Twitter

Pochopenie počítačových vírusov a ich klasifikácia.

Vyhľadajte na stránke

Hľadať

  • Majiteľ denného osobného počítača má voľný prístup ku všetkým zdrojom stroja. To samo o sebe otvorilo dvere možnosti neistoty, ktorá popierala meno počítačového vírusu.
  • Počítačový vírus je špeciálne napísaný program, ktorý sa dokáže samovoľne pripojiť k iným programom, vytvárať vlastné kópie a uvoľňovať ich zo súborov, systémových oblastí počítača a za cenu poškodenia programu m, prenosu súborov a adresárov, vytvára najrôznejšie zmeny kódu v robote na počítači. Vírusy možno v zásade rozdeliť na okrajové vírusy, súborové vírusy, vírusové vírusy, súborové vírusy, makrovírusy a trójske kone.
  • Merezhevi vírusy sa rozširujú v rôznych počítačových sieťach.
  • súborové vírusy byť povýšený do vyššej hodnosti pri inštalácii modulov.
  • Súborové vírusy sa môžu prenášať aj v iných typoch súborov, ale spravidla sú v takýchto súboroch zaznamenané, nestrácajú kontrolu a pred reprodukovaním však strácajú svoje údaje. vandalizované vírusy
  • preneste do chráneného sektora disku (Boot sektor) alebo do sektora na inštaláciu programu na ukladanie systémového disku (Master Boot Record). Vírusy založené na súboroch

Infikujú súbory aj infikované sektory disku. makrovírusy:

  • napísané v jazykoch vysokej úrovne a odrážajú súbory dokumentov doplnkov, ktoré môžu byť generované našou automatizáciou (makrá), ako sú napríklad doplnky rodiny Microsoft Office.
  • Trójske kone
  • Ak sa váš počítač vydáva za škaredé programy, je pravdepodobné, že bude infikovaný vírusmi.
  • Na identifikáciu, odstránenie a ochranu počítačových vírusov bolo vyvinutých niekoľko typov špeciálnych programov, ktoré umožňujú detekovať a odstraňovať vírusy.
  • Takéto programy sa nazývajú antivírusové programy.

Existujú také typy antivírusové programy

- programové detektory;- programových lekárov alebo fágov; - programoví audítori; Nielenže viete, že súbory sú infikované vírusmi, ale tiež sa z nich „tešíte“. To znamená, že vymažú telo programového vírusu zo súboru a premenia súbory na mlynček na klasy. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ktoré ich poznajú, a potom pokračujú v „čistení“ súborov. Medzi fágmi sú vidieť

polyfágy

, teda programy Doctor sa používajú na vyhľadávanie a redukciu veľkého počtu vírusov. Najvýznamnejšie z nich sú: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

Vzhľadom na to, že sa neustále objavujú nové vírusy, detekčné programy a programy lekárov rýchlo zastarávajú a sú potrebné pravidelne aktualizované verzie. Programoví audítori

  • Pozrite si najnovšie opatrenia na ochranu pred vírusmi.
  • Audítori si zapamätajú výstup programov, katalógov a systémových oblastí disku, kým nie je počítač infikovaný vírusom, a potom pravidelne alebo podľa požiadaviek zákazníka výstup zosúlaďujú s výstupom.
  • Zistené zmeny sa zobrazia na obrazovke monitora.
  • Inovácie sa spravidla vykonávajú ihneď po aktualizácii operačného systému.

Pri aktualizácii sa kontroluje zostatok súboru, kód cyklickej kontroly (množstvo kontroly súboru), dátum a hodina úpravy a ďalšie parametre.

Audítorské programy dokážu dostatočne rozložiť algoritmy, odhaliť stealth vírusy a dokážu odhaliť zmeny vo verziách programu na základe zmien vykonaných vírusom.

Program Kaspersky Monitor bol široko rozšírený o množstvo programov auditu.- toto sú rezidentné programy.

vyhnúť sa infikovaným súborom.

Vakcíny budú stagnovať, pretože všetky programy lekárov sa budú tomuto vírusu „tešiť“.

Očkovanie je možné len proti bežným vírusom.

Vakcína upraví program alebo disk tak, aby nezasahoval do ich práce a vírus bude absorbovaný ich infikovanými ľuďmi a nebude sa mu brániť.

V súčasnosti je na obzore očkovací program.

Rýchla detekcia súborov a diskov infikovaných vírusmi a redukcia vírusov v počítači na vašom počítači umožňuje eliminovať rozšírenie vírusovej epidémie na ďalšie počítače.

