Тема: Программные средства борьбы с вирусами

Дата: 2025-06-14; Просмотры: 7

Оценка:

0.00 из 5.00 — оценок

Скачиваний: 0

Скачать

ПЛАН ЗАНЯТИЯ

Дисциплина: МДК.02.02 Технология разработки и защиты баз данных

Преподаватель: Старченко Е.А

Курс: 4

Группа: 1 ПКС-19

Специальность: Программирование в компьютерных системах

Дата: 31.03.23

Время проведения: 8-10 – 9-40, 1 пара

Тема: Программные средства борьбы с вирусами

Цель занятия:

дидактическая:

• изучить программные средства борьбы с вирусами.

развивающая: развивать информационную культуру, кругозор, память

Вид занятия лекция

Интернет-ресурсы:

https://ru.wikipedia.org/wiki/Шифрование

ЗАДАНИЕ: подготовить конспект с учетом контрольных вопросов и в электронном варианте отправить для проверки.

КОНСПЕКТ ЛЕКЦИИ

Тема: Программные средства борьбы с вирусами

План

1. Антивирусные программы

2. Антивирусные программные комплексы.

3. Методы поиска вирусов

1.Антивирусные программы

К настоящему времени разработана довольно широкая и пол­ная система программных средств борьбы с вирусами. Это программы-фаги (сканеры), программы-ревизоры, программы-мониторы, программы-вакцины (иммунизаторы).

Самыми популярными и эффективными антивирусными про­граммами считаются антивирусные фаги (иначе эти программы называются сканерами или полифагами) и ревизоры (CRC скане­ры). Часто обе приведенные разновидности объединяются в одну универсальную антивирусную программу, что значительно повы­шает ее мощность. Реже используют различного типа мониторы (блокировщики) и вакцины (иммунизаторы). Следует, однако, иметь в виду, что, в принципе, нельзя создать универсальное и абсолютно надежное средство борьбы со всеми существующими и будущими вирусами.

Программы-фаги. Принцип работы антивирусных программ-фагов (сканеров) основан на проверке файлов, секторов и си­стемной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются маски или, как их еще называют, сигнатуры — некоторая посто­янная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. На­пример, перебор всех возможных вариантов кода вирусов. Этот способ эффективно используется для детектирования полиморф­ных вирусов.

Во многих полифагах используются алгоритмы эвристического сканирования, т. е. анализ последовательности команд в проверя­емом объекте, набор некоторой статистики и принятие мягкого решения («возможно, заражен» или «не заражен») для каждого проверяемого объекта.

К достоинствам сканеров относится их универсальность, к не­достаткам — низкая скорость сканирования, а также необходи­мость постоянного обновления антивирусных баз.

Принцип работы типичного алгоритма сканирования сводится к следующему. После загрузки с дискеты, на которой операцион­ная система гарантированно свободна от вируса, программа про­веряет дерево каталогов диска, логическое имя которого указыва­ется в виде параметра при запуске. При нахождении *.ехе или *.соm модуля проверяется его длина. Если длина модуля больше 4 Кбайт, в теле программы ищется сигнатура вируса по соответствующему смещению. Если вирус найден, восстанавливаются скрытые в теле вируса байты начала модуля, после чего длина файла уменьшает­ся на длину вируса и вирус удаляется из зараженного модуля. После этого восстанавливаются исходные время и дата создания файла.

Программы-ревизоры. Они подсчитывают контрольные суммы для присутствующих на диске файлов и системных секторов. Эти суммы сохраняются в базе данных антивируса вместе с некоторой другой информацией: размерами файлов, датами их последней модификации и т. п. При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе дан­ных, не совпадает с реальными значениями, ревизоры сигнали­зируют о том, что файл был изменен или заражен вирусом.

Ревизоры, использующие антиСТЕЛС алгоритмы, являются довольно сильным оружием против вирусов: практически 100 % вирусов оказываются обнаруженными почти сразу после их по­явления в компьютере. Существенным недостатком таких средств борьбы с вирусами является то, что программы-ревизоры рас­познают наличие вируса в системе уже после его распростране­ния. Кроме того, они не распознают вирусы в новых, только что полученных или записанных файлах, поскольку в их базах дан­ных отсутствует информация об этих файлах. Периодически по­являются вирусы, которые используют эту слабость ревизоров, заражая только вновь создаваемые файлы. Такие вирусы остают­ся невидимыми.

