برنامه آنتی ویروس (آنتی ویروس) - برنامه ای برای شناسایی و حذف ویروس های رایانه ای و غیره بد افزارجلوگیری از توزیع آنها و همچنین بازگرداندن برنامه های آلوده به آنها.

وظایف اصلی مدرن برنامه های آنتی ویروس:

• - اسکن فایل ها و برنامه ها در زمان واقعی.
• - اسکن کامپیوتر بر حسب تقاضا
• - اسکن ترافیک اینترنت
• - اسکن ایمیل
• - محافظت در برابر حملات وب سایت های خطرناک.
• -- بهبود فایل های آسیب دیده(رفتار).

طبقه بندی برنامه های آنتی ویروس:

• · برنامه های آشکارسازجستجو و شناسایی ویروس ها در رم و رسانه های خارجی را فراهم می کند و پس از شناسایی، پیام مربوطه را صادر می کند. آشکارسازها وجود دارد:
  • 1. جهانی - استفاده در کار خود برای بررسی عدم تغییر فایل ها با شمارش و مقایسه با استاندارد چک جمع
  • 2. تخصصی- ویروس های شناخته شده را با امضای آنها جستجو کنید (تکرار بخش کد). عیب چنین آشکارسازهایی این است که قادر به شناسایی همه ویروس های شناخته شده نیستند.

آشکارساز که می تواند چندین ویروس را شناسایی کند polydetector نامیده می شود. عیب چنین برنامه های ضد ویروسی این است که فقط می توانند ویروس هایی را پیدا کنند که برای توسعه دهندگان چنین برنامه هایی شناخته شده باشند.

• · برنامه های دکتر (فاژها)نه تنها فایل های آلوده به ویروس را پیدا کنید، بلکه آنها را نیز "درمان" کنید، یعنی. بدنه برنامه ویروس را از فایل حذف کنید و فایل ها را به آن برگردانید حالت اولیه. در ابتدای کار، فاژها به دنبال ویروس ها در RAM می گردند، آنها را از بین می برند و تنها پس از آن به "درمان" فایل ها می پردازند. در بین فاژها، پلی فاژها متمایز می شوند، یعنی. برنامه های پزشک که برای یافتن و از بین بردن تعداد زیادی ویروس طراحی شده اند. با توجه به اینکه ویروس‌های جدید دائماً ظاهر می‌شوند، برنامه‌های تشخیص و برنامه‌های پزشک به سرعت قدیمی می‌شوند و به‌روزرسانی‌های منظم نسخه‌های آنها مورد نیاز است.
• · برنامه های حسابرسیکی از مطمئن ترین ابزارهای محافظت در برابر ویروس ها هستند. ممیزان وضعیت اولیه برنامه ها، دایرکتوری ها و نواحی سیستم دیسک را زمانی که کامپیوتر به ویروس آلوده نمی شود به یاد می آورند و سپس به صورت دوره ای یا بنا به درخواست کاربر، وضعیت فعلی را با حالت اصلی مقایسه می کنند. تغییرات شناسایی شده روی صفحه نمایشگر نمایش داده می شود. به عنوان یک قاعده، مقایسه حالت ها بلافاصله پس از بارگذاری انجام می شود سیستم عامل. هنگام مقایسه، طول فایل، کد کنترل چرخه ای (جمع چک فایل)، تاریخ و زمان اصلاح و سایر پارامترها بررسی می شود.
• · برنامه های فیلتر (سگ نگهبان)برنامه‌های مقیم کوچکی هستند که برای شناسایی فعالیت‌های رایانه‌ای مشکوک که مشخصه ویروس‌ها هستند، طراحی شده‌اند. چنین اقداماتی ممکن است:
  • 1. تلاش برای تصحیح فایل ها با پسوندهای COM و EXE.
  • 2. تغییر ویژگی های فایل.
  • 3. نوشتن مستقیم روی دیسک در یک آدرس مطلق.
  • 4. نوشتن در بخش های بوت دیسک.

برنامه های واکسن (ایمن سازها)برنامه های مقیمی هستند که از عفونت فایل ها جلوگیری می کنند. در صورتی که هیچ برنامه پزشکی برای "درمان" این ویروس وجود نداشته باشد، از واکسن ها استفاده می شود. واکسیناسیون فقط در برابر ویروس های شناخته شده امکان پذیر است. واکسن برنامه یا دیسک را به گونه ای تغییر می دهد که روی کار آنها تأثیری نداشته باشد و ویروس آنها را آلوده تشخیص دهد و بنابراین ریشه نمی دهد. یک اشکال قابل توجه چنین برنامه هایی توانایی محدود آنها برای جلوگیری از عفونت است تعداد زیادیویروس های مختلف

توابع برنامه های آنتی ویروس

حفاظت از ویروس بلادرنگ

اکثر برنامه های آنتی ویروس محافظت در زمان واقعی را ارائه می دهند. این بدان معنی است که برنامه آنتی ویروس در هر ثانیه از رایانه شما در برابر تمام تهدیدات ورودی محافظت می کند. بنابراین، حتی اگر ویروسی کامپیوتر شما را آلوده نکرده باشد، باید یک برنامه آنتی ویروس با محافظت بلادرنگ را نصب کنید تا از گسترش بیشتر عفونت جلوگیری کنید.

تشخیص تهدید

برنامه های آنتی ویروس می توانند کل رایانه شما را از نظر ویروس اسکن کنند. اول از همه، آسیب پذیرترین مناطق، پوشه های سیستم و RAM اسکن می شوند. همچنین می‌توانید بخش‌های اسکن را خودتان انتخاب کنید، یا مثلاً یک مورد خاص را بررسی کنید هارد دیسک. با این حال، همه آنتی ویروس ها در الگوریتم های خود یکسان نیستند و برخی از آنتی ویروس ها نسبت به سایرین نرخ تشخیص بالاتری دارند.

بروزرسانی های خودکار

ویروس های جدید هر روز ایجاد می شوند و ظاهر می شوند. بنابراین، برای برنامه های ضد ویروس بسیار مهم است که بتوانند پایگاه داده های آنتی ویروس (لیستی از همه ویروس های شناخته شده، قدیمی و جدید) را به روز کنند. به روز رسانی خودکارضروری است زیرا یک آنتی ویروس قدیمی نمی تواند ویروس ها و تهدیدات جدید را شناسایی کند. همچنین اگر برنامه آنتی ویروس فقط ارائه دهد به روز رسانی دستیممکن است فراموش کنید تعاریف آنتی ویروس خود را به روز کنید و رایانه شما ممکن است به ویروس جدیدی آلوده شود. سعی کنید یک آنتی ویروس با به روز رسانی خودکار انتخاب کنید.

هشدارها

زمانی که هر برنامه ای بخواهد به رایانه شما دسترسی پیدا کند، آنتی ویروس به شما هشدار می دهد. برنامه های اینترنتی یک مثال هستند. بسیاری از برنامه‌هایی که سعی می‌کنند به رایانه شخصی شما دسترسی پیدا کنند بی‌خطر هستند یا شما به‌طور داوطلبانه آن‌ها را دانلود کرده‌اید، و بنابراین برنامه‌های آنتی ویروس به شما این فرصت را می‌دهند که خودتان تصمیم بگیرید که آیا نصب یا عملکرد آنها را مجاز یا مسدود کنید.

ارسال کار خوب خود در پایگاه دانش ساده است. از فرم زیر استفاده کنید

دانشجویان، دانشجویان تحصیلات تکمیلی، دانشمندان جوانی که از دانش پایه در تحصیل و کار خود استفاده می کنند از شما بسیار سپاسگزار خواهند بود.

میزبانی شده در http://www.allbest.ru/

طبقه بندی آنتی ویروس ها

آنتی ویروس یک بسته نرم افزاری است که به طور ویژه برای محافظت، رهگیری و حذف ویروس های رایانه ای و سایر برنامه های مخرب طراحی شده است.

برنامه های ضد ویروس مدرن می توانند به طور موثر اشیاء مخرب را در فایل ها و اسناد برنامه شناسایی کنند. در برخی موارد، آنتی ویروس می تواند بدنه یک شی مخرب را از یک فایل آلوده حذف کند و خود فایل را بازیابی کند. در بیشتر موارد، یک آنتی ویروس قادر است یک شی برنامه مخرب را نه تنها از یک فایل برنامه، بلکه از فایل سند آفیس بدون نقض یکپارچگی آن حذف کند. استفاده از برنامه های ضد ویروس نیازی به مدارک بالایی ندارد و تقریباً برای هر کاربر رایانه ای در دسترس است. امروزه اکثر برنامه های آنتی ویروس پیشرو این ویژگی ها را با هم ترکیب می کنند حفاظت دائمی(مانیتور آنتی ویروس) و ویژگی های حفاظتی بر اساس تقاضا (اسکنر آنتی ویروس).

طبقه بندی آنتی ویروس ها

در حال حاضر وجود ندارد سیستم یکپارچهطبقه بندی برنامه های آنتی ویروس

طبقه بندی آنتی ویروس ها بر اساس نحوه عملکرد

آزمایشگاه کسپرسکی آنتی ویروس ها را بر اساس نحوه عملکرد آنها طبقه بندی می کند:

بررسی زمان واقعی

بررسی بلادرنگ یا بررسی مداوم، تداوم کار را تضمین می کند محافظت از آنتی ویروس. این با بررسی اجباری تمام اقدامات انجام شده توسط برنامه های دیگر و خود کاربر از نظر وجود مخرب، بدون توجه به مکان اصلی آنها - خواه متعلق به شما باشد، اجرا می شود. HDD، رسانه های ذخیره سازی خارجی، سایر منابع شبکه یا RAM خودتان. همچنین کلیه اقدامات غیرمستقیم از طریق برنامه سوم مشمول تایید می باشد.

بررسی درخواستی

در برخی موارد، داشتن یک اسکن در زمان واقعی به طور مداوم ممکن است کافی نباشد. این امکان وجود دارد که یک فایل آلوده در رایانه کپی شده باشد که به دلیل حجم زیاد از اسکن دائمی حذف شده و بنابراین ویروس در آن شناسایی نشده است. اگر این فایل روی رایانه مورد نظر اجرا نشود، ویروس ممکن است مورد توجه قرار نگیرد و تنها پس از ارسال آن به رایانه دیگری خود را نشان دهد.

برای این حالت، معمولاً فرض بر این است که کاربر شخصاً مشخص می‌کند که کدام فایل‌ها، فهرست‌ها یا نواحی دیسک باید بررسی شوند و زمانی که چنین بررسی باید انجام شود - در قالب یک برنامه زمان‌بندی یا شروع دستی یک‌باره.

طبقه بندی آنتی ویروس ها بر اساس نوع

همچنین، برنامه های آنتی ویروس را می توان بر اساس نوع طبقه بندی کرد:

اسکنرها (نام های دیگر: فاژها، پلی فاژها)

اصل عملکرد اسکنرهای ضد ویروس بر اساس اسکن فایل ها، سکتورها و حافظه سیستم و جستجوی ویروس های شناخته شده و جدید (ناشناخته برای اسکنر) در آنها است. به اصطلاح "ماسک" برای جستجوی ویروس های شناخته شده استفاده می شود. یک ویروس ماسک یک دنباله کد ثابت خاص برای آن ویروس خاص است. اگر ویروس حاوی ماسک دائمی نباشد یا طول این ماسک به اندازه کافی بزرگ نباشد، از روش های دیگری استفاده می شود. نمونه ای از چنین روشی است زبان الگوریتمیتوصیف همه چیز گزینه های ممکنکدی که هنگام آلوده شدن به این نوع ویروس با آن مواجه می شود. این رویکرد توسط برخی آنتی ویروس ها برای شناسایی ویروس های چند شکلی استفاده می شود.

