus ancora sconosciuti.
17 diapositiva
Descrizione della diapositiva:
Fatti interessanti Tra i partecipanti al test Virus Bulletin 100%, Eset NOD32 ha il maggior numero di riconoscimenti tra quelli testati (66 a marzo 2011) da questo laboratorio. Dimensioni compatte degli aggiornamenti (la dimensione è misurata in decine di kilobyte). Il programma antivirus NOD32 partecipa a Virustotal.
18 diapositiva
Descrizione della diapositiva:
Kaspersky Anti-Virus Kaspersky Anti-Virus antivirus kaspersky, KAV) è un software antivirus sviluppato da Kaspersky Lab. Fornisce all'utente protezione contro virus, Troiani, spyware, rootkit, adware e minacce sconosciute con Proactive Defense, che include il componente HIPS. Inizialmente, all'inizio degli anni '90, si chiamava -V, poi - AntiViral Toolkit Pro.
19 diapositiva
20 diapositive
Descrizione della diapositiva:
Funzioni (2) Ripristino del sistema e dei dati La possibilità di installare il programma su un computer infetto La funzione di autoprotezione del programma dall'arresto o dall'arresto del ripristino impostazioni corrette sistemi dopo la rimozione del malware Disponibilità di strumenti per la creazione del disco ripristino di emergenza Protezione dei dati riservati Blocco dei collegamenti a siti di phishing Protezione contro tutti i tipi di keylogger Facilità di utilizzo Configurazione automatica del programma durante l'installazione Soluzioni pronte(per problemi tipici) Visualizzazione visiva dei risultati del programma Informativo finestre di dialogo per un processo decisionale informato dell'utente Scelta tra semplice (automatico) e modalità interattive assistenza tecnica 24 ore su 24, 7 giorni su 7 Aggiornamento automatico basi
1. Introduzione
2.1 Virus di file
2.2 Virus di avvio
2.3 Virus macro
2.4 Virus di rete
3. Programmi antivirus
4. Tipi di antivirus
4.1 Scanner
4.2 Scanner CRC
4.3 Monitor
1. Introduzione
I primi studi sulle strutture artificiali autopropaganti risalgono alla metà del secolo scorso. Nelle opere di von Neumann, Wiener e altri autori viene data e attuata una definizione analisi matematica automi finiti, compresi quelli autoriproducenti. Il termine "virus informatico" è apparso più tardi. Si ritiene ufficialmente che sia stato utilizzato per la prima volta da un dipendente della Lehigh University (USA) F. Cohen nel 1984 alla 7a conferenza sulla sicurezza delle informazioni tenutasi negli Stati Uniti. Da allora è passato molto tempo, la gravità del problema del virus è aumentata molte volte, ma non è stata data una definizione rigida di cosa sia un virus informatico, nonostante molti abbiano provato a farlo più di una volta .
La principale difficoltà che si pone quando si cerca di dare una definizione rigida di virus risiede nel fatto che quasi tutte le caratteristiche distintive di un virus (introduzione in altri oggetti, segretezza, potenziale pericolo) sono o inerenti ad altri programmi che non sono in alcun modo virus, o ci sono virus che non sono virus contengono quanto sopra caratteristiche distintive(salvo possibilità di distribuzione).
Pertanto, sembra possibile formulare solo una condizione obbligatoria affinché una determinata sequenza di codice eseguibile sia un virus.
Proprietà obbligatoria (obbligatoria) di un virus informatico- la possibilità di creare propri duplicati (non sempre identici all'originale) e incorporarli in reti e/o file di computer, aree di sistema informatico e altri oggetti eseguibili. Allo stesso tempo, i duplicati conservano la possibilità di un'ulteriore distribuzione.
2. Classificazione dei virus informatici
I virus possono essere suddivisi in classi in base alle seguenti caratteristiche principali:
habitat;
sistema operativo;
caratteristiche dell'algoritmo di lavoro;
possibilità distruttive.
