مقدمه

ما در آستانه دو هزاره زندگی می کنیم، زمانی که بشریت وارد عصر یک انقلاب علمی و فناوری جدید شده است.

در پایان قرن بیستم، مردم بر بسیاری از اسرار تبدیل ماده و انرژی مسلط شده بودند و توانستند از این دانش برای بهبود زندگی خود استفاده کنند. اما علاوه بر ماده و انرژی، مؤلفه دیگری در زندگی انسان نقش بسزایی دارد - اطلاعات. این طیف گسترده ای از اطلاعات، پیام ها، اخبار، دانش، مهارت ها است.

در اواسط قرن ما وجود داشت دستگاه های خاص- كامپيوترها بر ذخيره و تبديل اطلاعات تمركز كردند و انقلاب كامپيوتري رخ داد.

امروزه، متأسفانه، استفاده انبوه از رایانه های شخصی با ظهور برنامه های ویروسی خودبازتولید کننده همراه است که از عملکرد عادی رایانه جلوگیری می کند، ساختار فایل دیسک ها را از بین می برد و به اطلاعات ذخیره شده در رایانه آسیب می رساند.

با وجود قوانینی که در بسیاری از کشورها برای مبارزه با جرایم رایانه ای و توسعه ویژه ای اتخاذ شده است ابزارهای نرم افزاریمحافظت در برابر ویروس ها، تعداد جدید ویروس های نرم افزاریدائما در حال رشد است. این امر مستلزم آن است که کاربر رایانه شخصی در مورد ماهیت ویروس ها، نحوه آلوده کردن و محافظت در برابر ویروس ها آگاه باشد. این انگیزه ای برای انتخاب موضوع کار من بود.

این چیزی است که من در مقاله خود در مورد آن صحبت می کنم. من انواع اصلی ویروس ها را نشان می دهم، طرح های عملکرد آنها، دلایل ظاهر آنها و راه های نفوذ به رایانه را در نظر می گیرم، و همچنین اقداماتی را برای محافظت و پیشگیری پیشنهاد می کنم.

هدف از این کار آشنایی کاربر با مبانی ویروس شناسی کامپیوتری، آموزش تشخیص ویروس ها و مبارزه با آنها است. روش کار، تحلیل نشریات چاپی در این زمینه است. من با یک کار دشوار روبرو شدم - صحبت در مورد آنچه بسیار کم مطالعه شده است و چگونه اتفاق افتاد - شما قاضی باشید.

1. ویروس های کامپیوتری و ویژگی های آنها و طبقه بندی

1.1. خواص ویروس های کامپیوتری

اکنون از رایانه های شخصی استفاده می شود که در آن کاربر به تمام منابع دستگاه دسترسی آزاد دارد. این همان چیزی است که امکان خطری را که به عنوان ویروس کامپیوتری شناخته شده است را باز کرد.

ویروس کامپیوتری چیست؟ هنوز تعریف رسمی از این مفهوم ابداع نشده است و تردیدهای جدی وجود دارد که اصلاً بتوان آن را ارائه داد. تلاش های متعدد برای ارائه تعریفی «مدرن» از ویروس موفقیت آمیز نبوده است. برای احساس پیچیدگی مشکل، سعی کنید، برای مثال، مفهوم "ویرایشگر" را تعریف کنید. یا به چیزی بسیار کلی دست خواهید یافت، یا شروع به فهرست کردن انواع شناخته شده ویرایشگرها خواهید کرد. به سختی می توان هر دو را قابل قبول دانست. بنابراین، ما خود را به بررسی برخی از ویژگی‌های ویروس‌های رایانه‌ای محدود می‌کنیم که به ما اجازه می‌دهد از آنها به عنوان یک کلاس خاص از برنامه‌ها صحبت کنیم.

اول از همه، ویروس یک برنامه است. چنین جمله ساده ای به تنهایی می تواند افسانه های زیادی را در مورد قابلیت های خارق العاده ویروس های رایانه ای از بین ببرد. ویروس می تواند تصویر را روی مانیتور شما برگرداند، اما نمی تواند خود مانیتور را بچرخاند. به افسانه هایی در مورد ویروس های قاتل که «با نمایش یک کشنده اپراتورها را از بین می برند رنگ ها 25th frame” را نیز نباید جدی گرفت. متأسفانه برخی از نشریات معتبر گهگاه «آخرین اخبار از حوزه رایانه» را منتشر می کنند که با بررسی دقیق تر، نتیجه درک نه کاملاً روشن موضوع است.

ویروس برنامه ای است که توانایی تکثیر خود را دارد. این توانایی تنها وسیله ای است که در همه انواع ویروس ها وجود دارد. اما نه تنها ویروس ها قادر به تکثیر خود هستند. هر سیستم عامل و بسیاری از برنامه های دیگر قادر به ایجاد نسخه های خود هستند. کپی های همان ویروس نه تنها لازم نیست کاملاً با نسخه اصلی مطابقت داشته باشند، بلکه ممکن است اصلاً با آن مطابقت نداشته باشند!

یک ویروس نمی‌تواند به صورت «انزوا کامل» وجود داشته باشد: امروزه نمی‌توان ویروسی را تصور کرد که از کد برنامه‌های دیگر، اطلاعات ساختار فایل یا حتی فقط از نام برنامه‌های دیگر استفاده نمی‌کند. دلیل واضح است: ویروس باید به نحوی از انتقال کنترل به خود اطمینان حاصل کند.

1.2. طبقه بندی ویروس ها

در حال حاضر بیش از 5000 ویروس نرم افزاری شناخته شده است که می توان آنها را بر اساس معیارهای زیر طبقه بندی کرد:

زیستگاه

¨ راه آلودگی محیط زیست

تأثیر

¨ ویژگی های الگوریتم

بسته به زیستگاه، ویروس ها را می توان به شبکه، فایل، بوت و فایل بوت تقسیم کرد. ویروس های شبکهدر شبکه های مختلف کامپیوتری توزیع شده است. ویروس های فایل عمدتاً در ماژول های اجرایی، یعنی در فایل هایی با پسوندهای COM و EXE وارد می شوند. ویروس های فایلرا می توان در انواع دیگر فایل ها جاسازی کرد، اما، به عنوان یک قاعده، در چنین فایل هایی نوشته می شود، آنها هرگز کنترل نمی شوند و بنابراین، توانایی تولید مجدد را از دست می دهند. ویروس ها را بوت کنیددر بخش بوت دیسک (بخش بوت) یا در بخش حاوی برنامه بوت تعبیه شده اند. دیسک سیستم(Master Boot Re-

طناب). بوت فایلویروس ها هر دو فایل و بخش های بوتدیسک ها

بر اساس روش آلودگی، ویروس ها به ساکن و غیر مقیم تقسیم می شوند. ویروس مقیمهنگام آلوده کردن (عفونت کردن) یک کامپیوتر، آن را در داخل می گذارد حافظه دسترسی تصادفیبخش مقیم آن، که سپس دسترسی سیستم عامل به اشیاء آلوده (فایل ها، بخش های بوت دیسک و غیره) را قطع کرده و خود را به آنها تزریق می کند. ویروس‌های مقیم در حافظه باقی می‌مانند و تا زمانی که کامپیوتر خاموش یا راه‌اندازی مجدد نشود، فعال باقی می‌مانند. ویروس های غیر مقیمحافظه کامپیوتر را آلوده نمی کند و برای مدت محدودی فعال هستند.

با توجه به میزان تاثیر، ویروس ها را می توان به انواع زیر تقسیم کرد:

¨ غیر خطرناککه در عملکرد کامپیوتر تداخلی ایجاد نمی کند، اما میزان رم و حافظه دیسک آزاد را کاهش می دهد، عملکرد این گونه ویروس ها در هر گونه جلوه های گرافیکی یا صوتی آشکار می شود.

¨ خطرناکویروس هایی که می توانند مشکلات مختلفی را برای رایانه شما ایجاد کنند

¨ بسیار خطرناک، که تأثیر آن می تواند منجر به از بین رفتن برنامه ها ، از بین رفتن داده ها ، پاک شدن اطلاعات در مناطق سیستمی دیسک شود.

2. انواع اصلی ویروس ها و طرح های عملکرد آنها

از میان انواع ویروس ها، گروه های اصلی زیر را می توان تشخیص داد:

¨ چکمه

فایل

¨ فایل-بوت

اکنون در مورد هر یک از این گروه ها جزئیات بیشتری ارائه می دهیم.

2.1. ویروس ها را بوت کنید

عملکرد یک ویروس بوت بسیار ساده را در نظر بگیرید که فلاپی دیسک ها را آلوده می کند. ما عمداً تمام ظرافت‌های متعددی را که ناگزیر در تحلیل دقیق الگوریتم برای عملکرد آن با آن مواجه می‌شویم، دور می‌زنیم.

وقتی کامپیوتر خود را روشن می کنید چه اتفاقی می افتد؟ ابتدا کنترل منتقل می شود برنامه بوت استرپ، که در حافظه فقط خواندنی (ROM) ذخیره می شود. رام PNZ.

این برنامه سخت افزار را تست می کند و در صورت موفقیت آمیز بودن تست ها، سعی می کند فلاپی دیسک را در درایو A پیدا کند:

هر فلاپی دیسک بر روی به اصطلاح مشخص شده است. بخش ها و آهنگ ها بخش ها در خوشه ها ترکیب شده اند، اما این برای ما ضروری نیست.

در میان بخش‌ها، چندین سرویس وجود دارد که توسط سیستم عامل برای نیازهای خود استفاده می‌شود (داده‌های شما را نمی‌توان در این بخش‌ها قرار داد). در میان بخش های خدماتی، ما هنوز به یکی علاقه مند هستیم - به اصطلاح. بخش بوت استرپ(بخش بوت).

فروشگاه های بخش بوت استرپ اطلاعات دیسکت- تعداد سطوح، تعداد آهنگ ها، تعداد بخش ها و غیره. اما اکنون ما به این اطلاعات علاقه مند نیستیم، بلکه به یک اطلاعات کوچک برنامه بوت استرپ(PNZ) که باید خود سیستم عامل را بارگذاری کند و کنترل را به آن منتقل کند.

بنابراین الگوی بوت استرپ معمولی به شرح زیر است:

حال ویروس را در نظر بگیرید. در ویروس های بوت، دو قسمت متمایز می شوند - به اصطلاح. سرو غیره. دم. دم، به طور کلی، می تواند خالی باشد.

فرض کنید شما یک فلاپی دیسک خالی و یک کامپیوتر آلوده دارید که منظور ما یک کامپیوتر با ویروس ساکن فعال است. به محض اینکه این ویروس تشخیص داد که یک قربانی مناسب در درایو ظاهر شده است - در مورد ما، دیسکتی که از نوشتن محافظت نشده و هنوز آلوده نشده است، شروع به آلوده کردن می کند. هنگام آلوده کردن فلاپی دیسک، ویروس اقدامات زیر را انجام می دهد:

ناحیه خاصی از دیسک را اختصاص می دهد و آن را به عنوان غیرقابل دسترس برای سیستم عامل علامت گذاری می کند، این کار را می توان به روش های مختلف انجام داد، در ساده ترین و سنتی ترین حالت، بخش های اشغال شده توسط ویروس به عنوان بد (بد) علامت گذاری می شوند.

دم آن و بخش اصلی (سالم) بوت را در ناحیه انتخاب شده دیسک کپی می کند

برنامه بوت استرپ را در بخش بوت (واقعی) با هد خود جایگزین می کند

زنجیره انتقال کنترل را طبق طرح سازماندهی می کند.

