Víruskereső program (víruskereső) - számítógépes vírusok és egyéb vírusok észlelésére és eltávolítására szolgáló program rosszindulatú, terjesztésük megakadályozása, valamint az általuk fertőzött programok visszaállítása.

A modern fő feladatai víruskereső programok:

  • -- Fájlok és programok valós időben történő vizsgálata.
  • -- Igény szerinti számítógépes szkennelés.
  • -- Az internetes forgalom vizsgálata.
  • -- E-mail szkennelés.
  • -- Védelem a veszélyes webhelyek támadásai ellen.
  • -- Felépülés sérült fájlok(kezelés).

A víruskereső programok osztályozása:

  • · detektor programok biztosítsa a vírusok keresését és észlelését a RAM-ban és a külső adathordozókon, és észlelésekor megfelelő üzenetet ad ki. Vannak detektorok:
    • 1. univerzális - munkájuk során a fájlok változatlanságának ellenőrzésére számlálással és ellenőrzőösszeg-szabvánnyal való összehasonlítással
    • 2. specializált- ismert vírusok keresése aláírásuk alapján (ismétlődő kódrészlet). Az ilyen detektorok hátránya, hogy nem képesek minden ismert vírust kimutatni.

Az olyan detektort, amely több vírust is képes kimutatni, polidetektornak nevezzük. Az ilyen vírusirtó programok hátránya, hogy csak olyan vírusokat találhatnak, amelyeket az ilyen programok fejlesztői ismernek.

  • · Orvosi programok (fágok) nem csak megtalálni a vírussal fertőzött fájlokat, hanem "kezelni" is, pl. távolítsa el a vírusprogram törzsét a fájlból, és adja vissza a fájlokat ide a kezdeti állapot. Munkájuk kezdetén a fágok vírusokat keresnek a RAM-ban, megsemmisítik azokat, és csak ezután kezdik el "kezelni" a fájlokat. A fágok között megkülönböztetünk polifágokat, azaz. orvosi programok, amelyeket nagyszámú vírus megtalálására és megsemmisítésére terveztek. Tekintettel arra, hogy folyamatosan jelennek meg az új vírusok, az észlelő és orvosi programok gyorsan elavulnak, és rendszeres frissítésük szükséges.
  • · Könyvvizsgálói programok a vírusok elleni védekezés legmegbízhatóbb eszközei közé tartoznak. Az auditorok emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógép nem fertőzött vírussal, majd időszakonként vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredeti állapottal. Az észlelt változások megjelennek a monitor képernyőjén. Az állapotok összehasonlítása általában közvetlenül a betöltés után történik operációs rendszer. Összehasonlításkor a fájl hosszát, a ciklikus vezérlőkódot (fájl ellenőrző összegét), a módosítás dátumát és időpontját, valamint egyéb paramétereket ellenőrzik.
  • · Programok szűrése (őrzőkutya) kis rezidens programok, amelyek a vírusokra jellemző gyanús számítógépes tevékenységek észlelésére szolgálnak. Ilyen műveletek lehetnek:
    • 1. megpróbálja kijavítani a COM és EXE kiterjesztésű fájlokat;
    • 2. fájlattribútumok megváltoztatása;
    • 3. közvetlen írás a lemezre abszolút címen;
    • 4. írás a lemez indító szektoraiba;

Vakcina programok (immunizálók) rezidens programok, amelyek megakadályozzák a fájlfertőzést. Vakcinákat alkalmaznak, ha nincsenek orvosi programok, amelyek "kezelik" ezt a vírust. A védőoltás csak ismert vírusok ellen lehetséges. A vakcina úgy módosítja a programot vagy a lemezt, hogy az ne befolyásolja a munkájukat, és a vírus fertőzöttnek fogja fel őket, ezért nem tud gyökeret verni. Az ilyen programok jelentős hátránya, hogy korlátozott mértékben képesek megakadályozni a fertőzést egy nagy szám különféle vírusok.

A víruskereső programok funkciói

Valós idejű vírusvédelem

A legtöbb víruskereső program valós idejű védelmet kínál. Ez azt jelenti, hogy a víruskereső program másodpercenként megvédi számítógépét minden bejövő fenyegetéstől. Így még akkor is, ha vírus nem fertőzte meg számítógépét, érdemes megfontolni egy valós idejű védelemmel ellátott víruskereső program telepítését a fertőzés további terjedésének megakadályozása érdekében.

Fenyegetés észlelése

A víruskereső programok az egész számítógépet vírusok után kutathatják. Mindenekelőtt a legsérülékenyebb területeket, a rendszermappákat és a RAM-ot ellenőrzik. A szkennelési szektorokat saját maga is kiválaszthatja, vagy kiválaszthatja például egy adott ellenőrzését merevlemez. Azonban nem minden vírusirtó egyforma az algoritmusában, és egyes vírusirtó programoknak magasabb az észlelési aránya, mint másoknak.

Automatikus frissítések

Minden nap új vírusok jönnek létre és jelennek meg. Ezért rendkívül fontos, hogy a vírusirtó programok frissíteni tudják az antivírus adatbázisokat (az összes ismert vírus listája, mind a régi, mind az új). Automatikus frissítés azért van szükség, mert egy elavult víruskereső nem képes felismerni az új vírusokat és fenyegetéseket. Akkor is, ha a víruskereső program csak kínál kézi frissítés előfordulhat, hogy elfelejti frissíteni a víruskereső definícióit, és számítógépe új vírussal fertőződhet meg. Próbáljon meg automatikus frissítéssel rendelkező víruskeresőt választani.

Figyelmeztetések

A víruskereső figyelmezteti Önt, ha bármely program megpróbál hozzáférni a számítógépéhez. Ilyen például az internetes alkalmazások. Sok olyan program, amely megpróbálja elérni a számítógépét, ártalmatlan, vagy önként töltötte le őket, így a vírusirtó programok lehetőséget adnak Önnek arra, hogy eldöntse, engedélyezi-e vagy blokkolja-e telepítésüket vagy működésüket.

Küldje el a jó munkát a tudásbázis egyszerű. Használja az alábbi űrlapot

Diákok, végzős hallgatók, fiatal tudósok, akik a tudásbázist tanulmányaikban és munkájukban használják, nagyon hálásak lesznek Önnek.

Házigazda: http://www.allbest.ru/

Az antivírusok osztályozása

Az Antivirus egy szoftvercsomag, amelyet kifejezetten a számítógépes vírusok és más rosszindulatú programok védelmére, elfogására és eltávolítására terveztek.

A modern vírusirtó programok hatékonyan képesek felismerni a rosszindulatú objektumokat a programfájlokban és dokumentumokban. Egyes esetekben a víruskereső képes eltávolítani a rosszindulatú objektum törzsét a fertőzött fájlból, és visszaállítja magát a fájlt. A legtöbb esetben egy vírusirtó képes eltávolítani egy rosszindulatú programobjektumot nem csak egy programfájlból, hanem egy irodai dokumentumfájlból is anélkül, hogy megsértené annak integritását. A vírusirtó programok használata nem igényel magas képzettséget, és szinte minden számítógép-felhasználó számára elérhető. Manapság a legtöbb vezető víruskereső program egyesíti a funkciókat állandó védelem(víruskereső monitor) és igény szerinti védelmi funkciók (víruskereső).

Az antivírusok osztályozása

Jelenleg nem létezik egységes rendszer víruskereső programok osztályozása.

Az antivírusok osztályozása működési mód szerint

A Kaspersky Lab az antivírusokat működési módjuk szerint osztályozza:

Valós idejű ellenőrzés

A valós idejű ellenőrzés, vagy állandó ellenőrzés biztosítja a munka folytonosságát vírusvédelem. Ez a más programok és maga a felhasználó által végrehajtott összes művelet kötelező ellenőrzésével valósul meg, függetlenül azok eredeti helyétől – legyen az Ön sajátja. HDD, külső adathordozó, egyéb hálózati erőforrások vagy saját RAM. Ezenkívül minden harmadik programokon keresztül megvalósuló közvetett tevékenységet ellenőrizni kell.

Igény szerinti ellenőrzés

Egyes esetekben a folyamatosan futó valós idejű vizsgálat nem elegendő. Előfordulhat, hogy egy fertőzött fájlt másoltak a számítógépre, amelyet nagy mérete miatt kizártak a folyamatos ellenőrzésből, és ezért nem észlelték benne a vírust. Ha ez a fájl nem fut a kérdéses számítógépen, akkor előfordulhat, hogy a vírus észrevétlen marad, és csak akkor jelenik meg, ha egy másik számítógépre küldi.

Ennél a módnál általában azt feltételezik, hogy a felhasználó személyesen határozza meg, hogy mely fájlokat, könyvtárakat vagy lemezterületeket kell ellenőrizni, és mikor kell ilyen ellenőrzést elvégezni – ütemezés vagy egyszeri kézi indítás formájában.

Az antivírusok osztályozása típus szerint

Ezenkívül a víruskereső programokat típus szerint osztályozhatjuk:

Szkennerek (más nevek: fágok, polifágok)

A víruskeresők működési elve a fájlok, szektorok és a rendszermemória átvizsgálásán, valamint az ismert és új (a szkenner számára ismeretlen) vírusok keresésén alapul. Az úgynevezett „maszkokat” az ismert vírusok keresésére használják. A vírusmaszk egy állandó kódszekvencia, amely az adott vírusra specifikus. Ha a vírus nem tartalmaz tartós maszkot, vagy ennek a maszknak a hossza nem elég nagy, akkor más módszereket kell alkalmazni. Ilyen módszer például az algoritmikus nyelv mindent leírva lehetséges opciók kód, amely az ilyen típusú vírussal fertőzött állapotban találkozhat. Ezt a megközelítést néhány vírusirtó alkalmazza a polimorf vírusok kimutatására.

