Detekční metodou je heuristická analýza. Základy antivirových programů. Které heuristické analýzy fungují

Antivirové programy jsou programy, jejichž hlavním úkolem je ochrana před viry, přesněji řečeno před škodlivými programy.

Teoreticky nejsou metody a zásady ochrany příliš důležité, hlavní je, že jsou zaměřeny na boj proti škodlivým programům. V praxi je však situace poněkud odlišná: téměř jakýkoli antivirový program kombinuje v různých poměrech všechny technologie a metody ochrany před viry, které byly dosud vytvořeny.

Ze všech metod antivirové ochrany lze rozlišit dvě hlavní skupiny:

• Podpisové metody - přesné metody detekce virů založené na porovnání souboru se známými vzorky virů
• Heuristické metody - přibližné detekční metody, které umožňují předpokládat s určitou pravděpodobností, že je soubor infikován

Analýza podpisu

Slovo podpis je v tomto případě sledovacím papírem v anglickém podpisu, což znamená „podpis“ nebo v přeneseném smyslu „charakteristický rys, něco identifikačního“. Ve skutečnosti to říká všechno. Analýza podpisu spočívá v identifikaci charakteristických identifikačních znaků každého viru a skenování virů porovnáním souborů s identifikovanými funkcemi.

Virový podpis bude se uvažovat o sadě znaků, které umožňují jednoznačně identifikovat přítomnost viru v souboru (včetně případů, kdy je celý soubor virem). Antivirová databáze společně tvoří podpisy známých virů.

Problém identifikace podpisů zpravidla řeší lidé - odborníci v oblasti počítačové virologie, kteří jsou schopni extrahovat virový kód z kódu programu a formulovat jeho charakteristické rysy ve formě, která je pro vyhledávání nejvhodnější. Je pravidlem, protože v nejjednodušších případech lze použít speciální nástroje pro automatickou extrakci podpisu. Například v případě jednoduchých trojských koní nebo červů, které neinfikují jiné programy, ale jsou zcela škodlivými programy.

Téměř každá antivirová společnost má vlastní skupinu odborníků, kteří analyzují nové viry a přidávají nové podpisy do antivirové databáze. Z tohoto důvodu se antivirové databáze liší od jednoho antiviru k druhému. Mezi antivirovými společnostmi však existuje dohoda o výměně vzorků virů, což znamená, že se podpis nového viru dříve či později dostane do antivirových databází téměř všech antivirů. Nejlepší antivirus bude ten, pro který byl podpis nového viru vydán dříve než kdokoli jiný.

Jedna běžná mylná představa o podpisech je, že každý podpis odpovídá přesně jednomu viru nebo malwaru. Výsledkem je, že antivirová databáze s velkým počtem podpisů umožňuje detekovat více virů. Ve skutečnosti tomu tak není. K detekci rodiny podobných virů se velmi často používá jediný podpis, a proto již nelze předpokládat, že počet podpisů se rovná počtu detekovaných virů.

Poměr počtu podpisů k počtu známých virů pro každou antivirovou databázi se liší a může se dobře ukázat, že databáze s menším počtem podpisů ve skutečnosti obsahuje informace o větším počtu virů. Pokud si pamatujeme, že antivirové společnosti si vyměňují vzorky virů, můžeme s jistotou předpokládat, že antivirové databáze nejznámějších antivirů jsou rovnocenné.

Důležitou doplňkovou vlastností podpisů je přesná a zaručená definice typu viru. Tato vlastnost umožňuje zadat do databáze nejen samotné podpisy, ale také metody léčby viru. Li analýza podpisu pouze odpověděl na otázku, zda existuje virus, či nikoli, ale neodpověděl, o jaký virus se jednalo, léčba by samozřejmě nebyla možná - bylo by příliš velké riziko spáchat nesprávné kroky a místo léčby obdržíte další ztrátu informací.

Další důležitá, ale již negativní vlastnost - pro získání podpisu musíte mít vzorek viru. Proto, metoda podpisu je nevhodný pro ochranu před novými viry, protože dokud nebude virus analyzován odborníky, je nemožné vytvořit jeho podpis. Proto jsou všechny největší epidemie způsobeny novými viry. Obvykle trvá několik hodin od okamžiku, kdy se virus objeví na internetu, do vydání prvních podpisů, během nichž je virus schopen infikovat počítače téměř bez překážek. Téměř - protože výše popsané další ochrany a heuristické metody používané v antivirových programech pomáhají chránit před novými viry.

Heuristická analýza

Slovo heuristické pochází z řeckého slovesa najít. Podstatou heuristických metod je, že řešení problému je založeno na některých věrohodných předpokladech, a nikoli na důsledných závěrech z existujících faktů a premis. Jelikož taková definice zní poměrně komplikovaně a nepochopitelně, je snazší ji vysvětlit na příkladech různých heuristických metod.

Zatímco metoda podpisu je založena na extrakci charakteristických znaků viru a hledání těchto znaků ve skenovaných souborech, pak je heuristická analýza založena na (velmi pravděpodobném) předpokladu, že nové viry se často ukáží jako podobné některým z již známé. Tento předpoklad je odůvodněn přítomností podpisů pro detekci ne jednoho, ale několika virů v antivirových databázích. Na základě tohoto předpokladu je heuristickou metodou hledání souborů, které se úplně neshodují s podpisy známých virů.

Pozitivním účinkem použití této metody je schopnost detekovat nové viry ještě předtím, než jim byly přiděleny podpisy. Negativní stránky:

• Pravděpodobnost chybného určení přítomnosti viru v souboru, když je soubor ve skutečnosti čistý - takové události se nazývají falešné pozitivy
• Nemožnost léčby - jak kvůli možným falešným pozitivům, tak kvůli možnému nepřesnému určení typu viru může pokus o léčbu vést k větší ztrátě informací než samotný virus, což je nepřijatelné
• Nízká účinnost - proti skutečně inovativním virům, které způsobují největší epidemie, je tento typ heuristické analýzy málo užitečný

Hledání virů, které provádějí podezřelé akce

Jiný heuristický přístup předpokládá, že malware se snaží nějakým způsobem poškodit počítač. Metoda je založena na zvýraznění hlavních škodlivých akcí, jako například:

• Mazání souboru
• Napište do souboru
• Zápis do konkrétních oblastí systémového registru
• Otevření portu pro poslech
• Odposlech dat zadaných z klávesnice
• Poštovní dopisy
• Atd.

