Komputery ze współczesnym światem

Klasyfikacja produktów antywirusowych. Klasyfikacja i funkcje programów antywirusowych

Program antywirusowy (antywirus) - program do identyfikacji i usuwania wirusy komputerowe i inni złośliwe oprogramowanie, zapobiegając ich rozprzestrzenianiu się, a także przywracając zainfekowane przez nie programy.

Główne zadania współczesnego programy antywirusowe:

  • - Skanuj pliki i programy w czasie rzeczywistym.
  • -- Skanuj komputer na żądanie.
  • -- Skanowanie ruchu internetowego.
  • -- Skanowanie E-mail.
  • -- Ochrona przed atakami z niebezpiecznych stron internetowych.
  • -- Odzyskiwanie uszkodzonych plików (leczenie).

Klasyfikacja programów antywirusowych:

  • · programy wykrywające zapewniają wyszukiwanie i wykrywanie wirusów w pamięć o dostępie swobodnym zarówno na nośnikach zewnętrznych, jak i po wykryciu, wydają odpowiedni komunikat. Wyróżnia się detektory:
    • 1. uniwersalny - wykorzystują w swojej pracy do sprawdzania niezmienności plików poprzez zliczanie i porównywanie ze standardem sumy kontrolnej
    • 2. wyspecjalizowane- szukaj znanych wirusów po ich sygnaturze (powtarzającym się fragmencie kodu). Wadą takich detektorów jest to, że nie są one w stanie wykryć wszystkich znanych wirusów.

Detektor, który może wykryć wiele wirusów, nazywany jest polidetektorem. Wadą takich programów antywirusowych jest to, że potrafią znaleźć tylko wirusy znane twórcom takich programów.

  • · Programy lekarskie (fagi) nie tylko znajduje pliki zainfekowane wirusami, ale także „leczy” je, tj. usuń treść programu wirusowego z pliku, przywracając pliki do ich pierwotnego stanu. Na początku swojej pracy fagi wyszukują wirusy w pamięci RAM, niszcząc je, a dopiero potem przystępują do „czyszczenia” plików. Wśród fagów wyróżnia się polifagi, tj. Programy lekarskie przeznaczone do wyszukiwania i niszczenia dużej liczby wirusów. Biorąc pod uwagę ciągłe pojawianie się nowych wirusów, programy wykrywające i programy lekarskie szybko stają się nieaktualne i wymagane są regularne aktualizacje ich wersji.
  • · Programy audytorskie należą do najbardziej niezawodnych środków ochrony przed wirusami. Audytorzy zapamiętują początkowy stan programów, katalogów i obszarów systemowych dysku, gdy komputer nie jest zainfekowany wirusem, a następnie okresowo lub na żądanie użytkownika porównują stan bieżący z pierwotnym. Wykryte zmiany wyświetlane są na ekranie monitora. Z reguły porównanie stanów odbywa się natychmiast po załadowaniu systemu operacyjnego. Podczas porównywania sprawdzana jest długość pliku, cykliczny kod sterujący (suma kontrolna pliku), data i godzina modyfikacji oraz inne parametry.
  • · Programy filtrujące (strażnicy) to małe programy rezydentne przeznaczone do wykrywania podejrzanych działań podczas pracy komputera, charakterystycznych dla wirusów. Takimi działaniami mogą być:
    • 1. próbuje poprawiać pliki z rozszerzeniami COM i EXE;
    • 2. zmiana atrybutów pliku;
    • 3. bezpośredni zapis na dysk pod adresem bezwzględnym;
    • 4. zapis do sektorów startowych dysku;

Programy szczepień (immunizatory)- Są to programy rezydentne, które zapobiegają infekcjom plików. Szczepionki stosuje się, jeśli nie ma programów lekarskich, które „leczą” tego wirusa. Szczepienie jest możliwe tylko przeciwko znanym wirusom. Szczepionka modyfikuje program lub dysk w taki sposób, że nie wpływa to na jego działanie, a wirus będzie postrzegał go jako zainfekowany i w związku z tym nie zakorzeni się. Istotną wadą takich programów jest ich ograniczona zdolność zapobiegania infekcjom dużej liczby różnych wirusów.

Funkcje programów antywirusowych

Ochrona przed wirusami w czasie rzeczywistym

Większość programów antywirusowych zapewnia ochronę w czasie rzeczywistym. Oznacza to, że program antywirusowy co sekundę chroni Twój komputer przed wszystkimi nadchodzącymi zagrożeniami. Dlatego nawet jeśli Twój komputer nie został zainfekowany wirusem, powinieneś rozważyć zainstalowanie programu antywirusowego z ochroną w czasie rzeczywistym, aby zapobiec dalszemu rozprzestrzenianiu się infekcji.

Wykrywanie zagrożeń

Programy antywirusowe mogą skanować cały komputer w poszukiwaniu wirusów. Przede wszystkim skanowane są najbardziej wrażliwe obszary, foldery systemowe i pamięć RAM. Możesz także samodzielnie wybrać sektory skanowania lub zdecydować się na przykład na sprawdzenie konkretnego twardy dysk. Jednak nie wszystkie programy antywirusowe mają takie same algorytmy, a niektóre programy antywirusowe mają wyższy współczynnik wykrywalności niż inne.

Automatyczne aktualizacje

Nowe wirusy powstają i pojawiają się każdego dnia. Dlatego niezwykle ważne jest, aby programy antywirusowe mogły aktualizować antywirusowe bazy danych (listę wszystkich znanych wirusów, zarówno starych, jak i nowych). Automatyczna aktualizacja jest konieczne, ponieważ przestarzały program antywirusowy nie jest w stanie wykryć nowych wirusów i zagrożeń. Dodatkowo, jeśli Twój program antywirusowy oferuje tylko aktualizacje ręczne, możesz zapomnieć o aktualizacji definicji programów antywirusowych, a Twój komputer może zostać zainfekowany nowym wirusem. Spróbuj wybrać program antywirusowy z automatycznymi aktualizacjami.

Alerty

Program antywirusowy ostrzeże Cię, gdy jakikolwiek program spróbuje uzyskać dostęp do Twojego komputera. Przykładem są aplikacje internetowe. Wiele programów, które próbują uzyskać dostęp do Twojego komputera, jest nieszkodliwych lub pobrałeś je dobrowolnie, dlatego programy antywirusowe dają Ci możliwość samodzielnego zdecydowania, czy zezwolić, czy zablokować ich instalację lub działanie.