بنابراین، سر ویروس اکنون اولین کسی است که کنترل را به دست می گیرد، ویروس در حافظه نصب می شود و کنترل را به بخش بوت اصلی منتقل می کند. در یک زنجیر

PNZ (ROM) - PNZ (دیسک) - SYSTEM

یک لینک جدید ظاهر می شود:

PNZ (ROM) - ویروس - PNZ (دیسک) - سیستم

اخلاق روشن است: هرگز (به طور تصادفی) فلاپی دیسک ها را در درایو A رها نکنید.

ما عملکرد یک ویروس butovy ساده را که در بخش های بوت فلاپی دیسک زندگی می کند، بررسی کرده ایم. به عنوان یک قاعده، ویروس ها می توانند نه تنها بخش های بوت فلاپی دیسک، بلکه بخش های بوت دیسک های سخت را نیز آلوده کنند. در این حالت، بر خلاف فلاپی دیسک، هارد دیسک دارای دو نوع بخش بوت است که شامل برنامه های بوت می شود که کنترل را دریافت می کنند. هنگام بوت کردن رایانه از هارد دیسک، برنامه بوت در MBR (Master Boot Record - Master Boot Record) ابتدا کنترل را به دست می گیرد. اگر هارد دیسک شما به چند پارتیشن تقسیم شده است، تنها یکی از آنها به عنوان قابل بوت (boot) مشخص می شود. برنامه بوت استرپ در MBR پارتیشن بوت هارد دیسک را پیدا کرده و کنترل را به بوت لودر این پارتیشن منتقل می کند. کد دومی همان کد برنامه بوت موجود در فلاپی دیسک های معمولی است و بخش های بوت مربوطه فقط در جداول پارامتر متفاوت است. بنابراین، دو مورد حمله ویروس های بوت روی هارد دیسک وجود دارد - برنامه بوت استرپ در MBRو ابتدایی دانلود در بخش بوتدیسک بوت

2.2. ویروس های فایل

اکنون بیایید نحوه عملکرد یک ویروس فایل ساده را بررسی کنیم. بر خلاف ویروس های بوت که تقریبا همیشه ساکن هستند، ویروس های فایل لزوما مقیم نیستند. بیایید طرح عملکرد یک ویروس فایل غیر مقیم را در نظر بگیریم. فرض کنید یک فایل اجرایی آلوده داریم. هنگامی که چنین فایلی راه اندازی می شود، ویروس کنترل را به دست می گیرد، برخی از اقدامات را انجام می دهد و کنترل را به "master" منتقل می کند (البته هنوز مشخص نیست که در چنین شرایطی چه کسی استاد است).

ویروس چه اقداماتی انجام می دهد؟ به دنبال یک شی جدید برای آلوده کردن است - یک فایل از نوع مناسب که هنوز آلوده نشده است (در صورتی که ویروس "مناسب" باشد، در غیر این صورت مواردی هستند که بلافاصله بدون بررسی چیزی آلوده می شوند). با آلوده کردن یک فایل، ویروس خود را به کد آن تزریق می کند تا در هنگام اجرای فایل، کنترل را به دست آورد. علاوه بر عملکرد اصلی آن - تولید مثل، ویروس ممکن است کار پیچیده ای انجام دهد (مثلاً بپرسید، بازی کنید) - این از قبل به تخیل نویسنده ویروس بستگی دارد. اگر یک ویروس فایل ساکن باشد، خود را در حافظه نصب می‌کند و توانایی آلوده کردن فایل‌ها و نمایش توانایی‌های دیگر را نه تنها در زمان اجرای فایل آلوده به دست می‌آورد. با آلوده کردن یک فایل اجرایی، یک ویروس همیشه کد خود را تغییر می دهد - بنابراین، آلودگی یک فایل اجرایی همیشه قابل شناسایی است. اما با تغییر کد فایل، ویروس لزوماً تغییرات دیگری ایجاد نمی کند:

à موظف به تغییر طول فایل نیست

بخش های استفاده نشده کد

à برای تغییر ابتدای فایل مورد نیاز نیست

در نهایت، ویروس‌های فایل اغلب شامل ویروس‌هایی می‌شوند که «با فایل‌ها ارتباط دارند» اما نیازی به نفوذ به کد آن‌ها نیست. اجازه دهید به عنوان مثال طرح عملکرد ویروس های خانواده Dir-II را در نظر بگیریم. باید اعتراف کرد که این ویروس ها با ظهور در سال 1991 باعث ایجاد یک اپیدمی واقعی طاعون در روسیه شدند. مدلی را در نظر بگیرید که به وضوح ایده اصلی یک ویروس را نشان می دهد. اطلاعات مربوط به فایل ها در دایرکتوری ها ذخیره می شود. هر ورودی دایرکتوری شامل نام فایل، تاریخ و زمان ایجاد، و تعدادی است اطلاعات تکمیلی, شماره اولین خوشهفایل و غیره بایت های یدکی. دومی "در ذخیره" باقی مانده است و خود MS-DOS استفاده نمی شود.

هنگام اجرای فایل های اجرایی، سیستم اولین کلاستر فایل را از ورودی دایرکتوری و سپس همه خوشه های دیگر را می خواند. ویروس‌های خانواده Dir-II «سازماندهی مجدد» سیستم فایل را ایجاد می‌کنند: خود ویروس در برخی از بخش‌های دیسک آزاد نوشته می‌شود که آن‌ها را به عنوان بد علامت‌گذاری می‌کند. علاوه بر این، اطلاعات مربوط به اولین خوشه های فایل های اجرایی را در بیت های یدکی ذخیره می کند و به جای این اطلاعات به خود مراجع می نویسد.

بنابراین، هنگامی که هر فایلی راه اندازی می شود، ویروس کنترل را دریافت می کند (سیستم عامل خود آن را راه اندازی می کند)، در حافظه قرار می گیرد و کنترل را به فایل فراخوانی منتقل می کند.

2.3. ویروس های فایل بوت

ما مدل ویروس بوت فایل را در نظر نخواهیم گرفت، زیرا در این مورد اطلاعات جدیدی یاد نخواهید گرفت. اما در اینجا فرصتی برای بحث مختصر در مورد ویروس OneHalf boot-file اخیراً بسیار "محبوب" است که بخش اصلی بوت (MBR) و فایل های اجرایی را آلوده می کند. اصلی ترین اقدام مخرب رمزگذاری بخش های هارد دیسک است. با هر راه اندازی، ویروس بخش بعدی بخش ها را رمزگذاری می کند و پس از رمزگذاری نیمی از آنها هارد دیسک، با خوشحالی این را اعلام می کند. مشکل اصلی در درمان این ویروس این است که تنها حذف ویروس از MBR و فایل ها کافی نیست، بلکه باید اطلاعات رمزگذاری شده توسط آن را رمزگشایی کرد. مرگبارترین اقدام این است که به سادگی یک MBR سالم جدید را بازنویسی کنید. نکته اصلی - وحشت نکنید. همه چیز را با آرامش وزن کنید، با کارشناسان مشورت کنید.

2.4. ویروس های چند شکلی

بیشتر سوالات مربوط به اصطلاح "ویروس چند شکلی" است. این نوع ویروس کامپیوتری تا حد زیادی خطرناک ترین است. بیایید توضیح دهیم که چیست.

ویروس های چند شکلی ویروس هایی هستند که کد خود را در برنامه های آلوده به گونه ای تغییر می دهند که ممکن است دو نمونه از یک ویروس در یک بیت با هم مطابقت نداشته باشند.

چنین ویروس هایی نه تنها کد خود را با استفاده از مسیرهای رمزگذاری مختلف رمزگذاری می کنند، بلکه حاوی کد تولید رمزگذار و رمزگشا هستند که آنها را از ویروس های رمزگذاری معمولی متمایز می کند که می توانند بخش هایی از کد خود را نیز رمزگذاری کنند، اما در عین حال یک کد ثابت دارند. رمزگذار و رمزگشا.

ویروس‌های چند شکلی، ویروس‌هایی با رمزگشاهای خودتغییر شونده هستند. هدف از چنین رمزگذاری این است که اگر یک فایل آلوده و اصلی دارید، باز هم نمی توانید کد آن را با استفاده از جداسازی قطعات معمولی تجزیه و تحلیل کنید. این کد رمزگذاری شده است و مجموعه ای از دستورات بی معنی است. رمزگشایی توسط خود ویروس در زمان اجرا انجام می شود. در عین حال، گزینه ها ممکن است: او می تواند خود را به یکباره رمزگشایی کند، یا می تواند چنین رمزگشایی را "در حال حرکت" انجام دهد، او دوباره می تواند بخش های از قبل کار شده را رمزگذاری کند. همه این کارها به این دلیل انجام می شود که تجزیه و تحلیل کد ویروس را دشوار کند.

3. تاریخچه ویروس شناسی کامپیوتری و علل ویروس ها

تاریخ ویروس شناسی رایانه ای امروزه به نظر می رسد یک "مسابقه برای رهبر" دائمی باشد، و با وجود قدرت کامل برنامه های ضد ویروس مدرن، این ویروس ها هستند که رهبران هستند. در میان هزاران ویروس، تنها چند ده مورد از پیشرفت‌های اصلی هستند که از ایده‌های کاملاً جدید استفاده می‌کنند. همه موارد دیگر "تغییرات در یک موضوع" هستند. اما هر توسعه اولیه، سازندگان آنتی ویروس ها را مجبور می کند تا خود را با شرایط جدید وفق دهند، تا با فن آوری ویروس مقابله کنند. مورد دوم قابل بحث است. به عنوان مثال، در سال 1989، یک دانشجوی آمریکایی موفق شد ویروسی ایجاد کند که حدود 6000 کامپیوتر وزارت دفاع ایالات متحده را از کار انداخت. یا اپیدمی ویروس معروف Dir-II که در سال 1991 شیوع پیدا کرد. این ویروس از یک فناوری واقعاً اصیل و اساساً جدید استفاده کرد و در ابتدا به دلیل نقص سنتی توانست به طور گسترده گسترش یابد. ابزارهای ضد ویروس.

یا شیوع ویروس های کامپیوتری در بریتانیا: کریستوفر پاین موفق شد ویروس های Pathogen و Queeq و همچنین ویروس Smeg را ایجاد کند. این دومی خطرناک‌ترین بود، می‌توان آن را روی دو ویروس اول اعمال کرد و به همین دلیل، پس از هر بار اجرای برنامه، پیکربندی را تغییر می‌دادند. بنابراین، تخریب آنها غیرممکن بود. برای انتشار ویروس، پاین کپی کرد بازی های کامپیوتریو برنامه ها، آنها را آلوده کرده و سپس به شبکه بازگرداند. کاربران برنامه های آلوده را به رایانه های خود و دیسک های آلوده دانلود کردند. وضعیت با این واقعیت تشدید شد که Pine موفق شد ویروس ها را وارد برنامه ای کند که با آنها مبارزه می کند. با اجرای آن، کاربران به جای از بین بردن ویروس، ویروس دیگری دریافت کردند. در نتیجه، پرونده های بسیاری از شرکت ها از بین رفت، زیان ها به میلیون ها پوند رسید.

موریس برنامه نویس آمریکایی به طور گسترده ای شناخته شده است. او به عنوان خالق ویروسی شناخته می شود که در نوامبر 1988 حدود 7000 کامپیوتر شخصی متصل به اینترنت را آلوده کرد.