Je zřejmé, že provádění každé takové akce samostatně není důvodem k tomu, aby byl program považován za škodlivý. Pokud ale program postupně provádí několik takových akcí, například se sám zapisuje do spouštěcího klíče systémového registru, zachycuje data zadaná z klávesnice a s určitou frekvencí odesílá tato data na nějakou internetovou adresu, pak je tento program přinejmenším podezřelý. Heuristický analyzátor založený na tomto principu musí neustále sledovat akce prováděné programy.

Výhodou popsané metody je schopnost detekovat dříve neznámé škodlivé programy, i když nejsou příliš podobné těm již známým. Například nový škodlivý program může pomocí nové chyby zabezpečení proniknout do počítače, ale poté začne provádět již známé škodlivé akce. Takový program může heuristický analyzátor prvního typu vynechat, ale může ho dobře detekovat analyzátor druhého typu.

Negativní vlastnosti jsou stejné jako dříve:

• Falešné pozitivy
• Nemožnost léčby
• Nízká účinnost

Antivirový program vyhledává viry a škodlivé objekty na základě srovnání vyšetřovaného programu s jeho databází s popisy virů. Pokud je nalezena shoda, může antivirus vyléčit nalezený virus a pravidla a metody léčby jsou obvykle uloženy ve stejné databázi.

Tato databáze se však stává zranitelností antiviru - dokáže detekovat pouze viry popsané v této databázi. Heuristický analyzátor, speciální antivirový subsystém, který se pokouší detekovat nové typy virů, které nejsou popsány v databázi, může tento problém částečně odstranit. Kromě virů se heuristický analyzátor AVZ pokouší detekovat spyware, únosce a trojské koně.

Práce heuristického analyzátoru je založena na hledání vlastností charakteristických pro viry a spyware (fragmenty programového kódu, určité klíče registru, soubory a procesy). Heuristický analyzátor se navíc pokouší posoudit stupeň podobnosti vyšetřovaného objektu se známými viry.

Při hledání spywaru, RootKit a Hijacker, nejúčinnější heuristickou analýzou nejsou jednotlivé soubory na disku, ale celý systém jako celek. Analyzuje souhrn dat v registru, soubory na disku, procesy a knihovny v paměti, naslouchající porty TCP a UDP, aktivní služby a načtené ovladače.

Vlastností heuristické analýzy je poměrně vysoké procento chyb - heurista může hlásit detekci podezřelých objektů, ale tyto informace je třeba zkontrolovat odborníky-virology. Výsledkem skenování je objekt rozpoznán jako nebezpečný a je zahrnut do databází, nebo je zaznamenán falešný poplach a do algoritmů heuristického analyzátoru je zavedena korekce.

Většina antivirů (včetně AVZ) má schopnost upravit citlivost heuristického analyzátoru. V tomto případě vždy vznikne rozpor - čím vyšší je citlivost, tím vyšší je pravděpodobnost detekování neznámého škodlivého objektu heuristou. Ale se zvyšující se citlivostí se pravděpodobnost falešných poplachů zvyšuje, takže musíte hledat jakýsi „zlatý průměr“.

Heuristický analyzátor má několik úrovní citlivosti a dva speciální režimy:

blokování heuristického analyzátoru. V tomto případě je analyzátor zcela vypnutý. V AVZ je kromě úpravy úrovně citlivosti heuristického analyzátoru možné povolit a zakázat heuristickou analýzu systému;

„paranoidní“ režim - v tomto režimu je zapnuta maximální možná citlivost a varování jsou zobrazena při nejmenším podezření. Tento režim je přirozeně nepřijatelný kvůli velmi vysokému počtu falešných poplachů, ale je někdy užitečný.

Hlavní zprávy heuristického analyzátoru AVZ jsou uvedeny v následujícím seznamu:

"Název souboru \u003e\u003e\u003e podezření na název viru (stručná informace o objektu)„Podobná zpráva je vydána, když je detekován objekt, který je podle AVZ podobný známému škodlivému objektu. Data v závorkách umožňují vývojáři najít položku v antivirové databázi, která vedla k vydání této zprávy ;

"Název souboru \u003e\u003e\u003e Soubor PE s nestandardní příponou"- to znamená, že byl nalezen programový soubor, ale místo typické přípony EXE, DLL, SYS má jinou nestandardní příponu. To není nebezpečné, ale mnoho virů maskuje své soubory PE tím, že jim dává PIF, Přípony COM. Tato zpráva se zobrazuje na jakékoli heuristické úrovni pro soubory PE s příponami PIF, COM, pro zbytek - pouze na maximální heuristické úrovni;

"Název souboru \u003e\u003e\u003e Název souboru obsahuje více než 5 mezer"- mnoho mezer v názvu souboru je vzácných, ale mnoho virů používá mezery k maskování skutečné přípony a vytváří soubory s názvy jako" photo.jpeg .exe ";

"Název souboru \u003e\u003e\u003e Bylo zjištěno maskování rozšíření"- obdoba předchozí zprávy, ale vydána, pokud je v názvu nalezeno více než 15 mezer;

"Název souboru \u003e\u003e\u003e soubor nemá viditelné jméno"- vydáno pro soubory, které nemají název (tj. název souboru má tvar" .exe "nebo" .pif ");

"Název souboru procesu může pracovat se sítí"- zobrazí se u procesů, které používají knihovny, jako je wininet.dll, rasapi32.dll, ws2_32.dll - tj. systémové knihovny obsahující funkce pro práci se sítí nebo řízení procesu vytáčení a připojení. Tato kontrola se provádí pouze na maximum heuristická úroveň Skutečnost, že používáte síťové knihovny, přirozeně není známkou programového malwaru, ale stojí za to věnovat pozornost nepochopitelným procesům v tomto seznamu;

Po zprávě lze zobrazit číslo, které představuje stupeň nebezpečí v procentech. Zvláštní pozornost byste měli věnovat souborům, pro které je vydána úroveň závažnosti vyšší než 30.

Co je to heuristický analyzátor?

1. Heuristická metoda je na rozdíl od metody podpisu zaměřena na detekci nikoli podpisů škodlivého kódu, ale typických sekvencí operací, které umožňují s dostatečnou mírou pravděpodobnosti vyvodit závěr o povaze souboru. Výhodou heuristické analýzy je, že k práci nevyžaduje předkompilované databáze. Výsledkem je, že nové hrozby jsou rozpoznány dříve, než se o jejich aktivitě dozví analytici virů.
2. prosím, pokud zjistíte, napište mi
3. Heuristické skenování je antivirový program založený na podpisu a heuristice, jehož cílem je zlepšit schopnost skenerů používat podpisy a rozpoznávat upravené verze virů, pokud podpis neodpovídá 100% těla neznámého programu, ale podezřelý program ukazuje obecnější příznaky viru. Tato technologie se však v moderních programech používá velmi opatrně, protože může zvýšit počet falešných poplachů.
4. Heuristický analyzátor (heuristický) je antivirový modul, který analyzuje kód spustitelného souboru a určuje, zda je skenovaný objekt infikován.
   Během heuristické analýzy se standardní podpisy nepoužívají. Heurista se naopak rozhoduje na základě předem stanovených, někdy ne zcela jasných pravidel.

