Реферат: Компьютерные вирусы и борьба с ними

Управление режимами также как и в  Aidtest  осуществляется  с помощью ключей. Пользователь может указать программе  тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать  только  оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещ_ и расширенную (указывается с  помощью ключа /H ). Как и Aidstest Doctor Web может  создавать  отчет о работе (ключ /P), загружать знакогенератор Кириллицы  (ключ /R ),  поддерживает  работу  с  программно-аппаратным  комплексом Sheriff ( ключ /Z ).

Но, конечно, главной особенностью "Лечебной паутины" является наличие эвристического анализатора, который подключается  ключем /S. Баланса между скоростью и качеством можно добиться,  указав ключу уровень эвристического анализа: 0 -  минимальный,  1  - оптимальный, 2 - максимальный; при  этом,  естественно,  скорость уменьшается пропорционально увеличению качества. К тому же Dr.Web позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET. Для этого  следует  указать  ключ  /U (при этом распаковка файлов будет произведена на текущем  устройстве) или /Uдиск: (где  диск:  -  устройство,  на  котором  будет производиться распаковка), если дискета, с которой запущен Doctor Web защищена от записи. Многие программы упакованы  таким  способом, хотя пользователь может и не подозревать об этом. Если  ключ /U не установлен, то Doctor Web может пропустить  вирус,  забравшийся в запакованную программу.

Важной функцией является контроль заражения тестируемых  файлов резидентным вирусом( ключ /V ). При сканировании  памяти  нет стопроцентной гарантии, что "Лечебная паутина" обнаружит все  вирусы, находящиеся там. Так вот, при задании функции /V Dr.Web пытается воспрепятствовать оставшимся резидентным вирусам  заразить тестируемые файлы.

Тестирование винчестера Dr.Web-ом занимает на  много  больше времени, чем Aidstest-ом, поэтому не  каждый  пользователь  может себе позволить тратить столько  времени  на  ежедневную  проверку всего жесткого диска. Таким пользователям можно посоветовать  более тщательно (с опцией /S2) проверять принесенные извне дискеты. Если информация на дискете находится в архиве  (а  в  последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители  программного  обеспечения, например Borland, пакуют свою продукцию),  следует  распаковать его в отдельный каталог на жестком диске и сразу же, не  откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя  бы раз в две недели производить полную проверку "винчестера" на  вирусы с заданием максимального уровня эвристического анализа.

Так же как и в случае с Aidstest при начальном  тестировании не стоит разрешать программе лечить файлы, в которых она  обнаружит вирус, так как нельзя исключить, что последовательность байт, принятая в антивирусе за  шаблон  может  встретиться  в  здоровой программе. Если по завершении тестирования Dr.Web выдаст  сообщения о том, что нашел вирусы, нужно запустить его с опцией /P (если эта опция не была указана) для того, чтобы  посмотреть,  какой файл заражен. После этого нужно скопировать файл на  дискету  или на электронный диск и попытаться удалить, указав "Лечебной паутине" ключ /F. При неудачном лечении следует поступить так же,  как в аналогичной ситуации, описаной выше для программы Aidstest.

Для ежедневной работы с дискетами можно  посоветовать  следующую конфигурацию: web <имя диска>/A/S2/V/O/U/H , где /A -  проверять все файлы, /S2 - эвристический анализатор,  /V  -  проверять заражение резидентным вирусом, /O - выводить сообщение OK для незараженных файлов, /U - проверять запакованные ( но не  архивированные!) файлы, /H - тестировать верхнюю память.

Чтобы все время не набирать одну и  ту  же  последовательность ключей, можно включить в меню пользователя (USER  MENU)  оболочки NORTON COMMANDER ( или ДОС-НОВИГАТОР, если  используется  последняя) пункты вызова Dr.Web  и  Aidstest,  либо  создать  командный файл. Это не только сэкономит  время,  но  и  позволит  уменьшить объем переменных окружения DOS, так как  теперь  не  нужно  будет указывать в команде PATH файла AUTOEXEC.BAT подкаталог с  антивирусными программами (некоторые делают это для оперативного  обращения к антивирусам).

