Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов. Для защиты от вирусов можно использовать:

- общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

- профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

- специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

- копирование информации - создание копий файлов и системных областей дисков;

- разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы,

доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называется сигнатурой. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:

1. Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).

2. Использование только лицензионных дистрибутивных копий программных продуктов.

3. Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных

программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.

4. Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.

5. При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.

6. При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.

7. При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.

Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.

В состав антивируса Касперского для защиты файловых серверов входят(рис.1):

· антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;

· антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;

· ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.

Рисунок 1 – Интерфейс антивирусной программы Касперский

Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.

Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.

Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.

Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.

Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

 

Практическое задание:

1. Провести диагностику ПК и Вашей флешки с помощью антивирусной программы Кaspersky. Какие антивирусные программы установлены на вашем домашнем компьютере?

2. По результатом проведённой проверки составить отчёт.

3. Ответить на контрольные вопросы (устно) при защите отчёта.

 

Контрольные вопросы:

1. Что называется компьютерным вирусом?

2. Какая программа называется "зараженной"?

3. Что происходит, когда зараженная программа начинает работу?

4. Как может маскироваться вирус?

5. Каковы признаки заражения вирусом?

6. Каковы последствия заражения компьютерным вирусом?

7. По каким признакам классифицируются компьютерные вирусы?

8. Как классифицируются вирусы по среде обитания?

9. Какие типы компьютерных вирусов выделяются по способу воздействия?

10. Что могут заразить вирусы?

11. Как маскируются "невидимые" вирусы?

12. Каковы особенности самомодифицирующихся вирусов?

13. Какие методы защиты от компьютерных вирусов можно использовать?

14. В каких случаях применяют специализированные программы защиты от компьютерных вирусов?

15. На какие виды можно подразделить программы защиты от компьютерных вирусов?

16. Как действуют программы-детекторы?

17. Что называется сигнатурой?

18. Всегда ли детектор распознает зараженную программу?

19. Каков принцип действия программ-ревизоров, программ- фильтров, программ-вакцин?

20. Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?

21. Перечислите меры защиты информации от компьютерных вирусов.

22. Каковы современные технологии антивирусной защиты?

23. Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?

24. Какие модули входят в состав антивируса Касперского для защиты файловых систем?

25. Каково назначение этих модулей?

26. Какие элементы электронного письма подвергаются проверке на наличие вирусов?

27. Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты?

28. Как обновляется база вирусных сигнатур?

Лабораторная работа№8 Тема: Обслуживание дисков

Цель: изучить средства по обслуживанию дисков, входящие в состав операционной системы, а так же сторонних производителей; изучить программу ScanDisk для тестирования логической и физической структуры дисков.

 

Общие сведения

Современные персональные компьютеры достаточно просты в обслуживании: с этим может справиться любой (даже начинающий) пользователь. Важно знать, что надежная работа компьютера обеспечивается, в том числе, регулярным проведением профилактических мероприятий, таких, как проверка диска на предмет наличия ошибок в файловой системе, проверка поверхности диска, дефрагментация и очистка дисков.

Средства по обслуживанию дисков входят в состав операционной системы, существуют также соответствующие программы сторонних производителей (например, Norton Utilities).

В состав Windows обычно входят следующие утилиты, предназначенные  для  обслуживания  дисков:  «Агент  сжатия»,

«Архивация данных», «Дефрагментация диска», «Очистка диска»,

«Проверка диска». Все они имеют простой и понятный интерфейс, не требующий детального описания (рис.1).

Агент сжатия работает с дисками, сжатыми специальной программой DriveSpace3 (наследницей DoubleSpace). Такая программа фактически создает на диске огромный сжатый файл, но для пользователя работа с этим файлом выглядит так же, как работа с диском. Сжатие можно относительно быстро осуществить для чистого жесткого диска, диск с данными будет сжиматься несколько часов. Сжатие замедляет доступ к данным и в настоящее время практически не применяется ввиду низкой цены дискового пространства.

Средство архивации данных (средство Microsoft Backup) предназначено для создания резервных копий данных, может работать с различными внешними устройствами. Обычному пользователю следует предпочесть программы архивации сторонних производителей.

