5.         Борьба с вирусами

Мы попробовали провести некоторую классификацию проявлений вирусов. По этим признакам можно судить о присутствии вирусов на диске или в памяти, не имея специальных средств:

а) Изменение длины программ. Не многим вирусам удается не менять длины программы. Некоторые вирусы пытаются так подкорректировать длину, чтобы ее изменение было незаметно. Например, не садятся на слишком короткие программы, корректируют длину так, чтобы она изменилась на 1000 байт (не так заметно) и т.д.

б) Нехватка памяти. Некоторые программы сообщают о нехватке памяти, некоторые выдают сообщения об ошибке или зависают. В любом случае это должно Вас насторожить. в) Когда вирус «садится» на программу, то происходит автоматическая корректировка времени и даты файла. Если вирус не восстанавливает старые значения, то это может служить хорошим признаком несанкционированного доступа к Вашей программе. Интересно, что установка во времени корректировки файла 62 секунды (проверьте, что установить 63 или 61 секунду невозможно, и объясните почему) является для многих вирусов признаком зараженности программы.

г) Проявления, связанные с развлекательными функциями вируса. Это могут быть необычные или шутливые сообщения, странные явления на экране (осыпание букв и т.д.), звуковые сигналы и музыка и т.д.

д) Проявления, связанные с разрушительными функциями вирусов. Это может быть неожиданно переставшая запускаться программа, испорченная база данных, не запускающаяся дискета, странные зависания системы и т.д.

е) Проявления, связанные с некорректной работой вируса или наличием ошибок в нем. Классическим примером может служить отсутствие обработки критических ошибок для MS DOS (см. Глава 9). Некоторые вирусы, заражая программу, безнадежно портят ее (иногда ошибка, а иногда и намеренные действия). Часто вирусы некорректно работают с операционной системой. Например, не работают на DOS 6.0. Портят содержимое регистров при входе в программу. Проявлений здесь огромное количество. Некорректная загрузка Windows также должна Вас насторожить.

ж) Иногда о наличии в программе вируса можно судить по присутствию в нем некоторых характерных строк, которые можно обнаружить даже при «текстовом» просмотре. Вот эти типичные строки: *.СОМ, *.ЕХЕ, РАТН=, COMMAND.

«Умные» вирусы, однако, шифруют строки, подобные этим.

з) Нерезидентные вирусы после запуска зараженной программы должны найти новую жертву, прежде чем передать управление программе. Поиск, вообще говоря, может потребовать времени. Поэтому отмечайте для себя те случаи, когда некоторые программы начнут запускаться медленнее обычного.

Появление новых операционных систем, таких, как Windows, вносит серьезные коррективы в дело обнаружения вирусов. Сразу скажу, что обнаружение вирусов способами, описанными выше, становится все менее и менее возможным. Из-за огромного количества файлов как в самой операционной системе, так и в используемых пакетах, никто уже не просматривает списки файлов. Да и сами программы запускаются или с рабочего стола, или из меню. Наличие же ошибок в операционных системах Windows 95 и Windows 98 приучает пользователей к не совсем корректной работе системы. Зависания, некорректные загрузки и неожиданные перезагрузки компьютера теперь списывают на систему, а о вирусах забывают. Все это достаточно печально и наводит на мысль о том, что компьютерным вирусам далее будет жить все вольготнее. Наше время ознаменовано также широким распространением локальных и глобальных компьютерных сетей, что еще в большей степени усложняет возможность обнаружения вируса. Сейчас наработан довольно большой арсенал программных средств защиты от вирусов. Ниже перечисляются эти средства защиты. Антивирусные ревизоры. Суть работы этих программ заключается в том, что состояние программ, системных файлов, boot-секторов и т.п. запоминается. При запуске ревизора происходит сравнение контрольных сумм. При обнаружении изменений выдается сообщение или производятся, какие-либо другие действия. Разумеется, ревизор не может точно сказать, обнаружен вирус или изменения вызваны другими причинами. Основным требованием, предъявляемым к таким программам, является умение обнаружить изменения, производимые вирусом, даже если вирус находится в памяти. Ревизия должна производиться по крайней мере каждый раз после запуска операционной системы. Существуют резидентные ревизоры, которые могут проверять контрольную сумму программы перед самым ее запуском.