  1. Ľudia, ktorí pravidelne pracujú s počítačom, sa často stretávajú s problémami s jeho prevádzkou a začínajú volať o pomoc programátorov, hoci vo väčšine prípadov sa takéto incidenty riešia nedostatkom rešpektu a neznalosťou samotného operátora.
  2. Vandalizované vírusy.
  3. Ako už názov napovedá, spúšťajú sa, keď je operačný systém deaktivovaný.
  4. Nepíšte svoj kód do súkromného sektora systému Windows.

Merezhevi vírusy.

Je neprijateľné prijímať správu, ktorá posiela svoje kópie po ceste, poštou alebo do systémov výmeny upozornení na platforme ICQ.

Jeden neuvoľnený bod v tom istom momente, ten istý vírus sa nemôže dostať do Tikh Pir, nie aby velil celému Prostiru na Koristuvachu, ale v Nigirskhoy viplote, najmaličkosti Sobe Msetz, viditeľnej hnedej. -tvarovaný cez hnedú.


Makrovírusy.

To zahŕňa doplnkové súbory, ktoré podporujú prácu s makrami, ako je napríklad Office.

  1. Upozorňujeme, že takáto klasifikácia vírusov sa nemôže opakovať, fragmenty vývoja tejto infekcie nestoja a existujú vírusy, ktoré možno klasifikovať do niekoľkých podtypov.
  2. Wow, to nie je bezpečné!
  3. Na vírusy sa dá pozerať z úplne iných strán.
  4. Ak o nich hovoríme krok za krokom do systému, klasifikácia počítačových vírusov bude stručne vyzerať takto:

fakhivtsi prax

Záhadou je záslužná klasifikácia počítačových vírusov a antivírusových programov.

Väčšina falšovateľov, ktorí pracujú v oblasti počítačovej bezpečnosti, má svoje vlastné klasifikácie a metódy identifikácie počítačových vírusov.

Napríklad Kaspersky Lab je viditeľný pre každého.

Pokrok znamená rozvoj.

Toto hovorí ľudová múdrosť.

S vedomím, že je možné získať počítačový vírus, sa môžete vyhnúť značným ťažkostiam spojeným s jeho typmi.

Je oveľa jednoduchšie vyhnúť sa infekcii jednoduchým vyčistením počítača po infikovaní novým vírusom.

Existuje aj klasifikácia počítačových vírusov podľa spôsobu infekcie:

Dr.Web možno právom považovať za lídra medzi antivírusmi.

Hoci nám nezáleží na sláve a zárobkoch, odporúčame všetkým na našej stránke vyskúšať skúšobnú verziu s novými funkciami.

Jednou z hlavných vlastností „Doktora“ je schopnosť spomaliť fungovanie operačného systému, čo umožňuje, aby zlo priniesli samotní „prefíkaní darebáci“.

Tento program sa používa na klasifikáciu vírusov.

Tento nástroj rýchlo a efektívne deteguje počítačové červy a rezidentné vírusy sa „neuzamknú“ v pamäti RAM.

Šľachtici sa potrebujú zahaliť

Pozrela sa aj klasifikácia počítačových vírusov.

Ľahšie by ste porozumeli zadkom, preto pre jasnosť poukážu na dlahu.

Trj.Reboot - reštartujeme počítač.

  1. Relax - infikuje dokumenty Microsoft Word, ako aj globálne zmeny.
  2. Je obzvlášť populárny a relevantný v systéme Windows 98. Výsledkom práce je zobrazenie informácií na obrazovke.
  3. Marburg - útočí na zreťazené súbory s príponami EXE a spúšťa ich v rôznych adresároch, v dôsledku čoho sa zväčšuje ich veľkosť.
  4. Flame je počítačový červ vyvinutý spoločnosťou Kaspersky Lab.
  5. Jeho zvláštnosťou je, že sa skladá z desiatok desiatok dielov, ktorých skin má svoju funkčnosť.

Myslite na bezpečnosť

Tento článok sa zaoberá pojmami a klasifikáciou počítačových vírusov.

Keďže ste si pozorne a premyslene prečítali všetko napísané, už ste si uvedomili, že neexistuje absolútne žiadna nádej.- ide o rezidentné programy, ktoré informujú používateľa o všetkých pokusoch akéhokoľvek programu o zápis na disk, prípadne jeho formátovanie, ako aj o iných podozrivých akciách (napríklad o pokusoch o zmenu nastavení CMOS).