Programy te można klasyfikować według pięciu głównych grup:filtry, detektory, audytorzy, lekarze i osoby zajmujące się szczepieniem.

Filtry antywirusowe- są to programy rezydentne, które powiadamiają użytkownika o wszelkich próbach zapisu na dysku przez dowolny program, a tym bardziej jego sformatowaniu, a także innych podejrzanych działaniach (na przykład próbach zmiany ustawień CMOS). W takim przypadku wyświetla się prośba o pozwolenie lub zakaz. tej akcji. Zasada działania tych programów opiera się na przechwytywaniu odpowiednich wektorów przerwań. Przewagą programów tej klasy w porównaniu z programami detektorowymi jest ich uniwersalność w stosunku zarówno do wirusów znanych, jak i nieznanych, przy czym detektory pisane są pod konkretne typy aktualnie znane programiście. Jest to szczególnie prawdziwe teraz, kiedy pojawiło się wiele zmutowanych wirusów, które nie mają trwałego kodu. Jednak programy filtrujące nie są w stanie śledzić wirusów uzyskujących bezpośredni dostęp do BIOS-u, a także wirusów BOOT, które są aktywowane jeszcze przed uruchomieniem programu antywirusowego, w początkowej fazie ładowania DOS-u.Wadą jest również częste wysyłanie żądań wykonania dowolnej operacji: odpowiedzi na pytania zajmują użytkownikowi dużo czasu i działają mu na nerwy. Podczas instalowania niektórych filtrów antywirusowych mogą wystąpić konflikty z innymi programami rezydentnymi, które korzystają z tych samych przerwań i po prostu przestają działać.

Najbardziej rozpowszechnionymi programami w naszym kraju są programy wykrywające, a właściwie programy łączące wykrywacz i lekarza.

Detektory antywirusowe są przeznaczone dla konkretnych wirusów i polegają na porównaniu sekwencji kodów zawartych w ciele wirusa z kodami skanowanych programów. Wiele programów wykrywających umożliwia także „wyczyszczenie” zainfekowanych plików lub dysków poprzez usunięcie z nich wirusów (oczywiście leczenie jest obsługiwane tylko w przypadku wirusów znanych programowi wykrywającemu). Takie programy wymagają regularnej aktualizacji, ponieważ szybko się dezaktualizują i nie są w stanie wykryć nowych typów wirusów.

Audytorzy– są to programy, które analizują aktualny stan plików i obszarów systemowych dysku i porównują go z informacjami zapisanymi wcześniej w jednym z plików danych audytora. Sprawdza stan sektora BOOT, tablicę FAT, a także długość plików, czas ich utworzenia, atrybuty i sumę kontrolną. Analizując komunikaty z programu audytowego, użytkownik może zdecydować, czy zmiany zostały spowodowane przez wirusa, czy nie. Wysyłając tego typu wiadomości, nie należy wpadać w panikę, ponieważ przyczyną zmian, na przykład długości programu, może wcale nie być wirus.

Ostatnia grupa obejmuje najbardziej nieskuteczne programy antywirusowe - szczepiacze. Zapisują oznaki konkretnego wirusa w zaszczepionym programie, tak aby wirus uznał go za już zainfekowanego.

Temat 5. Środki i technologie wymiany informacji za pomocą sieci komputerowych (technologie sieciowe)

5.1. Lokalne sieci komputerowe.

Istnieje wiele różnych sposobów klasyfikacji sieci komputerowych. Rozważmy tylko te główne.

W zależności od odległości pomiędzy połączonymi węzłami sieci można podzielić na trzy główne klasy: lokalne, regionalne i globalne(ryc. 7.1).

Ryż. 5.1. Klasyfikacja sieci ze względu na odległość między węzłami

Lokalna sieć komputerowa (LAN) – mała grupa komputerów połączonych ze sobą i zwykle zlokalizowanych w tym samym budynku lub organizacji.

Sieć regionalna - sieć łącząca wielu sieci lokalne w obrębie jednej dzielnicy, miasta lub regionu.

Sieć globalna - sieć łącząca komputery z różnych miast, regionów i stanów.

Połączenie globalnych, regionalnych i lokalnych sieci komputerowych pozwala na tworzenie wielopoziomowych hierarchii, które dostarczają potężnych narzędzi do przetwarzania ogromnych ilości danych i dostępu do praktycznie nieograniczonych zasobów informacji.

Lokalny sieć komputerowa(LAN) można włączyć jako komponenty do sieci regionalnej; sieci regionalne – zjednoczcie się w ramach sieci globalnej; wreszcie sieci globalne mogą tworzyć jeszcze większe struktury. Największym obecnie stowarzyszeniem sieci komputerowych na skalę Ziemi jest „sieć sieci” – Internet.

Ciekawym przykładem połączenia sieci lokalnych i globalnych jest wirtualna sieć prywatna (VPN). Jest to nazwa sieci organizacji, powstała w wyniku połączenia dwóch lub więcej geograficznie oddzielonych sieci LAN, wykorzystujących publicznie dostępne globalne kanały sieciowe, na przykład za pośrednictwem Internetu (ryc. 5.2).

Ryż. 5.2. Wirtualna sieć prywatna – kilka lokalnych sieci korporacyjnych,

zjednoczeni za pośrednictwem Internetu

Typ środki przekazu sieci dzielą się na przewodowe i bezprzewodowe(ryc. 5.3).

Ryż. 5.3. Klasyfikacja sieci ze względu na rodzaj medium transmisyjnego

Przez prędkość transmisji Informacje sieciowe można podzielić na wolno, średnio i szybko (ryc. 5.4).

Ryż. 5.4. Klasyfikacja sieci ze względu na prędkość transmisji informacji

Z punktu widzenia podziału ról pomiędzy komputerami w sieci istnieją peer-to-peer I klient-serwer(ryc. 1.7).

Ryż. 5.5. Klasyfikacja sieci ze względu na podział ról pomiędzy komputerami

W sieć peer-to-peer(Rys. 5.6) wszystkie komputery mają równe prawa. Każdy z nich może pełnić zarówno funkcję serwera, czyli udostępniania plików i zasobów sprzętowych (dyski, drukarki itp.) innym komputerom, jak i klienta, korzystającego z zasobów innych komputerów. Na przykład, jeśli na twoim komputerze jest zainstalowana drukarka, wszyscy inni użytkownicy sieci będą mogli za jej pomocą wydrukować swoje dokumenty, a ty z kolei będziesz mógł pracować z Internetem, który jest podłączony przez sąsiedni komputer .