بسیاری از اسکنرها نیز از الگوریتم‌های «اسکن ابتکاری» استفاده می‌کنند. تجزیه و تحلیل توالی دستورات در شی بررسی شده، جمع آوری برخی از آمار و تصمیم گیری برای هر شی بررسی شده.

اسکنرها را نیز می توان به دو دسته تقسیم کرد - "جهانی" و "تخصصی". اسکنرهای جهانی برای جست و جو و خنثی کردن انواع ویروس ها طراحی شده اند، صرف نظر از سیستم عاملی که اسکنر برای کارکرد در آن طراحی شده است. اسکنرهای تخصصی برای خنثی کردن تعداد محدودی از ویروس ها یا فقط یک دسته از آنها مانند ویروس های ماکرو طراحی شده اند.

اسکنرها نیز به دو دسته «ساکن» (مانیتور) که اسکن «در حال پرواز» و «غیر ساکن» سیستم را اسکن می‌کنند، تقسیم می‌شوند. داده ها با داده ها مقایسه می شوند. بنابراین، برای پیدا کردن یک ویروس در رایانه خود، باید آن را قبلا "کار کرده باشد" تا عواقب فعالیت آن ظاهر شود. این روش فقط می تواند ویروس های شناخته شده ای را پیدا کند که قطعات کد یا امضای آنها قبلاً توضیح داده شده است. بعید است که بتوان چنین حفاظتی را قابل اعتماد نامید.

تجزیه و تحلیل فرآیند

برنامه ویروس بدافزار کامپیوتری

ابزارهای ضد ویروس مبتنی بر تجزیه و تحلیل فرآیند تا حدودی متفاوت عمل می کنند. «آنالیزگرهای اکتشافی»، مانند آنهایی که در بالا توضیح داده شد، داده ها را (روی دیسک، در یک کانال، در حافظه و غیره) تجزیه و تحلیل می کنند. تفاوت اساسی این است که تجزیه و تحلیل با این فرض انجام می شود که کد مورد تجزیه و تحلیل داده نیست، بلکه دستورات است (در رایانه هایی با معماری فون نویمان، داده ها و دستورات غیرقابل تشخیص هستند و بنابراین باید یک یا آن فرضیه مطرح شود. در طول تجزیه و تحلیل.)

"تحلیلگر اکتشافی" دنباله ای از عملیات را انتخاب می کند، ارزیابی خاصی از "خطر" را به هر یک از آنها اختصاص می دهد، و بر اساس کلیت "خطر"، تصمیم می گیرد که آیا این توالی از عملیات بخشی از کد مخرب. خود کد اجرا نمی شود.

نوع متفاوت ابزارهای ضد ویروسبر اساس تجزیه و تحلیل فرآیند "مسدود کننده های رفتاری" هستند. در این حالت، کد مشکوک گام به گام اجرا می شود تا زمانی که مجموعه اقدامات آغاز شده توسط کد به عنوان رفتار "خطرناک" (یا "ایمن") ارزیابی شود. در این مورد، کد تا حدی اجرا می شود، زیرا تکمیل کد مخرب را می توان با روش های ساده تر تجزیه و تحلیل داده ها شناسایی کرد.

فناوری های تشخیص ویروس

فناوری های مورد استفاده در آنتی ویروس ها را می توان به دو گروه تقسیم کرد:

فن آوری های تجزیه و تحلیل امضا

تجزیه و تحلیل امضا یک روش تشخیص ویروس است که وجود امضاهای ویروس را در پرونده ها بررسی می کند. تجزیه و تحلیل امضا شناخته شده ترین روش برای تشخیص ویروس ها است و تقریباً در تمام آنتی ویروس های مدرن استفاده می شود. برای انجام اسکن، آنتی ویروس به مجموعه ای از امضاهای ویروس نیاز دارد که در پایگاه داده آنتی ویروس ذخیره می شود.

با توجه به این واقعیت که تجزیه و تحلیل امضا شامل بررسی فایل ها برای امضای ویروس است، پایگاه داده آنتی ویروس باید به طور دوره ای به روز شود تا آنتی ویروس به روز شود. اصل تجزیه و تحلیل امضا نیز محدودیت های عملکرد آن را مشخص می کند - توانایی شناسایی فقط ویروس های شناخته شده - یک اسکنر امضا در برابر ویروس های جدید ناتوان است.

از طرفی وجود امضاهای ویروسی امکان درمان را مطرح می کند فایل های الودهبا استفاده از تجزیه و تحلیل امضا شناسایی شد. با این حال، درمان برای همه ویروس ها قابل قبول نیست - تروجان ها و اکثر کرم ها به دلیل وجود آنها قابل درمان نیستند ویژگی های طراحی، زیرا آنها ماژول های جامدی هستند که برای ایجاد آسیب طراحی شده اند.

اجرای صحیح امضای ویروس، شناسایی ویروس های شناخته شده را با اطمینان 100٪ امکان پذیر می کند.

فن آوری های تحلیل احتمالی

فناوری های تحلیل احتمالی به نوبه خود به سه دسته تقسیم می شوند:

تحلیل اکتشافی

تحلیل رفتاری

تجزیه و تحلیل جمع چک

تحلیل اکتشافی یک فناوری مبتنی بر الگوریتم های احتمالی است که نتیجه آن شناسایی اشیاء مشکوک است. تجزیه و تحلیل اکتشافی ساختار فایل و انطباق آن با قالب های ویروس را بررسی می کند. محبوب ترین روش اکتشافی بررسی محتوای یک فایل برای تغییرات امضاهای ویروسی شناخته شده و ترکیب آنهاست. این کمک می کند تا هیبریدها و نسخه های جدید ویروس های شناخته شده قبلی را بدون به روز رسانی اضافی پایگاه داده آنتی ویروس شناسایی کنید.

تجزیه و تحلیل اکتشافی برای شناسایی ویروس های ناشناخته استفاده می شود و در نتیجه انتظار مثبتی ندارد.

تحلیل رفتاری فناوری است که در آن تصمیم گیری در مورد ماهیت شی مورد بررسی بر اساس تجزیه و تحلیل عملیاتی که انجام می دهد گرفته می شود. تجزیه و تحلیل رفتاری کاربرد عملی بسیار محدودی دارد، زیرا بیشتر اقدامات معمول ویروس ها را می توان توسط برنامه های معمولی انجام داد. تحلیلگرهای رفتاری اسکریپت ها و ماکروها معروف ترین هستند، زیرا ویروس های مربوطه تقریباً همیشه تعدادی از اقدامات مشابه را انجام می دهند.

ویژگی های امنیتی تعبیه شده در BIOS را می توان به عنوان تحلیلگرهای رفتاری نیز طبقه بندی کرد. هنگامی که سعی می شود تغییراتی در MBR کامپیوتر ایجاد شود، آنالایزر این عمل را مسدود می کند و اعلان مربوطه را به کاربر نمایش می دهد.

علاوه بر این، تحلیلگرهای رفتاری می‌توانند تلاش‌ها برای دسترسی مستقیم به فایل‌ها، تغییرات در رکورد بوت فلاپی دیسک‌ها، قالب‌بندی هارد دیسک‌ها و غیره را ردیابی کنند.

تحلیلگرهای رفتاری از اشیاء اضافی مانند پایگاه داده های ویروس برای کار خود استفاده نمی کنند و در نتیجه نمی توانند بین ویروس های شناخته شده و ناشناخته تمایز قائل شوند - همه برنامه های مشکوک به طور پیشینی ویروس های ناشناخته در نظر گرفته می شوند. به طور مشابه، ویژگی‌های عملکرد ابزارهایی که فناوری‌های تحلیل رفتاری را پیاده‌سازی می‌کنند، دلالت بر درمان ندارند.

تجزیه و تحلیل Checksum راهی برای پیگیری تغییرات در اشیاء یک سیستم کامپیوتری است. بر اساس تجزیه و تحلیل ماهیت تغییرات - همزمانی، کاراکتر انبوه، تغییرات یکسان در طول پرونده - می توان نتیجه گرفت که سیستم آلوده است. آنالایزرهای چک سام (که "حسابرسان تغییر" نیز نامیده می شود) مانند آنالیزگرهای رفتاری از اشیاء اضافی در کار خود استفاده نمی کنند و صرفاً با روش ارزیابی کارشناسانه در مورد وجود ویروس در سیستم حکم صادر می کنند. فناوری‌های مشابهی در اسکنرهای دسترسی استفاده می‌شود - در اولین بررسی، یک چک‌سوم از فایل گرفته می‌شود و در حافظه پنهان قرار می‌گیرد، قبل از بررسی بعدی همان فایل، چک‌سوم دوباره گرفته می‌شود، مقایسه می‌شود و در صورت عدم تغییر، فایل غیر آلوده در نظر گرفته می شود.

مجموعه آنتی ویروس - مجموعه ای از آنتی ویروس ها که از موتور یا موتورهای ضد ویروس مشابه استفاده می کنند و برای حل مشکلات عملی در تضمین امنیت ضد ویروس طراحی شده اند. سیستم های کامپیوتری. مجموعه آنتی ویروس همچنین شامل ابزارهایی برای به روز رسانی پایگاه داده های ضد ویروس است.

علاوه بر این، مجموعه ضد ویروس ممکن است علاوه بر آن شامل تحلیلگرهای رفتاری و تغییر حسابرسانی باشد که از موتور ضد ویروس استفاده نمی کنند.

انواع زیر مجموعه های ضد ویروس وجود دارد:

مجموعه آنتی ویروس برای محافظت از ایستگاه های کاری

مجموعه آنتی ویروس برای محافظت از سرورهای فایل

مجموعه آنتی ویروس برای محافظت از سیستم های پستی

مجموعه آنتی ویروس برای محافظت از دروازه ها.

میزبانی شده در Allbest.ru

اسناد مشابه

مفهوم و طبقه بندی ویروس های کامپیوتری روش های اساسی محافظت از اطلاعات در برابر ویروس ها مروری بر مدرن ابزارهای نرم افزاریبرای عملکرد ایمن کامپیوتر شما طبقه بندی آنتی ویروس ها آنتی ویروس کسپرسکی، آنتی ویروس نورتون، دکتر وبر، Eset NOD32.

مقاله ترم، اضافه شده در 2015/10/26


وظایف اصلی آنتی ویروس ها و ابزارهای محافظت از آنتی ویروس رایانه شخصی. ویروس ها چگونه کار می کنند و چگونه پخش می شوند. روش ها و فن آوری های محافظت در برابر برنامه های مخرب. الزامات کلیایمنی هنگام استفاده از کامپیوتر

چکیده، اضافه شده در 1395/09/22


بررسی تاریخچه ویروس ها و آنتی ویروس های کامپیوتری. بررسی راه های اصلی نفوذ برنامه های مخرب به کامپیوتر. انواع برنامه های ویروسی و آنتی ویروس. خصوصیات ویژگی های امضا و روش های اکتشافی حفاظت ضد ویروس.

چکیده، اضافه شده در 1393/10/08


روش های اصلی محافظت در برابر ویروس های رایانه ای. علائم اصلی تظاهرات ویروس ها: خاتمه برنامه ها، عملکرد کند کامپیوتر، تغییر در اندازه، تاریخ و زمان فایل ها. راه های بروز ویروس ها ویژگی های آنتی ویروس های شناخته شده

ارائه، اضافه شده در 12/02/2011


پدیده ویروس های کامپیوتری طبقه بندی ویروس های کامپیوتری انواع آنتی ویروس. چگونه و از چه چیزی از رایانه شخصی محافظت کنیم. مبارزه با حملات هکرها خدمات وب آنتی ویروس رایگان. اصول اولیه امنیت اینترنت اقدامات در صورت ابتلا به ویروس

چکیده، اضافه شده در 10/08/2008


مفهوم و مکانیسم عمل ویروس های کامپیوتری، تعریف خطر آنها برای ایمنی داده ها، اقداماتی برای جلوگیری از اثرات منفی. طبقه بندی برنامه های آنتی ویروس، آنها سیستم مورد نیازو شرایط برای عملکرد کارآمد و بدون وقفه.

