Комп'ютерні віруси та антивірусні програми

Матеріал з Iteach WIKI
Версія від 19:11, 15 грудня 2015, створена Gustav (обговореннявнесок) (Класифікація комп'ютерних вірусів)

Перейти до: Навігація, пошук

Класифікація комп'ютерних вірусів

  

Не існує єдиної системи класифікації та іменування вірусів (хоча спроба створити стандарт була зроблена на зустрічі CARO в 1991 році). Але спробуємо: 

  Віруси - супутники. Найбільш примітивний тип вірусів. Для кожного файлу з розширенням. Ехе створюють файл з тим же ім'ям, але з розширенням. Com. містить тіло вірусу. При запуску файлу операційна система спочатку шукає. Com файли, а потім. Ехе файли. Тому спочатку управління отримує вірус, а потім вже він сам викликає необхідний ехе файл.

  Файлові віруси. Вражають файли з розширенням. Com,. Ехе, рідше. Sys або оверлейні модулі. Ехе файлів. Ці віруси дописують своє тіло на початок, середину або кінець файлу і змінюють його таким чином, щоб першими отримати управління. Деякі з цих вірусів не дбають про збереження заражає файли, в результаті чого він виявляється непрацездатним, і, що найсумніше, такий файл не можна відновити. Частина цих вірусів залишається в пам'яті резидентно.

  Завантажувальні віруси. Вражають завантажувальні сектори дисків. Інфікування нових дисків відбувається в той момент, коли в заражений комп'ютер вставляють нову дискету і починають з нею працювати. Часто вірус не збожеволіє цілком у завантажувального запису, туди пишеться тільки його початок, а продовження тіла вірусу зберігається в іншому місці диска. Після запуску залишаються в пам'яті резидентно.

  DIR-віруси. Ці віруси змінюють файлову систему диска дуже хитрим чином. У таблиці розміщення файлів (FAT) для всіх виконуваних файлів посилання на початок замінюються посиланнями на тіло вірусу. Адреси ж почала файлів в закодованому вигляді містяться в невикористовувані елементи директорії. У результаті, як тільки ви запускаєте будь-яку програму, управління автоматично отримує вірус. Він залишається в пам'яті резидентної і при роботі відновлює правильні посилання на початку файлів. Якщо диск, заражений вірусом DIR, потрапляє на чистий комп'ютер, рахувати з нього дані, природно, виявляється неможливим (читається тільки один кластер). При спробі протестувати файлову структуру - скажімо Norton Disk Doctor - на екран видається повідомлення про величезну кількість помилок, але варто запустити хоч одну програму з зараженого диска, як файлова система відразу ж "відновлюється". Насправді ж відбувається інфікування ще одного комп'ютера.

  Макровіруси. Досить оригінальний клас вірусів (хоча вірусами в повному сенсі цього слова їх навіть не можна назвати), що заражає документи, в яких передбачено виконання макрокоманд. При відкритті таких документів спочатку виконуються дії (спеціальні програми високого рівня), що містяться в цьому документі,-макровірус якраз іпредставляет собою таку макрокоманду. Таким чином, як тільки буде відкрито заражений документ, вірус отримає управління і зробить все шкідливий дії (зокрема, знайде і заразить ще не заражені документи).


   За часом дії віруси діляться на резидентні і нерезидентні. Резидентний вірус при зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження (файлам, завантажувальним секторам дисків і т.п.) і упроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до виключення або перезавантаження комп'ютера. Нерезидентні віруси не заражають пам'ять комп'ютера і є активними обмежений час.

  По ступеню дії віруси можна розділити на наступні види:

· безпечні, такі, що не заважають роботі комп'ютера, але що зменшують об'єм вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах;

· небезпечні віруси, які можуть привести до різних порушень в роботі комп'ютера;

· дуже небезпечні, дія яких може привести до втрати програм, знищення даних, стирання інформації в системних областях диска.

До шкідливих програм крім вірусів відносяться також мережеві хробаки, троянські програми (логічні бомби), іntended-віруси, конструктори вірусів і поліморфік-генератори.

Мережеві хробаки – програми, що розповсюджуються мережею і не залишають своєї копії на магнітному носії або диску.

До троянських відносяться програми, що завдають будь-яку руйнівну дію, в залежності від яких-небудь умов або при кожному запуску знищують інформацію на дисках, зупиняють роботу операційної системи і т.д. Найпоширенішою різновидністю “троянських програм” є широко відомі програми масового використання (редактори, ігри, транслятори і т.п.), в які вбудовані, так звані “логічні бомби”, що спрацьовують у випадку виникнення деякої події. Різновидністю “логічної бомби” є “бомба з годинниковим механізмом”, яка запускається у визначенні моменти часу.

Потрібно зазначити, що “троянські програми” не можуть самостійно розмножуватися і розповсюджуватися по локальній обчислювальній мережі самими користувачами, зокрема, через загальнодоступні банки даних і програм. У порівнянні з вірусами “троянські коні“ не одержали широкого поширення внаслідок достатньо простих причин: вони або знищують себе разом з іншими даними на диску, або демаскують свою присутність і знищуються постраждалим користувачем.

