Antivírusový program (antivírus) - program na zisťovanie a odstraňovanie počítačových vírusov a iných malvér, zabránenie ich šíreniu, ako aj obnovenie programov nimi infikovaných.

Hlavné úlohy modernej antivírusové programy:

  • - Skenujte súbory a programy v reálnom čase.
  • -- Kontrola počítača na požiadanie.
  • -- Skenovanie internetovej prevádzky.
  • -- Skenovanie e-mailov.
  • -- Ochrana pred útokmi z nebezpečných webových stránok.
  • -- Zotavovanie poškodené súbory(liečba).

Klasifikácia antivírusových programov:

  • · detektorové programy zabezpečiť vyhľadávanie a detekciu vírusov v RAM a na externých médiách a po zistení vydať zodpovedajúcu správu. Existujú detektory:
    • 1. univerzálne - používajú vo svojej práci na kontrolu invariantnosti súborov počítaním a porovnávaním so štandardom kontrolného súčtu
    • 2. špecializovaný- vyhľadávanie známych vírusov podľa ich podpisu (opakujúca sa časť kódu). Nevýhodou takýchto detektorov je, že nedokážu odhaliť všetky známe vírusy.

Detektor, ktorý dokáže odhaliť niekoľko vírusov, sa nazýva polydetektor. Nevýhodou takýchto antivírusových programov je, že dokážu nájsť iba vírusy, ktoré poznajú vývojári takýchto programov.

  • · Lekárske programy (fágy) vírusom napadnuté súbory nielen nájsť, ale aj „ošetriť“, t.j. odstráňte telo vírusového programu zo súboru a vráťte súbory do počiatočný stav. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „liečení“ súborov. Spomedzi fágov sa rozlišujú polyfágy, t.j. doktorské programy určené na vyhľadávanie a ničenie veľkého počtu vírusov. Vzhľadom na to, že sa neustále objavujú nové vírusy, detekčné programy a programy lekárov rýchlo zastarávajú a je potrebné pravidelne aktualizovať ich verzie.
  • · Audítorské programy patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si zapamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke monitora. Porovnanie stavov sa spravidla vykonáva ihneď po načítaní operačný systém. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas úpravy a ďalšie parametre.
  • · Filtrovať programy (strážny pes) sú malé rezidentné programy určené na detekciu podozrivej činnosti počítača, ktorá je charakteristická pre vírusy. Takéto akcie môžu byť:
    • 1. pokúsi sa opraviť súbory s príponami COM a EXE;
    • 2. zmena atribútov súboru;
    • 3. priamy zápis na disk na absolútnu adresu;
    • 4. zápis do zavádzacích sektorov disku;

očkovacie programy (imunizátory) sú rezidentné programy, ktoré zabraňujú infekcii súborov. Vakcíny sa používajú, ak neexistujú žiadne programy lekárov, ktoré by „liečili“ tento vírus. Očkovanie je možné len proti známym vírusom. Vakcína upraví program alebo disk tak, že neovplyvní ich prácu a vírus ich bude vnímať ako infikované, a preto sa nezakorení. Významnou nevýhodou takýchto programov je ich obmedzená schopnosť zabrániť infekcii Vysoké číslo rôzne vírusy.

Funkcie antivírusových programov

Ochrana pred vírusmi v reálnom čase

Väčšina antivírusových programov ponúka ochranu v reálnom čase. To znamená, že antivírusový program každú sekundu chráni váš počítač pred všetkými prichádzajúcimi hrozbami. Preto aj keď vírus nenapadol váš počítač, mali by ste zvážiť inštaláciu antivírusového programu s ochranou v reálnom čase, aby ste zabránili ďalšiemu šíreniu infekcie.

Detekcia hrozieb

Antivírusové programy môžu skenovať celý počítač na prítomnosť vírusov. Najprv sa skontrolujú najzraniteľnejšie oblasti, systémové priečinky a RAM. Skenovacie sektory si môžete zvoliť aj sami, alebo zvoliť napríklad kontrolu konkrétneho pevný disk. Nie všetky antivírusy sú však vo svojich algoritmoch rovnaké a niektoré antivírusové programy majú vyššiu mieru detekcie ako iné.

Automatické aktualizácie

Nové vírusy vznikajú a objavujú sa každý deň. Preto je mimoriadne dôležité, aby antivírusové programy dokázali aktualizovať antivírusové databázy (zoznam všetkých známych vírusov, starých aj nových). Automatická aktualizácia je potrebný, pretože zastaraný antivírus nedokáže odhaliť nové vírusy a hrozby. Tiež, ak antivírusový program ponúka iba manuálna aktualizácia môžete zabudnúť aktualizovať svoje antivírusové definície a váš počítač sa môže nakaziť novým vírusom. Skúste si vybrať antivírus s automatickými aktualizáciami.

Upozornenia

Antivírus vás upozorní, keď sa nejaký program pokúsi získať prístup k vášmu počítaču. Príkladom sú internetové aplikácie. Mnohé programy, ktoré sa pokúšajú dostať do vášho PC, sú neškodné alebo ste si ich stiahli dobrovoľne, a tak vám antivírusové programy dávajú možnosť sami sa rozhodnúť, či ich inštaláciu či prevádzku povolíte alebo zablokujete.

Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár

Študenti, postgraduálni študenti, mladí vedci, ktorí pri štúdiu a práci využívajú vedomostnú základňu, vám budú veľmi vďační.

Hostené na http://www.allbest.ru/

Klasifikácia antivírusov

Antivírus je softvérový balík špeciálne navrhnutý na ochranu, zachytávanie a odstraňovanie počítačových vírusov a iných škodlivých programov.

Moderné antivírusové programy dokážu efektívne odhaliť škodlivé objekty v programových súboroch a dokumentoch. V niektorých prípadoch môže antivírus odstrániť telo škodlivého objektu z infikovaného súboru a obnoviť samotný súbor. Vo väčšine prípadov je antivírus schopný odstrániť škodlivý programový objekt nielen z programového súboru, ale aj zo súboru kancelárskych dokumentov bez narušenia jeho integrity. Používanie antivírusových programov nevyžaduje vysokú kvalifikáciu a je dostupné takmer každému používateľovi počítača. V súčasnosti väčšina popredných antivírusových programov kombinuje tieto funkcie trvalá ochrana(antivírusový monitor) a funkcie ochrany na požiadanie (antivírusový skener).

Klasifikácia antivírusov

V súčasnosti neexistuje jednotný systém klasifikácia antivírusových programov.

Klasifikácia antivírusov podľa spôsobu prevádzky

Spoločnosť Kaspersky Lab klasifikuje antivírusy podľa spôsobu ich fungovania:

Kontrola v reálnom čase

Kontrola v reálnom čase, alebo neustála kontrola, zabezpečuje kontinuitu práce antivírusová ochrana. Toto je realizované povinnou kontrolou všetkých akcií vykonaných inými programami a samotným používateľom na škodlivosť, bez ohľadu na ich pôvodné umiestnenie - či už je to vaše vlastné HDD, externé pamäťové médiá, iné sieťové zdroje alebo vlastnú RAM. Overeniu podliehajú aj všetky nepriame akcie prostredníctvom tretích programov.

Kontrola na požiadanie

V niektorých prípadoch nemusí stačiť neustále spustená kontrola v reálnom čase. Je možné, že infikovaný súbor bol skopírovaný do počítača, ktorý bol z dôvodu jeho veľkej veľkosti vylúčený z neustálej kontroly, a preto v ňom nebol detekovaný vírus. Ak sa tento súbor na danom počítači nespustí, vírus môže zostať nepovšimnutý a prejaviť sa až po odoslaní na iný počítač.

Pri tomto režime sa zvyčajne predpokladá, že používateľ osobne určí, ktoré súbory, adresáre alebo oblasti disku sa majú kontrolovať a čas, kedy je potrebné takúto kontrolu vykonať – formou plánu alebo jednorazového manuálneho spustenia.

Klasifikácia antivírusov podľa typu

Antivírusové programy možno tiež klasifikovať podľa typu:

Skenery (iné názvy: fágy, polyfágy)

Princíp činnosti antivírusových skenerov je založený na skenovaní súborov, sektorov a systémovej pamäte a vyhľadávaní v nich známych a nových (pre skener neznámych) vírusov. Na vyhľadávanie známych vírusov sa používajú takzvané „masky“. Vírusová maska ​​je nejaká konštantná kódová sekvencia špecifická pre tento konkrétny vírus. Ak vírus neobsahuje trvalú masku, alebo dĺžka tejto masky nie je dostatočne veľká, potom sa používajú iné metódy. Príkladom takejto metódy je algoritmický jazyk popisujúci všetko možné možnosti kód, s ktorým sa možno stretnúť pri infikovaní týmto typom vírusu. Tento prístup používajú niektoré antivírusy na detekciu polymorfných vírusov.

Mnoho skenerov tiež používa algoritmy „heuristického skenovania“, t.j. analýza postupnosti príkazov v kontrolovanom objekte, zber niektorých štatistík a rozhodovanie pre každý kontrolovaný objekt.

Skenery možno tiež rozdeliť do dvoch kategórií – „univerzálne“ a „špecializované“. Univerzálne skenery sú určené na vyhľadávanie a neutralizáciu všetkých typov vírusov bez ohľadu na operačný systém, v ktorom je skener navrhnutý. Špecializované skenery sú navrhnuté tak, aby neutralizovali obmedzený počet vírusov alebo len jednu z nich, napríklad makrovírusy.