Sok szkenner is használ "heurisztikus szkennelés" algoritmusokat, pl. a parancsok sorrendjének elemzése az ellenőrzött objektumban, statisztikai adatok gyűjtése és döntéshozatal minden egyes ellenőrzött objektum esetében.

A szkennerek két kategóriába is oszthatók - "univerzális" és "specializált". Az univerzális szkennerek minden típusú vírus felkutatására és semlegesítésére szolgálnak, függetlenül attól, hogy a szkenner milyen operációs rendszerben működik. A speciális szkennerek korlátozott számú vírust vagy csak egy osztályt, például a makrovírusokat semlegesítsék.

A szkennerek is fel vannak osztva "rezidens" (monitorok) szkennelésre "menet közben" és "nem rezidens" szkennelésre a rendszerben. Az adatokat összehasonlítják az adatokkal. Így ahhoz, hogy vírust találjon a számítógépén, annak már „működött” kell lennie, hogy megjelenjenek a tevékenységének következményei. Ezzel a módszerrel csak olyan ismert vírusokat találhat, amelyek kódrészleteit vagy aláírásait korábban leírták. Nem valószínű, hogy az ilyen védelmet megbízhatónak lehet nevezni.

Folyamatelemzés

vírusprogram, számítógépes rosszindulatú program

A folyamatelemzésen alapuló víruskereső eszközök némileg eltérően működnek. A fent leírtakhoz hasonlóan "heurisztikus analizátorok" elemzik az adatokat (lemezen, csatornán, memóriában stb.). Az alapvető különbség az, hogy az elemzés abból a feltételezésből indul ki, hogy az elemzett kód nem adat, hanem parancs (a Neumann architektúrájú számítógépekben az adatok és a parancsok nem különböztethetők meg egymástól, ezért egyik vagy másik feltevést fel kell tenni az elemzés során.)

A "heurisztikus analizátor" kiválaszt egy műveletsort, mindegyikhez hozzárendel egy bizonyos "veszély" értékelést, és a "veszély" összessége alapján eldönti, hogy ez a műveletsor része-e rosszindulatú kód. Maga a kód nem kerül végrehajtásra.

másfajta vírusirtó eszközök folyamatelemzésen alapuló "viselkedési blokkolók". Ebben az esetben a gyanús kód lépésről lépésre kerül végrehajtásra mindaddig, amíg a kód által kezdeményezett műveletek halmaza „veszélyes” (vagy „biztonságos”) viselkedésként nem értékelődik. Ebben az esetben a kód részben végrehajtásra kerül, mivel a rosszindulatú kód befejezése egyszerűbb adatelemzési módszerekkel észlelhető.

Vírusfelderítési technológiák

A vírusirtókban használt technológiák két csoportra oszthatók:

Aláíráselemző technológiák

Az aláíráselemzés egy vírusészlelési módszer, amely ellenőrzi a vírusszignatúrák jelenlétét a fájlokban. Az aláírás-elemzés a vírusok kimutatásának legismertebb módszere, és szinte minden modern antivírusban alkalmazzák. Az ellenőrzés végrehajtásához a víruskeresőnek szüksége van egy vírusszignatúrára, amelyet a víruskereső adatbázis tárol.

Tekintettel arra, hogy az aláíráselemzés magában foglalja a fájlok vírusszignatúra-ellenőrzését, a víruskereső adatbázist rendszeresen frissíteni kell, hogy a vírusirtó naprakész legyen. Maga az aláírás-elemzés működési elve határozza meg funkcionalitásának korlátait is - csak az ismert vírusok észlelésének képessége -, az aláírás-ellenőrző tehetetlen az új vírusokkal szemben.

Másrészt a vírusszignatúrák jelenléte a kezelés lehetőségére utal fertőzött fájlok aláírás-elemzés segítségével észlelték. A kezelés azonban nem minden vírus esetében elfogadható – a trójaiak és a legtöbb féreg nem kezelhető ezek miatt tervezési jellemzők, mert ezek szilárd modulok, amelyek kárt okoznak.

A vírusszignatúra kompetens megvalósítása lehetővé teszi az ismert vírusok 100%-os biztonsággal történő kimutatását.

Valószínűségi elemzési technológiák

A valószínűségi elemzési technológiákat viszont három kategóriába sorolják:

Heurisztikus elemzés

Viselkedéselemzés

Ellenőrzőösszeg-elemzés

A heurisztikus elemzés valószínűségi algoritmusokon alapuló technológia, melynek eredménye a gyanús objektumok azonosítása. A heurisztikus elemzés ellenőrzi a fájl szerkezetét és a vírussablonoknak való megfelelését. A legnépszerűbb heurisztikus technika a fájl tartalmának ellenőrzése a már ismert vírusszignatúrák és azok kombinációinak módosítása szempontjából. Ez segít felismerni a korábban ismert vírusok hibridjeit és új verzióit a víruskereső adatbázis további frissítése nélkül.

A heurisztikus elemzést az ismeretlen vírusok kimutatására használják, és ennek eredményeként nem vár pozitív eredményeket.

A viselkedéselemzés olyan technológia, amelyben az ellenőrzött objektum természetéről az általa végrehajtott műveletek elemzése alapján döntenek. A viselkedéselemzésnek nagyon szűk gyakorlati alkalmazása van, mivel a vírusokra jellemző műveletek többsége hétköznapi alkalmazásokkal is végrehajtható. A szkriptek és makrók viselkedéselemzői a leghíresebbek, mivel a megfelelő vírusok szinte mindig számos hasonló műveletet hajtanak végre.

A BIOS-ba ágyazott biztonsági funkciók viselkedéselemzők közé is sorolhatók. Amikor megpróbálják módosítani a számítógép MBR-jét, az analizátor blokkolja a műveletet, és megfelelő értesítést jelenít meg a felhasználónak.

Ezenkívül a viselkedéselemzők nyomon követhetik a fájlok közvetlen elérésére irányuló kísérleteket, a hajlékonylemezek rendszerindító rekordjának változásait, a merevlemezek formázását stb.

A viselkedéselemzők nem használnak további objektumokat, például vírusadatbázisokat a munkájukhoz, és ennek eredményeként nem tudnak különbséget tenni az ismert és az ismeretlen vírusok között – minden gyanús program eleve ismeretlen vírusnak minősül. Hasonlóképpen, a viselkedéselemzési technológiákat megvalósító eszközök működésének jellemzői nem jelentenek kezelést.

Az ellenőrzőösszeg-elemzés egy módszer a számítógépes rendszer objektumaiban bekövetkezett változások nyomon követésére. A változások természetének elemzése alapján - egyidejűség, tömegjelleg, azonos állományhossz-változások - megállapítható, hogy a rendszer fertőzött. Az ellenőrzőösszeg-elemzők (más néven "változásvizsgálók"), akárcsak a viselkedéselemzők, nem használnak további objektumokat munkájuk során, és kizárólag szakértői értékelés módszerével adnak ítéletet a vírus rendszerben való jelenlétéről. Hasonló technológiákat használnak a hozzáférési szkennerekben - az első ellenőrzés során ellenőrző összeget vesznek ki a fájlból, és a gyorsítótárba helyezik, ugyanazon fájl következő ellenőrzése előtt az ellenőrző összeget újra veszik, összehasonlítják, és ha nincs változás, a fájl nem fertőzöttnek minősül.

Vírusvédelmi komplexum - vírusirtó készlet, amely ugyanazt a víruskereső motort vagy motorokat használja, és a vírusvédelmi biztonság biztosításával kapcsolatos gyakorlati problémák megoldására szolgál. számítógépes rendszerek. A víruskereső komplexum a víruskereső adatbázisok frissítésére szolgáló eszközöket is tartalmaz.

Ezenkívül a víruskereső komplexum tartalmazhat viselkedéselemzőket és változásellenőröket, amelyek nem használják a víruskereső motort.

A következő típusú vírusellenes komplexek léteznek:

Víruskereső komplexum munkaállomások védelmére

Víruskereső komplexum a fájlszerverek védelmére

Víruskereső komplexum a levelezőrendszerek védelmére

Víruskereső komplexum az átjárók védelmére.

Az Allbest.ru oldalon található

Hasonló dokumentumok

    A számítógépes vírusok fogalma és osztályozása. Az információ vírus elleni védelmének alapvető módszerei. A modern áttekintése szoftver eszközök számítógépe biztonságos működése érdekében. Az antivírusok osztályozása. Kaspersky Antivirus, Norton Antivirus, Dr. Weber, Eset NOD32.

    szakdolgozat, hozzáadva 2015.10.26

    A vírusirtók fő feladatai és a személyi számítógép vírusvédelmi eszközei. Hogyan működnek a vírusok és hogyan terjednek. A rosszindulatú programok elleni védelem módszerei és technológiái. Általános követelmények biztonság a számítógép használata során.

    absztrakt, hozzáadva: 2016.09.22

    Tanulmány a számítógépes vírusok és antivírusok történetéről. A rosszindulatú programok számítógépbe való behatolásának fő módjainak tanulmányozása. A vírusok és vírusirtó programok típusai. Az aláírás jellemzőinek és a vírusvédelem heurisztikus módszereinek jellemzése.

    absztrakt, hozzáadva: 2014.10.08

    A számítógépes vírusok elleni védekezés fő módszerei. A vírusok megjelenésének fő jelei: a programok leállása, a számítógép lassú működése, a fájlok méretének, dátumának és időpontjának változása. A vírusok előfordulásának módjai. Ismert antivírusok jellemzői.

    bemutató, hozzáadva: 2011.12.02

    A számítógépes vírusok jelensége. A számítógépes vírusok osztályozása. Az antivírusok típusai. Hogyan és mitől védjük a számítógépet. Küzdelem a hackertámadások ellen. Ingyenes víruskereső webszolgáltatások. Az internetbiztonság alapjai. Intézkedések vírus esetén.

