ΕΙΣΑΓΩΓΗ

Ζούμε στο τέλος δύο χιλιετιών, όταν η ανθρωπότητα έχει εισέλθει στην εποχή μιας νέας επιστημονικής και τεχνολογικής επανάστασης.

Μέχρι το τέλος του εικοστού αιώνα, οι άνθρωποι είχαν κατακτήσει πολλά από τα μυστικά του μετασχηματισμού της ύλης και της ενέργειας και ήταν σε θέση να χρησιμοποιήσουν αυτή τη γνώση για να βελτιώσουν τη ζωή τους. Εκτός όμως από την ύλη και την ενέργεια, ένα άλλο συστατικό παίζει τεράστιο ρόλο στην ανθρώπινη ζωή - η πληροφορία. Πρόκειται για μια μεγάλη ποικιλία πληροφοριών, μηνυμάτων, ειδήσεων, γνώσεων, δεξιοτήτων.

Στα μέσα του αιώνα μας υπήρχαν ειδικές συσκευές- Οι υπολογιστές επικεντρώθηκαν στην αποθήκευση και τη μετατροπή πληροφοριών και υπήρξε μια επανάσταση στους υπολογιστές.

Σήμερα, η μαζική χρήση προσωπικών υπολογιστών, δυστυχώς, αποδείχθηκε ότι σχετίζεται με την εμφάνιση αυτοαναπαραγόμενων προγραμμάτων ιών που εμποδίζουν την κανονική λειτουργία ενός υπολογιστή, καταστρέφουν τη δομή αρχείων των δίσκων και βλάπτουν τις πληροφορίες που είναι αποθηκευμένες σε έναν υπολογιστή.

Παρά τους νόμους που εγκρίθηκαν σε πολλές χώρες για την καταπολέμηση των εγκλημάτων ηλεκτρονικών υπολογιστών και την ανάπτυξη ειδικών εργαλεία λογισμικούπροστασία από ιούς, ο αριθμός των νέων ιούς λογισμικούαυξάνεται συνεχώς. Αυτό απαιτεί από τον χρήστη ενός προσωπικού υπολογιστή να γνωρίζει τη φύση των ιών, τον τρόπο μόλυνσης και προστασίας από ιούς. Αυτό ήταν το ερέθισμα για να επιλέξω το θέμα της δουλειάς μου.

Για αυτό μιλάω στο δοκίμιό μου. Δείχνω τους κύριους τύπους ιών, εξετάζω τα σχήματα λειτουργίας τους, τους λόγους εμφάνισής τους και τους τρόπους διείσδυσής τους στον υπολογιστή και προτείνω επίσης μέτρα προστασίας και πρόληψης.

Σκοπός της εργασίας είναι να εξοικειώσει τον χρήστη με τα βασικά της ιολογίας των υπολογιστών, να διδάξει πώς να ανιχνεύει ιούς και να τους καταπολεμά. Η μέθοδος εργασίας είναι η ανάλυση έντυπων δημοσιεύσεων για αυτό το θέμα. Αντιμετώπισα ένα δύσκολο έργο - να μιλήσω για αυτό που έχει ελάχιστα μελετηθεί και πώς συνέβη - εσείς να είστε ο κριτής.

1. ΟΙ ΥΠΟΛΟΓΙΣΤΕΣ ΚΑΙ ΟΙ ΙΔΙΟΤΗΤΕΣ ΤΟΥΣ ΚΑΙ ΤΑΞΙΝΟΜΗΣΗ

1.1. Ιδιότητες ιούς υπολογιστών

Τώρα χρησιμοποιούνται προσωπικοί υπολογιστές, στους οποίους ο χρήστης έχει ελεύθερη πρόσβαση σε όλους τους πόρους του μηχανήματος. Αυτό είναι που άνοιξε την πιθανότητα για τον κίνδυνο που έγινε γνωστός ως ιός υπολογιστών.

Τι είναι ένας ιός υπολογιστή; Επίσημος ορισμός αυτής της έννοιας δεν έχει ακόμη εφευρεθεί και υπάρχουν σοβαρές αμφιβολίες ότι μπορεί να δοθεί καθόλου. Πολλές προσπάθειες να δοθεί ένας «σύγχρονος» ορισμός του ιού δεν ήταν επιτυχείς. Για να νιώσετε την πολυπλοκότητα του προβλήματος, προσπαθήστε, για παράδειγμα, να ορίσετε την έννοια του "επεξεργαστή". Είτε θα καταλήξετε σε κάτι πολύ γενικό, είτε θα αρχίσετε να απαριθμείτε όλους τους γνωστούς τύπους συντακτών. Και τα δύο δύσκολα μπορούν να θεωρηθούν αποδεκτά. Επομένως, θα περιοριστούμε στην εξέταση ορισμένων ιδιοτήτων των ιών υπολογιστών που μας επιτρέπουν να μιλάμε για αυτούς ως μια συγκεκριμένη κατηγορία προγραμμάτων.

Πρώτα απ 'όλα, ένας ιός είναι ένα πρόγραμμα. Μια τόσο απλή δήλωση από μόνη της μπορεί να διαλύσει πολλούς θρύλους σχετικά με τις εξαιρετικές δυνατότητες των ιών υπολογιστών. Ο ιός μπορεί να αναστρέψει την εικόνα στην οθόνη σας, αλλά δεν μπορεί να γυρίσει την ίδια την οθόνη. Στους θρύλους για τους δολοφόνους ιούς που «καταστρέφουν τους χειριστές εμφανίζοντας ένα θανατηφόρο χρωματιστά 25ο καρέ» δεν πρέπει επίσης να ληφθεί σοβαρά υπόψη. Δυστυχώς, ορισμένες έγκυρες δημοσιεύσεις κατά καιρούς δημοσιεύουν «τα τελευταία νέα από το μέτωπο των υπολογιστών», τα οποία, μετά από προσεκτικότερη εξέταση, αποδεικνύεται ότι είναι αποτέλεσμα μιας όχι απολύτως σαφής κατανόησης του θέματος.

Ένας ιός είναι ένα πρόγραμμα που έχει τη δυνατότητα να αναπαραχθεί. Αυτή η ικανότητα είναι το μόνο μέσο που υπάρχει σε όλους τους τύπους ιών. Αλλά όχι μόνο οι ιοί είναι ικανοί να αυτοαναπαραχθούν. Οποιοδήποτε λειτουργικό σύστημα και πολλά άλλα προγράμματα είναι σε θέση να δημιουργήσουν τα δικά τους αντίγραφα. Τα αντίγραφα του ίδιου ιού όχι μόνο δεν χρειάζεται να ταιριάζουν πλήρως με το πρωτότυπο, αλλά μπορεί να μην ταιριάζουν καθόλου!

Ένας ιός δεν μπορεί να υπάρχει σε "πλήρη απομόνωση": σήμερα δεν μπορεί κανείς να φανταστεί έναν ιό που δεν χρησιμοποιεί κώδικα άλλων προγραμμάτων, πληροφορίες δομής αρχείων ή ακόμα και μόνο ονόματα άλλων προγραμμάτων. Ο λόγος είναι ξεκάθαρος: ο ιός πρέπει με κάποιο τρόπο να εξασφαλίσει τη μεταφορά του ελέγχου στον εαυτό του.

1.2. Ταξινόμηση ιών

Επί του παρόντος, είναι γνωστοί περισσότεροι από 5.000 ιοί λογισμικού, οι οποίοι μπορούν να ταξινομηθούν σύμφωνα με τα ακόλουθα κριτήρια:

βιότοπο

¨ τρόπος μόλυνσης του περιβάλλοντος

επίπτωση

¨ χαρακτηριστικά του αλγορίθμου

Ανάλογα με το περιβάλλον, οι ιοί μπορούν να χωριστούν σε δίκτυο, αρχείο, εκκίνηση και αρχείο-εκκίνηση. Ιοί δικτύουδιανέμονται σε διάφορα δίκτυα υπολογιστών. Οι ιοί αρχείων εισάγονται κυρίως σε εκτελέσιμες μονάδες, δηλαδή σε αρχεία με επεκτάσεις COM και EXE. Ιοί αρχείωνμπορούν να ενσωματωθούν σε άλλους τύπους αρχείων, αλλά, κατά κανόνα, γραμμένα σε τέτοια αρχεία, δεν παίρνουν ποτέ τον έλεγχο και, ως εκ τούτου, χάνουν την ικανότητα αναπαραγωγής. Εκκίνηση ιώνείναι ενσωματωμένα στον τομέα εκκίνησης του δίσκου (τομέας εκκίνησης) ή στον τομέα που περιέχει το πρόγραμμα εκκίνησης δίσκο συστήματος(Master Boot Re-

κορδόνι). Εκκίνηση αρχείουοι ιοί μολύνουν τόσο τα αρχεία όσο και τομείς εκκίνησηςδίσκους.

Σύμφωνα με τη μέθοδο μόλυνσης, οι ιοί χωρίζονται σε μόνιμους και μη μόνιμους. Μόνιμος ιόςόταν μολύνει (μολύνει) έναν υπολογιστή, τον αφήνει μέσα μνήμη τυχαίας προσπέλασηςτο μόνιμο τμήμα του, το οποίο στη συνέχεια παρεμποδίζει την πρόσβαση του λειτουργικού συστήματος σε μολυσμένα αντικείμενα (αρχεία, τομείς εκκίνησης δίσκου, κ.λπ.) και εγχέεται σε αυτά. Οι μόνιμοι ιοί βρίσκονται στη μνήμη και παραμένουν ενεργοί μέχρι να απενεργοποιηθεί ή να επανεκκινηθεί ο υπολογιστής. Μη μόνιμοι ιοίδεν μολύνουν τη μνήμη του υπολογιστή και είναι ενεργά για περιορισμένο χρονικό διάστημα.

Ανάλογα με τον βαθμό επιρροής, οι ιοί μπορούν να χωριστούν στους ακόλουθους τύπους:

¨ μη επικίνδυνο, τα οποία δεν παρεμβαίνουν στη λειτουργία του υπολογιστή, αλλά μειώνουν την ποσότητα της ελεύθερης μνήμης RAM και του χώρου στο δίσκο, οι ενέργειες τέτοιων ιών εκδηλώνονται σε οποιαδήποτε γραφικά ή ηχητικά εφέ

¨ επικίνδυνοςιούς που μπορούν να προκαλέσουν διάφορα προβλήματα στον υπολογιστή σας

¨ πολύ επικίνδυνο, ο αντίκτυπος του οποίου μπορεί να οδηγήσει σε απώλεια προγραμμάτων, καταστροφή δεδομένων, διαγραφή πληροφοριών στις περιοχές συστήματος του δίσκου.

2. ΚΥΡΙΟΙ ΤΥΠΟΙ ΙΩΝ ΚΑΙ ΣΧΗΜΑΤΑ ΛΕΙΤΟΥΡΓΙΑΣ ΤΟΥΣ

Μεταξύ της ποικιλίας των ιών, διακρίνονται οι ακόλουθες κύριες ομάδες:

μπότα

αρχείο

¨ αρχείο-εκκίνηση

Τώρα με περισσότερες λεπτομέρειες για καθεμία από αυτές τις ομάδες.

2.1. Εκκίνηση ιών

Εξετάστε τη λειτουργία ενός πολύ απλού ιού εκκίνησης που μολύνει τις δισκέτες. Παρακάμπτουμε σκόπιμα όλες τις πολυάριθμες λεπτότητες που αναπόφευκτα θα συναντούσαμε σε μια αυστηρή ανάλυση του αλγορίθμου για τη λειτουργία του.

Τι συμβαίνει όταν ενεργοποιείτε τον υπολογιστή σας; Πρώτον, μεταβιβάζεται ο έλεγχος πρόγραμμα bootstrap, το οποίο αποθηκεύεται στη μνήμη μόνο για ανάγνωση (ROM) π.χ. PNZ ROM.

Αυτό το πρόγραμμα ελέγχει το υλικό και, αν περάσουν οι δοκιμές, προσπαθεί να βρει τη δισκέτα στη μονάδα δίσκου Α:

Κάθε δισκέτα σημειώνεται στο λεγόμενο. τομείς και τροχιές. Οι τομείς συνδυάζονται σε ομάδες, αλλά αυτό δεν είναι απαραίτητο για εμάς.

Μεταξύ των τομέων υπάρχουν αρκετοί υπηρεσίες που χρησιμοποιεί το λειτουργικό σύστημα για τις δικές του ανάγκες (τα δεδομένα σας δεν μπορούν να τοποθετηθούν σε αυτούς τους τομείς). Μεταξύ των τομέων υπηρεσιών, μας ενδιαφέρει ακόμα ένας - το λεγόμενο. τομέας bootstrap(τομέας εκκίνησης).

Ο τομέας bootstrap καταστήματα πληροφορίες δισκέτας- ο αριθμός των επιφανειών, ο αριθμός των κομματιών, ο αριθμός των τομέων κ.λπ. Αλλά τώρα δεν μας ενδιαφέρουν αυτές οι πληροφορίες, αλλά για μια μικρή πρόγραμμα bootstrap(PNZ), το οποίο θα πρέπει να φορτώσει το ίδιο το λειτουργικό σύστημα και να μεταφέρει τον έλεγχο σε αυτό.

Έτσι, το κανονικό μοτίβο bootstrap είναι το εξής:

Τώρα σκεφτείτε τον ιό. Στους ιούς εκκίνησης, διακρίνονται δύο μέρη - τα λεγόμενα. κεφάλικαι τα λοιπά. ουρά. Η ουρά, γενικά, μπορεί να είναι άδεια.

Ας υποθέσουμε ότι έχετε μια κενή δισκέτα και έναν μολυσμένο υπολογιστή, με τον οποίο εννοούμε έναν υπολογιστή με ενεργό μόνιμο ιό. Μόλις αυτός ο ιός εντοπίσει ότι έχει εμφανιστεί ένα κατάλληλο θύμα στη μονάδα δίσκου - στην περίπτωσή μας, μια δισκέτα που δεν είναι προστατευμένη από εγγραφή και δεν έχει ακόμη μολυνθεί, προχωρά στη μόλυνση. Όταν μολύνει μια δισκέτα, ο ιός εκτελεί τις ακόλουθες ενέργειες:

Εκχωρεί μια συγκεκριμένη περιοχή του δίσκου και την επισημαίνει ως απρόσιτη στο λειτουργικό σύστημα, αυτό μπορεί να γίνει με διαφορετικούς τρόπους, στην απλούστερη και παραδοσιακή περίπτωση, οι τομείς που καταλαμβάνονται από τον ιό επισημαίνονται ως κακοί (κακοί)

Αντιγράφει την ουρά του και τον αρχικό (υγιεινό) τομέα εκκίνησης στην επιλεγμένη περιοχή του δίσκου

Αντικαθιστά το πρόγραμμα bootstrap στον (πραγματικό) τομέα εκκίνησης με την κεφαλή του

Οργανώνει την αλυσίδα μεταφοράς ελέγχου σύμφωνα με το σχήμα.

