Различные типы компьютерных вирусов: методы распространения, профилактика заражения

2. Различные типы компьютерных вирусов: методы распространения, профилактика заражения

Базовые понятия

Компьютерный вирус, программный код, управле­ние, заражение, профилактика.

Обязательно изложить

Компьютерный вирус — это программный код, ко­торый в процессе исполнения размножается, т.е. созда­ет новые программные коды, подобные исходному коду и сохраняющие возможность воспроизведения. Компью­терный вирус передается лишь как фрагмент другого программного кода и активизируется, перехватывая управление у кода-носителя после его инициализации.

В настоящее время принято определять тип компью­терного вируса по типу его носителя. В связи с этим выделяют файловые, загрузочные, макро- и сетевые вирусы. Рассмотрим их по порядку.

Файловыми называются вирусы, которые встраива­ются в исполняемые коды, т.е. файлы с именами сот и ехе, или в оверлейные файлы. Для перехвата управ­ления вирус записывается в начало или конец файла. В последнем случае начало файла модифицируется. Не­сколько первых байт оригинального кода присоединя­ются к вирусу, а на их место помещается команда передачи управления на начало вирусного фрагмента. Таким образом, инициализация зараженной програм­мы приводит к запуску вируса, который после выпол­нения всех запланированных действий передает уп­равление своему носителю. Существуют вирусы, кото­рые выполняют все действия (поиск и заражение хотя бы одного файла указанного типа и, возможно, другие действия, как правило, обусловленные каким-либо об­разом, например, датой инициализации), оставаясь в составе кода-носителя. Они называются нерезидент­ными. Есть вирусы, которые в составе кода-носителя производят единственное действие — инсталляцию своего кода, как независимого приложения, в опера­тивную память. В этом качестве вирус производит все остальные действия. Такие вирусы называются рези­дентными. Они отслеживают ряд системных преры­ваний и активизируются при их возникновении. Та­ким образом, от момента инсталляции до перезагрузки компьютера резидентный вирус успевает заразить большое число файлов. Резидентный вирус может от­слеживать чтение файла-носителя другой,, может быть антивирусной, программой и препятствовать обнару­жению своего кодового фрагмента, например, временно удаляя его из тестируемого файла (стелс-вирус). Вто­рой способ воспрепятствовать обнаружению вируса в составе файла-носителя — шифрование вирусного кода случайной последовательностью команд процессора. В этом случае фрагмент вируса, инсталлирующий его в оперативную память, производит дешифровку кода. При заражении другого файла ключ шифрования мо­жет меняться (полиморфик-вирус).

Особое место занимают так называемые "компань­он-вирусы", не изменяющие заражаемых файлов. Ал­горитм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т.е. вирус. Наиболее распрост­ранены компаньон-вирусы, использующие особенность DOS первым выполнять соте-файл, если в одном ката­логе присутствуют два файла с одним и тем же име­нем, но различными расширениями — сот и ехе. Такие вирусы создают для ехе-файлов файлы-спутни­ки, имеющие то же самое имя, но с расширением сот. Вирус записывается в co/n-файл и никак не изме­няет ехе-файл. При запуске такого файла DOS пер­вым обнаружит и выполнит сотп-файл, т.е. вирус, ко­торый затем запустит и ехе-файл. Некоторые вирусы используют не только вариант сот — ехе, но также и bat — сот — ехе.

Можно предложить несколько профилактических мер, направленных против инфицирования компью­тера файловыми вирусами:

1. Использование только лицензионных программ­ных продуктов.

2. Крайне осторожное отношение к программам, полученным из сети или от знакомых, т.е., прежде чем открыть соответствующий файл, нужно проверить его какой-нибудь антивирусной программой.

3. Использование утилит проверки целостности ин­формации, которые сохраняют данные о файлах и позволяют зафиксировать их несанкционированные изменения. »

4. Отказ в использовании компьютера сомнитель­ными пользователями.