    absztrakt, hozzáadva: 2008.10.08

    A számítógépes vírusok fogalma, hatásmechanizmusa, adatbiztonsági veszélyük meghatározása, a negatív hatások megelőzését célzó intézkedések. A vírusirtó programok osztályozása, azok rendszerkövetelmények valamint a hatékony, zavartalan működés feltételeit.

    szakdolgozat, hozzáadva: 2010.07.17

    A vírusirtó programok (vírusirtó programok) jellemzői - olyan számítógépes programok, amelyek célja a vírusok és különféle rosszindulatú programok semlegesítése az adatok és a optimális teljesítmény PC. Vírusirtó programok osztályozása és példák.

    absztrakt, hozzáadva: 2010.03.26

    Antivírusok használata a vírusok hatékony felismerésére és semlegesítésére a számítógépen. Vírusfertőzés jelei. A trójaiak nyilvánvaló megnyilvánulásai: a böngésző beállításainak módosítása, felugró üzenetek, jogosulatlan tárcsázás az internetre.

    labormunka, hozzáadva 2013.09.13

    A számítógépes vírusok fogalma és osztályozása. A rosszindulatú programok elleni védekezési módszerek, fajtáik. Számítógépes vírusfertőzés jelei. Az információbiztonság problémája. Munkavégzés MS Office alkalmazásokkal. Fájlvírusok elemzése, hacker segédprogramok.

    szakdolgozat, hozzáadva 2015.12.01

    Az ismertekhez hasonló számítógépes vírusok keresésére és gyanús műveletek végrehajtására szolgáló programok. Frissítés, tervezés és menedzsment modul. Víruskereső modulok beállításainak konfigurálása, frissítések, időszakos frissítések és ellenőrzések.

BEVEZETÉS

A két évezred fordulóján élünk, amikor az emberiség egy új tudományos és technológiai forradalom korszakába lépett.

A huszadik század végére az emberek elsajátították az anyag és az energia átalakulásának sok titkát, és ezt a tudást életük javítására használhatták fel. De az anyag és az energia mellett egy másik összetevő is óriási szerepet játszik az emberi életben - az információ. Ez sokféle információ, üzenet, hír, tudás, készségek.

Századunk közepén voltak speciális eszközök- a számítógépek az információ tárolására és átalakítására összpontosítottak, és számítógépes forradalom következett be.

Ma széles körben elterjedt használat személyi számítógépek, sajnos kiderült, hogy összefüggésbe hozható az önreprodukáló vírusprogramok megjelenésével, amelyek megakadályozzák a számítógép normál működését, tönkreteszik a lemezek fájlszerkezetét és károsítják a számítógépben tárolt információkat.

Annak ellenére, hogy számos országban elfogadott törvények a számítógépes bűnözés elleni küzdelem és a fejlesztés speciális programokúj vírusvédelmi eszközök, az új szoftvervírusok száma folyamatosan növekszik. Ez megköveteli, hogy a személyi számítógép felhasználója ismerje a vírusok természetét, a vírusok megfertőzésének és védekezésének módját. Ez ösztönözte munkám témáját.

Erről beszélek az esszémben. Bemutatom a vírusok fő típusait, átgondolom működési sémáikat, megjelenésük okait és a számítógépbe való behatolás módjait, valamint javaslatokat teszek a védekezésre és a megelőzésre.

A munka célja megismertetni a felhasználót a számítógépes virológia alapjaival, megtanítani a vírusok felismerésére és az ellenük való küzdelemre. A munka módszere a témában megjelent nyomtatott publikációk elemzése. Nehéz feladat előtt álltam – beszélni arról, amit nagyon kevesen tanulmányoztak, és hogyan történt – te legyél a bíró.

1. SZÁMÍTÓGÉPES VÍRUSOK ÉS TULAJDONSÁGAIK ÉS OSZTÁLYOZÁS

1.1. A számítógépes vírusok tulajdonságai

Most személyi számítógépeket használnak, amelyekben a felhasználó szabadon hozzáférhet a gép összes erőforrásához. Ez nyitotta meg a lehetőséget a számítógépvírusként ismertté vált veszély előtt.

Mi az a számítógépes vírus? Ennek a fogalomnak a formális meghatározását még nem találták ki, és komoly kétségek merülnek fel afelől, hogy egyáltalán megadható. Számos kísérlet a vírus "modern" meghatározására nem járt sikerrel. A probléma összetettségének átérezéséhez próbálja meg például meghatározni a „szerkesztő” fogalmát. Vagy valami nagyon általános dolgot fog kitalálni, vagy elkezdi felsorolni az összes ismert szerkesztőtípust. Mindkettő aligha tekinthető elfogadhatónak. Ezért a számítógépes vírusok néhány olyan tulajdonságának figyelembevételére szorítkozunk, amelyek lehetővé teszik, hogy a programok egy bizonyos osztályaként beszéljünk róluk.

Először is a vírus egy program. Egy ilyen egyszerű kijelentés önmagában is eloszlathat számos legendát a számítógépes vírusok rendkívüli képességeiről. A vírus megfordíthatja a képet a monitoron, de magát a monitort nem. A gyilkos vírusokról szóló legendákhoz, amelyek „megsemmisítik a kezelőket azáltal, hogy halálos vírust jelenítenek meg színek 25. keret” szintén nem kell komolyan venni. Sajnos néhány tekintélyes kiadvány időről időre közli "a számítógépes front legfrissebb híreit", amelyek közelebbről megvizsgálva kiderül, hogy a téma nem egészen világos megértésének eredménye.

A vírus olyan program, amely képes önmagát reprodukálni. Ez a képesség az egyetlen eszköz minden típusú vírusban. De nem csak a vírusok képesek önreplikációra. Bármely operációs rendszer és sok más program képes saját másolatot készíteni. Ugyanazon vírus másolatainak nemcsak nem kell teljesen megegyezniük az eredetivel, de előfordulhat, hogy egyáltalán nem egyeznek meg vele!

Egy vírus nem létezhet "teljes elszigeteltségben": ma már elképzelhetetlen olyan vírus, amely ne használja más programok kódját, fájlszerkezeti információit, vagy akár csak más programok nevét. Az ok egyértelmű: a vírusnak valamilyen módon biztosítania kell az irányítás átadását önmagának.

1.2. A vírusok osztályozása

Jelenleg több mint 5000 szoftvervírus ismert, ezek a következő szempontok szerint osztályozhatók:

¨ élőhely

¨ a környezetszennyezés módja

¨ hatás

¨ az algoritmus jellemzői

Az élőhelytől függően a vírusok hálózati, fájlrendszerű, rendszerindító és fájlrendszerindításra oszthatók. Hálózati vírusok különféle számítógépes hálózatokon elosztva. A fájlvírusok főként végrehajtható modulokba, azaz COM és EXE kiterjesztésű fájlokba kerülnek. Fájlvírusok beágyazhatók más típusú fájlokba, de általában ilyen fájlba írva soha nem kapják meg az irányítást, és ezért elveszítik a reprodukálási képességüket. Boot vírusok be vannak ágyazva a lemez indító szektorába (Boot-sector) vagy a rendszerindító programot tartalmazó szektorba rendszerlemez(Master Boot Re-

zsinór). Fájl-indítás a vírusok a fájlokat és a lemez indító szektorait is megfertőzik.

A fertőzés módja szerint a vírusokat rezidensekre és nem rezidensekre osztják. Rezidens vírus a számítógép megfertőzésekor (fertőzésekor) a RAM-ban hagyja annak rezidens részét, amely aztán elfogja az operációs rendszer hozzáférését a fertőzés objektumokhoz (fájlok, lemez indító szektorai stb.), és behatol azokba. A helyi vírusok a memóriában maradnak, és a számítógép kikapcsolásáig vagy újraindításáig aktívak maradnak. Nem rezidens vírusok ne fertőzzék meg a számítógép memóriáját, és korlátozott ideig aktívak.

A hatás mértéke szerint a vírusok a következő típusokra oszthatók:

¨ nem veszélyes, amelyek nem zavarják a számítógép működését, de csökkentik a szabad RAM és a lemezmemória mennyiségét, az ilyen vírusok tevékenysége bármilyen grafikai vagy hanghatásban megnyilvánul

¨ veszélyes vírusok, amelyek különféle problémákat okozhatnak a számítógépen

¨ nagyon veszélyes, melynek hatása programok elvesztéséhez, adatok megsemmisüléséhez, információk törléséhez vezethet a lemez rendszerterületein.

2. A VÍRUSOK FŐ TÍPUSAI ÉS MŰKÖDÉSI RÉSZEI

A vírusok sokfélesége között a következő fő csoportokat lehet megkülönböztetni:

¨ csizma

¨ fájl

¨ file-boot

Most részletesebben az egyes csoportokról.

2.1. Boot vírusok

Fontolja meg egy nagyon egyszerű rendszerindító vírus működését, amely megfertőzi a hajlékonylemezeket. Szándékosan megkerüljük mindazokat a finomságokat, amelyek elkerülhetetlenül szembesülnének az algoritmus működésének szigorú elemzésével.

Mi történik, ha bekapcsolja a számítógépet? Először az irányítás átadásra kerül bootstrap program, amely csak olvasható memóriában (ROM) van tárolva, azaz. PNZ ROM.

Ez a program teszteli a hardvert, és ha a tesztek sikeresek, megpróbálja megtalálni az A meghajtóban lévő hajlékonylemezt:

Minden floppy lemezen meg van jelölve az ún. szektorok és pályák. A szektorok klaszterekbe tömörülnek, de ez számunkra nem elengedhetetlen.

A szektorok között több olyan szolgáltatás is található, amelyet az operációs rendszer saját igényeire használ (az Ön adatait ezekbe a szektorokba nem lehet elhelyezni). A szolgáltató szektorok közül továbbra is érdekel bennünket egy - az ún. bootstrap szektor(boot szektor).

A bootstrap szektor tárolja hajlékonylemez információ- a felületek száma, a pályák száma, a szektorok száma stb. De most nem ez az információ érdekel, hanem egy kicsi bootstrap program(PNZ), amelynek magát az operációs rendszert kell betöltenie, és át kell adnia a vezérlést.