Έτσι, ο επικεφαλής του ιού είναι πλέον ο πρώτος που παίρνει τον έλεγχο, ο ιός εγκαθίσταται στη μνήμη και μεταφέρει τον έλεγχο στον αρχικό τομέα εκκίνησης. Σε μια αλυσίδα

PNZ (ROM) - PNZ (δίσκος) - SYSTEM

εμφανίζεται ένας νέος σύνδεσμος:

PNZ (ROM) - ΙΟΣ - PNZ (δίσκος) - ΣΥΣΤΗΜΑ

Το ηθικό δίδαγμα είναι ξεκάθαρο: Μην αφήνετε ποτέ (κατά λάθος) δισκέτες στη μονάδα δίσκου Α.

Εξετάσαμε τη λειτουργία ενός απλού ιού butovy που ζει στους τομείς εκκίνησης των δισκέτας. Κατά κανόνα, οι ιοί μπορούν να μολύνουν όχι μόνο τους τομείς εκκίνησης των δισκέτας, αλλά και τους τομείς εκκίνησης των σκληρών δίσκων. Σε αυτήν την περίπτωση, σε αντίθεση με τις δισκέτες, ένας σκληρός δίσκος έχει δύο τύπους τομέων εκκίνησης που περιέχουν προγράμματα εκκίνησης που λαμβάνουν έλεγχο. Κατά την εκκίνηση ενός υπολογιστή από έναν σκληρό δίσκο, το πρόγραμμα εκκίνησης στο MBR (Master Boot Record - Master Boot Record) αναλαμβάνει πρώτο τον έλεγχο. Εάν ο σκληρός δίσκος σας χωρίζεται σε πολλά διαμερίσματα, τότε μόνο ένα από αυτά επισημαίνεται ως εκκινήσιμο (boot). Το πρόγραμμα bootstrap στο MBR βρίσκει το διαμέρισμα εκκίνησης του σκληρού δίσκου και μεταφέρει τον έλεγχο στον φορτωτή εκκίνησης αυτού του διαμερίσματος. Ο κωδικός του τελευταίου είναι ο ίδιος με τον κωδικό του προγράμματος εκκίνησης που περιέχεται σε συνηθισμένες δισκέτες και οι αντίστοιχοι τομείς εκκίνησης διαφέρουν μόνο στους πίνακες παραμέτρων. Έτσι, υπάρχουν δύο αντικείμενα επίθεσης ιών εκκίνησης στον σκληρό δίσκο - πρόγραμμα bootstrap σε MBRκαι στοιχειώδης λήψεις στον τομέα εκκίνησηςδίσκος εκκίνησης.

2.2. Ιοί αρχείων

Ας εξετάσουμε τώρα πώς λειτουργεί ένας απλός ιός αρχείων. Σε αντίθεση με τους ιούς εκκίνησης, οι οποίοι είναι σχεδόν πάντα μόνιμοι, οι ιοί αρχείων δεν είναι απαραίτητα μόνιμοι. Ας εξετάσουμε το σχήμα λειτουργίας ενός ιού αρχείων που δεν είναι κάτοικος. Ας υποθέσουμε ότι έχουμε ένα μολυσμένο εκτελέσιμο αρχείο. Κατά την εκκίνηση ενός τέτοιου αρχείου, ο ιός αναλαμβάνει τον έλεγχο, εκτελεί ορισμένες ενέργειες και μεταφέρει τον έλεγχο στον "κύριο" (αν και είναι ακόμα άγνωστο ποιος είναι ο κύριος σε μια τέτοια κατάσταση).

Τι ενέργειες κάνει ο ιός; Ψάχνει για ένα νέο αντικείμενο για μόλυνση - ένα αρχείο κατάλληλου τύπου που δεν έχει ακόμη μολυνθεί (σε περίπτωση που ο ιός είναι "αξιοπρεπής", διαφορετικά υπάρχουν και αυτά που μολύνουν αμέσως χωρίς να ελέγξουν τίποτα). Μολύνοντας ένα αρχείο, ο ιός εγχέεται στον κώδικά του για να αποκτήσει τον έλεγχο κατά την εκτέλεση του αρχείου. Εκτός από την κύρια λειτουργία του - την αναπαραγωγή, ο ιός μπορεί κάλλιστα να κάνει κάτι περίπλοκο (ας πούμε, ρωτήστε, παίξτε) - αυτό εξαρτάται ήδη από τη φαντασία του συγγραφέα του ιού. Εάν ένας ιός αρχείου είναι εγκατεστημένος, θα εγκατασταθεί στη μνήμη και θα αποκτήσει τη δυνατότητα να μολύνει αρχεία και να εμφανίζει άλλες ικανότητες όχι μόνο όταν εκτελείται το μολυσμένο αρχείο. Μολύνοντας ένα εκτελέσιμο αρχείο, ένας ιός τροποποιεί πάντα τον κώδικά του - επομένως, μια μόλυνση ενός εκτελέσιμου αρχείου μπορεί πάντα να ανιχνευθεί. Αλλά αλλάζοντας τον κώδικα του αρχείου, ο ιός δεν κάνει απαραίτητα άλλες αλλαγές:

à δεν υποχρεούται να αλλάξει το μήκος του αρχείου

à αχρησιμοποίητα τμήματα κώδικα

à δεν απαιτείται για την αλλαγή της αρχής του αρχείου

Τέλος, οι ιοί αρχείων συχνά περιλαμβάνουν ιούς που «έχουν κάποια σχέση με αρχεία», αλλά δεν απαιτείται να εισβάλουν στον κώδικά τους. Ας εξετάσουμε ως παράδειγμα το σχήμα λειτουργίας των ιών της γνωστής οικογένειας Dir-II. Πρέπει να παραδεχτούμε ότι αφού εμφανίστηκαν το 1991, αυτοί οι ιοί προκάλεσαν μια πραγματική επιδημία πανώλης στη Ρωσία. Σκεφτείτε ένα μοντέλο που δείχνει ξεκάθαρα τη βασική ιδέα ενός ιού. Οι πληροφορίες σχετικά με τα αρχεία αποθηκεύονται σε καταλόγους. Κάθε καταχώρηση καταλόγου περιλαμβάνει ένα όνομα αρχείου, ημερομηνία και ώρα δημιουργίας, μερικά Επιπλέον πληροφορίες, αριθμός του πρώτου συμπλέγματοςαρχείο κ.λπ. εφεδρικά byte. Τα τελευταία μένουν «σε εφεδρεία» και το ίδιο το MS-DOS δεν χρησιμοποιείται.

Κατά την εκτέλεση εκτελέσιμων αρχείων, το σύστημα διαβάζει το πρώτο σύμπλεγμα του αρχείου από την καταχώριση καταλόγου και μετά όλα τα άλλα συμπλέγματα. Οι ιοί της οικογένειας Dir-II παράγουν την ακόλουθη "αναδιοργάνωση" του συστήματος αρχείων: ο ίδιος ο ιός εγγράφεται σε ορισμένους τομείς ελεύθερου δίσκου, τους οποίους επισημαίνει ως κακούς. Επιπλέον, αποθηκεύει πληροφορίες σχετικά με τα πρώτα συμπλέγματα εκτελέσιμων αρχείων σε εφεδρικά bit και γράφει αναφορές στον εαυτό του στη θέση αυτών των πληροφοριών.

Έτσι, όταν εκκινείται οποιοδήποτε αρχείο, ο ιός λαμβάνει τον έλεγχο (το λειτουργικό σύστημα το εκκινεί μόνο του), μένει στη μνήμη και μεταφέρει τον έλεγχο στο καλούμενο αρχείο.

2.3. Ιοί αρχείων εκκίνησης

Δεν θα εξετάσουμε το μοντέλο του ιού του αρχείου εκκίνησης, επειδή δεν θα μάθετε νέες πληροφορίες σε αυτήν την περίπτωση. Αλλά εδώ είναι μια ευκαιρία να συζητήσουμε εν συντομία τον πρόσφατα εξαιρετικά "δημοφιλή" ιό του αρχείου εκκίνησης OneHalf που μολύνει τον κύριο τομέα εκκίνησης (MBR) και τα εκτελέσιμα αρχεία. Η κύρια καταστροφική ενέργεια είναι η κρυπτογράφηση τομέων σκληρού δίσκου. Με κάθε εκκίνηση, ο ιός κρυπτογραφεί το επόμενο τμήμα των τομέων και αφού κρυπτογραφήσει τους μισούς σκληρός δίσκος, το ανακοινώνει με χαρά. Το κύριο πρόβλημα στη θεραπεία αυτού του ιού είναι ότι δεν αρκεί απλώς να αφαιρέσετε τον ιό από το MBR και τα αρχεία, αλλά είναι απαραίτητο να αποκρυπτογραφήσετε τις πληροφορίες που κρυπτογραφούνται από αυτό. Η πιο «θανατηφόρα» ενέργεια είναι απλά να ξαναγράψετε ένα νέο υγιές MBR. Το κύριο πράγμα - μην πανικοβληθείτε. Ζυγίστε τα πάντα ήρεμα, συμβουλευτείτε ειδικούς.

2.4. Πολυμορφικοί ιοί

Οι περισσότερες ερωτήσεις σχετίζονται με τον όρο «πολυμορφικός ιός». Αυτός ο τύπος ιών υπολογιστών είναι μακράν ο πιο επικίνδυνος. Ας εξηγήσουμε τι είναι.

Οι πολυμορφικοί ιοί είναι ιοί που τροποποιούν τον κώδικά τους σε μολυσμένα προγράμματα με τέτοιο τρόπο ώστε δύο περιπτώσεις του ίδιου ιού να μην ταιριάζουν σε ένα bit.

Τέτοιοι ιοί όχι μόνο κρυπτογραφούν τον κώδικά τους χρησιμοποιώντας διαφορετικές διαδρομές κρυπτογράφησης, αλλά περιέχουν επίσης τον κωδικό δημιουργίας του κρυπτογραφητή και του αποκρυπτογραφητή, που τους διακρίνει από τους συνηθισμένους ιούς κρυπτογράφησης, οι οποίοι μπορούν επίσης να κρυπτογραφήσουν μέρη του κώδικά τους, αλλά ταυτόχρονα έχουν έναν σταθερό κωδικό του κρυπτογραφητή και του αποκρυπτογραφητή.

Οι πολυμορφικοί ιοί είναι ιοί με αυτοτροποποιούμενους αποκωδικοποιητές. Ο σκοπός αυτής της κρυπτογράφησης είναι ότι εάν έχετε ένα μολυσμένο και πρωτότυπο αρχείο, δεν θα μπορείτε να αναλύσετε τον κώδικά του χρησιμοποιώντας συμβατική αποσυναρμολόγηση. Αυτός ο κώδικας είναι κρυπτογραφημένος και είναι ένα σύνολο εντολών χωρίς νόημα. Η αποκρυπτογράφηση εκτελείται από τον ίδιο τον ιό κατά το χρόνο εκτέλεσης. Ταυτόχρονα, είναι δυνατές επιλογές: μπορεί να αποκρυπτογραφήσει τον εαυτό του ταυτόχρονα ή μπορεί να εκτελέσει μια τέτοια αποκρυπτογράφηση "εν κινήσει", μπορεί και πάλι να κρυπτογραφήσει τα ήδη επεξεργασμένα τμήματα. Όλα αυτά γίνονται για να είναι δύσκολη η ανάλυση του κώδικα του ιού.

3. ΙΣΤΟΡΙΚΟ ΙΟΛΟΓΙΑΣ ΥΠΟΛΟΓΙΣΤΗ ΚΑΙ ΑΙΤΙΑ ΙΩΝ

Η ιστορία της ιολογίας των υπολογιστών σήμερα φαίνεται να είναι ένας συνεχής «αγώνας για τον ηγέτη» και, παρά την πλήρη ισχύ των σύγχρονων προγραμμάτων προστασίας από ιούς, οι ιοί είναι αυτοί που είναι οι ηγέτες. Μεταξύ των χιλιάδων ιών, μόνο μερικές δεκάδες είναι πρωτότυπες εξελίξεις που χρησιμοποιούν πραγματικά θεμελιωδώς νέες ιδέες. Όλα τα άλλα είναι "παραλλαγές σε ένα θέμα". Αλλά κάθε πρωτότυπη εξέλιξη αναγκάζει τους δημιουργούς των antivirus να προσαρμοστούν στις νέες συνθήκες, να προλάβουν την τεχνολογία των ιών. Το τελευταίο μπορεί να αμφισβητηθεί. Για παράδειγμα, το 1989, ένας Αμερικανός φοιτητής κατάφερε να δημιουργήσει έναν ιό που απενεργοποίησε περίπου 6.000 υπολογιστές του Υπουργείου Άμυνας των ΗΠΑ. Ή η επιδημία του διάσημου ιού Dir-II που ξέσπασε το 1991. Ο ιός χρησιμοποίησε μια πραγματικά πρωτότυπη, ριζικά νέα τεχνολογία και στην αρχή κατάφερε να εξαπλωθεί ευρέως λόγω της ατέλειας των παραδοσιακών εργαλεία κατά των ιών.

Ή το ξέσπασμα των ιών υπολογιστών στο Ηνωμένο Βασίλειο: ο Christopher Pine κατάφερε να δημιουργήσει τους ιούς Pathogen και Queeq, καθώς και τον ιό Smeg. Ήταν το τελευταίο που ήταν το πιο επικίνδυνο, μπορούσε να εφαρμοστεί στους δύο πρώτους ιούς και γι' αυτό, μετά από κάθε εκτέλεση του προγράμματος, άλλαζαν τη διαμόρφωση. Ως εκ τούτου, ήταν αδύνατο να καταστραφούν. Για να διαδώσει ιούς, η Pine αντέγραψε παιχνίδια στον υπολογιστήκαι προγράμματα, τα μόλυναν και μετά τα έστειλαν πίσω στο δίκτυο. Οι χρήστες κατέβασαν μολυσμένα προγράμματα στους υπολογιστές τους και μολυσμένους δίσκους. Η κατάσταση επιδεινώθηκε από το γεγονός ότι το Pine κατάφερε να φέρει ιούς στο πρόγραμμα που τους καταπολεμά. Με την εκτέλεση του, οι χρήστες αντί να καταστρέψουν ιούς έλαβαν έναν άλλο. Ως αποτέλεσμα, τα αρχεία πολλών εταιρειών καταστράφηκαν, οι ζημίες ανήλθαν σε εκατομμύρια λίρες.