   Pro větší přehlednost lze tento přístup přirovnat k umělé inteligenci, která nezávisle provádí analýzu a rozhoduje. Tato analogie nicméně odráží podstatu jen částečně, protože heuristika se neví, jak se učit, a bohužel má nízkou účinnost. Podle antivirových odborníků nejsou ani ti nejmodernější analyzátoři schopni zastavit více než 30% škodlivých kódů. Dalším problémem jsou falešné poplachy, pokud je legitimní program identifikován jako infikovaný.

   Navzdory všem nedostatkům se v antivirových produktech stále používají heuristické metody. Faktem je, že kombinace různých přístupů může zlepšit celkovou účinnost skeneru. Dnes jsou heuristiky dodávány do produktů všech hlavních hráčů na trhu: Symantec, Kaspersky Lab, Panda, Trend Micro a McAfee.
   V procesu heuristické analýzy se kontroluje struktura souborů a jejich soulad s virovými vzory. Nejpopulárnější heuristickou technologií je kontrola obsahu souboru, zda neobsahuje úpravy již známých virových podpisů a jejich kombinací. To pomáhá detekovat hybridy a nové verze dříve známých virů bez další aktualizace antivirové databáze.
   Heuristická analýza se používá k detekci neznámých virů a v důsledku toho nevyžaduje léčbu.
   Tato technologie není stoprocentně schopna určit, zda je virus před ním, či nikoli, a stejně jako jakýkoli pravděpodobnostní algoritmus má i falešně pozitivní výsledky.

   Jakékoli dotazy - budou vyřešeny mnou, kontaktujte nás, pomůžeme, jak budeme moci

5. Heuristický analyzátor shrnuje trendy programového kódu pro požadavky na přerušení systému a extrapoluje úroveň možného malwaru. To poskytuje vyváženou ochranu operačního systému.
   No, trochu jsem vše vysvětlil, dobře ?;))
6. je to druh umělé inteligence. v reálném životě tato technologie není k dispozici, existují určité přibližné hodnoty, jako kdyby antivirus sám analyzoval program a rozhodl, zda se jedná o virus nebo ne

Můžete použít antivirový software, aniž byste věděli, jak funguje. V dnešní době však existuje spousta antivirových programů, takže budete muset zvolit něco tak či onak. Aby byla tato volba co nejrozumnější a nainstalované programy poskytovaly maximální stupeň ochrany před viry, je nutné prostudovat techniky používané těmito programy.

Existuje několik základních technik pro detekci a ochranu před viry. Antivirové programy mohou implementovat pouze určité techniky nebo jejich kombinace.

Snímání

Změnit detekci

Heuristická analýza

Rezidentní monitory

Očkovací programy

Hardwarová ochrana proti virům

Většina antivirových programů navíc poskytuje automatické obnovení infikovaných programů a zaváděcích sektorů.

Infikované objekty

V první kapitole jsme se již zabývali různými typy virů a jejich šířením. Než začneme hledat antivirové nástroje, vyjmenujme oblasti souborového systému počítače, které jsou infikovány viry a které je třeba zkontrolovat:

Spustitelné soubory programů, ovladačů

Hlavní spouštěcí záznam a spouštěcí sektory

Konfigurační soubory AUTOEXEC.BAT a CONFIG.SYS

Dokumenty ve formátu textového procesoru Microsoft Word pro Windows

Když se virus rezidentní v paměti stane aktivním, umístí svůj neustále běžící modul do paměti RAM počítače. Proto musí antivirové programy prohledávat paměť RAM. Protože viry mohou využívat více než standardní paměť, je vhodné zkontrolovat horní paměť. Například antivirový program Doctor Web prohledá prvních 1088 kB paměti RAM.

Snímání

Nejjednodušší metodou kontroly virů je to, že antivirový program postupně skenuje skenované soubory a hledá podpisy známých virů. Podpis je jedinečná posloupnost bajtů patřících viru, která nebyla nalezena v jiných programech.

Určení podpisu viru je obtížný úkol. Podpis by neměl být obsažen v normálních programech, které nejsou infikovány tímto virem. Jinak jsou možné falešné poplachy, pokud je virus detekován ve zcela normálním neinfikovaném programu.

Skenery samozřejmě nemusí ukládat podpisy všech známých virů. Mohou například ukládat pouze kontrolní součty podpisů.

Antivirové skenery, které mohou odstranit detekované viry, se obvykle nazývají polyfágy. Nejznámějším programem skenerů je Dmitry Lozinsky's Aidstest. Aidstest vyhledává viry na základě jejich podpisů. Proto detekuje pouze nejjednodušší polymorfní viry.

V první kapitole jsme hovořili o takzvaných šifrovacích a polymorfních virech. Polymorfní viry úplně změní svůj kód, když infikují nový program nebo bootovací sektor. Pokud vyberete dvě instance stejného polymorfního viru, pak se nemusí shodovat v žádném bajtu. V důsledku toho nelze u těchto virů určit sinaturu. Jednoduché antivirové skenery proto nemohou detekovat polymorfní viry.

Antivirové skenery dokážou detekovat pouze již známé viry, které byly dříve prostudovány a pro které byl určen podpis. Proto použití skenerů nechrání váš počítač před pronikáním nových virů.

Chcete-li efektivně využívat antivirové programy, které implementují metodu skenování, musíte je neustále aktualizovat nejnovějšími verzemi.

Heuristická analýza

Heuristická analýza je relativně novou technikou detekce virů. Umožňuje vám detekovat dříve neznámé viry, a proto nemusíte nejprve shromažďovat data o systému souborů, jak to vyžaduje metoda detekce změn.

Antivirové programy, které implementují heuristickou analytickou metodu, skenují programy a zaváděcí sektory disků a disket a snaží se v nich najít kód typický pro viry. Heuristický analyzátor může například zjistit, že kontrolovaný program obsahuje kód, který nainstaluje rezidentní modul do paměti.