Keď k tomu dôjde, zobrazí sa výzva na povolenie alebo ochranu tejto akcie. Princípom fungovania týchto programov je prerušenie akumulácie rôznych vektorov. Pred pokrokom v triede programov je v porovnaní s detektorovými programami možné zaviesť všestrannosť vo vzťahu k známym aj neznámym vírusom, keďže detektory sú napísané pod špecifickými, v súčasnosti známymi programami Istu viď. Toto je obzvlášť dôležité teraz, keď neexistujú žiadne mutantné vírusy, ktoré nevytvárajú trvalý kód. Programové filtre však nedokážu odhaliť vírusy, ktoré sa šíria priamo do systému BIOS, ako aj BOOT vírusy, ktoré sú aktivované ešte pred spustením antivírusu, v počiatočných štádiách infekcie systému DOS. Pre túto operáciu môžete zadávať časté otázky: Problémy s výživou doktor veľa času a lezú mi na nervy.

Pri inštalácii určitých antivírusových filtrov môžu vzniknúť konflikty s inými rezidentnými programami, ktoré spôsobia rovnaké prerušenia, ktoré jednoducho prestanú fungovať.- Sú to programy, ktoré analyzujú tok súborov a systémových oblastí na disku a porovnávajú ich s informáciami predtým uloženými v jednom z dátových súborov audítora.

V tomto prípade sa kontroluje BOOT sektor, FAT tabuľky, ako aj počet súborov, ich vytvorenie, atribúty a kontrolný súčet. Analýzou správ programu auditu môžu používatelia určiť, či kliknutia zmenil vírus alebo nie. Ak vidíte tento druh informácií, nemali by ste panikáriť, pretože dôvodom zmien, napríklad až do konca programu, nemusí byť vôbec vírus.

Zostávajúca skupina zahŕňa najúčinnejšie antivírusy -

vakcinátorov

.

Do programu zapisujú príznaky konkrétneho vírusu u očkovaných, aby vírus zasiahol už infikovaných.

Aidstest testuje svoje telo na prítomnosť známych vírusov a tiež posudzuje, či nie je infikovaný neznámym vírusom, a to tak, že prekrúti jeho kód.

V prípade možných epizód úzkosti z mlieka, napríklad, keď je antivírus stlačený balíčkom.

Program nemá grafické rozhranie a jeho prevádzkové režimy sú špecifikované pomocou ďalších kláves.

Zadaním cesty môžete skontrolovať nie celý disk, ale iba podadresár.

Niekoľko programov Aidstest:

Nerozpoznáva polymorfné vírusy;

Nie je vybavený heuristickým analyzátorom, ktorý umožňuje odhaliť neznáme vírusy;

Súbory v archívoch nie je možné overovať ani archivovať;

Nerozpoznáva vírusy v programoch zabalených s baličmi súborov, ako sú EXEPACK, DIET, PKLITE atď.

Výhody Aidstest:

Svetlo vo vikoristanne;

Pracujem naozaj rýchlo;

Rozpoznáva významnú časť vírusov;

Dobre integrovaný s programom auditu Adinf;

Winchester testovanie Dr.

Web trvá oveľa viac ako hodinu, ale Aidstest znamená, že každý profesionál si môže dovoliť stráviť toľko hodín dôkladnou kontrolou celého pevného disku.

Takýmto obchodníkom by bolo dobré prinesené diskety pozorne kontrolovať.

Ak sú informácie na diskete v archíve (a zvyšok času sa programy a dáta prenášajú zo stroja na stroj iba v tejto forme; spoločnosti dodávajúce softvér, napríklad Borland, balia svoje produkty), rozbaľte nasledujúce a yogo do ďalšieho adresára na pevnom disku a Windows No, bez ďalšieho odkladu spustite Dr.

Web po nastavení tejto možnosti na nahradenie názvu disku novou cestou k tomuto podadresáru.

Napriek tomu chcem raz za dva roky znova skontrolovať vírus „Winchester“, aby som zabezpečil maximálnu úroveň heuristickej analýzy.

Takže, rovnako ako keď vám dôjde Aidstest, program počas počiatočného testu obnoví súbory, ktoré obsahujú vírus, takže ho nemôžete vypnúť, takže sekvencia bajtov akceptovaných antivírusom ako šablóna môže byť zatvorili všetky zdravé programy.

Spravované v rámci programu Aidstest, Dr. Web:і rozpoznáva polymorfné vírusy; zabezpečené heuristickým analyzátorom;

môžete kontrolovať a ukladať súbory do archívov;

Umožňuje testovanie súborov očkovaných CPAV, ako aj balených s LZEXE, PKLITE, DIET.