Ο Αμερικανός προγραμματιστής Morris είναι ευρέως γνωστός. Είναι γνωστός ως ο δημιουργός του ιού που τον Νοέμβριο του 1988 μόλυνε περίπου 7.000 προσωπικούς υπολογιστές συνδεδεμένους στο Διαδίκτυο.

Οι λόγοι για την εμφάνιση και εξάπλωση των ιών υπολογιστών, αφενός, κρύβονται στην ψυχολογία της ανθρώπινης προσωπικότητας και στις σκιώδεις πλευρές της (φθόνος, εκδίκηση, ματαιοδοξία μη αναγνωρισμένων δημιουργών, αδυναμία εποικοδομητικής εφαρμογής των ικανοτήτων τους), από την άλλη πλευρά, λόγω της έλλειψης προστασίας υλικού και αντιδράσεων από το χειρουργείο.συστήματα προσωπικών υπολογιστών.

4. ΤΡΟΠΟΙ ΔΙΕΙΣΔΥΣΗΣ ΙΩΝ ΣΕ ΥΠΟΛΟΓΙΣΤΗ ΚΑΙ ΜΗΧΑΝΙΣΜΟΣ ΔΙΑΝΟΜΗΣ ΠΡΟΓΡΑΜΜΑΤΩΝ ΙΩΝ

Οι κύριοι τρόποι εισόδου ιών σε έναν υπολογιστή είναι οι αφαιρούμενοι δίσκοι (δισκέτα και λέιζερ), καθώς και τα δίκτυα υπολογιστών. Η μόλυνση του σκληρού δίσκου από ιούς μπορεί να συμβεί όταν φορτώνεται ένα πρόγραμμα από μια δισκέτα που περιέχει έναν ιό. Μια τέτοια μόλυνση μπορεί επίσης να είναι τυχαία, για παράδειγμα, εάν η δισκέτα δεν αφαιρέθηκε από τη μονάδα δίσκου Α και ο υπολογιστής επανεκκινήθηκε, ενώ η δισκέτα μπορεί να μην είναι δισκέτα συστήματος. Είναι πολύ πιο εύκολο να μολύνεις μια δισκέτα. Ένας ιός μπορεί να τον κολλήσει ακόμα κι αν η δισκέτα απλώς εισαχθεί στη μονάδα δίσκου ενός μολυσμένου υπολογιστή και, για παράδειγμα, γίνει ανάγνωση του πίνακα περιεχομένων της.

Ο ιός, κατά κανόνα, εισάγεται στο πρόγραμμα εργασίας με τέτοιο τρόπο ώστε όταν εκκινηθεί, ο έλεγχος μεταφέρεται πρώτα σε αυτόν και μόνο μετά την εκτέλεση όλων των εντολών του επιστρέφει ξανά στο πρόγραμμα εργασίας. Έχοντας αποκτήσει πρόσβαση στον έλεγχο, ο ιός πρώτα απ 'όλα ξαναγράφεται σε άλλο πρόγραμμα εργασίας και το μολύνει. Μετά την εκτέλεση ενός προγράμματος που περιέχει έναν ιό, καθίσταται δυνατή η μόλυνση άλλων αρχείων. Τις περισσότερες φορές, ο τομέας εκκίνησης του δίσκου και τα εκτελέσιμα αρχεία με τις επεκτάσεις EXE, COM, SYS, BAT έχουν μολυνθεί από τον ιό. Τα αρχεία κειμένου μολύνονται εξαιρετικά σπάνια.

Μετά τη μόλυνση του προγράμματος, ο ιός μπορεί να εκτελέσει κάποιου είδους δολιοφθορά, όχι πολύ σοβαρό για να μην τραβήξει την προσοχή. Και τέλος, μην ξεχάσετε να επιστρέψετε τον έλεγχο στο πρόγραμμα από το οποίο ξεκίνησε. Κάθε εκτέλεση ενός μολυσμένου προγράμματος μεταφέρει τον ιό στο επόμενο. Άρα όλα μολύνονται. λογισμικό.

Για την απεικόνιση της διαδικασίας μόλυνσης πρόγραμμα υπολογιστήΩς ιός, είναι λογικό να παρομοιάζουμε την αποθήκευση δίσκου με ένα παλιομοδίτικο αρχείο με φακέλους σε κασέτα. Οι φάκελοι περιέχουν προγράμματα και η σειρά των λειτουργιών για την εισαγωγή ενός ιού σε αυτήν την περίπτωση θα μοιάζει με αυτό. (Βλ. Παράρτημα 1)

5. ΣΗΜΑΔΙΑ ΙΩΝ

Όταν ένας υπολογιστής έχει μολυνθεί από έναν ιό, είναι σημαντικό να τον εντοπίσετε. Για να γίνει αυτό, θα πρέπει να γνωρίζετε τα κύρια σημάδια της εκδήλωσης ιών. Αυτά περιλαμβάνουν τα ακόλουθα:

¨ τερματισμός εργασιών ή εσφαλμένη λειτουργία προγραμμάτων που λειτουργούσαν με επιτυχία στο παρελθόν

¨ αργή απόδοση υπολογιστή

¨ αδυναμία εκκίνησης του λειτουργικού συστήματος

¨ εξαφάνιση αρχείων και καταλόγων ή παραμόρφωση του περιεχομένου τους

¨ αλλαγή της ημερομηνίας και της ώρας τροποποίησης των αρχείων

¨ αλλαγή μεγέθους αρχείου

¨ απροσδόκητη μεγάλη αύξηση στον αριθμό των αρχείων στο δίσκο

¨ σημαντική μείωση στο μέγεθος της ελεύθερης μνήμης RAM

¨ εμφάνιση απροσδόκητων μηνυμάτων ή εικόνων στην οθόνη

¨ υποβολή απρόβλεπτων ηχητικά σήματα

¨ συχνά παγώματα και σφάλματα υπολογιστή

Θα πρέπει να σημειωθεί ότι τα παραπάνω φαινόμενα δεν προκαλούνται απαραίτητα από την παρουσία του ιού, αλλά μπορεί να οφείλονται σε άλλα αίτια. Επομένως, είναι πάντα δύσκολο να γίνει σωστή διάγνωση της κατάστασης του υπολογιστή.

6. ΑΝΙΧΝΕΥΣΗ ΙΩΝ ΚΑΙ ΜΕΤΡΑ ΠΡΟΣΤΑΣΙΑΣ ΚΑΙ ΠΡΟΛΗΨΗΣ

6.1. Πώς να εντοπίσετε έναν ιό ? Παραδοσιακή προσέγγιση

Έτσι, ένας συγκεκριμένος συγγραφέας ιών δημιουργεί έναν ιό και τον εκτοξεύει στη «ζωή». Μπορεί για κάποιο διάστημα να περπατήσει ελεύθερα, αλλά αργά ή γρήγορα η «λάφα» θα τελειώσει. Κάποιος θα υποψιαστεί ότι κάτι δεν πάει καλά. Συνήθως εντοπίζονται ιοί απλούς χρήστεςπου παρατηρούν ορισμένες ανωμαλίες στη συμπεριφορά του υπολογιστή. Στις περισσότερες περιπτώσεις, δεν είναι σε θέση να αντιμετωπίσουν τη μόλυνση μόνοι τους, αλλά αυτό δεν απαιτείται από αυτούς.

Είναι απαραίτητο μόνο ο ιός να φτάσει στα χέρια ειδικών το συντομότερο δυνατό. Οι επαγγελματίες θα τον μελετήσουν, θα μάθουν "τι κάνει", "πώς κάνει", "πότε το κάνει", κ.λπ. Στη διαδικασία μιας τέτοιας εργασίας, όλες οι απαραίτητες πληροφορίες για αυτός ο ιός, συγκεκριμένα, τονίζεται η υπογραφή του ιού - μια ακολουθία byte που τον χαρακτηρίζει σίγουρα. Για τη δημιουργία μιας υπογραφής, λαμβάνονται συνήθως τα πιο σημαντικά και χαρακτηριστικά μέρη του κώδικα ιών. Ταυτόχρονα, οι μηχανισμοί του τρόπου λειτουργίας του ιού γίνονται σαφείς, για παράδειγμα, στην περίπτωση ενός ιού εκκίνησης, είναι σημαντικό να γνωρίζουμε πού κρύβει την ουρά του, πού βρίσκεται ο αρχικός τομέας εκκίνησης και στην περίπτωση ένα αρχείο, πώς έχει μολυνθεί το αρχείο. Οι πληροφορίες που λαμβάνονται μας επιτρέπουν να μάθουμε:

Πώς να εντοπίσετε έναν ιό, για αυτό, καθορίζονται μέθοδοι αναζήτησης υπογραφών σε πιθανά αντικείμενα επίθεσης ιού - αρχεία ή/και τομείς εκκίνησης

πώς να εξουδετερώσετε τον ιό, αν είναι δυνατόν, αναπτύσσονται αλγόριθμοι για την αφαίρεση του κώδικα ιού από επηρεαζόμενα αντικείμενα

6.2. Προγράμματα ανίχνευσης και προστασίας ιών

Για τον εντοπισμό, την αφαίρεση και την προστασία από ιούς υπολογιστών, έχουν αναπτυχθεί αρκετοί τύποι ειδικών προγραμμάτων που σας επιτρέπουν να εντοπίζετε και να καταστρέφετε ιούς. Τέτοια προγράμματα ονομάζονται αντιικό . Υπάρχουν οι ακόλουθοι τύποι προγραμμάτων προστασίας από ιούς:

προγράμματα-ανιχνευτές

προγράμματα-γιατροί ή φάγοι

ελεγκτές προγράμματος

προγράμματα φιλτραρίσματος

προγράμματα εμβολίων ή ανοσοποιητές

Προγράμματα-ανιχνευτέςπραγματοποιήστε αναζήτηση για ένα χαρακτηριστικό υπογραφής ενός συγκεκριμένου ιού στη μνήμη RAM και σε αρχεία και, εάν εντοπιστεί, εκδώστε ένα κατάλληλο μήνυμα. Το μειονέκτημα τέτοιων προγραμμάτων προστασίας από ιούς είναι ότι μπορούν να βρουν μόνο ιούς που είναι γνωστοί στους προγραμματιστές τέτοιων προγραμμάτων.

Προγράμματα Ιατρώνή φάγους, καθώς προγράμματα εμβολίωνόχι μόνο να βρίσκει αρχεία που έχουν μολυνθεί από ιούς, αλλά και να τα «θεραπεύει», π.χ. αφαιρέστε το σώμα του προγράμματος ιών από το αρχείο, επιστρέφοντας τα αρχεία στο την αρχική κατάσταση. Στην αρχή της εργασίας τους, οι φάγοι αναζητούν ιούς στη μνήμη RAM, καταστρέφοντάς τους και μόνο μετά προχωρούν στην «επεξεργασία» των αρχείων. Μεταξύ των φάγων διακρίνονται πολυφάγοι, δηλ. προγράμματα γιατρών που έχουν σχεδιαστεί για να βρίσκουν και να καταστρέφουν μεγάλο αριθμό ιών. Τα πιο διάσημα από αυτά είναι: Aidstest, Scan, Norton Antivirus, Doctor Web.

Δεδομένου ότι νέοι ιοί εμφανίζονται συνεχώς, τα προγράμματα ανίχνευσης και τα προγράμματα γιατρών γίνονται γρήγορα ξεπερασμένα και απαιτούνται τακτικές ενημερώσεις.

Προγράμματα ελεγκτώνείναι από τα πιο αξιόπιστα μέσα προστασίας από ιούς. Οι ελεγκτές θυμούνται την αρχική κατάσταση των προγραμμάτων, των καταλόγων και των περιοχών συστήματος του δίσκου όταν ο υπολογιστής δεν έχει μολυνθεί από ιό και στη συνέχεια συγκρίνουν περιοδικά ή κατόπιν αιτήματος του χρήστη την τρέχουσα κατάσταση με την αρχική. Οι αλλαγές που εντοπίστηκαν εμφανίζονται στην οθόνη της οθόνης. Κατά κανόνα, οι καταστάσεις συγκρίνονται αμέσως μετά τη φόρτωση του λειτουργικού συστήματος. Κατά τη σύγκριση, ελέγχονται το μήκος του αρχείου, ο κυκλικός κωδικός ελέγχου (άθροισμα ελέγχου αρχείου), η ημερομηνία και η ώρα τροποποίησης και άλλες παράμετροι. Τα προγράμματα ελεγκτών έχουν αρκετά προηγμένους αλγόριθμους, εντοπίζουν ιούς μυστικότητας και μπορούν ακόμη και να καθαρίσουν τις αλλαγές στην έκδοση του προγράμματος που ελέγχεται από τις αλλαγές που έγιναν από τον ιό. Μεταξύ των προγραμμάτων-ελεγκτών είναι το πρόγραμμα Adinf που χρησιμοποιείται ευρέως στη Ρωσία.

Φιλτράρισμα προγραμμάτωνή "φρουρός"είναι προγράμματα μικρού μεγέθους που έχουν σχεδιαστεί για να ανιχνεύουν ύποπτη δραστηριότητα υπολογιστή που είναι χαρακτηριστική των ιών. Τέτοιες ενέργειες μπορεί να είναι:

Προσπάθειες διόρθωσης αρχείων με επεκτάσεις COM, EXE

αλλαγή των χαρακτηριστικών του αρχείου

Απευθείας εγγραφή στο δίσκο στην απόλυτη διεύθυνση

Εγγραφή σε τομείς εκκίνησης δίσκου

Όταν οποιοδήποτε πρόγραμμα προσπαθεί να εκτελέσει τις καθορισμένες ενέργειες, ο «φύλακας» στέλνει ένα μήνυμα στον χρήστη και προσφέρει να απαγορεύσει ή να επιτρέψει την αντίστοιχη ενέργεια. Τα προγράμματα φιλτραρίσματος είναι πολύ χρήσιμα, καθώς μπορούν να ανιχνεύσουν έναν ιό στο αρχικό στάδιο της ύπαρξής του πριν από την αναπαραγωγή. Ωστόσο, δεν «θεραπεύουν» αρχεία και δίσκους. Για να καταστρέψετε ιούς, πρέπει να χρησιμοποιήσετε άλλα προγράμματα, όπως φάγους. Στα μειονεκτήματα των προγραμμάτων watchdog περιλαμβάνεται η «ενόχλησή» τους (για παράδειγμα, εκδίδουν συνεχώς προειδοποίηση για κάθε προσπάθεια αντιγραφής ενός εκτελέσιμου αρχείου), καθώς και πιθανές διενέξεις με άλλο λογισμικό. Ένα παράδειγμα προγράμματος φίλτρου είναι το πρόγραμμα Vsafe, το οποίο αποτελεί μέρος του πακέτου βοηθητικού προγράμματος MS DOS.