Серед шкідливих програм слід відмітити також «люті жарти» (hoax). До них відносяться програми, що не заподіюють комп’ютеру якоїсь прямої шкоди, проте виводять повідомлення про те, що така шкода вже заподіяна або буде заподіяною за яких-небудь умов, або попереджують користувача про неіснуючу небезпеку. До «лютих жартів» відносяться, наприклад, програми, що лякають користувача повідомленнями про форматування диска (хоча ніякого форматування насправді не відбувається), виявляють віруси в неінфікованих файлах, виводять дивні вірусоподібні повідомлення у залежності від почуття гумору автора такої програми.

До іntended-вірусів відносяться програми, що на перший погляд є стовідсотковими вірусами, але не спроможні розмножуватися через помилки. Наприклад, вірус, що при інфікації «забуває» передбачити активізацію вірусу, що розмножується тільки один раз – з «авторської» копії. Інфікувавши якийсь файл, вони втрачають спроможність до подальшого розмноження. Частіше всього intended-віруси з’являються при неякісній перекомпіляції якогось вже існуючого вірусу, або через недостатнє знання мови програмування, або через незнання технічних тонкощів операційної системи.

Конструктор вірусів − це програма, що призначена для виготовлення нових комп’ютерних вірусів. Відомі конструктори вірусів для DOS, Windows і макровірусів. Вони дозволяють генерувати вихідні тексти вірусів (ASM-файли), об’єктні модулі і (або) безпосередньо інфікувати файли.

Поліморфік-генератори, як і конструктори вірусів, не є вірусами в буквальному значенні цього слова, оскільки в їхній алгоритм не закладаються функції розмноження, тобто відкриття, закриття і запису у файли, читання і запису секторів і т.д. Головною функцією подібного роду програм є шифрування тіла вірусу і генерація відповідного розшифровувача. Звичайні поліморфні генератори поширюються їхніми авторами без обмежень у вигляді файла-архіву. Основним файлом в архіві будь-якого генератора є об’єктний модуль, що містить цей генератор. В усіх генераторах, що зустрічалися, цей модуль містить зовнішню (external) функцію - виклик програми генератора. У такий спосіб автору вірусу, якщо він бажає створити справжній поліморфік-вірус, не потрібно розробляти власний за- чи розшифровувач. За бажанням він може підключити до свого вірусу будь-який відомий поліморфік-генератор.

Джерело за посиланням.

Види антивірусних програм

Antivirusnue-programy.jpeg

Антивірусні програми поділяються на: програми-детектори, програми-доктори, програми-ревізори, програми-фільтри, програми-вакцини.

Програми-детектори забезпечують пошук і виявлення вірусів в оперативній пам'яті і на зовнішніх носіях, і при виявленні видають відповідне повідомлення. Розрізняють детектори універсальні і спеціалізовані.

Універсальні детектори в своїй роботі використовують перевірку незмінності файлів шляхом підрахунку та порівняння з еталоном контрольної суми. Недолік універсальних детекторів пов'язаний з неможливістю визначення причин викривлення файлів.

Спеціалізовані детектори здійснюють пошук відомих вірусів по їх сигнатурі (повторюваному ділянці коду). Недолік таких детекторів полягає в тому, що вони нездатні виявляти всі відомі віруси.

Детектор, що дозволяє виявляти кілька вірусів, називають полідетектором.

Недоліком таких антивірусних про грам є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам таких програм.

Програми-доктора (фаги), не тільки знаходять заражені вірусами файли, але і "лікують" їх, тобто видаляють з файлу тіло програми вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до "лікування" файлів. Серед фагів виділяють поліфаги, тобто програми-доктори, призначені для пошуку і знищення великої кількості вірусів.

Враховуючи, що постійно з'являються нові віруси, програми-детектори і програми-доктори швидко застарівають, і потрібне регулярне оновлення їх версій.

Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран відеомонітора. Як правило, порівняння станів проводять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата і час модифікації, інші параметри.

Програми-ревізори мають досить розвинуті алгоритми, виявляють стелс-віруси і можуть навіть відрізнити зміни версії програми, що перевіряється від змін, внесених вірусом.

Програми-фільтри (сторожа) представляють собою невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

. спроби корекції файлів з розширеннями СОМ і ЕХЕ;

. зміна атрибутів файлів;

. прямий запис на диск по абсолютному адресою;

. запис у завантажувальні сектори диска.

. завантаження резидентного програми.

При спробі будь-якої програми здійснити вказані дії "сторож" посилає користувачеві повідомлення н пропонує заборонити або дозволити відповідну дію. Програми-фільтри досить корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак вони не "лікують" файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх "настирливість" (наприклад, вони постійно видають попередження про будь-якій спробі копіювання виконуваного файла), а також можливі конфлікти з іншим програмним забезпеченням.

Вакцини (іммунізатори) - це резидентні програми, що запобігають зараження файлів. Вакцини застосовують, якщо відсутні програми-доктори, "лікуючі" цей вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їх роботі, а вірус буде сприймати їх зараженими і тому не впровадити. В даний час програми-вакцини мають обмежене застосування.

Істотним недоліком таких програм є їх обмежені можливості щодо запобігання зараження від великої кількості різноманітних вірусів.

Джерело за посиланням.