Spoločnosť Dialogue-Science ponúka rôzne verzie DrWeb pre DOS.

Zrejme existujú dve verzie pre DOS, ako sa tradične nazývajú

Aj keď má teda 16-bitová verzia vírusu rovnakú vírusovú databázu (súbory VDB) ako 32-bitová verzia, prítomnosť rôznych modulov v nej znemožňuje spracovanie podobných vírusov.

Okrem toho z rovnakých dôvodov 16-bitová verzia nepodporuje určité softvérové ​​a hardvérové ​​funkcie, ktoré môžu spôsobiť jej nestabilitu alebo nesprávnosť.

Zvyšky 32-bitovej verzie, ktorá je plne funkčná a ako je zrejmé z jej druhého názvu - Doctor Web for DOS / 386, je možné použiť pri práci v DOS na počítačoch s procesorom nie nižším ako 386, všetkým používateľom , budete potrebovať DOS verziu Doctor Web, Je lepšie vikoristuvat sami її.

Keďže 16-bitová verzia už nie je dostupná, bude vychádzať aj naďalej, keďže stále existuje flotila starších strojov na platforme 86/286, kde sa 32-bitová verzia vyrábať nedá.

(Ochrana antivírusového softvéru)

Naším najobľúbenejším softvérovým produktom je antivírus AVSP.

Tento program obsahuje detektor, lekára, audítora a plní funkcie rezidentného filtra (prijímanie záznamu zo súboru s atribútom LEN NA ČÍTANIE). Antivírus dokáže odhaliť známe aj neznáme vírusy a používateľ vám môže povedať, ako vyčistiť iné programy. Okrem toho dokáže AVSP detekovať samomodifikujúce sa a stealth vírusy.

Po spustení AVSP sa systém zobrazí v okne s ponukou a informáciami o programe. veľmi šikovný systém kontextových rád

, Yaka poskytuje vysvetlenie každej položky ponuky. Volá sa klasickým spôsobom klávesom F1 a mení sa pri prechode z položky na položku. Zároveň však ovládač obsahuje aj vírusy a iné rezidentné programy.

Pri prvom spustení AVSP by ste mali otestovať systém na prítomnosť vírusov.

Týmto sa skontroluje RAM, BOOT sektor a súbory.

V niektorých prípadoch si môžete stiahnuť súbory infikované neznámym vírusom. Môžete skontrolovať veľkosť súborov, ich kontrolné súčty, prítomnosť vírusov v nich alebo všetko naraz. Môžete teda zadať len to, čo potrebujete skontrolovať (Boot sektor, pamäť alebo súbory). Ako vo väčšine antivírusových programov, aj tu si môžete vybrať medzi hladkým a mäkkým. Podstatou švajčiarskej kontroly je, že sa neprezerá celý súbor, ale iba jeho časť;

Program AVSP má dva algoritmy na neutralizáciu stealth vírusov ("neviditeľných") a urážlivého zápachu iba vtedy, keď je v pamäti detekovaný aktívny vírus.

Os, ktorá sa pozoruje pri implementácii týchto algoritmov: všetky súbory sa skopírujú do dátových súborov a potom sa vymažú.

Skryté sú iba súbory s atribútom SYSTEM.

Adinfov proces vytvárania Stealth implementácií je oveľa jednoduchší. Program AVSP kontroluje aj výrobný sektor. Ak infikovaný BOOT sektor na diskete a antivírus nemožno odstrániť, infikovaný kód bude vymazaný. Disketa je nesystematická, ale nesmie sa pokaziť. S pevným diskom to nedokážete.

Ak sa zistia zmeny v jednom zo BOOT sektorov pevného disku, AVSP ich uloží do súboru a potom sa pokúsi vírus odstrániť.

Microsoft Antivirus

V ponuke Možnosti môžete nakonfigurovať program podľa svojich preferencií.

Tu môžete nastaviť režim na vyhľadávanie neviditeľných vírusov (Anti-Stealth), kontrolu všetkých (nielen existujúcich) súborov (Check All Files) a tiež povoliť alebo chrániť vytváranie tabuliek CHKLIST.MS (Create New Checksums).

Predtým môžete v súbore nastaviť režim šetrenia pre robota Wi-Fi.

Ak nastavíte možnosť Vytvoriť zálohu, pred odstránením vírusu z infikovaného súboru sa uloží jeho kópia pomocou rozšírení VIR.