Εμβόλιαή ανοσοποιητέςείναι μόνιμα προγράμματα που αποτρέπουν τη μόλυνση αρχείων. Τα εμβόλια χρησιμοποιούνται εάν δεν υπάρχουν προγράμματα γιατρών που «θεραπεύουν» αυτόν τον ιό. Ο εμβολιασμός είναι δυνατός μόνο έναντι γνωστών ιών. Το εμβόλιο τροποποιεί το πρόγραμμα ή το δίσκο με τέτοιο τρόπο ώστε να μην επηρεάζει τη δουλειά τους, και ο ιός θα τους αντιληφθεί ως μολυσμένους και επομένως δεν θα ριζώσει. Τα προγράμματα εμβολίων είναι επί του παρόντος περιορισμένης χρήσης.

Ο έγκαιρος εντοπισμός αρχείων και δίσκων που έχουν μολυνθεί από ιούς, η πλήρης καταστροφή των ανιχνευμένων ιών σε κάθε υπολογιστή συμβάλλει στην αποφυγή της εξάπλωσης μιας επιδημίας ιών σε άλλους υπολογιστές.

6.3. Βασικά μέτρα προστασίας από ιούς

Για να αποτρέψετε τη μόλυνση του υπολογιστή σας από ιούς και να διασφαλίσετε ασφαλή αποθήκευσηπληροφορίες σχετικά με δίσκους, πρέπει να τηρούνται οι ακόλουθοι κανόνες:

¨ εξοπλίστε τον υπολογιστή σας με ενημερωμένα προγράμματα προστασίας από ιούς, όπως το Aidstest, το Doctor Web και ενημερώνετε συνεχώς τις εκδόσεις τους

¨ προτού διαβάσετε πληροφορίες που είναι αποθηκευμένες σε άλλους υπολογιστές από δισκέτες, ελέγχετε πάντα αυτές τις δισκέτες για ιούς εκτελώντας προγράμματα προστασίας από ιούς στον υπολογιστή σας

¨ όταν μεταφέρετε αρχειοθετημένα αρχεία στον υπολογιστή σας, ελέγξτε τα αμέσως αφού τα αποσυμπιέσετε στον σκληρό σας δίσκο, περιορίζοντας την περιοχή ελέγχου μόνο στα πρόσφατα εγγεγραμμένα αρχεία

¨ ελέγχετε περιοδικά για ιούς σκληροι ΔΙΣΚΟΙυπολογιστή εκτελώντας προγράμματα προστασίας από ιούς για να ελέγξετε αρχεία, μνήμη και περιοχές συστήματος δίσκων από δισκέτα με προστασία εγγραφής, μετά τη φόρτωση του λειτουργικού συστήματος από μια προστατευμένη από εγγραφή δισκέτα συστήματος

¨ πάντα να γράφετε για να προστατεύετε τις δισκέτες σας όταν εργάζεστε σε άλλους υπολογιστές, εάν δεν θα εγγραφούν σε πληροφορίες

¨ φροντίστε να δημιουργήσετε αρχειακά αντίγραφα σε δισκέτες με πολύτιμες πληροφορίες για εσάς

¨ μην αφήνετε δισκέτες στην τσέπη της μονάδας Α κατά την ενεργοποίηση ή επανεκκίνηση του λειτουργικού συστήματος για να αποτρέψετε τη μόλυνση του υπολογιστή από ιούς εκκίνησης

¨ χρήση προγραμμάτων προστασίας από ιούς για τον έλεγχο εισόδου όλων των εκτελέσιμων αρχείων που λαμβάνονται από δίκτυα υπολογιστών

¨ για να διασφαλιστεί μεγαλύτερη ασφάλεια, η χρήση του Aidstest και του Doctor Web πρέπει να συνδυαστεί με την καθημερινή χρήση του ελεγκτή δίσκου Adinf

ΣΥΜΠΕΡΑΣΜΑ

Έτσι, μπορούμε να αναφέρουμε πολλά στοιχεία που δείχνουν ότι η απειλή για τον πόρο πληροφοριών αυξάνεται καθημερινά, βάζοντας σε πανικό τους υπεύθυνους σε τράπεζες, επιχειρήσεις και εταιρείες σε όλο τον κόσμο. Και αυτή η απειλή προέρχεται από ιούς υπολογιστών που παραμορφώνουν ή καταστρέφουν ζωτικής σημασίας, πολύτιμες πληροφορίες, οι οποίες μπορούν να οδηγήσουν όχι μόνο σε οικονομικές απώλειες, αλλά και σε ανθρώπινες απώλειες.

ΙΟΣ υπολογιστη - ένα ειδικά γραμμένο πρόγραμμα που μπορεί αυθόρμητα να προσαρτηθεί σε άλλα προγράμματα, να δημιουργήσει αντίγραφα του εαυτού του και να τα ενσωματώσει σε αρχεία, περιοχές συστημάτων υπολογιστή και σε δίκτυα υπολογιστώνπροκειμένου να διαταραχθεί η λειτουργία προγραμμάτων, να καταστρέψετε αρχεία και καταλόγους, να δημιουργήσετε κάθε είδους παρεμβολές στη λειτουργία του υπολογιστή.

Επί του παρόντος, είναι γνωστοί περισσότεροι από 5.000 ιοί λογισμικού, ο αριθμός των οποίων αυξάνεται συνεχώς. Υπάρχουν περιπτώσεις που δημιουργήθηκαν σεμινάρια για να βοηθήσουν στη σύνταξη ιών.

Οι κύριοι τύποι ιών: εκκίνηση, αρχείο, αρχείο-εκκίνηση. Ο πιο επικίνδυνος τύπος ιών είναι ο πολυμορφικός.

Από την ιστορία της ιολογίας υπολογιστών, είναι σαφές ότι οποιαδήποτε πρωτότυπη ανάπτυξη υπολογιστή αναγκάζει τους δημιουργούς των antivirus να προσαρμοστούν στις νέες τεχνολογίες, να βελτιώνουν συνεχώς τα προγράμματα προστασίας από ιούς.

Οι λόγοι εμφάνισης και εξάπλωσης των ιών κρύβονται αφενός στην ανθρώπινη ψυχολογία, αφετέρου με την έλλειψη προστασίας στο λειτουργικό σύστημα.

Οι κύριοι τρόποι διείσδυσης των ιών είναι οι αφαιρούμενες μονάδες δίσκου και τα δίκτυα υπολογιστών. Για να μην συμβεί αυτό, λάβετε προφυλάξεις. Επίσης, έχουν αναπτυχθεί διάφοροι τύποι ειδικών προγραμμάτων που ονομάζονται προγράμματα προστασίας από ιούς για τον εντοπισμό, την αφαίρεση και την προστασία από ιούς υπολογιστών. Εάν εξακολουθείτε να βρείτε έναν ιό στον υπολογιστή σας, τότε σύμφωνα με την παραδοσιακή προσέγγιση, είναι καλύτερο να καλέσετε έναν επαγγελματία για να το καταλάβει περαιτέρω.

Ωστόσο, ορισμένες ιδιότητες των ιών προβληματίζουν ακόμη και τους ειδικούς. Μέχρι πολύ πρόσφατα, ήταν δύσκολο να φανταστεί κανείς ότι ένας ιός θα μπορούσε να επιβιώσει από μια ψυχρή επανεκκίνηση ή να εξαπλωθεί μέσω αρχείων εγγράφων. Κάτω από τέτοιες συνθήκες, είναι αδύνατο να μην δοθεί σημασία τουλάχιστον στην αρχική εκπαίδευση των χρηστών κατά των ιών. Παρά τη σοβαρότητα του προβλήματος, κανένας ιός δεν είναι ικανός να προκαλέσει τόσο κακό όσο ένας ασπρισμένος χρήστης με τρεμάμενα χέρια!

Ετσι, η υγεία των υπολογιστών σας, η ασφάλεια των δεδομένων σας - στα χέρια σας!

Βιβλιογραφικός κατάλογος

1. Πληροφορική: Σχολικό βιβλίο / επιμ. Prof. N.V. Μακάροβα. - Μ.: Οικονομικά και στατιστική, 1997.

2. Εγκυκλοπαίδεια μυστικών και αισθήσεων / Ετοιμάστηκε. κείμενο του Yu.N. Πετρόφ. - Μινσκ: Λογοτεχνία, 1996.

3. Μπεζρούκοφ Ν.Ν. Ιοί υπολογιστών. - Μ.: Nauka, 1991.

4. Mostovoy D.Yu. Σύγχρονες τεχνολογίεςκαταπολέμηση των ιών // PC World. - Νο 8. - 1993.

Η προστασία από ιούς είναι το πιο κοινό μέτρο για τη διασφάλιση της ασφάλειας πληροφοριών της υποδομής πληροφορικής στον εταιρικό τομέα. Ωστόσο, μόνο το 74% των ρωσικών εταιρειών χρησιμοποιεί λύσεις προστασίας από ιούς για προστασία, έδειξε μελέτη που διεξήγαγε η Kaspersky Lab μαζί με την αναλυτική εταιρεία B2B International (φθινόπωρο 2013).

Η έκθεση αναφέρει επίσης ότι εν μέσω της έκρηξης των κυβερνοαπειλών κατά των οποίων οι εταιρείες απλά antivirus, οι ρωσικές επιχειρήσεις χρησιμοποιούν όλο και περισσότερο πολύπλοκα εργαλεία προστασίας. Σε μεγάλο βαθμό για το λόγο αυτό, η χρήση εργαλείων κρυπτογράφησης δεδομένων αυξήθηκε κατά 7%. αφαιρούμενα μέσα(24%). Επιπλέον, οι εταιρείες έχουν γίνει πιο πρόθυμες να οριοθετήσουν τις πολιτικές ασφαλείας για αφαιρούμενες συσκευές. Η διαφοροποίηση του επιπέδου πρόσβασης σε διάφορα μέρη της υποδομής πληροφορικής έχει επίσης αυξηθεί (49%). Παράλληλα, οι μικρομεσαίες επιχειρήσεις δίνουν μεγαλύτερη σημασία στον έλεγχο αφαιρούμενων συσκευών (35%) και στον έλεγχο εφαρμογών (31%).

Οι ερευνητές διαπίστωσαν επίσης ότι παρά τη συνεχή ανακάλυψη νέων τρωτών σημείων στο λογισμικό, Ρωσικές εταιρείεςεξακολουθεί να μην δίνει τη δέουσα προσοχή στις τακτικές ενημερώσεις λογισμικού. Επιπλέον, ο αριθμός των οργανισμών επιδιόρθωσης μειώθηκε από πέρυσι σε μόλις 59%.

Τα σύγχρονα προγράμματα προστασίας από ιούς είναι σε θέση να εντοπίζουν αποτελεσματικά κακόβουλα αντικείμενα μέσα στα αρχεία και τα έγγραφα του προγράμματος. Σε ορισμένες περιπτώσεις, το πρόγραμμα προστασίας από ιούς μπορεί να αφαιρέσει το σώμα ενός κακόβουλου αντικειμένου από ένα μολυσμένο αρχείο, επαναφέροντας το ίδιο το αρχείο. Στις περισσότερες περιπτώσεις, ένα πρόγραμμα προστασίας από ιούς είναι σε θέση να αφαιρέσει ένα κακόβουλο αντικείμενο προγράμματος όχι μόνο από ένα αρχείο προγράμματος, αλλά και από ένα αρχείο εγγράφου γραφείου χωρίς να παραβιάσει την ακεραιότητά του. Η χρήση προγραμμάτων προστασίας από ιούς δεν απαιτεί υψηλά προσόντα και είναι διαθέσιμη σε σχεδόν κάθε χρήστη υπολογιστή.

Τα περισσότερα προγράμματα προστασίας από ιούς συνδυάζουν προστασία σε πραγματικό χρόνο (παρακολούθηση ιών) και προστασία κατ' απαίτηση (σαρωτής ιών).

Αξιολόγηση προστασίας από ιούς

2019: Τα δύο τρίτα των προγραμμάτων προστασίας από ιούς για Android ήταν άχρηστα

Τον Μάρτιο του 2019, η AV-Comparatives, ένα αυστριακό εργαστήριο που ειδικεύεται στη δοκιμή λογισμικού προστασίας από ιούς, δημοσίευσε τα αποτελέσματα μιας μελέτης που έδειξε την αχρηστία των περισσότερων τέτοιων προγραμμάτων για Android.

Μόνο 23 antivirus που βρίσκονται στον επίσημο κατάλογο του Google Play Store αναγνωρίζουν με ακρίβεια κακόβουλο λογισμικό στο 100% των περιπτώσεων. Το υπόλοιπο λογισμικό είτε δεν ανταποκρίνεται σε κινητές απειλές, είτε παίρνει απολύτως ασφαλείς εφαρμογές για αυτές.

Οι ειδικοί μελέτησαν 250 προγράμματα προστασίας από ιούς και ανέφεραν ότι μόνο το 80% από αυτά μπορεί να ανιχνεύσει περισσότερο από το 30% του κακόβουλου λογισμικού. Έτσι, 170 αιτήσεις απέτυχαν στο τεστ. Τα προϊόντα που πέρασαν τις δοκιμές ήταν κυρίως λύσεις μεγάλων κατασκευαστών, συμπεριλαμβανομένων των Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro και Trustwave.

Ως μέρος του πειράματος, οι ερευνητές εγκατέστησαν κάθε εφαρμογή προστασίας από ιούς σε ξεχωριστή συσκευή (χωρίς εξομοιωτή) και αυτοματοποίησαν τις συσκευές για να ξεκινήσουν ένα πρόγραμμα περιήγησης, να κατεβάσουν και στη συνέχεια να εγκαταστήσουν κακόβουλο λογισμικό. Κάθε συσκευή δοκιμάστηκε έναντι 2.000 από τους πιο διαδεδομένους ιούς Android το 2018.

Σύμφωνα με την AV-Comparatives, τα περισσότερα λύσεις προστασίας από ιούςγια android είναι ψεύτικα. Δεκάδες εφαρμογές έχουν σχεδόν πανομοιότυπη διεπαφή και οι δημιουργοί τους ενδιαφέρονται σαφώς περισσότερο για την προβολή διαφημίσεων παρά για τη σύνταξη ενός λειτουργικού σαρωτή ιών.

