Semnătura conține analizorul euristic li. Fundamentele programelor antivirus. Dacă găsești un virus
Ce este un analizor euristic?
- Metoda euristică, spre deosebire de metoda semnăturii, are ca scop detectarea nu a semnăturilor de cod rău intenționat, ci a secvențelor tipice de operațiuni care fac posibilă tragerea unei concluzii despre natura fișierului cu un grad suficient de probabilitate. Avantajul analizei euristice este că nu necesită baze de date precompilate pentru a funcționa. Datorită acestui fapt, noile amenințări sunt recunoscute înainte ca activitatea lor să devină cunoscută de către analiștii de viruși.
- va rog sa-mi scrieti daca stiti
- Scanarea euristică este o metodă de operare a unui program antivirus bazată pe semnături și euristici. Această tehnologie, însă, este folosită cu mare atenție în programele moderne, deoarece poate crește numărul de fals pozitive.
- Un analizor euristic (euristic) este un modul antivirus care analizează codul unui fișier executabil și determină dacă obiectul scanat este infectat.
Analiza euristică nu utilizează semnături standard. Dimpotrivă, euristica ia o decizie pe baza unor reguli predeterminate, uneori nu complet clare.Pentru o mai mare claritate, această abordare poate fi comparată cu inteligența artificială, care realizează independent analize și ia decizii. Cu toate acestea, această analogie surprinde doar parțial esența, deoarece euristica nu știe să învețe și, din păcate, are o eficiență scăzută. Potrivit experților în antivirus, chiar și cele mai moderne analizoare nu pot opri mai mult de 30% din codurile rău intenționate. O altă problemă este falsul pozitiv, atunci când un program legitim este identificat ca fiind infectat.
Cu toate acestea, în ciuda tuturor deficiențelor, metodele euristice sunt încă folosite în produsele antivirus. Faptul este că combinarea diferitelor abordări poate îmbunătăți eficiența finală a scanerului. Astăzi, euristica este furnizată cu produsele tuturor jucătorilor importanți de pe piață: Symantec, Kaspersky Lab, Panda, Trend Micro și McAfee.
Analiza euristică verifică structura fișierului și conformitatea acesteia cu șabloanele de viruși. Cea mai populară tehnică euristică este verificarea conținutului unui fișier pentru modificări ale semnăturilor de viruși deja cunoscute și combinațiile acestora. Acest lucru ajută la detectarea hibrizilor și a noilor versiuni ale virușilor cunoscuți anterior, fără o actualizare suplimentară a bazei de date antivirus.
Analiza euristică este utilizată pentru a detecta viruși necunoscuți și, ca urmare, nu implică tratament.
Această tehnologie nu este capabilă să determine 100% virusul din fața ei sau nu și, ca orice algoritm probabilistic, păcătuiește cu fals pozitive.Orice întrebări - vor fi rezolvate de mine, contactați-ne, vă vom ajuta în orice mod putem
- Analizatorul euristic rezumă tendințele codului programului în ceea ce privește apelurile de întrerupere a sistemului, extrapolând nivelul de posibilă răutate. Astfel, se asigură o protecție echilibrată a sistemului de operare.
Ei bine, cam am explicat totul, înțelegi? ;)) - este un tip de inteligență artificială. în viața reală, această tehnologie nu este disponibilă, există unele aproximări ale ei, de parcă antivirusul însuși analizează programul și decide dacă este un virus sau nu
Analiza euristica
Aproape toate instrumentele anti-virus moderne folosesc tehnologia analizei euristice a codului programului. Analiza euristică este adesea folosită împreună cu scanarea semnăturilor pentru a căuta viruși complexi amestecați și polimorfi. Tehnica de analiză euristică face posibilă detectarea infecțiilor necunoscute anterior, cu toate acestea, tratamentul în astfel de cazuri este aproape întotdeauna imposibil. În acest caz, de regulă, este necesară o actualizare suplimentară a bazelor de date antivirus pentru a obține cele mai recente semnături și algoritmi de tratament, care pot conține informații despre un virus necunoscut anterior. În caz contrar, fișierul este trimis spre analiză analiștilor antivirus sau autorilor de programe antivirus.
Tehnologia analizei euristice
Metodele de scanare euristică nu oferă nicio protecție garantată împotriva noilor viruși informatici care nu se află în setul de semnături, ceea ce se datorează utilizării virușilor cunoscuți anterior ca obiect de analiză a semnăturilor și cunoștințelor despre mecanismul polimorfismului semnăturilor ca verificare euristică. reguli. În același timp, această metodă de căutare se bazează pe presupuneri empirice; falsele pozitive nu pot fi excluse complet.
În unele cazuri, metodele euristice sunt extrem de reușite, de exemplu, în cazul părților de program foarte scurte din sectorul de boot: dacă programul scrie în sectorul 1, pista 0, partea 0, atunci aceasta duce la o schimbare a partiției unității. . Dar în afară de programul de ajutor FDISK, această comandă nu este folosită în altă parte și, prin urmare, dacă apare pe neașteptate, vorbim despre un virus de boot.
În procesul de analiză euristică, programul emulat este verificat de analizorul de cod. De exemplu, un program este infectat cu un virus polimorf format dintr-un corp criptat și un decriptor. Emulatorul de cod emulează funcționarea acestui virus printr-o singură instrucțiune, după care analizatorul de cod calculează suma de control și o compară cu cea stocată în baza de date. Emularea va continua până când partea de virus necesară pentru calcularea sumei de control este decriptată. Dacă semnătura se potrivește, programul este identificat.
O altă metodă comună de analiză euristică folosită de un grup mare de antivirusuri este decompilarea unui program suspect și analiza codului sursă al acestuia. Codul sursă al unui fișier suspect este verificat și comparat cu codul sursă al virușilor cunoscuți și mostre de activitate a virusului. Dacă un anumit procent din codul sursă este identic cu codul unui virus cunoscut sau al unei activități virale, fișierul este marcat ca suspect și utilizatorul este informat despre acesta.
Dezavantajele scanării euristice
- Suspiciunea excesivă a analizorului euristic poate provoca fals pozitive dacă programul conține fragmente de cod care efectuează acțiuni și/sau secvențe, inclusiv cele caracteristice unor viruși. În special, dezambalarea în fișierele împachetate cu (Win)Upack PE de ambalare provoacă fals pozitive de la un număr de instrumente antivirus care de facto nu recunosc această problemă. O altă problemă a analizoarelor este funcționarea eronată la verificarea unui cod complet inofensiv.
De exemplu, compilat cu codul Delphi 7 sau Delphi 2007:
ProgramXDC; ($APPTYPE CONSOLE) folosește SysUtils; începe dacă (paramstr (3 ) ="d" ) apoi începe FileSetReadOnly (paramstr (2 ) ,false ) ; DeleteFile(paramstr(2) ); Sfârșit ; Sfârșit.
Provoacă fals pozitive pentru antivirusuri precum Panda (indiferent de versiunea compilatorului), Webwasher GateWay (la compilarea Delphi 2007 ), F-Secure (la compilarea Delphi 7 ). După cum puteți vedea din exemplu, programul este absolut sigur și nu există absolut niciun semn de cod rău intenționat și funcționalitate virus (toată funcționalitatea exemplului: dacă tasta „d” este specificată ca al treilea parametru, programul șterge fișier specificat în al doilea parametru).
- Disponibilitatea unor tehnici simple de înșelare a analizorului euristic. De regulă, înainte de a distribui un program rău intenționat (virus), dezvoltatorii săi examinează produsele antivirus existente pe scară largă, evitând detectarea acestuia în timpul scanării euristice prin diferite metode. De exemplu, modificarea codului, folosind elemente a căror execuție nu este suportată de emulatorul de cod al acestor antivirusuri, folosind criptarea unei părți a codului etc.
În ciuda declarațiilor și broșurilor dezvoltatorilor de antivirus cu privire la îmbunătățirea mecanismelor euristice, eficiența scanării euristice este în prezent departe de a fi așteptată. Testele independente ale componentelor analizei euristice arată că nivelul de detectare a noilor programe rău intenționate nu depășește 40-50% din numărul acestora. (Engleză)
- Chiar și cu identificarea cu succes, tratamentul unui virus necunoscut este aproape întotdeauna imposibil. Ca excepție, unele produse pot trata viruși de tip unic și un număr de polimorfi, criptați, care nu au un corp viral permanent, dar folosesc o singură metodă de injectare. În acest caz, pentru tratarea a zeci și sute de viruși, poate exista o singură intrare în baza de date a virușilor, așa cum este implementat, de exemplu, în antivirusul lui I. Danilov.
Vezi si
Legături
linkuri externe
Fundația Wikimedia. 2010 .
Vedeți ce este „Analiza euristică” în alte dicționare:
- (euristic) un algoritm pentru rezolvarea unei probleme care nu are o justificare riguroasă, dar, cu toate acestea, oferă o soluție acceptabilă problemei în majoritatea cazurilor semnificative practic. Cuprins 1 Definiție 2 Aplicație ... Wikipedia
Acest termen are alte semnificații, vezi Polimorfism. Polimorfismul virusului informatic (greacă πολυ many + greacă μορφή forma, aspect) este o tehnică specială folosită de autorii de malware ... ... Wikipedia
Stilul acestui articol nu este enciclopedic sau încalcă normele limbii ruse. Articolul ar trebui corectat conform regulilor stilistice ale Wikipedia... Wikipedia
Tehnologiile proactive sunt un set de tehnologii și metode utilizate în software-ul antivirus, al căror scop principal, spre deosebire de tehnologiile reactive (de semnătură), este de a preveni infectarea sistemului utilizatorului și ... ... Wikipedia
Acest articol sau secțiune este o traducere brută a unui articol într-o altă limbă (consultați Verificarea traducerilor). Ar fi putut fi generat de un program de către un traducător sau realizat de o persoană cu puține cunoștințe de limba originală. Poți ajuta... Wikipedia
Sistemul de operare al dezvoltatorului Windows XP / Vista Site-ul cu licență ... Wikipedia
Captură de ecran a programului Tip... Wikipedia
OllyDbg ... Wikipedia
Acest articol ar trebui să fie wikificat. Vă rugăm să-l formatați conform regulilor de formatare a articolelor. Unele modele de comportament uman din științele sociale sugerează că comportamentul uman poate fi descris în mod adecvat... Wikipedia
Puteți folosi software antivirus fără să știți cum funcționează. Cu toate acestea, există atât de multe programe antivirus în prezent, așa că va trebui să alegeți într-un fel sau altul. Pentru ca această alegere să fie pe cât posibil justificată și pentru ca programele instalate să ofere gradul maxim de protecție împotriva virușilor, este necesar să se studieze tehnicile folosite de aceste programe.
Există mai multe tehnici fundamentale pentru detectarea și protejarea împotriva virușilor. Software-ul antivirus poate implementa doar anumite tehnici sau combinații ale acestora.