V hlavnom menu si môžete zobraziť zoznam vírusov v programe MSAV stlačením klávesu F9.

Keď k tomu dôjde, zobrazí sa okno s názvami vírusov.

Ak chcete získať podrobnejšie informácie o víruse, musíte presunúť kurzor na jeho názov a stlačiť ENTER. Môžete rýchlo prejsť na stránku s vírusom zadaním prvých písmen svojho mena. Informácie o víruse je možné vytlačiť do tlačiarne výberom príslušnej položky ponuky. (Pokročilý Diskinfoscope) ADinf je priradený k triede programových audítorov.

Hlavné autority ADinf sa neobmedzujú len na boj proti vírusom.

ADinf je v podstate systém, ktorý umožňuje sledovať uložené informácie na diskoch a zisťovať akékoľvek menšie zmeny v súborovom systéme, ako aj zmeny v systémových oblastiach, zmeny súborov, hlavného a vzdialeného adresára iv, vytváranie, mazanie, premenovanie a presúvanie súborov z katalógu do katalógu.

Riadený informačný sklad je vysoko prispôsobiteľný a umožňuje vám ovládať len tie, ktoré sú potrebné.

Prvá verzia programu bola vydaná v roku 1991 a odvtedy sa ADinf zaslúžene stal najpopulárnejším audítorom v Rusku a krajinách Veľkej sovietskej socialistickej republiky.

Dnes je dôležité kontrolovať počet legálnych a nelegálnych ADinf obchodníkov.

Viac ako 2 500 firemných predplatiteľov sady Dialogue-Science Anti-Virus, v ktorej sa ADinf dodáva, ju používa na krádeže svojich počítačov.

Program ADinf generoval certifikáty v Certifikačnom systéme GOST R., Certifikačnom systéme informačnej bezpečnosti Ministerstva obrany a Certifikát Štátnej technickej komisie pod vedením prezidenta Ruska ktorej federácie (v sklade Dialog-Science Anti-Virus súprava).

Program sa neustále zdokonaľuje a neustále zostáva na vrchole najnovších technológií.

Odteraz bude recenzent ADinf dostupný pre operačný systém MS-DOS.

Potom boli vydané verzie programu pre Windows 3.xx a Windows 95/98 / NT.

Teraz existuje rodina vzájomne prepojených audítorov pre rôzne operačné systémy.

Pri inštalácii ADinf do systému je možné zmeniť názov hlavného súboru ADINF.EXE a názov tabuľky, v takom prípade môže používateľ zadať ľubovoľný názov.

Ide o veľmi zaujímavú funkciu, keďže sa objavilo množstvo vírusov, ktoré „nasledujú“ antivírusy (napríklad vírus, ktorý zmení program Aidstest tak, že namiesto šetriča obrazovky spoločnosti DialogScience napíše: „Lozins“ tágo – peň "), vrátane pre ADinf.

Existuje množstvo možností pre audítora Adinf pre rôzne operačné systémy. Môžete rýchlo prejsť na stránku s vírusom zadaním prvých písmen svojho mena. Ich koža má svoje vlastné zvláštnosti.

Existuje množstvo možností pre audítora Adinf pre rôzne operačné systémy. inšpektor aplikácie pre operačné systémy MS-DOS a Windows 95/98.

Existuje množstvo možností pre audítora Adinf pre rôzne operačné systémy. Ide o vývoj prvej verzie audítora vytvorenej v roku 1991. Dnes je ADinf najužitočnejším nástrojom na identifikáciu starých aj nových neznámych vírusov.

Existuje množstvo možností pre audítora Adinf pre rôzne operačné systémy. Toto je jediný inšpektor na svete, ktorý kontroluje hodnoty systému súborov podľa sektorov priamo cez BIOS počítača. ADinf pre Windows

aplikácie pre operačný systém Windows 3.xx.

Všetkým orgánom audítora ADinf je táto verzia programu poskytovaná užívateľsky prívetivým grafickým rozhraním klienta.

ADinf Pro

AVP poskytuje používateľom maximálny servis – možnosť aktualizácie antivírusových databáz cez internet, možnosť nastavenia parametrov pre automatickú kontrolu a obnovu infikovaných súborov.

Aktualizácie na webovej stránke AVP sa javia ako praktické a databáza obsahuje popisy až 40 tisíc vírusov.