Ορισμένα antivirus «βλέπουν» μια απειλή σε οποιαδήποτε εφαρμογή που δεν περιλαμβάνεται στη «λευκή λίστα» τους. Εξαιτίας αυτού, σε μια σειρά από πολύ ανέκδοτες περιπτώσεις, σήμανε συναγερμό λόγω των δικών τους αρχείων, αφού οι προγραμματιστές ξέχασαν να τα αναφέρουν στη «λευκή λίστα».

2017: Το Microsoft Security Essentials αναγνωρίζεται ως ένα από τα χειρότερα προγράμματα προστασίας από ιούς

Τον Οκτώβριο του 2017, το γερμανικό εργαστήριο προστασίας από ιούς AV-Test δημοσίευσε τα αποτελέσματα ολοκληρωμένων δοκιμών προστασίας από ιούς. Σύμφωνα με τη μελέτη, ιδιόκτητο λογισμικό της Microsoft έχει σχεδιαστεί για προστασία από κακόβουλη δραστηριότητα, σχεδόν οι χειρότεροι όλων ανταπεξέρχονται στα καθήκοντά τους.

Σύμφωνα με τα αποτελέσματα των δοκιμών που πραγματοποιήθηκαν τον Ιούλιο-Αύγουστο 2017, οι ειδικοί του AV-Test ανακήρυξαν το Kaspersky Internet Security ως το καλύτερο antivirus για τα Windows 7, το οποίο έλαβε 18 βαθμούς κατά την αξιολόγηση του επιπέδου προστασίας, απόδοσης και ευκολίας χρήσης.

Οι τρεις πρώτες περιελάμβαναν προγράμματα Trend Micro διαδικτυακή ασφάλειακαι Bitdefender Internet Security, που κέρδισαν 17,5 πόντους έκαστος. Η θέση των προϊόντων άλλων εταιρειών προστασίας από ιούς που συμπεριλήφθηκαν στη μελέτη μπορεί να βρεθεί στις παρακάτω εικόνες:

Πολλοί σαρωτές χρησιμοποιούν επίσης ευρετικούς αλγόριθμους σάρωσης, π.χ. ανάλυση της ακολουθίας εντολών στο ελεγμένο αντικείμενο, συλλογή ορισμένων στατιστικών στοιχείων και λήψη αποφάσεων για κάθε ελεγμένο αντικείμενο.

Οι σαρωτές μπορούν επίσης να χωριστούν σε δύο κατηγορίες - καθολικούς και εξειδικευμένους. Οι καθολικοί σαρωτές έχουν σχεδιαστεί για να αναζητούν και να εξουδετερώνουν όλους τους τύπους ιών, ανεξάρτητα από το λειτουργικό σύστημα στο οποίο έχει σχεδιαστεί να λειτουργεί ο σαρωτής. Οι εξειδικευμένοι σαρωτές έχουν σχεδιαστεί για να εξουδετερώνουν έναν περιορισμένο αριθμό ιών ή μόνο μία κατηγορία από αυτούς, όπως ιούς μακροεντολών.

Οι σαρωτές χωρίζονται επίσης σε μόνιμους (οθόνες), που σαρώνουν εν κινήσει και μη κατοίκους, που ελέγχουν το σύστημα μόνο κατόπιν αιτήματος. Κατά κανόνα, οι μόνιμοι σαρωτές παρέχουν πιο αξιόπιστη προστασία του συστήματος, καθώς αντιδρούν αμέσως στην εμφάνιση ενός ιού, ενώ ένας σαρωτής που δεν είναι κάτοικος μπορεί να αναγνωρίσει έναν ιό μόνο κατά την επόμενη εκτόξευση.

Σαρωτές CRC

Η αρχή λειτουργίας των σαρωτών CRC βασίζεται στον υπολογισμό των ποσών CRC (checksums) για αρχεία / τομείς συστήματος που υπάρχουν στο δίσκο. Αυτά τα ποσά CRC αποθηκεύονται στη συνέχεια στη βάση δεδομένων προστασίας από ιούς, καθώς και ορισμένες άλλες πληροφορίες: μήκη αρχείων, ημερομηνίες της τελευταίας τους τροποποίησης κ.λπ. Την επόμενη φορά που εκτελούνται οι σαρωτές CRC, ελέγχουν τα δεδομένα που περιέχονται στη βάση δεδομένων με τις πραγματικές μετρημένες τιμές. Εάν οι πληροφορίες του αρχείου που καταγράφονται στη βάση δεδομένων δεν ταιριάζουν με τις πραγματικές τιμές, τότε οι σαρωτές CRC σηματοδοτούν ότι το αρχείο έχει τροποποιηθεί ή έχει μολυνθεί από ιό.

Οι σαρωτές CRC δεν μπορούν να κολλήσουν έναν ιό τη στιγμή της εμφάνισής του στο σύστημα, αλλά το κάνουν μόνο μετά από κάποιο χρονικό διάστημα, αφού ο ιός έχει εξαπλωθεί σε ολόκληρο τον υπολογιστή. Οι σαρωτές CRC δεν μπορούν να ανιχνεύσουν έναν ιό σε νέα αρχεία (σε e-mail, σε δισκέτες, σε αρχεία που έχουν αποκατασταθεί από αντίγραφο ασφαλείας ή κατά την αποσυσκευασία αρχείων από ένα αρχείο), επειδή οι βάσεις δεδομένων τους δεν έχουν πληροφορίες για αυτά τα αρχεία. Επιπλέον, εμφανίζονται περιοδικά ιοί που χρησιμοποιούν αυτή την αδυναμία των σαρωτών CRC, μολύνουν μόνο αρχεία που έχουν δημιουργηθεί πρόσφατα και έτσι παραμένουν αόρατα σε αυτά.

Αναστολείς

Τα προγράμματα αποκλεισμού προστασίας από ιούς είναι μόνιμα προγράμματα που παρεμποδίζουν τις επικίνδυνες για ιούς καταστάσεις και ειδοποιούν τον χρήστη σχετικά. Οι επικίνδυνες για ιούς κλήσεις περιλαμβάνουν κλήσεις για άνοιγμα για εγγραφή σε εκτελέσιμα αρχεία, εγγραφή στους τομείς εκκίνησης δίσκων ή στο MBR ενός σκληρού δίσκου, προσπάθειες από προγράμματα να παραμείνουν μόνιμα, κ.λπ., δηλαδή κλήσεις που είναι τυπικές για ιούς στο χρόνο αναπαραγωγής.

Τα πλεονεκτήματα των αναστολέων περιλαμβάνουν την ικανότητά τους να ανιχνεύουν και να σταματούν τον ιό στο πρώιμο στάδιο της αναπαραγωγής του. Τα μειονεκτήματα περιλαμβάνουν την ύπαρξη τρόπων παράκαμψης της προστασίας των αποκλειστών και μεγάλο αριθμό ψευδώς θετικών.

Ανοσοποιητές

Οι ανοσοποιητές χωρίζονται σε δύο τύπους: ανοσοποιητές που αναφέρουν λοιμώξεις και ανοσοποιητές αποκλεισμού λοιμώξεων. Τα πρώτα γράφονται συνήθως στο τέλος των αρχείων (σύμφωνα με την αρχή του ιού αρχείου) και κάθε φορά που εκκινείται το αρχείο, ελέγχεται για αλλαγές. Το μειονέκτημα τέτοιων ανοσοποιητών είναι μόνο ένα, αλλά είναι θανατηφόρο: η απόλυτη αδυναμία αναφοράς μόλυνσης από ιό stealth. Επομένως, τέτοιοι ανοσοποιητές, καθώς και αναστολείς, πρακτικά δεν χρησιμοποιούνται επί του παρόντος.

Ο δεύτερος τύπος ανοσοποίησης προστατεύει το σύστημα από επίθεση από συγκεκριμένο τύπο ιού. Τα αρχεία σε δίσκους τροποποιούνται με τέτοιο τρόπο ώστε ο ιός να τα παίρνει για ήδη μολυσμένα. Για προστασία από μόνιμο ιό, ένα πρόγραμμα που μιμείται ένα αντίγραφο του ιού εισάγεται στη μνήμη του υπολογιστή. Όταν εκτοξεύεται, ο ιός σκοντάφτει πάνω του και πιστεύει ότι το σύστημα είναι ήδη μολυσμένο.

Αυτός ο τύπος ανοσοποίησης δεν μπορεί να είναι καθολικός, καθώς είναι αδύνατο να ανοσοποιηθούν αρχεία έναντι όλων των γνωστών ιών.

Ταξινόμηση των antivirus με βάση τη χρονική μεταβλητότητα

Σύμφωνα με τον Valery Konyavsky, οι αντιιικοί παράγοντες μπορούν να χωριστούν σε δύο μεγάλες ομάδες- ανάλυση δεδομένων και ανάλυση διαδικασιών.

Ανάλυση δεδομένων

Η ανάλυση δεδομένων περιλαμβάνει ελεγκτές και πολυφάγους. Οι ελεγκτές αναλύουν τις συνέπειες των δραστηριοτήτων ιών υπολογιστών και άλλων κακόβουλων προγραμμάτων. Οι συνέπειες εμφανίζονται στην αλλαγή των δεδομένων, οι οποίες δεν πρέπει να αλλάξουν. Είναι το γεγονός της αλλαγής δεδομένων που αποτελεί ένδειξη της δραστηριότητας κακόβουλων προγραμμάτων από τη σκοπιά του ελεγκτή. Με άλλα λόγια, οι ελεγκτές ελέγχουν την ακεραιότητα των δεδομένων και, σε περίπτωση παραβίασης της ακεραιότητας, λαμβάνουν απόφαση σχετικά με την παρουσία κακόβουλου λογισμικού στο περιβάλλον του υπολογιστή.

Τα πολυφάγα δρουν διαφορετικά. Με βάση την ανάλυση δεδομένων, εντοπίζουν θραύσματα κακόβουλου κώδικα (για παράδειγμα, με την υπογραφή του) και, στη βάση αυτή, καταλήγουν σε συμπέρασμα σχετικά με την παρουσία κακόβουλων προγραμμάτων. Η διαγραφή ή η απολύμανση δεδομένων που έχουν μολυνθεί από ιούς συμβάλλει στην πρόληψη των αρνητικών συνεπειών της εκτέλεσης κακόβουλου λογισμικού. Έτσι, με βάση την ανάλυση στη στατική, αποτρέπονται οι συνέπειες που προκύπτουν στη δυναμική.

Το σχέδιο εργασίας τόσο των ελεγκτών όσο και των πολυφάγων είναι σχεδόν το ίδιο - να συγκρίνουν τα δεδομένα (ή το άθροισμα ελέγχου τους) με ένα ή περισσότερα δείγματα αναφοράς. Τα δεδομένα συγκρίνονται με δεδομένα. Έτσι, για να βρείτε έναν ιό στον υπολογιστή σας, πρέπει να έχει ήδη λειτουργήσει ώστε να εμφανιστούν οι συνέπειες της δραστηριότητάς του. Αυτή η μέθοδος μπορεί να βρει μόνο γνωστούς ιούς για τους οποίους έχουν περιγραφεί προηγουμένως τμήματα κώδικα ή υπογραφές. Είναι απίθανο μια τέτοια προστασία να μπορεί να ονομαστεί αξιόπιστη.

Ανάλυση διαδικασίας

Τα εργαλεία προστασίας από ιούς που βασίζονται στην ανάλυση διεργασιών λειτουργούν κάπως διαφορετικά. Οι ευρετικοί αναλυτές, όπως αυτοί που περιγράφονται παραπάνω, αναλύουν δεδομένα (σε δίσκο, σε κανάλι, στη μνήμη κ.λπ.). Η θεμελιώδης διαφορά είναι ότι η ανάλυση πραγματοποιείται με την υπόθεση ότι ο κώδικας που αναλύεται δεν είναι δεδομένα, αλλά εντολές (σε υπολογιστές με αρχιτεκτονική von Neumann, τα δεδομένα και οι εντολές δεν διακρίνονται και επομένως πρέπει να τεθεί η μία ή η άλλη υπόθεση κατά την ανάλυση.)

Ο ευρετικός αναλυτής επιλέγει μια ακολουθία λειτουργιών, εκχωρεί μια ορισμένη βαθμολογία κινδύνου σε καθεμία από αυτές και, με βάση το σύνολο του κινδύνου, αποφασίζει εάν αυτή η ακολουθία πράξεων είναι μέρος ενός κακόβουλου κώδικα. Ο ίδιος ο κώδικας δεν εκτελείται.

Ένας άλλος τύπος εργαλείων προστασίας από ιούς που βασίζονται στην ανάλυση διεργασιών είναι οι αναστολείς συμπεριφοράς. Σε αυτήν την περίπτωση, ο ύποπτος κώδικας εκτελείται βήμα-βήμα έως ότου το σύνολο των ενεργειών που ξεκινούν από τον κώδικα αξιολογηθεί ως επικίνδυνη (ή ασφαλής) συμπεριφορά. Στην περίπτωση αυτή, ο κώδικας εκτελείται μερικώς, αφού η ολοκλήρωση του κακόβουλου κώδικα μπορεί να εντοπιστεί με απλούστερες μεθόδους ανάλυσης δεδομένων.

Τεχνολογίες ανίχνευσης ιών

Οι τεχνολογίες που χρησιμοποιούνται στα antivirus μπορούν να χωριστούν σε δύο ομάδες:

• Τεχνολογίες ανάλυσης υπογραφών
• Τεχνολογίες Πιθανοτικής Ανάλυσης

Τεχνολογίες ανάλυσης υπογραφών

Η ανάλυση υπογραφών είναι μια μέθοδος ανίχνευσης ιών που ελέγχει την παρουσία υπογραφών ιών σε αρχεία. Η ανάλυση υπογραφών είναι η πιο γνωστή μέθοδος ανίχνευσης ιών και χρησιμοποιείται σχεδόν σε όλα τα σύγχρονα antivirus. Για να εκτελέσει μια σάρωση, το πρόγραμμα προστασίας από ιούς χρειάζεται ένα σύνολο υπογραφών ιών, το οποίο είναι αποθηκευμένο στη βάση δεδομένων προστασίας από ιούς.

Λόγω του γεγονότος ότι η ανάλυση υπογραφών περιλαμβάνει έλεγχο αρχείων για υπογραφές ιών, η βάση δεδομένων προστασίας από ιούς πρέπει να ενημερώνεται περιοδικά για να διατηρείται ενημερωμένο το πρόγραμμα προστασίας από ιούς. Η ίδια η αρχή της ανάλυσης υπογραφών καθορίζει επίσης τα όρια της λειτουργικότητάς του - την ικανότητα ανίχνευσης μόνο γνωστών ιών - ένας σαρωτής υπογραφών είναι ανίσχυρος έναντι νέων ιών.