Scanare
Detectarea modificărilor
Analiza euristica
monitoare rezidente
· Programe de vaccinare
Protecție hardware împotriva virușilor
În plus, majoritatea programelor antivirus asigură repararea automată a programelor infectate și a sectoarelor de boot.
Obiecte de infectare
În primul capitol, am vorbit deja despre diferitele tipuri de viruși și despre modul în care aceștia se răspândesc. Înainte de a trece la luarea în considerare a instrumentelor antivirus, listăm zonele sistemului de fișiere al computerului care sunt infectate cu viruși și care trebuie verificate:
Fișiere executabile de programe, drivere
Înregistrare master și sectoare de boot
· Fișiere de configurare AUTOEXEC.BAT și CONFIG.SYS
Documente în format de procesor de text Microsoft Word pentru Windows
Când un virus rezident devine activ, acesta își plasează modulul care rulează constant în memoria RAM a computerului. Prin urmare, programele antivirus trebuie să efectueze o verificare a memoriei RAM. Deoarece virușii pot folosi nu numai memoria standard, este de dorit să se efectueze o verificare a memoriei superioare. De exemplu, antivirusul Doctor Web verifică primii 1088 KB de RAM.
Scanare
Cea mai simplă tehnică de scanare a virușilor este ca un program antivirus să scaneze secvenţial fișierele scanate pentru semnăturile virușilor cunoscuți. O semnătură este o secvență unică de octeți care aparține unui virus și nu se găsește în alte programe.
Determinarea semnăturii unui virus este o sarcină destul de dificilă. Semnătura nu trebuie să fie conținută în programele normale care nu sunt infectate cu acest virus. În caz contrar, sunt posibile rezultate false pozitive atunci când un virus este detectat într-un program complet normal, neinfectat.
Desigur, programele de scanare nu trebuie să stocheze semnăturile tuturor virușilor cunoscuți. Ele pot, de exemplu, să stocheze doar sume de control pentru semnături.
Scanerele antivirus care pot elimina virușii detectați sunt denumite în mod obișnuit polifagi. Cel mai faimos program de scanare este Aidstest-ul lui Dmitry Lozinsky. Aidstest caută viruși pe baza semnăturilor acestora. Prin urmare, detectează doar cei mai simpli virusuri polimorfe.
În primul capitol, am vorbit despre așa-numitele viruși de criptare și polimorfi. Virușii polimorfi își schimbă complet codul atunci când infectează un nou program sau sector de boot. Dacă izolați două instanțe ale aceluiași virus polimorf, este posibil să nu se potrivească în niciun octet. În consecință, nu este posibil să se determine sinatura pentru astfel de viruși. Prin urmare, scanerele antivirus simple nu pot detecta viruși polimorfi.
Scanerele antivirus pot detecta doar viruși cunoscuți care au fost studiati anterior și pentru care a fost determinată o semnătură. Astfel, utilizarea programelor de scanare nu vă protejează computerul de pătrunderea de noi viruși.
Pentru a utiliza eficient programele antivirus care implementează metoda de scanare, trebuie să le actualizați constant, obținând cele mai recente versiuni.
Analiza euristica
Analiza euristică este o tehnică relativ nouă în detectarea virusului. Vă permite să detectați viruși necunoscuți anterior și pentru aceasta nu este nevoie să colectați mai întâi date despre sistemul de fișiere, așa cum este cerut de metoda de detectare a modificărilor.
Programele antivirus care implementează metoda analizei euristice scanează programele și sectoarele de pornire ale discurilor și dischetelor, încercând să detecteze codul specific virusului în acestea. De exemplu, un analizor euristic poate detecta că programul verificat conține cod care setează un modul rezident în memorie.
Programul antivirus Doctor Web, care face parte din kitul DialogueScience JSC, are un analizor euristic puternic care vă permite să detectați un număr mare de viruși noi.
Dacă analizorul euristic raportează că un fișier sau un sector de boot poate fi infectat cu un virus, ar trebui să o luați foarte în serios. Este recomandabil să examinați astfel de fișiere folosind cele mai recente versiuni ale programelor antivirus sau să le trimiteți pentru studiu detaliat către DialogNauka JSC.
Kitul IBM AntiVirus include un modul special axat pe detectarea virușilor în sectoarele de boot. Acest modul folosește o tehnologie de rețea neuronală în curs de brevet din analiza euristică IBM și vă permite să determinați dacă sectorul de boot este infectat cu un virus.
Detectarea modificărilor
Când un virus infectează un computer, efectuează în mod necesar modificări pe hard disk, de exemplu, își adaugă codul la un fișier executabil, adaugă un apel la programul de virus la fișierul AUTOEXEC.BAT, schimbă sectorul de pornire și creează un însoțitor. fişier.
Programele antivirus pot pre-memora caracteristicile tuturor zonelor discului care sunt atacate de un virus, iar apoi le pot verifica periodic (de aici și numele lor, programe de audit). Dacă este detectată o modificare, atunci este posibil ca un virus să fi atacat computerul.
De obicei, programele de auditor stochează imagini ale înregistrării master de pornire, sectoare de pornire ale discurilor logice, parametrii tuturor fișierelor controlate, precum și informații despre structura directoarelor și numărul de clustere de discuri proaste în fișiere speciale. Pot fi verificate și alte caracteristici ale computerului - cantitatea de RAM instalată, numărul de discuri conectate la computer și parametrii acestora.
Programele de auditor pot detecta majoritatea virușilor, chiar și cei care nu erau cunoscuți anterior. De regulă, auditorii nu pot detecta virușii care infectează fișierele de program doar atunci când sunt copiate, deoarece nu cunosc parametrii fișierului care erau înainte de copiere.
Cu toate acestea, trebuie avut în vedere că nu toate schimbările sunt cauzate de invazia virușilor. De exemplu, înregistrarea de pornire se poate modifica atunci când versiunea sistemului de operare este actualizată, iar unele programe scriu date în fișierul lor executabil. Fișierele batch se modifică și mai des, de exemplu, fișierul AUTOEXEC.BAT se modifică de obicei în timpul instalării noului software.
Programele de auditor nu vă vor ajuta chiar dacă ați scris un fișier nou infectat cu un virus pe computer. Adevărat, dacă virusul infectează alte programe luate deja în considerare de auditor, acesta va fi detectat.
Cel mai simplu program-auditor Microsoft Anti-Virus (MSAV) face parte din sistemul de operare MS-DOS. Principalul său avantaj, și poate singurul său avantaj este că nu trebuie să cheltuiți bani în plus pe el.
Mijloace de control mult mai avansate sunt oferite de programul de auditor Advanced Diskinfoscope (ADinf), care face parte din kitul antivirus al DialogNauka JSC. Ne vom uita la aceste caracteristici mai detaliat în secțiunea următoare, dar deocamdată rețineți că puteți utiliza modulul ADinf Cure (ADinfExt) cu ADinf. Modulul ADinf Cure folosește informațiile colectate anterior despre fișiere pentru a le recupera după ce au fost infectate cu viruși necunoscuți.
Desigur, nu toți virușii pot fi eliminați prin modulul ADinf Cure și alte instrumente software bazate pe monitorizare și scanări periodice ale computerului. De exemplu, dacă un virus nou criptează o unitate, așa cum face virusul OneHalf, atunci eliminarea acestuia fără a decripta unitatea va duce cel mai probabil la pierderea de informații. Virușii de acest tip pot fi îndepărtați numai după un studiu atent de către specialiști și includerea unor module pentru combaterea lor în polifage obișnuite - Aidstest sau Doctor Web.
Programele de inspecție antivirus cunoscute de noi la momentul scrierii acestui articol nu sunt potrivite pentru detectarea virușilor în fișierele documentelor, deoarece aceștia se schimbă în mod inerent în mod constant. O serie de programe încetează să funcționeze după introducerea codului de vaccin în ele. Prin urmare, pentru a le controla, ar trebui să utilizați programe de scanare sau analize euristice.
Monitoare rezidenți
Există, de asemenea, o întreagă clasă de programe antivirus care se află constant în memoria RAM a computerului și monitorizează toate acțiunile suspecte efectuate de alte programe. Astfel de programe se numesc monitoare rezidenți sau paznici.
Monitorul rezident va spune utilizatorului dacă vreun program încearcă să schimbe sectorul de pornire al hard disk-ului sau al dischetei, fișierul executabil. Monitorul rezident vă va spune că programul încearcă să lase un modul rezident în RAM etc.
Majoritatea monitoarelor rezidente vă permit să verificați automat toate programele care rulează pentru infecția cu viruși cunoscuți, adică îndeplinesc funcțiile unui scaner. O astfel de verificare va dura ceva timp și procesul de încărcare a programului va încetini, dar veți fi sigur că virușii cunoscuți nu se vor putea activa pe computer.
Din păcate, monitoarele rezidente au o mulțime de dezavantaje care fac această clasă de software nepotrivită pentru utilizare.
Multe programe, chiar și cele care nu conțin viruși, pot efectua acțiuni la care monitoarele rezidente răspund. De exemplu, comanda obișnuită LABEL modifică datele din sectorul de boot și declanșează monitorul.
Prin urmare, munca utilizatorului va fi întreruptă constant de mesaje antivirus enervante. În plus, utilizatorul va trebui să decidă de fiecare dată dacă această operațiune este cauzată de un virus sau nu. După cum arată practica, mai devreme sau mai târziu utilizatorul oprește monitorul rezident.
În cele din urmă, cel mai mic dezavantaj al monitoarelor rezidente este că acestea trebuie încărcate constant în RAM și, prin urmare, reduc cantitatea de memorie disponibilă pentru alte programe.
Sistemul de operare MS-DOS include deja monitorul antivirus rezident VSafe.
Programe de vaccinare
Pentru ca o persoană să poată evita anumite boli, este vaccinată. Există o modalitate de a proteja programele de viruși, în care programului protejat este atașat un modul de control special, care monitorizează integritatea acestuia. În acest caz, suma de control a programului sau alte caracteristici pot fi verificate. Când un virus infectează un fișier vaccinat, modulul de control detectează o modificare a sumei de control a fișierului și informează utilizatorul despre aceasta.
Din păcate, spre deosebire de vaccinările pentru oameni, programele de vaccinare în multe cazuri nu îi salvează de infecție. Virușii ascunși păcăli ușor vaccinul. Fișierele infectate funcționează ca de obicei, vaccinul nu detectează infecția. Prin urmare, nu ne vom opri asupra vaccinurilor și vom continua să luăm în considerare și alte mijloace de protecție.
Protecție hardware împotriva virușilor
Până în prezent, una dintre cele mai fiabile modalități de a proteja computerele împotriva atacurilor de viruși este hardware și software. De obicei, acestea sunt un controler special care este introdus într-unul dintre sloturile de expansiune ale computerului și software care controlează funcționarea acestui controler.