دلایل پیدایش و انتشار ویروس های رایانه ای از یک سو در روانشناسی شخصیت انسان و جنبه های سایه آن (حسادت، انتقام، غرور خالقان ناشناخته، ناتوانی در به کارگیری سازنده توانایی های آنها) نهفته است. از طرف دیگر به دلیل عدم حفاظت سخت افزاری و مقابله با اتاق عمل سیستم های کامپیوتر شخصی.

4. راه های نفوذ ویروس ها به کامپیوتر و مکانیسم توزیع برنامه های ویروس

راه های اصلی ورود ویروس ها به کامپیوتر، دیسک های قابل جابجایی (فلاپی و لیزری) و همچنین شبکه های کامپیوتری است. آلودگی هارد دیسک با ویروس ممکن است زمانی رخ دهد که یک برنامه از فلاپی دیسک حاوی ویروس بارگذاری شود. چنین عفونتی همچنین می تواند تصادفی باشد، به عنوان مثال، اگر فلاپی دیسک از درایو A حذف نشود و رایانه مجدداً راه اندازی شود، در حالی که فلاپی دیسک ممکن است یک دیسک سیستمی نباشد. آلوده کردن فلاپی دیسک بسیار ساده تر است. حتی اگر فلاپی دیسک به سادگی در درایو دیسک رایانه آلوده قرار داده شود و به عنوان مثال فهرست محتویات آن خوانده شود، ویروس می تواند به آن نفوذ کند.

ویروس قاعدتاً به گونه‌ای وارد برنامه کاری می‌شود که هنگام راه‌اندازی، ابتدا کنترل به آن منتقل می‌شود و تنها پس از اجرای تمام دستورات آن، دوباره به برنامه کاری باز می‌گردد. پس از دسترسی به کنترل، ویروس ابتدا خود را در یک برنامه کاری دیگر بازنویسی می کند و آن را آلوده می کند. پس از اجرای یک برنامه حاوی ویروس، امکان آلوده کردن سایر فایل ها وجود دارد. بیشتر اوقات، بخش بوت دیسک و فایل های اجرایی با پسوندهای EXE، COM، SYS، BAT به ویروس آلوده می شوند. فایل های متنی به ندرت آلوده می شوند.

پس از آلوده شدن برنامه، ویروس می تواند نوعی خرابکاری انجام دهد، نه خیلی جدی تا توجه را جلب نکند. و در نهایت فراموش نکنید که کنترل را به برنامه ای که از آن راه اندازی شده است برگردانید. هر اجرای یک برنامه آلوده ویروس را به برنامه بعدی منتقل می کند. بنابراین همه چیز عفونی می شود. نرم افزار.

برای نشان دادن روند عفونت برنامه کامپیوتریبه عنوان یک ویروس، منطقی است که ذخیره سازی دیسک را به یک آرشیو قدیمی با پوشه های روی نوار تشبیه کنیم. پوشه ها حاوی برنامه هستند و توالی عملیات برای معرفی ویروس در این مورد به این صورت خواهد بود (به پیوست 1 مراجعه کنید)

5. علائم ویروس ها

هنگامی که رایانه ای به ویروس آلوده می شود، شناسایی آن مهم است. برای انجام این کار، باید در مورد علائم اصلی تظاهرات ویروس ها بدانید. این موارد شامل موارد زیر است:

¨ خاتمه کار یا عملکرد نادرست برنامه هایی که قبلاً با موفقیت کار می کردند

¨ کند شدن عملکرد کامپیوتر

¨ عدم توانایی در بوت شدن سیستم عامل

¨ ناپدید شدن فایل ها و دایرکتوری ها یا تحریف محتوای آنها

¨ تاریخ و زمان اصلاح فایل ها را تغییر دهید

¨ تغییر اندازه فایل

¨ افزایش غیرمنتظره زیاد در تعداد فایل های روی دیسک

¨ کاهش قابل توجهی در اندازه رم آزاد

¨ نمایش پیام ها یا تصاویر غیرمنتظره بر روی صفحه نمایش

¨ ارائه موارد پیش بینی نشده سیگنال های صوتی

¨ فریز مکرر و خرابی کامپیوتر

لازم به ذکر است که پدیده های فوق لزوماً ناشی از وجود ویروس نیست، بلکه ممکن است ناشی از علل دیگر باشد. بنابراین، تشخیص درست وضعیت رایانه همیشه دشوار است.

6. شناسایی ویروس و اقدامات حفاظتی و پیشگیری

6.1. چگونه یک ویروس را تشخیص دهیم ? رویکرد سنتی

بنابراین، یک ویروس نویس خاص یک ویروس ایجاد می کند و آن را وارد "زندگی" می کند. برای مدتی ممکن است آزادانه راه برود، اما دیر یا زود "لافا" به پایان می رسد. کسی مشکوک خواهد شد که چیزی اشتباه است. ویروس ها معمولا یافت می شوند کاربران عادیکه متوجه ناهنجاری های خاصی در رفتار کامپیوتر می شوند. آنها در بیشتر موارد به تنهایی قادر به مقابله با عفونت نیستند، اما این مورد از آنها لازم نیست.

فقط لازم است که ویروس در اسرع وقت به دست متخصصان برسد. حرفه ای ها او را مطالعه می کنند، متوجه می شوند "او چه کار می کند"، "چگونه انجام می دهد"، "زمانی که انجام می دهد" و غیره. در فرآیند چنین کاری، تمام اطلاعات لازم در مورد این ویروس، به ویژه، امضای ویروس برجسته می شود - دنباله ای از بایت ها که کاملاً آن را مشخص می کند. برای ساخت یک امضا معمولا مهمترین و مشخص ترین قسمت های کد ویروس گرفته می شود. در همان زمان، مکانیسم های نحوه عملکرد ویروس مشخص می شود، به عنوان مثال، در مورد یک ویروس بوت، مهم است که بدانیم دم خود را در کجا پنهان می کند، بخش بوت اصلی در کجا قرار دارد و در مورد یک فایل یک، چگونه فایل آلوده می شود. اطلاعات به دست آمده به ما این امکان را می دهد که بفهمیم:

نحوه شناسایی ویروس، برای این، روش هایی برای جستجوی امضا در اشیاء احتمالی حمله ویروس - فایل ها و / یا بخش های بوت مشخص شده است.

نحوه خنثی سازی ویروس، در صورت امکان، الگوریتم هایی برای حذف کد ویروس از اشیاء آسیب دیده در حال توسعه است

6.2. برنامه های شناسایی و محافظت از ویروس

برای شناسایی، حذف و محافظت در برابر ویروس های رایانه ای، چندین نوع برنامه ویژه ایجاد شده است که به شما امکان می دهد ویروس ها را شناسایی و از بین ببرید. چنین برنامه هایی نامیده می شوند ضد ویروس . انواع برنامه های آنتی ویروس زیر وجود دارد:

برنامه ها - آشکارسازها

برنامه ها - پزشکان یا فاژها

حسابرسان برنامه

برنامه های فیلتر

برنامه های واکسن یا ایمن سازها

برنامه ها - آشکارسازهاجستجوی مشخصه امضای یک ویروس خاص را در حافظه رم و فایل ها انجام دهید و در صورت شناسایی، پیام مناسبی را صادر کنید. عیب چنین برنامه های ضد ویروسی این است که فقط می توانند ویروس هایی را پیدا کنند که برای توسعه دهندگان چنین برنامه هایی شناخته شده باشند.

برنامه های دکتریا فاژها، همچنین برنامه های واکسننه تنها فایل های آلوده به ویروس را پیدا کنید، بلکه آنها را "درمان" کنید، به عنوان مثال. بدنه برنامه ویروس را از فایل حذف کنید و فایل ها را به آن برگردانید حالت اولیه. فاژها در ابتدای کار خود به دنبال ویروس ها در RAM می گردند و آنها را از بین می برند و تنها پس از آن به "درمان" پرونده ها می پردازند. در بین فاژها، پلی فاژها متمایز می شوند، یعنی. برنامه های پزشک که برای یافتن و از بین بردن تعداد زیادی ویروس طراحی شده اند. معروف ترین آنها عبارتند از: Aidstest، Scan، آنتی ویروس نورتون, دکتر وب.

با توجه به اینکه ویروس‌های جدید دائماً ظاهر می‌شوند، برنامه‌های تشخیص و برنامه‌های پزشک به سرعت قدیمی می‌شوند و به‌روزرسانی‌های منظم لازم است.

برنامه های حسابرسیکی از مطمئن ترین ابزارهای محافظت در برابر ویروس ها هستند. ممیزان وضعیت اولیه برنامه ها، دایرکتوری ها و نواحی سیستم دیسک را زمانی که کامپیوتر به ویروس آلوده نشده است به یاد می آورند و سپس به صورت دوره ای یا بنا به درخواست کاربر، وضعیت فعلی را با حالت اصلی مقایسه می کنند. تغییرات شناسایی شده روی صفحه نمایشگر نمایش داده می شود. به عنوان یک قاعده، حالت ها بلافاصله پس از بارگیری سیستم عامل مقایسه می شوند. هنگام مقایسه، طول فایل، کد کنترل چرخه ای (جمع چک فایل)، تاریخ و زمان اصلاح و سایر پارامترها بررسی می شود. برنامه‌های حسابرسی الگوریتم‌های نسبتاً پیشرفته‌ای دارند، ویروس‌های مخفی را شناسایی می‌کنند و حتی می‌توانند تغییرات نسخه برنامه در حال بررسی را از تغییرات ایجاد شده توسط ویروس پاک کنند. از جمله برنامه های حسابرسان، برنامه Adinf است که به طور گسترده در روسیه استفاده می شود.

فیلتر کردن برنامه هایا "نگهبان"برنامه‌های مقیم کوچکی هستند که برای شناسایی فعالیت‌های رایانه‌ای مشکوک که مشخصه ویروس‌ها هستند، طراحی شده‌اند. چنین اقداماتی ممکن است:

تلاش برای تصحیح فایل ها با پسوندهای COM، EXE

تغییر ویژگی های فایل

نوشتن مستقیم روی دیسک در آدرس مطلق

در بخش های بوت دیسک بنویسید

هنگامی که هر برنامه ای سعی می کند اقدامات مشخص شده را انجام دهد، "نگهبان" پیامی را برای کاربر ارسال می کند و پیشنهاد می کند که عمل مربوطه را ممنوع یا مجاز کند. برنامه های فیلتر بسیار مفید هستند، زیرا می توانند ویروس را در ابتدایی ترین مرحله وجودش قبل از تولید مثل شناسایی کنند. با این حال، آنها فایل ها و دیسک ها را "درمان" نمی کنند. برای از بین بردن ویروس ها باید از برنامه های دیگری مانند فاژها استفاده کنید. از مضرات برنامه‌های واچ داگ می‌توان به «آزار» آن‌ها اشاره کرد (مثلاً در مورد هرگونه تلاش برای کپی کردن یک فایل اجرایی هشدار می‌دهند)، و همچنین درگیری‌های احتمالی با نرم‌افزارهای دیگر. نمونه ای از یک برنامه فیلتر، برنامه Vsafe است که بخشی از بسته ابزار MS DOS است.

واکسن هایا ایمن سازهابرنامه های مقیمی هستند که از عفونت فایل ها جلوگیری می کنند. در صورتی که هیچ برنامه پزشکی برای "درمان" این ویروس وجود نداشته باشد، از واکسن ها استفاده می شود. واکسیناسیون فقط در برابر ویروس های شناخته شده امکان پذیر است. واکسن برنامه یا دیسک را به گونه ای تغییر می دهد که روی کار آنها تأثیری نداشته باشد و ویروس آنها را آلوده تشخیص دهد و بنابراین ریشه نمی دهد. برنامه های واکسن در حال حاضر کاربرد محدودی دارند.