Antivirový program Doctor Web, který je součástí sady DialogueScience, má výkonný heuristický analyzátor, který dokáže detekovat velké množství nových virů.

Pokud heuristický analyzátor uvádí, že souborový nebo spouštěcí sektor je pravděpodobně infikován virem, měli byste to brát velmi vážně. Je vhodné tyto soubory zkontrolovat pomocí nejnovějších verzí antivirových programů nebo je poslat k podrobné studii společnosti DialogueNauka JSC.

Balíček IBM AntiVirus obsahuje speciální modul pro detekci virů v zaváděcích sektorech. Tento modul využívá heuristickou analýzu technologie neuronové sítě čekající na patent, aby zjistil, zda je boot sektor infikován virem.

Zjišťování změn

Když virus infikuje počítač, nutně provede změny na pevném disku, například připojí svůj kód ke spustitelnému souboru, přidá volání virového programu do souboru AUTOEXEC.BAT, změní bootovací sektor a vytvoří doprovodného soubor.

Antivirové programy si mohou předem zapamatovat vlastnosti všech oblastí disku, které jsou napadeny virem, a poté je pravidelně kontrolovat (odtud také název auditorů programu). Pokud je nalezena změna, je možné, že počítač napadl virus.

Programy auditora obvykle ukládají do speciálních souborů obrázky hlavního spouštěcího záznamu, spouštěcí sektory logických disků, parametry všech sledovaných souborů a také informace o struktuře adresářů a počtech klastrů chybných disků. Lze zkontrolovat i další vlastnosti počítače - množství nainstalované RAM, počet disků připojených k počítači a jejich parametry.

Auditoři dokážou detekovat většinu virů, a to i těch, které dříve nebyly známy. Auditoři zpravidla nemohou detekovat viry, které infikují programové soubory, pouze když jsou kopírovány, protože neznají parametry souboru, které byly před kopírováním.

Mějte však na paměti, že ne všechny změny jsou způsobeny viry. Například spouštěcí záznam se může změnit při aktualizaci verze operačního systému a některé programy zapisují data do svého spustitelného souboru. Dávkové soubory se mění ještě častěji, například soubor AUTOEXEC.BAT se obvykle mění při instalaci nového softwaru.

Programy auditora nepomohou, ani když jste do počítače zapsali nový soubor infikovaný virem. Pokud však virus infikuje další programy, které již auditor vzal v úvahu, bude detekován.

Nejjednodušší auditor Microsoft Anti-Virus (MSAV) je součástí operačního systému MS-DOS. Jeho hlavní a možná jedinou výhodou je, že za něj nemusíte utrácet další peníze.

Podstatně pokročilejší ovládací nástroje poskytuje auditorský program Advanced Diskinfoscope (ADinf), který je součástí antivirové sady DialogNauka. V následující části se na tyto nástroje podíváme blíže, ale zatím si jen všimněte, že spolu s ADinf můžete použít modul ADinf Cure (ADinfExt). Modul ADinf Cure využívá dříve shromážděné informace o souborech k jejich obnovení po infikování neznámými viry.

Samozřejmě ne všechny viry lze odstranit modulem ADinf Cure a dalšími softwarovými nástroji založenými na monitorování a pravidelném skenování počítače. Například pokud nový virus zašifruje disk, jako to dělá virus OneHalf, jeho odstranění bez dešifrování disku pravděpodobně povede ke ztrátě informací. Viry tohoto typu lze odstranit pouze po pečlivém prostudování odborníky a zahrnutí modulů pro boj s nimi v běžných polyfágech - Aidstest nebo Doctor Web.

Programy antivirových auditorů, které nám byly v době psaní tohoto článku známy, nejsou vhodné pro detekci virů v souborech dokumentů, protože se neodmyslitelně neustále mění. Řada programů po zavedení kódu vakcíny přestala fungovat. K jejich ovládání byste proto měli používat skenery nebo heuristickou analýzu.

Rezidentní monitory

Existuje také celá třída antivirových programů, které se nacházejí v paměti RAM počítače a sledují všechny podezřelé akce prováděné jinými programy. Takovým programům se říká rezidentní monitory nebo hlídací psi.

Rezidentní monitor informuje uživatele, pokud se některý program pokusí změnit spouštěcí sektor pevného disku nebo diskety, spustitelného souboru. Rezidentní monitor vám řekne, že se program pokouší ponechat rezidentní modul v RAM atd.

Většina rezidentních monitorů umožňuje automatickou kontrolu všech spuštěných programů na přítomnost známých virů, to znamená, že fungují jako skener. Taková kontrola bude nějakou dobu trvat a proces načítání programu se zpomalí, ale budete si jisti, že známé viry se ve vašem počítači nebudou moci aktivovat.

Rezidentní monitory bohužel mají mnoho nedostatků, díky nimž je tato třída programů nevhodná k použití.

Mnoho programů, i když neobsahují viry, může provádět akce, na které rezidentní monitory reagují. Například normální příkaz LABEL upravuje data v bootovacím sektoru a spouští monitor.

Proto bude práce uživatele neustále přerušována otravnými antivirovými zprávami. Uživatel se navíc bude muset pokaždé rozhodnout, zda je to způsobeno virem nebo ne. Jak ukazuje praxe, dříve nebo později uživatel vypne rezidentní monitor.

Nejmenší nevýhodou rezidentních monitorů je, že musí být neustále načítány do paměti RAM, a proto snižovat množství paměti dostupné pro jiné programy.

Operační systém MS-DOS již má rezidentní antivirový monitor VSafe.

Očkovací programy

Aby se člověk mohl vyhnout určitým chorobám, je očkován. Existuje způsob, jak chránit programy před viry, ve kterých je k chráněnému programu připojen speciální řídicí modul, který sleduje jeho integritu. V takovém případě lze zkontrolovat kontrolní součet programu nebo některé další charakteristiky. Když virus infikuje očkovaný soubor, řídicí modul detekuje změnu v kontrolním součtu souboru a informuje o tom uživatele.

Bohužel, na rozdíl od lidských očkování, programy očkování je v mnoha případech nezachrání před infekcí. Tajné viry vakcínu snadno podvádějí. Infikované soubory fungují jako obvykle, vakcína nezjistí infekci. Proto se nebudeme zabývat vakcínami a budeme nadále uvažovat o dalších prostředcích.

Hardwarová ochrana proti virům

Dnes je jedním z nejspolehlivějších způsobů ochrany počítačů před virovými útoky hardware a software. Obvykle se jedná o speciální řadič zapojený do jednoho z rozšiřujících slotů počítače a software, který řídí činnost tohoto řadiče.