Datorită faptului că controlerul de protecție hardware este conectat la magistrala de sistem a computerului, acesta primește control deplin asupra tuturor acceselor la subsistemul de disc al computerului. Software-ul de protecție hardware vă permite să specificați zone ale sistemului de fișiere care nu pot fi modificate. Puteți proteja înregistrarea principală de boot, sectoarele de boot, executabilele, fișierele de configurare și multe altele.
Dacă complexul hardware-software detectează că orice program încearcă să încalce protecția stabilită, poate informa utilizatorul despre acest lucru și poate bloca funcționarea ulterioară a computerului.
Nivelul hardware de control asupra subsistemului de disc al computerului nu permite virușilor să se deghizeze. De îndată ce virusul se manifestă, acesta va fi imediat detectat. În același timp, este complet indiferent cum funcționează virusul și ce mijloace folosește pentru a accesa discuri și dischete.
Instrumentele de protecție hardware și software vă permit nu numai să vă protejați computerul de viruși, ci și să opriți activitatea troienilor care vizează distrugerea la timp a sistemului de fișiere al computerului. În plus, instrumentele hardware și software vă permit să vă protejați computerul de un utilizator necalificat și de un intrus, nu îi vor permite să ștergă informații importante, să formateze un disc, să schimbe fișierele de configurare.
În prezent, doar complexul hardware și software Sheriff este produs în serie în Rusia. Acesta va preveni în mod fiabil infecția computerului și va permite utilizatorului să petreacă mult mai puțin timp controlului antivirus al computerului folosind software-ul convențional.
Mult mai multe produse de protecție hardware și software sunt produse în străinătate, dar prețul lor este mult mai mare decât cel al Sheriff și se ridică la câteva sute de dolari SUA. Iată câteva nume ale unor astfel de complexe:
|
Denumirea complexului |
Producător |
|
JAS Technologies of the Americas |
|
|
Leprechaum Software International |
|
|
Întreprinderi digitale |
|
|
Glynn International |
|
|
Swabian Electronics Reutlingen |
|
|
Telstar Electronics |
|
|
Bugovics & Partner |
Pe lângă îndeplinirea funcției sale principale, hardware-ul și software-ul de securitate informatică pot oferi diverse servicii suplimentare. Aceștia pot gestiona diferențierea drepturilor de acces pentru diferiți utilizatori la resursele computerului - hard disk, unități de disc etc.
Protecție încorporată în BIOS-ul computerului
Multe firme care produc plăci de bază pentru computere au început să construiască în ele cele mai simple mijloace de protecție împotriva virușilor. Aceste instrumente vă permit să controlați întregul acces la înregistrarea principală de pornire a hard disk-urilor, precum și la sectoarele de pornire ale discurilor și dischetelor. Dacă vreun program încearcă să modifice conținutul sectoarelor de boot, protecția este declanșată și utilizatorul primește un avertisment corespunzător. În același timp, el poate permite sau interzice această schimbare.
Cu toate acestea, un astfel de control nu poate fi numit control adevărat la nivel hardware. Modulul software responsabil cu controlul accesului la sectoarele de boot se află în ROM-ul BIOS-ului și poate fi ocolit de viruși dacă înlocuiesc sectoarele de boot prin accesarea directă a porturilor I/O ale controlerului de hard și dischetă.
Există viruși care încearcă să dezactiveze controlul antivirus al BIOS prin modificarea anumitor celule din memoria nevolatilă a computerului (memoria CMOS).
Virușii ceceni .1912 și 1914
Viruși criptați rezidenți foarte periculoși. Încercarea de a găsi șirurile de text Megatrends în ROM-ul BIOS și ADJUDECARE. Dacă căutarea are succes, ei presupun că computerul are instalat un BIOS AWARD sau AMI, dezactivează controlul sectorului de pornire și infectează înregistrarea principală de pornire a hard disk-ului. Aproximativ prin la o lună după infectare, virusul șterge informațiile din toate primul hard disk
Cel mai simplu mijloc de protecție hardware este de a deconecta de la computer toate canalele prin care un virus poate pătrunde în el. Dacă computerul nu este conectat la o rețea locală și nu este instalat un modem în el, atunci este suficient să opriți unitățile de dischetă și canalul principal pentru intrarea virușilor în computer va fi blocat.
Cu toate acestea, o astfel de oprire nu este întotdeauna posibilă. În cele mai multe cazuri, utilizatorul are nevoie de acces la unități de disc sau modemuri pentru funcționarea normală. În plus, programele infectate pot intra în computer printr-o rețea locală sau CD-uri, iar dezactivarea acestora va restrânge semnificativ domeniul de aplicare al computerului.
Metode de eliminare a virușilor
Găsirea unui virus pe computer este doar jumătate din luptă. Acum trebuie eliminat. În cele mai multe cazuri, programele antivirus care detectează un virus îl pot elimina. Există două tehnici principale utilizate de programele antivirus pentru a elimina virușii.
Dacă detectați un virus în timp ce scanați fișiere executabile cu extensii de nume COM și EXE, ar trebui să scanați toate celelalte tipuri de fișiere care conțin cod executabil. În primul rând, acestea sunt fișiere cu extensia SYS, OVL, OVI, OVR, BIN, BAT, BIN, LIB, DRV, BAK, ZIP, ARJ, PAK, LZH, PIF, PGM, DLL, DOC
Puteți chiar să verificați toate fișierele de pe hard disk-urile computerului. Poate cineva a redenumit executabilul infectat schimbându-i extensia. De exemplu, fișierul EDITOR.EXE a fost redenumit în EDITOR.EX_. Un astfel de fișier nu va fi verificat. Dacă este redenumit ulterior, virusul se va putea reactiva și se va răspândi în computer
Prima, cea mai obișnuită tehnică este de a avea un program antivirus să elimine un virus deja cunoscut. Pentru ca virusul să fie înlăturat corect, este necesar ca acesta să fie studiat, dezvoltat un algoritm de tratare a acestuia, iar acest algoritm a fost implementat în noua versiune a antivirusului.
A doua tehnică vă permite să recuperați fișiere și sectoare de pornire infectate cu viruși necunoscuți anterior. Pentru a face acest lucru, programul antivirus în prealabil, înainte de apariția virușilor, trebuie să analizeze toate fișierele executabile și să salveze o mulțime de informații diverse despre acestea.
În timpul lansărilor ulterioare ale programului antivirus, acesta colectează din nou date despre fișierele executabile și le compară cu datele obținute anterior. Dacă se găsesc inconsecvențe, atunci fișierul este probabil infectat cu un virus.
În acest caz, antivirusul încearcă să restaureze fișierul infectat folosind informații despre principiile injectării virușilor în fișiere și informații despre acest fișier obținute înainte de a fi infectat.
Unii viruși infectează fișierele și sectoarele de boot, înlocuind o parte a obiectului infectat cu codul lor, adică distrugând iremediabil obiectul infectat. Fișierele și sectoarele de boot infectate cu astfel de viruși nu pot fi dezinfectate folosind prima metodă, dar pot fi de obicei restaurate folosind a doua metodă. Dacă nu puteți recupera fișierele executabile infectate folosind programe antivirus, va trebui să le restaurați din kitul de distribuție sau din copia de rezervă sau pur și simplu să le ștergeți (dacă nu sunt necesare).
Cu înregistrarea de pornire principală și sectoarele de boot, lucrurile sunt puțin mai complicate. Dacă programul antivirus nu le poate restaura automat, va trebui să o faceți manual folosind comenzile FDISK, SYS, FORMAT. Recuperarea manuală a sectoarelor de boot va fi descrisă puțin mai târziu, în capitolul al șaselea.
Există un întreg grup de viruși care, infectând un computer, devin parte a sistemului său de operare. Dacă pur și simplu eliminați un astfel de virus, de exemplu prin restaurarea unui fișier infectat de pe o dischetă, sistemul poate deveni parțial sau complet inoperabil. Astfel de viruși ar trebui tratați folosind prima tehnică.
Exemple de astfel de viruși includ virușii de boot OneHalf și grupul de viruși VolGU.
Pe măsură ce computerul pornește, virusul OneHalf criptează treptat conținutul hard diskului. Dacă virusul este rezident în memorie, atunci interceptează toate accesele la hard disk. În cazul în care orice program încearcă să citească un sector deja criptat, virusul îl decriptează. Dacă eliminați virusul OneHalf, informațiile de pe partea criptată a hard diskului vor deveni inaccesibile.
Virusul VolGU nu criptează datele, dar nu este mai puțin periculos decât OneHalf. Fiecare sector al hard disk-ului nu numai că stochează datele scrise în el, ci conține și informații suplimentare de verificare. Este o sumă de control a tuturor octeților din sector. Această sumă de control este utilizată pentru a verifica integritatea informațiilor.
De obicei, atunci când un program accesează subsistemul de disc al computerului, doar datele sunt citite și scrise, suma de control este corectată automat. Virusul VolGU interceptează accesul tuturor programelor pe hard disk și, atunci când scrie date pe disc, corupă sumele de control ale sectoarelor.
Când virusul este activ, permite citirea sectoarelor cu sume de control incorecte. Dacă pur și simplu eliminați un astfel de virus, atunci sectoarele cu o sumă de verificare incorectă nu vor fi citite. Sistemul de operare vă va informa despre o eroare de citire de pe hard disk (sectorul nu a fost găsit).
Pregătirea pentru un atac de virus
Utilizatorii de computere ar trebui să se pregătească din timp pentru un posibil atac de viruși și să nu aștepte până în ultimul moment pentru apariția unui virus. Datorită acestui lucru, veți putea detecta mai rapid virusul și îl veți elimina.
Care ar trebui să fie o astfel de pregătire?
¨ Pregătiți o dischetă de sistem în avans. Scrieți programe antivirus polifagi pe el, cum ar fi Aidstest și Doctor Web
¨ Actualizați constant versiunile programelor antivirus înregistrate pe discheta sistemului
¨ Verificați periodic computerul cu diverse instrumente antivirus. Controlați toate modificările de pe disc folosind un program de audit, cum ar fi ADinf. Verificați fișierele noi și modificate cu programele Aidstest și Doctor Web polyphage
¨ Verificați toate dischetele înainte de utilizare. Utilizați cele mai recente versiuni de programe antivirus pentru a verifica
¨ Verificați toate fișierele executabile scrise pe computer
¨ Dacă aveți nevoie de un nivel ridicat de protecție împotriva virușilor, instalați un controler de protecție hardware, cum ar fi Sheriff, pe computer. Partajarea unui controler hardware și a instrumentelor antivirus tradiționale vă va permite să vă securizați sistemul cât mai mult posibil
Creați o dischetă de sistem
De obicei, un computer are două unități de dischetă. Unul este pentru dischete de 5,25", iar celălalt este pentru dischete de 3,5". Sistemul de operare MS-DOS, precum și sistemele de operare Windows, Windows 95, Windows NT și OS/2 le atribuie numele A: și B:. Ce unitate se numește A: și care este B: depinde de hardware-ul computerului.