Tehát a normál bootstrap minta a következő:

Most nézzük a vírust. A rendszerindító vírusokban két részt különböztetnek meg - az ún. fej stb. farok. A farok általában üres lehet.

Tegyük fel, hogy van egy üres hajlékonylemeze és egy fertőzött számítógépe, ami alatt egy olyan számítógépet értünk, amelyben aktív rezidens vírus található. Amint a vírus észleli, hogy megfelelő áldozat jelent meg a meghajtóban - esetünkben egy nem írásvédett és még nem fertőzött hajlékonylemez, akkor tovább fertőz. Hajlékonylemez megfertőzésekor a vírus a következő műveleteket hajtja végre:

Lefoglal egy bizonyos területet a lemezről, és elérhetetlennek jelöli az operációs rendszer számára, ez többféleképpen is megtehető, a legegyszerűbb és hagyományos esetben a vírus által elfoglalt szektorok rossznak (rossznak) vannak jelölve.

A farkát és az eredeti (egészséges) rendszerindító szektort a lemez kiválasztott területére másolja

A (valódi) rendszerindító szektorban lévő bootstrap programot a fejével helyettesíti

Megszervezi az irányítás átadási láncát a séma szerint.

Így a vírus feje most először veszi át az irányítást, a vírus a memóriába kerül, és átadja az irányítást az eredeti rendszerindító szektornak. Egy láncban

PNZ (ROM) - PNZ (lemez) - RENDSZER

megjelenik egy új link:

PNZ (ROM) - VÍRUS - PNZ (lemez) - RENDSZER

Az erkölcs világos: soha (véletlenül) ne hagyjon hajlékonylemezt az A meghajtóban.

Megvizsgáltuk egy egyszerű butovy vírus működését, amely a hajlékonylemezek rendszerindító szektoraiban él. A vírusok általában nem csak a hajlékonylemezek rendszerindító szektorait, hanem a merevlemezek rendszerindító szektorait is megfertőzhetik. Ebben az esetben, a hajlékonylemezektől eltérően, a merevlemezen kétféle rendszerindító szektor található, amelyek az irányítást átvevő rendszerindító programokat tartalmazzák. A számítógép merevlemezről történő indításakor először az MBR (Master Boot Record – Master Boot Record) rendszerindító programja veszi át az irányítást. Ha a merevlemez több partícióra van osztva, akkor ezek közül csak az egyik van megjelölve rendszerindítóként (boot). A bootstrap program az MBR-ben megtalálja rendszerindító partíció merevlemezt, és átadja a vezérlést ennek a partíciónak a bootstrap programjára. Ez utóbbi kódja megegyezik a közönséges hajlékonylemezeken található rendszerindító program kódjával, és csak a paramétertáblázatokban térnek el a megfelelő rendszerindító szektorok. Így a rendszerindító vírusok két tárgya támad a merevlemezen - bootstrap program be MBRés alapvető letöltések a rendszerindító szektorban indítólemez.

2.2. Fájlvírusok

Most nézzük meg, hogyan működik egy egyszerű fájlvírus. A rendszerindító vírusokkal ellentétben, amelyek szinte mindig rezidensek, a fájlvírusok nem feltétlenül rezidensek. Tekintsük egy nem-rezidens fájlvírus működési sémáját. Tegyük fel, hogy van egy fertőzött végrehajtható fájlunk. Egy ilyen fájl elindításakor a vírus átveszi az irányítást, végrehajt bizonyos műveleteket, és átadja az irányítást a "mesternek" (bár még mindig nem tudni, hogy ki a mester egy ilyen helyzetben).

Milyen műveleteket hajt végre a vírus? Új objektumot keres a megfertőzéshez - egy megfelelő típusú fájlt, amely még nem fertőzött (ha a vírus „tisztességes”, különben vannak olyanok, amelyek azonnal megfertőznek anélkül, hogy bármit is ellenőriznének). Egy fájl megfertőzésével a vírus befecskendezi magát annak kódjába, hogy átvegye az irányítást a fájl futtatásakor. A vírus fő funkciója - a szaporodás - mellett valami bonyolultat is végezhet (mondjuk, kérdez, játszhat) - ez már a vírus szerzőjének képzeletétől függ. Ha egy fájlvírus tartózkodik, az telepíti magát a memóriába, és képes megfertőzni a fájlokat és megjeleníteni más képességeket, nem csak a fertőzött fájl futása közben. Egy futtatható fájl megfertőzésével a vírus mindig módosítja a kódját – így a futtatható fájl fertőzése mindig észlelhető. De a fájl kódjának megváltoztatásával a vírus nem feltétlenül hajt végre más módosításokat:

à nem köteles megváltoztatni a fájl hosszát

à a kód nem használt részei

à nem szükséges a fájl elejét módosítani

Végül a fájlvírusok gyakran tartalmaznak olyan vírusokat, amelyeknek "köze van a fájlokhoz", de nem kell behatolniuk a kódjukba. Példaként tekintsük az ismert Dir-II családba tartozó vírusok működési sémáját. El kell ismerni, hogy ezek a vírusok 1991-ben jelentek meg, és valódi pestisjárványt okoztak Oroszországban. Vegyünk egy olyan modellt, amely egyértelműen bemutatja a vírus alapgondolatát. A fájlokkal kapcsolatos információk könyvtárakban tárolódnak. Minden könyvtárbejegyzés tartalmaz egy fájlnevet, a létrehozás dátumát és idejét, néhányat További információ, az első klaszter száma fájl stb. tartalék bájtok. Ez utóbbiak "tartalékban" maradnak, és magát az MS-DOS-t nem használják.

Futtatható fájlok futtatásakor a rendszer beolvassa a fájl első fürtjét a könyvtárbejegyzésből, majd az összes többi fürtöt. A Dir-II család vírusai a következő "átszervezést" produkálják fájlrendszer: a vírus maga írja ki magát a lemez néhány szabad szektorába, amit rossznak jelöl meg. Ezen túlmenően tartalék bitekben tárolja a végrehajtható fájlok első fürtjeiről szóló információkat, és ezen információk helyére hivatkozásokat ír önmagára.

Így bármely fájl elindításakor a vírus megkapja az irányítást (az operációs rendszer maga indítja el), a memóriában tartózkodik, és átadja az irányítást a hívott fájlnak.

2.3. Boot-fájl vírusok

Nem vesszük figyelembe a rendszerindító fájl vírus modelljét, mert ebben az esetben nem fog új információt megtudni. De itt a lehetőség, hogy röviden megvitassuk a mostanában rendkívül "népszerű" OneHalf rendszerindító fájl vírust, amely megfertőzi a fő rendszerindító szektort (MBR) és a végrehajtható fájlokat. A fő pusztító művelet a merevlemez-szektorok titkosítása. Minden induláskor a vírus a szektorok újabb részét titkosítja, és a merevlemez felének titkosítása után ezt boldogan bejelenti. A vírus kezelésében a fő probléma az, hogy nem elég csak eltávolítani a vírust az MBR-ből és a fájlokból, hanem vissza kell fejteni az általa titkosított információkat. A leghalálosabb művelet az, ha egyszerűen átírunk egy új egészséges MBR-t. A legfontosabb dolog - ne essen pánikba. Mérjen meg mindent nyugodtan, konzultáljon szakértőkkel.

2.4. Polimorf vírusok

A legtöbb kérdés a „polimorf vírus” kifejezéssel kapcsolatos. Ez a fajta számítógépes vírus messze a legveszélyesebb. Magyarázzuk el, mi az.

A polimorf vírusok olyan vírusok, amelyek úgy módosítják a kódjukat a fertőzött programokban, hogy előfordulhat, hogy ugyanazon vírus két példánya nem egyezik egy bitben.

Az ilyen vírusok nem csak a kódjukat titkosítják különböző titkosítási utakon, hanem tartalmazzák a titkosító és a visszafejtő generálási kódját is, ami megkülönbözteti őket a hagyományos titkosító vírusoktól, amelyek kódjuk szakaszait is képesek titkosítani, ugyanakkor állandó kódjuk van. a titkosító és a visszafejtő.

A polimorf vírusok önmódosító dekóderrel rendelkező vírusok. Az ilyen titkosítás célja, hogy ha fertőzött és eredeti fájlja van, akkor sem tudja elemezni a kódját a hagyományos szétszereléssel. Ez a kód titkosított, és értelmetlen parancskészlet. A visszafejtést maga a vírus végzi futás közben. Ugyanakkor lehetségesek a lehetőségek: egyszerre dekódolhatja magát, vagy "menet közben" hajthat végre egy ilyen visszafejtést, ismét titkosíthatja a már kidolgozott részeket. Mindezt azért teszik, hogy megnehezítsék a víruskód elemzését.

3. A SZÁMÍTÓGÉPES VIROLOGIA TÖRTÉNETE ÉS A VÍRUSOK OKAI

A számítógépes virológia története napjainkban állandó „versenyfutás a vezetőért”, és a modern vírusirtó programok teljes ereje ellenére a vírusok a vezető szerepet. A több ezer vírus között csak néhány tucat van olyan eredeti fejlesztés, amely valóban alapvetően új ötleteket alkalmaz. Az összes többi „variáció egy témára”. De minden eredeti fejlesztés arra kényszeríti az antivírusok készítőit, hogy alkalmazkodjanak az új körülményekhez, utolérjék a vírustechnológiát. Ez utóbbiról lehet vitatkozni. Például 1989-ben egy amerikai diáknak sikerült létrehoznia egy vírust, amely mintegy 6000 amerikai védelmi minisztériumi számítógépet letiltott. Vagy a híres Dir-II vírus járványa, amely 1991-ben tört ki. A vírus egy igazán eredeti, alapvetően új technológiaés eleinte a hagyományos vírusirtó eszközök tökéletlensége miatt sikerült széles körben elterjednie.