  • 1) AVP pozostáva z niekoľkých dôležitých modulov: AVP skener skenuje pevné disky na prítomnosť vírusov. Môžete nastaviť novú možnosť, v ktorej program skontroluje všetky súbory a tiež nastaviť režim kontroly súborov, ktoré sa archivujú.
  • 2) Jednou z hlavných výhod AVP je boj proti makrovírusom .
  • 3) Jednou z hlavných výhod AVP je Klient si môže zvoliť špeciálny režim, v ktorom sa budú overovať dokumenty vytvorené vo formáte Microsoft Office. Po zistení vírusov alebo infikovaných súborov vás AVP vyzve na výber niekoľkých možností: odstránenie vírusov zo súborov, odstránenie samotných infikovaných súborov alebo ich presunutie do špeciálneho priečinka.

AVP Monitor. Tento program sa automaticky aktivuje pri spustení systému Windows.

AVP Monitor automaticky kontroluje všetky súbory spustené v počítači a otvorené dokumenty a upozorní vás v prípade napadnutia vírusom. Navyše vo väčšine prípadov AVP Monitor jednoducho nedovolí spustiť infikovaný súbor, čím blokuje jeho spustenie.

Princíp fungovania antivírusových skenerov je založený na revízii súborov, sektorov a systémovej pamäte a ich vyhľadávaní pre známe a nové (pre skener neviditeľné) vírusy.

Aby sme žartovali o známych vírusoch, nazývajú sa „masky“.

Maska vírusu je konštantná sekvencia kódu, ktorá je špecifická pre tento konkrétny vírus.

Pretože vírus nemôže odolávať permanentnej maske alebo náklady na masku nie sú dostatočne vysoké, používajú sa iné metódy.

Príkladom tejto metódy je algoritmický jazyk, ktorý popisuje všetky možné varianty kódu, ktoré sa môžu vyskytnúť pri infikovaní podobným typom vírusu.

Tento prístup používajú rôzne antivírusy na detekciu polymorfných vírusov.

CRC skenery nezistia vírus v momente, keď sa objaví v systéme, ale zmiznú len do hodiny, aj keď sa vírus rozšíri cez počítač.

CRC skenery nedokážu detekovať vírus v nových súboroch (v e-mailoch, na disketách, v súboroch aktualizovaných zo zálohy alebo pri rozbaľovaní súborov z archívu), no v ich databázach je o týchto súboroch veľa informácií.

Okrem toho sa pravidelne objavujú vírusy, ktoré využívajú túto „slabosť“ CRC skenerov, infikujú iba novovytvorené súbory a stávajú sa pre nich neviditeľnými.

blokátory

Antivírusové blokátory sú rezidentné programy, ktoré prekonávajú „vírusovo nebezpečné“ situácie a upozorňujú na ne.

Pred „uctievaním-nobrase“ Vikliki na Vidcritte nahrať súbor viconuvan, poznámku na disku Boot-sectori „vincheter, program je naplnený rezidenčným tion, Tobto Vicliki, Yaki je charakteristický pre drôt v momente rozmarín.

Pred rozšírením blokády je dôležité vírus odhaliť a potlačiť v ranom štádiu jeho rozmnožovania.

Onedlho sa zdá, že cesty obídu ochranu blokátorov a veľké množstvo žiadostí o milosť.

^ Imunizátory

Imunizátory sa delia na dva typy: imunizátory, ktoré informujú o infekcii, a imunizátory, ktoré infekciu blokujú. Nezabudnite zapisovať na koniec súborov (podľa princípu súborového vírusu) a pri spustení súboru zakaždým skontrolujte, či sa nezmení.

Takéto imunizátory majú iba jeden nedostatok, ale sú smrteľné: neexistujú absolútne žiadne informácie o infekcii vírusom stealth.

Pred analýzou údajov sa používajú „revízory“ a „polyfágy“.

"Audítori" analyzujú dôkazy o činnosti počítačových vírusov a iných škodlivých programov.

Dedičnosti sa prejavujú zmenami v údajoch, ktoré nie sú na vine.


^ Samotná skutočnosť zmeny údajov je znakom činnosti nerentabilných programov z pohľadu „audítora“.

Inými slovami, „audítori“ monitorujú integritu údajov a na základe porušenia integrity rozhodujú o prítomnosti poškodených programov v počítačovom prostredí.

"Polyfágia" funguje inak.

Na základe analýzy údajov môžu vidieť fragmenty poškodeného kódu (napríklad podľa ich podpisu) a na základe toho vydávať správy o prítomnosti poškodených programov.

Odstránenie alebo „vyčistenie“ údajov z vírusu vám umožňuje zabrániť negatívnym účinkom narušenia škodlivých programov.

