Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Обычно в качестве сигнатуры берется фрагмент кода характерный для этого вируса программа

Обновлено: 07.01.2025

Антивирусные программы - это программы, основной задачей которых является защита именно от вирусов, или точнее, от вредоносных программ.

Методы и принципы защиты теоретически не имеют особого значения, главное чтобы они были направлены на борьбу с вредоносными программами. Но на практике дело обстоит несколько иначе: практически любая антивирусная программа объединяет в разных пропорциях все технологии и методы защиты от вирусов, созданные к сегодняшнему дню.

Из всех методов антивирусной защиты можно выделить две основные группы:

  • Сигнатурные методы - точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов
  • Эвристические методы - приблизительные методы обнаружения, которые позволяют с определенной вероятностью предположить, что файл заражен

Сигнатурный анализ

Слово сигнатура в данном случае является калькой на английское signature , означающее "подпись" или же в переносном смысле "характерная черта, нечто идентифицирующее". Собственно, этим все сказано. Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с выявленными чертами.

Сигнатурой вируса будет считаться совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом). Все вместе сигнатуры известных вирусов составляют антивирусную базу.

Задачу выделения сигнатур, как правило, решают люди - эксперты в области компьютерной вирусологии, способные выделить код вируса из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска. Как правило - потому что в наиболее простых случаях могут применяться специальные автоматизированные средства выделения сигнатур. Например, в случае несложных по структуре троянов или червей, которые не заражают другие программы, а целиком являются вредоносными программами.

Практически в каждой компании, выпускающей антивирусы, есть своя группа экспертов, выполняющая анализ новых вирусов и пополняющая антивирусную базу новыми сигнатурами. По этой причине антивирусные базы в разных антивирусах отличаются. Тем не менее, между антивирусными компаниями существует договоренность об обмене образцами вирусов, а значит рано или поздно сигнатура нового вируса попадает в антивирусные базы практически всех антивирусов. Лучшим же антивирусом будет тот, для которого сигнатура нового вируса была выпущена раньше всех.

Одно из распространенных заблуждений насчет сигнатур заключается в том, каждая сигнатура соответствует ровно одному вирусу или вредоносной программе. И как следствие, антивирусная база с большим количеством сигнатур позволяет обнаруживать больше вирусов. На самом деле это не так. Очень часто для обнаружения семейства похожих вирусов используется одна сигнатура , и поэтому считать, что количество сигнатур равно количеству обнаруживаемых вирусов, уже нельзя.

Соотношение количества сигнатур и количества известных вирусов для каждой антивирусной базы свое и вполне может оказаться, что база с меньшим количеством сигнатур в действительности содержит информацию о большем количестве вирусов. Если же вспомнить, что антивирусные компании обмениваются образцами вирусов, можно с высокой долей уверенности считать, что антивирусные базы наиболее известных антивирусов эквивалентны.

Важное дополнительное свойство сигнатур - точное и гарантированное определение типа вируса. Это свойство позволяет занести в базу не только сами сигнатуры, но и способы лечения вируса. Если бы сигнатурный анализ давал только ответ на вопрос, есть вирус или нет, но не давал ответа, что это за вирус , очевидно, лечение было бы не возможно - слишком большим был бы риск совершить не те действия и вместо лечения получить дополнительные потери информации.

Другое важное, но уже отрицательное свойство - для получения сигнатуры необходимо иметь образец вируса. Следовательно, сигнатурный метод непригоден для защиты от новых вирусов, т. к. до тех пор, пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно. Именно поэтому все наиболее крупные эпидемии вызываются новыми вирусами. С момента появления вируса в сети Интернет до выпуска первых сигнатур обычно проходит несколько часов, и все это время вирус способен заражать компьютеры почти беспрепятственно. Почти - потому что в защите от новых вирусов помогают дополнительные средства защиты, рассмотренные ранее, а также эвристические методы, используемые в антивирусных программах.