Ryż. 5.6. Przykład sieci peer-to-peer

Administracja sieci- rozwiązywanie całego szeregu problemów związanych z zarządzaniem pracą komputerów, sprzętu sieciowego i użytkownikami, ochroną danych, zapewnianiem dostępu do zasobów, instalacją i aktualizacją oprogramowania systemowego i aplikacyjnego.

Zalety sieci peer-to-peer:

    łatwość instalacji i konfiguracji;

    niezależność poszczególnych komputerów i ich zasobów od siebie;

    możliwość kontrolowania przez użytkownika zasobów własnego komputera;

    stosunkowo niski koszt wdrożenia i wsparcia;

    brak konieczności stosowania dodatkowego oprogramowania (innego niż system operacyjny);

    brak konieczności stałej obecności administratora sieci

Wady sieci peer-to-peer:

    konieczność pamiętania tylu haseł, ile jest współdzielonych zasobów (dla sieci opartych na Windows 95/98) lub loginów i haseł (dla sieci opartych na Windows NT/2000/XP);

    konieczność tworzenia kopii zapasowych osobno na każdym komputerze w celu ochrony wszystkich udostępnianych danych;

    brak możliwości centralnego zarządzania siecią i dostępem do danych;

    w efekcie – niskie ogólne bezpieczeństwo sieci i danych

Liczba komputerów w sieciach peer-to-peer zwykle nie przekracza 10, stąd ich inna nazwa - grupa robocza. Typowymi przykładami grup roboczych są sieci domowe lub sieci małych biur.

Dedykowane sieci serwerów(sieci klient-serwer) Zazwyczaj sieci tworzone są w instytucjach lub dużych organizacjach. W takich sieciach (ryc. 5.7) występuje jeden lub więcej komputerów, zwanych serwerami, których zadaniem jest szybkie i wydajne przetwarzanie dużej liczby żądań od innych komputerów - klientów. Jednocześnie żądania klientów mogą być bardzo różne, od najprostszej weryfikacji nazwy użytkownika i hasła podczas logowania do systemu, po złożone zapytania wyszukiwania w bazach danych, których przetworzenie nawet na nowoczesnym komputerze wieloprocesorowym może zająć kilka godzin.

Ryż. 5.7. Przykład sieci z serwerem dedykowanym

serwer- specjalnie dedykowany komputer o dużej wydajności, wyposażony w odpowiednie oprogramowanie, który centralnie steruje pracą sieci i/lub udostępnia swoje zasoby innym komputerom w sieci (pliki danych, dyski, drukarka itp.).

Komputer kliencki(klient, stacja robocza) - komputer zwykłego użytkownika sieci, który uzyskuje dostęp do zasobów serwera (serwerów).

Zazwyczaj serwery są komputerami o większej mocy i niezawodności niż stacje robocze użytkowników. Serwery często wyposażane są w specjalistyczny sprzęt, np. pojemne nośniki danych (dyski twarde i oparte na nich tzw. „macierze raidowe”), napędy taśm magnetycznych do tworzenia kopii zapasowych, szybkie karty sieciowe itp. Komputery takie pracują stale, zapewniając użytkownikom ich zasobów i zapewnianiu dostępu do ich usług.

Zalety sieci klient-serwer:

    zastosowanie wydajnego sprzętu serwerowego zapewnia szybki dostęp do zasobów i sprawną obsługę żądań klientów: jeden serwer może obsłużyć tysiące użytkowników;

    centralizacja danych i zasobów pozwala na przejrzyste zarządzanie informacjami i danymi użytkowników;

    Umieszczenie danych na serwerze znacznie upraszcza procedury tworzenia kopii zapasowych;

    zwiększa się ogólne bezpieczeństwo sieci i bezpieczeństwo danych

Wady:

    awaria serwera może spowodować, że cała sieć stanie się praktycznie niedostępna, a zasoby będą niedostępne;

    złożoność wdrożenia i wsparcia wymaga obecności wykwalifikowanego personelu, co zwiększa całkowity koszt utrzymania sieci;

    koszt utrzymania sieci wzrasta także ze względu na zapotrzebowanie na dedykowany sprzęt i specjalistyczne oprogramowanie;

    wymaga jednego (a najczęściej kilku) stale obecnych administratorów w miejscu pracy

Usługi- programy działające na serwerach, które wykonują dowolne akcje na żądanie klienta.

Pomimo tego, że ogólne bezpieczeństwo informacji i środki zapobiegawcze są bardzo ważne dla ochrony przed wirusami, konieczne jest stosowanie specjalistycznych programów. Programy te można podzielić na kilka typów:

  • ? Programy wykrywające sprawdzają, czy pliki na dysku zawierają określoną kombinację bajtów (podpisu) znanego wirusa i zgłaszają to użytkownikowi (VirusScan/SCAN/McAfee Associates).
  • ? Programy lekarskie lub fagi „leczą” zainfekowane programy poprzez „wygryzanie” ciała wirusa z zainfekowanych programów, zarówno z przywróceniem siedliska (zainfekowany plik), jak i bez niego – moduł leczenia programu SCAN – program CLEAN.
  • ? Programy do wykrywania lekarzy (Aidstest Łozińskiego, Doctor Web Daniłowa, MSAV, Norton Antivirus, AVP firmy Kaspersky) są w stanie wykryć obecność znanego wirusa na dysku i wyleczyć zainfekowany plik. Najpopularniejsza obecnie grupa programów antywirusowych.

W najprostszym przypadku polecenie sprawdzenia zawartości dysku pod kątem wirusów wygląda następująco: AIDStest / klucz1 / klucz 2 / klucz 3 /---

  • ? Programy filtrujące (strażnicy) znajdują się w pamięci RAM komputera i przechwytują połączenia system operacyjny, które są wykorzystywane przez wirusy do reprodukcji i wyrządzania szkód oraz zgłaszania ich użytkownikowi:
  • - próba uszkodzenia głównego pliku systemu operacyjnego COMMAND.COM;
  • - próba zapisu bezpośrednio na dysk (poprzedni zapis zostaje usunięty) i pojawia się komunikat, że jakiś program próbuje skopiować na dysk;
  • - formatowanie dysku,
  • - rezydentne umieszczenie programu w pamięci.