Skenery sa tiež delia na „rezidentné“ (monitory) skenovanie „za chodu“ a „nerezidentné“ skenovanie systému. Údaje sa porovnávajú s údajmi. Na nájdenie vírusu v počítači teda potrebujete, aby už „fungoval“, aby sa prejavili následky jeho činnosti. Táto metóda dokáže nájsť iba známe vírusy, pre ktoré boli predtým opísané fragmenty kódu alebo podpisy. Je nepravdepodobné, že takúto ochranu možno nazvať spoľahlivou.

Procesná analýza

vírusový program počítačový malware

Antivírusové nástroje založené na analýze procesov fungujú trochu inak. "Heuristické analyzátory", ako sú opísané vyššie, analyzujú údaje (na disku, v kanáli, v pamäti atď.). Základný rozdiel je v tom, že analýza sa vykonáva za predpokladu, že analyzovaný kód nie sú dáta, ale príkazy (v počítačoch s von Neumannovou architektúrou sú dáta a príkazy nerozoznateľné, a preto je potrebné predložiť ten či onen predpoklad). počas analýzy.)

„Heuristický analyzátor“ vyberie postupnosť operácií, každej z nich priradí určité hodnotenie „nebezpečenstva“ a na základe celkového „nebezpečenstva“ rozhodne, či je táto postupnosť operácií súčasťou škodlivý kód. Samotný kód sa nespustí.

iný druh antivírusové nástroje založené na procesnej analýze sú „blokátory správania“. V tomto prípade sa podozrivý kód spúšťa krok za krokom, až kým súbor akcií iniciovaných kódom nie je vyhodnotený ako „nebezpečné“ (alebo „bezpečné“) správanie. V tomto prípade je kód čiastočne vykonaný, pretože dokončenie škodlivého kódu je možné zistiť jednoduchšími metódami analýzy údajov.

Technológie detekcie vírusov

Technológie používané v antivírusoch možno rozdeliť do dvoch skupín:

Technológie analýzy podpisov

Analýza podpisov je metóda detekcie vírusov, ktorá kontroluje prítomnosť vírusových podpisov v súboroch. Analýza podpisov je najznámejšou metódou detekcie vírusov a používa sa takmer vo všetkých moderných antivírusoch. Na vykonanie kontroly potrebuje antivírus súbor vírusových signatúr, ktorý je uložený v antivírusovej databáze.

Vzhľadom na to, že analýza signatúr zahŕňa kontrolu súborov na prítomnosť vírusových signatúr, antivírusovú databázu je potrebné pravidelne aktualizovať, aby bol antivírus aktuálny. Samotný princíp analýzy podpisov definuje aj limity jej funkčnosti - schopnosť detekovať len známe vírusy - skener podpisov je proti novým vírusom bezmocný.

Na druhej strane prítomnosť vírusových podpisov naznačuje možnosť liečby infikované súbory detekované pomocou analýzy podpisov. Liečba však nie je prijateľná pre všetky vírusy - trójske kone a väčšina červov nie sú liečiteľné kvôli ich dizajnové prvky, pretože ide o pevné moduly určené na poškodenie.

Kompetentná implementácia vírusovej signatúry umožňuje odhaliť známe vírusy so 100% istotou.

Technológie pravdepodobnostnej analýzy

Technológie pravdepodobnostnej analýzy sú zase rozdelené do troch kategórií:

Heuristická analýza

Behaviorálna analýza

Analýza kontrolného súčtu

Heuristická analýza je technológia založená na pravdepodobnostných algoritmoch, ktorej výsledkom je identifikácia podozrivých objektov. Heuristická analýza kontroluje štruktúru súboru a jeho súlad s vírusovými šablónami. Najpopulárnejšou heuristickou technikou je kontrola obsahu súboru na modifikácie už známych vírusových podpisov a ich kombinácií. To pomáha odhaliť hybridy a nové verzie predtým známych vírusov bez dodatočnej aktualizácie antivírusovej databázy.

Heuristická analýza sa používa na detekciu neznámych vírusov a v dôsledku toho neočakáva pozitíva.

Behaviorálna analýza je technológia, pri ktorej sa rozhoduje o povahe kontrolovaného objektu na základe analýzy operácií, ktoré vykonáva. Behaviorálna analýza má veľmi úzku praktickú aplikáciu, pretože väčšinu akcií typických pre vírusy môžu vykonávať bežné aplikácie. Najznámejšie sú behaviorálne analyzátory skriptov a makier, pretože zodpovedajúce vírusy takmer vždy vykonávajú množstvo podobných akcií.

Bezpečnostné funkcie zabudované v systéme BIOS možno tiež klasifikovať ako analyzátory správania. Keď sa pokúsite vykonať zmeny v zázname MBR počítača, analyzátor akciu zablokuje a používateľovi zobrazí príslušné upozornenie.

Okrem toho môžu analyzátory správania sledovať pokusy o priamy prístup k súborom, zmeny v zavádzacom zázname diskiet, formátovanie pevných diskov atď.

Behaviorálne analyzátory pre svoju prácu nepoužívajú ďalšie objekty, ako sú vírusové databázy, a preto nedokážu rozlíšiť známe a neznáme vírusy – všetky podozrivé programy sú a priori považované za neznáme vírusy. Podobne vlastnosti fungovania nástrojov, ktoré implementujú technológie behaviorálnej analýzy, neimplikujú liečbu.

Analýza kontrolného súčtu je spôsob, ako sledovať zmeny v objektoch počítačového systému. Na základe analýzy charakteru zmien - simultánnosť, hromadný charakter, identické zmeny v dĺžkach súborov - možno usúdiť, že systém je infikovaný. Analyzátory kontrolných súčtov (nazývané aj „audítori zmien“), podobne ako analyzátory správania, pri svojej práci nepoužívajú ďalšie objekty a verdikt o prítomnosti vírusu v systéme vydávajú výlučne metódou expertného hodnotenia. Podobné technológie sa používajú aj v prístupových skeneroch - pri prvej kontrole sa zo súboru vyberie kontrolný súčet a umiestni sa do vyrovnávacej pamäte, pred ďalšou kontrolou toho istého súboru sa kontrolný súčet znova zoberie, porovná a ak nedôjde k zmenám, súbor sa považuje za neinfikovaný.

Antivírusový komplex - súbor antivírusov, ktoré používajú rovnaký antivírusový modul alebo motory, určený na riešenie praktických problémov pri zabezpečovaní antivírusovej bezpečnosti počítačové systémy. Súčasťou antivírusového komplexu sú aj nástroje na aktualizáciu antivírusových databáz.

Okrem toho môže antivírusový komplex dodatočne zahŕňať analyzátory správania a audítorov zmien, ktoré nepoužívajú antivírusový modul.

Existujú nasledujúce typy antivírusových komplexov:

Antivírusový komplex na ochranu pracovných staníc

Antivírusový komplex na ochranu súborových serverov

Antivírusový komplex na ochranu poštových systémov

Antivírusový komplex na ochranu brán.

Hostené na Allbest.ru

Podobné dokumenty

    Pojem a klasifikácia počítačových vírusov. Základné metódy ochrany informácií pred vírusmi. Prehľad moderného softvérové ​​nástroje pre bezpečnú prevádzku vášho počítača. Klasifikácia antivírusov. Kaspersky Antivirus, Norton Antivirus, Dr. Weber, Eset NOD32.

    ročníková práca, pridaná 26.10.2015

    Hlavné úlohy antivírusov a prostriedky antivírusovej ochrany osobného počítača. Ako vírusy fungujú a ako sa šíria. Metódy a technológie ochrany pred škodlivými programami. Všeobecné požiadavky bezpečnosť pri používaní počítača.

    abstrakt, pridaný 22.09.2016

    Štúdia o histórii počítačových vírusov a antivírusov. Štúdium hlavných spôsobov prenikania škodlivých programov do počítača. Typy vírusov a antivírusových programov. Charakterizácia vlastností podpisových a heuristických metód antivírusovej ochrany.

    abstrakt, pridaný 10.08.2014

    Hlavné metódy ochrany pred počítačovými vírusmi. Hlavné znaky prejavu vírusov: ukončenie programov, pomalá prevádzka počítača, zmeny veľkosti, dátumu a času súborov. Spôsoby výskytu vírusov. Charakteristika známych antivírusov.

    prezentácia, pridané 12.2.2011

    Fenomén počítačových vírusov. Klasifikácia počítačových vírusov. Typy antivírusov. Ako a pred čím chrániť PC. Bojujte proti útokom hackerov. Bezplatné antivírusové webové služby. Základy internetovej bezpečnosti. Akcie v prípade vírusu.

    abstrakt, pridaný 10.08.2008

    Pojem a mechanizmus pôsobenia počítačových vírusov, definícia ich nebezpečenstva pre bezpečnosť údajov, opatrenia na predchádzanie negatívnym dopadom. Klasifikácia antivírusových programov, ich Požiadavky na systém a podmienky pre efektívnu, neprerušovanú prevádzku.

    práca, pridané 17.07.2010

    Vlastnosti antivírusových programov (antivírusov) - počítačové programy určené na neutralizáciu vírusov a rôznych druhov škodlivého softvéru za účelom šetrenia údajov a optimálny výkon PC. Klasifikácia a príklady antivírusových programov.

    abstrakt, pridaný 26.03.2010

    Použitie antivírusov na efektívnu detekciu vírusov v počítači a ich neutralizáciu. Príznaky vírusovej infekcie. Zjavné prejavy trójskych koní: zmena nastavení prehliadača, vyskakovacie správy, neoprávnené vytáčanie na internet.

    laboratórne práce, doplnené 13.09.2013

    Pojem a klasifikácia počítačových vírusov. Metódy ochrany pred škodlivými programami, ich odrody. Príznaky infekcie počítačovým vírusom. Problém informačnej bezpečnosti. Práca s aplikáciami MS Office. Analýza súborových vírusov, hackerské nástroje.

    ročníková práca, pridaná 1.12.2015

    Programy na vyhľadávanie počítačových vírusov podobných tým známym a na vykonávanie podozrivých akcií. Aktualizácia, plánovanie a modul riadenia. Konfigurácia nastavení pre antivírusové moduly, aktualizácie, pravidelné aktualizácie a kontroly.