Рисунок 1- Параметры проверки дисков

Средство очистки диска позволяет из одного диалогового окна выполнить ряд стандартных действий, приводящих к освобождению дискового пространства. На закладке «Очистка диска» содержатся сведения о том, какие файлы можно удалить с диска и каково их назначение. В этом списке обычно присутствует Корзина, Временные файлы, Временные файлы, появляющиеся при работе с Internet (Temporary Internet Files, Download Program Files). Перед удалением можно просмотреть содержимое этих папок с помощью кнопки

«Просмотр файлов». На закладке «Дополнительно» предлагаются еще три варианта экономии места на диске: удалить неиспользуемые компоненты Windows, удалить неиспользуемые программы или же преобразовать файловую систему диска в FAT32 (если это уже сделано, пункт неактивен). Выбор первых двух вариантов приводит к открытию диалогового окна «Свойства: Установка и удаление программ» на закладках «Установка Windows» и «Установка / удаление» соответственно. Наконец, закладка  «Настройка»

определяет, будет ли автоматически выводиться окно очистки диска при недостатке свободного места на нем.

Альтернативой стандартному средству очистки диска может послужить программа Space Wizard (пакет Norton Utilities), которая, в частности, отыскивает файлы-дубликаты, определяя их по ряду характеристик, сообщает о других файлах, которые могут оказаться ненужными (например, о редко используемых файлах, или файлах, размер которых превышает определенное значение).

 

Проверка дисков

Диски (это касается и жестких дисков, и дискет, и других носителей информации) могут иметь физические и логические дефекты. В первом случае речь идет о повреждениях поверхности диска, во втором – о повреждениях данных. Когда причиной повреждения данных является вирус, необходимо использовать антивирусную программу (см. ниже). В иных случаях (сбой в работе программы, нарушение электропитания и т.п.) устранение дефектов может быть осуществлено специальными утилитами-сканерами. Вместе с Windows поставляется программа ScanDisk, можно также пользоваться программой Norton Disk Doctor из пакета Norton Utilities. Нужно только проследить, чтобы утилита была предназначена для данной операционной системы.

Программа ScanDisk способна тестировать как логическую структуру, так и поверхность диска. Перед ее запуском нужно закрыть все открытые файлы и завершить все выполняемые программы, иначе она может работать некорректно. Сканировать можно жесткие диски и дискеты, проверить, например, компакт-диск не удастся.

Программа обнаруживает области (кластеры), в которых содержатся данные, либо не используемые ни одним из файлов, либо используемые несколькими файлами одновременно. В первом случае кластеры либо удаляются, либо сохраняются в файлах с именем FILEnnnn.CHK (nnnn – четырехзначный номер файла). Во втором случае для каждого из файлов создается своя копия совместно используемых кластеров. По умолчанию каждый раз при обнаружении ошибки программа запрашивает разрешения пользователя исправить ее. Можно позволить программе исправлять ошибки автоматически, отметив соответствующий флажок в диалоговом окне. При первом согласии пользователя исправить ошибку, ScanDisk предлагает создать диск отмены (диск Undo). Впоследствии с помощью данных,

записанных на этом диске, можно отменить внесенные ScanDisk изменения.

Тестирование поверхности диска позволяет обнаружить поврежденные (физически) кластеры. ScanDisk помечает их как дефектные, и в дальнейшем операционная система не будет их использовать. Все данные, которые программа может прочитать из этих кластеров, перемещаются в свободные неповрежденные кластеры. Если в поврежденных кластерах находились фрагменты текстовых или графических файлов, можно надеяться восстановить эти данные. Если же в этих кластерах была записана программа, ее следует удалить и установить заново.

Жесткие диски довольно надежны, и поврежденные кластеры появляются на них редко и (как правило) после длительного использования (несколько лет). Дефекты на дискетах появляются куда чаще. Признаком этого могут служить сообщения об ошибках чтения / записи. В таком случае может помочь форматирование дискеты. Существуют коммерческие продукты, «освежающие» формат, не удаляя при этом данные на дискете. При форматировании стандартными средствами Windows следует помнить, что все данные на дискете уничтожаются при выполнении этой операции.