Po wykryciu próby wykonania którejś z tych akcji program filtrujący przedstawia użytkownikowi opis sytuacji i wymaga od niego potwierdzenia. Użytkownik może zezwolić na tę operację lub ją odmówić. Kontrola działań, charakterystyczna dla wirusów, odbywa się poprzez wymianę odpowiednich procedur obsługi przerwań. Wadami tych programów są natrętność (np. strażnik wyświetla ostrzeżenie przy każdej próbie skopiowania pliku wykonywalnego), możliwe konflikty z innym oprogramowaniem oraz omijanie strażników przez niektóre wirusy. Przykładowe filtry: Anti4us, Vsafe, Disk Monitor.

Należy zauważyć, że obecnie wiele programów klasy doctor-detektor ma również moduł rezydentny - filtr (ochrona), na przykład DR Web, AVP, Norton Antivirus. Dlatego takie programy można sklasyfikować jako lekarz-detektor-strażnik.

  • ? Sprzętowe i programowe narzędzia antywirusowe (kompleks sprzętu i oprogramowania Sheriff). Na równi z programami kontrolnymi znajdują się sprzętowe i programowe narzędzia antywirusowe, które zapewniają więcej niezawodna ochrona przedostaniem się wirusa do systemu. Takie kompleksy składają się z dwóch części: sprzętu, który jest instalowany w postaci mikroukładu Płyta główna i oprogramowanie zapisywane na dysku. Część sprzętowa (kontroler) monitoruje wszystkie operacje zapisu na dysk, część programowa, znajdująca się w pamięci RAM, monitoruje wszystkie operacje wejścia/wyjścia informacji. Możliwość wykorzystania tych narzędzi wymaga jednak dokładnego rozważenia z punktu widzenia konfiguracji zastosowanej na komputerze PC. dodatkowe wyposażenie na przykład kontrolery dysków, modemy lub karty sieciowe.
  • ? Programy audytorskie (Infoskop Adinf/Advanced Disk/z blokiem zabiegowym ADinf Cure Module Mostovoy). Programy audytów składają się z dwóch etapów pracy. Najpierw zapamiętują informacje o stanie programów i obszarach systemowych dysków (sektor startowy i sektor z tabelą podziału dysku twardego na partycje logiczne). Zakłada się, że w tym momencie programy i obszary dysku systemowego nie są zainfekowane. Następnie, porównując obszary systemowe i dyski z oryginalnymi, w przypadku wykrycia rozbieżności użytkownik jest powiadamiany. Programy audytorskie są w stanie wykryć niewidzialne (STEALTH) wirusy. Sprawdzenie długości pliku nie jest wystarczające; niektóre wirusy nie zmieniają długości zainfekowanych plików. Bardziej niezawodnym sprawdzeniem jest odczytanie całego pliku i obliczenie jego sumy kontrolnej (bit po bicie). Prawie niemożliwa jest zmiana całego pliku, tak aby jego suma kontrolna pozostała taka sama. Drobną wadą audytorów jest to, że dla zapewnienia bezpieczeństwa należy z nich regularnie korzystać, np. codziennie wywoływać je z pliku AUTOEXEC.BAT. Ale ich niewątpliwymi zaletami jest duża szybkość sprawdzania i fakt, że nie wymagają częstych aktualizacji wersji. Wersje audytora, nawet starsze niż pół roku, niezawodnie wykrywają i usuwają nowoczesne wirusy.
  • ? Programy szczepionek lub uodporniaczy (CPAV). Programy szczepionek modyfikują programy i dyski w taki sposób, że nie ma to wpływu na działanie programów, lecz wirus, przeciwko któremu przeprowadzane jest szczepienie, uważa te programy i dyski za już zainfekowane. Programy te nie są wystarczająco skuteczne.

Konwencjonalnie strategię ochrony przed wirusem można zdefiniować jako wielopoziomową, „warstwową” obronę. Strukturalnie mogłoby to wyglądać tak. Narzędzia wywiadowcze w „obronie” przed wirusami odpowiadają programom wykrywającym, które pozwalają określić nowo otrzymane wirusy oprogramowanie na obecność wirusów. Na czele obrony stoją programy filtrujące, które rezydują w pamięci komputera. Programy te mogą jako pierwsze zgłosić działanie wirusa. Drugi szczebel „obrony” składa się z programów audytu. Audytorzy wykrywają atak wirusa nawet wtedy, gdy udało mu się „przedostać” przez pierwszą linię obrony. Programy lecznicze służą do przywracania zainfekowanych programów, jeśli kopia zainfekowanego programu nie znajduje się w archiwum, ale nie zawsze leczą prawidłowo. Lekarze-inspektorzy wykrywają atak wirusa i leczą zainfekowane programy oraz monitorują prawidłowość leczenia. Najgłębszym szczeblem obrony są środki kontroli dostępu. Nie pozwalają, aby wirusy i źle działające programy, nawet jeśli przedostały się do komputera, zepsuły ważne dane. „Rezerwa strategiczna” zawiera archiwalne kopie informacji oraz dyskietki „referencyjne” z produkty oprogramowania. Umożliwiają przywrócenie informacji w przypadku ich uszkodzenia.

Szkodliwe działanie każdego rodzaju wirusa może być bardzo zróżnicowane. Obejmuje to usuwanie ważnych plików, a nawet oprogramowania sprzętowego BIOS-u, przesyłanie danych osobowych, takich jak hasła, na określony adres, organizowanie nieautoryzowanych kampanii e-mailowych i ataków na określone strony internetowe. Możliwe jest także rozpoczęcie wybierania numeru telefon komórkowy na numery płatne. Ukryte narzędzia administracyjne (backdoor) mogą nawet przekazać atakującemu pełną kontrolę nad komputerem. Na szczęście ze wszystkimi tymi kłopotami można skutecznie walczyć, a główną bronią w tej walce będzie oczywiście oprogramowanie antywirusowe.