شناسایی به موقع فایل‌ها و دیسک‌های آلوده به ویروس، از بین بردن کامل ویروس‌های شناسایی شده در هر رایانه، به جلوگیری از انتشار یک ویروس همه‌گیر به رایانه‌های دیگر کمک می‌کند.

6.3. اقدامات اساسی برای محافظت در برابر ویروس ها

برای جلوگیری از آلوده شدن رایانه به ویروس و اطمینان از ذخیره سازی امناطلاعات روی دیسک ها، قوانین زیر باید رعایت شود:

¨ رایانه خود را به برنامه های ضد ویروس به روز مانند Aidstest، Doctor Web مجهز کنید و نسخه های آنها را دائماً به روز کنید.

¨ قبل از خواندن اطلاعات ذخیره شده در رایانه های دیگر از فلاپی دیسک، همیشه با اجرای برنامه های ضد ویروس بر روی رایانه خود، این دیسکت ها را از نظر ویروس بررسی کنید.

¨ هنگام انتقال فایل‌های بایگانی شده به رایانه، بلافاصله پس از باز کردن فایل‌های فشرده روی دیسک سخت، آن‌ها را بررسی کنید، و محدوده بررسی را فقط به فایل‌های تازه ضبط شده محدود کنید.

¨ به طور دوره ای ویروس ها را بررسی کنید دیسکهای سختکامپیوتر با اجرای برنامه های ضد ویروس برای آزمایش فایل ها، حافظه و مناطق سیستمی دیسک ها از یک فلاپی دیسک محافظت شده از نوشتن، پس از بارگیری سیستم عامل از یک دیسکت سیستم محافظت شده از نوشتن.

¨ همیشه بنویسید که از فلاپی دیسک های خود هنگام کار بر روی رایانه های دیگر محافظت کنید، اگر آنها روی اطلاعات نوشته نمی شوند

¨ حتماً کپی های آرشیوی را روی دیسکت های اطلاعات ارزشمند برای شما تهیه کنید

¨ هنگام روشن یا راه اندازی مجدد سیستم عامل، فلاپی دیسک را در جیب درایو A نگذارید تا از آلوده شدن رایانه به ویروس های بوت جلوگیری کنید.

¨ از برنامه های ضد ویروس برای کنترل ورودی تمامی فایل های اجرایی دریافتی از شبکه های کامپیوتری استفاده کنید

¨ برای اطمینان از امنیت بیشتر، استفاده از Aidstest و Doctor Web باید با استفاده روزانه از حسابرس دیسک Adinf ترکیب شود.

نتیجه

بنابراین، می‌توان به حقایق زیادی اشاره کرد که نشان می‌دهد تهدید منابع اطلاعاتی هر روز در حال افزایش است و افراد مسئول در بانک‌ها، شرکت‌ها و شرکت‌ها را در سراسر جهان وحشت زده می‌کند. و این تهدید از ویروس‌های رایانه‌ای ناشی می‌شود که اطلاعات حیاتی و ارزشمند را تحریف یا نابود می‌کنند، که می‌تواند نه تنها منجر به خسارات مالی، بلکه منجر به تلفات انسانی شود.

ویروس کامپیوتری - یک برنامه نوشته شده ویژه که می تواند به طور خود به خود به برنامه های دیگر متصل شود، از خود کپی ایجاد کند و آنها را در فایل ها، مناطق سیستم کامپیوتری و در شبکه های کامپیوتربه منظور ایجاد اختلال در عملکرد برنامه ها، آسیب رساندن به فایل ها و دایرکتوری ها، ایجاد انواع تداخل در عملکرد رایانه.

در حال حاضر بیش از 5000 ویروس نرم افزاری شناخته شده است که تعداد آنها دائما در حال افزایش است. مواردی وجود دارد که آموزش هایی برای کمک به نوشتن ویروس ها ایجاد شده است.

انواع اصلی ویروس ها: بوت، فایل، فایل بوت. خطرناک ترین نوع ویروس چند شکلی است.

از تاریخچه ویروس شناسی رایانه، واضح است که هر توسعه رایانه ای اصلی، سازندگان آنتی ویروس ها را مجبور می کند تا با فناوری های جدید سازگار شوند، برنامه های آنتی ویروس را دائماً بهبود بخشند.

دلایل ظهور و انتشار ویروس ها از یک سو در روانشناسی انسان و از سوی دیگر با عدم وجود محافظت در سیستم عامل پنهان است.

راه های اصلی برای نفوذ ویروس ها درایوهای قابل جابجایی و شبکه های کامپیوتری است. برای جلوگیری از این اتفاق، اقدامات احتیاطی را انجام دهید. همچنین انواع مختلفی از برنامه های ویژه به نام برنامه های ضد ویروس برای شناسایی، حذف و محافظت در برابر ویروس های رایانه ای ساخته شده است. اگر هنوز یک ویروس در رایانه خود پیدا کردید، پس طبق روش سنتی، بهتر است با یک متخصص تماس بگیرید تا بتواند بیشتر آن را کشف کند.

اما برخی از ویژگی های ویروس ها حتی متخصصان را نیز متحیر می کند. تا همین اواخر، تصور اینکه ویروسی بتواند از راه‌اندازی مجدد سرد جان سالم به در ببرد یا از طریق فایل‌های سند منتشر شود، سخت بود. در چنین شرایطی، نمی توان حداقل به آموزش آنتی ویروس اولیه کاربران اهمیت نداد. با وجود جدی بودن مشکل، هیچ ویروسی به اندازه یک کاربر سفید شده با دستان لرزان قادر به ایجاد آسیب نیست!

بنابراین، سلامت رایانه های شما، ایمنی داده های شما - در دستان شما!

فهرست کتابشناختی

1. انفورماتیک: کتاب درسی / ویرایش. پروفسور N.V. ماکاروا. - م.: امور مالی و آمار، 1997.

2. دایره المعارف اسرار و محسوسات / تهیه شده. متن توسط Yu.N. پتروف - مینسک: ادبیات، 1996.

3. Bezrukov N.N. ویروس های کامپیوتری - M.: Nauka، 1991.

4. Mostovoy D.Yu. فن آوری های مدرنمبارزه با ویروس ها // PC World. - شماره 8. - 1993.

حفاظت ضد ویروس رایج ترین اقدام برای تضمین امنیت اطلاعات زیرساخت فناوری اطلاعات در بخش شرکت است. با این حال، طبق مطالعه ای که توسط Kaspersky Lab به همراه شرکت تحلیلی B2B International (پاییز 2013) انجام شد، تنها 74٪ از شرکت های روسی از راه حل های محافظت از ضد ویروس استفاده می کنند.

این گزارش همچنین می گوید که در بحبوحه انفجار تهدیدات سایبری علیه کدام شرکت ها آنتی ویروس های ساده، تجارت روسیه به طور فزاینده ای از ابزارهای حفاظتی پیچیده استفاده می کند. تا حد زیادی به همین دلیل، استفاده از ابزارهای رمزگذاری داده ها 7 درصد افزایش یافته است. رسانه قابل جابجایی(24%). علاوه بر این، شرکت ها تمایل بیشتری برای تعیین خط مشی های امنیتی برای دستگاه های قابل جابجایی دارند. تمایز سطح دسترسی به بخش های مختلف زیرساخت فناوری اطلاعات نیز افزایش یافته است (49 درصد). در عین حال، کسب و کارهای کوچک و متوسط ​​به کنترل دستگاه های متحرک (35 درصد) و کنترل برنامه ها (31 درصد) توجه بیشتری دارند.

محققان همچنین دریافتند که با وجود کشف مداوم آسیب پذیری های جدید در نرم افزار، شرکت های روسیهنوز به به روز رسانی های نرم افزاری معمولی توجه کافی نمی کنید. علاوه بر این، تعداد سازمان‌های وصله‌کننده نسبت به سال گذشته به تنها 59 درصد کاهش یافته است.

برنامه های ضد ویروس مدرن می توانند به طور موثر اشیاء مخرب را در فایل ها و اسناد برنامه شناسایی کنند. در برخی موارد، آنتی ویروس می تواند بدنه یک شی مخرب را از یک فایل آلوده حذف کند و خود فایل را بازیابی کند. در بیشتر موارد، یک آنتی ویروس قادر است یک شی برنامه مخرب را نه تنها از یک فایل برنامه، بلکه از فایل سند آفیس نیز بدون نقض یکپارچگی آن حذف کند. استفاده از برنامه های ضد ویروس نیاز به مدرک بالایی ندارد و تقریباً برای هر کاربر رایانه ای در دسترس است.

اکثر برنامه های ضد ویروس، حفاظت بلادرنگ (مانیتور ویروس) و حفاظت درخواستی (اسکنر ویروس) را ترکیب می کنند.

رتبه بندی آنتی ویروس

2019: دو سوم آنتی ویروس های اندروید بی فایده بودند

در مارس 2019، AV-Comparatives، یک آزمایشگاه اتریشی متخصص در تست نرم افزار آنتی ویروس، نتایج مطالعه ای را منتشر کرد که نشان دهنده بی فایده بودن بیشتر این برنامه ها برای اندروید بود.

تنها 23 آنتی ویروس موجود در کاتالوگ رسمی فروشگاه Google Play به طور دقیق در 100٪ موارد بدافزار را تشخیص می دهند. بقیه نرم افزارها یا به تهدیدات موبایل پاسخ نمی دهند یا برنامه های کاملاً ایمن را برای آنها می گیرند.

کارشناسان 250 آنتی ویروس را مطالعه کردند و گزارش دادند که تنها 80 درصد از آنها می توانند بیش از 30 درصد بدافزارها را شناسایی کنند. بنابراین، 170 برنامه در این آزمون مردود شدند. محصولاتی که این تست ها را پشت سر گذاشتند عمدتاً راه حل هایی از تولیدکنندگان بزرگ از جمله Avast، Bitdefender، ESET، F-Secure، G-Data، Kaspersky Lab، McAfee، Sophos، Symantec، Tencent، Trend Micro و Trustwave بودند.

به عنوان بخشی از این آزمایش، محققان هر برنامه آنتی ویروس را روی یک دستگاه جداگانه (بدون شبیه ساز) نصب کردند و دستگاه ها را برای راه اندازی یک مرورگر، دانلود و سپس نصب بدافزار به طور خودکار انجام دادند. هر دستگاه در برابر 2000 مورد از رایج ترین ویروس های اندرویدی در سال 2018 آزمایش شد.

با توجه به AV-Comparatives، اکثر راه حل های آنتی ویروسبرای اندروید تقلبی هستند ده ها برنامه دارای رابط تقریباً یکسانی هستند و سازندگان آنها به وضوح بیشتر به نمایش تبلیغات علاقه مند هستند تا نوشتن یک اسکنر ویروس کار.

برخی از آنتی ویروس ها در هر برنامه ای که در "لیست سفید" آنها وجود ندارد، تهدیدی را "می بینند". به همین دلیل، آنها در تعدادی از موارد بسیار حکایتی، زنگ خطر را به دلیل پرونده های خود به صدا درآوردند، زیرا توسعه دهندگان فراموش کردند آنها را در "لیست سفید" ذکر کنند.

2017: Microsoft Security Essentials به عنوان یکی از بدترین آنتی ویروس ها شناخته شد

در اکتبر 2017، آزمایشگاه آنتی ویروس آلمانی AV-Test نتایج آزمایش جامع آنتی ویروس را منتشر کرد. طبق این مطالعه، نرم افزار اختصاصی مایکروسافت برای محافظت در برابر فعالیت های مخرب، تقریباً بدتر از همه با وظایف خود کنار می آیند.