ÚVOD

Žijeme na prelome dvoch tisícročí, kedy ľudstvo vstúpilo do éry novej vedecko-technickej revolúcie.

Do konca dvadsiateho storočia ľudia ovládali mnohé tajomstvá premeny hmoty a energie a dokázali tieto poznatky využiť na zlepšenie svojho života. Okrem hmoty a energie však v živote človeka zohráva obrovskú úlohu ešte jedna zložka – informácie. Ide o širokú škálu informácií, správ, správ, vedomostí, zručností.

V polovici nášho storočia boli špeciálne zariadenia- počítače zamerané na ukladanie a transformáciu informácií a došlo k počítačovej revolúcii.

Dnes rozšírené používanie osobné počítače, Bohužiaľ sa ukázalo, že súvisí so vznikom samoreprodukujúcich sa vírusových programov, ktoré bránia normálnej prevádzke počítača, ničia súborovú štruktúru diskov a poškodzujú informácie uložené v počítači.

Napriek zákonom prijatým v mnohých krajinách na boj proti počítačovej kriminalite a rozvoju špeciálne programy nové nástroje na ochranu pred vírusmi, počet nových softvérových vírusov neustále rastie. To si vyžaduje, aby používateľ osobného počítača vedel o povahe vírusov, ako ich infikovať a chrániť pred vírusmi. To bol podnet na výber témy mojej práce.

To je to, o čom hovorím vo svojej eseji. Ukážem hlavné typy vírusov, zvážim schémy ich fungovania, dôvody ich vzhľadu a spôsoby prenikania do počítača a tiež navrhujem opatrenia na ochranu a prevenciu.

Účelom práce je oboznámiť používateľa so základmi počítačovej virológie, naučiť ho detekovať vírusy a bojovať proti nim. Metódou práce je analýza tlačených publikácií na túto tému. Stál som pred náročnou úlohou – hovoriť o tom, čo bolo veľmi málo preštudované a ako sa to stalo – vy budete sudcom.

1. POČÍTAČOVÉ VÍRUSY A ICH VLASTNOSTI A KLASIFIKÁCIA

1.1. Vlastnosti počítačových vírusov

Teraz sa používajú osobné počítače, v ktorých má používateľ voľný prístup ku všetkým zdrojom stroja. To otvorilo možnosť pre nebezpečenstvo, ktoré sa stalo známym ako počítačový vírus.

Čo je počítačový vírus? Formálna definícia tohto pojmu ešte nebola vynájdená a existujú vážne pochybnosti o tom, že ju možno vôbec podať. Početné pokusy poskytnúť „modernú“ definíciu vírusu neboli úspešné. Aby ste pocítili zložitosť problému, skúste si napríklad definovať pojem „editor“. Buď prídete na niečo veľmi všeobecné, alebo začnete vypisovať všetky známe typy editorov. Oboje možno len ťažko považovať za prijateľné. Preto sa obmedzíme na zváženie niektorých vlastností počítačových vírusov, ktoré nám umožňujú hovoriť o nich ako o určitej špecifickej triede programov.

Po prvé, vírus je program. Už len takéto jednoduché tvrdenie môže vyvrátiť mnohé legendy o mimoriadnych schopnostiach počítačových vírusov. Vírus dokáže prevrátiť obraz na vašom monitore, ale nedokáže prevrátiť samotný monitor. K legendám o vražedných vírusoch, ktoré „ničia operátorov zobrazením smrtiaceho farby 25th frame“ tiež netreba brať vážne. Žiaľ, niektoré autoritatívne publikácie z času na čas publikujú „najnovšie správy z počítačového frontu“, ktoré sa pri bližšom skúmaní ukážu ako výsledok nie celkom jasného pochopenia témy.

Vírus je program, ktorý má schopnosť reprodukovať sa. Táto schopnosť je jediným prostriedkom, ktorý je vlastný všetkým typom vírusov. Ale nielen vírusy sú schopné sebareplikácie. Každý operačný systém a mnohé ďalšie programy sú schopné vytvárať svoje vlastné kópie. Kópie toho istého vírusu sa nielen nemusia úplne zhodovať s originálom, ale nemusia sa zhodovať vôbec!

Vírus nemôže existovať v „úplnej izolácii“: dnes si nemožno predstaviť vírus, ktorý nepoužíva kód iných programov, informácie o štruktúre súborov alebo dokonca len názvy iných programov. Dôvod je jasný: vírus musí nejakým spôsobom zabezpečiť odovzdanie kontroly na seba.

1.2. Klasifikácia vírusov

V súčasnosti je známych viac ako 5 000 softvérových vírusov, ktoré možno klasifikovať podľa nasledujúcich kritérií:

¨ biotop

¨ spôsob kontaminácie životného prostredia

¨ vplyv

¨ vlastnosti algoritmu

V závislosti od biotopu možno vírusy rozdeliť na sieťové, súborové, zavádzacie a spúšťané zo súboru. Sieťové vírusy distribuované cez rôzne počítačové siete. Súborové vírusy sa zavádzajú najmä do spustiteľných modulov, teda do súborov s príponami COM a EXE. Súborové vírusy môžu byť vložené do iných typov súborov, ale spravidla zapísané v takýchto súboroch nikdy nezískajú kontrolu, a preto strácajú schopnosť reprodukovať. Spúšťacie vírusy sú vložené do zavádzacieho sektora disku (Boot-sector) alebo do sektora obsahujúceho zavádzací program systémový disk(Master Boot Re-

šnúra). Spustenie súboru vírusy infikujú súbory aj zavádzacie sektory disku.

Podľa spôsobu infekcie sa vírusy delia na rezidentné a nerezidentné. Rezidentný vírus pri infikovaní (infikovaní) počítača zanechá jeho rezidentnú časť v RAM, ktorá následne zachytí prístup operačného systému k infikovaným objektom (súbory, boot sektory disku a pod.) a zasahuje do nich. Rezidentné vírusy sú uložené v pamäti a zostávajú aktívne, kým sa počítač nevypne alebo nereštartuje. Nerezidentné vírusy neinfikujú pamäť počítača a sú aktívne len obmedzený čas.

Podľa stupňa dopadu možno vírusy rozdeliť do nasledujúcich typov:

¨ nie je nebezpečný, ktoré nezasahujú do prevádzky počítača, ale znižujú množstvo voľnej pamäte RAM a disku, akcie takýchto vírusov sa prejavujú akýmikoľvek grafickými alebo zvukovými efektmi

¨ nebezpečné vírusy, ktoré môžu spôsobiť rôzne problémy s počítačom

¨ veľmi nebezpečné, ktorých vplyv môže viesť k strate programov, zničeniu údajov, vymazaniu informácií v systémových oblastiach disku.

2. HLAVNÉ TYPY VÍRUSOV A SCHÉMY ICH FUNGOVANIA

Medzi rôznymi vírusmi možno rozlíšiť tieto hlavné skupiny:

¨ naštartovať

¨ súbor

¨ bootovanie zo súboru

Teraz podrobnejšie o každej z týchto skupín.

2.1. Spúšťacie vírusy

Zvážte fungovanie veľmi jednoduchého zavádzacieho vírusu, ktorý infikuje diskety. Zámerne obchádzame všetky početné jemnosti, s ktorými by sme sa nevyhnutne stretli pri dôslednej analýze algoritmu jeho fungovania.

Čo sa stane, keď zapnete počítač? Najprv sa prenesie kontrola bootstrap program, ktorá je uložená v pamäti iba na čítanie (ROM) t.j. PNZ ROM.

Tento program otestuje hardvér a ak testy prebehnú úspešne, pokúsi sa nájsť disketu v jednotke A:

Každá disketa je označená na tzv. sektory a stopy. Sektory sa spájajú do zhlukov, ale to pre nás nie je podstatné.

Medzi sektormi je niekoľko servisných, ktoré operačný systém využíva pre svoje potreby (do týchto sektorov nie je možné umiestniť vaše údaje). Spomedzi sektorov služieb nás stále zaujíma jeden – tzv. bootstrap sektor(bootovací sektor).

Obchody v bootstrap sektore informácie o disketách- počet plôch, počet stôp, počet sektorov atď. Ale teraz nás nezaujímajú tieto informácie, ale malé bootstrap program(PNZ), ktorý by mal načítať samotný operačný systém a preniesť naň riadenie.