پایان نامه، اضافه شده در 2010/07/17


ویژگی های برنامه های ضد ویروس (آنتی ویروس ها) - برنامه های کامپیوتری طراحی شده برای خنثی سازی ویروس ها و انواع بدافزارها به منظور ذخیره داده ها و عملکرد بهینهکامپیوتر طبقه بندی و نمونه هایی از برنامه های ضد ویروس.

چکیده، اضافه شده در 2010/03/26


استفاده از آنتی ویروس ها برای شناسایی موثر ویروس ها در رایانه و خنثی کردن آنها. علائم عفونت ویروسی جلوه های آشکار تروجان ها: تغییر تنظیمات مرورگر، پیام های بازشو، شماره گیری غیرمجاز به اینترنت.

کار آزمایشگاهی، اضافه شده در 1392/09/13


مفهوم و طبقه بندی ویروس های کامپیوتری روش های محافظت در برابر برنامه های مخرب، انواع آنها. علائم آلودگی به ویروس کامپیوتری مشکل امنیت اطلاعات کار با برنامه های MS Office. تجزیه و تحلیل ویروس های فایل، ابزارهای هکر.

مقاله ترم، اضافه شده 01/12/2015


برنامه هایی برای جستجوی ویروس های رایانه ای مشابه با ویروس های شناخته شده و انجام اقدامات مشکوک. ماژول به روز رسانی، برنامه ریزی و مدیریت. پیکربندی تنظیمات برای ماژول های ضد ویروس، به روز رسانی، به روز رسانی دوره ای و اسکن.

مقدمه

ما در آستانه دو هزاره زندگی می کنیم، زمانی که بشریت وارد عصر یک انقلاب علمی و فناوری جدید شده است.

در پایان قرن بیستم، مردم بر بسیاری از اسرار دگرگونی ماده و انرژی تسلط یافتند و توانستند از این دانش برای بهبود زندگی خود استفاده کنند. اما علاوه بر ماده و انرژی، مؤلفه دیگری در زندگی انسان نقش بسزایی دارد - اطلاعات. این طیف گسترده ای از اطلاعات، پیام ها، اخبار، دانش، مهارت ها است.

در اواسط قرن ما وجود داشت دستگاه های خاص- كامپيوترها بر ذخيره و تبديل اطلاعات تمركز كردند و انقلاب كامپيوتري رخ داد.

امروزه، استفاده گسترده کامپیوترهای شخصیمتأسفانه مشخص شد که با ظهور برنامه های ویروسی خودبازتولید کننده مرتبط است که از عملکرد عادی رایانه جلوگیری می کند ، ساختار فایل دیسک ها را از بین می برد و به اطلاعات ذخیره شده در رایانه آسیب می رساند.

با وجود قوانینی که در بسیاری از کشورها برای مبارزه با جرایم رایانه ای و توسعه برنامه های ویژهابزارهای جدید محافظت از ویروس، تعداد ویروس های نرم افزاری جدید به طور مداوم در حال افزایش است. این امر مستلزم آن است که کاربر رایانه شخصی از ماهیت ویروس ها، نحوه آلوده کردن و محافظت در برابر ویروس ها آگاه باشد. این انگیزه ای برای انتخاب موضوع کار من بود.

این چیزی است که من در مقاله خود در مورد آن صحبت می کنم. من انواع اصلی ویروس ها را نشان می دهم، طرح های عملکرد آنها، دلایل ظاهر آنها و راه های نفوذ به رایانه را در نظر می گیرم، و همچنین اقداماتی را برای محافظت و پیشگیری پیشنهاد می کنم.

هدف از این کار آشنایی کاربر با مبانی ویروس شناسی کامپیوتری، آموزش تشخیص ویروس ها و مبارزه با آنها است. روش کار، تحلیل نشریات چاپی در این زمینه است. من با یک کار دشوار روبرو شدم - صحبت در مورد آنچه بسیار کم مطالعه شده است و چگونه اتفاق افتاد - شما قاضی باشید.

1. ویروس های کامپیوتری و ویژگی های آنها و طبقه بندی

1.1. ویژگی های ویروس های کامپیوتری

اکنون از رایانه های شخصی استفاده می شود که در آن کاربر به تمام منابع دستگاه دسترسی آزاد دارد. این همان چیزی است که امکان خطری را که به عنوان ویروس کامپیوتری شناخته شده است را باز کرد.

ویروس کامپیوتری چیست؟ هنوز تعریف رسمی از این مفهوم ابداع نشده است و تردیدهای جدی وجود دارد که اصلاً بتوان آن را ارائه داد. تلاش های متعدد برای ارائه تعریفی «مدرن» از ویروس موفقیت آمیز نبوده است. برای احساس پیچیدگی مشکل، سعی کنید، برای مثال، مفهوم "ویرایشگر" را تعریف کنید. یا به چیزی بسیار کلی دست خواهید یافت، یا شروع به فهرست کردن انواع شناخته شده ویرایشگرها خواهید کرد. به سختی می توان هر دو را قابل قبول دانست. بنابراین، ما به بررسی برخی از ویژگی‌های ویروس‌های رایانه‌ای که به ما اجازه می‌دهد از آنها به‌عنوان کلاس خاصی از برنامه‌ها صحبت کنیم، محدود می‌شویم.

اول از همه، ویروس یک برنامه است. چنین جمله ساده ای به تنهایی می تواند افسانه های زیادی را در مورد قابلیت های خارق العاده ویروس های رایانه ای از بین ببرد. ویروس می تواند تصویر را روی مانیتور شما برگرداند، اما نمی تواند خود مانیتور را بچرخاند. به افسانه هایی در مورد ویروس های قاتل که «با نمایش یک کشنده اپراتورها را از بین می برند رنگ ها 25th frame” را نیز نباید جدی گرفت. متأسفانه برخی از نشریات معتبر گهگاه «آخرین اخبار از عرصه رایانه» را منتشر می کنند که با بررسی دقیق تر، نتیجه درک نه کاملاً روشن موضوع است.

ویروس برنامه ای است که توانایی تکثیر خود را دارد. این توانایی تنها وسیله ای است که در همه انواع ویروس ها وجود دارد. اما نه تنها ویروس ها قادر به تکثیر خود هستند. هر سیستم عامل و بسیاری از برنامه های دیگر قادر به ایجاد نسخه های خود هستند. کپی های همان ویروس نه تنها لازم نیست کاملاً با نسخه اصلی مطابقت داشته باشند، بلکه ممکن است اصلاً با آن مطابقت نداشته باشند!

یک ویروس نمی‌تواند به‌صورت «انزوا کامل» وجود داشته باشد: امروزه نمی‌توان ویروسی را تصور کرد که از کد برنامه‌های دیگر، اطلاعات ساختار فایل یا حتی فقط از نام برنامه‌های دیگر استفاده نمی‌کند. دلیل واضح است: ویروس باید به نحوی از انتقال کنترل به خود اطمینان حاصل کند.

1.2. طبقه بندی ویروس ها

در حال حاضر بیش از 5000 ویروس نرم افزاری شناخته شده است که می توان آنها را بر اساس معیارهای زیر طبقه بندی کرد:

زیستگاه

¨ راه آلودگی محیط زیست

تأثیر

¨ ویژگی های الگوریتم

بسته به زیستگاه، ویروس ها را می توان به شبکه، فایل، بوت و فایل بوت تقسیم کرد. ویروس های شبکهدر شبکه های مختلف کامپیوتری توزیع شده است. ویروس های فایل عمدتاً در ماژول های اجرایی، یعنی در فایل هایی با پسوندهای COM و EXE وارد می شوند. ویروس های فایلرا می توان در انواع دیگر فایل ها جاسازی کرد، اما، به عنوان یک قاعده، در چنین فایل هایی نوشته می شود، آنها هرگز کنترل نمی شوند و بنابراین، توانایی تولید مجدد را از دست می دهند. ویروس ها را بوت کنیددر بخش بوت دیسک (بخش بوت) یا در بخش حاوی برنامه بوت تعبیه شده اند. دیسک سیستم(Master Boot Re-

طناب). بوت فایلویروس ها هم فایل ها و هم بخش های بوت دیسک را آلوده می کنند.

بر اساس روش آلودگی، ویروس ها به ساکن و غیر مقیم تقسیم می شوند. ویروس مقیمهنگام آلوده کردن (عفونت کردن) یک کامپیوتر، قسمت مقیم خود را در RAM رها می کند، که سپس دسترسی سیستم عامل به اشیاء آلوده (فایل ها، بخش های بوت دیسک و غیره) را قطع می کند و به آنها نفوذ می کند. ویروس‌های مقیم در حافظه باقی می‌مانند و تا زمانی که کامپیوتر خاموش یا راه‌اندازی مجدد نشود، فعال باقی می‌مانند. ویروس های غیر مقیمحافظه کامپیوتر را آلوده نمی کند و برای مدت محدودی فعال هستند.

با توجه به میزان تاثیر، ویروس ها را می توان به انواع زیر تقسیم کرد:

¨ غیر خطرناککه در عملکرد کامپیوتر تداخلی ایجاد نمی کند، اما میزان رم و فضای خالی دیسک را کاهش می دهد، عملکرد این گونه ویروس ها در هر گونه جلوه های گرافیکی یا صوتی آشکار می شود.

¨ خطرناکویروس هایی که می توانند مشکلات مختلفی را برای رایانه شما ایجاد کنند

¨ بسیار خطرناک، که تأثیر آن می تواند منجر به از بین رفتن برنامه ها ، از بین رفتن داده ها ، پاک شدن اطلاعات در مناطق سیستمی دیسک شود.

2. انواع اصلی ویروس ها و طرح های عملکرد آنها

از میان انواع ویروس ها، گروه های اصلی زیر را می توان تشخیص داد:

¨ چکمه

فایل

¨ فایل-بوت

اکنون در مورد هر یک از این گروه ها جزئیات بیشتری ارائه می دهیم.

2.1. ویروس ها را بوت کنید

عملکرد یک ویروس بوت بسیار ساده را در نظر بگیرید که فلاپی دیسک ها را آلوده می کند. ما عمداً تمام ظرافت‌های متعددی را که ناگزیر در تحلیل دقیق الگوریتم برای عملکرد آن با آن مواجه می‌شویم، دور می‌زنیم.

وقتی کامپیوتر خود را روشن می کنید چه اتفاقی می افتد؟ ابتدا کنترل منتقل می شود برنامه بوت استرپ، که در حافظه فقط خواندنی (ROM) ذخیره می شود. رام PNZ.

این برنامه سخت افزار را تست می کند و در صورت موفقیت آمیز بودن تست ها، سعی می کند فلاپی دیسک را در درایو A پیدا کند:

هر فلاپی دیسک بر روی به اصطلاح مشخص شده است. بخش ها و آهنگ ها بخش ها در خوشه ها ترکیب شده اند، اما این برای ما ضروری نیست.

در میان بخش‌ها، چندین سرویس وجود دارد که توسط سیستم عامل برای نیازهای خود استفاده می‌شود (داده‌های شما را نمی‌توان در این بخش‌ها قرار داد). در میان بخش های خدماتی، ما هنوز به یکی علاقه مند هستیم - به اصطلاح. بخش بوت استرپ(بخش بوت).