Dipende da habitat i virus possono essere suddivisi:
file;
stivale;
macrovirus;
Virus di file oppure sono incorporati in file eseguibili in vari modi, oppure creano file gemelli, oppure sfruttano le peculiarità dell'organizzazione del file system.
Virus di avvio scrivono se stessi nel settore di avvio del disco, o nel settore contenente il bootloader del disco rigido, oppure modificano il puntatore al settore di avvio.
Macrovirus infettare file di documenti e fogli di calcolo parecchi editori popolari.
Virus di rete utilizzare i protocolli o i comandi delle reti informatiche e della posta elettronica per la loro distribuzione.
Esistono molte combinazioni, come i virus di avvio dei file che infettano sia i file che i settori di avvio del disco. Tali virus, di regola, hanno un algoritmo di lavoro piuttosto complesso, che spesso utilizza metodi originali per penetrare nel sistema. Un altro esempio di tale combinazione è un virus macro di rete che non solo infetta i documenti modificati, ma invia anche copie di se stesso tramite e-mail.
Sistema operativo da infettareè il secondo livello di divisione dei virus in classi.
Ogni file e virus di rete infetta i file di uno o più sistemi operativi: DOS, Windows, Win95/NT, OS/2, ecc.
Macrovirus infettare i file Formati di parole, Excel, Office 97.
Virus di avvio si concentrano anche su formati specifici per la posizione dei dati di sistema nei settori di avvio dei dischi.
Tra caratteristiche dell'algoritmo di lavoro virus spiccano:
residenza;
utilizzo di algoritmi “stealth”;
autocrittografia e polimorfismo;
utilizzo di metodi non standard.
Virus residente quando un computer è infetto, lo lascia dentro memoria operativa la sua parte residente, che quindi intercetta le chiamate del sistema operativo agli oggetti infetti e si inietta in essi. I virus residenti sono attivi non solo durante l'esecuzione del programma infetto, ma anche dopo che il programma ha terminato il suo lavoro. Le copie residenti di tali virus rimangono valide fino al successivo riavvio, anche se tutti i file infetti vengono distrutti sul disco. Spesso è impossibile eliminare tali virus ripristinando tutte le copie dei file dai dischi di distribuzione. La copia residente del virus rimane attiva e infetta di nuovo file generati. Lo stesso vale per i virus di avvio, la formattazione di un'unità mentre è presente un virus residente in memoria non sempre cura l'unità, poiché molti virus residenti la reinfettano dopo che è stata formattata.
I virus delle macro possono essere considerati residenti, poiché sono presenti anche nella memoria del computer durante tutto il tempo in cui l'editor infetto è in esecuzione. In questo caso, il ruolo del sistema operativo è assunto dall'editor e il concetto di "riavvio del sistema operativo" è interpretato come uscita dall'editor.
I virus non residenti, al contrario, sono attivi per un tempo piuttosto breve, solo nel momento in cui viene avviato il programma infetto. Per la loro distribuzione, cercano i file non infetti sul disco e vi scrivono.
Dopo che il codice del virus ha trasferito il controllo al programma host, l'effetto del virus sul sistema operativo viene ridotto a zero fino al successivo avvio di qualsiasi programma infetto. Pertanto, i file infettati da virus non residenti sono molto più facili da rimuovere dal disco e il virus non li infetta più.
Utilizzo algoritmi “invisibili”. consente ai virus di nascondersi completamente o parzialmente nel sistema. L'algoritmo "stealth" più comune consiste nell'intercettare le richieste del sistema operativo di leggere/scrivere oggetti infetti e quindi i virus "stealth" li curano temporaneamente o sostituiscono informazioni non infette al loro posto. Nel caso dei virus delle macro, il metodo più diffuso consiste nel disabilitare le chiamate al menu di visualizzazione delle macro.