De obicei, utilizatorul poate schimba numele unităților. Pentru a face acest lucru, trebuie să deschideți carcasa computerului și să comutați mai mulți conectori. Dacă este posibil, această lucrare ar trebui să fie încredințată unui tehnician.
Unitățile de dischete de 5,25 inchi intră încet în uz, așa că computerele noi au o singură unitate de dischete care poate ține dischete de 3,5 inchi. În acest caz, se numește A:, unitatea B: lipsește.
Puteți porni computerul folosind discheta de sistem numai de pe unitatea A:. Astfel, pentru a face o dischetă de sistem pentru computerul dvs., trebuie să luați o dischetă de dimensiunea corespunzătoare.
Există multe programe care vă permit să pregătiți o dischetă de sistem. Astfel de programe sunt incluse în toate sistemele de operare - MS-DOS, Windows 3.1, Windows 95 și OS / 2 etc.
Cele mai simple programe pentru pregătirea dischetelor de sistem sunt comenzile FORMAT sau SYS care fac parte din sistemele de operare MS-DOS și Windows 95 și de aceea le vom descrie în primul rând.
Folosind comanda FORMAT
Comanda FORMAT formatează o dischetă și poate scrie fișiere ale sistemului de operare pe aceasta. La formatarea dischetelor, FORMAT marchează piesele pe dischetă și formează zone de sistem - sectorul de pornire, tabelul de alocare a fișierelor și directorul rădăcină.
Când o dischetă este formatată, toate informațiile stocate pe aceasta sunt șterse. Deoarece FORMAT rescrie sectorul de boot pe dischetă, dacă anterior a fost infectat cu un virus de boot, virusul este eliminat. Putem spune că comanda FORMAT îndeplinește funcția principală a unui antivirus - elimină orice viruși de pe o dischetă.
Când apelați comanda FORMAT, puteți specifica un număr mare de opțiuni diferite. O descriere a acestora o găsiți în volumul al patrulea al seriei „Computer personal – pas cu pas”, care se numește „Ce ar trebui să știți despre computerul dvs.”. În această carte, vom descrie doar câțiva dintre cei mai importanți parametri pentru noi:
FORMAT drive:
Ca parametru al unității, trebuie să specificați numele unității care va formata discheta. Opțiunea /S înseamnă că după formatarea dischetei, fișierele principale ale sistemului de operare sunt transferate pe acesta și discheta devine discheta de sistem. Această opțiune trebuie specificată pentru a pregăti o dischetă de sistem.
După cum am spus, comanda FORMAT șterge toate fișierele scrise pe ea de pe discheta formatată. De obicei, FORMAT scrie informații ascunse pe o dischetă, ceea ce permite, dacă este necesar, recuperarea fișierelor șterse de pe aceasta.
Pentru a recupera fișierele șterse în timpul formatării unei dischete, utilizați comanda UNFORMAT
Dacă sunteți sigur că nu va trebui să le restaurați, puteți accelera formatarea dischetei specificând opțiunea suplimentară /U. În acest caz, informațiile despre fișierele șterse nu sunt salvate și nu pot fi restaurate.
Puteți accelera foarte mult procesul de pregătire a dischetei sistemului dând comenzii FORMAT o opțiune suplimentară /Q. În acest caz, discheta este formatată rapid:
Să descriem mai detaliat procesul de pregătire a unei dischete de sistem. Introduceți următoarea comandă:
Ecranul vă va solicita să introduceți o dischetă în unitatea A: și apăsați tasta
Introduceți o nouă dischetă pentru unitatea A:
și apăsați ENTER când sunteți gata...
Procesul de formatare va începe. Procentul de lucru efectuat va fi afișat pe ecran.
Formatare 1.2M
77% finalizate.
După finalizarea formatării, fișierele principale ale sistemului de operare sunt scrise pe dischetă. Apoi puteți introduce eticheta dischetei. Eticheta nu trebuie să conțină mai mult de unsprezece caractere. După introducerea etichetei, apăsați tasta
format complet.
Sistem transferat
Etichetă de volum (11 caractere, ENTER pentru niciunul)?
Apoi pe ecran vor apărea diverse informații statistice: capacitatea totală a dischetei, cantitatea de spațiu ocupată de fișierele sistemului de operare, cantitatea de spațiu liber disponibil. Dacă pe dischetă se găsesc sectoare defecte care nu sunt disponibile pentru utilizare, este afișată dimensiunea totală a acestora în octeți. Următoarele arată dimensiunea sectorului în octeți, numărul de sectoare libere de pe dischetă și numărul său de serie:
1.213.952 de octeți spațiu total pe disc
198.656 octeți utilizați de sistem
1.015.296 de octeți disponibili pe disc
512 octeți în fiecare unitate de alocare.
1.983 de unități de alocare disponibile pe disc.
Numărul de serie al volumului este 2C74-14D4
Formatați altul (D/N)?
Aceasta completează pregătirea dischetei de sistem. Dacă nu intenționați să creați mai multe dischete de sistem simultan, apăsați tasta
Folosind comanda SYS
Dacă aveți o dischetă liberă, goală, formatată, cea mai rapidă modalitate de a o transforma într-o dischetă de sistem este să utilizați comanda SYS. Pentru a face acest lucru, introduceți discheta în unitatea computerului și introduceți următoarea comandă:
SYSdrive2:
Comanda SYS are un parametru necesar - drive2. Acest parametru trebuie să specifice numele unității în care este pregătită discheta de sistem. Ar trebui să specificați ca parametru drive2 numele A: sau B:.
Parametri opționali conduce 1Și cale determinați locația fișierelor de sistem pe disc. Dacă nu specificați aceste opțiuni, comanda SYS va prelua fișierele de sistem din directorul rădăcină al unității curente.
Scrierea de programe antivirus pe o dischetă de sistem
Discheta de sistem conține fișierele principale ale sistemului de operare MS-DOS: IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN. Dacă discheta de sistem a fost realizată într-un sistem de operare compatibil MS-DOS, cum ar fi IBM PC-DOS, atunci numele acestor fișiere pot fi diferite.
Fișierele IO.SYS și MSDOS.SYS sunt nucleul sistemului de operare. Fișierul COMMAND.COM este denumit în mod obișnuit procesor de comandă. Acesta este același program care afișează promptul de sistem pe ecranul computerului și execută comenzile sistemului de operare. Ultimul fișier de pe discheta de sistem este DBLSPACE.BIN. Conține o extensie de sistem de operare care oferă acces la discurile comprimate ale sistemului DoubleSpace.
Fișierele principale ale sistemului de operare - IO.SYS, MSDOS.SYS au atributul „fișier ascuns” și nu sunt afișate de comanda DIR. Pentru a le vedea, adăugați opțiunea /A la comanda DIR.
După ce v-ați făcut sistemul de dischetă, mai rămâne mult spațiu liber pe el. Volumul total ocupat de fișierele principale ale sistemului de operare MS-DOS - IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN este de aproximativ 200 KB. Astfel, dacă ați folosit o dischetă de mare densitate, atunci aveți la dispoziție mai mult de un megaoctet de spațiu liber.
Scrieți pe discheta sistemului software-ul necesar pentru a testa și repara sistemul de operare corupt. În primul rând, trebuie să scrieți programe antivirus care scanează viruși și un program pentru verificarea integrității sistemului de fișiere. Este util să notați comenzile FORMAT și FDISK - acestea pot fi necesare pentru recuperarea manuală a sistemului. Pentru comoditate, puteți scrie în plus un shell, cum ar fi Norton Commander și orice editor de text pe discheta sistemului.
Următorul tabel listează programe care vă pot ajuta să vă reporniți computerul și să ruleze. Este recomandabil să le scrieți pe toate pe o dischetă de sistem. În cazul în care nu se potrivesc pe o dischetă de sistem, pregătiți o altă dischetă și scrieți programele rămase pe aceasta.
|
Program |
Scop |
|
Program antivirus-polifag. Vă permite să detectați și să eliminați un număr mare de viruși. Virușii polimorfi pe care Aidstest nu îi poate detecta sunt detectați de Doctor Web |
|
|
Un program polifag antivirus care implementează un algoritm de căutare euristic a virusului. Permite detectarea virusurilor polimorfe complexe. Trebuie să-l utilizați împreună cu antivirusul Aidstest |
|
|
ScanDisk sau |
În multe cazuri, cauza unei defecțiuni și a comportamentului ciudat al unui computer nu sunt viruși, ci un sistem de fișiere corupt. ScanDisk și Norton Disk Doctor detectează și remediază automat erorile din sistemul de fișiere MS-DOS |
|
Un program pentru testarea tuturor subsistemelor computerizate. Vă permite să detectați defecțiunea hardware |
|
|
Comandantul Norton |
Shell pentru sistemul de operare MS-DOS. Ușurează mult lucrul cu un computer. Conține un editor de text încorporat, vizualizatoare pentru fișiere în diferite formate |
|
Comanda MS-DOS. Proiectat pentru formatarea hard disk-urilor și dischetelor computerului |
|
|
Comanda MS-DOS. Proiectat pentru a crea și șterge unități logice. Comenzile FDISK și FORMAT pot fi necesare în cazul distrugerii complete a informațiilor de pe hard disk. Utilizarea lor este descrisă în capitolul „Restaurarea sistemului de fișiere” |
|
|
Editor de disc. Vă permite să vizualizați și să editați orice informație înregistrată pe disc, inclusiv zonele de sistem. Editorul de disc vă permite să editați sectorul de pornire principal, sectoarele de pornire, tabelele de alocare FAT, structurile de directoare și fișierele |
În unele cazuri, drivere speciale sau programe rezidente pot fi folosite pentru a accesa hard disk-urile computerului. Ele trebuie scrise pe discheta de sistem pregătită. Pentru ca acestea să fie conectate automat atunci când computerul este pornit de pe discheta sistemului, creați fișierele CONFIG.SYS și AUTOEXEC.BAT pe acesta, scriind comenzile pentru încărcarea driverelor necesare în ele.
Dacă aveți o unitate CD-ROM conectată la computer, scrieți software-ul de care aveți nevoie pentru a-l utiliza pe discheta sistemului. Pentru MS-DOS, trebuie să scrieți driverul de citire și programul MSCDEX inclus în sistemul de operare. Accesul la cititor vă va permite să restaurați rapid software-ul înregistrat pe CD-uri.
Sistemul de operare Windows 95 nu are nevoie de programul MSCDEX, cu toate acestea, dacă shell-ul grafic al acestui sistem nu pornește, MSCDEX trebuie să fie inclus.