Takže normálny bootstrap vzor je nasledovný:

Teraz zvážte vírus. Pri boot vírusoch sa rozlišujú dve časti – tzv. hlavu atď. chvost. Chvost môže byť vo všeobecnosti prázdny.

Predpokladajme, že máte prázdnu disketu a infikovaný počítač, čím myslíme počítač s aktívnym rezidentným vírusom. Akonáhle tento vírus zistí, že sa v mechanike objavila vhodná obeť – v našom prípade disketa, ktorá nie je chránená proti zápisu a ešte nie je infikovaná, pristúpi k infekcii. Pri infikovaní diskety vírus vykoná nasledujúce akcie:

Pridelí určitú oblasť disku a označí ju ako neprístupnú pre operačný systém, dá sa to urobiť rôznymi spôsobmi, v najjednoduchšom a tradičnom prípade sú sektory obsadené vírusom označené ako zlé (zlé)

Skopíruje svoj chvost a pôvodný (zdravý) zavádzací sektor do vybranej oblasti disku

Nahrádza bootstrap program v (skutočnom) zavádzacom sektore jeho hlavou

Organizuje riadiaci prenosový reťazec podľa schémy.

Hlava vírusu je teda teraz prvá, ktorá prevezme kontrolu, vírus sa nainštaluje do pamäte a prenesie kontrolu do pôvodného zavádzacieho sektora. V reťazci

PNZ (ROM) - PNZ (disk) - SYSTÉM

objaví sa nový odkaz:

PNZ (ROM) - VÍRUS - PNZ (disk) - SYSTÉM

Morálka je jasná: nikdy (náhodou) nenechávajte diskety v jednotke A.

Preskúmali sme fungovanie jednoduchého vírusu butovy, ktorý žije v zavádzacích sektoroch diskiet. Vírusy môžu spravidla infikovať nielen boot sektory diskiet, ale aj boot sektory pevných diskov. V tomto prípade, na rozdiel od diskiet, má pevný disk dva typy zavádzacích sektorov obsahujúcich zavádzacie programy, ktoré prijímajú kontrolu. Pri zavádzaní počítača z pevného disku najprv prevezme kontrolu spúšťací program v MBR (Master Boot Record - Master Boot Record). Ak je váš pevný disk rozdelený na niekoľko oddielov, iba jeden z nich je označený ako bootovateľný (bootovací). Bootstrap program v MBR nájde zavádzací oddiel pevný disk a prenesie riadenie na bootstrap program tohto oddielu. Kód druhého je rovnaký ako kód zavádzacieho programu na bežných disketách a príslušné zavádzacie sektory sa líšia iba v tabuľkách parametrov. Na pevnom disku sú teda dva objekty útoku zavádzacích vírusov - bootstrap program v MBR a elementárne sťahovanie v boot sektore zavádzací disk.

2.2. Súborové vírusy

Pozrime sa teraz na to, ako funguje jednoduchý súborový vírus. Na rozdiel od zavádzacích vírusov, ktoré sú takmer vždy rezidentné, súborové vírusy nemusia byť nevyhnutne rezidentné. Uvažujme o schéme fungovania nerezidentného súborového vírusu. Predpokladajme, že máme infikovaný spustiteľný súbor. Keď sa takýto súbor spustí, vírus prevezme kontrolu, vykoná nejaké akcie a odovzdá riadenie „masterovi“ (hoci stále nie je známe, kto je v takejto situácii pán).

Aké akcie vykonáva vírus? Hľadá nový objekt na infikovanie – súbor vhodného typu, ktorý ešte nebol infikovaný (v prípade, že je vírus „slušný“, v opačnom prípade existujú také, ktoré infikujú okamžite bez toho, aby čokoľvek skontrolovali). Infikovaním súboru sa vírus vloží do svojho kódu, aby získal kontrolu nad spustením súboru. Okrem svojej hlavnej funkcie - reprodukcie, môže vírus robiť aj niečo zložité (povedzte, požiadajte, zahrajte sa) - to už závisí od predstavivosti autora vírusu. Ak je súborový vírus rezidentný, nainštaluje sa do pamäte a získa schopnosť infikovať súbory a zobrazovať ďalšie schopnosti nielen počas spustenia infikovaného súboru. Infikovaním spustiteľného súboru vírus vždy upraví svoj kód – infekciu spustiteľného súboru je preto možné vždy odhaliť. Ale zmenou kódu súboru vírus nemusí nevyhnutne vykonať ďalšie zmeny:

à nie je povinná meniť dĺžku spisu

à nepoužité časti kódu

à nie je potrebné zmeniť začiatok súboru

Napokon, súborové vírusy často zahŕňajú vírusy, ktoré „majú niečo spoločné so súbormi“, ale nie je potrebné, aby zasahovali do ich kódu. Uvažujme ako príklad schému fungovania vírusov známej rodiny Dir-II. Treba priznať, že tieto vírusy, ktoré sa objavili v roku 1991, spôsobili v Rusku skutočnú morovú epidémiu. Zvážte model, ktorý jasne ukazuje základnú myšlienku vírusu. Informácie o súboroch sú uložené v adresároch. Každá položka adresára obsahuje názov súboru, dátum a čas vytvorenia, niektoré Ďalšie informácie, číslo prvého klastra súbor atď. náhradné bajty. Tie sú ponechané „v zálohe“ a samotný MS-DOS sa nepoužíva.

Pri spúšťaní spustiteľných súborov systém načíta prvý klaster súboru zo záznamu adresára a potom všetky ostatné klastre. Vírusy rodiny Dir-II spôsobujú nasledujúcu „reorganizáciu“ systém súborov: samotný vírus sa zapisuje do niektorých voľných sektorov disku, ktoré označí ako zlé. Okrem toho ukladá informácie o prvých zhlukoch spustiteľných súborov do náhradných bitov a namiesto týchto informácií zapisuje odkazy na seba.

Vírus teda pri spustení akéhokoľvek súboru získa kontrolu (operačný systém ho spustí sám), usadí sa v pamäti a odovzdá riadenie volanému súboru.

2.3. Vírusy spúšťacích súborov

Model vírusu boot-file nebudeme uvažovať, pretože v tomto prípade sa nedozviete žiadne nové informácie. Tu je však príležitosť stručne diskutovať o nedávno mimoriadne "populárnom" víruse zavádzacieho súboru OneHalf, ktorý infikuje hlavný zavádzací sektor (MBR) a spustiteľné súbory. Hlavnou deštruktívnou akciou je šifrovanie sektorov pevného disku. Pri každom spustení vírus zašifruje ďalšiu časť sektorov a po zašifrovaní polovice pevného disku to s radosťou oznámi. Hlavným problémom pri liečbe tohto vírusu je, že nestačí len odstrániť vírus z MBR a súborov, je potrebné dešifrovať ním zašifrované informácie. Najviac „smrteľnou“ akciou je jednoducho prepísať nový zdravý MBR. Hlavná vec - neprepadajte panike. Všetko pokojne zvážte, poraďte sa s odborníkmi.

2.4. Polymorfné vírusy

Väčšina otázok súvisí s pojmom „polymorfný vírus“. Tento typ počítačového vírusu je zďaleka najnebezpečnejší. Poďme si vysvetliť, čo to je.

Polymorfné vírusy sú vírusy, ktoré modifikujú svoj kód v infikovaných programoch takým spôsobom, že dve inštancie toho istého vírusu sa nemusia zhodovať v jednom bite.

Takéto vírusy nielenže šifrujú svoj kód rôznymi šifrovacími cestami, ale obsahujú aj generačný kód šifrovača a dešifrovača, čím sa odlišujú od bežných šifrovacích vírusov, ktoré dokážu zašifrovať aj časti svojho kódu, no zároveň majú konštantný kód. šifrovača a dešifrovača.

Polymorfné vírusy sú vírusy so samomodifikačnými dekodérmi. Účelom takéhoto šifrovania je, že ak máte infikovaný a pôvodný súbor, stále nebudete môcť analyzovať jeho kód pomocou konvenčnej demontáže. Tento kód je zašifrovaný a je to nezmyselná sada príkazov. Dešifrovanie vykonáva samotný vírus za behu. Zároveň sú možné možnosti: môže sa dešifrovať sám naraz, alebo môže takéto dešifrovanie vykonať „za pochodu“, opäť môže zašifrovať už vypracované úseky. To všetko sa robí kvôli sťaženiu analýzy vírusového kódu.

3. HISTÓRIA POČÍTAČOVEJ VIROLÓGIE A PRÍČINY VÍRUSOV

História počítačovej virológie sa dnes zdá byť neustálym „pretekom o vodcu“ a napriek plnej sile moderných antivírusových programov sú to vírusy, ktoré sú lídrami. Spomedzi tisícok vírusov je len niekoľko desiatok originálnych vývojov využívajúcich skutočne zásadne nové nápady. Všetky ostatné sú „variácie na tému“. Ale každý originálny vývoj núti tvorcov antivírusov prispôsobiť sa novým podmienkam, dobehnúť vírusovú technológiu. O tom druhom možno polemizovať. Napríklad v roku 1989 sa americkému študentovi podarilo vytvoriť vírus, ktorý znefunkčnil približne 6000 počítačov ministerstva obrany USA. Alebo epidémia slávneho vírusu Dir-II, ktorý vypukol v roku 1991. Vírus používal naozaj originálne, zásadne Nová technológia a najprv sa podarilo široko rozšíriť kvôli nedokonalosti tradičných antivírusových nástrojov.