Technológie, ktoré sa používajú v antivírusoch, možno rozdeliť do dvoch skupín:


  • Technológie analýzy podpisov

  • Technológie globálnej analýzy

Technológie analýzy podpisov

Analýza podpisov je metóda detekcie vírusov, ktorá zahŕňa zvrátenie prítomnosti vírusových podpisov v súboroch.

Analýza podpisov je najpoužívanejšou metódou na detekciu vírusov a využívajú ju takmer všetky súčasné antivírusy.

Na vykonanie antivírusovej kontroly potrebujete súbor podpisov vírusov, ktoré sú uložené v antivírusovej databáze.

Vzhľadom na to, že analýza signatúr umožňuje overenie súborov na prítomnosť vírusových signatúr, antivírusová databáza bude vyžadovať pravidelnú aktualizáciu, aby sa zachovala relevantnosť antivírusu.

Samotný princíp analýzy podpisov určuje aj jej funkčnosť - schopnosť detekovať doteraz neznáme vírusy - skener podpisov je proti novým vírusom neúčinný.

Na druhej strane detekcia vírusových podpisov umožňuje obnoviť infikované súbory identifikované analýzou podpisov.

  • Dezinfekcia však nie je prijateľná pre všetky vírusy – trójske kone a väčšinu červov nemožno dezinfikovať kvôli ich konštrukčným vlastnostiam, vrátane celých modulov navrhnutých tak, aby spôsobovali škodlivý softvér.

  • Správna implementácia vírusovej signatúry umožňuje odhaliť vírusy so stovkami vírusov.

  • Technológie globálnej analýzy

Technológie globálnej analýzy spadajú do troch kategórií:

heuristická analýza

behaviorálna analýza

^ Analýza kontrolných súm

Behaviorálna analýza je technológia, pri ktorej sa rozhodnutie o povahe objektu, ktorý sa overuje, robí na základe analýzy operácií, ktoré sú s tým spojené.

Behaviorálna analýza v praxi veľmi stagnuje, pretože väčšina akcií charakteristických pre vírusy môže byť komplikovaná dodatočnými prídavkami.

Behaviorálne analyzátory skriptov a makier sa stali najobľúbenejšími a množstvo podobných typov vírusov takmer neustále vymiera.

Ochranné funkcie sú zabudované do systému BIOS a možno ich preniesť aj do analyzátorov správania.

^ Keď sa pokúsite vykonať zmeny v MBR počítača, analyzátor akciu zablokuje a používateľovi zobrazí samostatné upozornenie.

Okrem toho môžu analyzátory správania monitorovať pokusy o priamy prístup k súborom, vykonávať zmeny v záložnom zázname diskiet, formátovať pevné disky atď.

^ Analyzátory správania nefungujú pre ďalšie objekty, ako sú vírusové databázy, a preto nerozlišujú medzi známymi a neznámymi vírusmi – všetky podozrivé programy sú a priori neznáme vírusy.

Podobne ani špecifiká robotických metód, ktoré implementujú technológie behaviorálnej analýzy, nevyjadrujú nadšenie.

Analýza kontrolných súm

Analýza kontrolných súm je metóda zisťovania zmien v objektoch počítačového systému.

  • Na základe analýzy charakteru zmien - rovnaká frekvencia, hromadné, identické zmeny rovnakých súborov - je možné určiť, či je systém infikovaný.

  • Antivírusový komplex na ochranu súborových serverov

  • Antivírusový komplex na ochranu poštových systémov

  • Antivírusový komplex na ochranu brán.

Existuje množstvo rôznych typov programov na detekciu, odstránenie a ochranu pred počítačovými vírusmi.

Takéto programy sa nazývajú antivírusové programy.

Existujú rôzne typy antivírusových programov:

1. vakcíny;

2. detektory;

3. audítori;

4. strážca;

5. monitor;

6. polyfágy;

7. heuristické analyzátory. Medzitým vývojári antivírusového softvéru predstavia klientom komplexné riešenia, ktoré zahŕňajú väčšinu alebo všetky ich programy.

vakcíny

- sú to programy navrhnuté tak, aby zabránili infikovaniu súborov akýmkoľvek konkrétnym vírusom.

Vakcíny sú dostupné, pretože existujú rôzne programy, ktoré môžu vírus infikovať. Očkovanie je možné len proti známym vírusom, ktoré sa dajú zistiť, ale neexistujú žiadne príčiny ochorenia. Vakcinačný program upravuje a chráni program alebo disk tak, aby nezasahoval do ich práce a v prípade, že je vírus dôležitý, je infikovaný program chránený, a preto neprežije kompiláciu kódu. Tieto očkovacie programy sú založené na jednom zo základných princípov počítačových vírusov – opätovne neinfikovať už infikovaný program.