فروشگاه های بخش بوت استرپ اطلاعات دیسکت- تعداد سطوح، تعداد آهنگ ها، تعداد بخش ها و غیره. اما اکنون ما به این اطلاعات علاقه مند نیستیم، بلکه به یک اطلاعات کوچک برنامه بوت استرپ(PNZ) که باید خود سیستم عامل را بارگذاری کند و کنترل را به آن منتقل کند.

بنابراین الگوی بوت استرپ معمولی به شرح زیر است:

حال ویروس را در نظر بگیرید. در ویروس های بوت، دو قسمت متمایز می شوند - به اصطلاح. سرو غیره. دم. دم، به طور کلی، می تواند خالی باشد.

فرض کنید شما یک فلاپی دیسک خالی و یک کامپیوتر آلوده دارید که منظور ما یک کامپیوتر با ویروس ساکن فعال است. به محض اینکه این ویروس تشخیص داد که یک قربانی مناسب در درایو ظاهر شده است - در مورد ما، دیسکتی که از نوشتن محافظت نشده و هنوز آلوده نشده است، شروع به آلوده کردن می کند. هنگام آلوده کردن فلاپی دیسک، ویروس اقدامات زیر را انجام می دهد:

منطقه خاصی از دیسک را اختصاص می دهد و آن را به عنوان غیرقابل دسترس برای سیستم عامل علامت گذاری می کند، این کار را می توان به روش های مختلف انجام داد، در ساده ترین و سنتی ترین حالت، بخش های اشغال شده توسط ویروس به عنوان بد (بد) علامت گذاری می شوند.

دم آن و بخش اصلی (سالم) بوت را در ناحیه انتخاب شده دیسک کپی می کند

برنامه بوت استرپ را در بخش بوت (واقعی) با هد خود جایگزین می کند

زنجیره انتقال کنترل را طبق طرح سازماندهی می کند.

بنابراین، سر ویروس اکنون اولین کسی است که کنترل را به دست می گیرد، ویروس در حافظه نصب می شود و کنترل را به بخش بوت اصلی منتقل می کند. در یک زنجیر

PNZ (ROM) - PNZ (دیسک) - SYSTEM

یک لینک جدید ظاهر می شود:

PNZ (ROM) - ویروس - PNZ (دیسک) - سیستم

اخلاق روشن است: هرگز (به طور تصادفی) فلاپی دیسک ها را در درایو A رها نکنید.

ما عملکرد یک ویروس butovy ساده را که در بخش های بوت فلاپی دیسک زندگی می کند، بررسی کرده ایم. به عنوان یک قاعده، ویروس ها می توانند نه تنها بخش های بوت فلاپی دیسک، بلکه بخش های بوت دیسک های سخت را نیز آلوده کنند. در این حالت، بر خلاف فلاپی دیسک، هارد دیسک دارای دو نوع بخش بوت است که شامل برنامه های بوت می شود که کنترل را دریافت می کنند. هنگام بوت کردن رایانه از هارد دیسک، برنامه بوت در MBR (Master Boot Record - Master Boot Record) ابتدا کنترل را به دست می گیرد. اگر هارد دیسک شما به چند پارتیشن تقسیم شده است، تنها یکی از آنها به عنوان قابل بوت (boot) مشخص می شود. برنامه بوت استرپ در MBR پیدا می کند پارتیشن بوتهارد دیسک و کنترل را به برنامه بوت استرپ این پارتیشن منتقل می کند. کد دومی همان کد برنامه بوت موجود در فلاپی دیسک های معمولی است و بخش های بوت مربوطه فقط در جداول پارامتر متفاوت است. بنابراین، دو مورد حمله ویروس های بوت روی هارد دیسک وجود دارد - برنامه بوت استرپ در MBRو ابتدایی دانلود در بخش بوتدیسک بوت

2.2. ویروس های فایل

اکنون بیایید نحوه عملکرد یک ویروس فایل ساده را بررسی کنیم. بر خلاف ویروس های بوت که تقریبا همیشه ساکن هستند، ویروس های فایل لزوما مقیم نیستند. بیایید طرح عملکرد یک ویروس فایل غیر مقیم را در نظر بگیریم. فرض کنید یک فایل اجرایی آلوده داریم. هنگامی که چنین فایلی راه اندازی می شود، ویروس کنترل را به دست می گیرد، برخی از اقدامات را انجام می دهد و کنترل را به "master" منتقل می کند (البته هنوز مشخص نیست که در چنین شرایطی چه کسی استاد است).

ویروس چه اقداماتی انجام می دهد؟ به دنبال یک شی جدید برای آلوده کردن است - یک فایل از نوع مناسب که هنوز آلوده نشده است (در صورتی که ویروس "مناسب" باشد، در غیر این صورت مواردی هستند که بلافاصله بدون بررسی چیزی آلوده می شوند). با آلوده کردن یک فایل، ویروس خود را به کد آن تزریق می کند تا در هنگام اجرای فایل، کنترل را به دست آورد. علاوه بر عملکرد اصلی آن - تولید مثل، ویروس ممکن است کار پیچیده ای انجام دهد (مثلاً بپرسید، بازی کنید) - این از قبل به تخیل نویسنده ویروس بستگی دارد. اگر یک ویروس فایل ساکن باشد، خود را در حافظه نصب می‌کند و توانایی آلوده کردن فایل‌ها و نمایش توانایی‌های دیگر را نه تنها در زمان اجرای فایل آلوده به دست می‌آورد. با آلوده کردن یک فایل اجرایی، یک ویروس همیشه کد خود را تغییر می دهد - بنابراین، آلودگی یک فایل اجرایی همیشه قابل شناسایی است. اما با تغییر کد فایل، ویروس لزوماً تغییرات دیگری ایجاد نمی کند:

à موظف به تغییر طول فایل نیست

بخش های استفاده نشده کد

à برای تغییر ابتدای فایل مورد نیاز نیست

در نهایت، ویروس‌های فایل اغلب شامل ویروس‌هایی می‌شوند که «با فایل‌ها ارتباط دارند» اما نیازی به نفوذ به کد آن‌ها نیست. اجازه دهید به عنوان مثال طرح عملکرد ویروس های خانواده Dir-II را در نظر بگیریم. باید اعتراف کرد که این ویروس ها با ظهور در سال 1991 باعث ایجاد یک اپیدمی واقعی طاعون در روسیه شدند. مدلی را در نظر بگیرید که به وضوح ایده اصلی یک ویروس را نشان می دهد. اطلاعات مربوط به فایل ها در دایرکتوری ها ذخیره می شود. هر ورودی دایرکتوری شامل نام فایل، تاریخ و زمان ایجاد، و تعدادی است اطلاعات تکمیلی, شماره اولین خوشهفایل و غیره بایت های یدکی. دومی "در ذخیره" باقی مانده است و خود MS-DOS استفاده نمی شود.

هنگام اجرای فایل های اجرایی، سیستم اولین کلاستر فایل را از ورودی دایرکتوری و سپس همه خوشه های دیگر را می خواند. ویروس های خانواده Dir-II "سازماندهی مجدد" زیر را ایجاد می کنند. سیستم فایل: خود ویروس خود را در برخی از بخش های آزاد دیسک می نویسد که آنها را به عنوان بد علامت گذاری می کند. علاوه بر این، اطلاعات مربوط به اولین خوشه های فایل های اجرایی را در بیت های یدکی ذخیره می کند و به جای این اطلاعات به خود مراجع می نویسد.

بنابراین، هنگامی که هر فایلی راه اندازی می شود، ویروس کنترل را دریافت می کند (سیستم عامل خود آن را راه اندازی می کند)، در حافظه قرار می گیرد و کنترل را به فایل فراخوانی منتقل می کند.

2.3. ویروس های فایل بوت

ما مدل ویروس بوت فایل را در نظر نخواهیم گرفت، زیرا در این مورد اطلاعات جدیدی یاد نخواهید گرفت. اما در اینجا فرصتی برای بحث مختصر در مورد ویروس OneHalf boot-file اخیراً بسیار "محبوب" است که بخش اصلی بوت (MBR) و فایل های اجرایی را آلوده می کند. اصلی ترین اقدام مخرب رمزگذاری بخش های هارد دیسک است. هر بار که این ویروس راه اندازی می شود، بخش دیگری از سکتورها را رمزگذاری می کند و پس از رمزگذاری نیمی از هارد دیسک، با خوشحالی این موضوع را اعلام می کند. مشکل اصلی در درمان این ویروس این است که تنها حذف ویروس از MBR و فایل ها کافی نیست، بلکه باید اطلاعات رمزگذاری شده توسط آن را رمزگشایی کرد. مرگبارترین اقدام این است که به سادگی یک MBR سالم جدید را بازنویسی کنید. نکته اصلی - وحشت نکنید. همه چیز را با آرامش وزن کنید، با کارشناسان مشورت کنید.

2.4. ویروس های چند شکلی

بیشتر سوالات مربوط به اصطلاح "ویروس چند شکلی" است. این نوع ویروس کامپیوتری تا حد زیادی خطرناک ترین است. بیایید توضیح دهیم که چیست.

ویروس های چند شکلی ویروس هایی هستند که کد خود را در برنامه های آلوده به گونه ای تغییر می دهند که ممکن است دو نمونه از یک ویروس در یک بیت با هم مطابقت نداشته باشند.

این گونه ویروس ها نه تنها کد خود را با استفاده از مسیرهای رمزگذاری مختلف رمزگذاری می کنند، بلکه حاوی کد تولید رمزگذار و رمزگشا هستند که آنها را از ویروس های رمزگذاری معمولی متمایز می کند که می توانند قسمت هایی از کد خود را نیز رمزگذاری کنند، اما در عین حال دارای یک کد ثابت هستند. رمزگذار و رمزگشا.

ویروس‌های چند شکلی، ویروس‌هایی با رمزگشاهای خودتغییر شونده هستند. هدف از چنین رمزگذاری این است که اگر یک فایل آلوده و اصلی دارید، باز هم نمی توانید کد آن را با استفاده از جداسازی قطعات معمولی تجزیه و تحلیل کنید. این کد رمزگذاری شده است و مجموعه ای از دستورات بی معنی است. رمزگشایی توسط خود ویروس در زمان اجرا انجام می شود. در عین حال، گزینه ها ممکن است: او می تواند خود را به یکباره رمزگشایی کند، یا می تواند چنین رمزگشایی را "در حال حرکت" انجام دهد، او دوباره می تواند بخش های از قبل کار شده را رمزگذاری کند. همه این کارها به این دلیل انجام می شود که تجزیه و تحلیل کد ویروس را دشوار کند.

3. تاریخچه ویروس شناسی کامپیوتری و علل ویروس ها

تاریخ ویروس شناسی رایانه ای امروزه به نظر می رسد یک "مسابقه برای رهبر" دائمی باشد، و با وجود قدرت کامل برنامه های ضد ویروس مدرن، این ویروس ها هستند که رهبران هستند. در میان هزاران ویروس، تنها چند ده مورد از پیشرفت‌های اصلی هستند که از ایده‌های کاملاً جدید استفاده می‌کنند. همه موارد دیگر "تغییرات در یک موضوع" هستند. اما هر توسعه اولیه، سازندگان آنتی ویروس ها را مجبور می کند تا خود را با شرایط جدید وفق دهند، تا با فن آوری ویروس مقابله کنند. مورد دوم قابل بحث است. به عنوان مثال، در سال 1989، یک دانشجوی آمریکایی موفق شد ویروسی ایجاد کند که حدود 6000 کامپیوتر وزارت دفاع ایالات متحده را از کار انداخت. یا اپیدمی ویروس معروف Dir-II که در سال 1991 شیوع پیدا کرد. این ویروس از یک واقعا اصلی استفاده کرد، اساسا تکنولوژی جدیدو در ابتدا به دلیل نقص ابزارهای سنتی ضد ویروس توانست به طور گسترده گسترش یابد.

