Вирусы, защита от вирусов и антивирусные программы. - презентация

1 Вирусы, защита от вирусов и антивирусные программы.

2 Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию. Сегодня факт возникновения компьютерных вирусов поставлен в один ряд с исследованиями космоса, атомного ядра и развитием электроники.

3 Что такое компьютерный вирус? Компьютерные вирусы - это класс программ способных к саморазмножению и самомодификации в работающей вычислительной среде и вызывающих нежелательные для пользователей действия. Действия могут выражаться в нарушении работы программ, выводе на экран посторонних сообщений или изображений, порче записей, файлов, дисков, замедлении работы ЭВМ и др. Основная трудность, возникающая при попытках дать строгое определение вируса, заключается в том, что практически все отличительные черты вируса (внедрение в другие объекты, скрытность, потенциальная опасность и проч.) либо присущи другим программам, которые никоим образом вирусами не являются, либо существуют вирусы, которые не содержат указанных выше отличительных черт (за исключением возможности распространения).

4 Как работает компьютерный вирус? Компьютер аккуратно выполняет все команды заданные программы, начиная с первой. Если же первая команда звучит как «скопируй меня в две другие программы», то компьютер так и сделает, - и команда- вирус попадает в две другие программы. Когда компьютер перейдет к выполнению других «зараженных» программ, вирус тем же способом будет расходиться все дальше и дальше по всему компьютеру.

5 вирус не может сам собой появиться на Вашем компьютере - либо его подсунули на дискетах или на компакт-диске, либо Вы его случайно скачали из компьютерной сети, либо вирус жил у Вас в компьютере с самого начала. вирусы не возникают сами собой - их создают программисты-хакеры и рассылают по сети передачи данных или подкидывают на компьютер знакомых;

6 Классификация компьютерных вирусов. - среда обитания; - операционная система (OC); - особенности алгоритма работы; - деструктивные возможности. Вирусы можно разделить на классы по следующим основным признакам:

7 По среде обитания вирусы можно разделить на: Файловые вирусы - заражают выполняемые файлы (это наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы). Загрузочные вирусы - заражают загрузочные сектора дисков (boot- сектор), либо главную загрузочную запись (Master Boot Record), либо меняют указатель на активный boot-сектор. Макро-вирусы - разновидность файловых вирусов, встраивающиеся в документы и электронные таблицы популярных редакторов. Сетевые вирусы - используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

8 Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте. Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро- вирусы заражают файлы форматов Word, Excel, Office. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

9 Среди особенностей алгоритма работы вирусов выделяются следующие пункты: резидентность (вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы) ; использование стелс-алгоритмов (позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс - алгоритмом является перехват запросов OC на чтение/запись зараженных объектов); самошифрование и полиморфичность (используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик - это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик - вируса не будут иметь ни одного совпадения); использование нестандартных приемов.

10 Основные меры защиты от вирусов. 1.резервирование (копирование FAT, ежедневное ведение архивов измененных файлов); 2.профилактика (раздельное хранение вновь полученных программ и эксплуатирующихся, хранение неиспользуемых программ в архивах, использование специального диска для записи новых программ); 3.ревизия (анализ вновь полученных программ специальными средствами и их запуск в контролируемой среде, систематическая проверка ВООТ- сектора используемых дискет и содержимого системных файлов и др.); 4.фильтрация (использование специальных сервисных программ для разбиения диска на зоны); 5.вакцинация (специальная обработка файлов, запуск специальных резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса для определения, заражена уже ЭВМ или нет, т.е. обманывающих вирус); 6.лечение (дезактивацию конкретного вируса с помощью специальной программы или восстановление первоначального состояния программ путем удаления всех экземпляров вируса в каждом из зараженных файлов или дисков).

11 Выполнение действий по анализу и восстановлению на зараженной операционной системе является грубой ошибкой и может иметь катастрофические последствия. Наиболее важный принцип, которого следует придерживаться после обнаружения вируса и во время анализа зараженных им программ и действий по их очистке или восстановлению, состоит в следующем: все действия следует выполнять только с защищенной от записи системной дискеты и использовать антивирусные и другие программы предварительно записанные на ней.

12 Виды антивирусных программ. сторожа или детекторы – предназначены для обнаружения файлов зараженных известными вирусами, или признаков указывающих на возможность заражения; доктора – предназначены для обнаружения и устранения известных им вирусов, удаляя их из тела программы и возвращая ее в исходное состояние; ревизоры – они контролируют уязвимые и поэтому наиболее атакуемые компоненты компьютера, запоминают состояние служебных областей и файлов, а в случае обнаружения изменений сообщают пользователю; резидентные мониторы или фильтры – постоянно находятся в памяти компьютера для обнаружения попыток выполнить несанкционированные действия. В случае обнаружения подозрительного действия выводят запрос пользователю на подтверждение операций; вакцины – имитируют заражение файлов вирусами. Вирус будет воспринимать их зараженными и не будет внедряться.

13 Полезные советы: Применение комплекса антивирусных программ; Необходимо периодическое обновление антивирусных программ; Проверка информации поступающей из вне; Периодическая проверка всего компьютера; Осторожность с незнакомыми файлами, их действия могут не соответствовать названию.

14 Определенным недостатком всех антивирусных пакетов является то, что они сильно загружают систему при работе. Это может проявляться в замедлении работы компьютера, в особенности, если часть модулей активизируются по умолчанию. Избежать большой загрузки процессора и оперативной памяти поможет отключение ряда не слишком необходимых функций сложных мониторингов, оставляя лишь самые простые (например, антивирусный монитор). В современных антивирусных продуктах используются различные методики обнаружения вирусов: сканирование сигнатур (для борьбы с вирусами, использующими неизменный код), проверка целостности (путём создания и использования базы контрольных сумм файлов), эвристические методы (анализ программы по выявлению таких действий, как форматирование жёсткого диска), полиморфный анализ (в специальной защищённой области), анализ на наличие макровирусов (они распространяются, например, с файлами MS Word, MS Excel, MS Access). Наряду с этими средствами ряд пакетов содержат дополнительные функции защиты от почтовых вирусов и вирус- модулей ActiveX и Java-аплетов. Некоторые антивирусные пакеты блокируют доступ компьютера к подозрительным Web-страницам.

15 Наряду с классическими методами борьбы с вирусами появляются инновациионные методы. К примеру, ряд фирм предлагают проверку на вирусы через Интернет, так называемых, «электронных больницах». Технология работы следующая. Компьютер пользователя через Интернет проводит программный модуль ActiveX, который берет сигнатуры со специального сайта. В России также оказываются подобные услуги, но в этом случае следует направить зараженный файл или сектор начальной загрузки на сервер компании- производителя антивирусного продукта. Ряд антивирусных пакетов обладает возможностью проверки различных типов ресурсов Интернет до того, как они пройдут через почтовый шлюз и попадут в корпоративную сеть (HTTP, FTP, SMTP). При этом конфигурация проверки поддерживает различные сценарии для внутреннего и внешнего траффика, направляя защиту от вирусов туда, где она необходима. Проводится проверка и восстановление сообщений электронной почты, вложенных в нее архивов ZIP и MIME -кодированных файлов. Такие системы не требует установки и конфигурации программ на клиентских машинах, пользователи могут не отключать антивирусную защиту, так как прокси- сканером не задействуется.