Na tieto účely, keď sú programy infikované, vírusy vytvárajú takzvanú „čiernu značku“, ktorá im umožňuje izolovať už infikované programy od neinfikovaných. To môže napríklad nastaviť čas vytvorenia súboru na 24 rokov, 1 hodinu a 62 sekúnd.

Pri infikovaní počítača vírus vykoná zmeny na pevnom disku: pridá svoj kód do infikovaného súboru, zmení systémové oblasti disku atď.

Antivírusové programy nazývané „audítori“ sú založené na detekcii takýchto zmien.

Smrady sú generované na princípe, reverznom princípe skenerov.

Audítori nevedia o konkrétnom víruse, ale dokážu si zapamätať informácie o konkrétnom logickom disku a zmenou informácií im umožňujú spoľahlivo odhaliť predtým aj nové neznáme vírusy.

V prípade zistenia zmeny v informácii o prítomnosti dát na disku sú užívateľovi odoslané všetky relevantné informácie o zmenách v objekte.

A on sám je zodpovedný za rozhodnutie: buď napríklad skontrolujte, či tento súbor neobsahuje vírus (ako keby bol súbor uložený), alebo ignorujte upozornenie, ak súbor zmenil samotný hacker. Inovácie sa spravidla vykonávajú ihneď po aktualizácii operačného systému.

Pri aktualizácii sa kontroluje platnosť súboru, jeho kontrolné množstvo, dátum a hodina úpravy a ďalšie parametre.

Recenzenti programov majú dostatočne pokročilé algoritmy, ktoré dokážu odhaliť vírusy takých tried, ako sú „stealth“ vírusy a „polymorfné“ vírusy, a môžu aktualizovať vydanú verziu programov, ktoré Zdá sa, že zmeny vykonal vírus.

Prioritou audítorov je vysoká rýchlosť kontroly diskov (mnohonásobne prevyšuje rýchlosť robotických skenerov) a vysoká spoľahlivosť detekcie neznámych vírusov.

"strážcovia"

- Ide o malé rezidentné programy určené na identifikáciu podozrivých aktivít, ku ktorým dochádza, keď používateľ pracuje na počítači, a tých, ktoré sú charakteristické pre vírusy.

Počet takýchto akcií môže zahŕňať:(Alebo programové filtre) – tieto antivírusové programy sú založené na princípe polyfágie a na identifikáciu vírusov využívajú databázu ich signatúr.

Antivírusový monitor je nainštalovaný rezidentne v pamäti počítača a na prítomnosť vírusov kontroluje len tie programy, s ktorými počítač alebo operačný systém manipuluje.

Objednajte si antivírusové monitory na kontrolu všetkých súborov, ktoré obsahujú nasledujúce manipulácie:

Recenzenti programov majú dostatočne pokročilé algoritmy, ktoré dokážu odhaliť vírusy takých tried, ako sú „stealth“ vírusy a „polymorfné“ vírusy, a môžu aktualizovať vydanú verziu programov, ktoré Zdá sa, že zmeny vykonal vírus.

1. spustenie programov na Wikonannya;

3. Otvorte dokument (Microsoft Office);

4. kopírovanie alebo presúvanie súboru;

5. úprava súboru;

Užitočné sú z tohto hľadiska filtračné programy, ktoré pomáhajú vírusu odhaliť vírus v ranom štádiu jeho vývoja, ešte skôr, ako sa vírus rozšíri vzhľadom na charakter epidémie."polyfágia"

- sú to programy, ktoré dokážu bezpečne odstrániť vírus a obnoviť účinnosť zazipovaných programov.

V prípade vírusu kože, ako analyzovať jeho kód, spôsoby infikovania súborov atď.

Zdá sa, že existuje vzor, ​​ktorý je charakteristický len pre nové, súhrnu elektronických údajov.

Táto sekvencia sa nazýva podpis tohto vírusu.- programy, ktoré sú vytvorené pod vašou kontrolou, sú kontrolované programami a zisťujú akcie charakteristické pre vírusy.

Preto heuristickí analyzátori dnes vedia, že „polymorfné“ vírusy sú rovnako jednoduché ako primárne vírusy, keďže nerozpoznajú maskovací mechanizmus, navyše dokážu odhaliť vírusy, ktoré boli predtým neznámymi autormi antivírusových programov.