Материалы представленные на сайте исключительно с целью ознакомления пользователям Интернета и не преследуют коммерческих целей или нарушение авторских прав.
© 2018 - 2025
System Information предоставляет достаточно подробную информацию о системе. Вся информация разнесена по 8 закладкам: система в целом, дисплей, принтеры, память, дисковые накопители, устройства ввода, средства мультимедиа, сетевые соединения и Интернет.
Wipe lnfo позволяет полностью, безвозвратно, затирать файлы или каталоги без возможности их дальнейшего восстановления и очищает свободное место на диске.
Image создает файл image.dat, содержащий "образы" загрузочных записей дисков, таблиц размещения файлов и содержимого наиболее важных каталогов. В случае утери какой-то части системной информации из-за сбоя, такой снимок поможет восстановить работоспособность всей системы. Кроме того, создается и второй файл, image.bak, в котором содержится предыдущий "образ", что страхует от возможного повреждения текущего "снимка" системы. Эта утилита может делать снимок винчестера каждый раз при запуске Windows, тем не менее, настоятельно рекомендуется запускать ее каждый раз после установки или удаления программ, а также любых других действий, влекущих за собой изменение содержимого системных областей дисков.
Norton File Compare производит сравнение текстовых файлов, выделяя одинаковые или различные блоки. После открытия разных версий файлов перед вами предстают два окна, в которых неизмененный текст показывается черным, перемещенный - синим, а удаленный - красным. В дополнительном окошке показывается общее количество измененных и неизменных строк. Эту утилиту очень удобно использовать для сравнения и редактирования различных версий конфигурационных файлов или разделов системного реестра.
Registry Management - управление системным реестром
Norton Registry Editor - довольно удобный редактор системного реестра, имеющий несколько очень полезных особенностей. Во-первых, для безопасности работы можно сохранить весь реестр либо отдельные ветви дерева ключей. Во-вторых, ведя журнал изменений с помощью Registry Tracker, возможно осуществлять откат проведенных изменений в реестре. В-третьих, для удобства в реестре устанавливаются закладки по ключам, а также редактируются системные файлы *.ini, которые отображаются не как обычные текстовые файлы, а в виде деревьев, аналогично записям реестра.
Norton Registry Tracker способен фиксировать изменения ключей в системном реестре. Аналогично утилите Image, можно сконфигурировать Registry Tracker таким образом, что он будет выполнять "снимки" реестра каждый раз при запуске Windows. При отсутствии качественного деинсталлятора Registry Tracker может выполнять некоторые его функции: сохранять "образы" системного реестра перед установкой новых приложений.
Вопросы для самопроверки.
1. назначение программ-оболочек ОС. Примеры.
2. каково назначение сервисных программ.
3. в чем заключается обслуживание диска сервисными программами. Какие повреждения диска могут быть устранены, а какие нет.
4. Что представляет собой дефрагментация диска. Для чего и в каких случаях ее необходимо выполнять.
5. приведите краткие характеристики программ, входящих в Norton Utilites.
Сервисные программы, обеспечивающие резервирование и архивирование информации
Основы резервирования информации
Данные – самое ценное из того, что есть на компьютере. Если компьютер используется для создания документов, ценность труда, вложенного в их создание, обычно превышает стоимость самого компьютера.
В аварийной ситуации рабочие программы можно переустановить, если сохранился дистрибутив (а он должен храниться), восстановление программного обеспечения займет максимум несколько дней, а восстановление данных, которые, может быть, создавались годами, может быть уже невозможным.
Искажения или разрушение данных, хранящихся на внешних носителях, может происходить по следующим причинам:
· несанкционированные действия пользователей или вирусных программ
· сбои и отказы в работе аппаратно-программного обеспечения
· физическое разрушения носителя.
Устранить последствия потери данных можно только в том случае, если утерянная информация была зарезервирована.
Резервирование данных:
· фоновое – при каждой записи на диск данные параллельно записываются еще и на другой носитель. Эта функция поддерживается ОС (UNIX, Windows NT). Обеспечивает автоматическое восстановление данных в случае отказа носителя или возникновения дефектов, но не в случае некорректной работы программы или пользователя.
· Периодическое – новые данные с рабочих носителей дублируются на резервные носители через определенные интервалы времени.
Наибольшая эффективность достигается при сочетании этих способов резервирования.
Для предотвращения потери данных, хранящихся на компьютере, рекомендуется придерживаться принципа раздельного хранения данных и программ: все, что создается, хранится и обрабатывается на компьютере не должно храниться в тех же папках, что и сами приложения. (т.е. нельзя хранить документы, созданные редактором WORD в папке …\WORD, где находится сам текстовый редактор. При переустановке приложения или ОС можно потерять все, что хранилось в этих папках).