Эвристический анализ

Слово " эвристика " происходит от греческого глагола "находить". Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок. Поскольку такое определение звучит достаточно сложно и непонятно, проще объяснить на примерах различных эвристических методов

Поиск вирусов, похожих на известные

Если сигнатурный метод основан на выделении характерных признаков вируса и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Постфактум такое предположение оправдывается наличием в антивирусных базах сигнатур для определения не одного, а сразу нескольких вирусов. Основанный на таком предположении эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

Положительным эффектом от использования этого метода является возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры. Отрицательные стороны:

  • Вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист - такие события называются ложными срабатываниями
  • Невозможность лечения - и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо
  • Низкая эффективность - против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден

Поиск вирусов, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как, например:

  • Удаление файла
  • Запись в файл
  • Запись в определенные области системного реестра
  • Открытие порта на прослушивание
  • Перехват данных вводимых с клавиатуры
  • Рассылка писем
  • И др.

Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа по меньшей мере подозрительна. Основанный на этом принципе эвристический анализатор должен постоянно следить за действиями, которые выполняют программы.

Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные. Например, новая вредоносная программа может использовать для проникновения на компьютер новую уязвимость, но после этого начинает выполнять уже привычные вредоносные действия. Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Поговорим о нескольких понятиях, которые зачастую понимаются ошибочно: какие бывают сигнатуры, что на самом деле такое вирусы и как работает лечение системы антивирусом.

13 октября 2016

Мы много и часто рассказываем о правилах поведения (а может, даже и выживания) в Интернете, да и в цифровом мире в целом. Очень надеемся, что делаем это все не зря, — что люди учатся и потом учат своих близких. Это правда очень важно.

Однако во всех этих рассказах встречается немало специфических терминов, которые кто-то может не знать или понимать неверно. Сегодня мы поговорим о трех самых распространенных заблуждениях, связанных с антивирусами, и попробуем объяснить, почему мы называем определенные вещи так, а не иначе.

Заблуждение первое: сигнатуры — это что-то устаревшее

Так исторически сложилось, что антивирусные базы в разговоре и даже статьях часто называют сигнатурами. В действительности же классические сигнатуры, пожалуй, ни один антивирус не использует уже лет 20.

Давайте же это определение дадим. Классическая вирусная сигнатура — это непрерывная последовательность байтов, характерная для той или иной вредоносной программы. То есть она содержится в этом вредоносном файле и не содержится в чистых файлах.

Три заблуждения, связанные с антивирусами: сигнатуры, вирусы и лечение

Например, характерная последовательность байтов может быть такой

Проблема в том, что сегодня с помощью таких классических сигнатур определить вредоносный файл достаточно проблематично — их создатели используют различные техники для того, чтобы запутать следы. Поэтому современные антивирусы используют значительно более продвинутые методы. И хотя в антивирусных базах примитивных записей по-прежнему много (больше половины), но есть еще и очень много умных записей.

Антивирусная запись — это запись, а стоящая за ней технология может быть как классической, простенькой, так и суперсовременной и навороченной, нацеленной на детектирование самых запутанных и высокотехнологичных вредоносных файлов или даже целых семейств вредоносов.

Заблуждение второе: вирусы — это любые вредоносные программы

Инфекторы в вирусной лаборатории пользуются особым статусом. Во-первых, их чуть сложнее распознать — с виду файл чистый, а на самом деле в нем инфекция. Во-вторых, они требуют особого подхода: почти всегда для них нужна специальная процедура лечения и, как правило, еще и особая процедура детектирования. Поэтому инфекторами занимаются люди, специализирующиеся именно на этом типе угроз.

Три заблуждения, связанные с антивирусами: сигнатуры, вирусы и лечение

Классификация вредоносных программ

Заблуждение третье: антивирус не умеет лечить

Мне встречалось такое заблуждение, будто антивирус сканирует и детектирует, а если что-то найдет, то потом надо скачивать специальную лечащую утилиту и использовать уже ее. Отдельные утилиты для особо популярных зловредов у нас действительно есть — например, специализированные утилиты, позволяющие бесплатно расшифровать файлы, зашифрованные вымогателями. Но и антивирус справляется с лечением ничуть не хуже. А в подавляющем большинстве случаев — даже лучше, за счет драйверов в системе и других технологий, которые в утилиту не запихнешь.

А в остальных 99% случаев, когда зловред ничего не инфицирует, а просто делает (или собирается делать) свое черное дело, лечение действительно состоит в банальном удалении файла зловреда. Просто потому, что заражения других файлов нет, так что и лечить их не требуется. Уничтожаем файл — и система здорова.