При работе с современным персональным компьютером пользователя (а особенно начинающего) может подстерегать множество неприятностей: потеря данных, зависание  системы,  выход  из  строя  отдельных частей компьютера и другие. Одной из причин этих  проблем наряду с ошибками в программном  обеспечении)  и  неумелыми  действиями самого оператора ПЭВМ могут быть проникшие в систему компьютерные вирусы. Эти  программы  подобно  биологическим  вирусам размножаются, записываясь в системные области диска  или  приписываясь к файлам и производят различные нежелательные действия, которые , зачастую, имеют катастрофические последствия. Чтобы не стать жертвой этой напасти, каждому пользователю  следует  хорошо знать принципы защиты от компьютерных вирусов.

С давних времён известно, что к любому яду  рано  или  поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Данные программы  можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры - это резидентные программы, которые  оповещают пользователя о всех попытках  какой-либо  программы  записаться на диск, а уж тем более отформатировать его ,  а  также  о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или  запрещении данного действия. Принцип работы этих программ  основан  на перехвате соответствующих  векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к  известным, так и неизвестным вирусам, тогда как  детекторы  пишутся  под  конкретные, известные на данный момент программисту  виды.  Это  особенно актуально сейчас, когда появилось  множество  вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут  отслеживать вирусы, обращающиеся непосредственно к  BIOS,  а  также BOOT-вирусы, активизирующиеся ещё до запуска  антивируса,  в  начальной стадии загрузки DOS, К недостаткам  также  можно  отнести частую выдачу запросов на осуществление какой-либо операции:  ответы на вопросы отнимают у  пользователя  много  времени  и  действуют  ему  на  нервы.  При  установке некоторых антивирусов-фильтров могут возникать  конфликты  с  другими  резидентными программами, использующими те же прерывания, которые  просто  перестают работать.

Наибольшее распространение в нашей стране  получили  программы-детекторы, а вернее программы, объединяющие в себе  детектор  и доктор. Наиболее известные представители этого класса - Aidstest, Doctor Web, MicroSoft AntiVirus далее будут рассмотрены подробнее. Антивирусы-детекторы расчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле  вируса  с кодами проверяемых программ. Такие программы нужно  регулярно  обновлять, так как они быстро устаревают и  не  могут  обнаруживать новые виды вирусов. Ревизоры - программы, которые анализируют  текущее  состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов  данных  ревизора.  При  этом проверяется состояние BOOT-сектора, таблицы FAT,  а  также  длина файлов, их время создания, атрибуты, контрольная сумма.  Анализируя сообщения программы-ревизора, пользователь может решить,  чем вызваны изменения: вирусом или нет. При выдаче такого рода  сообщений не следует предаваться панике, так как причиной  изменений, например, длины программы может быть вовсе и не  вирус.  Так  был случай, когда один начинающий пользователь не на шутку перепугался, когда антивирус AVSP выдал ему сообщение об изменениях в файле CONFIG.SYS. Оказалось, что до этого на компьютер была  осуществлена инсталяция менеджера памяти QEMM, который пишет свой драйвер в CONFIG.SYS.

К последней группе относятся самые неэффективные антивирусы - вакцинаторы. Они записывают в  вакцинируемую  программу  признаки конкретного вируса так, что вирус считает ее уже зарaженной.

1.   В.Э.Фигурнов "IBM PC для пользователя".  Уфа, ПК "Дегтярёв и сын", 1993 г.

2.   Ф.Файтс, П.Джонстон, М.Кратц "Компьютерный вирус:  проблемы и прогноз". Москва, "Мир", 1993 г.

3.   Н.Н.Безруков "Классификация компьютерных вирусов MS-DOS  и методы защиты от них". Москва, СП "ICE", 1990 г.

4.   Йорг Шиб "MS-DOS 6.22 за 5 минут". Москва, "Бином",1995 г.

5.   Газета "Компьютерра" за 26 сентября 1994 г.

6.   Документации на антивирусные программы.

7.    Собственный опыт.