Vagy a számítógépes vírusok kitörése az Egyesült Királyságban: Christopher Pine-nek sikerült létrehoznia a Pathogen és Queeq vírusokat, valamint a Smeg vírust. Ez utóbbi volt a legveszélyesebb, ezt az első két vírusra lehetett alkalmazni, és emiatt minden egyes programfutás után konfigurációt változtattak. Ezért lehetetlen volt elpusztítani őket. A vírusok terjesztésére a Pine számítógépes játékokat és programokat másolt, megfertőzte, majd visszaküldte a hálózatra. A felhasználók fertőzött programokat töltöttek le számítógépükre és fertőzött lemezeikre. A helyzetet súlyosbította, hogy a Pine-nek sikerült vírusokat bevinnie az ellenük küzdő programba. A futtatásával a felhasználók a vírusok elpusztítása helyett egy másikat kaptak. Ennek következtében sok cég aktája megsemmisült, a veszteségek több millió fontra rúgtak.

Morris amerikai programozó széles körben ismert. Őt annak a vírusnak a létrehozójaként ismerik, amely 1988 novemberében mintegy 7000 internetre csatlakozó személyi számítógépet fertőzött meg.

A számítógépes vírusok megjelenésének és terjedésének okai egyrészt az emberi személyiség pszichológiájában és árnyoldalaiban (irigység, bosszú, az el nem ismert alkotók hiúsága, képességeik konstruktív alkalmazásának képtelensége) rejtőznek, másrészt a műtőből érkező hardveres védelem és ellenhatás hiánya miatt.személyi számítógépes rendszerek.

4. A VÍRUSOK SZÁMÍTÓGÉPBE TÖLTÉSÉNEK MÓDJAI ÉS A VÍRUSPROGRAMOK TERJESZTÉSÉNEK MECHANIZMUSAI

A vírusok számítógépbe való bejutásának fő módjai a cserélhető lemezek (floppy és lézer), valamint számítógépes hálózatok. A merevlemez vírusos fertőzése akkor fordulhat elő, ha egy programot egy vírust tartalmazó hajlékonylemezről töltenek be. Az ilyen fertőzés véletlenül is előfordulhat, például ha a hajlékonylemezt nem távolították el az A meghajtóból, és újraindították a számítógépet, miközben előfordulhat, hogy a floppy nem rendszerlemez. Sokkal könnyebb megfertőzni egy hajlékonylemezt. Vírus akkor is rákerülhet, ha a hajlékonylemezt egyszerűen behelyezik egy fertőzött számítógép meghajtójába, és például elolvassák a tartalomjegyzékét.

A vírus általában fertőz munkaprogram oly módon, hogy az indításakor először a vezérlés kerül át rá, és csak az összes parancs végrehajtása után tér vissza újra a munkaprogramba. Az irányításhoz való hozzáférést követően a vírus mindenekelőtt átírja magát egy másik működő programba, és megfertőzi azt. Egy vírust tartalmazó program futtatása után lehetővé válik más fájlok megfertőzése. Leggyakrabban a lemez indító szektora és az EXE, COM, SYS, BAT kiterjesztésű futtatható fájlok fertőzöttek meg a vírussal. A szöveges fájlok rendkívül ritkán fertőződnek meg.

A program megfertőzése után a vírus valamilyen szabotázst hajthat végre, nem túl komoly, hogy ne vonja magára a figyelmet. És végül ne felejtse el visszaadni az irányítást ahhoz a programhoz, amelyből elindult. Egy fertőzött program minden egyes végrehajtása átviszi a vírust a következőre. Így minden szoftver megfertőződik.

A fertőzési folyamat szemléltetésére számítógépes program vírusként érdemes a lemeztárolást egy régimódi archívumhoz hasonlítani, szalagos mappákkal. A mappák programokat tartalmaznak, és ebben az esetben a vírus bejuttatására szolgáló műveletek sorrendje a következőképpen néz ki. (Lásd: 1. melléklet)

5. VÍRUSOK JELEI

Ha egy számítógépet vírus fertőzött meg, fontos, hogy észlelje azt. Ehhez ismernie kell a vírusok megnyilvánulásának fő jeleit. Ezek a következők:

¨ a munka megszűnése vagy a korábban sikeresen működő programok hibás működése

¨ lassú számítógép teljesítmény

¨ nem tudja elindítani az operációs rendszert

¨ fájlok és könyvtárak eltűnése vagy tartalmuk eltorzulása

¨ módosítsa a fájlok módosításának dátumát és időpontját

¨ fájl átméretezése

¨ a lemezen lévő fájlok számának váratlan nagy növekedése

¨ a szabad RAM méretének jelentős csökkenése

¨ váratlan üzenetek vagy képek megjelenítése a képernyőn

¨ előre nem látható hangjelzéseket ad

¨ gyakori lefagyások és számítógép-összeomlások

Megjegyzendő, hogy a fenti jelenségeket nem feltétlenül a vírus jelenléte okozza, hanem más okok is okozhatják. Ezért mindig nehéz helyesen diagnosztizálni a számítógép állapotát.

6. VÍRUSFELISMERÉS ÉS VÉDELMI ÉS MEGELŐZÉSI INTÉZKEDÉSEK

6.1. Hogyan lehet felismerni egy vírust ? Hagyományos megközelítés

Tehát egy bizonyos vírusíró létrehoz egy vírust, és elindítja az „életbe”. Egy ideig szabadon járhat, de előbb-utóbb a „lafa” véget ér. Valaki gyanítani fogja, hogy valami nincs rendben. Általában vírusokat találnak hétköznapi felhasználók akik észrevesznek bizonyos anomáliákat a számítógép viselkedésében. A legtöbb esetben nem képesek önállóan megbirkózni a fertőzéssel, de ez nem kötelező tőlük.

Csak az szükséges, hogy a vírus mielőbb a szakemberek kezébe kerüljön. A szakemberek tanulmányozzák, megtudják, „mit csinál”, „hogyan csinálja”, „mikor csinálja” stb. Az ilyen munka során minden szükséges információt összegyűjtenek a vírusról, különösen a vírus aláírását. van kiemelve - egy bájtsorozat, amely elég egyértelműen meghatározza. Az aláírás felépítéséhez általában a víruskód legfontosabb és legjellemzőbb részeit veszik fel. Ugyanakkor világossá válnak a vírus működési mechanizmusai, például egy boot vírus esetén fontos tudni, hogy hol rejti a farkát, hol található az eredeti rendszerindító szektor, illetve egy fájl, hogyan fertőződik meg a fájl. A megszerzett információk lehetővé teszik számunkra, hogy megtudjuk:

Hogyan lehet felismerni egy vírust, ehhez a vírustámadás lehetséges objektumaiban az aláírások keresésének módszerei - a fájlok és/vagy a rendszerindító szektorok megadva

hogyan lehet semlegesíteni a vírust, lehetőség szerint algoritmusokat fejlesztenek ki az érintett objektumok víruskódjának eltávolítására

6.2. Vírusfelderítő és -védelmi programok

A számítógépes vírusok észlelésére, eltávolítására és az ellenük való védekezésre többféle speciális programot fejlesztettek ki, amelyek lehetővé teszik a vírusok észlelését és megsemmisítését. Az ilyen programokat ún vírusellenes . A következő típusú víruskereső programok léteznek:

programok-detektorok

programok-orvosok vagy fágok

program auditorai

szűrőprogramok

oltóprogramok vagy immunizálók

Programok-detektorok keressen egy adott vírusra jellemző aláírást a RAM-ban és a fájlokban, és ha észlel, megfelelő üzenetet ad ki. Az ilyen vírusirtó programok hátránya, hogy csak olyan vírusokat találhatnak, amelyeket az ilyen programok fejlesztői ismernek.

Orvosi programok vagy fágok, szintén oltási programok nem csak megtalálni a vírussal fertőzött fájlokat, hanem „kezelni” is, pl. a vírusprogram törzsét eltávolítják a fájlból, visszaállítva a fájlokat eredeti állapotukba. Munkájuk elején a fágok vírusokat keresnek a RAM-ban, megsemmisítik azokat, és csak ezután kezdik a fájlok „kezelését”. A fágok között megkülönböztetünk polifágokat, azaz. orvosi programok, amelyeket nagyszámú vírus megtalálására és megsemmisítésére terveztek. Ezek közül a leghíresebbek: Aidstest, Scan, Norton Antivirus, Doktor Web.

Tekintettel arra, hogy folyamatosan jelennek meg az új vírusok, az észlelő és orvosi programok gyorsan elavulnak, és rendszeres frissítésre van szükség.

Könyvvizsgálói programok a vírusok elleni védekezés legmegbízhatóbb eszközei közé tartoznak. Az auditorok emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógép nem fertőzött vírussal, majd időszakonként vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredeti állapottal. Az észlelt változások megjelennek a monitor képernyőjén. Általános szabály, hogy az állapotokat közvetlenül az operációs rendszer betöltése után hasonlítják össze. Összehasonlításkor a fájl hosszát, a ciklikus vezérlőkódot (fájl ellenőrző összegét), a módosítás dátumát és időpontját, valamint egyéb paramétereket ellenőrzik. Az auditáló programok meglehetősen fejlett algoritmusokkal rendelkeznek, észlelik a lopakodó vírusokat, és még az ellenőrzött programverzió módosításait is meg tudják tisztítani a vírus által végrehajtott módosításoktól. A programok-auditorok közé tartozik az Oroszországban széles körben használt Adinf program.