Kaspersky Anti-Virus. Być może „Kaspersky Anti-Virus” jest najsłynniejszym produktem tego typu w Rosji, a nazwa „Kaspersky” stała się synonimem walki ze złośliwymi kodami. Laboratorium o tej samej nazwie nie tylko stale wypuszcza nowe wersje swojego oprogramowania zabezpieczającego, ale także prowadzi prace edukacyjne wśród użytkowników komputerów. Najnowsza, dziewiąta wersja programu Kaspersky Anti-Virus, podobnie jak poprzednie wydania, wyróżnia się prostym i niezwykle przejrzystym interfejsem, który łączy w jednym oknie wszystkie niezbędne narzędzia. Dzięki kreatorowi instalacji i intuicyjnym opcjom menu nawet początkujący użytkownik może skonfigurować ten produkt. Moc zastosowanych algorytmów zadowoli nawet profesjonalistów. Szczegółowy opis każdego z wykrytych wirusów można znaleźć dzwoniąc na odpowiednią stronę w Internecie bezpośrednio z programu.

Dr. Sieć. Innym popularnym rosyjskim programem antywirusowym, dorównującym popularnością Kaspersky Anti-Virus, jest Dr. Sieć. Jego wersja próbna ma ciekawą funkcję: wymaga obowiązkowej rejestracji przez Internet. Z jednej strony to bardzo dobrze – zaraz po rejestracji antywirusowa baza danych jest aktualizowana, a użytkownik otrzymuje najświeższe dane o podpisach. Z drugiej strony nie można zainstalować wersji próbnej w trybie offline i, jak pokazało doświadczenie, problemy są nieuniknione w przypadku niestabilnego połączenia.

Panda Antivirus + Firewall 2007. Kompleksowe rozwiązanie w zakresie bezpieczeństwo komputera- Pakiet Panda Antivirus+Firewall 2007 - zawiera, oprócz programu antywirusowego, zaporę sieciową śledzącą aktywność sieciowa. Interfejs głównego okna programu został zaprojektowany w „naturalnych” odcieniach zieleni, ale pomimo swojej atrakcyjności wizualnej, system nawigacji po menu jest zbudowany niewygodnie, a początkujący użytkownik może się pomylić w ustawieniach.

Pakiet Panda zawiera kilka oryginalne rozwiązania, jak na przykład autorska technologia TruePrevent służąca do wyszukiwania nieznanych zagrożeń, oparta na najbardziej zaawansowanych algorytmach heurystycznych. Warto także zwrócić uwagę na narzędzie do wyszukiwania podatności komputera - ocenia ono niebezpieczeństwo „dziur” w systemie bezpieczeństwa i proponuje pobranie niezbędnych aktualizacji.

Norton Antivirus 2005. Głównym wrażeniem produktu słynnej firmy Symantec - kompleksu antywirusowego Norton Antivirus 2005 - jest skupienie się na potężnych systemy komputerowe. Reakcja interfejsu programu Norton Antivirus 2005 na działania użytkownika jest zauważalnie opóźniona. Ponadto podczas instalacji stawia dość rygorystyczne wymagania dotyczące wersji systemu operacyjnego i Internet Explorera. W przeciwieństwie do Dr.Web, Norton Antivirus nie wymaga aktualizacji baz wirusów podczas instalacji, ale przez cały czas będzie przypominał, że są one nieaktualne.

Skaner antywirusowy McAfee. Do testów wybraliśmy ciekawy produkt antywirusowy, który zdaniem twórców jest skanerem nr 1 na świecie – McAfee VirusScan – ponieważ wyróżniał się spośród podobnych aplikacji dużym rozmiarem dystrybucji (ponad 40 MB ). Wierząc, że wartość ta wynika z jego szerokiej funkcjonalności, przystąpiliśmy do instalacji i odkryliśmy, że oprócz skanera antywirusowego zawiera on zaporę sieciową, a także narzędzia do czyszczenia dysku twardego i gwarantowane usuwanie obiektów z dysku twardego dysk (niszczarka plików).

Pytania do rozdziałów 6 i 7

  • 1. Etapy rozwoju narzędzi i technologii bezpieczeństwa informacji.
  • 2. Elementy standardowego modelu bezpieczeństwa.
  • 3. Źródła zagrożeń bezpieczeństwa i ich klasyfikacja.
  • 4. Niezamierzone zagrożenia bezpieczeństwa informacji.
  • 5. Celowe zagrożenia bezpieczeństwa informacji.
  • 6. Klasyfikacja kanałów wycieku informacji.
  • 7. Regulacja problemów bezpieczeństwa informacji.
  • 8. Struktura system państwowy ochrona informacji.
  • 9. Metody i środki bezpieczeństwa informacji.
  • 10. Klasyfikacja zagrożeń bezpieczeństwa danych.
  • 11. Metody ochrony informacji przed wirusami.
  • 12. Metody kontroli integralności.
  • 13. Klasyfikacja wirusów komputerowych.
  • 14. Ochrona antywirusowa.
  • 15. Zapobiegawcze środki antywirusowe.
  • 16. Klasyfikacja produktów oprogramowania antywirusowego.

Program antywirusowy (antywirus) to pierwotnie program komputerowy, którego zadaniem jest neutralizacja wirusów i różnego rodzaju złośliwego oprogramowania w celu ochrony danych i zapewnienia optymalnego działania komputera osobistego.

Oprogramowanie antywirusowe nie musiało długo czekać, pojawiło się natychmiast po pojawieniu się pierwszego szkodliwego oprogramowania. W tej chwili całe korporacje, na czele z tysiącami ludzi, pracują nad rozwojem programów antywirusowych, które nieustannie „łatają dziury”, aby nasz świat informacyjny był czystszy i bezpieczniejszy.

Programy antywirusowe (antywirusy) wykorzystują dwie specyficzne zasady działania (eliminowania) złośliwego oprogramowania:

· Skanowanie komputera i porównanie istniejącego wirusa z bazą danych na serwerze określonego producenta.

· Skanuj i wykrywaj programy, które zachowują się podejrzanie i z definicji mogą być złośliwym oprogramowaniem.

Można także zdefiniować klasyfikację modułów antywirusowych wchodzących w skład różnych programów antywirusowych (programów antywirusowych):

1. Skanery - moduł antywirusowy działający w oparciu o dopasowanie. Innymi słowy, program antywirusowy wyszukuje obecność wirusa przy użyciu bazy sygnatur. Jakość skanowania zależy od daty aktualizacji bazy danych i analizy heurystycznej.

2. Moduł audytu - zapamiętuje stan system plików, co w dalszej kolejności umożliwia porównanie różnic i porównanie wyników. Jeśli jest różnica, wirus zostaje złapany.