Детекторы. Эти программы рассчитаны на вполне определенные вирусы, которые ищутся по сигнатуре – строке, содержащейся в теле вируса. Некоторые детекторы позволяют пользователю пополнять список сигнатур. Использование таких программ достаточно ограниченно. Новые вирусы появляются с огромной быстротой, и даже авторы самых знаменитых и эффективных детекторов не поспевают за ними.

Фаги. Программы, позволяющие восстанавливать (лечить) зараженные файлы. Обычно такие программы имеют и встроенный детектор. Данные программы весьма опасны, т.к. часто портят восстанавливаемые файлы. Весьма незначительные изменения в вирусе могут привести к изменению длины вируса или отдельных его частей и даже способа заражения. После чего попытка излечить программу отданного вируса скорее всего приведет к порче программы. Вакцины и вакцинация. Идея заключается в попытке обмануть вирус. Большинство вирусов перед тем как «сесть» на программу проверяет, не заражена ли уже она. Для этого в теле программы в определенном месте ищется специальная метка. Если в нужное место программы поместить эту метку, то программа тем самым будет защищена отданного вируса. Резидентная программа-вакцина находится в памяти и имитирует наличие там вируса. При запуске зараженной программы вирус проверяет наличие себя в памяти по определенным признакам. Вакцина обманывает вирус, не позволяя ему остаться в памяти. Легко сообразить, что количество вирусов, от которых можно уберечься таким способом, невелико. Трудно себе представить вакцинацию, скажем, от ста вирусов одновременно. Такой метод можно эффективно использовать лишь во время эпидемий на машинах со многими пользователями. Резидентные сторожа. Сторож–это программа, позволяющая выявить или блокировать несанкционированные действия в системе. Таковым может быть либо заражение программы, либо попытка остаться в памяти резидентно. Отслеживанием прерываний и сравнением объема свободной памяти до и после запуска программы это сделать не так уж трудно. Проблема заключается в том, что запись на диск производится довольно часто, и сторож должен проявлять определенную «интеллектуальность», реагируя лишь на подозрительные операции.

Программа может иметь и своего собственного сторожа, который запускается при запуске программы и далее проверяет возможность ее заражения. В конце главы приводятся примеры того, как в принципе может быть построен такой сторож.


Информация о работе «Работа с каталогами и подкаталогами. Работа с файлами»
Раздел: Информатика, программирование
Количество знаков с пробелами: 27617
Количество таблиц: 1
Количество изображений: 2

Похожие работы

Скачать
2812
0
0

... каталога 2-го уровня в каталоге 1-го уровня; провести проверку. 4)Выполнение команд по смене каталогов. 5)Уничтожение СВОИХ каталогов. Провести проверки.                     Отчет по работе 1)Просмотр корневого каталога дисков C,D, и.т.д командами DIR,DIR/W,DIR/P. а)Применение команды DIR H:>dir .………………………................................................... ...

Скачать
81628
1
0

... Вы можете переключиться на VC №2 и начать работу над чем-то другим). Использование виртуальных консолей дает вам представление о многопользовательских возможностях UNIX. 2.    Краткая информация о командах, встречающихся в этой практической работе. ИМЯ banner - печатает аргументы крупными буквами. СИНТАКСИС banner arg ... ОПИСАНИЕ banner печатает параметры на stdout, используя матрицы ...

Скачать
25445
0
4

... этот файл является именно файлом; или на то, что он является Каталогом. Файлы, в зависимости от атрибута, могут быть скрытыми, архивными системными, только для чтения.(Скрытые файлы MS DOS “не видит”). 8. КОМАНДЫ ПОДДЕРЖКИ ФАЙЛОВ Для работы с файловой системой в DOS имеются несколько встроенных команд: COPY, REN, DEL, TYPE, DIR,  MKDIR или MD,  CHDIR или CD  RMDIR или RD 8.1. ...

Скачать
23691
0
0

... news (спулинг новостей), uucp (спулинг для UUCP) и т.п. Каталог /var/tmp используется программами, которым требуется временные файлы или каталоги для хранения данных, сохраняемых между перезагрузками системы. Иерархия файловых систем В корневой файловой системе должна находиться информация для загрузчика и основные файлы, необходимые в процессе старта системы (например, ядро). Здесь же должны ...

0 комментариев


Наверх