Загрузочными называются вирусы, которые инициа­лизируются при старте компьютера. Они располагают­ся в служебных областях (загрузочных секторах) маг­нитных дисков, как гибких, так и жестких, где поме­щается программа загрузки операционной системы. По­скольку программа загрузки имеет малый объем, вирус не может функционировать в ее составе, т.е. все загру­зочные вирусы являются резидентными. Они, как пра­вило, состоят из двух частей: головы и хвоста, который

может быть пустым. Последовательность действий ви­руса по внедрению в загрузочный сектор такова. Сна­чала вирус выделяет на диске область и делает ее недо­ступной для операционной системы. Затем копирует в эту область свой хвост и содержимое загрузочного сек­тора. После этого вирус замещает своей головой на­чальную программу загрузки и организует передачу уп­равления на свой хвост и далее на начальную програм­му загрузки. Эти действия производятся независимо от того, системная дискета или нет. Достаточно обратить­ся к дискете в процессе загрузки. Как и другие рези­дентные вирусы, загрузочные вирусы могут быть изго­товлены с помощью стеле-технологии. Профилактика заражения загрузочным вирусом такова.

1. Если нет нужды каждый день загружать систему с дискеты, поставьте в BIOS Setup порядок загрузки "сначала — С:, потом — А:". Это надежно защитит компьютер от загрузочных вирусов.

2. Физически блокируйте запись на системные дис­кеты.

Макровирусы являются программами на языках (макроязыках), встроенных в некоторые системы об­работки данных (текстовые редакторы, электронные таблицы и т.д.), например, Visual Basic for Applications. Наибольшее распространение получили макровирусы для Microsoft Office. Для своего размножения такие вирусы используют возможности получения управления макро­программой без вмешательства пользователя (автома­тические или стандартные макросы). Вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо обра­зом идет обращение. Можно сказать, что большинство макровирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор. Признаком того, что в приложение проник макровирус, является увеличение размеров документов и исчезновение пункта ' Макрос в меню "Сервис". Можно предложить следующие про­филактические действия:

1. Использование утилит проверки целостности инфор­мации, которые сохраняют данные о файлах и позволяют зафиксировать их несанкционированные изменения.

2. Крайне осторожное отношение к файлам, полу­ченным из сети или от знакомых, т.е., прежде чем открыть соответствующий файл, нужно проверить его какой-нибудь антивирусной программой.

3. Хранение дистрибутивных копий офисных про­грамм для их переустановки в случае подозрения за­ражения.

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основ­ным принципом работы сетевого вируса является воз­можность самостоятельно передать свой код на уда-

12

ленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможнос­тью запустить на выполнение свой код на удаленном компьютере или по крайней мере "подтолкнуть" пользователя к запуску зараженного файла.

Сетевые вирусы прошлого распространялись в ком­пьютерной сети и, как правило, так же, как и компань­он-вирусы, не изменяли файлы или сектора на дисках. Они проникали в память компьютера из компьютер­ной сети, вычисляли сетевые адреса других компьюте­ров и рассылали по этим адресам свои копии. Эти ви­русы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

Современные сетевые вирусы используют электрон­ную почту как для несанкционированного распрост­ранения, так и для заражения файлов рабочих стан­ций. Поскольку среда обитания таких вирусов — ком­пьютерная сеть, их главная цель — нарушение работы сети. Самый простой способ, который используется большинством вирусов, это увеличение трафика до размеров, парализующих функционирование сети. Ви­русная идея последнее время используется также для распространения рекламы, которая получила название "спам". Профилактика заражения сетевым вирусом состоит в максимальном сдерживании собственного любопытства. Не следует пытаться прочесть письмо неизвестного вам респондента, как бы ни была при­влекательна его тема.

Желательно изложить

Привести примеры вирусов разных типов.

3. Работа с папками и файлами (переименование, копирование, удаление, поиск, сохранение на различных носителях)

Предлагается следующий набор действий, для ис­полнения которых нужно воспользоваться различны­ми приемами работы с объектами файловой системы Windows.

1. Создать на Рабочем столе папку с именем "Зада­ние" , открыть ее и развернуть на весь экран.

2. Создать папку "Упражнение", открыть ее и от­регулировать размеры так, чтобы ее окно занимало половину окна папки "Задание".

3. Создать в папке "Упражнение" текстовый доку­мент с именем "Текст".

4. Скопировать его в папку "Задание" и переиме­новать в "Текст!".