Программы-мониторы. Антивирусные мониторы — это резиден­тные программы, перехватывающие вирусоопасные ситуации и сообщающие об их возникновении. К вирусоопасным относятся вызовы на открытие для записи в выполняемых файлах, запись в загрузочные секторы дисков, попытки программ остаться рези­дентно. Иначе говоря, вызовы генерируются вирусами в моменты их размножения.

К достоинствам программ-мониторов относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К не­достаткам относятся существование путей обхода защиты мони­тора и большое количество ложных срабатываний. Существуют аппаратные реализации некоторых функций мониторов, в том чи­сле встроенные в BIOS. Однако, как и в случае с программными мониторами, такую защиту легко обойти прямой записью в пор­ты контроллера диска, а запуск DOS утилиты FDISK немедленно вызывает ложное срабатывание защиты.

Программы-вакцины. Антивирусные вакцины (иммунизаторы) подразделяются на два типа: сообщающие о заражении и блоки­рующие заражение каким-либо типом вируса. Первые обычно за­писываются в конец файлов (по принципу файлового вируса), и при запуске файла каждый раз проверяют его на предмет обнару­жения изменений. Недостаток у таких вакцин один, но он дета­лен: абсолютная неспособность вакцины сообщить о заражении СТЕЛСвирусом. Поэтому такие иммунизаторы, как и мониторы, в настоящее время практически не используются.

Второй тип вакцин защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженными. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске заражен­ной программы, вирус распознает вакцину как свою резидент­скую копию и не активизируется. Такой тип вакцинации не может быть универсальным, поскольку при его помощи нельзя иммуни­зировать файлы от всех известных вирусов. Однако несмотря на это подобные программные средства в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного ви­руса вплоть до того момента, когда он будет детектироваться ан­тивирусными сканерами.

2. Антивирусные программные комплексы.

В современных условиях лишь они могут обеспечить надежную защиту от вирусных про­грамм, отличающихся большим разнообразием принципов пост­роения и функционирования. Обычно современные антивирусные программные комплексы включают в свой состав монитор, ска­нер, ревизор и планировщик.

Планировщик используется для координации работы разных компонентов антивирусного пакета и планирования антивирус­ных мероприятий в вычислительной системе.

Вакцина вследствие своей естественной ограниченности исполь­зования низкой универсальности в настоящее время практически не применяется. Для снижения уровня опасности заражения вычислительной системы вирусными программами нужно выполнять следующие довольно простые правила.

• Перед использованием проверять файлы, являющиеся потен­циальными носителями вирусов. Такие файлы поступают извне (приносятся на дискетах, поступают из глобальных сетей и т.п.). Для проверки нужно иметь одну или несколько антивирусных про­грамм (программных комплексов), возможности которых хорошо известны. Не запускать непроверенные и неизвестные файлы, в том числе полученные из компьютерной сети. Перед запуском новых программ обязательно проверить их одним или несколькими анти­вирусами. В случае большого объема документов, поступающих по электронной почте, целесообразно иметь активный антивирус, от­слеживающий наличие вирусов. Для этого подходят программы-ревизоры, проверяющие наличие несанкционированных измене­ний в системных областях и в файловой системе компьютера.

• Круг лиц, работающий на конкретном компьютере, должен быть максимально ограничен, а права и полномочия пользовате­лей строго регламентированы.

• Не следует использовать нелицензионное программное обеспечение. Лучше покупать дистрибутивные копии программного обеспечения у официальных продавцов, чем бесплатно или йот бесплатно копировать их из других источников. Необходимо и< пользовать только хорошо зарекомендовавшие себя источник программ и других файлов. Как следствие из этого правила вытекает необходимость хранения дистрибутивных копий программного обеспечения (в том числе копий операционной системы). Копи желательно хранить на защищенных от записи носителях.

• Для обеспечения целостности и сохранности информации следует периодически сохранять на внешнем носителе файлы, с которыми ведется работа, а также файлы, имеющие наибольшую ценность. Резервные копии позволяют восстановить информацию в случае ее потери (разрушения). Не вредно копировать и хранит все содержимое винчестера.