3. Monitory są specjalne programy asystenci, którzy w przypadku wykrycia potencjalnie niebezpiecznego złośliwego oprogramowania (najczęściej znajdują się pliki EXE) oferują użytkownikowi wybór kilku operacji, które koniecznie obejmują funkcję „usuń”.

4. Szczepionki – zasada działania tego modułu może przypominać zwykłe „szczepienia”. Innymi słowy, gdy wirus chce przeniknąć do programu i zainfekować go, rolą szczepionki jest pokazanie wirusowi, że program jest już zainfekowany. Niestety w chwili obecnej, gdy liczba wirusów w sieć globalna mierzona w milionach Ta metoda już nieaktualne.

Ochrona komputera w domu i pracy przed wirusami

1. Komputer domowy - z reguły komputery domowe nie są tak podatne na ataki wirusów. Zazwyczaj twórcy oprogramowania antywirusowego skupiają się na następujących komponentach:

· Program antywirusowy

· Zapora sieciowa

· Ochrona przed rootkitami

· Anty spam

2. Jeśli chodzi o stacje robocze, sytuacja jest nieco bardziej skomplikowana, ponieważ większość struktur współpracuje z serwerami. W związku z tym poziom bezpieczeństwa tutaj powinien być wyższy. Z reguły administratorzy korzystają z dobrych antywirusów serwerowych i aplikacji dla nich (klienckich).

Na świecie istnieje ogromna liczba różnych korporacji, które opracowują coraz więcej nowych programów antywirusowych i gromadzą dla nich bazy danych. Na naszej stronie znajdziesz tylko największe i odnoszące największe sukcesy firmy, których antywirusy wielokrotnie wygrywały różne testy i konkursy (Virus Bulletin) itp.

I pamiętaj, kupując licencjonowany produkt, nie tylko zyskujesz dostęp do najnowszych i większości najnowsze aktualizacje podpisów, ale otrzymasz specjalistyczne wsparcie w przypadku problemów napotkanych podczas pracy z oprogramowaniem antywirusowym.

Programy antywirusowe chronią komputer przed wirusami i innym złośliwym oprogramowaniem, takim jak robaki i konie trojańskie. Programy antywirusowe w Internecie wymagają regularnej aktualizacji. Aby otrzymywać aktualizacje, należy wykupić usługę aktualizacji antywirusowych baz danych producenta programu antywirusowego. Przed połączeniem się z Internetem musisz uruchomić program antywirusowy!

Główne zadania programów antywirusowych:

· Skanuj pliki i programy w czasie rzeczywistym.

· Skanuj swój komputer na żądanie.

· Skanowanie ruchu internetowego.

· Skanowanie poczty e-mail.

· Ochrona przed atakami z wrogich stron internetowych.

· Odzyskiwanie uszkodzonych plików (leczenie).

Rozprzestrzenianiu się wirusów za pośrednictwem poczty elektronicznej można by tanio i skutecznie zapobiec bez instalowania programów antywirusowych, gdyby wyeliminowano wady programów pocztowych, które polegają na wykonywaniu kodu wykonywalnego zawartego w listach bez wiedzy i zgody użytkownika.

· Szkolenie użytkowników może być skutecznym dodatkiem do oprogramowania antywirusowego. Samo edukowanie użytkowników na temat bezpiecznego korzystania z komputera (np. niepobierania i uruchamiania nieznanych programów z Internetu) zmniejszyłoby prawdopodobieństwo rozprzestrzeniania się wirusów i wyeliminowałoby potrzebę stosowania wielu programów antywirusowych.

· Użytkownicy komputerów nie powinni przez cały czas pracować z uprawnieniami administratora. Gdyby korzystali z trybu zwykłego dostępu użytkownika, niektóre typy wirusów nie mogłyby się rozprzestrzeniać (lub przynajmniej szkody powodowane przez wirusy byłyby mniejsze). Jest to jeden z powodów, dla których wirusy są stosunkowo rzadkie w systemach uniksowych.

· Różne techniki szyfrowania i pakowania złośliwego oprogramowania sprawiają, że nawet znane wirusy są niewykrywalne przez oprogramowanie antywirusowe. Wykrywanie tych „zamaskowanych” wirusów wymaga potężnego silnika dekompresji, który może odszyfrować pliki przed ich przeskanowaniem. Niestety wiele programów antywirusowych nie ma tej funkcji, w rezultacie często niemożliwe jest wykrycie zaszyfrowanych wirusów.

· Ciągłe pojawianie się nowych wirusów zapewnia twórcom oprogramowania antywirusowego dobre perspektywy finansowe.

· Niektóre programy antywirusowe mogą znacząco obniżyć wydajność. Użytkownicy mogą zabronić ochrona antywirusowa aby zapobiec utracie wydajności, co z kolei zwiększa ryzyko infekcji wirusowej. Aby zapewnić maksymalne bezpieczeństwo, oprogramowanie antywirusowe powinno być zawsze podłączone, pomimo utraty wydajności. Niektóre programy antywirusowe nie wpływają znacząco na wydajność.

· Czasami trzeba wyłączyć ochronę antywirusową podczas instalowania aktualizacji programów, takich jak dodatki Service Pack dla systemu Windows. Program antywirusowy działający podczas instalacji aktualizacji może spowodować nieprawidłowe zainstalowanie modyfikacji lub całkowite anulowanie instalacji modyfikacji. Zanim Aktualizacja systemu Windows 98, Windows 98 Wydanie drugie lub Windows ME w systemie Windows XP (Home lub Professional), lepiej wyłączyć ochronę antywirusową, w W przeciwnym razie Proces aktualizacji może zakończyć się niepowodzeniem.

· Niektóre programy antywirusowe w rzeczywistości podszywają się pod programy szpiegowskie. Najlepiej dokładnie sprawdzić, czy program antywirusowy, który pobierasz, rzeczywiście nim jest. Jeszcze lepiej jest korzystać z oprogramowania znanych producentów i pobierać dystrybucje wyłącznie ze strony dewelopera.