5. Переместить документ "Текст" в папку "Упраж­нение" .

6. Скопировать оба документа одновременно в папку

Задание .

7. Удалить документы из папки "Упражнение" и закрыть ее.

8. Переместить документы из папки "Задание" в папку "Упражнение", не открывая ее.

9. Найти все файлы, название которых начинается с сочетания "Тек".

10. Сохранить их на гибком диске.

11. Закрыть папку "Задание" и удалить ее с Рабоче­го стола.

Указание. Действия 1, 2, 3, 4, 10 выполняются с помощью меню объекта; действия 5, 6, 7 выполняются с помощью сис­темного меню папки; действия 8 и 11 выполняются с помо­щью технологии Drug and Drop.

Примечание 1. Ученик должен понимать, что в процессе выполнения предлагаемых действий происходит сохранение файлов не только на гибком, но и на жестком диске.

Примечание 2. Для повышения оценки можно предло­жить выполнить некоторые из указанных действий с помо­щью какого-нибудь менеджера файлов (Проводник, Far, Norton Commander).

БИЛЕТ № 22

1. Локальные и глобальные компьютерные сети. | Адресация в сетях. Аппаратные и программные сред­ства организации компьютерных сетей.

2. Представление и кодирование информации с помощью знаковых систем. Алфавитный подход к определению количества информации.

3. Практическое задание. Работа с дискетой (фор­матирование, создание системной дискеты) в среде

I операционной системы.

1. Локальные и глобальные компьютерные сети. Адресация в сетях. Аппаратные и программные средства организации компьютерных сетей

Базовые понятия

Компьютерная сеть, локальная компьютерная сеть, глобальная компьютерная сеть, сервер, клиент (рабо­чая станция), сетевой адаптер, сетевая операционная система, топология локальной компьютерной сети, протокол обмена в глобальной компьютерной сети, программа-сервер, программа-клиент, способ доступа к ресурсам глобальной сети.

Обязательно изложить

Для передачи информации с помощью технических средств используются кодирующее устройство, пред­назначенное для преобразования исходного сообще­ния источника информации к виду, удобному для пе­редачи, и декодирующее устройство, необходимое для преобразования кодированною сообщения в исходное.

При передаче информации необходимо учитывать тот факт, что информация при этом может теряться или искажаться, т.е. присутствуют помехи. Для нейт­рализации помех при передаче информации зачастую

используют помехоустойчивый избыточный код, кото­рый позволяет восстановить исходную информацию даже в случае некоторого искажения.

Основными устройствами для быстрой передачи информации на большие расстояния в настоящее вре­мя являются телеграф, радио, телефон, телевизионный передатчик, телекоммуникационные сети на базе вы­числительных систем.

Под компьютерной сетью понимают систему рас­пределенных на территории аппаратных, программ­ных и информационных ресурсов (средств ввода/вы­вода, хранения и обработки информации), связанных между собой каналами передачи данных. При этом обеспечивается совместный доступ пользователей к информации (базам данных, документам и т.д.) и ресурсам (жесткие диски, принтеры, накопители CD-ROM, модемы, выход в глобальную сеть и т.д.).

По территориальному признаку сети делят на ло­кальные, региональные и глобальные. Локальные сети (LAN, Local Area Network'} охватывают ресурсы, рас­положенные друг от друга не более чем на несколько километров. Региональные сети охватывают город, рай­он, область, небольшую республику. Глобальные сети охватывают всю страну, несколько стран и целые кон­тиненты (например, сеть Интернет). Иногда выделя­ют корпоративные сети, где важно защитить инфор­мацию от несанкционированного доступа.

Основными свойствами локальной сети являются:

• высокая скорость передачи, большая пропускная способность;

• низкий уровень ошибок передачи;

• эффективный, быстродействующий механизм уп­равления обменом;

• ограниченное, точно определенное число компью­теров, подключаемых к сети.

Очень важным является вопрос топологии локаль­ной сети. Под топологией компьютерной сети обыч­но понимают физическое расположение компьютеров сети относительно друг друга и способ соединения их линиями. Топология определяет требования к обору­дованию, тип используемого кабеля, методы управле­ния обменом, надежность работы, возможность рас­ширения сети.