یا شیوع ویروس های کامپیوتری در بریتانیا: کریستوفر پاین موفق شد ویروس های Pathogen و Queeq و همچنین ویروس Smeg را ایجاد کند. این دومی خطرناک‌ترین بود، می‌توان آن را روی دو ویروس اول اعمال کرد و به همین دلیل، پس از هر بار اجرای برنامه، پیکربندی را تغییر می‌دادند. بنابراین، تخریب آنها غیرممکن بود. برای انتشار ویروس، پاین بازی‌ها و برنامه‌های رایانه‌ای را کپی می‌کرد، آنها را آلوده می‌کرد و سپس دوباره به شبکه می‌فرستاد. کاربران برنامه های آلوده را به رایانه های خود و دیسک های آلوده دانلود کردند. وضعیت با این واقعیت تشدید شد که Pine موفق شد ویروس ها را وارد برنامه ای کند که با آنها مبارزه می کند. با اجرای آن، کاربران به جای از بین بردن ویروس، ویروس دیگری دریافت کردند. در نتیجه، پرونده های بسیاری از شرکت ها از بین رفت، زیان ها به میلیون ها پوند رسید.

موریس برنامه نویس آمریکایی به طور گسترده ای شناخته شده است. او به عنوان خالق ویروسی شناخته می شود که در نوامبر 1988 حدود 7000 کامپیوتر شخصی متصل به اینترنت را آلوده کرد.

دلایل پیدایش و گسترش ویروس‌های رایانه‌ای از یک سو در روان‌شناسی شخصیت انسان و جنبه‌های سایه آن (حسادت، انتقام، غرور خالقان ناشناخته، ناتوانی در به کارگیری سازنده توانایی‌های آنها) نهفته است. از طرف دیگر به دلیل عدم حفاظت سخت افزاری و مقابله با اتاق عمل سیستم های کامپیوتر شخصی.

4. راه های نفوذ ویروس ها به کامپیوتر و مکانیسم توزیع برنامه های ویروس

راه های اصلی ورود ویروس ها به کامپیوتر دیسک های قابل جابجایی (فلاپی و لیزری) و همچنین شبکه های کامپیوتر. آلودگی هارد دیسک با ویروس ممکن است زمانی رخ دهد که یک برنامه از فلاپی دیسک حاوی ویروس بارگذاری شود. چنین عفونتی همچنین می تواند تصادفی باشد، به عنوان مثال، اگر فلاپی دیسک از درایو A حذف نشود و رایانه مجدداً راه اندازی شود، در حالی که فلاپی دیسک ممکن است یک دیسک سیستمی نباشد. آلوده کردن فلاپی دیسک بسیار ساده تر است. حتی اگر فلاپی دیسک به سادگی در درایو دیسک رایانه آلوده قرار داده شود و به عنوان مثال فهرست محتویات آن خوانده شود، ویروس می تواند به آن نفوذ کند.

ویروس معمولا عفونی می کند برنامه کاریبه گونه ای که هنگام راه اندازی ابتدا کنترل به آن منتقل شده و تنها پس از اجرای تمامی دستورات آن دوباره به برنامه کاری باز می گردد. پس از دسترسی به کنترل، ویروس ابتدا خود را در یک برنامه کاری دیگر بازنویسی می کند و آن را آلوده می کند. پس از اجرای یک برنامه حاوی ویروس، امکان آلوده کردن سایر فایل ها وجود دارد. بیشتر اوقات، بخش بوت دیسک و فایل های اجرایی با پسوندهای EXE، COM، SYS، BAT به ویروس آلوده می شوند. فایل های متنی به ندرت آلوده می شوند.

پس از آلوده شدن برنامه، ویروس می تواند نوعی خرابکاری انجام دهد، نه خیلی جدی تا توجه را جلب نکند. و در نهایت فراموش نکنید که کنترل را به برنامه ای که از آن راه اندازی شده است برگردانید. هر اجرای یک برنامه آلوده ویروس را به برنامه بعدی منتقل می کند. بنابراین، تمام نرم افزارها آلوده خواهند شد.

برای نشان دادن روند عفونت برنامه کامپیوتریبه عنوان یک ویروس، منطقی است که ذخیره سازی دیسک را به یک آرشیو قدیمی با پوشه های روی نوار تشبیه کنیم. پوشه ها حاوی برنامه هستند و توالی عملیات برای معرفی ویروس در این مورد به این صورت خواهد بود (به پیوست 1 مراجعه کنید)

5. علائم ویروس ها

هنگامی که رایانه ای به ویروس آلوده می شود، شناسایی آن مهم است. برای انجام این کار، باید در مورد علائم اصلی تظاهرات ویروس ها بدانید. این موارد شامل موارد زیر است:

¨ خاتمه کار یا عملکرد نادرست برنامه هایی که قبلاً با موفقیت کار می کردند

¨ کند شدن عملکرد کامپیوتر

¨ عدم توانایی در بوت شدن سیستم عامل

¨ ناپدید شدن فایل ها و دایرکتوری ها یا تحریف محتوای آنها

¨ تاریخ و زمان اصلاح فایل ها را تغییر دهید

¨ تغییر اندازه فایل

¨ افزایش غیرمنتظره زیاد در تعداد فایل های روی دیسک

¨ کاهش قابل توجهی در اندازه رم آزاد

¨ نمایش پیام ها یا تصاویر غیرمنتظره بر روی صفحه نمایش

¨ دادن سیگنال های صوتی پیش بینی نشده

¨ فریز مکرر و خرابی کامپیوتر

لازم به ذکر است که پدیده های فوق لزوماً ناشی از وجود ویروس نیست، بلکه ممکن است ناشی از علل دیگر باشد. بنابراین، تشخیص درست وضعیت رایانه همیشه دشوار است.

6. شناسایی ویروس و اقدامات حفاظتی و پیشگیری

6.1. چگونه یک ویروس را تشخیص دهیم ? رویکرد سنتی

بنابراین، یک ویروس نویس خاص یک ویروس ایجاد می کند و آن را وارد "زندگی" می کند. برای مدتی ممکن است آزادانه راه برود، اما دیر یا زود "لافا" به پایان می رسد. کسی مشکوک خواهد شد که چیزی اشتباه است. ویروس ها معمولا یافت می شوند کاربران عادیکه متوجه ناهنجاری های خاصی در رفتار کامپیوتر می شوند. آنها در بیشتر موارد به تنهایی قادر به مقابله با عفونت نیستند، اما این مورد از آنها لازم نیست.

فقط لازم است که ویروس در اسرع وقت به دست متخصصان برسد. متخصصان آن را مطالعه می کنند، متوجه می شوند "چه کار می کند"، "چگونه انجام می دهد"، "چه زمانی انجام می دهد" و غیره. در فرآیند چنین کاری، تمام اطلاعات لازم در مورد این ویروس جمع آوری می شود، به ویژه امضای ویروس. برجسته شده است - دنباله ای از بایت ها که آن را کاملاً واضح تعریف می کند. برای ساخت یک امضا معمولا مهمترین و مشخص ترین قسمت های کد ویروس گرفته می شود. در همان زمان، مکانیسم های نحوه عملکرد ویروس مشخص می شود، به عنوان مثال، در مورد یک ویروس بوت، مهم است که بدانیم دم خود را در کجا پنهان می کند، بخش بوت اصلی در کجا قرار دارد و در مورد یک فایل یک، چگونه فایل آلوده می شود. اطلاعات به دست آمده به ما این امکان را می دهد که بفهمیم:

نحوه تشخیص ویروس، برای این، روش هایی برای جستجوی امضا در اشیاء احتمالی حمله ویروس - فایل ها و / یا بخش های بوت مشخص شده است.

نحوه خنثی سازی ویروس، در صورت امکان، الگوریتم هایی برای حذف کد ویروس از اشیاء آسیب دیده در حال توسعه است

6.2. برنامه های شناسایی و محافظت از ویروس

برای شناسایی، حذف و محافظت در برابر ویروس های رایانه ای، چندین نوع برنامه ویژه ایجاد شده است که به شما امکان می دهد ویروس ها را شناسایی و از بین ببرید. چنین برنامه هایی نامیده می شوند ضد ویروس . انواع برنامه های آنتی ویروس زیر وجود دارد:

برنامه ها - آشکارسازها

برنامه ها - پزشکان یا فاژها

حسابرسان برنامه

برنامه های فیلتر

برنامه های واکسن یا ایمن سازها

برنامه ها - آشکارسازهاجستجوی مشخصه امضای یک ویروس خاص را در حافظه رم و فایل ها انجام دهید و در صورت شناسایی، پیام مناسبی را صادر کنید. عیب چنین برنامه های ضد ویروسی این است که فقط می توانند ویروس هایی را پیدا کنند که برای توسعه دهندگان چنین برنامه هایی شناخته شده باشند.

برنامه های دکتریا فاژها، همچنین برنامه های واکسننه تنها فایل های آلوده به ویروس را پیدا کنید، بلکه آنها را "درمان" کنید، به عنوان مثال. بدنه برنامه ویروس از فایل حذف می شود و فایل ها به حالت اولیه خود باز می گردند. فاژها در ابتدای کار خود به دنبال ویروس ها در RAM می گردند و آنها را از بین می برند و تنها پس از آن به "درمان" پرونده ها می پردازند. در بین فاژها، پلی فاژها متمایز می شوند، یعنی. برنامه های پزشک که برای یافتن و از بین بردن تعداد زیادی ویروس طراحی شده اند. معروف ترین آنها عبارتند از: Aidstest، Scan، آنتی ویروس نورتون, دکتر وب.

با توجه به اینکه ویروس‌های جدید دائماً ظاهر می‌شوند، برنامه‌های تشخیص و برنامه‌های پزشک به سرعت قدیمی می‌شوند و به‌روزرسانی‌های منظم لازم است.

برنامه های حسابرسیکی از مطمئن ترین ابزارهای محافظت در برابر ویروس ها هستند. ممیزان وضعیت اولیه برنامه ها، دایرکتوری ها و نواحی سیستم دیسک را زمانی که کامپیوتر به ویروس آلوده نمی شود به یاد می آورند و سپس به صورت دوره ای یا بنا به درخواست کاربر، وضعیت فعلی را با حالت اصلی مقایسه می کنند. تغییرات شناسایی شده روی صفحه نمایشگر نمایش داده می شود. به عنوان یک قاعده، حالت ها بلافاصله پس از بارگیری سیستم عامل مقایسه می شوند. هنگام مقایسه، طول فایل، کد کنترل چرخه ای (جمع چک فایل)، تاریخ و زمان اصلاح و سایر پارامترها بررسی می شود. برنامه‌های حسابرسی الگوریتم‌های نسبتاً پیشرفته‌ای دارند، ویروس‌های مخفی را شناسایی می‌کنند و حتی می‌توانند تغییرات نسخه برنامه در حال بررسی را از تغییرات ایجاد شده توسط ویروس پاک کنند. از جمله برنامه های حسابرسان، برنامه Adinf است که به طور گسترده در روسیه استفاده می شود.

