|
3 антивирусные программы. Занятие для студентов i курса информационные технологии антивирусное по назначение, виды
Ленинск-Кузнецкий, 2022
ГПОУ «Ленинск-Кузнецкий политехнический техникум»
Преподаватель Щеглова Алена Александровна
Теоретическое занятие
для студентов I курса
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
АНТИВИРУСНОЕ ПО
НАЗНАЧЕНИЕ, ВИДЫ
I. Компьютерные вирусы Компьютерные вирусы Когда инфицированная программа начинает работу, то сначала управление получает вирус. Вирус заражает другие программы, выполняет запланированные деструктивные действия. После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится. Компьютерные вирусы прячутся, размножаются и ищут возможность перейти на другие ПК. Компьютерные вирусы - выводят на экран мешающие текстовые сообщения;
- создают звуковые или видео эффекты;
- замедляют работу ПК, постепенно уменьшают объем оперативной памяти;
- увеличивают износ оборудования;
- вызывают отказ устройств, зависание или перезагрузку компьютера;
- имитируют повторяющиеся ошибки работы ОС;
- форматируют жесткий диск, стирают BIOS, стирают или изменяют установки в CMOS (длительное хранение данных о хранении и конфигурации ПК, дата, время, пароль, в том числе, даже, когда ПК выключен), стирают секторы на диске, уничтожают или искажают данные, стирают антивирусные программы;
Деструктивные действия - По среде обитания:
- файловые — внедряются в исполняемые модули, т. е. в файлы, имеющие расширения СОМ и EXE. Могут внедряться и в другие типы файлов, но в них они не получают управление и теряют способность к размножению.
Активизируются при запуске программ, после запуска зараженной программы вирусы находятся в оперативной памяти и могут заражать другие файлы до момента выключения компьютера или перезагрузки операционной системы. Классификация Оперативная память - файлово-загрузочные — заражают файлы и загрузочные секторы дисков. Загрузочный сектор — это особый сектор на жестком диске или другом дисковом устройстве хранения информации (для жёсткого диска — первый физический сектор для каждого раздела)
Классификация
Каждый диск разбит на треки (дорожки), а каждая дорожка поделена на сектора.
Сектор – это минимальная пронумерованная область диска, в которой могут храниться данные.
Кластер - минимальный объем памяти на диске, который выделяется под один файл.
Поверхность диска разделена диаметрами, образующими геометрические сектора
«А» - дорожка, «В» — геометрический сектор диска, «С» — сектор дорожки. кластер «D» может занимать несколько секторов дорожки. - осуществляют научный, технический, промышленный и финансовый шпионаж;
- выводят из строя системы защиты информации, дают злоумышленникам тайный доступ к вычислительной машине;
- делают незаконные отчисления с каждой финансовой операции и т.д.;
Главная опасность самовоспроизводящихся кодов заключается в том, что программы-вирусы начинают жить собственной жизнью, практически не зависящей от разработчика программы. Деструктивные действия - замедление работы некоторых программ;
- увеличение размеров файлов;
- появление не существовавших ранее файлов;
- уменьшение объема доступной оперативной памяти;
- появление сбоев в работе операционной системы;
- запись информации на диски в моменты, когда этого не должно происходить.
Признаки заражения - сетевые — распространяют по компьютерной сети свой программный код и запускают его на компьютерах, подключенных к этой сети.
Заражение сетевым вирусом может произойти при работе с электронной почтой или в сети. Наибольшую опасность создают почтовые сетевые вирусы, которые распространяются по компьютерным сетям во вложенных в почтовое сообщение файлах. Активизация почтового сетевого вируса может произойти при просмотре сообщения электронной почты. Вирус после заражения компьютера начинает рассылать себя по всем адресам электронной почты, которые имеются в электронной адресной книге; Классификация - загрузочные — внедряются в загрузочный сектор диска (boot-сектор) или в сектор, содержащий программу загрузки системного диска;
Классификация
Загрузочный сектор – это физический сектор на жестком диске, содержащий информацию о том, как запустить процесс загрузки для загрузки операционной системы. Как только компьютер включается, BIOS ищет подсказки о том, что нужно для запуска ОС. BIOS смотрит на первый сектор, чтобы понять, как он должен действовать..