Από την άλλη πλευρά, η παρουσία υπογραφών του ιού υποδηλώνει τη δυνατότητα θεραπείας μολυσμένα αρχείαανιχνεύεται χρησιμοποιώντας ανάλυση υπογραφών. Ωστόσο, η θεραπεία δεν είναι αποδεκτή για όλους τους ιούς - οι Trojans και τα περισσότερα σκουλήκια δεν είναι θεραπεύσιμα λόγω τους χαρακτηριστικά σχεδίου, επειδή είναι συμπαγείς μονάδες σχεδιασμένες να προκαλούν ζημιά.

Η σωστή εφαρμογή μιας υπογραφής ιού καθιστά δυνατό τον εντοπισμό γνωστών ιών με 100% βεβαιότητα.

Τεχνολογίες Πιθανοτικής Ανάλυσης

Οι τεχνολογίες πιθανολογικής ανάλυσης, με τη σειρά τους, χωρίζονται σε τρεις κατηγορίες:

• Ευρετική ανάλυση
• Ανάλυση συμπεριφοράς
• Ανάλυση αθροίσματος ελέγχου

Ευρετική ανάλυση

Η ευρετική ανάλυση είναι μια τεχνολογία που βασίζεται σε πιθανολογικούς αλγόριθμους, το αποτέλεσμα της οποίας είναι η αναγνώριση ύποπτων αντικειμένων. Κατά τη διάρκεια ευρετική ανάλυσηελέγχεται η δομή του αρχείου, η συμμόρφωσή του με τα πρότυπα ιών. Η πιο δημοφιλής ευρετική τεχνική είναι ο έλεγχος των περιεχομένων ενός αρχείου για τροποποιήσεις ήδη γνωστών υπογραφών ιών και των συνδυασμών τους. Αυτό βοηθά στον εντοπισμό υβριδίων και νέων εκδόσεων παλαιότερα γνωστών ιών χωρίς πρόσθετη ενημέρωση της βάσης δεδομένων προστασίας από ιούς.

Η ευρετική ανάλυση χρησιμοποιείται για την ανίχνευση άγνωστων ιών και, ως εκ τούτου, δεν περιλαμβάνει θεραπεία. Αυτή η τεχνολογία δεν είναι σε θέση να προσδιορίσει 100% τον ιό που βρίσκεται μπροστά της ή όχι, και όπως κάθε πιθανολογικός αλγόριθμος, αμαρτάνει με ψευδώς θετικά αποτελέσματα.

Ανάλυση συμπεριφοράς

Η ανάλυση συμπεριφοράς είναι μια τεχνολογία στην οποία λαμβάνεται μια απόφαση σχετικά με τη φύση του αντικειμένου που ελέγχεται με βάση μια ανάλυση των λειτουργιών που εκτελεί. Η ανάλυση συμπεριφοράς έχει μια πολύ στενή πρακτική εφαρμογή, καθώς οι περισσότερες από τις τυπικές ενέργειες των ιών μπορούν να εκτελεστούν από συνηθισμένες εφαρμογές. Οι αναλυτές συμπεριφοράς σεναρίων και μακροεντολών είναι οι πιο διάσημοι, αφού οι αντίστοιχοι ιοί σχεδόν πάντα εκτελούν μια σειρά από παρόμοιες ενέργειες.

Τα χαρακτηριστικά ασφαλείας που είναι ενσωματωμένα στο BIOS μπορούν επίσης να ταξινομηθούν ως αναλυτές συμπεριφοράς. Όταν γίνεται προσπάθεια να γίνουν αλλαγές στο MBR του υπολογιστή, ο αναλυτής μπλοκάρει την ενέργεια και εμφανίζει μια αντίστοιχη ειδοποίηση στον χρήστη.

Επιπλέον, οι αναλυτές συμπεριφοράς μπορούν να παρακολουθούν τις προσπάθειες άμεσης πρόσβασης σε αρχεία, να κάνουν αλλαγές σε αυτά εγγραφή εκκίνησηςμορφοποίηση δισκέτας σκληροι ΔΙΣΚΟΙκαι τα λοιπά.

Οι αναλυτές συμπεριφοράς δεν χρησιμοποιούν πρόσθετα αντικείμενα όπως βάσεις δεδομένων ιών για την εργασία τους και, ως εκ τούτου, δεν μπορούν να διακρίνουν μεταξύ γνωστών και αγνώστων ιών - όλα τα ύποπτα προγράμματα θεωρούνται εκ των προτέρων άγνωστοι ιοί. Ομοίως, τα χαρακτηριστικά της λειτουργίας των εργαλείων που εφαρμόζουν τεχνολογίες ανάλυσης συμπεριφοράς δεν συνεπάγονται θεραπεία.

Ανάλυση αθροίσματος ελέγχου

Η ανάλυση αθροίσματος ελέγχου είναι ένας τρόπος για να παρακολουθείτε τις αλλαγές στα αντικείμενα ενός συστήματος υπολογιστή. Με βάση την ανάλυση της φύσης των αλλαγών - ταυτοχρονισμός, μαζικός χαρακτήρας, πανομοιότυπες αλλαγές στα μήκη αρχείων - μπορεί να συναχθεί το συμπέρασμα ότι το σύστημα έχει μολυνθεί. Οι αναλυτές αθροίσματος ελέγχου (ονομάζονται επίσης ελεγκτές αλλαγών), όπως οι αναλυτές συμπεριφοράς, δεν χρησιμοποιούν πρόσθετα αντικείμενα στην εργασία τους και εκδίδουν ετυμηγορία για την παρουσία ιού στο σύστημα αποκλειστικά με τη μέθοδο της αξιολόγησης από εμπειρογνώμονες. Παρόμοιες τεχνολογίες χρησιμοποιούνται σε σαρωτές πρόσβασης - κατά τον πρώτο έλεγχο, λαμβάνεται ένα άθροισμα ελέγχου από το αρχείο και τοποθετείται στην κρυφή μνήμη, πριν από τον επόμενο έλεγχο του ίδιου αρχείου, το άθροισμα ελέγχου λαμβάνεται ξανά, συγκρίνεται και εάν δεν υπάρχουν αλλαγές, το αρχείο θεωρείται μη μολυσμένο.

Συμπλέγματα προστασίας από ιούς

Σύμπλεγμα προστασίας από ιούς - ένα σύνολο από ιούς που χρησιμοποιούν τον ίδιο κινητήρα ή κινητήρες προστασίας από ιούς, σχεδιασμένο για την επίλυση πρακτικών προβλημάτων όσον αφορά τη διασφάλιση της ασφάλειας κατά των ιών συστήματα υπολογιστών. Το σύμπλεγμα προστασίας από ιούς περιλαμβάνει επίσης εργαλεία για την ενημέρωση βάσεων δεδομένων κατά των ιών.

Επιπλέον, το σύμπλεγμα προστασίας από ιούς μπορεί επιπλέον να περιλαμβάνει αναλυτές συμπεριφοράς και ελεγκτές αλλαγής που δεν χρησιμοποιούν τη μηχανή προστασίας από ιούς.

Υπάρχουν οι ακόλουθοι τύποι συμπλεγμάτων προστασίας από ιούς:

• Σύμπλεγμα προστασίας από ιούς για προστασία σταθμών εργασίας
• Σύμπλεγμα προστασίας από ιούς για την προστασία διακομιστών αρχείων
• Σύμπλεγμα προστασίας από ιούς για προστασία συστημάτων αλληλογραφίας
• Σύμπλεγμα προστασίας από ιούς για προστασία πυλών.

Cloud vs Traditional Desktop Antivirus: Ποιο να επιλέξετε;

(Σύμφωνα με τον πόρο Webroot.com)

Η σύγχρονη αγορά εργαλείων προστασίας από ιούς είναι κατά κύριο λόγο παραδοσιακές λύσεις για επιτραπέζια συστήματα, οι μηχανισμοί προστασίας των οποίων είναι χτισμένοι με βάση μεθόδους που βασίζονται στην υπογραφή. Εναλλακτικός τρόποςπροστασία κατά των ιών - η χρήση ευρετικής ανάλυσης.

Προβλήματα με το παραδοσιακό λογισμικό προστασίας από ιούς

Τα τελευταία χρόνια, οι παραδοσιακές τεχνολογίες προστασίας από ιούς γίνονται όλο και λιγότερο αποτελεσματικές και γρήγορα απαρχαιώνονται, λόγω πολλών παραγόντων. Ο αριθμός των απειλών ιών που εντοπίζονται από τις υπογραφές είναι ήδη τόσο υψηλός που συχνά δεν είναι ρεαλιστικό να διασφαλιστεί η έγκαιρη 100% ενημέρωση των βάσεων δεδομένων υπογραφής στους υπολογιστές των χρηστών. Οι χάκερ και οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν όλο και περισσότερο botnet και άλλες τεχνολογίες για να επιταχύνουν την εξάπλωση των απειλών ιών zero-day. Επιπλέον, οι υπογραφές των αντίστοιχων ιών δεν δημιουργούνται κατά τη διάρκεια στοχευμένων επιθέσεων. Τέλος, χρησιμοποιούνται νέες τεχνολογίες ανίχνευσης ιών: κρυπτογράφηση κακόβουλου λογισμικού, δημιουργία πολυμορφικών ιών από την πλευρά του διακομιστή, προκαταρκτικός έλεγχος ποιότητας επίθεσης ιών.

Η παραδοσιακή προστασία από ιούς ενσωματώνεται τις περισσότερες φορές στην αρχιτεκτονική "χοντρό πελάτη". Αυτό σημαίνει ότι ένας τόμος είναι εγκατεστημένος στον υπολογιστή του πελάτη. κώδικα προγραμματισμού. Ελέγχει τα εισερχόμενα δεδομένα και εντοπίζει την παρουσία απειλών από ιούς.

Αυτή η προσέγγιση έχει μια σειρά από μειονεκτήματα. Πρώτον, η σάρωση για κακόβουλο λογισμικό και αντίστοιχες υπογραφές απαιτεί σημαντικό υπολογιστικό φόρτο, το οποίο «αφαιρείται» από τον χρήστη. Ως αποτέλεσμα, η παραγωγικότητα του υπολογιστή μειώνεται και η λειτουργία του antivirus μερικές φορές παρεμβαίνει στην παράλληλη εκτέλεση εφαρμοζόμενων εργασιών. Μερικές φορές το φορτίο στο σύστημα του χρήστη είναι τόσο αισθητό που οι χρήστες απενεργοποιούν τα προγράμματα προστασίας από ιούς, αφαιρώντας έτσι το εμπόδιο σε μια πιθανή επίθεση ιών.

Δεύτερον, κάθε ενημέρωση στο μηχάνημα του χρήστη απαιτεί τη μεταφορά χιλιάδων νέων υπογραφών. Η ποσότητα των δεδομένων που μεταφέρονται είναι συνήθως της τάξης των 5 MB ανά ημέρα ανά μηχάνημα. Η μεταφορά δεδομένων επιβραδύνει το δίκτυο, εκτρέπει πρόσθετους πόρους του συστήματος, απαιτεί τη συμμετοχή του διαχειριστές συστήματοςγια τον έλεγχο της κυκλοφορίας.

Τρίτον, οι χρήστες που βρίσκονται σε περιαγωγή ή μακριά από τον σταθερό χώρο εργασίας τους είναι ευάλωτοι σε επιθέσεις zero-day. Για να λάβουν ένα ενημερωμένο τμήμα των υπογραφών, πρέπει να συνδεθούν σε ένα δίκτυο VPN που δεν είναι προσβάσιμο σε αυτούς εξ αποστάσεως.

Προστασία από ιούς από το cloud

Κατά τη μετάβαση σε προστασία από ιούς από το cloud, η αρχιτεκτονική της λύσης αλλάζει σημαντικά. Ένας "ελαφρύς" πελάτης είναι εγκατεστημένος στον υπολογιστή του χρήστη, η κύρια λειτουργία του οποίου είναι η αναζήτηση νέων αρχείων, ο υπολογισμός τιμών κατακερματισμού και η αποστολή δεδομένων διακομιστή cloud. Στο cloud, πραγματοποιείται σύγκριση πλήρους κλίμακας σε μια μεγάλη βάση δεδομένων συλλεγόμενων υπογραφών. Αυτή η βάση δεδομένων ενημερώνεται συνεχώς και έγκαιρα με δεδομένα που μεταδίδονται από εταιρείες προστασίας από ιούς. Ο πελάτης λαμβάνει μια αναφορά με τα αποτελέσματα του ελέγχου.

Έτσι, η αρχιτεκτονική cloud της προστασίας από ιούς έχει ολόκληρη γραμμήπλεονεκτήματα:

• ο όγκος των υπολογισμών στον υπολογιστή του χρήστη είναι αμελητέος σε σύγκριση με έναν παχύ πελάτη, επομένως, η παραγωγικότητα του χρήστη δεν μειώνεται.
• δεν υπάρχει καταστροφική επίδραση της κυκλοφορίας προστασίας από ιούς διακίνησηδίκτυα: πρόκειται να σταλεί ένα συμπαγές τμήμα δεδομένων, που περιέχει μόνο μερικές δεκάδες τιμές κατακερματισμού, η μέση ημερήσια κίνηση δεν υπερβαίνει τα 120 KB.
• Η αποθήκευση cloud περιέχει τεράστιες σειρές υπογραφών, πολύ μεγαλύτερες από αυτές που είναι αποθηκευμένες στους υπολογιστές των χρηστών.
• Οι αλγόριθμοι σύγκρισης υπογραφών που χρησιμοποιούνται στο cloud είναι πολύ πιο έξυπνοι από τα απλοποιημένα μοντέλα που χρησιμοποιούνται σε επίπεδο τοπικού σταθμού και λόγω της υψηλότερης απόδοσης, η σύγκριση δεδομένων απαιτεί λιγότερο χρόνο.
• Οι υπηρεσίες προστασίας από ιούς που βασίζονται σε σύννεφο λειτουργούν με πραγματικά δεδομένα που λαμβάνονται από εργαστήρια προστασίας από ιούς, προγραμματιστές ασφαλείας, εταιρικούς και ιδιώτες χρήστες. Οι απειλές μηδενικής ημέρας μπλοκάρονται ταυτόχρονα με την αναγνώρισή τους, χωρίς καθυστέρηση που προκαλείται από την ανάγκη πρόσβασης σε υπολογιστές χρηστών.
• Οι χρήστες που βρίσκονται σε περιαγωγή ή δεν έχουν πρόσβαση στους κύριους χώρους εργασίας τους λαμβάνουν προστασία από επιθέσεις μηδενικής ημέρας ταυτόχρονα με την πρόσβαση στο Διαδίκτυο.
• ο φόρτος στους διαχειριστές συστήματος μειώνεται: δεν χρειάζεται να αφιερώνουν χρόνο στην εγκατάσταση λογισμικού προστασίας από ιούς στους υπολογιστές των χρηστών, καθώς και στην ενημέρωση βάσεων δεδομένων υπογραφής.