După ce ați pregătit complet discheta de sistem și ați scris toate programele necesare pe ea, instalați protecția la scriere pe ea. Pentru a face acest lucru, pe o dischetă de 5,25 inchi, trebuie să sigilați fanta de pe marginea dischetei, iar pe o dischetă de 3,5 inchi, deschideți fereastra de protecție. Protecția la scriere vă va asigura că nu deteriorați accidental conținutul dischetei și virușii nu pot pătrunde în el. Deoarece dischetele eșuează uneori, cel mai bine este să aveți mai multe dischete de sistem identice pentru acest caz.
Pornire de pe discheta de sistem
Pentru a porni un computer de pe o dischetă de sistem, trebuie să setați prioritatea de pornire a sistemului de operare de pe dischete. Prioritatea de pornire a sistemului de operare este determinată în memoria CMOS. Pentru a-l schimba, trebuie să rulați programul de instalare. Puteți afla mai multe despre programul de instalare în volumul 4 din seria Computer personal - Pas cu pas, intitulat Ce ar trebui să știți despre computerul dvs.
Există viruși care modifică prioritatea de pornire a computerului. Pentru a face acest lucru, ei modifică datele înregistrate în memoria CMOS. Exemple de astfel de viruși sunt virușii Mammoth.6000 și ExeBug. Acești viruși dezactivează unitățile de disc din memoria CMOS, reactivându-le temporar dacă un program dorește să citească sau să scrie informații pe o dischetă. Când utilizatorul încearcă să pornească computerul de pe o dischetă, acesta va porni de pe hard disk deoarece unitatea de disc este dezactivată. Virusul va prelua controlul și apoi va porni computerul de pe dischetă.
În același timp, din punctul de vedere al utilizatorului, totul arată ca de obicei. El vede că sistemul de operare este încărcat de pe o dischetă, dar în acest moment virusul este deja în RAM și controlează computerul.
Prin urmare, chiar înainte de a porni MS-DOS de pe discheta de sistem, asigurați-vă că conținutul memoriei CMOS este setat corect. Pentru a face acest lucru, rulați programul de configurare BIOS și verificați tipul de unități enumerate acolo, precum și ordinea de pornire a computerului.
Introduceți o dischetă de sistem în unitatea A: și reporniți computerul. Dacă bănuiți prezența virușilor, pentru a reporni trebuie să opriți și să porniți computerul sau să apăsați butonul „Resetare” de pe carcasa computerului. Unii viruși urmăresc repornirile folosind comenzile rapide de la tastatură
După testarea inițială a computerului, sistemul de operare va începe să se încarce de pe dischetă. LED-ul A: ar trebui să fie aprins. Procesul de pornire de pe o dischetă este ceva mai lent decât de pe un hard disk, așa că va trebui să așteptați puțin. Când sistemul de operare s-a terminat de încărcat, pe ecran va apărea un mesaj.
Sistemul de operare vă va solicita apoi data și ora curente. Data și ora sunt solicitate numai dacă discheta (disc) nu conține fișierul de configurare a sistemului AUTOEXEC.BAT.
Dacă nu doriți să schimbați data și ora, apăsați tasta de două ori
Puteți crea un fișier AUTOEXEC.BAT gol pe discheta de sistem, apoi data și ora nu vor fi solicitate, iar după pornirea sistemului de operare, va apărea imediat un prompt de sistem pe ecran.
Pot fi preveniți virușii?
Dacă nu efectuați periodic lucrări de prevenire și tratare a computerelor de viruși, posibilitatea de a pierde informațiile stocate și de a distruge mediul de operare devine mai mult decât reală.
Consecințele negative ale neglijenței dumneavoastră pot fi diferite, în funcție de virusul care intră în computer. Puteți pierde fie o parte a informațiilor din fișierele stocate pe computer, fie fișiere individuale, fie chiar toate fișierele de pe disc. Dar cel mai rău, dacă virusul face mici modificări în fișierele de date, care la început ar putea să nu fie observate, iar apoi să conducă la erori în documentele financiare sau științifice.
Lucrările privind prevenirea și tratarea computerelor împotriva virușilor pot include următoarele acțiuni:
w Instalați software-ul numai din distribuții
w Protejați-vă la scriere toate dischetele și scoateți-le numai atunci când este necesar.
w Limitați schimbul de programe și dischete, verificați astfel de programe și dischete pentru viruși
w Verificați periodic memoria RAM și discurile computerului dvs. pentru viruși folosind programe antivirus speciale
w Faceți o copie de rezervă a informațiilor despre utilizator
Nu întâlni străini
Nicio măsură de protecție nu vă poate ajuta să vă protejați computerul împotriva virușilor decât dacă scanați mai întâi toate fișierele executabile care sunt scrise pe acesta. Până în prezent, o astfel de verificare este fezabilă numai cu ajutorul programelor antivirus polifagi.
Apariția constantă a tot mai mulți viruși noi necesită utilizarea celor mai recente versiuni de programe antivirus. Este de dorit ca acestea să ofere o căutare nu numai pentru viruși cunoscuți, ci și o analiză euristică a programelor și sectoarelor de boot verificate. Vă va permite să detectați fișierele infectate cu viruși noi, dar necunoscuți și neexplorați.
Din păcate, programele antivirus nu pot oferi o garanție completă că software-ul verificat este lipsit de viruși, darămite troieni sau bombe logice. Scriind software de origine necunoscută pe computer, riscați întotdeauna să
În organizațiile mari, este logic să aloci un computer special pentru a instala software-ul dubios, cum ar fi jocurile pe calculator. Acest computer trebuie izolat de restul computerelor din organizație. În primul rând, este necesar să îl deconectați de la rețeaua locală și să interziceți utilizatorilor nu numai să copieze programe din ea, ci și să scrie fișiere pe el de pe dischetele lor de lucru care nu sunt protejate în prealabil la scriere.
În timp ce lucrați cu software suspect, utilizați programe de monitorizare, cum ar fi monitorul VSafe inclus cu MS-DOS. Dacă programul este într-adevăr infectat cu un virus sau conține o bombă logică, monitorul va raporta orice acțiuni neautorizate din partea sa. Din păcate, programele de monitorizare precum VSafe pot fi înșelate cu ușurință de viruși, așa că este mai fiabil să utilizați instrumente de protecție software și hardware.
Setul antivirus DialogScience include sistemul de protecție hardware și software Sheriff. Printre altele, îndeplinește toate funcțiile programelor de monitorizare, dar o face mult mai bine. Datorită faptului că controlul computerului este asigurat de un controler special de protecție la nivel hardware, virușii nu vor putea să-l înșele pe Sheriff.
Cum se protejează la scriere dischetele
Vă puteți proteja la scriere dischetele. Protecția funcționează la nivelul hardware al computerului și nu poate fi dezactivată de software. Prin urmare, virusul nu va putea infecta sectorul de boot și fișierele executabile scrise pe o dischetă cu protecție la scriere instalată.
Toate distribuțiile de software scrise pe dischete ar trebui să fie protejate la scriere. Majoritatea software-ului pot fi instalate de pe dischete care sunt protejate la scriere
Dacă încercați să scrieți date pe o dischetă protejată la scriere, sistemul de operare va afișa un mesaj de avertizare pe ecranul computerului. Poate avea o formă diferită, în funcție de mijloacele folosite pentru a scrie pe dischetă.
De exemplu, dacă utilizați comenzile MS-DOS COPY sau XCOPY și încercați să scrieți un fișier pe o dischetă securizată, pe ecran va apărea următorul mesaj:
Eroare de protecție la scriere citind unitatea A
Anulați, reîncercați, eșuați?
Utilizatorul trebuie să răspundă cum ar trebui să acționeze sistemul de operare în această situație. Puteți alege trei răspunsuri: Abort, Reîncercați sau Eșuează. Pentru a face acest lucru, trebuie doar să introduceți primul caracter al lead-ului selectat de la tastatură: Abort - , Reîncercați-
Alegerea Abort sau Fail înseamnă că sistemul de operare ar trebui să renunțe la încercarea de a scrie informații pe dischetă (Abort anulează pur și simplu operația, în timp ce Fail indică necesitatea returnării unui cod de eroare programului). Dacă trebuie să efectuați o operațiune de scriere, eliminați protecția la scriere de pe dischetă și selectați Reîncercați.
Este necesar să luați în considerare cu atenție mesajul despre o încercare de a scrie pe o dischetă protejată. Citirea fișierelor de pe o dischetă și rularea majorității programelor de pe aceasta nu ar trebui să provoace scrierea pe acesta. Dacă sunteți sigur că discheta nu ar trebui să fie scrisă, dar este, atunci există șanse mari ca computerul dumneavoastră să fie infectat cu un virus.
Unii viruși blochează afișarea mesajului de încercare de protecție la scriere atunci când infectează fișierele executabile sau sectorul de pornire a dischetei. Acest lucru le permite să treacă neobservate dacă discheta este protejată. Cu toate acestea, veți obține rezultatul dorit, discheta va rămâne neinfectată.
Virus Plague.2647
Un virus stealth rezident nepericulos. Când deschide fișierele infectate, își elimină codul din ele și apoi infectează din nou când fișierul este închis. Când infectează fișierele de pe dischete, verifică dacă protecția la scriere este activată. Dacă este setată protecția, virusul nu va încerca să infecteze fișierele de pe el. Conține șirul „PLAGUE”
Protecția la scriere poate fi instalată pe o dischetă de orice dimensiune - 3,5 inchi și 5,25 inci. Cel mai simplu mod de a face acest lucru este pe dischete de 3,5 inchi. Trebuie doar să închideți orificiul mic din colțul dischetei cu un capac special din plastic, așa cum se arată în fig. 2.1. Îndepărtarea protecției la scriere este, de asemenea, ușoară: doar deschideți orificiul de protecție.
Orez. 2.1. Protecție la scriere pe o dischetă de 3,5 inchi
Pentru a proteja o dischetă de 5,25” împotriva scrisului, trebuie să sigilați fanta din plicul pentru dischetă (Fig. 2.2). Pentru a face acest lucru, utilizați o mică bucată dreptunghiulară de hârtie adezivă. De obicei, o astfel de hârtie este vândută împreună cu dischetele. În cazuri extreme, puteți folosi banda electrică obișnuită. Puteți elimina protecția la scriere eliminând bucata de hârtie pe care ați lipit-o.
De multe ori este foarte dificil să eliminați și să instalați protecție pe o dischetă de 5,25”, mai devreme sau mai târziu va deveni plictisitor și virusul va putea pătrunde în dischetă. Prin urmare, dacă este posibil, renunțați la dischetele de 5,25" și înlocuiți-le cu dischetele mai convenabile de 3,5".