فیلتر کردن برنامه هایا "نگهبان"برنامه‌های مقیم کوچکی هستند که برای شناسایی فعالیت‌های رایانه‌ای مشکوک که مشخصه ویروس‌ها هستند، طراحی شده‌اند. چنین اقداماتی ممکن است:

تلاش برای تصحیح فایل ها با پسوندهای COM، EXE

تغییر ویژگی های فایل

نوشتن مستقیم روی دیسک در آدرس مطلق

در بخش های بوت دیسک بنویسید

هنگامی که هر برنامه ای سعی می کند اقدامات مشخص شده را انجام دهد، "نگهبان" پیامی را برای کاربر ارسال می کند و پیشنهاد می کند که عمل مربوطه را ممنوع یا مجاز کند. برنامه های فیلتر بسیار مفید هستند، زیرا می توانند ویروس را در ابتدایی ترین مرحله وجودش قبل از تولید مثل شناسایی کنند. با این حال، آنها فایل ها و دیسک ها را "درمان" نمی کنند. برای از بین بردن ویروس ها باید از برنامه های دیگری مانند فاژها استفاده کنید. از مضرات برنامه‌های واچ داگ می‌توان به «آزار» آن‌ها اشاره کرد (مثلاً در مورد هرگونه تلاش برای کپی کردن یک فایل اجرایی هشدار می‌دهند)، و همچنین درگیری‌های احتمالی با نرم‌افزارهای دیگر. نمونه ای از یک برنامه فیلتر، برنامه Vsafe است که بخشی از بسته ابزار MS DOS است.

واکسن هایا ایمن سازهابرنامه های مقیمی هستند که از عفونت فایل ها جلوگیری می کنند. در صورتی که هیچ برنامه پزشکی برای "درمان" این ویروس وجود نداشته باشد، از واکسن ها استفاده می شود. واکسیناسیون فقط در برابر ویروس های شناخته شده امکان پذیر است. واکسن برنامه یا دیسک را به گونه ای تغییر می دهد که روی کار آنها تأثیری نداشته باشد و ویروس آنها را آلوده تشخیص دهد و بنابراین ریشه نمی دهد. برنامه های واکسن در حال حاضر کاربرد محدودی دارند.

شناسایی به موقع فایل‌ها و دیسک‌های آلوده به ویروس، از بین بردن کامل ویروس‌های شناسایی شده در هر رایانه، به جلوگیری از انتشار یک ویروس همه‌گیر به رایانه‌های دیگر کمک می‌کند.

6.3. اقدامات اساسی برای محافظت در برابر ویروس ها

برای جلوگیری از آلوده شدن رایانه به ویروس و اطمینان از ذخیره سازی امناطلاعات روی دیسک ها، قوانین زیر باید رعایت شود:

¨ رایانه خود را به برنامه های ضد ویروس به روز مانند Aidstest، Doctor Web مجهز کنید و نسخه های آنها را دائماً به روز کنید.

¨ قبل از خواندن اطلاعات ذخیره شده در رایانه های دیگر از فلاپی دیسک، همیشه با اجرای برنامه های ضد ویروس بر روی رایانه خود، این دیسکت ها را از نظر ویروس بررسی کنید.

¨ هنگام انتقال فایل‌های بایگانی شده به رایانه، بلافاصله پس از باز کردن فایل‌های فشرده روی دیسک سخت، آن‌ها را بررسی کنید، و محدوده بررسی را فقط به فایل‌های تازه ضبط شده محدود کنید.

¨ به طور دوره ای ویروس ها را بررسی کنید دیسکهای سختکامپیوتر با اجرای برنامه های ضد ویروس برای آزمایش فایل ها، حافظه و مناطق سیستمی دیسک ها از یک فلاپی دیسک محافظت شده از نوشتن، پس از بارگیری سیستم عامل از یک دیسکت سیستم محافظت شده از نوشتن.

¨ همیشه بنویسید که از فلاپی دیسک های خود هنگام کار بر روی رایانه های دیگر محافظت کنید، اگر آنها روی اطلاعات نوشته نمی شوند

¨ حتماً کپی های آرشیوی را روی دیسکت های اطلاعات ارزشمند برای شما تهیه کنید

¨ هنگام روشن یا راه اندازی مجدد سیستم عامل، فلاپی دیسک را در جیب درایو A نگذارید تا از آلوده شدن رایانه به ویروس های بوت جلوگیری کنید.

¨ از برنامه های ضد ویروس برای کنترل ورودی تمامی فایل های اجرایی دریافتی از شبکه های کامپیوتری استفاده کنید

¨ برای اطمینان از امنیت بیشتر، استفاده از Aidstest و Doctor Web باید با استفاده روزانه از حسابرس دیسک Adinf ترکیب شود.

نتیجه

بنابراین می‌توان به حقایق زیادی اشاره کرد که نشان می‌دهد تهدید منابع اطلاعاتی هر روز در حال افزایش است و مسئولان بانک‌ها، بنگاه‌ها و شرکت‌ها را در سرتاسر جهان دچار وحشت می‌کند. و این تهدید از ویروس‌های رایانه‌ای ناشی می‌شود که اطلاعات حیاتی و ارزشمند را تحریف یا نابود می‌کنند، که می‌تواند نه تنها منجر به خسارات مالی، بلکه منجر به تلفات انسانی شود.

ویروس کامپیوتری - یک برنامه نوشته شده ویژه که می تواند به طور خود به خود به برنامه های دیگر متصل شود، از خود کپی ایجاد کند و آنها را در فایل ها، مناطق سیستم کامپیوتری و در شبکه های کامپیوتربه منظور ایجاد اختلال در عملکرد برنامه ها، آسیب رساندن به فایل ها و دایرکتوری ها، ایجاد انواع تداخل در عملکرد رایانه.

در حال حاضر بیش از 5000 ویروس نرم افزاری شناخته شده است که تعداد آنها دائما در حال افزایش است. مواردی وجود دارد که آموزش هایی برای کمک به نوشتن ویروس ها ایجاد شده است.

انواع اصلی ویروس ها: بوت، فایل، فایل بوت. خطرناک ترین نوع ویروس چند شکلی است.

از تاریخچه ویروس شناسی رایانه، واضح است که هر توسعه رایانه ای اصلی، سازندگان آنتی ویروس ها را مجبور می کند تا با فناوری های جدید سازگار شوند، برنامه های آنتی ویروس را دائماً بهبود بخشند.

دلایل ظهور و انتشار ویروس ها از یک سو در روانشناسی انسان و از سوی دیگر با عدم وجود محافظت در سیستم عامل پنهان است.

راه های اصلی برای نفوذ ویروس ها درایوهای قابل جابجایی و شبکه های کامپیوتری است. برای جلوگیری از این اتفاق، اقدامات احتیاطی را انجام دهید. همچنین انواع مختلفی از برنامه های ویژه به نام برنامه های آنتی ویروس برای شناسایی، حذف و محافظت در برابر ویروس های رایانه ای ساخته شده است. اگر هنوز یک ویروس در رایانه خود پیدا کردید، پس با توجه به رویکرد سنتی، بهتر است با یک متخصص تماس بگیرید تا بتواند بیشتر آن را کشف کند.

اما برخی از ویژگی های ویروس ها حتی متخصصان را نیز متحیر می کند. تا همین اواخر، تصور اینکه ویروسی بتواند از راه‌اندازی مجدد سرد جان سالم به در ببرد یا از طریق فایل‌های سند منتشر شود، سخت بود. در چنین شرایطی، نمی توان حداقل به آموزش آنتی ویروس اولیه کاربران اهمیت نداد. با وجود جدی بودن مشکل، هیچ ویروسی به اندازه یک کاربر سفید شده با دستان لرزان قادر به ایجاد آسیب نیست!

بنابراین، سلامت رایانه های شما، ایمنی داده های شما - در دستان شما!

فهرست کتابشناختی

1. انفورماتیک: کتاب درسی / ویرایش. پروفسور N.V. ماکاروا. - م.: امور مالی و آمار، 1997.

2. دایره المعارف اسرار و محسوسات / تهیه شده. متن توسط Yu.N. پتروف - مینسک: ادبیات، 1996.

3. Bezrukov N.N. ویروس های کامپیوتری. - M.: Nauka، 1991.

4. Mostovoy D.Yu. فن آوری های مدرن برای مبارزه با ویروس ها // PC World. - شماره 8. - 1993.

اگرچه حفاظت از اطلاعات عمومی و اقدامات پیشگیرانه برای محافظت در برابر ویروس ها بسیار مهم است، استفاده از برنامه های تخصصی ضروری است. این برنامه ها را می توان به چند نوع تقسیم کرد:

• ? برنامه‌های آشکارساز بررسی می‌کنند که آیا فایل‌های روی دیسک حاوی ترکیب خاصی از بایت‌ها (امضا) برای یک ویروس شناخته شده هستند یا خیر و این را به کاربر گزارش می‌دهند (VirusScan/SCAN/McAfee Associates).
• ? برنامه های دکتر یا فاژها برنامه های آلوده را با "گزیدن" بدن ویروس از برنامه های آلوده، هم با و هم بدون بازسازی زیستگاه (فایل آلوده) - ماژول درمان برنامه SCAN - برنامه CLEAN "درمان" می کنند.
• ? برنامه های Doctor-detector (Lozinsky's Aidstest، Danilov's Doctor Web، MSAV، Norton Antivirus، Kaspersky's AVP) می توانند وجود یک ویروس شناخته شده را بر روی دیسک تشخیص دهند و فایل آلوده را درمان کنند. رایج ترین گروه از برنامه های آنتی ویروس امروزه.

در بسیار مورد سادهدستور بررسی محتویات دیسک برای ویروس ها به این صورت است: aidstest / key1 / key 2 / key 3 /---

• ? برنامه‌های فیلتر (watchmen) در رم رایانه شخصی قرار دارند و تماس‌های سیستم‌عاملی را که توسط ویروس‌ها برای تکثیر و ایجاد آسیب استفاده می‌شوند را رهگیری می‌کنند و به کاربر گزارش می‌دهند:
• - تلاش برای خراب کردن فایل اصلی سیستم عامل COMMAND.COM.
• - تلاش برای نوشتن مستقیم روی دیسک (رکورد قبلی حذف شده است)، در حالی که یک پیام نمایش داده می شود که برخی از برنامه ها در تلاش برای کپی کردن روی دیسک هستند.
• - قالب بندی دیسک،
• - قرار دادن ساکن برنامه در حافظه.

پس از شناسایی تلاش برای یکی از این اقدامات، برنامه فیلتر به کاربر توضیحی از وضعیت می دهد و از او می خواهد که تأیید کند. کاربر می تواند این عملیات را فعال یا غیرفعال کند. کنترل اقدامات مشخصه ویروس ها با جایگزینی کنترل کننده های وقفه های مربوطه انجام می شود. از معایب این برنامه‌ها می‌توان به نفوذی بودن (مثلاً نگهبان هشداری در مورد هرگونه تلاش برای کپی کردن یک فایل اجرایی صادر می‌کند)، درگیری‌های احتمالی با نرم‌افزارهای دیگر، دور زدن محافظ‌ها توسط برخی ویروس‌ها. نمونه هایی از فیلترها: Anti4us، Vsafe، Disk Monitor.

لازم به ذکر است که امروزه بسیاری از برنامه های کلاس پزشک آشکارساز دارای یک ماژول ساکن هستند - یک فیلتر (نگهبان)، به عنوان مثال، DR Web، AVP، Norton Antivirus. بنابراین، چنین برنامه‌هایی را می‌توان به‌عنوان ذخیره‌سازی آشکارساز پزشک طبقه‌بندی کرد.