کارشناسان AV-Test طبق نتایج تست های انجام شده در ماه های جولای-آگوست 2017، Kaspersky Internet Security را به عنوان بهترین آنتی ویروس ویندوز 7 معرفی کردند که از نظر حفاظت، عملکرد و سهولت استفاده، 18 امتیاز را دریافت کرد.

سه برنامه برتر شامل برنامه های Trend Micro بود امنیت اینترنتو بیت دیفندر اینترنت سکیوریتی که هر کدام 17.5 امتیاز کسب کردند. موقعیت محصولات سایر شرکت های آنتی ویروس که در این مطالعه گنجانده شده اند را می توان در تصاویر زیر مشاهده کرد:

بسیاری از اسکنرها نیز از الگوریتم‌های اسکن اکتشافی استفاده می‌کنند. تجزیه و تحلیل توالی دستورات در شی بررسی شده، جمع آوری برخی از آمار و تصمیم گیری برای هر شی بررسی شده.

اسکنرها را نیز می توان به دو دسته تقسیم کرد - جهانی و تخصصی. اسکنرهای جهانی برای جست و جو و خنثی کردن انواع ویروس ها طراحی شده اند، صرف نظر از سیستم عاملی که اسکنر برای کارکرد در آن طراحی شده است. اسکنرهای تخصصی برای خنثی کردن تعداد محدودی از ویروس ها یا فقط یک دسته از آنها مانند ویروس های ماکرو طراحی شده اند.

اسکنرها نیز به دو دسته ساکن (مانیتور) که در حال اسکن می‌شوند و غیر ساکن که فقط در صورت درخواست سیستم را بررسی می‌کنند، تقسیم می‌شوند. به عنوان یک قاعده، اسکنرهای مقیم حفاظت سیستم قابل اطمینان تری را ارائه می دهند، زیرا آنها بلافاصله به ظاهر یک ویروس واکنش نشان می دهند، در حالی که یک اسکنر غیر مقیم فقط در راه اندازی بعدی قادر به شناسایی ویروس است.

اسکنرهای CRC

اصل عملکرد اسکنرهای CRC بر اساس محاسبه مبالغ CRC (جمع های چک) برای فایل ها / بخش های سیستم موجود بر روی دیسک است. سپس این مبالغ CRC و همچنین برخی اطلاعات دیگر در پایگاه داده آنتی ویروس ذخیره می شوند: طول پرونده، تاریخ آخرین تغییر آنها و غیره. دفعه بعد که اسکنرهای CRC اجرا می شوند، داده های موجود در پایگاه داده را با مقادیر واقعی شمارش شده بررسی می کنند. اگر اطلاعات فایل ثبت شده در پایگاه داده با مقادیر واقعی مطابقت نداشته باشد، اسکنرهای CRC سیگنال می دهند که فایل اصلاح شده یا آلوده به ویروس است.

اسکنرهای CRC قادر به گرفتن ویروس در لحظه ظهور آن در سیستم نیستند، اما این کار را تنها پس از مدتی، پس از انتشار ویروس در سراسر رایانه انجام می دهند. اسکنرهای CRC نمی‌توانند ویروس را در فایل‌های جدید (در ایمیل، روی فلاپی دیسک، در فایل‌های بازیابی شده از پشتیبان یا هنگام باز کردن فایل‌ها از بایگانی) شناسایی کنند، زیرا پایگاه داده‌های آنها اطلاعاتی در مورد این فایل‌ها ندارد. علاوه بر این، به طور دوره ای ویروس هایی ظاهر می شوند که با استفاده از این ضعف اسکنرهای CRC، فقط فایل های تازه ایجاد شده را آلوده می کنند و بنابراین برای آنها نامرئی می مانند.

مسدود کننده ها

مسدود کننده های آنتی ویروس برنامه های مقیمی هستند که موقعیت های خطرناک ویروس را رهگیری می کنند و کاربر را در مورد آن آگاه می کنند. تماس‌های خطرناک برای ویروس شامل تماس‌هایی برای باز کردن برای نوشتن روی فایل‌های اجرایی، نوشتن در بخش‌های راه‌اندازی دیسک‌ها یا MBR یک هارد دیسک، تلاش‌های برنامه‌ها برای باقی ماندن ساکن و غیره است، یعنی تماس‌هایی که برای ویروس‌ها معمولی هستند. زمان تولید مثل

از مزایای مسدود کننده ها می توان به توانایی آنها در شناسایی و توقف ویروس در اولین مرحله تولید مثل آن اشاره کرد. معایب شامل وجود راه هایی برای دور زدن محافظت از مسدود کننده ها و تعداد زیادی از مثبت کاذب است.

ایمن سازها

ایمن سازها به دو نوع تقسیم می شوند: ایمن سازهای گزارش دهنده عفونت و ایمن سازهای مسدودکننده عفونت. اولین ها معمولاً تا انتهای فایل ها نوشته می شوند (طبق اصل ویروس فایل) و هر بار که فایل راه اندازی می شود، از نظر تغییرات بررسی می شود. مضرات چنین ایمن سازها تنها یک است، اما کشنده است: ناتوانی مطلق در گزارش عفونت با یک ویروس پنهان. بنابراین، چنین ایمن سازها، و همچنین مسدود کننده ها، در حال حاضر عملا استفاده نمی شوند.

نوع دوم ایمن سازی سیستم را در برابر حمله نوع خاصی از ویروس محافظت می کند. فایل‌های روی دیسک‌ها به گونه‌ای اصلاح می‌شوند که ویروس آن‌ها را برای مواردی که قبلاً آلوده شده‌اند، می‌گیرد. برای محافظت در برابر ویروس مقیم، برنامه ای که یک کپی از ویروس را تقلید می کند به حافظه کامپیوتر وارد می شود. هنگامی که راه اندازی می شود، ویروس به طور تصادفی به آن برخورد می کند و معتقد است که سیستم قبلاً آلوده شده است.

این نوع ایمن سازی نمی تواند جهانی باشد، زیرا ایمن سازی فایل ها در برابر همه ویروس های شناخته شده غیرممکن است.

طبقه بندی آنتی ویروس ها بر اساس تنوع زمانی

به گفته والری کونیوسکی، عوامل ضد ویروسی را می توان به دو دسته تقسیم کرد گروه های بزرگ- تجزیه و تحلیل داده ها و تجزیه و تحلیل فرآیندها.

تحلیل داده ها

تجزیه و تحلیل داده ها شامل حسابرسان و پلی فاژها است. حسابرسان پیامدهای فعالیت ویروس های رایانه ای و سایر برنامه های مخرب را تجزیه و تحلیل می کنند. پیامدهایی در تغییر داده ها نشان داده می شوند که نباید تغییر کنند. این واقعیت تغییر داده ها است که نشانه ای از فعالیت برنامه های مخرب از دیدگاه حسابرس است. به عبارت دیگر، حسابرسان یکپارچگی داده ها را کنترل می کنند و در صورت نقض یکپارچگی، در مورد وجود بدافزار در محیط رایانه تصمیم می گیرند.

پلی فاژها متفاوت عمل می کنند. بر اساس تجزیه و تحلیل داده ها، آنها قطعاتی از کدهای مخرب را شناسایی می کنند (مثلاً با امضای آن) و بر این اساس، در مورد وجود برنامه های مخرب نتیجه گیری می کنند. حذف یا ضد عفونی کردن داده های آلوده به ویروس به جلوگیری از عواقب منفی اجرای بدافزار کمک می کند. بنابراین، بر اساس تجزیه و تحلیل در استاتیک، از پیامدهای ناشی از دینامیک جلوگیری می شود.

طرح کار حسابرسان و پلی فاژها تقریباً یکسان است - برای مقایسه داده ها (یا جمع کنترل آنها) با یک یا چند نمونه مرجع. داده ها با داده ها مقایسه می شوند. بنابراین، برای پیدا کردن یک ویروس در رایانه خود، باید آن را قبلاً کار کرده باشد تا عواقب فعالیت آن ظاهر شود. این روش فقط می تواند ویروس های شناخته شده ای را پیدا کند که قطعات کد یا امضای آنها قبلاً توضیح داده شده است. بعید است که بتوان چنین حفاظتی را قابل اعتماد نامید.

تجزیه و تحلیل فرآیند

ابزارهای ضد ویروس مبتنی بر تجزیه و تحلیل فرآیند تا حدودی متفاوت عمل می کنند. تحلیلگرهای اکتشافی، مانند آنهایی که در بالا توضیح داده شد، داده ها را (روی دیسک، در یک کانال، در حافظه و غیره) تجزیه و تحلیل می کنند. تفاوت اساسی این است که تجزیه و تحلیل با این فرض انجام می شود که کد مورد تجزیه و تحلیل داده نیست، بلکه دستورات است (در رایانه هایی با معماری فون نویمان، داده ها و دستورات غیرقابل تشخیص هستند و بنابراین باید این یا آن فرضیه مطرح شود. در طول تجزیه و تحلیل.)

تحلیلگر اکتشافی دنباله ای از عملیات را انتخاب می کند، به هر یک از آنها رتبه خطر مشخصی اختصاص می دهد و بر اساس کلیت خطر، تصمیم می گیرد که آیا این توالی از عملیات بخشی از کد مخرب است یا خیر. خود کد اجرا نمی شود.

نوع دیگری از ابزارهای ضد ویروس مبتنی بر تجزیه و تحلیل فرآیند، مسدود کننده های رفتاری هستند. در این حالت، کد مشکوک گام به گام اجرا می شود تا زمانی که مجموعه اقدامات آغاز شده توسط کد به عنوان رفتار خطرناک (یا ایمن) ارزیابی شود. در این مورد، کد تا حدی اجرا می شود، زیرا تکمیل کد مخرب را می توان با روش های ساده تر تجزیه و تحلیل داده ها شناسایی کرد.

فناوری های تشخیص ویروس

فناوری های مورد استفاده در آنتی ویروس ها را می توان به دو گروه تقسیم کرد:

  • فن آوری های تجزیه و تحلیل امضا
  • فن آوری های تحلیل احتمالی

فن آوری های تجزیه و تحلیل امضا

تجزیه و تحلیل امضا یک روش تشخیص ویروس است که وجود امضاهای ویروس را در پرونده ها بررسی می کند. تجزیه و تحلیل امضا شناخته شده ترین روش برای تشخیص ویروس ها است و تقریباً در تمام آنتی ویروس های مدرن استفاده می شود. برای انجام اسکن، آنتی ویروس به مجموعه ای از امضاهای ویروس نیاز دارد که در پایگاه داده آنتی ویروس ذخیره می شود.

با توجه به این واقعیت که تجزیه و تحلیل امضا شامل بررسی فایل ها برای امضای ویروس است، پایگاه داده آنتی ویروس باید به طور دوره ای به روز شود تا آنتی ویروس به روز بماند. اصل عملکرد تجزیه و تحلیل امضا نیز محدودیت های عملکرد آن را تعیین می کند - توانایی شناسایی فقط ویروس های شناخته شده - یک اسکنر امضا در برابر ویروس های جدید ناتوان است.

از طرفی وجود امضاهای ویروسی امکان درمان را مطرح می کند فایل های الودهبا استفاده از تجزیه و تحلیل امضا شناسایی شد. با این حال، درمان برای همه ویروس ها قابل قبول نیست - تروجان ها و اکثر کرم ها به دلیل وجود آنها قابل درمان نیستند ویژگی های طراحی، زیرا آنها ماژول های جامدی هستند که برای ایجاد آسیب طراحی شده اند.