Alebo vypuknutie počítačových vírusov vo Veľkej Británii: Christopher Pine dokázal vytvoriť vírusy Pathogen a Queeq, ako aj vírus Smeg. Práve ten druhý bol najnebezpečnejší, dal sa aplikovať na prvé dva vírusy a kvôli tomu po každom spustení programu menili konfiguráciu. Preto ich nebolo možné zničiť. Na šírenie vírusov Pine skopíroval počítačové hry a programy, infikoval ich a potom ich poslal späť do siete. Používatelia si stiahli infikované programy do svojich počítačov a na infikované disky. Situáciu zhoršila skutočnosť, že Pine dokázal priniesť vírusy do programu, ktorý s nimi bojuje. Jeho spustením používatelia namiesto ničenia vírusov dostali ďalší. V dôsledku toho boli súbory mnohých spoločností zničené, straty dosiahli milióny libier.

Americký programátor Morris je všeobecne známy. Je známy ako tvorca vírusu, ktorý v novembri 1988 infikoval asi 7000 osobných počítačov pripojených na internet.

Príčiny vzniku a šírenia počítačových vírusov sú na jednej strane skryté v psychológii ľudskej osobnosti a jej tieňových stránkach (závisť, pomsta, ješitnosť neuznaných tvorcov, neschopnosť konštruktívne uplatniť svoje schopnosti), na druhej strane kvôli nedostatočnej hardvérovej ochrane a protireakcii z operačnej sály.systémy osobných počítačov.

4. SPÔSOBY PRENIKANIA VÍRUSOV DO POČÍTAČA A MECHANIZMUS DISTRIBÚCIE VÍRUSOVÝCH PROGRAMOV

Hlavnými spôsobmi, ako sa vírusy dostanú do počítača, sú vymeniteľné disky (disketové a laserové), ako aj počítačové siete. Infekcia pevného disku vírusmi sa môže vyskytnúť, keď sa program načíta z diskety obsahujúcej vírus. Takáto infekcia môže byť aj náhodná, napríklad ak disketa nebola vybratá z jednotky A a počítač bol reštartovaný, pričom disketa nemusí byť systémová. Je oveľa jednoduchšie infikovať disketu. Vírus sa na ňu môže dostať aj vtedy, ak sa disketa jednoducho vloží do diskovej jednotky infikovaného počítača a napríklad sa prečíta jej obsah.

Vírus zvyčajne infikuje pracovný program a to tak, že pri jeho spustení sa riadenie najskôr prenesie naň a až po vykonaní všetkých jeho príkazov sa opäť vráti do pracovného programu. Po získaní prístupu ku kontrole sa vírus najskôr prepíše do iného pracovného programu a infikuje ho. Po spustení programu obsahujúceho vírus je možné infikovať ďalšie súbory. Najčastejšie je vírusom infikovaný boot sektor disku a spustiteľné súbory s príponami EXE, COM, SYS, BAT. Textové súbory sú veľmi zriedkavo infikované.

Po infikovaní programu môže vírus vykonať nejakú sabotáž, nie príliš závažnú, aby nevzbudila pozornosť. A nakoniec nezabudnite vrátiť ovládanie programu, z ktorého bol spustený. Každé spustenie infikovaného programu prenáša vírus na ďalší. Všetok softvér bude teda infikovaný.

Pre ilustráciu infekčného procesu počítačový program ako vírus má zmysel prirovnávať diskové úložisko k staromódnemu archívu so zložkami na páske. Priečinky obsahujú programy a postupnosť operácií na zavedenie vírusu bude v tomto prípade vyzerať takto. (Pozri Príloha 1)

5. ZNAKY VÍRUSOV

Keď je počítač napadnutý vírusom, je dôležité ho odhaliť. Aby ste to dosiahli, mali by ste vedieť o hlavných príznakoch prejavu vírusov. Patria sem nasledujúce položky:

¨ ukončenie práce alebo nesprávne fungovanie predtým úspešne fungujúcich programov

¨ pomalý výkon počítača

¨ nemožnosť zaviesť operačný systém

¨ zmiznutie súborov a adresárov alebo skreslenie ich obsahu

¨ zmeniť dátum a čas úpravy súborov

¨ zmena veľkosti súboru

¨ neočakávaný veľký nárast počtu súborov na disku

¨ výrazné zníženie veľkosti voľnej pamäte RAM

¨ zobrazovanie neočakávaných správ alebo obrázkov na obrazovke

¨ vydávanie nepredvídaných zvukových signálov

¨ časté zamŕzanie a pády počítača

Treba poznamenať, že vyššie uvedené javy nie sú nevyhnutne spôsobené prítomnosťou vírusu, ale môžu byť spôsobené inými príčinami. Preto je vždy ťažké správne diagnostikovať stav počítača.

6. DETEKCIA VÍRUSOV A OCHRANNÉ A PREVENČNÉ OPATRENIA

6.1. Ako zistiť vírus ? Tradičný prístup

Takže istý autor vírusov vytvorí vírus a uvedie ho do „života“. Na nejaký čas môže chodiť voľne, ale skôr či neskôr „lafa“ skončí. Niekto bude mať podozrenie, že niečo nie je v poriadku. Zvyčajne sa nájdu vírusy bežných používateľov ktorí si všimnú určité anomálie v správaní počítača. Vo väčšine prípadov sa sami nedokážu vyrovnať s infekciou, ale to sa od nich nevyžaduje.

Je len potrebné, aby sa vírus čo najskôr dostal do rúk špecialistov. Profesionáli ho preštudujú, zistia „čo robí“, „ako to robí“, „kedy robí“ atď. V procese takejto práce sa zhromažďujú všetky potrebné informácie o tomto víruse, najmä podpis vírusu je zvýraznený - postupnosť bajtov, ktorá ho celkom jasne definuje. Na vytvorenie podpisu sa zvyčajne berú najdôležitejšie a charakteristické časti kódu vírusu. Zároveň sa objasnia mechanizmy fungovania vírusu, napríklad pri boot víruse je dôležité vedieť, kde skrýva svoj chvost, kde sa nachádza pôvodný boot sektor a v prípade tzv. súbor jeden, ako je súbor infikovaný. Získané informácie nám umožňujú zistiť:

Ako zistiť vírus, na tento účel sú určené metódy vyhľadávania podpisov v potenciálnych objektoch vírusového útoku - špecifikujú sa súbory a / alebo zavádzacie sektory

ako vírus neutralizovať, ak je to možné, vyvíjajú sa algoritmy na odstránenie vírusového kódu z postihnutých objektov

6.2. Programy na detekciu a ochranu vírusov

Na detekciu, odstránenie a ochranu pred počítačovými vírusmi bolo vyvinutých niekoľko typov špeciálnych programov, ktoré umožňujú detekovať a ničiť vírusy. Takéto programy sú tzv antivírusové . Existujú nasledujúce typy antivírusových programov:

programy-detektory

programov-lekárov alebo fágov

programových audítorov

filtračné programy

očkovacie programy alebo imunizátory

Programy-detektory v RAM a v súboroch vyhľadá charakteristiku konkrétneho vírusu a ak sa zistí, vydá príslušnú správu. Nevýhodou takýchto antivírusových programov je, že dokážu nájsť iba vírusy, ktoré poznajú vývojári takýchto programov.

Lekárske programy alebo fágy, ako aj očkovacie programy vírusmi infikované súbory nielen nájsť, ale aj „liečiť“, t.j. telo vírusového programu sa odstráni zo súboru, čím sa súbory vrátia do pôvodného stavu. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „liečbe“ súborov. Spomedzi fágov sa rozlišujú polyfágy, t.j. doktorské programy určené na vyhľadávanie a ničenie veľkého počtu vírusov. Najznámejšie z nich sú: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Vzhľadom na to, že sa neustále objavujú nové vírusy, detekčné programy a programy lekárov rýchlo zastarávajú a sú potrebné pravidelné aktualizácie.

Audítorské programy patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si zapamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke monitora. Stavy sa spravidla porovnávajú ihneď po načítaní operačného systému. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas úpravy a ďalšie parametre. Audítorské programy majú pomerne pokročilé algoritmy, detegujú stealth vírusy a dokonca dokážu vyčistiť zmeny verzie kontrolovaného programu od zmien vykonaných vírusom. Medzi programami-audítormi je v Rusku široko používaný program Adinf.

Filtrovať programy alebo "strážca" sú malé rezidentné programy určené na detekciu podozrivej činnosti počítača, ktorá je charakteristická pre vírusy. Takéto akcie môžu byť:

Pokusy o opravu súborov s príponami COM, EXE

zmena atribútov súboru

Priamy zápis na disk na absolútnu adresu

Zápis do zavádzacích sektorov disku

Keď sa ktorýkoľvek program pokúsi vykonať zadané akcie, „strážca“ pošle používateľovi správu a ponúkne zakázanie alebo povolenie zodpovedajúcej akcie. Filtračné programy sú veľmi užitočné, pretože sú schopné odhaliť vírus v najskoršom štádiu jeho existencie pred reprodukciou. Súbory a disky však „neliečia“. Na zničenie vírusov musíte použiť iné programy, napríklad fágy. Medzi nevýhody watchdogových programov patrí ich „otravnosť“ (napr. neustále vydávajú varovanie pri každom pokuse o skopírovanie spustiteľného súboru), ako aj možné konflikty s iným softvérom. Príkladom filtrovacieho programu je program Vsafe, ktorý je súčasťou obslužného balíka MS DOS.