• ? ابزارهای سخت افزاری و نرم افزاری آنتی ویروس (مجتمع سخت افزاری و نرم افزاری Sheriff). ابزارهای آنتی ویروس سخت افزاری و نرم افزاری همتراز برنامه های دیده بان هستند که محافظت مطمئن تری را در برابر نفوذ ویروس به سیستم ارائه می کنند. چنین مجتمع‌هایی از دو بخش تشکیل شده‌اند: سخت‌افزار که به شکل یک ریزمدار روی آن نصب می‌شود مادربردو نرم افزار، روی دیسک نوشته شده است. بخش سخت افزاری (کنترل کننده) تمام عملیات نوشتن روی دیسک را پیگیری می کند، بخش نرم افزاری که در آن قرار دارد. حافظه دسترسی تصادفیمقیم، تمام اطلاعات ورودی/خروجی را پیگیری می کند. با این حال، امکان استفاده از این ابزارها مستلزم بررسی دقیق از نظر پیکربندی تجهیزات اضافی مورد استفاده در رایانه شخصی، مانند کنترلرهای دیسک، مودم ها یا کارت های شبکه است.
• ? برنامه های حسابرسی (Adinf/Advanced Disk infoscope/با بلوک پخت ADinf Cure Module Bridge). حسابرسان برنامه دو مرحله کار دارند. ابتدا اطلاعات مربوط به وضعیت برنامه ها و مناطق سیستم دیسک را به خاطر می آورند ( بخش بوتو بخش هایی با جدول پارتیشن هارد دیسک). فرض بر این است که در حال حاضر برنامه ها و مناطق سیستمی دیسک ها آلوده نشده اند. سپس هنگام مقایسه نواحی و دیسک های سیستم با دیسک های اصلی، در صورت مشاهده مغایرت، به کاربر گزارش می شود. برنامه های حسابرسی قادر به شناسایی ویروس های نامرئی (STEALTH) هستند. بررسی طول یک فایل کافی نیست، برخی از ویروس ها طول فایل های آلوده را تغییر نمی دهند. یک بررسی قابل اعتمادتر خواندن کل فایل و محاسبه جمع چک آن (بیت به بیت) است. تغییر کل فایل به طوری که چک جمع آن ثابت بماند تقریبا غیرممکن است. معایب جزئی حسابرسان شامل این واقعیت است که برای امنیت باید به طور منظم از آنها استفاده شود، به عنوان مثال، روزانه از فایل AUTOEXEC.BAT فراخوانی شود. اما مزایای بدون شک آنها هستند سرعت بالاچک می کند و نیازی به به روز رسانی مکرر نسخه ندارد. نسخه های حسابرس، حتی شش ماه پیش، به طور قابل اعتماد ویروس های مدرن را شناسایی و حذف می کنند.
• ? برنامه واکسن ها یا ایمن سازها (CPAV). برنامه‌های واکسن، برنامه‌ها و دیسک‌ها را طوری تغییر می‌دهند که بر عملکرد برنامه‌ها تأثیری نداشته باشد، اما ویروسی که واکسیناسیون علیه آن انجام می‌شود، این برنامه‌ها و دیسک‌ها را قبلاً آلوده می‌داند. این برنامه ها به اندازه کافی کارآمد نیستند.

به طور متعارف، استراتژی محافظت در برابر ویروس را می توان به عنوان یک دفاع "لایه ای" چند سطحی تعریف کرد. از نظر ساختاری، ممکن است به این شکل باشد. ابزارهای شناسایی در "دفاع" در برابر ویروس ها با برنامه های آشکارساز مطابقت دارد که به شما امکان می دهد نرم افزار تازه دریافت شده را برای حضور ویروس ها تعیین کنید. در خط مقدم دفاع، برنامه های فیلتری قرار دارند که در آن ساکن هستند حافظه کامپیوتر. این برنامه ها می توانند اولین برنامه هایی باشند که عملکرد ویروس را گزارش می دهند. دومین رده «دفاع» از برنامه های حسابرسی تشکیل شده است. ممیزان حمله ویروس را حتی زمانی که موفق به "نشت" از طریق خط مقدم دفاع می شود، تشخیص می دهند. اگر نسخه ای از برنامه آلوده در آرشیو نباشد، از برنامه های Doctor برای بازیابی برنامه های آلوده استفاده می شود، اما همیشه به درستی درمان نمی شوند. پزشکان - حسابرسان حمله ویروس را تشخیص داده و برنامه های آلوده را درمان می کنند و صحت درمان را کنترل می کنند. عمیق ترین لایه دفاعی ابزار کنترل دسترسی است. آنها اجازه نمی دهند ویروس ها و برنامه های بد رفتار، حتی اگر به رایانه شخصی نفوذ کرده باشند، داده های مهم را خراب کنند. "ذخیره استراتژیک" حاوی نسخه های آرشیوی اطلاعات و دیسکت های "مرجع" با محصولات نرم افزاری است. آنها به شما امکان می دهند در صورت آسیب دیدن اطلاعات را بازیابی کنید.

اثرات مضر هر نوع ویروس می تواند بسیار متنوع باشد. این شامل حذف فایل‌های مهم یا حتی «سیستم‌افزار» بایوس و انتقال اطلاعات شخصی مانند رمزهای عبور به یک آدرس خاص، سازمان‌دهی ایمیل‌های غیرمجاز و حملات به برخی سایت‌ها است. همچنین امکان شروع شماره گیری از طریق وجود دارد تلفن همراهبه شماره های حق بیمه خدمات رفاهی مدیریت پنهان(backdoor) حتی می تواند کنترل کامل کامپیوتر را به مهاجم بدهد. خوشبختانه با تمام این مشکلات می توان با موفقیت کنار آمد و سلاح اصلی در این مبارزه البته نرم افزار ضد ویروس خواهد بود.

آنتی ویروس کسپرسکی شاید «آنتی ویروس کسپرسکی» معروف ترین محصول از این نوع در روسیه باشد و نام «کسپرسکی» مترادف با یک مبارز علیه کدهای مخرب شده باشد. آزمایشگاهی به همین نام نه تنها نسخه های جدید نرم افزار امنیتی خود را به طور مداوم منتشر می کند، بلکه در بین کاربران رایانه نیز کار آموزشی انجام می دهد. آخرین و نهمین نسخه آنتی ویروس کسپرسکی، مانند نسخه های قبلی، دارای یک رابط ساده و شفاف است که همه ابزارهای ضروری را در یک پنجره ترکیب می کند. به لطف جادوگر نصب و گزینه های منوی بصری، حتی یک کاربر تازه کار نیز می تواند این محصول را راه اندازی کند. قدرت الگوریتم های مورد استفاده حرفه ای ها را نیز راضی خواهد کرد. شرح دقیق هر یک از ویروس های شناسایی شده را می توان با تماس مستقیم با صفحه مربوطه در اینترنت به طور مستقیم از برنامه پیدا کرد.

دکتر. وب یکی دیگر از آنتی ویروس های محبوب روسی که از نظر محبوبیت رقیب آنتی ویروس کسپرسکی است Dr. وب نسخه آزمایشی آن یک ویژگی جالب دارد: نیاز به ثبت نام اجباری از طریق اینترنت دارد. از یک طرف، این بسیار خوب است - بلافاصله پس از ثبت نام، پایگاه داده های آنتی ویروس به روز می شوند و کاربر آخرین داده ها را در مورد امضاها دریافت می کند. از سوی دیگر، نصب نسخه آزمایشی به صورت آفلاین غیرممکن است و همانطور که تجربه نشان داده است، مشکلات با اتصال ناپایدار اجتناب ناپذیر هستند.

آنتی ویروس پاندا + فایروال 2007. راه حل کاملدر زمینه امنیت کامپیوتر - بسته Panda Antivirus + Firewall 2007 - علاوه بر برنامه آنتی ویروس، شامل یک فایروال است که نظارت می کند فعالیت شبکه. رابط پنجره اصلی برنامه با رنگ های سبز "طبیعی" طراحی شده است، اما، با وجود جذابیت خارجی، سیستم ناوبری منو به طور نامناسبی ساخته شده است و یک کاربر تازه کار ممکن است در تنظیمات گیج شود.

بسته پاندا شامل چندین راه حل اصلی به طور همزمان است، مانند TruePrevent، یک فناوری اختصاصی برای جستجوی تهدیدات ناشناخته، بر اساس مدرن ترین الگوریتم های اکتشافی. ارزش توجه به ابزار برای یافتن آسیب پذیری های رایانه را دارد - خطر "حفره ها" را در سیستم امنیتی ارزیابی می کند و پیشنهاد می کند به روز رسانی های لازم را دانلود کنید.

Norton Antivirus 2005. برداشت اصلی محصول شرکت معروف Symantec - مجموعه آنتی ویروس Norton Antivirus 2005 - تمرکز آن بر روی سیستم های محاسباتی قدرتمند است. پاسخ رابط Norton Antivirus 2005 به اقدامات کاربر به طور قابل توجهی با تاخیر مواجه می شود. علاوه بر این، در حین نصب، الزامات نسبتاً سختی را بر روی نسخه های سیستم عامل و اینترنت اکسپلورر. برخلاف Dr.Web، آنتی ویروس نورتون نیازی به به روز رسانی اجباری پایگاه داده های ویروس در حین نصب ندارد، اما به شما یادآوری می کند که در تمام مدت کارکرد قدیمی هستند.

McAfee VirusScan. یک محصول ضد ویروس جالب McAfee VirusScan که به گفته توسعه دهندگان آن اسکنر شماره 1 در جهان است، برای آزمایش انتخاب شد زیرا در بین برنامه های مشابه به دلیل حجم گسترده توزیع (بیش از 40 مگابایت) متمایز بود. با فرض اینکه این مقدار به دلیل عملکرد گسترده است، نصب را ادامه دادیم و متوجه شدیم که علاوه بر اسکنر ضد ویروس، دارای یک فایروال و همچنین ابزارهایی برای تمیز کردن هارد دیسک و حذف تضمینی اشیا از هارد است. درایو (پرنده فایل).

سوالات فصل 6 و 7

• 1. مراحل توسعه ابزارها و فناوری های امنیت اطلاعات.
• 2. اجزای مدل امنیتی استاندارد.
• 3. منابع تهدیدات امنیتی و طبقه بندی آنها.
• 4. تهدیدهای غیر عمدی برای امنیت اطلاعات.
• 5. تهدیدهای عمدی برای امنیت اطلاعات.
• 6. طبقه بندی کانال های نشت اطلاعات.
• 7. تنظیم مشکلات امنیت اطلاعات.
• 8. ساختار سیستم دولتیحفاظت از اطلاعات
• 9. روش ها و وسایل حفاظت از اطلاعات.
• 10. طبقه بندی تهدیدات امنیت داده ها.
• 11. روش های محافظت از اطلاعات در برابر ویروس ها.
• 12. روش های کنترل یکپارچگی.
• 13. طبقه بندی ویروس های کامپیوتری.
• 14. وسایل حفاظت در برابر ویروس ها.
• 15. اقدامات ضد ویروسی پیشگیرانه.
• 16. طبقه بندی محصولات نرم افزاری ضد ویروس.

روش های اساسی برای شناسایی ویروس ها

برنامه های آنتی ویروس به موازات تکامل ویروس ها تکامل یافته اند. با ظهور فن آوری های جدید برای ایجاد ویروس ها، دستگاه ریاضی که در توسعه آنتی ویروس ها استفاده می شد پیچیده تر شد.

اولین الگوریتم های ضد ویروس بر اساس مقایسه با استاندارد ساخته شدند. ما در مورد برنامه هایی صحبت می کنیم که در آنها ویروس توسط هسته کلاسیک توسط مقداری ماسک تعیین می شود. منظور از الگوریتم استفاده از روش های آماری است. ماسک باید از یک طرف کوچک باشد تا اندازه فایل قابل قبول باشد و از طرف دیگر به اندازه کافی بزرگ باشد تا از مثبت کاذب جلوگیری شود (زمانی که "دوست" به عنوان "بیگانه" درک می شود، و بالعکس).