Три заблуждения, связанные с антивирусами: сигнатуры, вирусы и лечение

В большинстве случаев лечение как таковое не требуется, достаточно просто удалить вредоносный файл

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Горбунов А. Н., Емельяненко Т. Г.

Статья посвящена описанию принципов обнаружения вредоносных программ методом сигнатурного анализа и его применению в работе антивирусных систем.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Горбунов А. Н., Емельяненко Т. Г.

Многофакторная оптимизация задачи антивирусной защиты Кодирование деструктивных объектов на основе сигнатурного анализа Методика формирования обучающего множества при использовании статических антивирусных методов эвристического анализа Применение сигнатурного анализа при оценке пакетных файлов i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Текст научной работы на тему «Принципы использования сигнатурного анализа для обнаружения вредоносных программ»

Горбунов А.Н.1, Емельяненко Т.Г.2 ©

1Кандидат технических наук, доцент кафедры информатики и прикладной математики;

2магистрант, кафедра информатики и прикладной математики, Брянский государственный университет им. ак. И.Г. Петровского

ПРИНЦИПЫ ИСПОЛЬЗОВАНИЯ СИГНАТУРНОГО АНАЛИЗА ДЛЯ ОБНАРУЖЕНИЯ ВРЕДОНОСНЫХ ПРОГРАММ

Статья посвящена описанию принципов обнаружения вредоносных программ методом сигнатурного анализа и его применению в работе антивирусных систем.

Ключевые слова: обнаружение вирусов, сигнатурный анализ, сигнатура вируса, вредоносная программа.

Keywords: virus detection, signature analysis, virus signature, malware.

Сигнатурный анализ является одним из методов обнаружения вредоносных программ (вирусов, троянских коней, червей и т.п.) и используется во многих современных антивирусных системах (АВС). Этот метод обнаружения вирусов заключается в проверке наличия в принимаемых файлах сигнатур вирусов.

Для проведения проверки АВС необходим набор сигнатур вредоносных программ -далее по тексту вирусов, который хранится в антивирусной базе системы.

Сигнатурой вируса можно считать совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом). Такая сигнатура должна содержать только уникальные строки из этого файла, настолько характерные для вируса, чтобы гарантировать минимальную возможность ложного срабатывания.

В общем случае метод, основанный на анализе сигнатур, реализуется следующим образом [1]. Поддерживается база данных сигнатур для известных атак с возможностью пополнения без потерь в производительности. В результате анализа происходит сопоставление регистрируемой последовательности событий известным сигнатурам атак. В случае соответствия выдается сигнал о попытке вторжения. Дальнейшие действия определяются алгоритмами модуля реакции: удаление вируса или оповещение. Рассмотрим принцип сигнатурного анализа на следующем примере. Пусть поток входных данных (событий) имеет вид:

Пусть теперь распознавание происходит относительно сигнатуры:

Тогда, в случае работы алгоритма по правилам дискретной аппроксимации получим:

A xx^DxA xxCxxxх.

х - обозначает отсутствие символа, образующего сигнатуру в потоке исходных данных. Т.е. атака распознана. Стоит отметить, что в случае использования правила «немедленного следования» распознавания бы не произошло.

Поиск вирусных сигнатур на уровне битов можно в простейшем случае представить в виде алгоритма поиска строки в тексте. Простейшую процедуру поиска подстрок можно

© Горбунов А.Н., Емельяненко Т.Г., 2013 г.

интерпретировать графически как скольжение «шаблона» с образцом по тексту, в процессе которого отмечается, для каких сдвигов все символы шаблона равны соответствующим символам текста.

Эти определения проиллюстрированы на рисунке 1. В примере, представленном на рисунке, предлагается найти все вхождения образца Р=аЬаа в тексте Т=аЬсаЬааЬсаЬас. Образец встречается в тексте только один раз, со сдвигом s=3. Говорят, что сдвиг s является допустимым. Каждый символ образца соединен вертикальной линией с соответствующим символом в тексте.

Рис. 1. Задача поиска подстрок

Чтобы найти в теле вируса последовательность кодов, которую можно было использовать в качестве сигнатуры, прежде всего, нужен двоичный (исполняемый) код вируса. Такой код можно получить, оттранслировав вирус с помощью макроассемблера. При этом макроассемблером необходимо создать листинг данного вируса, поскольку листинг содержит как ассемблерные команды, так и перемещаемый двоичный код [2].