Γιατί αποτυγχάνουν τα παραδοσιακά antivirus

Ο σύγχρονος κακόβουλος κώδικας μπορεί:

• Παράκαμψη παγίδων προστασίας από ιούς δημιουργώντας έναν ειδικό ιό στόχο για την εταιρεία
• Προτού το antivirus δημιουργήσει μια υπογραφή, θα αποφύγει τη χρήση πολυμορφισμού, τη διακωδικοποίηση χρησιμοποιώντας δυναμικό DNS και URL

• Δημιουργία στόχων για την εταιρεία
• Πολυμορφισμός
• Κωδικός άγνωστος σε κανέναν - χωρίς υπογραφή

Δύσκολο να αμυνθείς

Antivirus υψηλής ταχύτητας του 2011

Το ρωσικό ανεξάρτητο κέντρο πληροφοριών και ανάλυσης Anti-Malware.ru δημοσίευσε τον Μάιο του 2011 τα αποτελέσματα μιας άλλης συγκριτικό τεστΤα 20 πιο δημοφιλή antivirus για απόδοση και κατανάλωση πόρων συστήματος.

Σκοπός αυτής της δοκιμής είναι να δείξει ποια προσωπικά προγράμματα προστασίας από ιούς έχουν τη μικρότερη επίδραση στις τυπικές λειτουργίες του χρήστη στον υπολογιστή, «επιβραδύνουν» λιγότερο την εργασία του και καταναλώνουν την ελάχιστη ποσότητα πόρων του συστήματος.

Μεταξύ των οθονών προστασίας από ιούς (σαρωτές σε πραγματικό χρόνο), μια ολόκληρη ομάδα προϊόντων έχει δείξει πολύ υψηλή ταχύτηταλειτουργεί, μεταξύ αυτών: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro και Dr.Web. Με αυτά τα προγράμματα προστασίας από ιούς, η επιβράδυνση στην αντιγραφή της συλλογής δοκιμών ήταν μικρότερη από 20% σε σύγκριση με το σημείο αναφοράς. Οι οθόνες προστασίας από ιούς BitDefender, PC Tools, Outpost, F-Secure, Norton και Emsisoft παρουσίασαν επίσης υψηλά αποτελέσματα όσον αφορά την απόδοση, που κυμαίνονται στο εύρος του 30-50%. Οι οθόνες προστασίας από ιούς BitDefender, PC Tools, Outpost, F-Secure, Norton και Emsisoft παρουσίασαν επίσης υψηλά αποτελέσματα όσον αφορά την απόδοση, που κυμαίνονται στο εύρος του 30-50%.

Ταυτόχρονα, τα Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost και PC Tools μπορούν να είναι σημαντικά ταχύτερα σε πραγματικές συνθήκες λόγω της βελτιστοποίησης μετά τον έλεγχο.

Το πρόγραμμα προστασίας από ιούς Avira έδειξε την καλύτερη ταχύτητα σάρωσης κατ' απαίτηση. Λίγο πίσω του ήταν τα Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus και Outpost. Όσον αφορά την ταχύτητα της πρώτης σάρωσης, αυτά τα προγράμματα προστασίας από ιούς είναι μόνο ελαφρώς κατώτερα από τον ηγέτη, ταυτόχρονα, όλα διαθέτουν στο οπλοστάσιό τους ισχυρές τεχνολογίες για τη βελτιστοποίηση επαναλαμβανόμενων σαρώσεων.

Ένα άλλο σημαντικό χαρακτηριστικό της ταχύτητας του antivirus είναι ο αντίκτυπός του στην εργασία των εφαρμογών με τις οποίες συχνά εργάζεται ο χρήστης. Πέντε από αυτούς επιλέχθηκαν για το τεστ: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe AcrobatΑναγνώστης και Adobe Photoshop. Η μικρότερη επιβράδυνση στην εκτόξευση αυτών προγράμματα γραφείουέδειξε τα antivirus Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost και G Data.

Ο Eugene Kaspersky το 1992 χρησιμοποίησε την ακόλουθη ταξινόμηση των αντιιών ανάλογα με την αρχή λειτουργίας τους (καθορισμός λειτουργικότητας):

Ø Σαρωτές (παρωχημένη έκδοση - "πολυφάγοι", "ανιχνευτές") - προσδιορίστε την παρουσία ενός ιού από τη βάση δεδομένων υπογραφών που αποθηκεύει τις υπογραφές (ή τα αθροίσματα ελέγχου τους) των ιών. Η αποτελεσματικότητά τους καθορίζεται από τη συνάφεια της βάσης δεδομένων του ιού και την παρουσία ενός ευρετικού αναλυτή.

Ø ελεγκτές (μια κλάση κοντά στο IDS) - θυμηθείτε την κατάσταση του συστήματος αρχείων, που καθιστά δυνατή την ανάλυση των αλλαγών στο μέλλον.

Ø φρουρός (μόνιμοι οθόνες ή φίλτρα ) - παρακολουθείτε δυνητικά επικίνδυνες λειτουργίες, υποβάλλοντας το κατάλληλο αίτημα στον χρήστη για να επιτραπεί/απαγορευτεί η λειτουργία.

Ø Εμβόλια (ανοσοποιητές ) - αλλάξτε το μοσχευμένο αρχείο με τέτοιο τρόπο ώστε ο ιός κατά του οποίου γίνεται το εμβόλιο να θεωρεί ήδη το αρχείο μολυσμένο. Στις σύγχρονες συνθήκες, όταν ο αριθμός των πιθανών ιών μετράται σε εκατοντάδες χιλιάδες, αυτή η προσέγγιση δεν είναι εφαρμόσιμη.

Τα σύγχρονα antivirus συνδυάζουν όλες τις παραπάνω λειτουργίες.

Τα antivirus μπορούν επίσης να χωριστούν σε:

Προϊόντα για οικιακούς χρήστες:

Στην πραγματικότητα antivirus?

Συνδυασμένα προϊόντα (για παράδειγμα, anti-spam, firewall, anti-rootkit κ.λπ. έχουν προστεθεί στο κλασικό anti-virus).

Εταιρικά προϊόντα:

Διακομιστές προστασίας από ιούς?

Antivirus σε σταθμούς εργασίας ("endpoint").

ΜοιρασιάΤα προγράμματα προστασίας από ιούς δίνουν καλά αποτελέσματα, καθώς αλληλοσυμπληρώνονται καλά:

Τα δεδομένα που προέρχονται από εξωτερικές πηγές ελέγχονται πρόγραμμα ανιχνευτή. Εάν αυτά τα δεδομένα ξεχάστηκαν να ελεγχθούν και το μολυσμένο πρόγραμμα ξεκίνησε, μπορεί να συλληφθούν από το πρόγραμμα παρακολούθησης. Είναι αλήθεια ότι και στις δύο περιπτώσεις, οι ιοί που είναι γνωστοί σε αυτά τα προγράμματα προστασίας από ιούς εντοπίζονται αξιόπιστα. Αυτό δεν υπερβαίνει το 80-90% των περιπτώσεων.

- φρουρόςμπορεί να ανιχνεύσει ακόμη και άγνωστους ιούς εάν συμπεριφέρονται πολύ θρασύτατα (προσπαθήστε να μορφοποιήσετε HDDή να κάνετε αλλαγές σε αρχεία συστήματος). Αλλά ορισμένοι ιοί μπορούν να παρακάμψουν τέτοιους ελέγχους.

Εάν ο ιός δεν εντοπίστηκε από ανιχνευτή ή φύλακα, τότε τα αποτελέσματα της δραστηριότητάς του θα ανιχνευθούν από πρόγραμμα - ελεγκτής.

Κατά κανόνα, τα προγράμματα παρακολούθησης θα πρέπει να εκτελούνται συνεχώς στον υπολογιστή, οι ανιχνευτές θα πρέπει να χρησιμοποιούνται για τον έλεγχο δεδομένων που προέρχονται από εξωτερικές πηγές (αρχεία και δισκέτες) και οι ελεγκτές πρέπει να εκτελούνται μία φορά την ημέρα για να ανιχνεύουν και να αναλύουν τις αλλαγές στους δίσκους. Όλα αυτά θα πρέπει να συνδυάζονται με τακτικά αντίγραφα ασφαλείας δεδομένων και τη χρήση προληπτικών μέτρων για τη μείωση της πιθανότητας μόλυνσης από ιό.

Οποιοδήποτε πρόγραμμα προστασίας από ιούς «επιβραδύνει» τον υπολογιστή, αλλά είναι μια αξιόπιστη θεραπεία για τις βλαβερές συνέπειες των ιών.

Ψεύτικα antiviruses (ψευδή antivirus).

Το 2009 διάφορους κατασκευαστέςτα antivirus άρχισαν να αναφέρουν την ευρεία διανομή ενός νέου τύπου antivirus - ψευδών antivirus ή ψευδο-antiviruses (rogueware). Στην πραγματικότητα, αυτά τα προγράμματα είτε δεν είναι καθόλου antivirus (δηλαδή δεν είναι ικανά να καταπολεμήσουν κακόβουλο λογισμικό) είτε ακόμη και ιούς (κλέβουν στοιχεία πιστωτικής κάρτας κ.λπ.).

Τα απατεώνων antivirus χρησιμοποιούνται για να εκβιάζουν χρήματα από τους χρήστες με εξαπάτηση. Ένας τρόπος μόλυνσης ενός υπολογιστή με ένα ψεύτικο antivirus είναι ο ακόλουθος. Ο χρήστης μεταφέρεται σε μια "μολυσμένη" τοποθεσία, η οποία του δίνει ένα προειδοποιητικό μήνυμα όπως: "Βρέθηκε ιός στον υπολογιστή σας". Στη συνέχεια ζητείται από τον χρήστη να πραγματοποιήσει λήψη δωρεάν πρόγραμμα(ψευδές antivirus) για την αφαίρεση του ιού. Μετά την εγκατάσταση, το ψευδές antivirus σαρώνει τον υπολογιστή και υποτίθεται ότι εντοπίζει πολλούς ιούς στον υπολογιστή. Για να αφαιρέσετε κακόβουλο λογισμικό, ένα ψεύτικο πρόγραμμα προστασίας από ιούς προσφέρει να αγοράσει μια πληρωμένη έκδοση του προγράμματος. Ο σοκαρισμένος χρήστης πληρώνει (ποσά από $50 έως $80) και ένα ψεύτικο antivirus καθαρίζει τον υπολογιστή από ανύπαρκτους ιούς.

Antivirus σε SIM, κάρτες flash και συσκευές USB

Τα κινητά τηλέφωνα που παράγονται σήμερα έχουν ένα ευρύ φάσμα διεπαφών και δυνατοτήτων μεταφοράς δεδομένων. Οι χρήστες θα πρέπει να μελετήσουν προσεκτικά τις μεθόδους προστασίας πριν συνδέσουν οποιαδήποτε μικρή συσκευή.

Μέθοδοι προστασίας όπως το υλικό, ίσως τα antivirus σε συσκευές USB ή σε SIM, είναι πιο κατάλληλες για χρήστες κινητών τηλεφώνων. Τεχνική αξιολόγησηκαι μια επισκόπηση του τρόπου εγκατάστασης ενός προγράμματος προστασίας από ιούς σε ένα κινητό τηλέφωνο θα πρέπει να θεωρείται ως διαδικασία σάρωσης που μπορεί να επηρεάσει άλλες νόμιμες εφαρμογές σε αυτό το τηλέφωνο.

Προγράμματα προστασίας από ιούς σε SIM με ενσωματωμένη προστασία από ιούς στην περιοχή μνήμης μικρής χωρητικότητας παρέχουν προστασία από κακόβουλο λογισμικό/ιούς προστατεύοντας το PIN και τις πληροφορίες του χρήστη του τηλεφώνου. Τα antivirus σε κάρτες flash επιτρέπουν στο χρήστη να ανταλλάσσει πληροφορίες και να χρησιμοποιεί αυτά τα προϊόντα με διάφορες συσκευές υλικού, καθώς και να στέλνει αυτά τα δεδομένα σε άλλες συσκευές χρησιμοποιώντας διάφορα κανάλια επικοινωνίας.

Antivirus, φορητές συσκευές και καινοτόμες λύσεις

Στο μέλλον, είναι πιθανό τα κινητά τηλέφωνα να μολυνθούν από ιό. Όλο και περισσότεροι προγραμματιστές σε αυτόν τον τομέα προσφέρουν προγράμματα προστασίας από ιούς για την καταπολέμηση των ιών και την προστασία των κινητών τηλεφώνων. ΣΤΟ κινητές συσκευέςΥπάρχουν οι ακόλουθοι τύποι ελέγχου ιών:

– περιορισμοί επεξεργαστή·

– όριο μνήμης.

– αναγνώριση και ενημέρωση των υπογραφών αυτών των κινητών συσκευών.

Συμπέρασμα:Πρόγραμμα προστασίας από ιούς (antivirus) - αρχικά ένα πρόγραμμα για τον εντοπισμό και τη θεραπεία κακόβουλων αντικειμένων ή μολυσμένων αρχείων, καθώς και για την πρόληψη - πρόληψη μόλυνσης ενός αρχείου ή λειτουργικού συστήματος κακόβουλος κώδικας. Ανάλογα με την αρχή λειτουργίας των προγραμμάτων προστασίας από ιούς, υπάρχει η ακόλουθη ταξινόμηση των αντιιών: σαρωτές (παλαιωμένη έκδοση - "πολυφάγοι", "ανιχνευτές"). ελεγκτές (κατηγορία κοντά στο IDS). φύλακας (μόνιμοι οθόνες ή φίλτρα). εμβόλια (ανοσοποιητικά).