· Niektóre produkty wykorzystują wiele rdzeni do wyszukiwania i usuwania wirusów i oprogramowania szpiegującego. Na przykład przy opracowywaniu oprogramowania NuWave wykorzystywane są 4 rdzenie (dwa do skanowania w poszukiwaniu wirusów i dwa do skanowania w poszukiwaniu oprogramowania spyware)

Programy antywirusowe są zwykle podzielone na czyste antywirusy I dwufunkcyjne programy antywirusowe. Czyste programy antywirusowe wyróżniają się obecnością rdzenia antywirusowego, który pełni funkcję skanowania próbek. Zasada jest w tym przypadku taka, że ​​leczenie jest możliwe, jeśli wirus jest znany. Z kolei antywirusy czyste dzielą się na dwie kategorie w zależności od rodzaju dostępu do plików: te, które sprawują kontrolę poprzez dostęp (on access) lub na żądanie użytkownika (na żądanie). Zwykle nazywane są produkty dostępu monitory oraz produkty na żądanie - skanery. Ponadto programy antywirusowe, podobnie jak wirusy, można podzielić w zależności od platformy, na której działa program antywirusowy. W tym sensie, wraz z systemem Windows lub Linux, platformy mogą obejmować Microsoft Wymiana serweru, Microsoft Office, Lotosowe notatki.

Programy podwójnego zastosowania to programy używane zarówno w programach antywirusowych, jak i w oprogramowaniu, które nie jest antywirusem. Istnieje wiele programów podwójnego zastosowania blokery behawioralne, które analizują zachowanie innych programów i blokują je w przypadku wykrycia podejrzanych działań.

Wybierając program antywirusowy, należy wziąć pod uwagę nie tylko procent wykrycia wirusów, ale także zdolność do wykrywania nowych wirusów, liczbę wirusów w antywirusowa baza danych, częstotliwość aktualizacji, obecność dodatkowych funkcji.

Programy antywirusowe, ich klasyfikacja i zasady działania

Najpopularniejsze i najskuteczniejsze programy antywirusowe to skanery antywirusowe(inne nazwy: lekarze, fagi, polifagi). Za nimi pod względem skuteczności i popularności podążają m.in skanery CRC(też: audytor, suma kontrolna, sprawdzacz integralności). Często obie te metody są łączone w jeden uniwersalny program antywirusowy, co znacznie zwiększa jego moc. Również obowiązujące różne rodzaje monitory(filtry, blokery) i immunizatory(detektory).

Skanery. Zasada działania skanerów antywirusowych opiera się na sprawdzaniu plików, sektorów i pamięci systemowej oraz wyszukiwaniu w nich znanych i nowych (nieznanych skanerowi) wirusów. Skanery można również podzielić na dwie kategorie – „uniwersalne” i „specjalistyczne”. Skanery uniwersalne przeznaczone są do wyszukiwania i neutralizacji wszystkich typów wirusów, niezależnie od systemu operacyjnego, w którym skaner ma pracować. Skanery specjalistyczne przeznaczone są do neutralizacji ograniczonej liczby wirusów lub tylko jednej klasy wirusów, np. makrowirusów. Specjalistyczne skanery przeznaczone wyłącznie pod kątem makrowirusów często okazują się najwygodniejszym i niezawodnym rozwiązaniem ochrony systemów zarządzania dokumentami w MS Word i MS Excel. Skanery dzielą się także na „rezydentne”, które skanują w locie, oraz „nierezydentne”, które skanują system tylko na żądanie.

WSTĘP

Żyjemy na przełomie dwóch tysiącleci, kiedy ludzkość wkroczyła w erę nowej rewolucji naukowo-technologicznej.

Pod koniec XX wieku ludzie opanowali wiele tajemnic transformacji materii i energii i potrafili wykorzystać tę wiedzę do poprawy swojego życia. Ale oprócz materii i energii w życiu człowieka ogromną rolę odgrywa jeszcze jeden element – ​​informacja. To cała gama informacji, wiadomości, aktualności, wiedzy, umiejętności.

W połowie naszego stulecia pojawiły się specjalne urządzenia – komputery, skupiające się na przechowywaniu i przetwarzaniu informacji, i nastąpiła rewolucja komputerowa.

Dziś powszechne korzystanie z komputerów osobistych okazało się niestety wiązać z pojawieniem się samoreplikujących się programów wirusowych, które zakłócają normalne działanie komputera, niszczą strukturę plików dysków i uszkadzają informacje przechowywane na komputerze .

Pomimo przepisów przyjętych w wielu krajach w celu zwalczania przestępczości komputerowej i rozwoju specjalnych oprogramowanie ochrony przed wirusami, liczba nowych wirusów oprogramowania stale rośnie. Wymaga to od użytkownika komputera osobistego posiadania wiedzy na temat natury wirusów, sposobów infekcji wirusami i ochrony przed nimi. To było impulsem do wyboru tematu mojej pracy.

Właśnie o tym mówię w moim eseju. Pokazuję główne typy wirusów, rozważam schematy ich działania, przyczyny ich pojawiania się i sposoby przedostawania się do komputera, a także proponuję środki ochrony i zapobiegania.

Celem pracy jest zapoznanie użytkownika z podstawami wirusologii komputerowej, nauka wykrywania wirusów i zwalczania ich. Metoda pracy – analiza drukowanych publikacji na ten temat. Stanąłem przed trudnym zadaniem - opowiedzieć o czymś, co było bardzo mało badane, a jak to się skończyło, zależy od ciebie.

1. WIRUSY KOMPUTEROWE I ICH WŁAŚCIWOŚCI I KLASYFIKACJA

1.1. Właściwości wirusów komputerowych

Teraz zastosowano komputery osobiste, w którym użytkownik ma swobodny dostęp do wszystkich zasobów maszyny. To właśnie otworzyło możliwość wystąpienia zagrożenia, które stało się znane jako wirus komputerowy.

Co to jest wirus komputerowy? Formalna definicja tego pojęcia nie została jeszcze wymyślona i istnieją poważne wątpliwości, czy w ogóle można ją podać. Liczne próby przedstawienia „nowoczesnej” definicji wirusa nie powiodły się. Aby zrozumieć złożoność problemu, spróbuj na przykład zdefiniować pojęcie „redaktor”. Albo wymyślisz coś bardzo ogólnego, albo zaczniesz wymieniać wszystkie znane typy redaktorów. Jedno i drugie trudno uznać za akceptowalne. Dlatego ograniczymy się do rozważenia niektórych właściwości wirusów komputerowych, które pozwalają nam mówić o nich jako o pewnej klasie programów.