Полученная в результате сигнатура (двоичный код) вируса может быть использована в качестве образца Р при решении задачи поиска подстроки. При совпадении сигнатуры образца и соответствующего фрагмента текста, можно говорить о наличии вируса в исходном тексте и принимать меры к его изоляции.

1. Корт С.С. Теоретические основы защиты информации. - М.: Гелиос-АРВ, 2004 (печатное издание).

2. Хижняк: П.Л. Пишем вирус и. антивирус. / Под общей редакцией И.М.Овсянниковой. - М: ИНТО, 1991. - 90 с.


Цель: дать понятие компьютерному вирусу, рассмотреть классификацию компьютерных вирусов, виды антивирусных программ; развивать умение использовать антивирусные программы, логическое мышление, память, внимание, речь; воспитывать информационную культуру самоконтроль.

Оборудование: ПЭВМ, медиапроектор.

Повторительно – обучающая работа.

Индивидуальный устный опрос.

Понятие компьютерного вируса.

Деструктивные действия компьютерных вирусов

Симптомы вирусного заражения ЭВМ

Подведение итогов этапа.

Работа по осмыслению и усвоению нового материала.

Первичное восприятие нового материала.

Понятие антивирусной программы.

Виды антивирусных программ

Основные меры по защите ЭВМ от заражения вирусами.

1. Понятие антивирусной программы.

Для борьбы с вирусами разрабатываются антивирусные программы. Говоря меди­цинским языком, эти программы могут выявлять (диагностировать), лечить (уничто­жать) вирусы и делать прививку «здоровым» программам.

Наиболее эффективны в борьбе с компьютерными вируса­ми антивирусные программы. Антивирусные программы могут использовать различные принципы для поиска и лече­ния зараженных файлов.

Антивирусная программа (антивирус) — любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления зараженных такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

2. Виды антивирусных программ

Различают следующие виды антивирусных программ:

Программы – детекторы (сканеры);

Программы – доктора (или фаги, дезинфекторы);

Программы – фильтры (сторожа, мониторы);

Программы – детекторы рассчитаны на обнаружение конкретных вирусов и основаны на сравнении характерной (спецификой) последовательности байтов (сигнатур или масок вирусов), содержащихся в теле вируса, с байтами проверяемых программ. Программы – детекторы нужно регулярно обновлять, так как они быстро устаревают и не могут выявлять новые виды вирусов.

Следует подчеркнуть, что программы – детекторы могут обнаружить только те вирусы, которые ей “известны”, то есть, сигнатуры этих вирусов заранее помещены в библиотеку антивирусных программ.

Таким образом, если проверяемая программа не опознается детектором как зараженная, то еще не следует считать, что она “здорова”. Она может быть инфицирована новым вирусом, который не занесен в базу данных детектора.

Для устранения этого недостатка программы – детекторы стали снабжаться блоками эвристического анализа программ. В этом режиме делается попытка обнаружить новые или неизвестные вирусы по характерным для всех вирусов кодовым последовательностям. Наиболее развитые эвристические механизмы позволяют с вероятностью около 80% обнаружить новый вирус.

Программы – доктора не только находят файлы, зараженные вирусами, но и лечат их, удаляя из файла тело программы – вируса. Программы – доктора, которые позволяет лечить большое число вирусов, называют полифагами.

В России получили широкое распространение программы – детекторы, одновременно выполняющие и функции программ – докторов. Наиболее известные представители этого класса – AVP (Antiviral Toolkit Pro, автор – Е. Касперский), Aidstest (автор – Д. Лозинский) и Doctor Web (авторы – И. Данилов, В. Лутовин, Д. Белоусов).

Полифаги. Самыми популярными и эффективными анти­вирусными программами являются антивирусные програм­мы полифаги (например, Kaspersky Anti-Virus, Dr.Web). Прин­цип работы полифагов основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов. Антивирусные программы полифаги, которые в свою очередь подразделяются на два вида: сканеры и мониторы. Рассмотрим принципы работы и недостатки каждого из них, и опишем достоинства антивирусных программ полифагов в целом.