Vzhledem k tomu, že je řadič hardwarové ochrany připojen k systémové sběrnici počítače, získává plnou kontrolu nad všemi voláními na diskový subsystém počítače. Software pro zabezpečení hardwaru umožňuje určit oblasti souborového systému, které nelze změnit. Můžete chránit hlavní spouštěcí záznam, spouštěcí sektory, spustitelné soubory, konfigurační soubory a další.

Pokud hardwarový a softwarový komplex zjistí, že se některý program pokouší porušit nainstalovanou ochranu, může o tom informovat uživatele a zablokovat další provoz počítače.

Úroveň hardwaru kontroly nad diskovým subsystémem počítače neumožňuje maskování virů. Jakmile se virus projeví, bude okamžitě detekován. Zároveň nezáleží na tom, jak virus funguje a co znamená, že používá pro přístup k disketám a disketám.

Nástroje na ochranu hardwaru a softwaru umožňují nejen chránit počítač před viry, ale také včas potlačit činnost trojských koní zaměřených na zničení souborového systému počítače. Kromě toho vám hardwarové a softwarové nástroje umožňují chránit počítač před nekvalifikovaným uživatelem a útočníkem, neumožní mu odstranit důležité informace, naformátovat disk ani změnit konfigurační soubory.

V současné době se v Rusku masově vyrábí pouze hardwarový a softwarový komplex šerifů. Spolehlivě zabrání infekci počítače a umožní uživateli strávit mnohem méně času antivirovou kontrolou počítače pomocí běžného softwaru.

V zahraničí se vyrábí mnohem více produktů na ochranu hardwaru a softwaru, ale jejich cena je mnohem vyšší než cena šerifa a dosahuje několika stovek amerických dolarů. Zde je několik názvů takových komplexů:

Kromě plnění hlavní funkce může hardwarová a softwarová ochrana počítače poskytovat různé doplňkové služby. Mohou spravovat rozlišení přístupových práv různých uživatelů k počítačovým prostředkům - pevné disky, disketové jednotky atd.

Ochrana integrovaná do systému BIOS počítače

Mnoho společností, které vyrábějí základní desky počítačů, v nich začalo budovat nejjednodušší prostředky ochrany před viry. Tyto nástroje umožňují ovládat všechna volání hlavního spouštěcího záznamu pevných disků i zaváděcích sektorů disků a disket. Pokud se některý program pokusí změnit obsah zaváděcích sektorů, spustí se ochrana a uživatel obdrží varování. Může však tuto změnu povolit nebo zakázat.

Tento ovládací prvek však nelze nazvat skutečným hardwarovým ovládáním. Softwarový modul odpovědný za řízení přístupu k zaváděcím sektorům je umístěn v paměti ROM systému BIOS a lze jej obejít viry, pokud nahradí zaváděcí sektory přímým přístupem k vstupně-výstupním portům řadiče pevného disku a diskety.

Existují viry, které se pokoušejí deaktivovat antivirovou kontrolu systému BIOS úpravou některých buněk v energeticky nezávislé paměti počítače (paměť CMOS).

Tchechen viry .1912 a 1914

Velmi nebezpečné rezidentní šifrované viry. Pokouším se najít Megatrendy a CENA. Pokud je hledání úspěšné, domnívají se, že v počítači je nainstalován systém AWARD nebo AMI BIOS, deaktivují kontrolu nad spouštěcími sektory a infikují hlavní spouštěcí záznam pevného disku. Asi po měsíc po infekci virus vymaže informace ze všech první pevný disk

Nejjednodušším nástrojem na ochranu hardwaru je odpojit od počítače všechny kanály, kterými se virus může dostat. Pokud počítač není připojen k místní síti a není v něm nainstalován modem, stačí odpojit diskety a hlavní kanál virů vstupujících do počítače bude blokován.

Takové vypnutí však zdaleka není vždy možné. Ve většině případů potřebuje uživatel ke správnému fungování přístup k diskovým jednotkám nebo modemům. Infikované programy mohou navíc vstoupit do počítače prostřednictvím místní sítě nebo disků CD-ROM a jejich deaktivace významně sníží rozsah počítače.

Metody odstranění virů

Hledání viru v počítači je jen polovina úspěchu. Nyní je třeba ji odstranit. Ve většině případů jej mohou antivirové programy, které detekují virus, odstranit. Antivirové programy používají k odstranění virů dvě hlavní techniky.

Pokud při skenování spustitelných souborů s příponami COM a EXE narazíte na virus, měli byste zkontrolovat všechny ostatní typy souborů, které obsahují spustitelný kód. Nejprve se jedná o soubory s příponou SYS, OVL, OVI, OVR, BIN, BAT, BIN, LIB, DRV, BAK, ZIP, ARJ, PAK, LZH, PIF, PGM, DLL, DOC

Dokonce můžete zkontrolovat všechny soubory na pevných discích počítače. Někdo mohl infikovaný spustitelný soubor přejmenovat změnou jeho přípony. Například soubor EDITOR.EXE byl přejmenován na EDITOR.EX_. Takový soubor nebude zkontrolován. Pokud bude později přejmenován zpět, virus se může znovu aktivovat a šířit v počítači.

První, nejběžnější technikou je, že antivirový program odstraní známý virus. Aby bylo možné virus správně odstranit, je nutné jej prostudovat, byl vyvinut algoritmus pro jeho léčbu a tento algoritmus byl implementován do nové verze antiviru.

Druhá technika umožňuje obnovit soubory a zaváděcí sektory infikované dříve neznámými viry. Aby to bylo možné, musí antivirový program předem analyzovat všechny spustitelné soubory, než se objeví viry, a uložit o nich spoustu různých informací.

Při následném spuštění antivirového programu znovu shromažďuje údaje o prováděných souborech a ověřuje je pomocí dříve získaných údajů. Pokud zjistíte nesrovnalosti, může být soubor infikován virem.

V tomto případě se antivirus pokusí obnovit infikovaný soubor pomocí informací o zásadách zavádění virů do souborů a informací o tomto souboru získaných před jeho infikováním.

Některé viry infikují soubory a spouštěcí sektory a nahrazují část infikovaného objektu svým kódem, tj. Nenávratně ničí infikovaný objekt. Soubory a spouštěcí sektory infikované těmito viry nelze dezinfikovat pomocí první metody, ale lze je obvykle obnovit pomocí druhé metody. Pokud antivirové programy nemohou obnovit infikované spustitelné soubory, budete je muset obnovit z distribuční sady nebo zálohy, nebo je jednoduše odstranit (pokud nejsou potřeba).