Szűrő programok vagy "őr" kis rezidens programok, amelyek a vírusokra jellemző gyanús számítógépes tevékenységek észlelésére szolgálnak. Ilyen műveletek lehetnek:

Megpróbálja kijavítani a fájlokat COM, EXE kiterjesztéssel

fájlattribútumok megváltoztatása

Közvetlen írás a lemezre abszolút címen

Írás a lemez indító szektoraiba

Amikor bármely program megpróbálja végrehajtani a megadott műveleteket, a "figyelő" üzenetet küld a felhasználónak, és felajánlja, hogy tiltja vagy engedélyezi a megfelelő műveletet. A szűrőprogramok nagyon hasznosak, mivel képesek a vírust a létezés legkorábbi szakaszában észlelni, még a szaporodás előtt. Azonban nem "gyógyítják" a fájlokat és a lemezeket. A vírusok elpusztításához más programokat, például fágokat kell használnia. A watchdog programok hátrányai közé tartozik a "bosszantóság" (például folyamatosan figyelmeztetnek minden végrehajtható fájl másolására tett kísérletre), valamint az esetleges konfliktusok más szoftverekkel. Szűrőprogramra példa a Vsafe program, amely az MS DOS segédprogramcsomag része.

Védőoltások vagy immunizálók rezidens programok, amelyek megakadályozzák a fájlfertőzést. Vakcinákat alkalmaznak, ha nincsenek orvosi programok, amelyek "kezelik" ezt a vírust. A védőoltás csak ismert vírusok ellen lehetséges. A vakcina úgy módosítja a programot vagy a lemezt, hogy az ne befolyásolja a munkájukat, és a vírus fertőzöttnek fogja fel őket, ezért nem tud gyökeret verni. Az oltóprogramok jelenleg korlátozottan használhatók.

A vírussal fertőzött fájlok és lemezek időben történő felismerése, az észlelt vírusok teljes megsemmisítése minden számítógépen segít elkerülni a vírusjárvány átterjedését más számítógépekre.

6.3. A vírusok elleni védekezés alapvető intézkedései

A számítógép vírusokkal való megfertőződésének megelőzése és biztosítása érdekében biztonságos tárolás A lemezeken található információkkal kapcsolatban a következő szabályokat kell betartani:

¨ szerelje fel számítógépét olyan naprakész vírusirtó programokkal, mint az Aidstest, a Doctor Web, és folyamatosan frissítse azok verzióit

¨ Mielőtt más számítógépeken tárolt információkat olvasna le hajlékonylemezről, mindig ellenőrizze ezeket a hajlékonylemezeket víruskereső programokkal a számítógépén.

¨ amikor archivált fájlokat visz át a számítógépre, azonnal ellenőrizze őket, miután kicsomagolta őket a merevlemezről, és az ellenőrzési területet csak az újonnan rögzített fájlokra korlátozza.

¨ Rendszeresen ellenőrizze a vírusokat merevlemezek számítógépen víruskereső programok futtatásával, hogy teszteljék a fájlokat, a memóriát és a lemezek rendszerterületeit egy írásvédett hajlékonylemezről az operációs rendszer írásvédett rendszerlemezről való betöltése után

¨ Mindig védje meg a hajlékonylemezeit, ha más számítógépeken dolgozik, ha azok nem lesznek információba írva

¨ Ügyeljen arra, hogy az értékes információkról készítsen archív másolatokat lemezekre

¨ az operációs rendszer bekapcsolásakor vagy újraindításakor ne hagyjon hajlékonylemezeket az A meghajtó zsebében, hogy megelőzze a számítógép indítóvírusokkal való megfertőzését

¨ használjon vírusirtó programokat a számítógépes hálózatokról kapott összes végrehajtható fájl bemeneti vezérlésére

¨ a nagyobb biztonság érdekében az Aidstest és a Doctor Web használatát kombinálni kell az Adinf lemezauditor napi használatával

KÖVETKEZTETÉS

Tehát számos tényt idézhetünk, amelyek arra utalnak, hogy az információforrás fenyegetettsége napról napra növekszik, pánikba ejtve a felelős személyeket a bankokban, vállalkozásokban és vállalatokban szerte a világon. Ezt a fenyegetést pedig a létfontosságú, értékes információkat eltorzító vagy megsemmisítő számítógépes vírusok jelentik, amelyek nemcsak anyagi veszteségekhez, hanem emberáldozatokhoz is vezethetnek.

Számítógépes vírus - egy speciálisan írt program, amely spontán módon csatlakozhat más programokhoz, másolatokat készíthet magáról, és beágyazhatja azokat fájlokba, számítógépes rendszerterületekbe és számítógépes hálózatok a programok működésének megzavarása, fájlok és könyvtárak sérülése érdekében mindenféle interferenciát okoz a számítógép működésében.

Jelenleg több mint 5000 szoftvervírus ismert, amelyek száma folyamatosan növekszik. Vannak esetek, amikor oktatóanyagokat készítettek a vírusok írásának elősegítésére.

A vírusok fő típusai: boot, file, file-boot. A vírusok legveszélyesebb típusa a polimorf.

A számítógépes virológia történetéből egyértelműen kiderül, hogy minden eredeti számítógépes fejlesztés az új technológiákhoz való alkalmazkodásra, a vírusirtó programok folyamatos fejlesztésére kényszeríti az antivírusok készítőit.

A vírusok megjelenésének és terjedésének okai egyrészt az emberi pszichológiában, másrészt az operációs rendszer védelem hiányában rejtőznek.

A vírusok behatolásának fő módja a cserélhető meghajtók és a számítógépes hálózatok. Ennek elkerülése érdekében tegyen óvintézkedéseket. Ezenkívül számos speciális programot, úgynevezett víruskeresőt fejlesztettek ki a számítógépes vírusok észlelésére, eltávolítására és az ellenük való védekezésre. Ha mégis vírust talál a számítógépén, akkor a hagyományos megközelítés szerint jobb, ha szakembert hív, hogy ő tudja tovább találni.

De a vírusok bizonyos tulajdonságai még a szakértőket is megzavarják. Egészen a közelmúltig nehéz volt elképzelni, hogy egy vírus túlélje a hideg újraindítást vagy terjedjen a dokumentumfájlokon keresztül. Ilyen körülmények között lehetetlen nem tulajdonítani jelentőséget a felhasználók legalább kezdeti vírusvédelmi oktatásának. A probléma súlyossága ellenére egyetlen vírus sem képes annyi kárt okozni, mint egy kifehéredett, remegő kezű felhasználó!

Így, számítógépeinek egészsége, adatainak biztonsága - az Ön kezében!

Bibliográfiai lista

1. Informatika: Tankönyv / szerk. Prof. N.V. Makarova. - M.: Pénzügy és statisztika, 1997.

2. Titkok és szenzációk enciklopédiája / Készült. szöveg: Yu.N. Petrov. - Minszk: Irodalom, 1996.

3. Bezrukov N.N. Számítógépes vírusok. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Modern technológiák a vírusok elleni küzdelemhez // PC World. - 8. sz. - 1993.

Bár az általános információvédelem és a megelőző intézkedések nagyon fontosak a vírusok elleni védekezésben, speciális programok használata szükséges. Ezek a programok több típusra oszthatók:

  • ? Az érzékelőprogramok ellenőrzik, hogy a lemezen lévő fájlok tartalmaznak-e egy ismert vírushoz tartozó bájtok meghatározott kombinációját (aláírást), és jelentik ezt a felhasználónak (VirusScan/SCAN/McAfee Associates).
  • ? Az orvosi programok vagy fágok úgy „gyógyítják ki” a fertőzött programokat, hogy „kiharapják” a vírus testét a fertőzött programokból, az élőhely (fertőzött fájl) helyreállításával és anélkül is – a SCAN program gyógyító modulja a CLEAN program.
  • ? A Doctor-detector programok (Lozinsky's Aidstest, Danilov's Doctor Web, MSAV, Norton Antivirus, Kaspersky's AVP) képesek felismerni egy ismert vírus jelenlétét a lemezen, és meggyógyítani a fertőzött fájlt. Manapság a víruskereső programok leggyakoribb csoportja.

A nagyon egyszerű eset a lemez tartalmának vírusellenőrzésére szolgáló parancs a következő: aidstest /key1/key2 /key3 /---

  • ? A szűrőprogramok (figyelők) a számítógép RAM-jában helyezkednek el, és lehallgatják azokat az operációs rendszernek küldött hívásokat, amelyeket a vírusok arra használnak, hogy szaporodjanak és kárt okozzanak, és jelentsék a felhasználónak:
  • - kísérlet az operációs rendszer fő COMMAND.COM fájljának megrongálására;
  • - közvetlen írási kísérlet a lemezre (az előző rekord törlődik), miközben megjelenik egy üzenet, hogy valamilyen program a lemezre próbál másolni;
  • - lemez formázás,
  • - a program rezidens elhelyezése a memóriában.

A szűrőprogram, miután észlelte a fenti műveletek valamelyikének kísérletét, leírja a felhasználót a helyzetről, és megerősítést kér. A felhasználó engedélyezheti vagy letilthatja ezt a műveletet. A vírusokra jellemző műveletek ellenőrzése a megfelelő megszakítások kezelőinek cseréjével történik. Ezeknek a programoknak a hátrányai közé tartozik a tolakodó képesség (a figyelő például figyelmeztetést ad minden végrehajtható fájl másolására irányuló kísérletről), esetleges konfliktusok más szoftverekkel, egyes vírusok a watchdogok megkerülése. Példák szűrőkre: Anti4us, Vsafe, Disk Monitor.

Meg kell jegyezni, hogy ma az orvos-detektor osztály számos programja rendelkezik rezidens modullal - szűrővel (figyelővel), például DR Web, AVP, Norton Antivirus. Így az ilyen programok az orvos-detektor-tároló kategóriába sorolhatók.