ΣΥΜΠΕΡΑΣΜΑ

Πρόοδοι στην τεχνολογία των υπολογιστών τα τελευταία χρόνιαόχι μόνο συνέβαλε στην ανάπτυξη της οικονομίας, του εμπορίου και των επικοινωνιών· παρείχε μια αποτελεσματική ανταλλαγή πληροφοριών, αλλά παρείχε επίσης μια μοναδική εργαλειοθήκη στους δράστες εγκλημάτων ηλεκτρονικών υπολογιστών. Όσο πιο έντονη είναι η διαδικασία της μηχανογράφησης, τόσο πιο πραγματική γίνεται η ανάπτυξη του εγκλήματος ηλεκτρονικών υπολογιστών και η σύγχρονη κοινωνία όχι μόνο αισθάνεται τις οικονομικές συνέπειες του εγκλήματος ηλεκτρονικών υπολογιστών, αλλά και εξαρτάται όλο και περισσότερο από τη μηχανογράφηση. Όλες αυτές οι πτυχές υποχρεώνουν να δίνεται όλο και μεγαλύτερη προσοχή στην προστασία των πληροφοριών, στην περαιτέρω ανάπτυξη νομοθετικό πλαίσιοστην περιοχή του ασφάλεια πληροφοριών. Όλο το φάσμα των μέτρων πρέπει να περιοριστεί στην προστασία του κράτους πληροφοριακούς πόρους; στη ρύθμιση των σχέσεων που προκύπτουν από το σχηματισμό και τη χρήση πόρων πληροφοριών· δημιουργία και χρήση Τεχνολογίες πληροφορικής; προστασία των πληροφοριών και των δικαιωμάτων των υποκειμένων που συμμετέχουν σε διαδικασίες πληροφόρησης· καθώς και τον καθορισμό των βασικών εννοιών που χρησιμοποιούνται στη νομοθεσία.

Αναπληρωτής Καθηγητής Τμήματος Οργάνωσης Ασφάλειας και Συνοδείας στο Σωφρονιστικό Σύστημα

υποψήφιος τεχνικών επιστημών

ο αντισυνταγματάρχης εσωτερικής υπηρεσίας Β.Γ. Zarubsky

μόλυνση από κακόβουλο λογισμικό προστασίας από ιούς

Για την επιτυχή εργασία τους, οι ιοί πρέπει να ελέγχουν εάν το αρχείο είναι ήδη μολυσμένο (από τον ίδιο ιό). Έτσι αποφεύγουν την αυτοκαταστροφή. Για να γίνει αυτό, οι ιοί χρησιμοποιούν μια υπογραφή. Οι περισσότεροι κοινοί ιοί (συμπεριλαμβανομένων των ιών μακροεντολών) χρησιμοποιούν υπογραφές χαρακτήρων. Πιο πολύπλοκοι ιοί (πολυμορφικοί) χρησιμοποιούν υπογραφές αλγορίθμων. Ανεξάρτητα από τον τύπο της υπογραφής του ιού, τα προγράμματα προστασίας από ιούς τα χρησιμοποιούν για την ανίχνευση "μολύνσεων υπολογιστή". Μετά από αυτό, το πρόγραμμα προστασίας από ιούς προσπαθεί να καταστρέψει τον εντοπισμένο ιό. Ωστόσο, αυτή η διαδικασία εξαρτάται από την πολυπλοκότητα του ιού και την ποιότητα του προγράμματος προστασίας από ιούς. Όπως ήδη αναφέρθηκε, οι δούρειοι ίπποι και οι πολυμορφικοί ιοί είναι οι πιο δύσκολοι να εντοπιστούν. Οι πρώτοι από αυτούς δεν προσθέτουν το σώμα τους στο πρόγραμμα, αλλά το ενσωματώνουν μέσα σε αυτό. Από την άλλη πλευρά, τα προγράμματα προστασίας από ιούς πρέπει να αφιερώνουν πολύ χρόνο για να προσδιορίσουν την υπογραφή των πολυμορφικών ιών. Γεγονός είναι ότι οι υπογραφές τους αλλάζουν με κάθε νέο αντίγραφο.

Για τον εντοπισμό, την αφαίρεση και την προστασία από ιούς υπολογιστών, υπάρχουν ειδικά προγράμματαονομάζεται antivirus. Τα σύγχρονα προγράμματα προστασίας από ιούς είναι πολυλειτουργικά προϊόντα που συνδυάζουν εργαλεία πρόληψης και θεραπείας ιών και ανάκτησης δεδομένων.

Ο αριθμός και η ποικιλία των ιών είναι μεγάλη και για να τους ανιχνεύσουμε γρήγορα και αποτελεσματικά, ένα πρόγραμμα προστασίας από ιούς πρέπει να πληροί ορισμένες παραμέτρους:

1. Σταθερότητα και αξιοπιστία της εργασίας.

2. Διαστάσεις της βάσης δεδομένων ιών του προγράμματος (ο αριθμός των ιών που εντοπίζονται σωστά από το πρόγραμμα): λαμβάνοντας υπόψη τη συνεχή εμφάνιση νέων ιών, η βάση δεδομένων θα πρέπει να ενημερώνεται τακτικά.

3. Η δυνατότητα του προγράμματος να ανιχνεύει διάφορους τύπους ιών, και τη δυνατότητα εργασίας με αρχεία διάφοροι τύποι(αρχεία, έγγραφα).

4. Η παρουσία μόνιμης παρακολούθησης που ελέγχει όλα τα νέα αρχεία «on the fly» (δηλαδή αυτόματα, όπως είναι γραμμένα στο δίσκο).

5. Η ταχύτητα του προγράμματος, η διαθεσιμότητα Επιπρόσθετα χαρακτηριστικάόπως αλγόριθμοι ανίχνευσης ιών ακόμη και άγνωστων στο πρόγραμμα (ευρετική σάρωση).

6. Δυνατότητα επαναφοράς μολυσμένων αρχείων χωρίς διαγραφή τους από τον σκληρό δίσκο, αλλά μόνο αφαίρεσης ιών από αυτά.

7. Το ποσοστό των ψευδών θετικών του προγράμματος (λανθασμένη ανίχνευση ιού σε «καθαρό» αρχείο).

8. Cross-platform (διαθεσιμότητα εκδόσεων προγραμμάτων για διαφορετικά λειτουργικά συστήματα).

Ταξινόμηση προγραμμάτων προστασίας από ιούς:

1. Τα προγράμματα ανιχνευτών παρέχουν αναζήτηση και ανίχνευση ιών στη μνήμη RAM και σε εξωτερικά μέσα, και μετά τον εντοπισμό εκδίδουν ένα αντίστοιχο μήνυμα. Υπάρχουν ανιχνευτές:

Καθολική - χρήση στην εργασία τους για να ελέγξουν την αμετάβλητη των αρχείων μετρώντας και συγκρίνοντας με ένα πρότυπο αθροίσματος ελέγχου.

Εξειδικευμένο - αναζήτηση γνωστών ιών με την υπογραφή τους (Επαναλαμβανόμενο τμήμα κώδικα).

2. Τα προγράμματα γιατρών (φάγοι) όχι μόνο βρίσκουν αρχεία μολυσμένα από ιούς, αλλά και τα «θεραπεύουν», π.χ. αφαιρέστε το σώμα του προγράμματος ιών από το αρχείο, επιστρέφοντας τα αρχεία στην αρχική τους κατάσταση. Στην αρχή της εργασίας τους, οι φάγοι αναζητούν ιούς στη μνήμη RAM, καταστρέφοντάς τους και μόνο μετά προχωρούν στην «επεξεργασία» των αρχείων. Μεταξύ των φάγων διακρίνονται πολυφάγοι, δηλ. προγράμματα γιατρών που έχουν σχεδιαστεί για να βρίσκουν και να καταστρέφουν μεγάλο αριθμό ιών.

3. Οι ελεγκτές προγραμμάτων είναι από τα πιο αξιόπιστα μέσα προστασίας από ιούς. Οι ελεγκτές θυμούνται την αρχική κατάσταση των προγραμμάτων, των καταλόγων και των περιοχών συστήματος του δίσκου όταν ο υπολογιστής δεν έχει μολυνθεί από ιό και στη συνέχεια συγκρίνουν περιοδικά ή κατόπιν αιτήματος του χρήστη την τρέχουσα κατάσταση με την αρχική. Οι αλλαγές που εντοπίστηκαν εμφανίζονται στην οθόνη της οθόνης.

4. Τα προγράμματα φίλτρου (watchmen) είναι προγράμματα μικρού μεγέθους που έχουν σχεδιαστεί για να ανιχνεύουν ύποπτες ενέργειες κατά τη λειτουργία του υπολογιστή που είναι χαρακτηριστικές των ιών. Τέτοιες ενέργειες μπορεί να είναι:

Προσπάθειες διόρθωσης αρχείων με επεκτάσεις COM και EXE.

Αλλαγή ιδιοτήτων αρχείου.

Απευθείας εγγραφή στο δίσκο σε απόλυτη διεύθυνση.

Εγγραφή σε τομείς εκκίνησης δίσκου.

5. Τα προγράμματα εμβολίων (ανοσοποιητές) είναι μόνιμα προγράμματα που αποτρέπουν τη μόλυνση αρχείων. Τα εμβόλια χρησιμοποιούνται εάν δεν υπάρχουν προγράμματα γιατρών που «θεραπεύουν» αυτόν τον ιό. Ο εμβολιασμός είναι δυνατός μόνο κατά των γνωστών ιών Bezrukov N. Computer Viology: Textbook [Ηλεκτρονικός πόρος]: http://vx.netlux.org/lib/anb00.html..

Στην πραγματικότητα, η αρχιτεκτονική των προγραμμάτων προστασίας από ιούς είναι πολύ πιο περίπλοκη και εξαρτάται από τον συγκεκριμένο προγραμματιστή. Αλλά ένα γεγονός είναι αναμφισβήτητο: όλες οι τεχνολογίες για τις οποίες μίλησα είναι τόσο στενά αλληλένδετες μεταξύ τους που μερικές φορές είναι αδύνατο να καταλάβουμε πότε μία εκτοξεύεται και μία άλλη αρχίζει να λειτουργεί. Αυτή η αλληλεπίδραση των τεχνολογιών προστασίας από ιούς τους επιτρέπει να χρησιμοποιούνται αποτελεσματικότερα στην καταπολέμηση των ιών. Αλλά μην ξεχνάτε ότι δεν υπάρχει τέλεια προστασία και ο μόνος τρόπος για να προειδοποιήσετε τον εαυτό σας για τέτοια προβλήματα είναι συνεχείς ενημερώσεις λειτουργικού συστήματος, ένα καλά διαμορφωμένο τείχος προστασίας, συχνά ενημερωμένο antivirus και - το πιο σημαντικό - να μην εκτελείτε / κατεβάσετε ύποπτα αρχεία από το Διαδίκτυο.

Ο Eugene Kaspersky το 1992 χρησιμοποίησε την ακόλουθη ταξινόμηση των αντιιών ανάλογα με την αρχή λειτουργίας τους (καθορισμός λειτουργικότητας):

1. Σαρωτές (μια απαρχαιωμένη έκδοση - "πολυφάγοι") - προσδιορίζουν την παρουσία ενός ιού από τη βάση δεδομένων υπογραφών που αποθηκεύει τις υπογραφές (ή τα αθροίσματα ελέγχου τους) των ιών. Η αποτελεσματικότητά τους καθορίζεται από τη συνάφεια της βάσης δεδομένων του ιού και την παρουσία ενός ευρετικού αναλυτή (βλ.: Ευρετική σάρωση).

2. Ελεγκτές (μια κλάση κοντά στο IDS) - θυμηθείτε την κατάσταση του συστήματος αρχείων, που καθιστά δυνατή την ανάλυση των αλλαγών στο μέλλον.

3. Φύλακες (οθόνες) - παρακολουθείτε δυνητικά επικίνδυνες λειτουργίες, εκδίδοντας το κατάλληλο αίτημα στον χρήστη για να επιτρέψει/απαγορευτεί η λειτουργία.

4. Εμβόλια - αλλάξτε το μοσχευμένο αρχείο με τέτοιο τρόπο ώστε ο ιός κατά του οποίου γίνεται το εμβόλιο να θεωρεί ήδη το αρχείο μολυσμένο. Στις σύγχρονες συνθήκες (2007), όταν ο αριθμός των πιθανών ιών μετριέται σε εκατοντάδες χιλιάδες, αυτή η προσέγγιση δεν είναι εφαρμόσιμη.

Τα σύγχρονα antivirus συνδυάζουν όλες τις παραπάνω λειτουργίες.

Τα antivirus μπορούν επίσης να χωριστούν σε:

1. Προϊόντα για οικιακούς χρήστες:

2. Στην πραγματικότητα antivirus?

3. Συνδυασμένα προϊόντα (για παράδειγμα, anti-spam, firewall, anti-rootkit κ.λπ. έχουν προστεθεί στο κλασικό anti-virus).

4. Εταιρικά προϊόντα:

5. Διακομιστές προστασίας από ιούς.

6. Antivirus σε σταθμούς εργασίας ("endpoint").

Antivirus σε SIM, κάρτες flash και συσκευές USB

Τα κινητά τηλέφωνα που παράγονται σήμερα έχουν ένα ευρύ φάσμα διεπαφών και δυνατοτήτων μεταφοράς δεδομένων. Οι χρήστες θα πρέπει να μελετήσουν προσεκτικά τις μεθόδους προστασίας πριν συνδέσουν οποιαδήποτε μικρή συσκευή.

Μέθοδοι προστασίας όπως το υλικό, ίσως τα antivirus σε συσκευές USB ή σε SIM, είναι πιο κατάλληλες για χρήστες κινητών τηλεφώνων. Μια τεχνική αξιολόγηση και ανασκόπηση του τρόπου εγκατάστασης ενός προγράμματος προστασίας από ιούς σε ένα κινητό τηλέφωνο θα πρέπει να θεωρείται ως διαδικασία σάρωσης που μπορεί να επηρεάσει άλλες νόμιμες εφαρμογές σε αυτό το τηλέφωνο.

Τα προγράμματα προστασίας από ιούς σε SIM με ενσωματωμένη προστασία από ιούς στην περιοχή μνήμης μικρής χωρητικότητας παρέχουν προστασία από κακόβουλο λογισμικό/ιούς προστατεύοντας το PIN και τις πληροφορίες του χρήστη του τηλεφώνου. Τα anti-virus σε κάρτες flash επιτρέπουν στο χρήστη να ανταλλάσσει πληροφορίες και να χρησιμοποιεί αυτά τα προϊόντα με διάφορες συσκευές υλικού, καθώς και να στέλνει αυτά τα δεδομένα σε άλλες συσκευές χρησιμοποιώντας διάφορα κανάλια επικοινωνίας.

Antivirus, φορητές συσκευές και καινοτόμες λύσεις

Στο μέλλον, είναι πιθανό τα κινητά τηλέφωνα να μολυνθούν από ιό. Όλο και περισσότεροι προγραμματιστές σε αυτόν τον τομέα προσφέρουν προγράμματα προστασίας από ιούς για την καταπολέμηση των ιών και την προστασία των κινητών τηλεφώνων. Στις κινητές συσκευές, υπάρχουν οι ακόλουθοι τύποι ελέγχου ιών.