Hlavní spouštěcí záznam a spouštěcí sektory jsou trochu komplikovanější. Pokud antivirový program není schopen je automaticky obnovit, budete to muset provést ručně pomocí příkazů FDISK, SYS, FORMAT. Ruční obnovení spouštěcích sektorů bude popsáno o něco později, v šesté kapitole.

Existuje celá skupina virů, které infikují počítač a stávají se součástí jeho operačního systému. Pokud takový virus jednoduše smažete, například obnovením infikovaného souboru z diskety, může dojít k částečné nebo úplné nefunkčnosti systému. Tyto viry by měly být léčeny pomocí první techniky.

Příkladem takových virů jsou spouštěcí viry OneHalf a skupina virů VolGU.

Během spouštění počítače virus OneHalf postupně šifruje obsah pevného disku. Pokud je virus rezidentem paměti, pak zachytí všechna volání na pevný disk. Když se jakýkoli program pokusí přečíst již zašifrovaný sektor, virus jej dešifruje. Pokud odstraníte virus OneHalf, informace na šifrované části pevného disku se stanou nepřístupnými.

VolGU nešifruje data, ale není o nic méně nebezpečný než OneHalf. Každý sektor pevného disku nejen ukládá na něm zaznamenaná data, ale také obsahuje další ověřovací informace. Představuje kontrolní součet všech bajtů v sektoru. Tento kontrolní součet se používá ke kontrole integrity informací.

Obvykle, když program přistupuje k diskovému subsystému počítače, jsou čtena a zapisována pouze data, kontrolní součet je automaticky opraven. Virus VolGU zachycuje volání všech programů na pevný disk a při zápisu dat na disk poškozuje kontrolní součty sektoru.

Když je virus aktivní, umožňuje čtení sektorů s nesprávným kontrolním součtem. Pokud takový virus jednoduše smažete, sektory s nesprávným kontrolním součtem se nebudou číst. Operační systém vás bude informovat o chybě čtení z pevného disku (sektor nebyl nalezen).

Příprava na virový útok

Uživatelé počítačů by se měli předem připravit na možný virový útok a nečekat, až se virus již objeví, na poslední chvíli. Díky tomu můžete rychle detekovat virus a odstranit jej.

Z čeho by měla taková příprava sestávat?

¨ Připravte si systémovou disketu předem. Pište na něj polyfágní antivirové programy, například Aidstest a Doctor Web

¨ Neustále aktualizujte verze antivirových programů na systémové disketě

¨ Pravidelně kontrolujte počítač pomocí různých antivirových nástrojů. Monitorujte všechny změny na disku pomocí auditorského programu, jako je ADinf. Zkontrolujte nové a změněné soubory pomocí polyfágových programů Aidstest a Doctor Web

¨ Před použitím zkontrolujte všechny diskety. Ke kontrole použijte nejnovější antivirový software

¨ Zkontrolujte všechny spustitelné soubory zapsané do počítače

¨ Pokud potřebujete vysokou úroveň antivirové ochrany, nainstalujte do svého počítače řadič hardwarové ochrany, například Sheriff. Kombinace hardwarového řadiče a tradičních antivirových nástrojů maximalizuje zabezpečení vašeho systému

Vytvoření systémové diskety

Počítač má obvykle dvě disketové jednotky. Jeden je pro 5,25 "diskety a jeden pro 3,5" diskety. Operační systém MS-DOS i operační systémy Windows, Windows 95, Windows NT a OS / 2 jsou pojmenovány A: a B:. Která jednotka má název A: a která B: závisí na hardwaru počítače.

Uživatel může obvykle změnit názvy jednotek. Chcete-li to provést, musíte otevřít skříň počítače a přepnout několik konektorů. Pokud je to možné, pak by tato práce měla být svěřena technikovi.

5,25 "disketová jednotka postupně zastarává, takže nové počítače mají pouze jednu disketovou jednotku, která pojme 3,5" disketu. V tomto případě má název A:, jednotka B: chybí.

Počítač můžete spustit ze systémové diskety pouze z jednotky A:. Chcete-li tedy pro svůj počítač vytvořit systémovou disketu, musíte si vzít disketu odpovídající velikosti.

K přípravě systémové diskety je k dispozici mnoho programů. Takové programy jsou obsaženy ve všech operačních systémech - MS-DOS, Windows 3.1, Windows 95 a OS / 2 atd.

Nejjednodušší programy pro přípravu systémových disket jsou příkazy FORMAT nebo SYS, které jsou součástí operačních systémů MS-DOS a Windows 95, a proto je nejprve popíšeme.

Pomocí příkazu FORMAT

Příkaz FORMAT formátuje disketu a může na ni zapisovat soubory operačního systému. Při formátování disket FORMAT označí stopy na disketě a vytvoří systémové oblasti - zaváděcí sektor, alokační tabulku souborů a kořenový adresář.

Při formátování diskety se smažou všechny informace na ní. Protože FORMAT přepíše spouštěcí sektor na disketě, byl-li dříve infikován spouštěcím virem, virus se odstraní. Dá se říci, že příkaz FORMAT vykonává hlavní funkci antiviru - odstraňuje viry z diskety.

Při vyvolání příkazu FORMAT můžete zadat širokou škálu parametrů. Jejich popis najdete ve čtvrtém svazku série „Osobní počítač - krok za krokem“ s názvem „Co o svém počítači potřebujete vědět“. V této knize popíšeme jen několik nejdůležitějších parametrů pro nás:

FORMÁTOVÁNÍ:

U parametru jednotky musíte zadat název jednotky, která bude formátovat disketu. Parametr / S znamená, že po naformátování diskety se na ni přenesou hlavní soubory operačního systému a disketa se stane systémovou disketou. Při přípravě systémové diskety nezapomeňte zadat tento parametr.

Jak jsme řekli, příkaz FORMAT odstraní všechny soubory na něm zapsané z formátované diskety. FORMAT obvykle zapisuje skryté informace na disketu, což umožňuje v případě potřeby obnovit soubory z ní odstraněné.

Chcete-li obnovit soubory odstraněné při formátování diskety, použijte příkaz UNFORMAT

Pokud jste si jisti, že je nebudete muset obnovit, můžete zrychlit formátování diskety zadáním dalšího parametru / U. V tomto případě se informace o odstraněných souborech neukládají a nelze je obnovit.