Po pierwsze, wirus jest programem. Już takie proste stwierdzenie może rozwiać wiele legend o niezwykłych możliwościach wirusów komputerowych. Wirus może odwrócić obraz na monitorze, ale nie może odwrócić samego monitora. Legend o zabójczych wirusach „niszczących operatorów poprzez wyświetlenie na ekranie śmiercionośnej kolorystyki w 25. klatce” również nie należy traktować poważnie. Niestety, w niektórych renomowanych wydawnictwach od czasu do czasu pojawiają się „najnowsze wiadomości ze świata komputerów”, które po bliższym przyjrzeniu się okazują się efektem nie do końca jasnego zrozumienia tematu.

Wirus to program, który ma zdolność do samoreprodukcji. Ta zdolność jest jedynym środkiem właściwym dla wszystkich typów wirusów. Ale nie tylko wirusy są zdolne do samoreplikacji. Każdy system operacyjny i wiele innych programów może tworzyć własne kopie. Kopie wirusa nie tylko nie muszą całkowicie pokrywać się z oryginałem, ale mogą w ogóle z nim nie pokrywać!

Wirus nie może istnieć w „całkowitej izolacji”: dziś nie można sobie wyobrazić wirusa, który nie wykorzystuje kodu innych programów, informacji o strukturze plików, czy nawet samych nazw innych programów. Powód jest jasny: wirus musi w jakiś sposób zapewnić przeniesienie kontroli na siebie.

1.2. Klasyfikacja wirusów

Obecnie znanych jest ponad 5000 wirusów oprogramowania, można je klasyfikować według następujących kryteriów:

siedlisko

¨ sposób skażenia siedliska

wpływ

¨ cechy algorytmu

W zależności od siedliska wirusy można podzielić na wirusy sieciowe, plikowe, rozruchowe i wirusy uruchamiające pliki. Wirusy sieciowe rozsiane po różnych sieć komputerowa. Wirusy plikowe osadzone są głównie w modułach wykonywalnych, czyli plikach z rozszerzeniami COM i EXE. Wirusy plikowe mogą być osadzone w innych typach plików, ale z reguły zapisane w takich plikach nigdy nie otrzymują kontroli i dlatego tracą zdolność do reprodukcji. Wirusy rozruchowe są osadzone w sektorze rozruchowym dysku (sektor rozruchowy) lub w sektorze zawierającym program startowy dysk systemowy(Master Boot Re-

sznur). Uruchomienie pliku Wirusy infekują zarówno pliki, jak i sektory startowe dysków.

Ze względu na sposób infekcji wirusy dzielimy na rezydentne i nierezydentne. Wirus rezydentny kiedy komputer jest zainfekowany (infekowany), pozostawia swoją część rezydentną w pamięci RAM, która następnie przechwytuje dostęp systemu operacyjnego do obiektów infekcji (plików, sektorów startowych dysku itp.) i wstrzykuje się do nich. Wirusy rezydentne znajdują się w pamięci i są aktywne do momentu wyłączenia lub ponownego uruchomienia komputera. Wirusy nierezydentne nie infekują pamięci komputera i są aktywne przez ograniczony czas.

Ze względu na stopień oddziaływania wirusy można podzielić na następujące typy:

¨ nieszkodliwy, które nie zakłócają działania komputera, ale zmniejszają ilość wolnej pamięci RAM i pamięci dyskowej, działanie takich wirusów objawia się niektórymi efektami graficznymi lub dźwiękowymi

¨ niebezpieczny wirusy, które mogą powodować różne problemy z komputerem

¨ bardzo niebezpieczne, którego wpływ może prowadzić do utraty programów, zniszczenia danych i usunięcia informacji w obszarach systemowych dysku.

2. GŁÓWNE TYPY WIRUSÓW I SCHEMAT ICH DZIAŁANIA

Wśród różnorodnych wirusów można wyróżnić następujące główne grupy:

uruchomić

plik

¨ plik-boot

Przyjrzyjmy się teraz bliżej każdej z tych grup.

2.1. Wirusy rozruchowe

Przyjrzyjmy się działaniu bardzo prostego wirusa startowego, który infekuje dyskietki. Celowo pominiemy wszystkie liczne subtelności, które nieuchronnie napotkamy podczas ścisłej analizy algorytmu jego działania.

Co się stanie po włączeniu komputera? Przede wszystkim następuje przeniesienie kontroli program bootstrapowy, który jest przechowywany w pamięci tylko do odczytu (ROM), tj. PNZ ROM.

Ten program testuje sprzęt i, jeśli testy wypadną pomyślnie, próbuje znaleźć dyskietkę w napędzie A:

Każda dyskietka oznaczona jest tzw. sektory i ścieżki. Sektory łączą się w klastry, ale nie ma to dla nas większego znaczenia.

Wśród sektorów znajduje się kilka sektorów usługowych, wykorzystywanych przez system operacyjny na własne potrzeby (sektory te nie mogą zawierać Twoich danych). Spośród sektorów usługowych interesuje nas obecnie jeden – tzw. sektor rozruchowy(sektor rozruchowy).

Sklepy sektora rozruchowego informacje o dyskietce- liczba powierzchni, liczba ścieżek, liczba sektorów itp. Ale teraz nie interesują nas te informacje, ale małe program bootstrapowy(PNZ), który musi załadować sam system operacyjny i przekazać mu kontrolę.

Zatem normalny schemat ładowania początkowego wygląda następująco:

PNZ (ROM) - PNZ (dysk) - SYSTEM

Przyjrzyjmy się teraz wirusowi. Wirusy rozruchowe składają się z dwóch części – tzw. głowa itp. ogon. Ogon, ogólnie rzecz biorąc, może być pusty.

Załóżmy, że masz czystą dyskietkę i zainfekowany komputer, przez co rozumiemy komputer z aktywnym wirusem rezydentnym. Gdy tylko wirus wykryje, że w napędzie pojawiła się odpowiednia ofiara - w naszym przypadku dyskietka, która nie jest zabezpieczona przed zapisem i nie została jeszcze zainfekowana, zaczyna infekować. Podczas infekowania dyskietki wirus wykonuje następujące działania:

Wybiera określony obszar dysku i oznacza go jako niedostępny dla systemu operacyjnego, można to zrobić na różne sposoby, w najprostszym i tradycyjnym przypadku sektory zajęte przez wirusa są oznaczane jako złe (złe)

Kopiuje swój ogon i oryginalny (zdrowy) sektor rozruchowy do wybranego obszaru dysku

Podziel się z przyjaciółmi:
Powiązane publikacje