Лабораторная работа № 9
РАБОТА С АНТИВИРУСНЫМИ ПРОГРАММАМИ
Цель работы
Целью работы является выработать умение определения первых признаков появления компьютерных вирусов, а также ознакомление с основными видами антивирусных программ и принципов их работы.
Теоретическая часть
Компьютерным вирусом – называется специально написанная программа способная приписывать себя к другим программам, создавать свои копии и помещать их в файлы, системные области диска и в вычислительные сети с целью нарушения работы системы файлов и каталогов, создания всевозможных помех в работе на компьютере.
Вирусы принято классифицировать:
1. По среде обитания:
- сетевые вирусы (они распространяются по разным компьютерным сетям);
- файловые вирусы (заражают исполняемые файлы программ – com, exe, bat.);
- загрузочные вирусы (заражают загрузочный сектор диска (boot-sector) или сектор, содержащий программу загрузки системного диска – Master Boot Record);
- файлово-загрузочные (действуют так же как и загрузочные вирусы)
2. По способу заражения:
- резидентные (такой вирус при инфицировании ПК оставляет в оперативке свою резидентную часть, которая потом перехватывает обращение ОС к объектам заражения и поражает их. Резидентные вирусы живут до первой перезагрузки ПК);
- нерезидентные (не заражают оперативную память и могут быть активными ограниченное время)
3. По результату воздействия:
- неопасные (как правило эти вирусы забивают память компьютера путем своего размножения и могут организовывать мелкие пакости – проигрывать заложенную в них мелодию или показывать картинку);
- опасные (эти вирусы способны создать некоторые нарушения в функционировании ПК – сбои, перезагрузки, глюки, медленная работа компьютера и т.д.);
- очень опасные (опасные вирусы могут уничтожить программы, стереть важные данные, убить загрузочные и системные области жесткого диска, который потом можно выбросить)
4. По алгоритму работы:
- паразитические (меняют содержимое файлов и секторов диска. Такие вирусы легко вычисляются и удаляются);
- мутанты (их очень тяжело обнаружить из-за применения в них алгоритмов шифрования. Каждая следующая копия размножающегося вируса не будет похожа на предыдущую);
- репликаторы (вирусы-репликаторы, они же сетевые черви, проникают через компьютерные сети, они находят адреса компьютеров в сети и заражают их);
- троянский конь (один из самых опасных вирусов, так как трояны не размножаются, а воруют ценную (порой очень дорогую) информацию – пароли, банковские счета, электронные деньги и т.д.);
- невидимки (это трудно обнаружимые вирусы, которые перехватывают обращения ОС к зараженным файлам и секторам дисков и подставляют вместо своего незараженные участки.
Антивирусными программами – называются программы, предназначенные для обнаружения или обнаружения и обезвреживания компьютерных вирусов.
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
а) программы-детекторы;
б) программы-доктора или фаги;
в) программы-ревизоры;
г) программы-фильтры;
д) программы-вакцины или иммунизаторы.
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.
Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов.
Такими действиями могут являться:
- попытки коррекции файлов с расширениями COM, EXE;
- изменение атрибутов файла;
- прямая запись на диск по абсолютному адресу;
- запись в загрузочные сектора диска;
- загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.
Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги.
Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от
известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Задание на лабораторную работу
1. Запустить антивирусную программу.
2. Открыть справочную систему антивирусной программы.
3. Ознакомиться с интерфейсом приложения (зарисовать и записать основные компоненты с помощью справочной системы).
1. Ознакомиться с помощью справочной системы, как можно проверить на вирусы файлы, каталоги и диски.
2. Ознакомиться с отчётами антивирусной программы.
3. Осуществить проверку на наличие вирусов папки «Мои документы».
4. Осуществить проверку на наличие вирусов группы файлов.
5. Вывести отчет и сохранить его в текстовом файле на рабочем столе.