2. По способу заражения: 2. По способу заражения: - резидентные вирусы при заражении (инфицировании) компьютера — оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение ОС к объектам заражения (файлам, загрузочным секторам дисков и др.) и внедряется в них. Являются активными вплоть до выключения или перезагрузки компьютера;
- нерезидентные вирусы — не заражают память компьютера и являются активными ограниченное время.
Классификация - неопасные — не мешают работе компьютера, но уменьшают объем оперативной памяти и памяти на дисках; действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
- опасные — могут привести к различным нарушениям в работе компьютера;
- очень опасные — их воздействие может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
Классификация - простейшие вирусы — паразитические, которые изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены;
- вирусы-репликаторы (черви) — распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии;
- вирусы-невидимки — трудно обнаружить и обезвредить, перехватывают обращение ОС к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска;
Классификация - вирусы-мутанты — содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов;
- квазивирусные или троянские программы — не способны к самораспространению, но опасны, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
Классификация Файловые вирусы делят по механизму заражения (паразитирующие добавляют себя в исполняемый файл, перезаписывающие невосстановимо портят заражённый файл, «спутники» идут отдельным файлом); Классификация - съемные носители (съемные винчестеры, флеш-память, компакт-диски), на которых находятся зараженные вирусом файлы. Заражение жесткого диска вирусами может произойти при загрузке программы с внешнего носителя, содержащего вирус;
- компьютерные сети и их сервисы, в том числе система электронной почты;
- жесткие диски, на которые проник вирус в результате работы с зараженными программами;
- вирус, который остался в оперативной памяти после работы предшествующего пользователя с зараженными программами
Компьютерные вирусы - Наступление определенной даты или дня недели;
- Запуском программы;
- Открытием документа и т.д.
Чаще всего вирусы поражают файлы с расширениями: Exe, com, sys Компьютерные вирусы
II. Антивирусные
программы
Антивирусные программы Антивирусное средство это программный продукт или устройство, выполняющее одну, либо несколько из следующих функций: - защиту данных от разрушения;
- обнаружение вирусов;
- нейтрализацию вирусов.
Назначение Борьба с вирусами, для этого используется три метода:
- Сравнение файлов с ранее сохраненными о них данными с целью поиска изменений и выявление из них сходных, вероятностно принадлежащих вирусным телам, и восстановления их в исходном виде. Этот метод позволяет выявить любые изменения, произведенные любыми вирусами.
2. Сравнение содержимого файла с данными об известных последовательностях вирусных кодов, с целью предупреждения пользователя о наличии вирусов и последующего удаления вирусного кода (лечения) из файла. Этот метод позволяет обнаруживать и обезвреживать известные вирусы, но бессилен против новых, еще не занесенных в базу данных вирусов.
Назначение 3. Непрерывный контроль за программами и перехват их попыток записать что-либо в другие программы, системные области или физические адреса. Этот метод не позволяет допустить выполнение вирусных действий, но бессилен, если вирус пишет не в программу, а в ее копию, имеющую другое расширение, и только затем заменяющий исходную программу инфицированным файлом.
Методы защиты - Защита локальных сетей
- Резервное копирование информации
- Использование антивирусных программ
- Не запускать непроверенные файлы
Классификация - Программы-детекторы - обнаруживают конкретный, заранее известный программе вирус, сравнивает последовательности байтов (сигнатур), содержащихся в теле вируса, с байтами проверяемых программ. Имеют блоки эвристического анализа, т.е. делается попытка обнаружить новые или неизвестные вирусы по характерным для всех вирусов кодовым последовательностям. Могут «лечить», удалять, вирусы из зараженного файла. Находят вирусы в оперативной памяти, на внутренних и(или) внешних носителях, выводя сообщение при обнаружении вируса.