Proces přípravy systémové diskety můžete výrazně urychlit zadáním volitelného parametru / Q do příkazu FORMAT. V tomto případě je disketa rychle naformátována:

Pojďme si podrobněji popsat proces přípravy systémové diskety. Zadejte následující příkaz:

Na obrazovce se zobrazí výzva k vložení diskety do jednotky A: a stiskněte tlačítko :

Vložte novou disketu pro jednotku A:
a až budete připraveni, stiskněte ENTER ...

Proces formátování začíná. Na obrazovce se zobrazí procento vykonané práce.

Formátování 1,2 mil
77 procent dokončeno.

Po dokončení formátování se hlavní soubory operačního systému zapíší na disketu. Poté můžete zadat popisek diskety. Štítek nesmí být delší než jedenáct znaků. Po zadání štítku stiskněte ... Pokud disketu nechcete označit štítkem, stiskněte klávesu ihned:

Formát dokončen.
Systém přenesen

Štítek svazku (11 znaků, žádný pro ENTER)?

Poté se na obrazovce objeví různé statistické informace: celková kapacita diskety, velikost místa obsazeného soubory operačního systému, velikost volného místa k dispozici. Pokud jsou na disketě nalezeny chybné sektory, které nejsou k dispozici pro použití, zobrazí se jejich celková velikost v bajtech. Níže je velikost sektoru v bajtech, počet volných sektorů na disketě a jeho sériové číslo:

1 213 952 bajtů celkové místo na disku
198 656 bajtů použitých systémem
1 015 296 bajtů dostupných na disku

512 bajtů v každé alokační jednotce.
Na disku je k dispozici 1 983 alokačních jednotek.

Sériové číslo svazku je 2C74-14D4

Zformátovat jiný (Y / N)?

Tím je dokončena příprava systémové diskety. Pokud neplánujete vytvořit více systémových disket najednou, stiskněte ... Chcete-li vytvořit další systémovou disketu, stiskněte a opakujte postup, který jsme popsali znovu.

Pomocí příkazu SYS

Pokud máte volnou, prázdnou, naformátovanou disketu, nejrychlejší způsob, jak ji vytvořit, je použití příkazu SYS. Chcete-li to provést, vložte disketu do disketové jednotky počítače a zadejte následující příkaz:

SYS drive2:

Příkaz SYS má jeden požadovaný parametr - jednotka2... Tento parametr musí být název jednotky, na které se připravuje systémová disketa. Měli byste zadat jako parametr jednotka2 jméno A: nebo B:.

Nepovinné parametry jednotka1 a cesta určit umístění systémových souborů na disku. Pokud tyto parametry nezadáte, načte příkaz SYS systémové soubory z kořenového adresáře aktuální jednotky.

Zápis antivirových programů na systémovou disketu

Systémová disketa obsahuje hlavní soubory operačního systému MS-DOS: IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN. Pokud je systémová disketa vyrobena v operačním systému kompatibilním s MS-DOS, jako je IBM PC-DOS, pak se názvy těchto souborů mohou lišit.

Soubory IO.SYS a MSDOS.SYS jsou jádrem operačního systému. Soubor COMMAND.COM se běžně označuje jako příkazový procesor. Jedná se o stejný program, který zobrazuje systémovou výzvu na obrazovce počítače a provádí příkazy operačního systému. Poslední soubor na systémové disketě je DBLSPACE.BIN. Obsahuje rozšíření operačního systému, které poskytuje přístup ke zkomprimovaným diskům v systému DoubleSpace.

Hlavní soubory operačního systému - IO.SYS, MSDOS.SYS mají atribut „skrytý soubor“ a nejsou zobrazeny příkazem DIR. Chcete-li je zobrazit, přidejte parametr / A do příkazu DIR.

Po vytvoření systémové diskety je na ní stále spousta volného místa. Celkový objem obsazený hlavními soubory operačního systému MS-DOS - IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN je přibližně 200 kB. Pokud jste tedy používali disketu s vysokou hustotou, máte k dispozici více megabajtů volného místa.

Na systémovou disketu zapište software potřebný k testování a opravě poškozeného operačního systému. Nejprve musíte zaznamenat antivirové programy, které vyhledávají viry, a program pro kontrolu integrity systému souborů. Je užitečné si zapisovat příkazy FORMAT a FDISK - mohou být potřebné pro ruční obnovení systému. Pro usnadnění můžete navíc na systémovou disketu napsat shell, například Norton Commander, a jakýkoli textový editor.

V následující tabulce jsou uvedeny programy, které vám pomohou obnovit počítač. Je vhodné je všechny zapsat na systémovou disketu. Pokud se nevejdou na jednu systémovou disketu, připravte další disketu a zapište na ni zbývající programy.

V některých případech lze k přístupu na pevné disky počítače použít speciální ovladače nebo rezidentní programy. Musí být zapsány na připravenou systémovou disketu. Chcete-li, aby se automaticky připojili při spuštění počítače ze systémové diskety, vytvořte na něm soubory CONFIG.SYS a AUTOEXEC.BAT a zapište si do nich potřebné ovladače.

Pokud máte k počítači připojeno zařízení CD-ROM, zapište si na systémovou disketu software, který potřebujete, abyste jej mohli použít. Pro MS-DOS musíte napsat ovladač čtečky a program MSCDEX, který je součástí operačního systému. Přístup ke čtečce vám umožní rychle obnovit software napsaný na CD.

Operační systém Windows 95 nepotřebuje program MSCDEX, ale pokud není načten grafický shell tohoto systému, musí být MSCDEX stále připojen

Poté, co jste kompletně připravili systémovou disketu a nenapsali jste na ni všechny potřebné programy, nastavte na ni ochranu proti zápisu. Chcete-li to provést, na 5,25 "disketě musíte nalepit slot na okraji diskety a na 3,5" disketě otevřít okno ochrany. Ochrana proti zápisu zajistí, že náhodou nezkazíte obsah diskety a viry na ni nebudou moci proniknout. Protože diskety někdy selžou, je pro tento případ nejlepší mít několik identických systémových disket.

Zavedení ze systémové diskety

Chcete-li zavést počítač ze systémové diskety, musíte nastavit prioritní zavádění operačního systému z disket. Priorita spuštění operačního systému je určena v paměti CMOS. Chcete-li to změnit, spusťte instalační program. Další informace o instalaci se můžete dozvědět ve čtvrtém svazku řady Osobní počítač s podrobnými pokyny, co byste měli o svém počítači vědět.