Crittografia automatica e polimorfismo sono utilizzati da quasi tutti i tipi di virus per complicare il più possibile la procedura di rilevamento dei virus. I virus polimorfici sono quelli impossibili (o estremamente difficili) da rilevare utilizzando le cosiddette maschere antivirus, sezioni di codice specifiche per un particolare virus. Ciò si ottiene in due modi: crittografando il codice del virus principale con una chiave non permanente e un insieme casuale di comandi di decrittografia o modificando il codice del virus stesso.
Vari trucchi non standard sono spesso usati nei virus per nascondersi il più in profondità possibile nel kernel del sistema operativo, proteggere la loro copia residente dal rilevamento, rendere difficile il trattamento di un virus, ecc.
Di possibilità distruttive i virus possono essere suddivisi in:
innocuo, cioè che non pregiudicano in alcun modo il funzionamento del computer (tranne la riduzione memoria libera su disco a seguito della sua distribuzione);
non pericoloso, il cui impatto è limitato a una diminuzione dello spazio libero su disco e di effetti grafici, sonori e di altro tipo;
virus pericolosi, che può portare a gravi malfunzionamenti del computer;
molto pericoloso: l'algoritmo del loro lavoro contiene deliberatamente procedure che possono causare la perdita di programmi, distruggere dati, cancellare le informazioni necessarie per il funzionamento del computer, registrate nelle aree di memoria del sistema.
Ma anche se nell'algoritmo del virus non si trovano rami che danneggiano il sistema, questo virus non può essere definito innocuo con piena sicurezza, poiché la sua penetrazione in un computer può causare conseguenze imprevedibili e talvolta catastrofiche. Dopotutto, un virus, come qualsiasi programma, presenta errori, a causa dei quali sia i file che i settori del disco possono essere danneggiati.
2.1 Virus di file
Questo gruppo include virus che, durante la loro riproduzione in un modo o nell'altro, utilizzano il file system di qualsiasi sistema operativo.
I file virus possono infettare quasi tutti i file eseguibili di tutti i sistemi operativi più diffusi.
Ci sono virus che infettano i file che contengono codice sorgente programmi, librerie o moduli oggetto. È possibile che un virus scriva su file di dati, ma ciò accade a causa di un errore nel virus o quando si manifestano le sue proprietà aggressive.
Algoritmo di lavoro virus di file:
Una volta controllato, il virus esegue le seguenti azioni:
un virus residente controlla la RAM per la presenza di una copia di se stesso e infetta la memoria del computer se non viene trovata una copia del virus; virus non residente cerca i file non infetti nelle directory correnti e (o) root, nelle directory contrassegnate con il comando PATH, scansiona l'albero delle directory unità logiche e quindi infetta i file rilevati;
svolge, se presenti, funzioni aggiuntive: azioni distruttive, effetti grafici o sonori, ecc. (ulteriori funzioni di un virus residente possono essere richiamate qualche tempo dopo l'attivazione, a seconda dell'ora corrente, della configurazione del sistema, dei contatori interni del virus o di altre condizioni; in questo caso, il virus, una volta attivato, elabora lo stato Orologio di sistema, imposta i suoi contatori, ecc.)
2.2 Virus di avvio
I virus di avvio infettano il settore di avvio di un floppy disk e il settore di avvio o MasterBootRecord (MBR) di un disco rigido. Il principio di funzionamento dei virus di avvio si basa sugli algoritmi per l'avvio del sistema operativo all'accensione o al riavvio del computer: dopo i test necessari dell'apparecchiatura installata (memoria, dischi), il programma avvio del sistema legge il primo settore fisico disco di avvio e trasferisce il controllo su A:, C: o CD-ROM, a seconda delle opzioni impostate in BIOSSetupe.
Nel caso di un floppy disk o di un disco CD, il settore di boot del disco riceve il controllo, che analizza la tabella dei parametri del disco, calcola gli indirizzi file di sistema sistema operativo, ne legge la memoria e li avvia per l'esecuzione. Se non sono presenti file del sistema operativo sul disco di avvio, il programma che si trova nel settore di avvio del disco visualizza un messaggio di errore e suggerisce di sostituire il disco di avvio.