Каждый компьютер, который функционирует в ло­кальной сети, должен иметь сетевой адаптер (сете­вую карту). Функцией сетевого адаптера является пе­редача и прием сигналов, распространяемых по кабе­лям связи. Кроме того, компьютер должен быть осна­щен сетевой операционной системой.

При конструировании сетей используют следующие виды кабелей:

• неэкранированная витая пара. Максимальное рас­стояние, на котором могут быть расположены компью­теры, соединенные этим кабелем, достигает 300 м. Скорость передачи информации — от 10 до 155 Мбит/с;

• экранированная витая пара. Скорость передачи информации — 16 Мбит/с на расстояние до 90 м. Обладает лучшей по сравнению с неэкранированной витой парой помехозащищенностью;

• коаксиальный кабель. Позволяет передавать ин­формацию на расстояние до 2000 м со скоростью 2—44 Мбит/с;

• оптоволоконный кабель. Позволяет передавать информацию на расстояние до 10 000 м со скоростью до 10 Гбит/с.

В отличие от локальных сетей в глобальных сетях нет какого-либо единого центра управления. Основу сети составляют десятки и сотни тысяч компьютеров, соединенных теми или иными каналами связи.

Протокол обмена — это набор правил (соглаше­ние, стандарт) передачи информации в сети. Прото­колы условно делятся на базовые (более низкого уров­ня) , отвечающие за передачу информации любого типа, и прикладные (более высокого уровня), отвечающие за функционирование специализированных служб.

Программное обеспечение можно разделить на два класса:

• программы-серверы, которые размещаются на узле сети, обслуживающем компьютер пользователя;

• программы-клиенты, размещенные на компью­тере пользователя и пользующиеся услугами сервера. Подключение к глобальной сети может осущест­вляться одним из способов:

• удаленный доступ по коммутируемой телефон­ной линии. В этом случае в распоряжении пользовате­ля должен быть модем, который преобразует подавае­мую на него компьютером цифровую информацию в аналоговый сигнал {модуляция), и телефон. Аналого­вый сигнал передается по телефонной линии, а модем на принимающей стороне совершает обратное преоб­разование информации (демодуляцию}. Скорость, с которой будет производиться обмен информацией, определяется прежде всего скоростью передачи моде­ма пользователя и качеством телефонной линии. Для предупреждения искажения информации в процессе ее передачи и приема модем обычно работает в режи­ме коррекции ошибок, когда информация передается маленькими порциями, вычисляется контрольная сум­ма, которая также передается. Если отмечается иска­жение какой-то порции информации, ее передача пов­торяется;

• прямой доступ по выделенному каналу. Данный способ дороже, чаще его используют те или иные орга­низации. В качестве выделенных каналов могут исполь­зоваться коаксиальные и оптоволоконные кабели, ра­диорелейные линии, спутниковая связь.

Желательно изложить

Базовые топологии локальной сети: шина, звезда, кольцо. Достоинства и недостатки топологий.

Ссылка на материалы вопроса

1. "Информатика" № 19, с. 3 — 5, № 20, с. 3 — 7/ 2002.

2. Новиков Ю.В., Кондратенко СВ. Локальные ком­пьютерные сети: архитектура, алгоритмы, проектиро­вание. М.: ЭКОМ, 2001, 312 с.

2. Представление и кодирование информации с помощью знаковых систем. Алфавитный подход к определению количества информации

Базовые понятия

Знак, знаковая система, кодирование информации, количество информации, бит, алфавитный подход, ве­роятность.

Обязательно изложить

Под знаковой системой понимается набор знаков — одного типа или же нескольких типов вместе с систе­мой правил, регулирующих сочетаемость знаков при создании сообщения. Например, устная речь — сис­тема, знаками которой являются фонемы. Их чередо­вание и группировка по определенным правилам соз­дают членораздельную речь, т.е. сообщение, содержа­щее определенную информацию. В музыке для созда­ния сообщений также используются фонемы, но с другими правилами чередования и композиции. В гра­фических сообщениях знаками являются графические примитивы, сочетаемость которых подчиняется стро­гим правилам. Навязывая определенные правила соче­тания, из примитивов можно создать знаки, позволяю­щие создавать письменные сообщения. В зависимости от выбранной совокупности правил их композиции можно получить письменную речь, язык программи­рования, систему счисления и т.д. Таким образом, чис­ловая, символьная, графическая и звуковая информа­ция представляется с помощью знаковых систем. Для обонятельной и осязательной информации пока не определены система знаков и правила композиции, однако мы убеждены, что таковые существуют.