Недостаток программы заключается в способности находить только те вирусы, которые изначально были известны разработчикам. Быстро устаревают и требуют обновления антивирусных баз. Примеры: AVP (Антивирус Касперского Personal), Eset Smart Security (NOD32), Aidstest, McAfee, Doctor Web и т.д. Классификация 2. Программы-дезинфекторы (доктора или фаги) - находят зараженные файлы и лечат их, удаляя из файла тело программы-вируса, возвращая файлы в исходное состояние. Программы-доктора, позволяющие лечить большое число вирусов, называются полифагами. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Недостаток программы заключается в том, что требуют регулярное обновление версий программ-докторов. Примеры программ, объединяющие в себе детектор и доктор: - Microsoft AntiVirus,
- Doctor Web
- Aidstest и т.д.
Классификация 3. Программы-ревизоры запоминают состояние компьютера, следят за изменениями файловой системы и сообщают о важных или подозрительных изменениях пользователю. Программа запоминает названия файлов, папок, размеры файлов и их контрольные суммы. Эта информация занимает немного места на диске и позволяет заметить изменение любого файла. Периодически (по расписанию) или по желанию пользователя, ревизор проверяет текущее состояние файловой системы и сравнивает с прежним. При обнаружении подозрительных изменений "бьет тревогу". Классификация Достоинства: - Быстрота проверки.
- Выявление новых вирусов, даже тех, которые отсутствуют в БД. Возможность восстановления испорченных и уничтоженных файлов, лечение файлов, зараженных неизвестными вирусами.
Недостатки: - не в состоянии защитить ПК от всех угроз со стороны вредоносного ПО, поэтому используются в комплексе с другими антивирусными средствами. (Например, при получении сигнала тревоги от ревизора запускается сканер.)
Пример: - ADinf
- Ревизор встроен в антивирус Касперского Personal
Классификация 4. Программы-фильтры (мониторы или сторожа) оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия. Фильтры контролируют обновление программных файлов и системной области диска, форматирование диска, резидентное размещение программ в ОЗУ. Уведомляют пользователя, если вирус попытается проникнуть на ПК или украсть пароль и отправить его злоумышленнику, сторож спросит: «Разрешить или запретить выполнение операции?». Антивирус-фильтр есть на каждом ПК и называется брандмауэр. Примеры: - Outpost Security Suite;
- Agnitum Outpost Firewall;
- Антивирусы имеют встроенный брандмауэр: ADinf, Dr. WEB
Классификация 5. Уже зараженные ПК сложно вылечить с помощью обычного детектора или фильтра. В этих случаях используются программы-вакцинаторы: антитрояны, антишпионы и т.д. Основные задачи антивирусов: - Сканирование файлов и программ в режиме реального времени.
- Сканирование компьютера по требованию.
- Сканирование интернет-трафика.
- Сканирование электронной почты.
- Защита от атак враждебных веб-узлов.
- Восстановление поврежденных файлов (лечение).
Классификация Когда вирус хочет проникнуть и заразить программу, то роль вакцины заключается в том, чтобы показать вирусу, что программа уже заражена. В данный момент, когда количество вирусов в глобальной сети измеряется миллионами, данный способ уже устарел. Вакцины чаще всего применяют тогда, когда отсутствуют программы-доктора, "лечащие" этот вирус. Многие антивирусные программы не блокируют шпионские программы. Программы шпионы Программы шпионы
Например: Anti Trojan Elite, Ttojan Remover, Dr. Web Curelt;
Malwarebytes Anti-Malware – антишпион, обладает быстрым сканером и частыми обновлениями баз шпионских программ, поддерживающим программу постоянно в актуальном состоянии. Пройти тесты,
перейдя по ссылке |
|
|