Nel caso di un disco rigido, il controllo viene ricevuto da un programma che si trova nell'MBR del disco rigido. Analizza la tabella delle partizioni del disco (DiskPartitionTable), calcola l'indirizzo del settore di avvio attivo (di solito questo settore è il settore di avvio dell'unità C:), lo carica in memoria e gli trasferisce il controllo. Dopo aver ricevuto il controllo, il settore di avvio attivo del disco rigido esegue le stesse azioni dei settori di avvio del disco floppy.
Quando infettano i dischi, i virus di avvio sostituiscono il loro codice con un programma che assume il controllo all'avvio del sistema. Il principio dell'infezione: il virus “costringe” il sistema, al riavvio, a leggere in memoria e dare il controllo non al codice del bootloader originale, ma al codice del virus.
I floppy disk vengono infettati da un singolo modo noto: il virus scrive il proprio codice invece del codice del settore di avvio originale del floppy disk.
Winchester viene infettato con tre modi possibili: il virus viene scritto o al posto del codice MBR, oppure al posto del codice del settore di avvio del disco di avvio (solitamente C:), oppure modifica l'indirizzo del settore di avvio attivo nella DiskPartitionTable situata nell'MBR dell'hard unità.
Algoritmo del virus di avvio.
Quasi tutti i virus di avvio sono residenti. Vengono introdotti nella memoria del computer quando vengono avviati da un disco infetto. In questo caso, il caricatore di sistema legge il contenuto del primo settore del disco da cui viene caricato, inserisce le informazioni lette in memoria e trasferisce il controllo ad esso (cioè al virus). Successivamente, iniziano a essere eseguite le istruzioni del virus, che:
di norma, riduce la quantità di memoria libera, copia il suo codice nello spazio liberato e legge la sua continuazione dal disco (se presente);
intercetta i vettori di interrupt necessari, legge il settore di avvio originale in memoria e trasferisce il controllo ad esso.
In futuro, il boot virus si comporta allo stesso modo di un file virus residente: intercetta l'accesso del sistema operativo ai dischi e li infetta, a seconda di determinate condizioni, esegue azioni distruttive o provoca effetti sonori o video.
Esistono anche virus di avvio non residenti. Una volta caricati, infettano l'MBR del disco rigido e dei floppy disk, se presenti nell'unità. Quindi tali virus trasferiscono il controllo al bootloader originale e non influiscono più sul funzionamento del computer.
2.3 Virus macro
I macrovirus sono programmi in linguaggi (macrolinguaggi) integrati in alcuni sistemi di elaborazione dati ( editor di testo, fogli di calcolo). Per la loro riproduzione, tali virus utilizzano le capacità dei macrolinguaggi e con il loro aiuto si trasferiscono da un file (documento o tabella) ad altri. I virus macro per Microsoft Word, Excel e Office 97 sono i più diffusi.
Per l'esistenza di virus in un particolare sistema, è necessario disporre di un linguaggio macro integrato nel sistema con le seguenti capacità:
collegare un programma in un macrolinguaggio a un file specifico;
copiare i programmi macro da un file all'altro;
ottenere il controllo delle macro senza l'intervento dell'utente (macro automatiche o standard).
Algoritmo di funzionamento di Word-macrovirus
La maggior parte dei noti virus macro di Word, una volta lanciati, trasferiscono il proprio codice (macro) nell'area delle macro globali del documento; per questo utilizzano i comandi per copiare le macro MacroCopy, Organizer. Copia o usando l'editor di macro. Il virus lo chiama, crea una nuova macro, vi inserisce il suo codice, che salva nel documento.
Quando si esce da Word, le macro globali vengono scritte automaticamente nel file DOT delle macro globali (in genere NORMAL.DOT). Pertanto, al successivo avvio di Word, il virus viene attivato nel momento in cui WinWord carica le macro globali.