С этих позиций кодирование информации можно рассматривать как запись сообщения в другой знако­вой системе, или в той же знаковой системе, но с измененными правилами композиции, или в другой знаковой системе с измененными правилами компо­зиции. Пример первой ситуации — кодирование чис­ловой информации путем перевода числа из десятич­ной системы счисления в двоичную. Пример второй ситуации — шифрование, когда устанавливаются пра­вила замены одних символов другими, что и приводит к новым правилам композиции при записи сообще­ний. Третий случай реализуется при кодировании не­прерывных видов информации: графической и звуко­вой, — когда дискретизация (задание кодировочной

таблицы), по существу, создает новые правила компо­зиции двоичных разрядов, запрещая последовательно­сти, не представленные в кодировочной таблице.

Многообразие знаковых систем, используемых для записи и кодирования сообщений, приводит к невоз­можности использовать для измерения количества информации бит, т.е. количество информации, содер­жащееся в сообщении, уменьшающем неопределен­ность наших знаний в два раза. В силу специфичности информации схемы определения количества информа­ции, связанные с ее содержательной стороной, оказы­ваются не универсальными.

Универсальным оказывается алфавитный подход к измерению количества информации. В этом подходе сообщение, представленное в какой-либо знаковой системе, рассматривается как совокупность сообще­ний о том, что заданная позиция в последовательнос­ти знаков занята равновероятно любым знаком сис­темы. Угадывание этого знака производится по алго­ритму последовательного деления количества знаков N, образующих систему, пополам. Поскольку, выяс­няя, в какой половине находится угадываемый знак, мы получаем информацию в один бит (по определе­нию), количество информации, содержащееся в од­ном символе (информационный вес — г), определя­ется решением показательного уравнения (Р.Хартли):

Полная информация, содержащаяся в сообщении, определяется по формуле:

Количество информации = К • г,

где К — количество знаков в сообщении. Напри­мер, для двоичной знаковой системы N = 2, т.е. 1=1 бит, так что количество информации совпадает с чис­лом двоичных знаков. В случае системы знаков, кото­рая используется для изображения блок-схем, N = 8, т.е. г = 3, так что блок-схема, состоящая из 5 элемен­тов (начало, ввод информации, обработка, вывод ин­формации, конец), содержит информацию 15 бит. В случае знаковой системы, основанной на таблице ASCII, N = 256, z — 8 бит (1 байт), так что сообщение, со­стоящее из 11 символов (слово — информатика), содержит 11 байт информации.

В реальных сообщениях, как правило, предположе­ние о том, что в заданной позиции с одинаковой веро­ятностью может находиться любой знак системы, не выполняется. Для того чтобы обобщить алфавитный подход, представим формулу Хартли иначе. Заметим, что вероятность р обнаружения заданного знака в за­данной позиции в предположении равной вероятнос­ти равна р — 1/N. Вспоминая определение логариф­ма, запишем формулу Хартли в виде:

i — log2N — — log.jp.

Количество информации в сообщении, состоящем из К знаков, равно (— К log^p).

Если вероятность появления знака номера п равна рп и в сообщении он встречается Кп раз, естественно предположить, что количество информации в сообще­нии, связанное с этим знаком, равно (— K^logy^), a полное количество информации в сообщении должно определяться равенством (К.Шеннон):

Количество информации = S(—

— где суммирование проводится по номерам знаков, встречающихся в сообщении.

Ссылка на материалы вопроса

1. Семакин И., Залогова А., Русаков С., Шестакова А. Информатика. Базовый курс. М.: Лаборатория Базовых Знаний, 2001, 378 с.