  • ? Hardver és szoftver antivírus eszközök (Hardver és szoftver komplexum Sheriff). A watchdog programokkal egyenrangú hardveres és szoftveres víruskereső eszközök, amelyek megbízhatóbb védelmet nyújtanak a vírusok rendszerbe való behatolása ellen. Az ilyen komplexumok két részből állnak: hardver, amely mikroáramkör formájában van telepítve alaplapés szoftver, lemezre írva. A hardver rész (vezérlő) felügyeli az összes lemezírási műveletet, a szoftver rész pedig be van kapcsolva Véletlen hozzáférésű memória rezidens, nyomon követi az összes bemeneti / kimeneti információt. Azonban ezen eszközök használatának lehetősége alapos megfontolást igényel a számítógépen használt kiegészítő berendezések, például lemezvezérlők, modemek vagy hálózati kártyák konfigurációja tekintetében.
  • ? Auditor programok (Adinf/Advanced Disk infoscope/kikeményítő blokkal ADinf Cure Module Bridge). A program-auditorok munkája két szakaszból áll. Először emlékeznek a programok állapotára és a lemezrendszer területeire vonatkozó információkra ( rendszerindító szektorés merevlemez-partíciós táblával rendelkező szektorok). Feltételezhető, hogy jelenleg a lemezek programjai és rendszerterületei nem fertőzöttek. Ezután a rendszerterületek és lemezek összehasonlításakor az eredetivel, ha eltérést találunk, azt jelenti a felhasználónak. Az auditor programok képesek észlelni a láthatatlan (STEALTH) vírusokat. A fájl hosszának ellenőrzése nem elegendő, egyes vírusok nem változtatják meg a fertőzött fájlok hosszát. Megbízhatóbb ellenőrzés a teljes fájl beolvasása és az ellenőrző összeg kiszámítása (bitenként). Szinte lehetetlen megváltoztatni a teljes fájlt úgy, hogy az ellenőrző összeg változatlan maradjon. Az auditorok kisebb hátrányai közé tartozik, hogy a biztonság érdekében rendszeresen kell őket használni, például naponta hívva az AUTOEXEC.BAT fájlból. De kétségtelen előnyeik Magassebesség ellenőrzi, és nem igényelnek gyakori verziófrissítést. Az auditor verziói még hat hónappal ezelőtt is megbízhatóan észlelik és eltávolítják a modern vírusokat.
  • ? Program vakcinák vagy immunizálók (CPAV). Az oltóprogramok úgy módosítják a programokat és a lemezeket, hogy ez ne befolyásolja a programok működését, de a vírus, amely ellen az oltást végezzük, ezeket a programokat és lemezeket már fertőzöttnek tekinti. Ezek a programok nem elég hatékonyak.

Hagyományosan a vírus elleni védekezés stratégiája többszintű „réteges” védekezésként definiálható. Szerkezetileg így nézhet ki. A vírusok elleni „védelemben” a felderítés eszközei megfelelnek az olyan detektorprogramoknak, amelyek lehetővé teszik az újonnan kapott szoftver vírusok jelenlétének meghatározását. A védelem élvonalában azok a szűrőprogramok állnak, amelyekben rezidensek számítógép memória. Ezek a programok elsőként jelenthetik a vírus működését. A „védelem” második lépcsőjét az ellenőrzési programok alkotják. A revizorok akkor is észlelik a vírus támadását, amikor az a védelem frontvonalán sikerült „kiszivárognia”. Az orvosi programokat a fertőzött programok visszaállítására használják, ha a fertőzött program másolata nincs az archívumban, de nem mindig gyógyulnak megfelelően. Az orvos-auditorok észlelik a vírus támadását és kezelik a fertőzött programokat, ellenőrzik a kezelés helyességét. A védelem legmélyebb rétege a hozzáférés-ellenőrzés eszköze. Nem engedik, hogy a vírusok és a rosszul működő programok, még ha behatoltak a számítógépbe is, elrontsanak a fontos adatokat. A "stratégiai tartalék" az információk archív másolatait és a szoftvertermékeket tartalmazó "referencia" hajlékonylemezeket tartalmazza. Lehetővé teszik az adatok helyreállítását, ha azok sérültek.

Az egyes vírustípusok káros hatásai nagyon változatosak lehetnek. Ez magában foglalja a fontos fájlok vagy akár a BIOS „firmware” törlését, személyes adatok, például jelszavak továbbítását egy adott címre, jogosulatlan e-mailek és támadások megszervezését egyes webhelyeken. Lehetőség van a tárcsázás megkezdésére is mobiltelefon prémium számokhoz. segédprogramok rejtett ügyintézés(backdoor) akár teljes ellenőrzést is adhat a támadónak a számítógép felett. Szerencsére mindezen bajok sikeresen kezelhetők, és ebben a küzdelemben a fő fegyver természetesen a vírusirtó szoftver lesz.

Kaspersky Anti-Virus. Talán a "Kaspersky Anti-Virus" a leghíresebb ilyen típusú termék Oroszországban, és a "Kaspersky" név a rosszindulatú kódok elleni harcos szinonimájává vált. Az azonos nevű laboratórium nemcsak biztonsági szoftvereinek új verzióit adja ki folyamatosan, hanem oktatási munkát is végez a számítógép-felhasználók körében. A Kaspersky Anti-Virus legújabb, kilencedik verziója a korábbi kiadásokhoz hasonlóan egyszerű és maximálisan átlátható felülettel rendelkezik, amely az összes szükséges segédprogramot egy ablakban egyesíti. A telepítővarázslónak és az intuitív menüopcióknak köszönhetően még egy kezdő felhasználó is beállíthatja ezt a terméket. Az alkalmazott algoritmusok ereje a szakembereket is kielégíti. Az egyes észlelt vírusok részletes leírása megtalálható a megfelelő internetes oldal felhívásával közvetlenül a programból.

Dr. Web. Egy másik népszerű orosz vírusirtó, amely népszerűségében vetekszik a Kaspersky Anti-Virus-szal, Dr. Web. Próbaváltozatának van egy érdekessége: kötelező az interneten keresztüli regisztráció. Ez egyrészt nagyon jó - a regisztráció után azonnal frissülnek a víruskereső adatbázisok, és a felhasználó megkapja a legfrissebb aláírási adatokat. Másrészt lehetetlen offline próbaverziót telepíteni, és a tapasztalatok szerint a problémák elkerülhetetlenek egy instabil kapcsolatnál.

Panda Antivirus + Firewall 2007. Komplett megoldás a számítógépes biztonság területén - a Panda Antivirus + Firewall 2007 csomag - a vírusirtó programon kívül tartalmaz egy tűzfalat, amely figyeli hálózati tevékenység. A program főablakának felülete "természetes" zöld tónusokkal van kialakítva, de a látványosság ellenére a menünavigációs rendszer kényelmetlenül épül fel, és a kezdő felhasználó összezavarodhat a beállításokban.

A Panda csomag egyszerre több eredeti megoldást is tartalmaz, mint például a TruePrevent, a legmodernebb heurisztikus algoritmusokon alapuló, szabadalmaztatott technológiát az ismeretlen fenyegetések keresésére. Érdemes odafigyelni a számítógépes sebezhetőségek keresésének segédprogramjára - felméri a biztonsági rendszer „lyukak” veszélyét, és felajánlja a szükséges frissítések letöltését.

Norton Antivirus 2005. A híres Symantec cég termékének – a Norton Antivirus 2005 vírusirtó komplexumnak – a fő benyomása az, hogy a nagy teljesítményű számítástechnikai rendszerekre összpontosít. A Norton Antivirus 2005 kezelőfelülete észrevehetően késve reagál a felhasználói műveletekre. Ezenkívül a telepítés során meglehetősen szigorú követelményeket támaszt az operációs rendszer verzióival és a internet böngésző. A Dr.Web-el ellentétben a Norton Antivirus nem követeli meg a vírusadatbázisok kötelező frissítését a telepítés során, de a működés teljes ideje alatt emlékezteti Önt, hogy elavultak.

McAfee VirusScan. A McAfee VirusScan egy érdekes vírusirtó termékre esett a választásunk, amely fejlesztői szerint a világelső. Feltételezve, hogy ez az érték a széles funkcionalitásnak köszönhető, folytattuk a telepítést, és megállapítottuk, hogy a víruskeresőn kívül tűzfalat is tartalmaz, valamint segédprogramokat a merevlemez tisztításához és a tárgyak garantált eltávolításához a merevlemezről. meghajtó (reszelő).

Kérdések a 6. és 7. fejezethez

  • 1. Az információbiztonsági eszközök és technológiák fejlődésének szakaszai.
  • 2. A szabványos biztonsági modell összetevői.
  • 3. A biztonsági fenyegetések forrásai és osztályozásuk.
  • 4. Nem szándékos veszélyek az információbiztonságra.
  • 5. Az információbiztonság szándékos fenyegetése.
  • 6. Információszivárgási csatornák osztályozása.
  • 7. Információbiztonsági problémák szabályozása.
  • 8. Szerkezet államrendszer információvédelem.
  • 9. Az információvédelem módszerei és eszközei.
  • 10. Az adatbiztonsági fenyegetések osztályozása.
  • 11. Módszerek az információk vírus elleni védelmére.
  • 12. Az integritás-ellenőrzés módszerei.
  • 13. Számítógépes vírusok osztályozása.
  • 14. A vírusok elleni védekezés eszközei.
  • 15. Megelőző vírusellenes intézkedések.
  • 16. A szoftveres antivírus termékek osztályozása.

A vírusok kimutatásának alapvető módszerei

a víruskereső programok a vírusok fejlődésével párhuzamosan fejlődtek. Ahogy megjelentek a vírusok létrehozására szolgáló új technológiák, az antivírusok fejlesztéséhez használt matematikai berendezés bonyolultabbá vált.

Az első vírusirtó algoritmusok a szabvánnyal való összehasonlítás alapján készültek. Olyan programokról beszélünk, amelyekben a vírust valamilyen maszk határozza meg a klasszikus kernel. Az algoritmus jelentése statisztikai módszerek alkalmazása. A maszknak egyrészt kicsinek kell lennie, hogy a fájl mérete elfogadható legyen, másrészt elég nagynak ahhoz, hogy elkerülje a hamis pozitív eredményeket (amikor a "barát" "idegen"-ként érzékelhető, és fordítva.