Orez. 2.2. Protecție la scriere pe o dischetă de 5,25 inchi
Selectați ordinea corectă de pornire pentru computerul dvs
Sistemul de operare poate fi încărcat fie de pe un hard disk, fie de pe o dischetă. În mod normal, computerul pornește de pe hard disk, dar dacă o dischetă este introdusă în unitatea A: (în mod accidental sau intenționat) atunci când computerul este pornit sau repornit, sistemul de operare va porni de pe acesta. Dacă o dischetă este infectată cu un virus de boot, aceasta va prelua controlul și va încerca imediat să infecteze hard diskul computerului.
Majoritatea computerelor vă permit să specificați prioritatea în care ar trebui să fie încărcat sistemul de operare. Această ordine este setată folosind programul de configurare BIOS. Pentru mai multe informații despre programul de configurare BIOS, consultați secțiunea „Restaurarea sistemului de fișiere”.
Pentru a vă proteja computerul de infectarea accidentală cu un virus de pornire, specificați că sistemul de operare trebuie încărcat mai întâi de pe unitatea C: și numai dacă eșuează, de pe unitatea A:.
Dacă trebuie să porniți computerul de pe o dischetă, asigurați-vă că nu conține viruși. Pentru a face acest lucru, mai întâi verificați-l cu mai multe programe antivirus, cum ar fi Doctor Web și Aidstest.
Cel mai bine este să pregătiți o dischetă de sistem în avans și, pentru a nu fi deteriorată accidental, setați protecția la scriere pe aceasta. Pe o dischetă de sistem, este util să scrieți programe pentru diagnosticarea unui computer - programe antivirus, programe pentru verificarea integrității sistemului de fișiere și a sănătății hardware-ului computerului. Cum să creați o dischetă de sistem, am descris în secțiunea „Crearea unei dischete de sistem”.
Măsuri nepopulare
În organizații, măsurile stricte de protecție pot fi foarte eficiente, legate de deconectarea canalelor posibililor viruși de la computere. Acest lucru se aplică în primul rând unităților de dischete. Unitățile pot fi dezactivate fizic și eliminate de pe computer sau pot fi dezactivate numai în memoria CMOS, iar programul de configurare a BIOS trebuie protejat cu parolă.
În mod ideal, toate unitățile de disc, unitățile CD-ROM, modemurile, porturile seriale și paralele și adaptoarele de rețea ar trebui să fie deconectate de la computer. Desigur, acest lucru este nerealist, dar nu ar trebui să renunți complet la o astfel de idee.
Backup
Este foarte important să organizați o copie de rezervă a informațiilor stocate în computer. În funcție de mijloacele pe care le aveți la dispoziție, puteți efectua o copie completă a hard disk-urilor computerului dvs. sau doar copiați cele mai importante informații care nu pot fi restaurate în niciun alt mod.
Pentru backup, se folosesc de obicei benzi magnetice. Înregistrarea pe ele este efectuată de casetofone digitale speciale, numite streamere. Volumul casetelor magnetice variază de la 200 MB la 4 GB. Recent, au devenit disponibile dispozitive de stocare pe disc magneto-optice. În ceea ce privește fiabilitatea și ușurința în utilizare, acestea sunt semnificativ superioare benzii magnetice. Volumul discurilor magneto-optice variază foarte mult și variază de la zeci de megaocteți la câțiva gigaocteți.
Dacă nu aveți la dispoziție o unitate de bandă sau un disc magneto-optic, în multe cazuri simple dischete vor fi suficiente. Desigur, scrierea pe dischete este cea mai proastă metodă de backup. În primul rând, dischetele sunt foarte mici - puțin mai mult de un megaoctet. În al doilea rând, dischetele sunt foarte nesigure. Uneori nu este posibil să citiți informațiile înregistrate anterior de la ei.
O singură rezervă nu este suficientă. Trebuie să aveți mai multe copii de rezervă. Iată un mic exemplu. Faceți o altă copie și brusc apare o pană de curent sau un atac de virus. Calculatorul se blochează, datele înregistrate în computer și copia acesteia sunt corupte
Când faceți backup, trebuie să fiți extrem de atenți. Înainte de a copia, verificați întotdeauna integritatea informațiilor copiate. Efectuați scanări de viruși și scanări ale sistemului de fișiere. Pentru a face acest lucru, utilizați cele mai recente versiuni de antivirusuri și programe precum ScanDisk. Dacă nu respectați această regulă, toate copiile de rezervă vor fi mai devreme sau mai târziu corupte.
În cazuri deosebit de critice, efectuați copierea ciclică a datelor. De exemplu, actualizați o copie în fiecare zi, a doua în fiecare săptămână, a treia în fiecare lună.
Arhivarea fișierelor
Dacă dischetele obișnuite sunt folosite pentru backup, atunci înainte de a scrie fișiere pe ele, acestea ar trebui să fie comprimate cu un fel de program de arhivare. Programele de arhivare vă permit să reduceți cantitatea de spațiu pe disc ocupată de fișiere. Face acest lucru eliminând redundanța informațiilor stocate în fișierele comprimate.
Fișierele comprimate pot ocupa mult mai puțin spațiu pe disc decât cele originale. Deci, fișierele text pregătite, de exemplu, în procesorul de text Microsoft Word pentru Windows, sunt de obicei reduse la jumătate. Desigur, este imposibil să lucrezi cu un astfel de fișier. Înainte de lucru, acesta trebuie restaurat folosind același program de arhivare.
În prezent, cele mai populare arhivare sunt ARJ, PKZIP, RAR. Toate îndeplinesc aproximativ aceleași funcții și pot fi folosite pentru a crea copii de rezervă ale documentelor.
Mai multe detalii despre arhivarea datelor sunt discutate în al zecelea volum al seriei System Programmer's Library, care se numește IBM PC/AT, MS-DOS și Windows. Intrebari si raspunsuri". Deocamdată, vom oferi doar un exemplu de utilizare a arhivatorului ARJ pentru a pregăti copii de siguranță ale fișierelor. Formatul pentru apelarea arhivatorului ARJ este destul de complicat:
ARJ<команда> [-<ключ> [-<ключ>...]]
<имя архива>
[<имена файлов>...]
Primul parametru este comanda - determină modul de funcționare al arhivatorului:
|
Mod de operare arhivator |
|
|
Adăugarea de noi fișiere în arhivă |
|
|
Ștergerea fișierelor dintr-o arhivă |
|
|
Extragerea fișierelor dintr-o arhivă |
|
|
Vizualizarea conținutului unei arhive |
|
|
Transferarea fișierelor în arhivă. Fișierele sunt scrise în arhivă și apoi fișierele originale sunt eliminate de pe disc |
|
|
Restaurarea fișierelor împreună cu directorul și structura subdirectoarelor în care se aflau aceste fișiere în timpul copiei de rezervă |
|
|
Restaurarea fișierelor de arhivă. Structura directoarelor și subdirectoarelor nu este restaurată, toate fișierele din arhivă sunt plasate într-un singur director |
|
|
Actualizați fișierele arhivate. Doar fișierele modificate și noi sunt scrise în arhivă. Fișierele care rămân neschimbate nu sunt arhivate din nou. Acest lucru economisește mult timp |
Una dintre comenzile de mai sus poate fi urmată de unul sau mai mulți parametri suplimentari opționali. cheie. Parametrii suplimentari trebuie separați printr-un simbol „-”. Iată un tabel cu cei mai importanți parametri suplimentari și scopul lor:
|
Parametru suplimentar |
Scop |
|
Protejarea arhivei create cu o parolă |
|
|
Folosit cu comenzile „a” sau „m” pentru a specifica faptul că arhiva trebuie să includă fișiere din directorul curent și toate subdirectoarele acestuia |
|
|
Crearea și restaurarea arhivelor cu mai multe volume aflate pe mai multe dischete. Fiecare dischetă conține un volum de arhivă (fișier). Există mai multe modificări la opțiunea -v: VV - emit un semnal sonor între procesarea volumelor individuale de arhivă; VA - determină automat cantitatea de spațiu liber pe o dischetă (dimensiunea următorului volum de arhivă); Vnnnnn - dimensiunea volumelor individuale de arhivă, de exemplu V20000 - creați o arhivă din volume de 20 KB; V360, V720, V1200, V1440 - creați volume cu dimensiune fixă de 360 KB, 720 KB, 1,2 MB, 1,44 MB |
|
|
Restaurați fișierele din arhiva deteriorată. Utilizați această opțiune dacă restaurarea fișierelor dintr-o arhivă a fost întreruptă de un mesaj de la arhivator despre încălcări ale structurii fișierului de arhivă |
|
|
X |
|
|
Arhivatorul nu va cere utilizatorului permisiunea de a efectua diverse acțiuni, de exemplu, pentru a crea un fișier nou într-o arhivă cu mai multe volume, pentru a crea directoare |
Opțiunile opționale sunt urmate de numele fișierului arhivă, urmat de o listă de nume de fișiere de extras, adăugat sau eliminat. Când specificați numele acestor fișiere, puteți utiliza caracterele „?” Și "*". Dacă nu specificați lista file_names, atunci toate fișierele aflate în directorul sau arhiva curentă vor fi luate în considerare.
Programele de arhivare sunt foarte convenabile pentru a crea copii de rezervă pe dischete. Dacă fișierul de arhivă nu se potrivește pe o singură dischetă, arhivatorul vă permite să creați o arhivă cu mai multe volume constând din mai multe fișiere. Pentru a face acest lucru, specificați parametrul suplimentar V. Fișierele separate ale unei arhive cu mai multe volume pot fi scrise pe mai multe dischete.
Următoarea comandă creează o arhivă cu mai multe volume, din toate fișierele aflate în directorul curent și toate subdirectoarele acestuia, cu excepția fișierelor cu numele .tmp sau extensia .bak. Fișierele de arhivă cu mai multe volume vor fi puțin mai mari decât 1,44 MB. Le puteți scrie pe dischete de 3 inchi.
ARJ A -R -X*.BAK -XTMP.* -V1440 !Reduceți
Fișierele arhivei create vor avea numele! COLLAPS și diverse extensii:
Prăbușire.ARJ
!Răstrânge.A01
!Răstrânge.A02
!Răstrânge.A03
....
Puteți restaura fișierele înregistrate în această arhivă cu mai multe volume fie prin copierea lor mai întâi pe hard disk-ul computerului, fie direct de pe dischete. De exemplu, pentru a restaura de pe dischete, utilizați următoarea comandă:
ARJ X -V A:\!RETRACTĂ
După ce fișierul de arhivă este restaurat, utilizatorului i se va solicita să proceseze următorul fișier de arhivă. Introduceți următoarea dischetă în unitate și apăsați butonul
Copiere de rezervă a documentelor în Windows 95
Sistemul de operare Windows 95 oferă o modalitate convenabilă de a face copii de rezervă pentru documente individuale și directoare întregi pe dischete. Pentru a face acest lucru, deschideți pictograma My Computer și mergeți la directorul din care doriți să scrieți fișiere pe dischete.