2. Бешенков С., Ракитина Е. Информатика. Систе­матический курс. Учебник для 10-го класса. М.: Лабо­ратория Базовых Знаний, 2001, 432 с.

3. Практическое задание. Работа с дискетой (форматирование, создание системной дискеты) в среде операционной системы

Отметим, что дискета является устаревшим носите­лем информации, поскольку позволяет сохранить лишь 1,44 Мб информации, в то время как большинство программ создают файлы больших объемов. К тому же дискеты сейчас продаются уже отформатирован­ными. Еще одним очевидным недостатком современ­ных дискет является их низкое качество.

Однако в отдельных случаях дискеты могут быть полезны, в частности, при восстановлении операцион­ной системы, если она по каким-либо причинам не функционирует. Этому и посвящено задание:

1) выполнить форматирование дискеты;

2) выполнить форматирование дискеты с копиро­ванием на нее основных файлов операционной систе­мы (создать загрузочную дискету) .

Рассмотрим решение задач на примере ОС Windows.

В Windows можно действовать следующим обра­зом: раскрыть папку Мой компьютер, выбрать диск А, вызвать контекстное меню (щелчком правой кноп­кой мыши по обозначению диска А) и выбрать под­пункт Форматировать.

Ирана gus

изданное

Мой компьютер

Диск 3.5 (А:)

Диск 3,5

Емкость: 1,38 МБ Ш Занято: 0 байт П Свободно: 1,38 МБ

___£1)Панель у;

Si Принтерь ^ Ftppub He i§ Users на1' ggTmpHa'S: Э Student н SDosappH ^Win32apf dra([

1ение |ение |ение )ение (ение |ение

В появившемся диалоговом окне необходимо задать все параметры (в частности, в случае необходимости указать, что на дискету необходимо скопировать сис­темные файлы) и нажать кнопку Начать. Типичный вид диалогового окна приведен ниже:

Форматирование: Диск 3,5 [А:]

JShestakovi

Готовимся к экзамену по информатике

Е.А. Еремин, В.И. Чернатынский, А.П. Шестаков,

г. Пермь

Окончание. См. № 10-19/2004

БИЛЕТ № 23

1. Глобальная сеть Интернет и ее информационные сервисы (электронная почта, Всемирная . паутина, файловые архивы и пр.). Поиск информании. 2. Логические переменные и функции, их преобразование. Таблицы истинности. 3. Задача. Разработка алгоритма (программы) на | | обработку данных строкового типа.

Похожие работы

Различные подходы к определению количества информации. Единицы измерения количества информации

Скачать

45481

18

23

... подходе; Формы и методы: фронтальная, индивидуальная, объяснительно – иллюстративный, решение задач. Оборудование урока: демонстрационная презентация «Содержательный подход к определению количества информации. Единицы измерения количества информации» (презентация находится самом конспекте). Литература: 1.  Лапчик М.П. и др. Методика преподавания информатики: Учеб. пособие для студ. пед. вузов ...

Количество информации

Скачать

14659

4

5

... (негэнтропия). Когда неопределенность снята полностью, количество полученной информации I равно изначально существовавшей неопределенности H. При частичном снятии неопределенности, полученное количество информации и оставшаяся неснятой неопределенность составляют в сумме исходную неопределенность. Ht + It = H. По этой причине, формулы, которые будут представлены ниже для расчета энтропии H ...

Готовимся к экзамену по информатике

Скачать

225204

6

0

... полезно учителю при подготовке рассказа на уроке. В данной публикации сделана попытка выделить тот самый минимум, который ученику необходимо включить в свой ответ на экзамене. Примечания для учеников При ответе надо быть готовым к дополнительным вопросам об обосновании тех или иных утверждений. Например, каковы максимальное и минимальное значения 8-битного целого числа со знаком и почему их ...

Билеты и ответы по Информатике за 11-й класс

Скачать

257002

0

22

... быть выведены на печать. На экране рисунки могут быть статическими (неподвижными) или динамическими (движущимися). В последнее время машинная графика выделилась в самостоятельный раздел информатики с многочисленными приложениями. Средствами машинной графики создается не только печатная продукция, но и рекламные ролики на телевидении, мультфильмы. Объясним, как кодируется изображение в памяти ...