اجرای صحیح امضای ویروس، شناسایی ویروس های شناخته شده را با اطمینان 100٪ امکان پذیر می کند.

فن آوری های تحلیل احتمالی

فناوری های تحلیل احتمالی به نوبه خود به سه دسته تقسیم می شوند:

  • تحلیل اکتشافی
  • تحلیل رفتاری
  • تجزیه و تحلیل جمع چک

تحلیل اکتشافی

تحلیل اکتشافی یک فناوری مبتنی بر الگوریتم های احتمالی است که نتیجه آن شناسایی اشیاء مشکوک است. در جریان است تحلیل اکتشافیساختار فایل بررسی می شود، مطابقت آن با قالب های ویروس. محبوب ترین روش اکتشافی بررسی محتویات یک فایل برای تغییرات امضاهای ویروس از قبل شناخته شده و ترکیبات آنهاست. این کمک می کند تا هیبریدها و نسخه های جدید ویروس های شناخته شده قبلی را بدون به روز رسانی اضافی پایگاه داده آنتی ویروس شناسایی کنید.

تجزیه و تحلیل اکتشافی برای شناسایی ویروس های ناشناخته استفاده می شود و در نتیجه شامل درمان نمی شود. این فناوری قادر به تشخیص صد در صد ویروس مقابل خود نیست یا خیر و مانند هر الگوریتم احتمالی با مثبت کاذب گناه می کند.

تحلیل رفتاری

تحلیل رفتاری فناوری است که در آن تصمیم گیری در مورد ماهیت شی مورد بررسی بر اساس تجزیه و تحلیل عملیاتی که انجام می دهد گرفته می شود. تجزیه و تحلیل رفتاری کاربرد عملی بسیار محدودی دارد، زیرا اکثر اقدامات معمول ویروس ها را می توان توسط برنامه های معمولی انجام داد. تحلیلگرهای رفتاری اسکریپت ها و ماکروها معروف ترین هستند، زیرا ویروس های مربوطه تقریباً همیشه تعدادی از اقدامات مشابه را انجام می دهند.

ویژگی های امنیتی تعبیه شده در BIOS را می توان به عنوان تحلیلگرهای رفتاری نیز طبقه بندی کرد. هنگامی که سعی می شود تغییراتی در MBR کامپیوتر ایجاد شود، آنالایزر این عمل را مسدود می کند و اعلان مربوطه را به کاربر نمایش می دهد.

علاوه بر این، تحلیلگرهای رفتاری می‌توانند تلاش‌ها برای دسترسی مستقیم به فایل‌ها و ایجاد تغییرات در آن‌ها را ردیابی کنند رکورد بوتقالب بندی دیسکت دیسکهای سختو غیره.

تحلیلگرهای رفتاری از اشیاء اضافی مانند پایگاه داده ویروس برای کار خود استفاده نمی کنند و در نتیجه قادر به تشخیص ویروس های شناخته شده و ناشناخته نیستند - همه برنامه های مشکوک به طور پیشینی ویروس های ناشناخته در نظر گرفته می شوند. به طور مشابه، ویژگی‌های عملکرد ابزارهایی که فناوری‌های تحلیل رفتاری را پیاده‌سازی می‌کنند، دلالت بر درمان ندارند.

تجزیه و تحلیل جمع چک

تجزیه و تحلیل Checksum راهی برای پیگیری تغییرات در اشیاء یک سیستم کامپیوتری است. بر اساس تجزیه و تحلیل ماهیت تغییرات - همزمانی، کاراکتر انبوه، تغییرات یکسان در طول پرونده - می توان نتیجه گرفت که سیستم آلوده است. آنالایزرهای چک سام (که حسابرسان تغییر نیز نامیده می شوند)، مانند آنالیزگرهای رفتاری، از اشیاء اضافی در کار خود استفاده نمی کنند و منحصراً با بررسی همتایان، حکم حضور ویروس در سیستم را صادر می کنند. فناوری‌های مشابهی در اسکنرهای دسترسی استفاده می‌شود - در اولین بررسی، یک چک‌سوم از فایل گرفته می‌شود و در حافظه پنهان قرار می‌گیرد، قبل از بررسی بعدی همان فایل، دوباره چک‌سوم گرفته می‌شود، مقایسه می‌شود و در صورت عدم تغییر، فایل غیر آلوده در نظر گرفته می شود.

مجتمع های آنتی ویروس

مجموعه آنتی ویروس - مجموعه ای از آنتی ویروس ها که از موتور یا موتورهای ضد ویروس مشابه استفاده می کنند و برای حل مشکلات عملی در تضمین امنیت ضد ویروس طراحی شده اند. سیستم های کامپیوتری. مجموعه آنتی ویروس همچنین شامل ابزارهایی برای به روز رسانی پایگاه داده های ضد ویروس است.

علاوه بر این، مجموعه ضد ویروس ممکن است علاوه بر آن شامل تحلیلگرهای رفتاری و تغییر حسابرسانی باشد که از موتور ضد ویروس استفاده نمی کنند.

انواع زیر مجموعه های ضد ویروس وجود دارد:

  • مجموعه آنتی ویروس برای محافظت از ایستگاه های کاری
  • مجموعه آنتی ویروس برای محافظت از سرورهای فایل
  • مجموعه آنتی ویروس برای محافظت از سیستم های پستی
  • مجموعه آنتی ویروس برای محافظت از دروازه ها.

آنتی ویروس ابری در مقابل سنتی دسکتاپ: کدام را باید انتخاب کنید؟

(با توجه به منبع Webroot.com)

بازار مدرن ابزارهای ضد ویروس در درجه اول راه حل های سنتی برای سیستم های دسکتاپ است که مکانیسم های حفاظتی در آنها بر اساس روش های مبتنی بر امضا ساخته شده است. راه جایگزینحفاظت ضد ویروس - استفاده از تجزیه و تحلیل اکتشافی.

مشکلات نرم افزار آنتی ویروس سنتی

در سال‌های اخیر، فن‌آوری‌های سنتی آنتی‌ویروس به دلیل عوامل متعددی کمتر و کمتر کارآمد شده‌اند و به سرعت منسوخ شده‌اند. تعداد تهدیدات ویروسی که با امضای آنها شناسایی شده‌اند به قدری زیاد است که اطمینان از به‌روزرسانی 100% به موقع پایگاه‌های داده امضا در رایانه‌های کاربر اغلب یک کار غیرواقعی است. هکرها و مجرمان سایبری به طور فزاینده ای از بات نت ها و سایر فناوری ها برای تسریع در گسترش تهدیدات ویروس روز صفر استفاده می کنند. علاوه بر این، امضای ویروس های مربوطه در طول حملات هدفمند ایجاد نمی شود. در نهایت، فناوری‌های جدید تشخیص ضد ویروس اعمال می‌شوند: رمزگذاری بدافزار، ایجاد ویروس‌های چند شکلی در سمت سرور، آزمایش اولیه کیفیت حمله ویروس.

حفاظت از آنتی ویروس سنتی اغلب در معماری "کلینت ضخیم" ساخته می شود. این بدان معناست که یک ولوم بر روی کامپیوتر مشتری نصب شده است. کد برنامه نویسی. داده های دریافتی را بررسی می کند و وجود تهدیدات ویروس را تشخیص می دهد.

این روش یک سری معایب دارد. اول، اسکن بدافزار و امضاهای منطبق به یک بار محاسباتی قابل توجهی نیاز دارد که از کاربر "برداشته می شود". در نتیجه بهره وری رایانه کاهش می یابد و عملکرد آنتی ویروس گاهی اوقات در اجرای موازی وظایف اعمال شده اختلال ایجاد می کند. گاهی اوقات بار روی سیستم کاربر به قدری قابل توجه است که کاربران برنامه های ضد ویروس را خاموش می کنند و در نتیجه مانع حمله احتمالی ویروس را از بین می برند.

دوم، هر به روز رسانی در دستگاه کاربر نیاز به انتقال هزاران امضای جدید دارد. مقدار داده های منتقل شده معمولاً به ترتیب 5 مگابایت در روز برای هر دستگاه است. انتقال داده سرعت شبکه را کند می کند، منابع اضافی سیستم را منحرف می کند، نیاز به مشارکت دارد مدیران سیستمبرای کنترل ترافیک

ثالثاً، کاربرانی که در رومینگ یا دور از محل کار ثابت خود هستند، در برابر حملات روز صفر آسیب‌پذیر هستند. برای دریافت بخشی به روز شده از امضاها، آنها باید به یک شبکه VPN متصل شوند که از راه دور برای آنها قابل دسترسی نیست.

محافظت آنتی ویروس در برابر ابر

هنگام تغییر به حفاظت ضد ویروس از ابر، معماری راه حل به طور قابل توجهی تغییر می کند. یک کلاینت "سبک" روی رایانه کاربر نصب شده است که وظیفه اصلی آن جستجوی فایل های جدید، محاسبه مقادیر هش و ارسال داده است. سرور ابری. در ابر، یک مقایسه در مقیاس کامل بر روی یک پایگاه داده بزرگ از امضاهای جمع آوری شده انجام می شود. این پایگاه داده به طور مداوم و به موقع با داده های ارسال شده توسط شرکت های آنتی ویروس به روز می شود. مشتری گزارشی با نتایج حسابرسی دریافت می کند.

بنابراین، معماری ابری از حفاظت ضد ویروس برخوردار است کل خطمزایای:

  • حجم محاسبات در رایانه کاربر در مقایسه با مشتری ضخیم ناچیز است، بنابراین بهره وری کاربر کاهش نمی یابد.
  • هیچ اثر فاجعه باری از ترافیک آنتی ویروس وجود ندارد توان عملیاتیشبکه‌ها: بخش فشرده‌ای از داده‌ها ارسال می‌شود که فقط حاوی چند ده مقدار هش است، میانگین ترافیک روزانه از 120 کیلوبایت تجاوز نمی‌کند.
  • فضای ذخیره سازی ابری حاوی آرایه های عظیمی از امضاها است که بسیار بزرگتر از امضاهای ذخیره شده در رایانه های کاربر است.
  • الگوریتم‌های مقایسه امضای مورد استفاده در ابر به طور قابل‌توجهی هوشمندتر از مدل‌های ساده‌شده در سطح ایستگاه محلی هستند و به دلیل عملکرد بالاتر، مقایسه داده‌ها زمان کمتری می‌برد.
  • خدمات آنتی ویروس مبتنی بر ابر با داده های واقعی دریافت شده از آزمایشگاه های آنتی ویروس، توسعه دهندگان امنیتی، کاربران شرکتی و خصوصی کار می کنند. تهدیدهای روز صفر همزمان با شناسایی آنها، بدون تاخیر ناشی از نیاز به دسترسی به رایانه های کاربر، مسدود می شوند.
  • کاربرانی که در رومینگ هستند یا به محل کار اصلی خود دسترسی ندارند، همزمان با دسترسی به اینترنت، از حملات روز صفر محافظت می‌شوند.
  • بار روی مدیران سیستم کاهش می یابد: آنها نیازی به صرف زمان برای نصب نرم افزار آنتی ویروس بر روی رایانه های کاربران و همچنین به روز رسانی پایگاه داده امضا ندارند.