Антивирусный сканер. Принцип его работы заключается в поиске в файлах, памяти и загрузочных секторах

вирусных сигнатур, т.е. уникального программного кода вредоносной программы.

Антивирусный монитор. По своей сути антивирусные мониторы являются разновидностью сканеров, которые постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты, пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на наличие в них кода вредоносной программы.

Для поиска известных вирусов используются так называ­емые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа об­наруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лече­нию.

Полифаги могут обеспечивать проверку файлов в процес­се их загрузки в оперативную память. Такие программы на­зываются антивирусными мониторами.

К достоинствам полифагов относится их универсальность. К недостаткам можно отнести большие размеры используе­мых ими антивирусных баз данных, которые должны содер­жать информацию о максимально возможном количестве ви­русов, что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов.

Ревизо́р (от лат. revisor — пересматривающий; ср. лат. revisio — пересмотр) — компьютерная программа, запоминающая состояние компьютера, следящая за изменениями файловой системы и сообщающая о важных или подозрительных изменениях пользователю.

Ревизоры – это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояние BOOT – сектора, FAT – таблицы, а также длина файлов, их время создания, атрибуты, контрольные суммы. Контрольная сумма является интегральной оценкой всего файла (его слепком). Получается контрольная сумма путем суммирования по модулю для всех байтов файла. Практически всякое изменение кода программы приводит к изменению контрольной суммы файла.

Принцип работы ревизоров

Программа-ревизор следит за изменениями файлов на компьютере. Для этого не обязательно делать копии всех файлов. Достаточно запомнить названия файлов и папок, размеры файлов и их контрольные суммы (либо специальные хеш-функции). Эта информация занимает немного места на диске, но позволяет заметить изменение любого файла. Периодически (по расписанию) или по приказу пользователя ревизор проверяет текущее состояние файловой системы и сравнивает с прежним. О подозрительных изменениях немедленно сообщается, об остальных пользователь может узнать при желании. При последующем запуске ревизоры сверяют данные, со­держащиеся в базе данных, с реально подсчитанными значе­ниями. Если информация о файле, записанная в базе дан­ных, не совпадает с реальными значениями, то ревизоры сигнализируют о том, что файл был изменен или заражен вирусом. Программы-ревизоры изначально предназначались для использования в качестве антивирусов. Любой вирус каким-либо образом изменяет систему данных на диске. Например, могут появиться новые исполняемые файлы, измениться уже существующие, может появиться сектор на диске, не связанный с каким-либо файлом и т. д. При обнаружении подозрительных изменений ревизор бьёт тревогу.

Достоинствами ревизоров как антивирусов являются:

Быстрота проверки. В отличие от сканеров, которые должны содержимое файлов сверить с тысячами известных вирусных сигнатур, «на лету» разархивировать архивы, распаковать упакованные исполняемые файлы и библиотеки, ревизор подсчитывает лишь контрольную сумму. Это даёт экономию времени в десятки раз.

Выявление любых новых вирусов. Если вирус отсутствует в базе данных (еще не занесён в базу или у данного пользователя устаревшая база), то сканер обычно не замечает вирус. Но любой вирус изменяет систему данных на диске, следовательно, выявляется ревизором.

Возможность восстановления некоторых испорченных и уничтоженных файлов, а также лечения некоторых файлов, заражённых неизвестными вирусами. Обычные сканеры могут лечить лишь файлы заражённые известными вирусами. Ревизоры сохраняют копии коротких файлов, наиболее важных файлов и файлов, чаще всего становящихся жертвами вирусов.

Ревизоры не в состоянии защитить компьютер от всех угроз со стороны вредоносного программного обеспечения, поэтому они обычно используются в комплексе с другими антивирусными средствами. (Например, при получении сигнала тревоги от ревизора запускается сканер.)

Если одним компьютером может пользоваться более одного человека, то возникает необходимость в контроле. Некоторые пользователи могут совершать запрещенные действия (устанавливать игры, сборщики паролей, взламывать систему, захламлять диск фильмами, музыкой, изображениями, изменять настройки и т. д.). Ревизоры могут выявлять эти действия, а также возвращать систему в нормальное состояние, не откатывая полезных изменений.