Vakcíny alebo imunizátory sú rezidentné programy, ktoré zabraňujú infekcii súborov. Vakcíny sa používajú, ak neexistujú žiadne programy lekárov, ktoré by „liečili“ tento vírus. Očkovanie je možné len proti známym vírusom. Vakcína upraví program alebo disk tak, že neovplyvní ich prácu a vírus ich bude vnímať ako infikované, a preto sa nezakorení. Vakcinačné programy majú v súčasnosti obmedzené využitie.

Včasná detekcia súborov a diskov infikovaných vírusmi, úplné zničenie zistených vírusov na každom počítači pomáha zabrániť šíreniu vírusovej epidémie na ďalšie počítače.

6.3. Základné opatrenia na ochranu pred vírusmi

Aby ste zabránili infikovaniu počítača vírusmi a zabezpečili bezpečné skladovanie informácie na diskoch, je potrebné dodržiavať nasledujúce pravidlá:

¨ vybavte svoj počítač aktuálnymi antivírusovými programami, ako sú Aidstest, Doctor Web, a neustále aktualizujte ich verzie

¨ pred čítaním informácií uložených na iných počítačoch z diskiet vždy skontrolujte tieto diskety na prítomnosť vírusov spustením antivírusových programov na vašom počítači

¨ pri prenose archivovaných súborov do počítača ich skontrolujte ihneď po rozbalení na pevnom disku, pričom oblasť kontroly obmedzte len na novo zaznamenané súbory

¨ pravidelne kontrolujte prítomnosť vírusov pevné disky počítač spustením antivírusových programov na testovanie súborov, pamäte a systémových oblastí diskov z diskety chránenej proti zápisu po načítaní operačného systému zo systémovej diskety chránenej proti zápisu

¨ vždy chráňte svoje diskety proti zápisu pri práci na iných počítačoch, ak nebudú zapisované do informácií

¨ určite si vytvorte archívne kópie cenných informácií pre vás na diskety

¨ nenechávajte diskety vo vrecku jednotky A pri zapínaní alebo reštartovaní operačného systému, aby ste predišli infekcii počítača zavádzacími vírusmi

¨ používať antivírusové programy na kontrolu vstupu všetkých spustiteľných súborov prijatých z počítačových sietí

¨ na zaistenie vyššej bezpečnosti je potrebné kombinovať používanie Aidstest a Doctor Web s každodenným používaním Adinf disku audítora

ZÁVER

Môžeme teda citovať množstvo faktov, ktoré naznačujú, že ohrozenie informačného zdroja každým dňom narastá, čo privádza zodpovedné osoby v bankách, podnikoch a spoločnostiach na celom svete do paniky. A táto hrozba pochádza z počítačových vírusov, ktoré skresľujú alebo ničia životne dôležité, cenné informácie, čo môže viesť nielen k finančným stratám, ale aj k ľudským obetiam.

Počítačový vírus - špeciálne napísaný program, ktorý sa môže spontánne pripojiť k iným programom, vytvárať svoje kópie a vkladať ich do súborov, oblastí počítačového systému a do počítačové siete s cieľom narušiť činnosť programov, poškodiť súbory a adresáre, vytvárať všetky druhy rušenia v prevádzke počítača.

V súčasnosti je známych viac ako 5000 softvérových vírusov, ktorých počet neustále rastie. Existujú prípady, keď boli vytvorené návody na pomoc pri písaní vírusov.

Hlavné typy vírusov: boot, file, file-boot. Najnebezpečnejší typ vírusov je polymorfný.

Z histórie počítačovej virológie je zrejmé, že akýkoľvek originálny počítačový vývoj núti tvorcov antivírusov prispôsobovať sa novým technológiám, neustále vylepšovať antivírusové programy.

Dôvody výskytu a šírenia vírusov sú skryté na jednej strane v ľudskej psychológii, na druhej strane s nedostatočnou ochranou operačného systému.

Hlavnými spôsobmi prenikania vírusov sú vymeniteľné jednotky a počítačové siete. Aby ste tomu zabránili, urobte preventívne opatrenia. Taktiež bolo vyvinutých niekoľko typov špeciálnych programov nazývaných antivírusové programy na detekciu, odstránenie a ochranu pred počítačovými vírusmi. Ak stále nájdete vírus vo svojom počítači, potom podľa tradičného prístupu je lepšie zavolať profesionála, aby to mohol ďalej zistiť.

Ale niektoré vlastnosti vírusov lámu hlavu aj odborníkom. Až donedávna bolo ťažké si predstaviť, že by vírus mohol prežiť studený reštart alebo sa šíriť cez súbory dokumentov. Za takýchto podmienok nemožno neprikladať dôležitosť aspoň počiatočnej antivírusovej výchove používateľov. Napriek závažnosti problému nie je žiadny vírus schopný spôsobiť toľko škody ako vybielený používateľ s trasúcimi sa rukami!

takže, zdravie vašich počítačov, bezpečnosť vašich údajov - vo vašich rukách!

Bibliografický zoznam

1. Informatika: Učebnica / vyd. Na túto tému sa vyjadril prof. N.V. Makarova. - M.: Financie a štatistika, 1997.

2. Encyklopédia tajomstiev a vnemov / Pripravené. text od Yu.N. Petrov. - Minsk: Literatúra, 1996.

3. Bezrukov N.N. Počítačové vírusy. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Moderné technológie na boj proti vírusom // PC World. - č. 8. - 1993.

Napriek tomu, že všeobecná ochrana informácií a preventívne opatrenia sú veľmi dôležité pre ochranu pred vírusmi, použitie špecializovaných programov je nevyhnutné. Tieto programy možno rozdeliť do niekoľkých typov:

  • ? Detekčné programy skontrolujú, či súbory na disku obsahujú špecifickú kombináciu bajtov (podpis) pre známy vírus a oznámia to používateľovi (VirusScan/SCAN/McAfee Associates).
  • ? Lekárske programy alebo fágy „liečia“ infikované programy „vyhryznutím“ tela vírusu z infikovaných programov, a to s obnovou biotopu (infikovaného súboru) aj bez nej – modul liečby programu SCAN – program CLEAN.
  • ? Programy Doctor-detector (Lozinsky's Aidstest, Danilov's Doctor Web, MSAV, Norton Antivirus, Kaspersky's AVP) sú schopné zistiť prítomnosť známeho vírusu na disku a vyliečiť infikovaný súbor. Najbežnejšia skupina antivírusových programov súčasnosti.

Vo veľmi jednoduchý prípad príkaz na kontrolu obsahu disku na prítomnosť vírusov je: aidstest /key1/key2 /key3 /---

  • ? Filtračné programy (strážcovia) sú umiestnené v pamäti RAM počítača a zachytávajú tie hovory operačného systému, ktoré používajú vírusy na množenie a spôsobenie škody a hlásia ich používateľovi:
  • - pokus o poškodenie hlavného súboru OS COMMAND.COM;
  • - pokus o priamy zápis na disk (predchádzajúci záznam sa vymaže), pričom sa zobrazí hlásenie, že nejaký program sa pokúša skopírovať na disk;
  • - formátovanie disku,
  • - rezidentné umiestnenie programu v pamäti.

Po zistení pokusu o jednu z týchto akcií, program filtra poskytne užívateľovi popis situácie a požiada ho o potvrdenie. Používateľ môže túto operáciu povoliť alebo zakázať. Riadenie akcií charakteristických pre vírusy sa vykonáva výmenou manipulátorov príslušných prerušení. Medzi nevýhody týchto programov patrí rušivosť (strážca napr. vydá varovanie pri každom pokuse o skopírovanie spustiteľného súboru), možné konflikty s iným softvérom, obchádzanie strážnych psov niektorými vírusmi. Príklady filtrov: Anti4us, Vsafe, Disk Monitor.

Treba poznamenať, že dnes mnohé programy triedy doktor-detektor majú aj rezidentný modul - filter (strážcu), napríklad DR Web, AVP, Norton Antivirus. Takéto programy teda možno klasifikovať ako lekár-detektor-úložisko.