چرا آنتی ویروس های سنتی شکست می خورند؟

کدهای مخرب مدرن می توانند:

  • با ایجاد یک ویروس هدف ویژه برای شرکت، تله های آنتی ویروس را دور بزنید
  • قبل از اینکه آنتی ویروس یک امضا ایجاد کند، از چندشکلی، رمزگذاری با استفاده از DNS پویا و URL اجتناب می کند.
  • ایجاد هدف برای شرکت
  • پلی مورفیسم
  • کد برای کسی ناشناخته - بدون امضا

دفاع کردن سخته

آنتی ویروس های پرسرعت 2011

مرکز مستقل اطلاعاتی و تحلیلی روسی Anti-Malware.ru در می 2011 نتایج دیگری را منتشر کرد. آزمون مقایسه ای 20 آنتی ویروس محبوب برای عملکرد و مصرف منابع سیستم.

هدف از این آزمایش این است که نشان دهد کدام آنتی ویروس های شخصی کمترین تأثیر را بر روی عملیات معمول کاربر در رایانه دارند، کار او را کمتر "آهسته" می کنند و حداقل منابع سیستم را مصرف می کنند.

در میان مانیتورهای ضد ویروس (اسکنرهای بلادرنگ)، یک گروه کامل از محصولات بسیار نشان داده اند سرعت بالاکار می کند، از جمله: Avira، AVG، ZoneAlarm، Avast، Kaspersky Anti-Virus، Eset، Trend Micro و Dr.Web. با وجود این آنتی ویروس ها، کاهش سرعت در کپی مجموعه آزمایشی در مقایسه با معیار کمتر از 20٪ بود. مانیتورهای آنتی ویروس BitDefender، PC Tools، Outpost، F-Secure، Norton و Emsisoft نیز نتایج بالایی از نظر عملکرد نشان دادند و در محدوده 30-50٪ قرار گرفتند. مانیتورهای آنتی ویروس BitDefender، PC Tools، Outpost، F-Secure، Norton و Emsisoft نیز نتایج بالایی از نظر عملکرد نشان دادند و در محدوده 30-50٪ قرار گرفتند.

در عین حال، Avira، AVG، BitDefender، F-Secure، G Data، Kaspersky Anti-Virus، Norton، Outpost و PC Tools به دلیل بهینه سازی پس از بررسی می توانند در شرایط واقعی سریعتر باشند.

آنتی ویروس Avira بهترین سرعت اسکن درخواستی را نشان داد. کمی پشت سر او آنتی ویروس کسپرسکی، F-Secure، نورتون، جی دیتا، بیت دیفندر، آنتی ویروس کسپرسکی و Outpost قرار داشتند. از نظر سرعت اسکن اول، این آنتی ویروس ها فقط کمی پایین تر از رهبر هستند، در عین حال، همه آنها فناوری های قدرتمندی برای بهینه سازی اسکن های مکرر در زرادخانه خود دارند.

یکی دیگر از ویژگی های مهم سرعت آنتی ویروس تاثیر آن بر کار برنامه هایی است که کاربر اغلب با آنها کار می کند. پنج نفر از آنها برای آزمون انتخاب شدند: اینترنت اکسپلورر، Microsoft Office Word ، Microsoft Outlook ، Adobe Acrobatخواننده و فتوشاپ. کوچکترین کاهش سرعت در راه اندازی اینها برنامه های اداریآنتی ویروس های Eset، Microsoft، Avast، VBA32، Comodo، Norton، Trend Micro، Outpost و G Data را نشان داد.

یوجین کسپرسکی در سال 1992 از طبقه بندی زیر آنتی ویروس ها بسته به اصل عملکرد آنها (تعریف عملکرد) استفاده کرد:

Ø اسکنرها (نسخه منسوخ - "پلی فاژها"، "آشکارسازها") - وجود یک ویروس را توسط پایگاه داده امضایی که امضاها (یا جمع های چک آنها) ویروس ها را ذخیره می کند، تعیین کنید. اثربخشی آنها با ارتباط پایگاه داده ویروس و وجود یک تحلیلگر اکتشافی تعیین می شود.

Ø حسابرسان (کلاس نزدیک به IDS) - وضعیت سیستم فایل را به خاطر بسپارید که امکان تجزیه و تحلیل تغییرات را در آینده ممکن می کند.

Ø نگهبان (مانیتورهای مقیم یا فیلترها ) - ردیابی عملیات بالقوه خطرناک، صدور درخواست مناسب به کاربر برای اجازه/منع عملیات.

Ø واکسن ها (ایمن سازها ) - فایل پیوند شده را به گونه ای تغییر دهید که ویروسی که واکسن علیه آن ساخته می شود، فایل را آلوده بداند. در شرایط مدرن، زمانی که تعداد ویروس‌های احتمالی به صدها هزار اندازه‌گیری می‌شود، این رویکرد قابل اجرا نیست.

آنتی ویروس های مدرن تمام عملکردهای فوق را با هم ترکیب می کنند.

آنتی ویروس ها را نیز می توان به موارد زیر تقسیم کرد:

محصولات برای کاربران خانگی:

در واقع آنتی ویروس ها

محصولات ترکیبی (به عنوان مثال، ضد هرزنامه، فایروال، آنتی روت کیت و غیره به آنتی ویروس کلاسیک اضافه شده است).

محصولات شرکتی:

آنتی ویروس های سرور؛

آنتی ویروس ها در ایستگاه های کاری ("نقطه پایانی").

اشتراک گذاریبرنامه های آنتی ویروس نتایج خوبی می دهند، زیرا آنها به خوبی یکدیگر را تکمیل می کنند:

داده های دریافتی از منابع خارجی بررسی می شود برنامه آشکارساز. اگر این داده ها فراموش شد که بررسی شود و برنامه آلوده راه اندازی شد، می تواند توسط برنامه Watchdog دستگیر شود. درست است، در هر دو مورد، ویروس های شناخته شده برای این برنامه های ضد ویروس به طور قابل اعتماد شناسایی می شوند. این بیش از 80-90٪ موارد نیست.

- نگهبانمی تواند حتی ویروس های ناشناخته را در صورت رفتار بسیار گستاخانه شناسایی کند (سعی کنید فرمت کنید HDDیا تغییراتی در آن ایجاد کنید فایل های سیستمی). اما برخی از ویروس ها می توانند چنین کنترل هایی را دور بزنند.

اگر ویروس توسط یک آشکارساز یا نگهبان شناسایی نشد، نتایج فعالیت آن توسط یک آشکارساز شناسایی می شود برنامه - حسابرس.

به عنوان یک قاعده، برنامه‌های نگهبان باید دائماً روی رایانه اجرا شوند، آشکارسازها باید برای بررسی داده‌های دریافتی از منابع خارجی (فایل‌ها و دیسکت‌ها) استفاده شوند و حسابرسان باید یک بار در روز برای شناسایی و تجزیه و تحلیل تغییرات روی دیسک‌ها اجرا شوند. همه اینها باید با پشتیبان گیری منظم از داده ها و استفاده از اقدامات پیشگیرانه برای کاهش احتمال عفونت ویروسی ترکیب شود.

هر برنامه ضد ویروسی کامپیوتر را "آهسته" می کند، اما یک درمان قابل اعتماد برای اثرات مضر ویروس ها است.


آنتی ویروس های کاذب (آنتی ویروس های کاذب).

در سال 2009 تولید کنندگان مختلفآنتی ویروس ها شروع به گزارش در مورد توزیع گسترده نوع جدیدی از آنتی ویروس - آنتی ویروس های کاذب یا شبه آنتی ویروس ها (rogueware) کردند. در واقع این برنامه ها یا اصلا آنتی ویروس نیستند (یعنی توانایی مبارزه با بدافزارها را ندارند) یا حتی ویروس هستند (اطلاعات کارت اعتباری و ... را می دزدند).

آنتی ویروس های سرکش برای اخاذی از کاربران با فریب استفاده می شوند. یکی از راه های آلوده کردن رایانه شخصی با آنتی ویروس جعلی به شرح زیر است. کاربر به یک سایت "آلوده" منتقل می شود که به او پیام هشداری مانند "ویروسی در رایانه شما پیدا شده است" می دهد. سپس از کاربر خواسته می شود که دانلود کند برنامه رایگان(آنتی ویروس نادرست) برای حذف ویروس. پس از نصب، آنتی ویروس کاذب رایانه شخصی را اسکن می کند و ظاهراً ویروس های زیادی را در رایانه شناسایی می کند. برای حذف بدافزار، یک آنتی ویروس جعلی پیشنهاد خرید نسخه پولی برنامه را می دهد. کاربر شوکه شده پرداخت می کند (مبلغی از 50 تا 80 دلار) و یک آنتی ویروس کاذب کامپیوتر را از ویروس های موجود پاک می کند.

آنتی ویروس روی سیم کارت، فلش کارت و دستگاه های USB

تلفن های همراه تولید شده امروزه دارای طیف گسترده ای از رابط ها و قابلیت های انتقال داده هستند. کاربران باید قبل از اتصال دستگاه های کوچک، روش های حفاظت را به دقت مطالعه کنند.

روش‌های حفاظتی مانند سخت‌افزار، شاید آنتی‌ویروس‌های روی دستگاه‌های USB یا سیم‌کارت، برای کاربران تلفن همراه مناسب‌تر هستند. ارزیابی فنیو یک نمای کلی از نحوه نصب یک برنامه آنتی ویروس بر روی تلفن همراه باید به عنوان یک فرآیند اسکن در نظر گرفته شود که ممکن است سایر برنامه های کاربردی قانونی روی این تلفن را تحت تأثیر قرار دهد.

برنامه های ضد ویروس روی سیم کارت با آنتی ویروس تعبیه شده در فضای حافظه کم ظرفیت، با محافظت از پین و اطلاعات کاربر تلفن، محافظت ضد بدافزار/ویروس را فراهم می کنند. آنتی ویروس های موجود در فلش کارت ها به کاربر امکان تبادل اطلاعات و استفاده از این محصولات با دستگاه های سخت افزاری مختلف و همچنین ارسال این داده ها به دستگاه های دیگر را با استفاده از کانال های ارتباطی مختلف می دهند.

آنتی ویروس ها، دستگاه های تلفن همراه و راه حل های نوآورانه

در آینده ممکن است تلفن های همراه به ویروس آلوده شوند. توسعه دهندگان بیشتر و بیشتری در این زمینه برنامه های ضد ویروس را برای مبارزه با ویروس ها و محافظت از تلفن های همراه ارائه می دهند. AT دستگاه های تلفن همراهانواع زیر برای کنترل ویروس وجود دارد:

- محدودیت های پردازنده؛

- محدودیت حافظه؛

- شناسایی و به روز رسانی امضای این دستگاه های تلفن همراه.

نتیجه:برنامه آنتی ویروس (آنتی ویروس) - در اصل برنامه ای برای شناسایی و درمان اشیاء مخرب یا فایل های آلوده و همچنین برای پیشگیری - جلوگیری از عفونت یک فایل یا سیستم عامل کد مخرب. بسته به اصل عملکرد برنامه های ضد ویروس، طبقه بندی زیر ضد ویروس ها وجود دارد: اسکنرها (نسخه قدیمی - "پلی فاژها"، "آشکارسازها"). حسابرسان (کلاس نزدیک به IDS)؛ نگهبان (مانیتورهای مقیم یا فیلترها)؛ واکسن ها (ایمن ساز).