Quindi il virus ridefinisce una o più macro standard e intercetta i comandi per lavorare con i file. Quando vengono chiamati questi comandi, il virus infetta il file a cui si accede. Per fare ciò, il virus converte il file nel formato Modello (che rende impossibile modificare ulteriormente il formato del file), scrive le sue macro nel file, comprese le macro automatiche.
Pertanto, se un virus intercetta la macro FileSaveAs, ogni file DOS salvato tramite la macro intercettata dal virus viene infettato. Se la macro FileOpen viene intercettata, il virus si scrive sul file quando viene letto dal disco.
Algoritmo del virus macro Excel
I metodi di propagazione dei virus Excel sono generalmente simili a quelli dei virus Word. Le differenze sono nei comandi di copia macro e nell'assenza di NORMAL. DOT, la sua funzione (in senso virale) è svolta dai file della DIRECTORY STARTUP di Excel.
2.4 Virus di rete
I virus di rete includono virus che utilizzano attivamente i protocolli e le capacità delle reti locali e globali per la loro diffusione. Il principio di base di un virus di rete è la capacità di trasferire in modo indipendente il suo codice su un server o una workstation remota.
I virus di rete del passato si sono diffusi rete di computer e, di regola, non ha cambiato file o settori sui dischi. Sono penetrati nella memoria di un computer da una rete di computer, hanno calcolato gli indirizzi di rete di altri computer e hanno inviato le loro copie a questi indirizzi.
Moderno virus di reteè Macro. parola. condividi il divertimento e vinci. Omero. il primo di questi utilizza le funzionalità di posta elettronica di MicrosoftMail. Crea una nuova e-mail contenente un documento file infetto, quindi ne seleziona tre da un elenco di indirizzi MS-Mail. indirizzi casuali e invia loro una lettera infetta.
Il secondo virus (Omero) usa per diffondersi Protocollo FTP(FileTrausferProtocol) e ne trasferisce la copia al server ftp remoto nella directory Incoming. Poiché il protocollo di rete FTP non consente di eseguire file su un server remoto, questo virus può essere descritto come un virus di semi-rete, ma questo vero esempio capacità dei virus di utilizzare moderno protocolli di rete e la sconfitta delle reti globali.
3. Programmi antivirus
I programmi antivirus sono i più efficaci nella lotta contro i virus informatici. Tuttavia, va notato che non esistono antivirus che garantiscano una protezione al 100% contro i virus. Tali sistemi non esistono, poiché per qualsiasi algoritmo antivirus è sempre possibile offrire un controalgoritmo di virus invisibile a questo antivirus (per fortuna vale anche il contrario: per qualsiasi algoritmo antivirus si può sempre creare un antivirus ). Inoltre, l'impossibilità dell'esistenza di un antivirus assoluto è stata dimostrata matematicamente sulla base della teoria degli automi finiti, l'autore della dimostrazione è Fred Cohen.
La qualità di un programma antivirus è determinata dai seguenti elementi, elencati in ordine decrescente di importanza.
Affidabilità e facilità d'uso- nessun blocco antivirus e altro problemi tecnici che richiedono una formazione specifica da parte dell'utente.
Questo è il criterio più importante, poiché anche un antivirus assoluto può essere inutile se non riesce a completare il processo di scansione: si blocca e non controlla alcuni dischi e file e quindi lascia il virus inosservato nel sistema. Se l'antivirus richiede una conoscenza speciale dell'utente, sarà anche inutile, la maggior parte degli utenti ignorerà semplicemente i messaggi dell'antivirus.
Bene, se l'antivirus pone troppo spesso domande difficili all'utente medio, molto probabilmente l'utente smetterà di accedere a tale antivirus.
Qualità del rilevamento dei virus tutti i tipi comuni, scansione all'interno di file di documenti/fogli di calcolo (MSWord, Excel, Office), file compressi e archiviati. Nessun "falso positivo". Possibilità di disinfezione di oggetti infetti.