  • ? Hardvérové ​​a softvérové ​​antivírusové nástroje (Hardvérový a softvérový komplex Sheriff). Na rovnakej úrovni ako watchdog programy sú hardvérové ​​a softvérové ​​antivírusové nástroje, ktoré poskytujú spoľahlivejšiu ochranu pred preniknutím vírusu do systému. Takéto komplexy pozostávajú z dvoch častí: hardvéru, ktorý je inštalovaný vo forme mikroobvodu základná doska a softvér zapísaný na disk. Hardvérová časť (radič) monitoruje všetky operácie zápisu na disk, pričom softvérová časť sa nachádza Náhodný vstup do pamäťe rezident, sleduje všetky vstupné/výstupné informácie. Možnosť použitia týchto nástrojov si však vyžaduje dôkladné zváženie z hľadiska konfigurácie prídavných zariadení používaných na PC, ako sú radiče diskov, modemy alebo sieťové karty.
  • ? Audítorské programy (Adinf/Advanced Disk infoscope/s vytvrdzovacím blokom ADinf Cure Module Bridge). Program-audítori majú dve fázy práce. Najprv si zapamätajú informácie o stave programov a systémových oblastiach disku ( boot sektor a sektory s tabuľkou rozdelenia pevného disku). Predpokladá sa, že v súčasnosti nie sú infikované programy a systémové oblasti diskov. Potom pri porovnávaní systémových oblastí a diskov s pôvodnými sa v prípade zistenia nezrovnalosti nahlási používateľovi. Audítorské programy dokážu odhaliť neviditeľné (STEALTH) vírusy. Kontrola dĺžky súboru nestačí, niektoré vírusy dĺžku infikovaných súborov nemenia. Spoľahlivejšou kontrolou je prečítať celý súbor a vypočítať jeho kontrolný súčet (bit po bite). Zmeniť celý súbor tak, aby jeho kontrolný súčet zostal rovnaký, je takmer nemožné. Medzi menšie nevýhody audítorov patrí aj to, že kvôli bezpečnosti ich treba pravidelne využívať, napríklad denne volať zo súboru AUTOEXEC.BAT. Ale ich nesporné výhody sú vysoká rýchlosť kontroly a či nevyžadujú časté aktualizácie verzií. Verzie audítora aj pred šiestimi mesiacmi spoľahlivo detegujú a odstraňujú moderné vírusy.
  • ? Programové vakcíny alebo imunizátory (CPAV). Očkovacie programy upravujú programy a disky tak, aby to neovplyvnilo činnosť programov, ale vírus, proti ktorému sa očkovanie vykonáva, považuje tieto programy a disky za už infikované. Tieto programy nie sú dostatočne efektívne.

Stratégiu ochrany pred vírusom možno bežne definovať ako viacúrovňovú „vrstvenú“ obranu. Štrukturálne by to mohlo vyzerať takto. Prostriedky prieskumu v "obrane" proti vírusom zodpovedajú detekčným programom, ktoré umožňujú určiť novoprijatý softvér na prítomnosť vírusov. V popredí obrany sú filtračné programy, ktoré sú rezidentné v pamäť počítača. Tieto programy môžu byť prvé, ktoré hlásia pôsobenie vírusu. Druhý stupeň „obrany“ tvoria programy auditu. Audítori odhalia útok vírusu aj vtedy, keď sa mu podarilo „uniknúť“ cez prednú líniu obrany. Programy Doctor sa používajú na obnovenie infikovaných programov, ak kópia infikovaného programu nie je v archíve, ale nie vždy sa vyliečia správne. Lekári-audítori zisťujú napadnutie vírusom a liečia infikované programy a kontrolujú správnosť liečby. Najhlbšou vrstvou obrany sú prostriedky kontroly prístupu. Nedovoľujú vírusom a chybným programom, aj keď prenikli do počítača, pokaziť dôležité údaje. „Strategická rezerva“ obsahuje archívne kópie informácií a „referenčné“ diskety so softvérovými produktmi. Umožňujú vám obnoviť informácie, ak sú poškodené.

Škodlivé účinky každého typu vírusu môžu byť veľmi rôznorodé. Zahŕňa to vymazanie dôležitých súborov alebo dokonca „firmvéru“ systému BIOS a prenos osobných informácií, ako sú heslá, na konkrétnu adresu, organizovanie neoprávnených e-mailov a útokov na niektoré stránky. Je tiež možné spustiť vytáčanie mobilný telefón na prémiové čísla. Verejné služby skrytá administratíva(backdoor) môže dokonca poskytnúť útočníkovi plnú kontrolu nad počítačom. Našťastie sa so všetkými týmito problémami dá úspešne vysporiadať a hlavnou zbraňou v tomto boji bude samozrejme antivírusový softvér.

Kaspersky Anti-Virus. Možno je „Kaspersky Anti-Virus“ najznámejším produktom tohto typu v Rusku a názov „Kaspersky“ sa stal synonymom bojovníka proti škodlivým kódom. Laboratórium s rovnakým názvom nielenže neustále vydáva nové verzie svojho bezpečnostného softvéru, ale vykonáva aj vzdelávaciu prácu medzi používateľmi počítačov. Najnovšia, deviata verzia Kaspersky Anti-Virus, podobne ako predchádzajúce vydania, obsahuje jednoduché a maximálne prehľadné rozhranie, ktoré spája všetky potrebné nástroje v jednom okne. Vďaka sprievodcovi inštaláciou a intuitívnym možnostiam ponuky môže tento produkt nastaviť aj začínajúci používateľ. Sila použitých algoritmov uspokojí aj profesionálov. Podrobný popis každého z zistených vírusov je možné nájsť zavolaním na príslušnú stránku na internete priamo z programu.

DR. Web. Ďalším populárnym ruským antivírusom, ktorý konkuruje Kaspersky Anti-Virus v popularite, je Dr. Web. Jeho skúšobná verzia má zaujímavú vlastnosť: vyžaduje povinnú registráciu cez internet. To je na jednej strane veľmi dobré – hneď po registrácii sa aktualizujú antivírusové databázy a používateľ dostane najnovšie údaje o podpisoch. Na druhej strane nie je možné nainštalovať skúšobnú verziu offline a ako ukázali skúsenosti, problémy s nestabilným pripojením sú nevyhnutné.

Panda Antivirus + Firewall 2007. Kompletné riešenie v oblasti počítačovej bezpečnosti - balík Panda Antivirus + Firewall 2007 - obsahuje okrem antivírusového programu aj firewall, ktorý monitoruje sieťová aktivita. Rozhranie hlavného okna programu je navrhnuté v „prirodzených“ zelených tónoch, ale napriek vizuálnej príťažlivosti je systém navigácie v ponuke zostavený nepohodlne a začínajúci používateľ môže byť v nastaveniach zmätený.

Balík Panda obsahuje niekoľko originálnych riešení naraz, ako napríklad proprietárnu technológiu TruePrevent na vyhľadávanie neznámych hrozieb, založenú na najmodernejších heuristických algoritmoch. Stojí za to venovať pozornosť obslužnému programu na vyhľadávanie počítačových zraniteľností - hodnotí nebezpečenstvo „dier“ v bezpečnostnom systéme a ponúka stiahnutie potrebných aktualizácií.

Norton Antivirus 2005. Hlavným dojmom produktu slávnej spoločnosti Symantec - antivírusového komplexu Norton Antivirus 2005 - je jeho zameranie na výkonné výpočtové systémy. Reakcia rozhrania Norton Antivirus 2005 na akcie používateľa je výrazne oneskorená. Okrem toho počas inštalácie kladie pomerne prísne požiadavky na verzie operačného systému a internet Explorer. Norton Antivirus na rozdiel od Dr.Web nevyžaduje povinnú aktualizáciu vírusových databáz počas inštalácie, ale pripomenie vám, že sú počas celej doby prevádzky neaktuálne.

McAfee VirusScan. Zaujímavý antivírusový produkt McAfee VirusScan, ktorý je podľa svojich vývojárov svetovým skenerom číslo 1, bol vybraný na testovanie, pretože medzi podobnými aplikáciami vynikal veľkou veľkosťou distribúcie (viac ako 40 MB). Za predpokladu, že táto hodnota je spôsobená širokou funkcionalitou, pristúpili sme k inštalácii a zistili sme, že okrem antivírusového skenera obsahuje firewall, ako aj utility na čistenie pevného disku a zaručené odstránenie objektov z pevného disku. disk (skartovačka).

Otázky pre kapitoly 6 a 7

  • 1. Etapy vývoja nástrojov a technológií informačnej bezpečnosti.
  • 2. Komponenty štandardného bezpečnostného modelu.
  • 3. Zdroje bezpečnostných hrozieb a ich klasifikácia.
  • 4. Neúmyselné ohrozenie informačnej bezpečnosti.
  • 5. Úmyselné ohrozenie informačnej bezpečnosti.
  • 6. Klasifikácia kanálov úniku informácií.
  • 7. Regulácia problémov informačnej bezpečnosti.
  • 8. Štruktúra štátny systém ochranu informácií.
  • 9. Metódy a prostriedky ochrany informácií.
  • 10. Klasifikácia hrozieb bezpečnosti údajov.
  • 11. Metódy ochrany informácií pred vírusmi.
  • 12. Metódy kontroly integrity.
  • 13. Klasifikácia počítačových vírusov.
  • 14. Prostriedky ochrany pred vírusmi.
  • 15. Preventívne antivírusové opatrenia.
  • 16. Klasifikácia softvérových antivírusových produktov.

Základné metódy detekcie vírusov

antivírusové programy sa vyvíjali súbežne s vývojom vírusov. Keď sa objavili nové technológie na vytváranie vírusov, matematický aparát, ktorý sa používal pri vývoji antivírusov, sa skomplikoval.

Prvé antivírusové algoritmy boli postavené na základe porovnania so štandardom. Hovoríme o programoch, v ktorých vírus určuje klasické jadro nejakou maskou. Zmyslom algoritmu je použitie štatistických metód. Maska by mala byť na jednej strane malá, aby bola veľkosť súboru prijateľná, a na druhej strane dostatočne veľká, aby sa predišlo falošným pozitívam (keď je „priateľ“ vnímaný ako „cudzinec“ a naopak).