• Необходимо осознавать и помнить, что не существует такой защиты, которую невозможно было бы обойти. Поэтому не стой всецело уповать на встроенные системы защиты от вирусов (на пример, встроенной в BIOS, MS Word и т.п.). Не следует использовать незнакомые и устаревшие антивирусы для обнаружения ] лечения компьютеров от новых вирусов. Вероятность обнаружения активного вируса такими программами снижается по мере и: устаревания и появления новых вирусов. А пропуск опасных виру сов может способствовать широкому распространению вируса. Так например, известны случаи, когда полифаг AIDSTEST способствовал заражению практически всех выполняемых модулей не­распознаваемым им вирусом.

• Проблема макровирусов в последнее время перекрывает вес остальные проблемы, связанные с прочими вирусами. Существует несколько приемов и встроенных в Word и Excel средств, пре­дотвращающих запуск вируса. Наиболее действенной из них является защита от вирусов, встроенная в Word и Excel (начиная с зерсий 7.0). Эта защита при открытии файла, содержащего любой макрос, сообщает о его присутствии и предлагает запретить этот макрос. В результате макрос не только не выполняется, но он даже нe виден средствами Word и Excel. Такая защита является достаточно надежной, однако абсолютно бесполезна, если пользователь работает с макросами (любыми): она не отличает макросы вируса от не вируса и выводит предупреждающее сообщение при открытии практически любого файла. По этой причине защита в большинстве случаев оказывается отключенной, что дает возможность ярусу проникнуть в систему. Включение защиты от вирусов в уже зараженной системе не во всех случаях помогает: некоторые вирусы, однажды получив управление, при каждом запуске отключают защиту от вирусов и таким образом полностью блокируют ее.

Существуют и другие методы противодействия вирусам.

3. Методы поиска вирусов

Существует несколько основных методов поиска вирусов, которые применяются антивирусными программами. К ним относятся:

· сканирование;

· эвристический анализ;

· обнаружение изменений на диске;

· постоянное наблюдение.

Сканирование- наиболее традиционный метод поиска вирусов, который заключается в поиске кодов известных вирусов. Программы, которые работают на основе сканирования, называются полифагами. К таким программам, например, относятся программа Aidstest фирмы Диалог-Наука, программа AVP лаборатории Е.Касперского и ряд других программ.

Полифаги могут обнаружить только уже известные и предварительно изученные вирусы. Поэтому программы-сканеры не защищают компьютер от проникновения новых неизвестных вирусов.

Эвристический анализ используется для поиска шифрующихся и полиморфных вирусов. Эвристический анализатор позволяет обнаруживать ранее неизвестные вирусы, хотя их лечение при этом бывает невозможным. К программам, использующим эвристический анализ, относятся DrWeb фирмы Диалог-Наука.

Обнаружение изменений. Заражая компьютер, вирус делает изменения на жестком диске: изменяет файлы или загрузочные записи (например, у файлов может измениться размер, дата и время создания). Антивирусные программы-ревизоры находят такие изменения и сообщают об этом пользователю. Данный метод обнаружения вирусов использует программа ADinf фирмы Диалог-Наука.

Однако у программ, использующих данную технологию, имеется недостаток. Он заключается в том, что не все изменения на компьютере вызываются вторжением вируса.

Постоянное наблюдение используется программами, получив­шими название резидентные мониторы. Резидентные мониторы - это программы, которые постоянно находятся в памяти компьютера и отслеживают все подозрительные действия, выполняемыми другими программами. Из всех антивирусных программ этот класс наименее удобен в работе, так как постоянно выдает сообщения о действиях, которые на самом деле к вредной работе вируса не относятся. Например, пользователь может дать команду на форматирование диска, а программа при этом будет сообщать о действие вируса.

В качестве резидентного монитора может работать программа AVP.

Несмотря на то, что последствия действия компьютерных вирусов могут быть очень трагичными, не стоит их чрезвычайно сильно боятся. Достаточно ежедневно производить профилактическую проверку персонального компьютера с помощью современных антивирусных программ, чтобы обезопасить его от вирусов.