Existují viry, které mění prioritu spouštění počítače. Za tímto účelem změní data zaznamenaná v paměti CMOS. Příklady takových virů jsou viry Mammoth.6000 a ExeBug. Tyto viry deaktivují diskové jednotky v paměti CMOS a dočasně je povolí, pokud některý program chce číst nebo zapisovat informace na disketu. Když se uživatel pokusí spustit počítač z diskety, spustí se z pevného disku, protože disková jednotka je zakázána. Virus převezme kontrolu a poté nabootuje počítač z diskety.

Zároveň z pohledu uživatele vše vypadá jako obvykle. Vidí, že operační systém se načítá z diskety, ale v tuto chvíli je virus již v paměti RAM a řídí činnost počítače.

Proto těsně před načtením systému MS-DOS ze systémové diskety zkontrolujte, zda je správně nainstalován obsah paměti CMOS. Chcete-li to provést, spusťte instalační program systému BIOS a zkontrolujte zde uvedený typ jednotek a pořadí, ve kterém se počítač zavádí.

Vložte systémovou disketu do jednotky A: a restartujte počítač. Pokud máte podezření na přítomnost virů, musíte vypnout a zapnout počítač nebo restartovat počítač stisknutím tlačítka „Reset“. Některé viry sledují restart pomocí kláves a může zůstat v RAM i po zavedení ze systémové diskety.

Po počátečním testování počítače se operační systém spustí z diskety. V takovém případě by měla LED na jednotce A: svítit. Zavedení z diskety je o něco pomalejší než zavádění z pevného disku, takže si musíte trochu počkat. Po dokončení načítání operačního systému se na obrazovce zobrazí zpráva.

Operační systém vás poté požádá o aktuální datum a čas. Datum a čas jsou požadovány pouze v případě, že konfigurační soubor systému AUTOEXEC.BAT není na disketě (disku).

Pokud nechcete změnit datum a čas, stiskněte dvakrát tlačítko ... V tomto případě datum a čas zůstanou nezměněny a na obrazovce se zobrazí výzva systému MS-DOS:

Na systémové disketě můžete vytvořit prázdný soubor AUTOEXEC.BAT, poté nebude požadováno datum a čas a po načtení operačního systému se na obrazovce okamžitě zobrazí systémová výzva.

Je možné zabránit pronikání virů

Pokud pravidelně nepracujete na prevenci a léčbě počítačů před viry, stává se možnost ztráty uložených informací a zničení operačního prostředí více než skutečnou.

Negativní důsledky vaší nedbalosti se mohou lišit v závislosti na tom, jaký virus se do vašeho počítače dostane. Můžete ztratit buď část informací ze souborů uložených v počítači, nebo jednotlivé soubory nebo dokonce všechny soubory na disku. Ale nejhorší ze všeho je, že pokud virus provede malé změny v datových souborech, které si zpočátku nemusí všimnout, a poté povede k chybám ve finančních nebo vědeckých dokumentech.

Práce na prevenci a léčbě počítačů před viry mohou zahrnovat následující akce:

w Nainstalujte software pouze z distribucí

w Chraňte všechny své diskety a uvolněte je pouze v případě potřeby.

w Omezte výměnu programů a disket, zkontrolujte tyto programy a diskety, zda neobsahují viry

w Pravidelně kontrolujte paměť počítače a disky na přítomnost virů pomocí speciálních antivirových programů

w Zálohovat informace o uživateli

Nestretávejte se s cizími lidmi

Žádná míra ochrany nemůže pomoci chránit váš počítač před viry, pokud předskenujete všechny na něj zapsané spustitelné soubory. Dnes je taková kontrola možná pouze pomocí polyfágních antivirových programů.

Neustálý výskyt stále více nových virů vyžaduje použití nejnovějších verzí antivirových programů. Je žádoucí, aby poskytovaly vyhledávání nejen známých virů, ale také heuristickou analýzu skenovaných programů a bootovacích sektorů. Bude detekovat soubory infikované novými, dosud neznámými a neprozkoumanými viry.

Antivirové programy bohužel nemohou poskytnout úplnou záruku, že skenovaný software neobsahuje žádné viry, natož trojské koně nebo logické bomby. Při psaní softwaru neznámého původu do počítače vždy riskujete

Ve velkých organizacích má smysl určit vyhrazený počítač pro instalaci pochybného softwaru, například počítačových her, do něj. Tento počítač by měl být izolován od ostatních počítačů v organizaci. Nejprve je nutné jej odpojit od lokální sítě a zakázat uživatelům nejen kopírovat programy z ní, ale také do ní zapisovat soubory ze svých pracovních disket, které nejsou dříve chráněny před zápisem.

Při práci s podezřelým softwarem používejte programy monitoru, například monitor VSafe, který je součástí systému MS-DOS. Pokud se program skutečně ukáže být infikován virem nebo obsahuje logickou bombu, monitor ohlásí jakékoli neoprávněné akce z jeho strany. Monitory jako VSafe lze bohužel snadno oklamat viry, takže je spolehlivější používat softwarovou a hardwarovou ochranu.

Antivirová sada DialogueNauka zahrnuje komplex ochrany hardwaru a softwaru šerifa. Mimo jiné plní všechny funkce monitorovacích programů, ale dělá to mnohem lépe. Vzhledem k tomu, že ovládání počítače zajišťuje speciální řadič ochrany na hardwarové úrovni, viry nemohou šerifa oklamat.

Jak chránit diskety proti zápisu

Na své diskety můžete chránit proti zápisu. Ochrana funguje na úrovni hardwaru počítače a nelze ji deaktivovat pomocí softwarových metod. Virus proto nebude schopen infikovat spouštěcí sektor a spustitelné soubory zapsané na disketě chráněnou proti zápisu.

Všechny distribuce softwaru na disketách by měly být chráněny proti zápisu. Většinu softwaru lze nainstalovat z disket s ochranou proti zápisu

Pokud se pokusíte zapsat data na disketu chráněnou proti zápisu, zobrazí operační systém na obrazovce počítače varovnou zprávu. Může to vypadat jinak, v závislosti na prostředcích použitých k zápisu na disketu.

Například pokud používáte příkazy MS-DOS COPY nebo XCOPY a pokoušíte se zapsat soubor na zabezpečenou disketu, zobrazí se na obrazovce následující zpráva:

Chyba ochrany proti zápisu při čtení jednotky A
Přerušit, opakovat, selhat?

Uživatel by měl odpovědět, jak by měl operační systém v této situaci jednat. Můžete si vybrat ze tří odpovědí: Abort, Retry or Fail. Chcete-li to provést, zadejte z klávesnice první znak vybraného potenciálního zákazníka: Přerušit - , Opakovat - , Fail - ... Lze použít velká i malá písmena.