نتیجه

پیشرفت در فناوری کامپیوتر سال های گذشتهنه تنها به توسعه اقتصاد، تجارت و ارتباطات کمک کرد. تبادل اطلاعات مؤثری را فراهم کرد، اما ابزار منحصر به فردی را برای مرتکبان جرایم رایانه ای فراهم کرد. هر چه فرآیند کامپیوتری شدن شدیدتر باشد، رشد جرایم رایانه ای واقعی تر می شود و جامعه مدرن نه تنها پیامدهای اقتصادی جرایم رایانه ای را احساس می کند، بلکه بیشتر و بیشتر به رایانه سازی وابسته می شود. همه این جنبه ها موظف به توجه بیشتر و بیشتر به حفاظت از اطلاعات، توسعه بیشتر است چارچوب قانونیدر محدوده ی امنیت اطلاعات. کل طیف اقدامات باید به حمایت از دولت کاهش یابد منابع اطلاعات; تنظیم روابط ناشی از تشکیل و استفاده از منابع اطلاعاتی؛ ایجاد و استفاده فناوری اطلاعات; حفاظت از اطلاعات و حقوق افراد شرکت کننده در فرآیندهای اطلاعاتی؛ و همچنین تعریف مفاهیم اساسی مورد استفاده در قانون.

دانشیار گروه سازمان امنیت و کاروان در سازمان تعزیرات

کاندیدای علوم فنی

سرهنگ دوم سرویس داخلی V.G. زاروبسکی

عفونت آنتی ویروس بدافزار

برای کار موفق، ویروس ها باید بررسی کنند که آیا فایل قبلاً آلوده شده است (توسط همان ویروس). بنابراین آنها از خود تخریبی اجتناب می کنند. برای این کار، ویروس ها از یک امضا استفاده می کنند. اکثر ویروس های رایج (از جمله ویروس های ماکرو) از امضای کاراکتر استفاده می کنند. ویروس های پیچیده تر (چند شکلی) از امضای الگوریتم استفاده می کنند. صرف نظر از نوع امضای ویروس، برنامه های ضد ویروس از آنها برای تشخیص "عفونت های کامپیوتری" استفاده می کنند. پس از آن، برنامه آنتی ویروس سعی می کند ویروس شناسایی شده را از بین ببرد. با این حال، این فرآیند به پیچیدگی ویروس و کیفیت برنامه آنتی ویروس بستگی دارد. همانطور که قبلا ذکر شد، اسب های تروجان و ویروس های چند شکلی سخت ترین تشخیص هستند. اولین آنها بدن خود را به برنامه اضافه نمی کنند، بلکه آن را در داخل آن جاسازی می کنند. از سوی دیگر، برنامه های ضد ویروس باید زمان زیادی را صرف تعیین امضای ویروس های چند شکلی کنند. واقعیت این است که امضای آنها با هر کپی جدید تغییر می کند.

برای شناسایی، حذف و محافظت در برابر ویروس های کامپیوتری، وجود دارد برنامه های ویژهآنتی ویروس نامیده می شود. برنامه های ضد ویروس مدرن محصولات چند منظوره ای هستند که هم ابزارهای پیشگیرانه و هم برای درمان ویروس و بازیابی اطلاعات را ترکیب می کنند.

تعداد و تنوع ویروس ها زیاد است و برای شناسایی سریع و کارآمد آنها، یک برنامه آنتی ویروس باید پارامترهای خاصی را داشته باشد:

1. ثبات و قابلیت اطمینان کار.

2. ابعاد پایگاه داده ویروس برنامه (تعداد ویروس هایی که توسط برنامه به درستی شناسایی می شوند): با در نظر گرفتن ظاهر ثابت ویروس های جدید، پایگاه داده باید به طور مرتب به روز شود.

3. توانایی برنامه در شناسایی انواع ویروس ها، و قابلیت کار با فایل ها انواع مختلف(آرشیو، اسناد).

4. وجود یک مانیتور مقیم که تمام فایل های جدید را "در حال پرواز" بررسی می کند (یعنی به طور خودکار، همانطور که روی دیسک نوشته می شوند).

5. سرعت برنامه، در دسترس بودن ویژگی های اضافیمانند الگوریتم‌هایی برای شناسایی ویروس‌ها حتی برای برنامه ناشناخته (اسکن اکتشافی).

6. امکان بازگردانی فایل های آلوده بدون پاک کردن آنها از روی هارد، بلکه فقط حذف ویروس ها از آنها.

7. درصد موارد مثبت کاذب برنامه (تشخیص اشتباه ویروس در یک فایل "تمیز").

8. کراس پلتفرم (در دسترس بودن نسخه های برنامه برای سیستم عامل های مختلف).

طبقه بندی برنامه های آنتی ویروس:

1. برنامه های آشکارساز جستجو و شناسایی ویروس ها را در رم و رسانه های خارجی فراهم می کنند و پس از شناسایی پیام مربوطه را صادر می کنند. آشکارسازها وجود دارد:

جهانی - در کار خود برای بررسی تغییرناپذیری فایل ها با شمارش و مقایسه با یک استاندارد چک جمع استفاده کنید.

تخصصی - ویروس های شناخته شده را با امضای آنها جستجو کنید (بخش کد تکراری).

2. برنامه های دکتر (فاژها) نه تنها فایل های آلوده به ویروس را پیدا می کنند، بلکه آنها را "درمان" می کنند، یعنی. بدنه برنامه ویروس را از فایل حذف کنید و فایل ها را به حالت اولیه خود بازگردانید. فاژها در ابتدای کار خود به دنبال ویروس ها در RAM می گردند و آنها را از بین می برند و تنها پس از آن به "درمان" پرونده ها می پردازند. در بین فاژها، پلی فاژها متمایز می شوند، یعنی. برنامه های پزشک که برای یافتن و از بین بردن تعداد زیادی ویروس طراحی شده اند.

3. حسابرسان برنامه یکی از مطمئن ترین ابزارهای محافظت در برابر ویروس ها هستند. ممیزان وضعیت اولیه برنامه ها، دایرکتوری ها و نواحی سیستم دیسک را زمانی که کامپیوتر به ویروس آلوده نشده است به یاد می آورند و سپس به صورت دوره ای یا بنا به درخواست کاربر، وضعیت فعلی را با حالت اصلی مقایسه می کنند. تغییرات شناسایی شده روی صفحه نمایشگر نمایش داده می شود.

4. برنامه های فیلتر (watchmen) برنامه های ساکن کوچکی هستند که برای شناسایی اقدامات مشکوک در حین کار رایانه که مشخصه ویروس ها هستند طراحی شده اند. چنین اقداماتی ممکن است:

تلاش برای تصحیح فایل ها با پسوندهای COM و EXE.

تغییر ویژگی های فایل؛

نوشتن مستقیم روی دیسک در آدرس مطلق؛

نوشتن در بخش های بوت دیسک؛

5. برنامه های واکسن (ایمن ساز) برنامه های مقیمی هستند که از عفونت فایل جلوگیری می کنند. در صورتی که هیچ برنامه پزشکی برای "درمان" این ویروس وجود نداشته باشد، از واکسن ها استفاده می شود. واکسیناسیون فقط در برابر ویروس های شناخته شده امکان پذیر است Bezrukov N. ویروس شناسی کامپیوتری: کتاب درسی [منبع الکترونیکی]: http://vx.netlux.org/lib/anb00.html..

در واقع، معماری برنامه های آنتی ویروس بسیار پیچیده تر است و به توسعه دهنده خاص بستگی دارد. اما یک واقعیت غیرقابل انکار است: تمام فناوری هایی که من در مورد آنها صحبت کردم آنقدر در هم تنیده شده اند که گاهی اوقات درک زمانی که یکی راه اندازی می شود و دیگری شروع به کار می کند غیرممکن است. این تعامل فن آوری های ضد ویروس به آنها اجازه می دهد تا به طور موثر در مبارزه با ویروس ها استفاده شوند. اما فراموش نکنید که هیچ محافظت کاملی وجود ندارد و تنها راه برای هشدار دادن به خود در برابر چنین مشکلاتی به روز رسانی مداوم سیستم عامل، یک فایروال با پیکربندی مناسب، آنتی ویروس به روز رسانی مکرر و - مهمتر از همه - عدم اجرای / دانلود فایل های مشکوک از سیستم عامل است. اینترنت.

یوجین کسپرسکی در سال 1992 از طبقه بندی زیر آنتی ویروس ها بسته به اصل عملکرد آنها (تعریف عملکرد) استفاده کرد:

1. اسکنرها (نسخه قدیمی - "پلی فاژها") - وجود یک ویروس را توسط پایگاه داده امضایی تعیین می کنند که امضاها (یا جمع های کنترلی آنها) ویروس ها را ذخیره می کند. اثربخشی آنها با ارتباط پایگاه داده ویروس و وجود یک تحلیلگر اکتشافی تعیین می شود (نگاه کنید به: اسکن اکتشافی).

2. حسابرسان (کلاس نزدیک به IDS) - وضعیت سیستم فایل را به خاطر بسپارید که امکان تجزیه و تحلیل تغییرات در آینده را ممکن می سازد.

3. دیده بان (مانیتورها) - عملیات بالقوه خطرناک را پیگیری کنید و درخواست مناسب را برای اجازه/ممنوع کردن عملیات به کاربر صادر کنید.

4. واکسن ها - فایل پیوند شده را به گونه ای تغییر دهید که ویروسی که واکسن علیه آن ساخته شده است، پرونده را آلوده بداند. در شرایط مدرن (2007)، زمانی که تعداد ویروس های احتمالی در صدها هزار اندازه گیری می شود، این رویکرد قابل اجرا نیست.

آنتی ویروس های مدرن تمام عملکردهای فوق را با هم ترکیب می کنند.

آنتی ویروس ها را نیز می توان به موارد زیر تقسیم کرد:

1. محصولات برای کاربران خانگی:

2. در واقع آنتی ویروس ها.

3. محصولات ترکیبی (به عنوان مثال، ضد اسپم، فایروال، آنتی روت کیت و غیره به آنتی ویروس کلاسیک اضافه شده است).

4. محصولات شرکتی:

5. آنتی ویروس های سرور;

6. آنتی ویروس ها در ایستگاه های کاری ("نقطه پایانی").

آنتی ویروس روی سیم کارت، فلش کارت و دستگاه های USB

تلفن های همراه تولید شده امروزه دارای طیف گسترده ای از رابط ها و قابلیت های انتقال داده هستند. کاربران باید قبل از اتصال دستگاه های کوچک، روش های حفاظت را به دقت مطالعه کنند.

روش‌های حفاظتی مانند سخت‌افزار، شاید آنتی‌ویروس‌های روی دستگاه‌های USB یا سیم‌کارت، برای کاربران تلفن همراه مناسب‌تر هستند. ارزیابی فنی و بررسی نحوه نصب یک برنامه آنتی ویروس بر روی تلفن همراه باید به عنوان یک فرآیند اسکن در نظر گرفته شود که ممکن است سایر برنامه های کاربردی قانونی روی آن تلفن را تحت تأثیر قرار دهد.

برنامه های ضد ویروس روی سیم کارت با آنتی ویروس تعبیه شده در فضای حافظه کم ظرفیت، با محافظت از پین و اطلاعات کاربر تلفن، محافظت ضد بدافزار/ویروس را فراهم می کنند. آنتی ویروس های موجود در فلش کارت ها به کاربر امکان تبادل اطلاعات و استفاده از این محصولات با دستگاه های سخت افزاری مختلف و همچنین ارسال این داده ها به دستگاه های دیگر را با استفاده از کانال های ارتباطی مختلف می دهند.

آنتی ویروس ها، دستگاه های تلفن همراه و راه حل های نوآورانه

در آینده ممکن است تلفن های همراه به ویروس آلوده شوند. توسعه دهندگان بیشتر و بیشتری در این زمینه برنامه های ضد ویروس را برای مبارزه با ویروس ها و محافظت از تلفن های همراه ارائه می دهند. در دستگاه های تلفن همراه، انواع زیر کنترل ویروس وجود دارد.