Qualsiasi antivirus è inutile se non è in grado di catturare virus o non lo fa abbastanza bene. Pertanto, la qualità del rilevamento dei virus è il secondo criterio più importante per la "qualità" di un programma antivirus. Tuttavia, se allo stesso tempo l'antivirus con alta qualità il rilevamento dei virus causa un gran numero di falsi positivi, quindi il suo livello di utilità diminuisce drasticamente, poiché l'utente è costretto a distruggere i file non infetti o a eseguire analisi in modo indipendente Documenti sospetti, o si abitua a frequenti falsi positivi: smette di prestare attenzione ai messaggi antivirus e, di conseguenza, perde il messaggio di un vero virus.
Multi piattaforma antivirus è l'elemento successivo dell'elenco, poiché solo un programma progettato per un sistema operativo specifico può utilizzare appieno le funzioni di questo sistema. Gli antivirus "non nativi" spesso si rivelano inutilizzabili e talvolta anche distruttivi.
Opportunità controllare i file al voloè anche una caratteristica piuttosto importante dell'antivirus. Istantaneo e controllo forzato i file che arrivano al computer e i floppy disk inseriti sono una garanzia quasi del 100% contro l'infezione da virus.
Il prossimo criterio più importante è velocità di lavoro. Se un antivirus impiega diverse ore per eseguire la scansione completa di un computer, è improbabile che la maggior parte degli utenti lo esegua abbastanza spesso. Allo stesso tempo, la lentezza dell'antivirus non significa affatto che catturi più virus e lo faccia meglio di un antivirus più veloce. Antivirus diversi utilizzano algoritmi diversi per la ricerca di virus, un algoritmo potrebbe risultare più veloce e migliore, l'altro più lento e meno valido. Tutto dipende dalle capacità e dalla professionalità degli sviluppatori di un particolare antivirus.
La presenza di funzioni e caratteristiche aggiuntive è all'ultimo posto nell'elenco delle qualità di un antivirus, poiché molto spesso queste funzioni non influiscono sul livello di utilità di un antivirus. Tuttavia, queste funzionalità aggiuntive semplificano notevolmente la vita dell'utente.
4. Tipi di antivirus
I programmi antivirus più popolari ed efficaci sono gli scanner antivirus. Sono seguiti da scanner CRC. Spesso entrambi questi metodi sono combinati in uno programma universale, che ne aumenta notevolmente la potenza. Applicare anche vari tipi monitor (bloccanti) e immunizzanti.
4.1 Scanner
Il principio di funzionamento degli scanner antivirus si basa sulla scansione di file, settori e memoria di sistema e sulla ricerca di virus noti e nuovi (sconosciuti allo scanner) al loro interno. Le cosiddette maschere vengono utilizzate per cercare virus noti. Una maschera antivirus è una sequenza di codice costante specifica per quel particolare virus. Se il virus non contiene una maschera o la lunghezza di questa maschera non è sufficientemente grande, vengono utilizzati altri metodi. Un esempio di tale metodo è linguaggio algoritmico descrivendo tutto opzioni possibili codice che si può incontrare quando viene infettato da questo tipo di virus.
Molti scanner utilizzano anche algoritmi di scansione euristica, ad es. analisi della sequenza dei comandi nell'oggetto controllato, raccolta di alcune statistiche e processo decisionale per ogni oggetto controllato.
I vantaggi degli scanner includono la loro versatilità, gli svantaggi sono le dimensioni dei database antivirus che gli scanner devono "portare con sé" e la velocità relativamente bassa di ricerca dei virus.
4.2 Scanner CRC
Il principio di funzionamento degli scanner CRC si basa sul calcolo delle somme CRC ( checksum) per i file/settori di sistema presenti sul disco. Queste somme CRC vengono quindi archiviate nel database dell'antivirus, così come alcune altre informazioni: lunghezze dei file, date della loro ultima modifica, ecc. Al successivo avvio degli scanner CRC, questi controllano i dati contenuti nel database con i valori effettivamente calcolati. Se le informazioni sul file registrate nel database non corrispondono ai valori reali, gli scanner CRC segnalano che il file è stato modificato o infettato da un virus.