Az első ezen az elven felépített vírusirtó programok (az ún. polyphage scannerek) bizonyos számú vírust ismertek és kezelni tudtak. Ezek a programok a következőképpen készültek: a fejlesztő, miután megkapta a víruskódot (a víruskód eleinte statikus volt), ebből a kódból egyedi maszkot (10-15 bájtos sorozat) összeállított, és bevitte az anti-adatbázisba. -vírus program. A víruskereső program átvizsgálta a fájlokat, és ha megtalálta ezt a bájtsorozatot, arra a következtetésre jutott, hogy a fájl fertőzött. Ezt a szekvenciát (aláírást) úgy választottuk ki, hogy egyedi legyen, és ne forduljon elő egy szabályos adathalmazban.

A leírt megközelítéseket a legtöbb vírusirtó a 90-es évek közepéig alkalmazta, amikor is megjelentek az első polimorf vírusok, amelyek előre megjósolhatatlan algoritmusok szerint változtatták meg testüket. Akkoriban az aláírási módszert kiegészítette az úgynevezett processzoremulátor, amely lehetővé tette olyan titkosított és polimorf vírusok felkutatását, amelyeknek kifejezetten nem volt állandó aláírása.

A processzor emuláció elvét az ábra mutatja. egy . Ha általában egy feltételes lánc három fő elemből áll: CPU®OS®Program, akkor a processzor emulálásakor egy emulátort adnak az ilyen lánchoz. Az emulátor mintegy virtuális térben reprodukálja a program munkáját, és rekonstruálja annak eredeti tartalmát. Az emulátor mindig képes megszakítani program végrehajtása, irányítja a műveleteit, nem hagyja, hogy bármi elrontsa, és meghívja a víruskereső motort.

A második mechanizmus, amely a 90-es évek közepén jelent meg, és minden vírusirtó alkalmazza, az heurisztikus elemzés. A tény az, hogy a processzor emulációs berendezés, amely lehetővé teszi az elemzett program által végrehajtott műveletek összefoglalását, nem mindig teszi lehetővé ezeknek a műveleteknek a keresését, de lehetővé teszi bizonyos elemzések elvégzését és hipotézis felállítását, mint pl. „Vírus vagy nem vírus?”.

Ebben az esetben a döntéshozatal statisztikai megközelítéseken alapul. A megfelelő programot pedig heurisztikus elemzőnek hívják.

A szaporodáshoz a vírusnak bizonyos konkrét műveleteket kell végrehajtania: memóriába másolást, szektorokba írást stb. A heurisztikus elemző (a vírusirtó motor része) tartalmazza az ilyen műveletek listáját, átnézi a végrehajtott programkódot, meghatározza, mit csinál, és ez alapján eldönti, hogy ez a program vírus vagy sem.

Ugyanakkor a víruskihagyás százalékos aránya, még a víruskereső program számára is ismeretlen, nagyon kicsi. Ez a technológia ma már széles körben használják minden vírusirtó programban.

A víruskereső programok osztályozása

az antivírus programokat tiszta vírusirtókra és kettős célú vírusirtókra osztják (2. ábra).

A tiszta víruskeresőket egy víruskereső motor jelenléte különbözteti meg, amely a minták alapján történő keresés funkcióját végzi. Ebben az esetben az alapvető, hogy a vírus ismertsége esetén a kezelés lehetséges. A tiszta víruskeresők viszont két kategóriába sorolhatók a fájlokhoz való hozzáférés típusa szerint: azok, amelyek a hozzáférést szabályozzák (hozzáférés esetén) vagy igény szerint (igény szerint). Az on access termékeket általában monitoroknak, az igény szerinti termékeket pedig szkennereknek hívják.

Igény szerint a termék a következő séma szerint működik: a felhasználó ellenőrizni akar valamit, és kérést (igénylést) ad ki, amely után az ellenőrzés megtörténik. Az On access-product egy rezidens program, amely figyeli a hozzáférést, és a hozzáférés időpontjában ellenőrzést hajt végre.

Ezenkívül a víruskereső programok, mint a vírusok, feloszthatók attól függően, hogy melyik platformon belül ez a vírusirtó művek. Ebben az értelemben a Windows vagy a Linux mellett a platformok közé tartozhat a Microsoft Exchange Server, Microsoft Office, Lotus Notes.

A kettős célú programok víruskereső és nem víruskereső szoftverekben egyaránt használt programok. Például a CRC-checker - egy ellenőrző összeg alapú változás-ellenőr - nem csak vírusok elkapására használható. Számos kettős célú program viselkedésblokkoló, amely elemzi más programok viselkedését, és ha gyanús műveleteket észlel, blokkolja azokat. A viselkedésblokkolók eltérnek a klasszikus vírusirtótól egy antivírus maggal, amely felismeri és gyógyítja a laboratóriumban elemzett vírusokat, amelyekre kezelési algoritmust írtak fel, a viselkedési blokkolók pedig nem tudják, hogyan kell kezelni a vírusokat, mert semmit sem tudnak róluk. A blokkolók ezen tulajdonsága lehetővé teszi számukra, hogy bármilyen vírussal dolgozzanak, beleértve az ismeretleneket is. Ez manapság különösen fontos, hiszen a vírusok és antivírusok forgalmazói ugyanazokat az adatátviteli csatornákat, azaz az internetet használják. Ugyanakkor a vírusirtó cégnek mindig időre van szüksége ahhoz, hogy magát a vírust megszerezze, elemezze és megírja a megfelelő kezelési modulokat. A kettős célú csoport programjai csak annyit tesznek lehetővé, hogy megakadályozzák a vírus terjedését, amíg a cég meg nem ír egy kezelési modult.

A legnépszerűbb személyes víruskeresők áttekintése

Az áttekintés öt jól ismert fejlesztőtől tartalmazza a legnépszerűbb személyes használatra szánt vírusirtókat. Meg kell jegyezni, hogy néhány alább tárgyalt vállalat a személyes programok több verzióját kínálja, amelyek funkcionalitásban és ennek megfelelően árban különböznek egymástól. Áttekintésünkben minden cégtől egy-egy terméket néztünk meg, kiválasztva a legfunkcionálisabb verziót, amelyet általában Personal Pro-nak hívnak. Egyéb személyes víruskereső lehetőségek a megfelelő webhelyeken találhatók.

Kaspersky Anti-Virus

Személyes Prov. 4.0

Fejlesztő: Kaspersky Lab. Weboldal: http://www.kaspersky.ru/. Ára 69 dollár (1 évre szóló licenc).

A Kaspersky Anti-Virus Personal Pro (3. ábra) az egyik legnépszerűbb megoldás orosz piacés tartalmaz egész sor egyedi technológiák.

Viselkedésblokkoló Az Office Guard modul vezérli a makrók végrehajtását, megelőzve minden gyanús műveletet. Az Office Guard modul jelenléte 100%-os védelmet nyújt a makróvírusok ellen.

Az Inspector figyeli a számítógépén végrehajtott összes változást, és ha jogosulatlan változtatásokat észlel a fájlokban vagy azokban rendszerleíró adatbázis lehetővé teszi a lemez tartalmának visszaállítását és a rosszindulatú kódok eltávolítását. Az Inspector nem igényli a víruskereső adatbázis frissítését: az integritás ellenőrzése az eredeti fájl ujjlenyomatainak (CRC-összegeinek) vétele és a módosított fájlokkal való későbbi összehasonlítása alapján történik. Más auditorokkal ellentétben az Inspector az összes legnépszerűbb futtatható fájlformátumot támogatja.

A heurisztikus elemző lehetővé teszi a számítógép védelmét még az ismeretlen vírusoktól is.

A számítógép memóriájában állandóan jelenlévő Monitor háttér víruselfogó vírusellenőrzést végez az összes fájl indítása, létrehozása vagy másolása pillanatában, ami lehetővé teszi az összes fájlművelet vezérlését és a fertőzések megelőzését még a technológiailag legfejlettebbek számára is. vírusok.

A víruskereső e-mail szűrés megakadályozza a vírusok bejutását a számítógépére. A Mail Checker beépülő modul nemcsak a vírusokat távolítja el az e-mailek törzséből, hanem teljesen visszaállítja az e-mailek eredeti tartalmát is. A levelezés átfogó vizsgálata megakadályozza, hogy egy vírus megbújjon az e-mail bármely elemében azáltal, hogy átvizsgálja a bejövő és kimenő üzenetek összes részét, beleértve a csatolt fájlokat (beleértve az archivált és csomagolt) és az egyéb, bármilyen beágyazási szintű üzeneteket.

Víruskereső A szkenner lehetővé teszi a helyi és hálózati meghajtók teljes tartalmának igény szerinti teljes körű vizsgálatát.

A Script Checker elfogó biztosítja az összes futó szkript vírusellenőrzését azok végrehajtása előtt.

Az archivált és tömörített fájlok támogatása lehetővé teszi a rosszindulatú kódok eltávolítását a fertőzött tömörített fájlokból.

A fertőzött objektumok elkülönítése biztosítja a fertőzött és gyanús objektumok elkülönítését, majd azok egy speciálisan szervezett könyvtárba történő átvitelét további elemzés és helyreállítás céljából.

A vírusvédelem automatizálása lehetővé teszi a programkomponensek ütemezésének és sorrendjének létrehozását; automatikusan letölti és csatlakoztatja az új víruskereső adatbázis-frissítéseket az interneten keresztül; riasztást küldeni az észlelt vírustámadásokról a címre email stb.

Norton AntiVirus 2003 Professional Edition

Fejlesztő: Symantec. Weboldal: http://www.symantec.ru/.

Az ára 89,95 euró.

alatt fut a program Windows vezérlés 95/98/Me/NT4.0/2000 Pro/XP.

Ára 39,95 dollár

A program Windows 95/98/Me/NT4.0/2000 Pro/XP alatt fut.