Apoi mutați cursorul mouse-ului peste pictograma fișierului sau directorului de copiat și apăsați butonul din dreapta al mouse-ului. Pe ecran va apărea un mic meniu.
Orez. 2.3. Scrierea directorului Bibliotecă pe dischete
Selectați linia Trimitere către din acest meniu, apoi în meniul temporar care se deschide, specificați unitatea pe care va avea loc copia. În Figura 2.3, am arătat cum să copiați directorul Bibliotecă pe dischete de 3,5 inchi.
După ce specificați unitatea, va începe procesul de copiere. Dacă o dischetă nu este suficientă pentru a copia toate fișierele din director, sistemul de operare vă va cere să introduceți următoarea dischetă.
Din păcate, metoda de descărcare pe care am demonstrat-o nu vă permite să copiați fișiere pe dischete care sunt mai mari decât dimensiunea dischetei în sine. Prin urmare, documentele foarte mari nu pot fi copiate în acest mod.
Verificați dacă există viruși
Pentru a verifica dacă există programe noi pe care le scrieți pe computer, trebuie să utilizați cele mai recente programe antivirus polyphage. Ei vor putea detecta orice viruși cunoscuți la momentul creării programului antivirus. Este de dorit ca antivirusurile pe care le utilizați să efectueze o analiză euristică a programelor. Poate că acest lucru ne va permite să detectăm viruși noi, încă necunoscuti.
Popularitatea programelor antivirus Aidstest și Doctor Web este atât de mare încât sunt instalate pe aproape fiecare computer. Prin urmare, acum vă vom scana computerul cu aceste programe și vom vedea dacă conține viruși.
Dacă nu aveți cele mai recente versiuni de antivirus, utilizați programele pe care le aveți. Deși o astfel de scanare va fi incompletă, va detecta totuși un număr mare de viruși.
Scanarea pentru viruși pe hard diskul computerului dvs
Mai întâi, să verificăm toate hard disk-urile computerului cu programul Aidstest. Introduceți următoarea comandă la promptul DOS.
Acordați o atenție deosebită mesajelor afișate de program în timpul unei scanări a computerului. Dacă este găsit un virus, Aidstest vă va anunța.
Mulți viruși pe care Aidstest nu îi detectează pot fi capturați de Doctor Web. În plus, Doctor Web vă permite să efectuați analize euristice ale programelor și sectoarelor de boot. Prin urmare, repetați verificarea utilizând Doctor Web.
DRWEB * /CL /HI /AR /HA1 /RV /UP
Antivirusul Doctor Web va scana toate hard disk-urile computerului, în timp ce va scana pentru viruși nu numai direct în fișierele executabile, ci și în fișierele de arhivă, precum și în fișierele executabile comprimate. Dacă sunt detectați viruși, programul va afișa un mesaj corespunzător pe ecran.
Toate exemplele din această secțiune scanează doar viruși, niciunul dintre virușii detectați nu va fi șters. Pentru a face acest lucru, trebuie să rulați programul antivirus încă o dată, pornind de pe discheta sistemului.
Scanarea pentru viruși pe dischete
Toate dischetele noi, precum și dischetele pe care le-ați dat cuiva, trebuie verificate pentru infecția cu virus. Pentru a face acest lucru, utilizați antivirusurile polifagi Aidstest și Doctor Web. Apelați secvențial mai întâi unul și apoi un alt program. Următorul exemplu arată cum se testează o dischetă introdusă în unitatea A:.
AIDSTEST A: /B
DRWEB A: /CL /AR /HA1 /UP /NM /OF
Viruși în fișierele de arhivă
Pentru a crește spațiul liber pe hard disk și pe dischete, mulți utilizatori arhivează fișierele rar utilizate. Pentru aceasta se pot folosi programe speciale de arhivare care reduc dimensiunea fișierelor prin eliminarea redundanței datelor înregistrate în fișier. Când utilizatorul are nevoie din nou de un fișier din arhivă, el folosește din nou programul de arhivare.
Fișierele din arhivă sunt stocate într-o formă comprimată, ceea ce face imposibilă căutarea unui virus după semnăturile lor. Prin urmare, dacă ați arhivat un program infectat, acesta poate rămâne invizibil pentru mulți antiviruși.
Unele programe antivirus, cum ar fi Doctor Web, vă permit să scanați fișiere stocate în arhive. Scanând arhivele, Doctor Web restaurează temporar fișierele stocate în acestea și le scanează secvenţial.
Dacă găsiți viruși pe computer, asigurați-vă că verificați toate fișierele de arhivă, chiar dacă programul antivirus nu știe cum să lucreze cu arhivele. Restaurați singur fișierele din toate arhivele de pe disc și apoi verificați-le cu programul antivirus
De obicei, atunci când mai multe persoane lucrează pe același computer, folosesc mijloace diferite de diferențiere a accesului la hard disk. De exemplu, Diskreet din pachetul Norton Utilities vă permite să creați mai multe unități logice. Fiecare utilizator poate avea acces doar la unele discuri, restul îi va fi complet inaccesibil.
Virusul ArjVirus
Virus non-rezident nepericulos. Caută în directorul curent și subdirectoarele acestuia fișierele de arhivă create de arhivatorul ARJ. Virusul distinge fișierele de arhivă numai prin extensia lor - ARJ.
Dacă este detectat un fișier de arhivă, virusul creează un fișier cu un nume aleatoriu format din patru caractere de la „A” la „V”, cu extensie COM. Virusul scrie 5 KB din codul său în acest fișier și la sfârșit îl adaugă cu un număr arbitrar de octeți.
Virusul apelează apoi programul de arhivare ARJ, crezând că acesta se află într-unul dintre directoarele enumerate în variabila PATH. Pentru a face acest lucru, utilizați procesorul de comenzi:
C:\COMMAND.COM /C ARJ A
Parametrul ArjFile specifică numele fișierului arhivă găsit de virus. Parametrul ComFile conține numele fișierului executabil de virus nou creat. Această comandă adaugă un nou fișier de virus executabil la fișierul arhivă detectat de virus. Fișierul original de virus este apoi șters.
Pentru a împiedica utilizatorul să vadă pe ecran informații care sunt de obicei afișate de programul de arhivare ARJ, virusul dezactivează temporar toate ieșirile pe ecranul monitorului.
Ideea principală a virusului este că un utilizator care a restaurat fișiere dintr-o arhivă infectată va găsi în ea un fișier executabil necunoscut și îl va rula din curiozitate.
Este necesar să scanați viruși pe toate discurile. Cel mai bine este ca acest lucru să fie făcut de un utilizator care are acces la toate discurile de pe computer. În caz contrar, fiecare utilizator va trebui să verifice discurile disponibile pentru el. Dacă vreunul dintre utilizatori descoperă că există un virus pe disc accesibil lui, el trebuie să informeze toți ceilalți utilizatori ai computerului despre acesta.
Dacă găsești un virus
Cea mai mare valoare sunt datele dvs. stocate în computer. Acestea pot fi documente text, fișiere de calcul, baze de date, coduri sursă de programe etc. Costul lor poate fi de multe ori mai mare decât costul computerului în sine și al software-ului instalat în acesta.
Orice software distrus de viruși poate fi restaurat din distribuții sau copii de rezervă. Dar cu date, situația este mult mai gravă. Dacă datele nu sunt salvate permanent, acestea se pot pierde iremediabil.
Prin urmare, după ce ați descoperit un virus, primul lucru de făcut este să reporniți de pe o dischetă goală și să vă copiați datele de pe hard disk-ul computerului pe dischete, benzi magnetice sau orice alte dispozitive de stocare a informațiilor. Abia după aceea poți începe să tratezi computerul.
Dacă este detectat un virus, este posibil să fi distrus deja informațiile stocate pe computer. Distrugerea poate fi de altă natură. Poate că fișierele de date vor fi complet distruse și nici nu le veți putea citi, sau poate că vor fi modificate ușor și nu veți putea observa imediat.
Virus Rogue.1208
Virus rezident periculos. Distruge fișierele cu extensia DBF scriind în ele primul octet „R” și efectuând operația logică EXCLUSIVE SAU cu numărul 13 pe restul conținutului fișierului, până la primul caracter, care are codul 13. Distruge fișiere CHKLIST ???. Într-o lună în care suma valorii anului și valoarea lunii este 2000, virusul scoate textul: „Acum ai un virus adevărat! Eu "sunt necinstitul...!"
Încercați să aflați ce fel de virus a intrat în computerul dvs. și ce face acesta. Puteți obține aceste informații din definițiile virușilor furnizate împreună cu software-ul dumneavoastră antivirus. Practic, toate programele antivirus au astfel de liste. Ele pot fi implementate ca simple fișiere text sau ca baze de date speciale hipertext.
Dacă găsiți un virus pe computer, este posibil să se fi răspândit deja pe alte computere din organizația dvs. Acestea trebuie verificate fără greșeală. Mulți utilizatori de astăzi au computere acasă. De asemenea, se pot infecta.
Este necesar să verificați toate dischetele folosite pentru a lucra cu computerele infectate. Acestea pot fi infectate cu viruși de boot și fișiere. Virusul poate persista pe ele și apoi poate reinfecta computerul. Dischetele infectate cu viruși trebuie să fie vindecate sau formatate.
Cum să repari un computer
După ce ați încercat să vă copiați toate datele (documente, texte sursă, fișiere baze de date) de pe computer, este timpul să începeți să dezinfectați computerul și să eliminați virușii care l-au infectat. Există cel puțin trei moduri prin care puteți elimina virușii de pe computer.
Cel mai simplu dintre ele este să schimbi complet tot software-ul instalat pe computer. Va trebui să reinstalați sistemul de operare și toate celelalte programe din nou. Dacă un virus a infectat înregistrarea de pornire, atunci aceasta poate fi actualizată prin formatarea unităților logice ale computerului folosind comanda FORMAT. Cu toate acestea, nici măcar formatarea nu va elimina virusul din înregistrarea principală de pornire a hard diskului. Pentru a face acest lucru, utilizați comanda FDISK cu opțiunea /MBR nedocumentată, apoi recreați partițiile și unitățile logice de pe hard disk.
Operațiuni precum formatarea unei unități logice, ștergerea unei partiții sau a unei unități logice cu comanda FDISK distrug complet toate fișierele de pe unitatea dată. Prin urmare, nu este nevoie să ștergeți mai întâi fișierele.
După ce recreați partițiile și unitățile logice de pe hard disk și le formatați, puteți continua să instalați sistemul de operare și alte programe. Instalarea completă a software-ului de calculator durează mult timp. Pentru a accelera acest proces, dacă este posibil, instalați produse software nu de pe dischete, ci de pe CD-uri.
Puteți facilita foarte mult recuperarea computerului dvs. dacă faceți în prealabil o copie de rezervă a tuturor informațiilor înregistrate pe computer. În acest caz, după crearea și formatarea unităților logice, puteți restaura software-ul din aceste copii de rezervă. Modul în care se întâmplă această recuperare depinde de instrumentele pe care le utilizați pentru a vă crea copii de rezervă.