Gli scanner CRC che utilizzano algoritmi "anti-stealth" sono un'arma abbastanza potente contro i virus: quasi il 100% dei virus viene rilevato quasi immediatamente dopo la loro comparsa su un computer. Tuttavia, questo tipo di antivirus presenta uno svantaggio che ne riduce notevolmente l'efficacia.
Questo svantaggio è che gli scanner CRC non sono in grado di catturare un virus al momento della sua comparsa nel sistema, ma lo fanno solo dopo un po' di tempo, dopo che il virus si è diffuso nel computer. Gli scanner CRC non sono in grado di rilevare un virus nei nuovi file perché il loro database non contiene informazioni su questi file.
Inoltre, periodicamente compaiono virus che sfruttano questa "debolezza" degli scanner CRC, infettano solo i file appena creati e quindi rimangono invisibili agli scanner CRC.
4.3 Monitor
I monitor antivirus sono programmi residenti che intercettano le situazioni di virus e ne informano l'utente. Le chiamate pericolose da virus includono le chiamate all'apertura per la scrittura su file eseguibili, la scrittura su settori di avvio dischi o l'MBR del disco rigido, tentativi da parte di programmi di rimanere residenti, ad es. sfide che sono caratteristiche dei virus al momento della loro riproduzione.
I vantaggi dei monitor includono la loro capacità di rilevare e bloccare il virus nelle prime fasi della sua riproduzione. Gli svantaggi includono l'esistenza di modi per aggirare la protezione del monitor e un gran numero di falsi positivi, che, a quanto pare, era la ragione del quasi completo fallimento utenti da questo tipo di programmi antivirus.
È inoltre necessario notare una tale direzione degli strumenti antivirus come i monitor antivirus, realizzati sotto forma di componenti hardware del computer. Tuttavia, come con i monitor software, questa protezione può essere facilmente aggirata. Anche agli svantaggi di cui sopra si aggiungono problemi di compatibilità con configurazioni standard computer e la complessità di installazione e configurazione. Tutto ciò rende i monitor hardware estremamente impopolari rispetto ad altri tipi. protezione antivirus.
4.4 Immunizzatori
Gli immunizzanti si dividono in due tipi: immunizzanti che segnalano l'infezione e immunizzanti che bloccano l'infezione.
I primi vengono solitamente scritti alla fine dei file e ogni volta che il file viene avviato, viene verificata la presenza di modifiche. Lo svantaggio di tali immunizzanti è solo uno, ma è letale: l'assoluta impossibilità di denunciare un'infezione con un virus "stealth". Pertanto, tali immunizzanti, così come i monitor, non sono praticamente utilizzati al momento.
Il secondo tipo di immunizzazione protegge il sistema dall'essere attaccato da un particolare tipo di virus. I file sui dischi vengono modificati in modo tale che il virus li prenda per quelli già infetti.
Per proteggersi da un virus residente, un programma che imita una copia del virus viene inserito nella memoria del computer; quando viene lanciato, il virus si imbatte in esso e ritiene che il sistema sia già infetto.
Questo tipo di immunizzazione non può essere universale, poiché è impossibile immunizzare i file contro tutti i virus conosciuti. Tuttavia, nonostante ciò, tali immunizzanti come mezza misura possono proteggere in modo abbastanza affidabile il computer dal nuovo virus sconosciuto fino al momento in cui viene rilevato dagli scanner antivirus.
Bibliografia
1. Kaspersky E.V. Virus informatici: cosa sono e come affrontarli. - M.: SK Press, 1998. - 288 pag.
2. Informatica. Corso base 2a edizione / Ed. SV Simonovich. - San Pietroburgo: Pietro, 2006. - 640 p.