اولین برنامه های ضد ویروس ساخته شده بر اساس این اصل (به اصطلاح اسکنرهای پلی فاژ) تعداد معینی از ویروس ها را می شناختند و قادر به درمان آنها بودند. این برنامه ها به شرح زیر ساخته شده اند: توسعه دهنده با دریافت کد ویروس (کد ویروس در ابتدا ثابت بود)، یک ماسک منحصر به فرد از این کد (توالی 10-15 بایت) را جمع آوری کرده و آن را در پایگاه داده آنتی ویروس وارد می کند. -برنامه ویروس برنامه آنتی ویروس فایل ها را اسکن کرد و اگر این توالی از بایت ها را پیدا کرد، به این نتیجه رسید که فایل آلوده است. این توالی (امضا) به گونه ای انتخاب شد که منحصر به فرد بود و در یک مجموعه داده معمولی رخ نمی داد.

رویکردهای توصیف شده توسط اکثر برنامه های ضد ویروس تا اواسط دهه 90 استفاده می شد، زمانی که اولین ویروس های چند شکل ظاهر شدند که بدن خود را طبق الگوریتم هایی که از قبل غیرقابل پیش بینی بودند تغییر دادند. در آن زمان، روش امضا توسط به اصطلاح شبیه ساز پردازنده تکمیل شد، که امکان یافتن ویروس های رمزگذاری شده و چند شکلی را فراهم می کرد که به صراحت دارای امضای دائمی نبودند.

اصل شبیه سازی پردازنده در شکل نشان داده شده است. یکی . اگر معمولاً یک زنجیره شرطی از سه عنصر اصلی تشکیل شده است: CPU®OS®Program، پس هنگام شبیه‌سازی یک پردازنده، یک شبیه‌ساز به چنین زنجیره‌ای اضافه می‌شود. شبیه ساز، همانطور که بود، کار برنامه را در فضای مجازی بازتولید می کند و محتوای اصلی آن را بازسازی می کند. شبیه ساز همیشه قادر به قطع است اجرای برنامه، اعمال خود را کنترل می کند و اجازه نمی دهد چیزی خراب شود و موتور اسکن آنتی ویروس را فرا می خواند.

مکانیسم دوم که در اواسط دهه 90 ظاهر شد و توسط همه آنتی ویروس ها استفاده می شود، این است تحلیل اکتشافی. واقعیت این است که دستگاه شبیه سازی پردازنده، که به شما امکان می دهد خلاصه ای از اقدامات انجام شده توسط برنامه تجزیه و تحلیل شده را به دست آورید، همیشه جستجوی این اقدامات را ممکن نمی کند، اما به شما امکان می دهد برخی از تجزیه و تحلیل ها را انجام دهید و فرضیه ای مانند این را مطرح کنید. "ویروس یا ویروس نیست؟"

در این مورد تصمیم گیری بر اساس رویکردهای آماری است. و برنامه مربوطه را تحلیلگر اکتشافی می نامند.

برای تولید مثل، یک ویروس باید اقدامات خاصی را انجام دهد: کپی کردن در حافظه، نوشتن در بخش ها و غیره. تحلیلگر اکتشافی (که بخشی از موتور ضد ویروس است) حاوی لیستی از این اقدامات است، کد برنامه در حال اجرا را بررسی می کند، تعیین می کند که چه کاری انجام می دهد، و بر اساس آن تصمیم می گیرد که آیا این برنامهویروس یا نه

در عین حال، درصد پرش ویروس، حتی برای برنامه آنتی ویروس ناشناخته، بسیار ناچیز است. این تکنولوژیدر حال حاضر به طور گسترده در تمام برنامه های ضد ویروس استفاده می شود.

طبقه بندی برنامه های آنتی ویروس

برنامه های ضد ویروس به دو دسته آنتی ویروس های خالص و آنتی ویروس های دو منظوره طبقه بندی می شوند (شکل 2).

آنتی ویروس های خالص با وجود یک موتور آنتی ویروس که عملکرد اسکن توسط الگوها را انجام می دهد متمایز می شوند. نکته اساسی در این مورد این است که درمان در صورت شناخته شدن ویروس امکان پذیر است. آنتی ویروس های خالص نیز به نوبه خود با توجه به نوع دسترسی به فایل ها به دو دسته تقسیم می شوند: آنهایی که دسترسی را کنترل می کنند (در صورت دسترسی) یا درخواستی (در صورت تقاضا). به طور معمول، محصولات در دسترس را مانیتور و محصولات در صورت تقاضا را اسکنر می نامند.

محصول مورد تقاضا طبق طرح زیر کار می کند: کاربر می خواهد چیزی را بررسی کند و یک درخواست (تقاضا) صادر می کند که پس از آن بررسی انجام می شود. محصول در دسترسی یک برنامه مقیم است که دسترسی را نظارت می کند و در زمان دسترسی بررسی می کند.

علاوه بر این، برنامه های آنتی ویروس، مانند ویروس ها، بسته به پلتفرمی که در آن قرار دارند، می توانند تقسیم شوند این آنتی ویروسآثار. از این نظر، در کنار ویندوز یا لینوکس، پلتفرم‌ها می‌توانند شامل Microsoft Exchange Server، مایکروسافت آفیس، یادداشت های لوتوس.

برنامه های دو منظوره برنامه هایی هستند که هم در نرم افزارهای آنتی ویروس و هم در نرم افزارهای غیر آنتی ویروس استفاده می شوند. به عنوان مثال، CRC-checker - یک بازرس تغییرات مبتنی بر جمع کنترل - می تواند نه تنها برای گرفتن ویروس ها استفاده شود. انواع برنامه های دو منظوره مسدود کننده های رفتاری هستند که رفتار سایر برنامه ها را تجزیه و تحلیل می کنند و در صورت شناسایی اقدامات مشکوک، آنها را مسدود می کنند. مسدود کننده های رفتاری با یک آنتی ویروس کلاسیک با هسته آنتی ویروس متفاوت است که ویروس هایی را که در آزمایشگاه آنالیز شده اند و برای آنها الگوریتم درمانی تجویز شده است، شناسایی و درمان می کند، مسدود کننده های رفتاری نمی دانند چگونه ویروس ها را درمان کنند، زیرا آنها چیزی در مورد آنها نمی دانند. این خاصیت مسدود کننده ها به آنها اجازه می دهد با هر ویروسی، از جمله ویروس های ناشناخته، کار کنند. این موضوع امروزه اهمیت ویژه ای دارد، زیرا توزیع کنندگان ویروس ها و آنتی ویروس ها از کانال های انتقال داده یکسان، یعنی اینترنت استفاده می کنند. در عین حال، شرکت آنتی ویروس همیشه به زمان نیاز دارد تا خود ویروس را دریافت کند، آن را تجزیه و تحلیل کند و ماژول های درمانی مناسب را بنویسد. برنامه های گروه دو منظوره فقط به شما اجازه می دهند تا زمانی که شرکت یک ماژول درمانی بنویسد، از انتشار ویروس جلوگیری کنید.

مروری بر محبوب ترین آنتی ویروس های شخصی

این بررسی شامل محبوب ترین آنتی ویروس ها برای استفاده شخصی از پنج توسعه دهنده معروف است. لازم به ذکر است که برخی از شرکت های مورد بحث در زیر چندین نسخه از برنامه های شخصی را ارائه می دهند که از نظر عملکرد و بر این اساس از نظر قیمت متفاوت هستند. در بررسی خود، ما به یک محصول از هر شرکت نگاه کردیم و کاربردی ترین نسخه را انتخاب کردیم که به عنوان یک قاعده، Personal Pro نامیده می شود. سایر گزینه های آنتی ویروس شخصی را می توان در وب سایت های مربوطه یافت.

آنتی ویروس کسپرسکی

آزمایش شخصی 4.0

توسعه دهنده: آزمایشگاه کسپرسکی وب سایت: http://www.kaspersky.ru/. قیمت 69 دلار (مجوز برای 1 سال).

Kaspersky Anti-Virus Personal Pro (شکل 3) یکی از محبوب ترین راه حل ها است بازار روسیهو حاوی کل خطفن آوری های منحصر به فرد

Behavior Blocker ماژول Office Guard اجرای ماکروها را کنترل می کند و از همه اقدامات مشکوک جلوگیری می کند. وجود ماژول Office Guard محافظت 100% در برابر ویروس های ماکرو را فراهم می کند.

Inspector تمام تغییرات را در رایانه شما نظارت می کند و اگر تغییرات غیرمجاز در پرونده ها یا در آنها شناسایی شود رجیستری سیستمبه شما امکان می دهد محتویات دیسک را بازیابی کنید و کدهای مخرب را حذف کنید. بازرس نیازی به به روز رسانی پایگاه داده آنتی ویروس ندارد: کنترل یکپارچگی بر اساس گرفتن اثر انگشت فایل اصلی (CRC-sums) و مقایسه بعدی آنها با فایل های اصلاح شده انجام می شود. برخلاف سایر حسابرسان، Inspector از محبوب ترین فرمت های فایل اجرایی پشتیبانی می کند.

تجزیه و تحلیل اکتشافی این امکان را فراهم می کند که از رایانه شما حتی در برابر ویروس های ناشناخته محافظت کنید.

رهگیر ویروس پس زمینه مانیتور که به طور دائم در حافظه رایانه وجود دارد، اسکن آنتی ویروس همه فایل ها را درست در لحظه راه اندازی، ایجاد یا کپی انجام می دهد، که به شما امکان می دهد تمام عملیات فایل را کنترل کنید و حتی توسط پیشرفته ترین فناوری ها از عفونت جلوگیری کنید. ویروس ها

فیلتر کردن ایمیل آنتی ویروس از ورود ویروس ها به رایانه شما جلوگیری می کند. افزونه Mail Checker نه تنها ویروس ها را از بدنه ایمیل حذف می کند، بلکه محتوای اصلی ایمیل ها را نیز به طور کامل بازیابی می کند. اسکن جامع مکاتبات ایمیلی با اسکن تمام بخش‌های پیام‌های ورودی و خروجی، از جمله فایل‌های پیوست شده (از جمله بایگانی‌شده و بسته‌بندی‌شده) و سایر پیام‌ها در هر سطح تودرتو، از پنهان شدن ویروس در هر یک از عناصر ایمیل جلوگیری می‌کند.

اسکنر آنتی ویروساسکنر به شما این امکان را می دهد که در صورت درخواست، کل محتویات درایوهای محلی و شبکه را در مقیاس کامل اسکن کنید.

رهگیر Script Checker چک های ضد ویروس همه اسکریپت های در حال اجرا را قبل از اجرا فراهم می کند.

پشتیبانی از فایل های بایگانی شده و فشرده، امکان حذف کدهای مخرب را از یک فایل فشرده آلوده فراهم می کند.

جداسازی اشیاء آلوده جداسازی اشیاء آلوده و مشکوک را با انتقال بعدی آنها به یک فهرست ویژه سازماندهی شده برای تجزیه و تحلیل و بازیابی بیشتر تضمین می کند.

اتوماسیون حفاظت از آنتی ویروس به شما امکان می دهد تا برنامه و ترتیب اجزای برنامه را ایجاد کنید. به‌روزرسانی‌های پایگاه‌داده آنتی‌ویروس جدید را از طریق اینترنت به‌طور خودکار دانلود و متصل کنید. ارسال هشدار درباره حملات ویروسی شناسایی شده به پست الکترونیکو غیره.

Norton AntiVirus 2003 Professional Edition

توسعه دهنده: سیمانتک وب سایت: http://www.symantec.ru/.

قیمت 89.95 یورو است.

برنامه در زیر اجرا می شود کنترل ویندوز 95/98/Me/NT4.0/2000 Pro/XP.

قیمت 39.95 دلار

این برنامه تحت ویندوز 95/98/Me/NT4.0/2000 Pro/XP اجرا می شود.