Prvé antivírusové programy postavené na tomto princípe (tzv. polyfágové skenery) poznali určitý počet vírusov a dokázali ich liečiť. Tieto programy boli vytvorené nasledovne: vývojár po prijatí vírusového kódu (kód vírusu bol najprv statický) zostavil z tohto kódu jedinečnú masku (sekvencia 10-15 bajtov) a vložil ju do databázy antivírusového programu. -vírusový program. Antivírusový program skontroloval súbory a ak našiel túto sekvenciu bajtov, dospel k záveru, že súbor bol infikovaný. Táto sekvencia (podpis) bola zvolená tak, aby bola jedinečná a nevyskytovala sa v bežnom súbore údajov.

Popísané prístupy využívala väčšina antivírusových programov až do polovice 90. rokov, kedy sa objavili prvé polymorfné vírusy, ktoré zmenili svoje telo podľa vopred nepredvídateľných algoritmov. V tom čase bola metóda podpisu doplnená o takzvaný emulátor procesora, ktorý umožňoval nájsť šifrované a polymorfné vírusy, ktoré vyslovene nemali trvalý podpis.

Princíp emulácie procesora je znázornený na obr. jeden . Ak sa podmienený reťazec zvyčajne skladá z troch hlavných prvkov: CPU®OS®Program, potom pri emulácii procesora sa do takéhoto reťazca pridá emulátor. Emulátor takpovediac reprodukuje prácu programu v nejakom virtuálnom priestore a rekonštruuje jeho pôvodný obsah. Emulátor je vždy schopný prerušiť vykonávanie programu, kontroluje svoje akcie, nenecháva nič pokaziť a volá antivírusové skenovacie jadro.

Druhý mechanizmus, ktorý sa objavil v polovici 90. rokov a využívajú ho všetky antivírusy, je heuristická analýza. Faktom je, že zariadenie na emuláciu procesora, ktoré vám umožňuje získať súhrn akcií vykonaných analyzovaným programom, nie vždy umožňuje tieto akcie vyhľadať, ale umožňuje vykonať určitú analýzu a predložiť hypotézu, ako je "vírus alebo nie vírus?".

V tomto prípade je rozhodovanie založené na štatistických prístupoch. A zodpovedajúci program sa nazýva heuristický analyzátor.

Aby sa vírus rozmnožil, musí vykonať niektoré špecifické akcie: kopírovanie do pamäte, zapisovanie do sektorov atď. Heuristický analyzátor (je súčasťou antivírusového jadra) obsahuje zoznam takýchto akcií, prehľadá vykonávaný programový kód, určí, čo robí, a na základe toho rozhodne, či tento program vírus alebo nie.

Zároveň je percento vynechania vírusov, ktoré antivírusový program ani nepozná, veľmi malé. Táto technológia teraz široko používaný vo všetkých antivírusových programoch.

Klasifikácia antivírusových programov

antivírusové programy sa delia na čisté antivírusy a dvojúčelové antivírusy (obr. 2).

Čisté antivírusy sa vyznačujú prítomnosťou antivírusového motora, ktorý vykonáva funkciu skenovania podľa vzorov. Základom v tomto prípade je, že liečba je možná, ak je vírus známy. Čisté antivírusy sa zas delia do dvoch kategórií podľa typu prístupu k súborom: tie, ktoré kontrolujú prístup (on access) alebo on demand (on demand). Produkty na prístup sa zvyčajne nazývajú monitory a produkty na požiadanie sa nazývajú skenery.

Produkt na požiadanie funguje podľa nasledujúcej schémy: používateľ chce niečo skontrolovať a vydá požiadavku (dopyt), po ktorej sa kontrola vykoná. On access-product je rezidentný program, ktorý monitoruje prístup a vykonáva overenie v čase prístupu.

Okrem toho antivírusové programy, podobne ako vírusy, možno rozdeliť v závislosti od platformy, v rámci ktorej tento antivírus Tvorba. V tomto zmysle môžu platformy spolu s Windows alebo Linux zahŕňať Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Dvojúčelové programy sú programy používané v antivírusovom aj nevírusovom softvéri. Napríklad CRC-checker – kontrolný inšpektor zmien založený na kontrolnom súčte – sa dá použiť nielen na zachytenie vírusov. Rôzne dvojúčelové programy sú blokátory správania, ktoré analyzujú správanie iných programov a ak sa zistia podozrivé akcie, zablokujú ich. Behaviorálne blokátory sa líšia od klasického antivírusu s antivírusovým jadrom, ktoré rozpoznáva a lieči vírusy, ktoré boli analyzované v laboratóriu a pre ktoré bol predpísaný liečebný algoritmus, behaviorálne blokátory nevedia, ako vírusy liečiť, pretože o nich nič nevedia. Táto vlastnosť blokátorov im umožňuje pracovať s akýmikoľvek vírusmi, vrátane neznámych. To je dnes obzvlášť dôležité, pretože distribútori vírusov a antivírusov používajú rovnaké kanály na prenos údajov, teda internet. Zároveň antivírusová spoločnosť vždy potrebuje čas na získanie samotného vírusu, jeho analýzu a napísanie vhodných modulov liečby. Programy z dvojúčelovej skupiny práve umožňujú blokovať šírenie vírusu až do momentu, keď spoločnosť napíše modul liečby.

Prehľad najpopulárnejších osobných antivírusov

Recenzia obsahuje najobľúbenejšie antivírusy na osobné použitie od piatich známych vývojárov. Je potrebné poznamenať, že niektoré z nižšie uvedených spoločností ponúkajú niekoľko verzií osobných programov, ktoré sa líšia funkčnosťou, a teda aj cenou. V našej recenzii sme sa pozreli na jeden produkt od každej spoločnosti, pričom sme vybrali najfunkčnejšiu verziu, ktorá sa zvyčajne nazýva Personal Pro. Ďalšie možnosti osobného antivírusu nájdete na príslušných webových stránkach.

Kaspersky Anti-Virus

Osobné Prov. 4.0

Vývojár: Kaspersky Lab. Webová stránka: http://www.kaspersky.ru/. Cena 69 dolárov (licencia na 1 rok).

Kaspersky Anti-Virus Personal Pro (obr. 3) jedno z najpopulárnejších riešení na ruský trh a obsahuje celý riadok unikátne technológie.

Behavior Blocker Modul Office Guard kontroluje vykonávanie makier a zabraňuje všetkým podozrivým akciám. Prítomnosť modulu Office Guard poskytuje 100% ochranu proti makrovírusom.

Inšpektor monitoruje všetky zmeny vo vašom počítači a ak sa v súboroch alebo v súboroch zistia neoprávnené zmeny systémový register umožňuje obnoviť obsah disku a odstrániť škodlivé kódy. Inšpektor nevyžaduje aktualizácie antivírusovej databázy: kontrola integrity sa vykonáva na základe snímania odtlačkov prstov pôvodného súboru (CRC-sumy) a ich následného porovnania s upravenými súbormi. Na rozdiel od iných audítorov, Inspector podporuje všetky najpopulárnejšie formáty spustiteľných súborov.

Heuristický analyzátor umožňuje chrániť váš počítač aj pred neznámymi vírusmi.

Zachytávač vírusov na pozadí Monitor, permanentne prítomný v pamäti počítača, vykonáva antivírusovú kontrolu všetkých súborov hneď v momente ich spustenia, vytvorenia alebo kopírovania, čo vám umožňuje kontrolovať všetky operácie so súbormi a zabrániť infekcii aj tým technologicky najvyspelejším. vírusy.

Antivírusové filtrovanie e-mailov zabraňuje prenikaniu vírusov do vášho počítača. Doplnok Mail Checker nielenže odstraňuje vírusy z tela e-mailu, ale tiež úplne obnovuje pôvodný obsah e-mailov. Komplexná kontrola poštovej korešpondencie zabraňuje ukrytiu vírusu v niektorom z prvkov e-mailu tým, že kontroluje všetky časti prichádzajúcich a odchádzajúcich správ, vrátane priložených súborov (vrátane archivovaných a zabalených) a iných správ akejkoľvek úrovne vnorenia.

Antivírusový skener Skener vám umožňuje na požiadanie vykonať úplnú kontrolu celého obsahu lokálnych a sieťových diskov.

Zachytávač Script Checker poskytuje antivírusové kontroly všetkých spustených skriptov pred ich spustením.

Podpora archivovaných a komprimovaných súborov poskytuje možnosť odstrániť škodlivý kód z infikovaného komprimovaného súboru.

Izolácia infikovaných objektov poskytuje izoláciu infikovaných a podozrivých objektov s ich následným presunom do špeciálne organizovaného adresára na ďalšiu analýzu a obnovu.

Automatizácia antivírusovej ochrany vám umožňuje vytvoriť plán a poradie komponentov programu; automaticky sťahovať a pripájať nové aktualizácie antivírusovej databázy cez internet; posielať upozornenia o zistených vírusových útokoch na e-mail atď.

Norton AntiVirus 2003 Professional Edition

Vývojár: Symantec. Webová stránka: http://www.symantec.ru/.

Cena je 89,95 eur.

Program beží pod Ovládanie Windows 95/98/Me/NT4.0/2000 Pro/XP.

Cena 39,95 dolárov

Program beží pod Windows 95/98/Me/NT4.0/2000 Pro/XP.