С помощью ревизора пользователи могут решать и другие проблемы: найти переименованный файл либо файл с забытым названием, выяснить причину сильно уменьшившегося свободного пространства на диске и т. д.

Недостаток ревизоров состоит в том, что они не могут об­наружить вирус в новых файлах (на дискетах, при распа­ковке файлов из архива, в электронной почте), поскольку в их базах данных отсутствует информация об этих файлах.

Антивирусы – фильтры – это резидентные программы (сторожа), которые оповещают пользователя обо всех попытках какой – либо программы выполнить подозрительные действия. Фильтры контролируют следующие операции:

Обновление программных файлов и системной области диска;

Резидентное размещение программ в ОЗУ.

Обнаружив попытку выполнения таких действий, сторож (монитор) сообщает об этом пользователю, который окончательное решение по выполнению данной операции. Заметим, что она не способна обезвредить даже известные вирусы. Для “лечения” обнаруженных фильтром вирусов нужно использовать программы – доктора.

Блокировщики. Антивирусные блокировщики — это про­граммы, перехватывающие «вирусоопасные» ситуации и со­общающие об этом пользователю. К таким ситуациям отно­сится, например, запись в загрузочный сектор диска. Эта запись происходит при установке на компьютер новой опера­ционной системы или при заражении загрузочным вирусом.

Наибольшее распространение получили антивирусные блокировщики в BIOS компьютера. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загру­зочный сектор диска и компьютер будет защищен от зара­жения загрузочными вирусами.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней ста­дии его размножения.

К последней группе относятся наименее эффективные антивирусы – вакцинаторы (иммунизаторы). Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной, и поэтому не производит повторное инфицирование. Этот вид антивирусных программ морально устарел.

3. Основные меры по защите ЭВМ от заражения вирусами.

Необходимо оснастить ЭВМ современными антивирусными программами и постоянно обновлять их версии.

При работе в глобальной сети обязательно должна быть установлена программа – фильтр (сторож, монитор).

Перед считыванием с дискет информации, записанной на других ЭВМ, следует всегда проверять эти дискеты на наличие вирусов.

При переносе на свой компьютер файлов в архивированном виде необходимо их проверять сразу же после разархивации.

При работе при работе на других компьютерах необходимо всегда защищать свои дискеты от записи.

Целесообразно делать архивные копии ценной информации на других носителях информации.

Не следует оставлять дискету в дисководе при включении или перезагрузке ЭВМ, так как это может привести к заражению загрузочными вирусами.

Антивирусную проверку желательно проводить в “чистой” операционной системе, то есть после ее загрузки с отдельной системной дискеты.

Следует иметь ввиду, что невозможно заразиться вирусом, просто подключившись к Internet. Чтобы вирус активизировался программа, полученная с сервера из сети, должна быть запущена на клиенте.

Получив электронное письмо, к которому приложен исполняемый файл, не следует запускать этот файл без предварительной проверки. По электронной почте часто распространяются “троянские кони”.

Целесообразно иметь под рукой аварийную загрузочную дискету, с которой можно будет загрузиться, если система откажется сделать это обычным образом.

При установке большого программного продукта необходимо вначале проверить все дистрибутивные файлы, а после инсталляции продукта повторно произвести контроль наличия вирусов.

Последняя – не совсем серьезная мера. Если Вы хотите полностью исключить вероятность попадания вирусов в Ваш компьютер, то не набирайте на клавиатуре непонятных для Вас программ, не используйте дискеты, лазерные диски для ввода программ и документов. Отключитесь от локальной и глобальной сетей. Не включайте питание, так как возможно, что вирус уже зашит в ПЗУ.

Фронтальная (обобщающая ) беседа.

- Что такое компьютерный вирус?

- Перечислите классификацию компьютерных вирусов.

- Дайте понятие антивирусной программе.

Задавание на дом.

Могилёв, с.197-200, опорный конспект


-80%

Читайте также:

      
  • Как вытянуть круг в фотошопе
    •   
  • Kingsoft pdf to word sdk что это
    •   
  • 1с не установлен отбор по регистратору
    •   
  • Неверно указана единица измерения в ворде как убрать
    •   
  • Прошивка модема huawei b310
  • Контакты
  • Политика конфиденциальности