A doua posibilitate implică eliminarea manuală a virușilor și recuperarea sectoarelor și fișierelor de boot deteriorate. Această metodă este cea mai complexă și necesită o calificare înaltă. Vom vorbi despre restaurarea manuală a computerului dvs. puțin mai târziu, în capitolul „Restaurarea manuală a sistemului de operare”.
Și, în sfârșit, ultima posibilitate presupune utilizarea unor programe speciale antivirus. Programele antivirus în sine vor detecta și elimina virușii, restabilind performanța computerului. Din păcate, o astfel de recuperare nu este întotdeauna posibilă, deoarece o categorie mare de viruși deteriorează ireversibil programele și datele stocate pe discurile computerelor. În acest caz, trebuie să reinstalați software-ul.
Acum vom lua în considerare foarte pe scurt tratamentul unui computer cu programe polifagi antivirus Aidstest și Doctor Web. Pentru mai multe informații despre aceste și alte programe care vă permit să eliminați virușii de pe computer, citiți următorul capitol, care se numește „Cel mai bun instrument”.
Tratarea unui computer cu programe antivirus
O serie de viruși rezidenți, care se află în memoria computerului, împiedică dezinfectarea cu succes a programelor infectate și a sectoarelor de pornire. Prin urmare, este recomandabil să efectuați dezinfecția numai după pornirea computerului de pe o dischetă de sistem fără viruși. Pe această dischetă, trebuie mai întâi să scrieți programe antivirus polifagi, cum ar fi Aidstest și Doctor Web.
Programul Aidstest vă permite să eliminați virușii pe care îi detectează. Pentru a face acest lucru, rulați Aidstest cu opțiunea /F:
Unii viruși nu pot fi detectați și eliminați de Aidstest, așa că trebuie să fie utilizați împreună cu antivirusul Doctor Web:
DRWEB * /CL /UP /CU
Programele Aidstest și Doctor Web pot trata nu numai hard disk-uri, ci și dischete. Pentru a face acest lucru, în loc de parametrul *, care înseamnă lucrul cu toate hard disk-urile computerului, trebuie să specificați numele unității:
AIDSTEST A: /F
DRWEB A: /CL /UP /CU
Scanare
Protecție antivirus.
Programele antivirus au fost și rămân principalele mijloace de combatere a virușilor. Puteți utiliza programe antivirus (antivirusuri) fără a avea o idee despre cum funcționează. Cu toate acestea, fără a înțelege principiile designului antivirus, a cunoaște tipurile de viruși, precum și modul în care aceștia se răspândesc, este imposibil să se organizeze o protecție fiabilă a computerului. Drept urmare, un computer poate fi infectat chiar dacă pe el sunt instalați antivirusuri.
Astăzi, sunt utilizate mai multe metode fundamentale pentru detectarea și protejarea împotriva virușilor:
scanare;
analiza euristica;
utilizarea monitoarelor antivirus;
detectarea modificărilor;
utilizarea antivirusurilor încorporate în BIOS-ul computerului.
În plus, aproape toate programele antivirus oferă recuperarea automată a programelor infectate și a sectoarelor de boot. Desigur, dacă se poate.
Cea mai simplă tehnică de scanare a virușilor este ca programul antivirus să scaneze secvenţial fișierele pe care le verifică pentru semnăturile virușilor cunoscuți. O semnătură este o secvență unică de octeți care aparține unui virus și nu se găsește în alte programe.
Scanerele antivirus pot găsi doar viruși cunoscuți și studiati pentru care a fost determinată o semnătură. Utilizarea unor programe simple de scanare nu vă protejează computerul de pătrunderea de noi viruși.
Virușii criptați și polimorfi care își pot schimba complet codul atunci când infectează un nou program sau un sector de boot nu pot fi identificați. Prin urmare, scanerele antivirus simple nu pot detecta viruși polimorfi.
Analiza euristică vă permite să detectați viruși necunoscuți anterior și pentru aceasta nu trebuie să colectați mai întâi date despre sistemul de fișiere, așa cum este necesar, de exemplu, prin metoda de detectare a modificărilor discutată mai jos.
Programele antivirus care implementează metoda analizei euristice scanează programele și sectoarele de pornire ale discurilor și dischetelor, încercând să detecteze codul specific virusului în acestea. Analizatorul euristic poate detecta, de exemplu, că programul testat instalează un modul rezident în memorie sau scrie date în fișierul executabil al programului.
Aproape toate programele antivirus moderne implementează propriile metode de analiză euristică. Pe fig. 1, am arătat un astfel de program - scanerul McAffee VirusScan, lansat manual pentru a scana discul pentru antivirus.
Când un antivirus detectează un fișier infectat, de obicei afișează un mesaj pe ecranul monitorului și face o intrare în propriul său jurnal sau în jurnalul de sistem. În funcție de setări, antivirusul poate trimite și administratorului de rețea un mesaj despre un virus detectat.
Dacă este posibil, antivirusul dezinfectează fișierul restabilindu-i conținutul. În caz contrar, este oferită o singură opțiune - ștergeți fișierul infectat și apoi restaurați-l dintr-o copie de rezervă (dacă aveți una, desigur).
Acest articol este despre software-ul antivirus. Pentru aplicarea euristicii în evaluarea utilizabilității, vezi evaluarea euristică.
Analiza euristica este o tehnică folosită de multe programe antivirus pentru computer concepute pentru a detecta viruși informatici necunoscuți anterior, precum și noi variante de viruși deja în „sălbăticie”.
Analiza euristică este o analiză bazată pe experți care determină susceptibilitatea unui sistem la o anumită amenințare/risc folosind diferite reguli de decizie sau metode de ponderare. Analiza multicriterială (MCA) este unul dintre mijloacele de ponderare. Această metodă este diferită de analiza statistică, care se bazează pe datele/statisticile disponibile.
Operațiune
Majoritatea programelor antivirus care utilizează analiza euristică a execuției acestei caracteristici prin executarea comenzilor de programare dintr-un program sau script discutabil într-o mașină virtuală specializată, permițând astfel programului antivirus să simuleze intern ce s-ar întâmpla dacă un fișier suspect ar fi fi executat în timp ce se stochează codul suspect.izolat de lumea reală a mașinii. Apoi analizează comenzile pe măsură ce sunt executate, monitorizează activitățile comune ale virusului, cum ar fi replicarea, suprascrierile de fișiere și încearcă să ascundă existența unui fișier suspect. Dacă sunt detectate una sau mai multe acțiuni asemănătoare unui virus, fișierul suspect este marcat ca un potențial virus și utilizatorul este alertat.
O altă tehnică obișnuită de analiză euristică pentru un program antivirus este decompilarea unui program suspect și apoi analiza codului mașinii conținut în acesta. Codul sursă al unui fișier suspect este comparat cu codul sursă al virușilor cunoscuți și al activităților asemănătoare virușilor. Dacă un anumit procent din codul sursă se potrivește cu cel al unui virus cunoscut sau al unei activități asemănătoare unui virus, fișierul este semnalat și utilizatorul este alertat.
eficienţă
Analiza euristică poate detecta mulți viruși necunoscuți anterior și noi variante ale virușilor actuali. Cu toate acestea, analiza euristică funcționează pe baza experienței (comparând fișierul suspect cu codul și funcția virușilor cunoscuți). Aceasta înseamnă că este mai probabil să pierdeți viruși noi care conțin metode de lucru necunoscute anterior, care nu se găsesc într-unul dintre virușii cunoscuți. Prin urmare, performanța este destul de scăzută în ceea ce privește acuratețea și fals pozitive.
Pe măsură ce noi viruși sunt descoperiți de către cercetătorii umani, informații despre aceștia sunt adăugate la analiza euristică a motorului, oferind astfel motorului un mijloc de a detecta noi viruși.
Ce este analiza euristică?
Analiza euristică este o metodă de detectare a virușilor prin analiza codului proprietăților suspecte.
Metodele tradiționale de detectare a virușilor implică detectarea malware-ului prin compararea codului dintr-un program cu cel al unor tipuri cunoscute de viruși care au fost deja întâlniți, analizați și înregistrate într-o bază de date - cunoscută sub numele de detectare a semnăturii.
Deși utilă și încă în uz, metoda de detectare a semnăturilor a devenit și mai limitată, datorită dezvoltării de noi amenințări care au explodat la începutul secolului și continuă să apară tot timpul.
Pentru a rezolva această problemă, un model euristic a fost conceput special pentru a identifica semnele suspecte care pot fi găsite în viruși necunoscuți, noi și versiuni modificate ale amenințărilor existente, precum și mostre de malware cunoscute.
Criminalii cibernetici dezvoltă în mod constant noi amenințări, iar analiza euristică este una dintre puținele metode folosite pentru a combate volumul imens al acestor noi amenințări văzut zilnic.
Analiza euristică este, de asemenea, una dintre puținele metode capabile să lupte împotriva virușilor polimorfi - un termen pentru cod rău intenționat care se schimbă și se adaptează constant. Analiza euristică a inclus soluții avansate de securitate oferite de companii precum Kaspersky Labs pentru a detecta noi amenințări înainte ca acestea să provoace vătămări, fără a fi nevoie de o semnătură specifică.
Ce funcționează analiza euristică?
Analiza euristică permite utilizarea multor tehnici diferite. O tehnică euristică, cunoscută sub numele de analiză euristică statică, implică decompilarea unui program suspect și examinarea codului sursă al acestuia. Acest cod este comparat cu virușii care sunt deja cunoscuți și găsiți în bazele de date euristice. Dacă orice procent din codul sursă se potrivește cu o intrare din baza de date euristică, codul este marcat ca o posibilă amenințare.
O altă tehnică este cunoscută sub numele de euristică dinamică. Când oamenii de știință doresc să analizeze ceva suspect fără a pune oamenii în pericol, ei păstrează substanțele într-un mediu controlat, cum ar fi un laborator și teste securizate. Acest proces este similar pentru analiza euristică - dar și în lumea virtuală.
Izolează un program suspect sau o bucată de cod în interiorul unei mașini virtuale specializate - sau sandbox - și oferă programului antivirus șansa de a verifica codul și de a simula ce s-ar întâmpla dacă fișierul suspect ar fi permis să ruleze. Acesta examinează fiecare comandă în timp ce funcționează și caută orice comportament suspect, cum ar fi auto-replicarea, suprascrierea fișierelor și alte acțiuni care sunt comune virușilor. Probleme potențiale
Analiza euristică este ideală pentru detectarea noilor amenințări, dar pentru a fi eficiente euristicile trebuie reglate cu atenție pentru a oferi cea mai bună detectare posibilă a noilor amenințări, dar fără a genera fals pozitive pe cod complet inocent.