Если на одном компьютере работают несколько человек, то каждый пользователь создает для себя одну основную папку и хранит свои документы в этой папке.
Организация резервного копирования.
Виды резервирования.
1 Резервирование информации, хранящейся в файловых областях. Может быть выполнено двумя способами:
o Обычное копирование. Имеет ряд неудобств: большое количество памяти, необходимой для хранения копий, трудности в работе с копиями.
o Архивация. Используя специальные программы-архиваторы, позволяющие сохранять данные в более компактном (сжатом) виде.
2 Резервирование информации, хранящейся в нефайловых областях и энергонезависимой памяти компьютера (CMOS). Выполняется с помощью специальных программ (см. NU), которые сохраняют ее в виде файла.
3 Резервирование ПО и средств восстановления данных. Для восстановления ПО необходимо иметь дистрибутив установленных программ. “Ремонтный набор” должен включать в себя средства, которые позволят:
o Загрузить ОС
o Восстановить системные данные
o Найти и устранить ошибки на дисках, выполнить разбиение диска на разделы.
o Проверить на наличие вирусов
o Разархивировать данные
Организационная схема резервирования данных.
Прежде чем приступить к работе со средствами архивации данных необходимо разработать организационную схему резервного копирования и затем придерживаться ее постоянно.
Необходимо принять решение о:
числе резервных копий. Обычно используют две копии. Одной недостаточно, т.к. надежность внешних носителей информации невысока (2-3% дискет могут не читаться при восстановлении данных). Большее количество копий затрудняет работу с ними;
порядке ротации (круговорота) копий. Пока одна копия хранится в удаленном месте, происходит работа с другой копией. Обычно применяют еженедельную ротацию;
обновлении копий. Архивация может быть полной или частичной при еженедельной ротации полную архивацию проводят раз в неделю, а частичную – каждый день.
Правила резервирования.
· резервирование необходимо выполнять на внешнем носителе, удовлетворяющим требованиям:
o носитель используется только для хранения копий.
o носитель должен быть защищен от несанкционированного доступа
o носитель должен быть доступен в случае необходимости.
· Перед резервированием и в случае восстановления необходим антивирусный контроль
· Зарезервирована должна быть вся ценная информация
· Необходимо подготовить программные средства восстановления работоспособности системы.
Архивация данных
Архивация – это сжатие данных без потерь.
Программы-архиваторы предназначены для сжатия файлов, т.е. для создания файлов, которые занимают на диске меньше места, чем имеющиеся.
Много лет назад такие программы были очень актуальны, т.к. объем жестких дисков был незначительным (несколько десятков мегабайт) и временно не используемые программы и данные приходилось хранить на дискетах в сжатом виде. Применялись архиваторы и для переноса информации с одного компьютера на другой, если объем переносимых файлов превышал вместимость дискеты.
В настоящее время, казалось бы, ситуация другая – объемы жестких дисков у рядовых пользователей сейчас настолько велики, что многие не используют весь их потенциал, появились и широко используются компакт-диски и другие сменные носители большой емкости. Стоит ли тогда использовать архиваторы?
Стоит, и для этого есть ряд причин:
· при передачи данных по электронной почте критичным является каждый килобайт и, кроме того, при пересылке большого числа файлов проще в письмо вложить всего один файл – архивный – содержащий в сжатом виде все необходимые файлы.
· Пропускная способность локальных сетей ограничена. При пересылке больших массивов информации по сети рекомендуется использовать архиваторы не только для уменьшения объема передаваемых данных, но и с целью упрощения проверки правильности передачи данных: после передачи проще проверить корректность архива, чем проверять сотни отдельных файлов.
· Пишущие компкат-диски уже достаточно широко распространены, но часто встает проблема, когда на диск надо перенести сложную структуру каталогов, тогда как файловая система компакт-диска не допускает более чем восьмикратный уровень вложенности папок. Решить эту проблему позволяют архиваторы, которые могут упаковать всю файловую структуру в один файл (для таких целей некоторые архиваторы содержат метод сжатия “без сжатия”)
· Многие архиваторы являются очень эффективными кодировщиками, позволяющими скрыть конфиденциальную информацию от чужих глаз, “запаковав” ее в архив и установив пароль доступа к архивному файлу.
Не потеряла актуальность проблема применения архиваторов для переноса информации на дискетах.
Кроме того, архивация данных используется аппаратными средствами компьютера. Так протоколы модемной связи используют простейшие алгоритмы сжатия (например, замена одинаковых цепочек байтов на одну и количество повторений) для увеличения скорости передачи файлов при неизменной пропускной способности канала связи.
Еще один пример. Известно, что компьютерные игры, особенно трехмерные, - наиболее ресурсоемкие программы. Компания 3S предложила новую, эффективную технологию сжатия данных, в результате чего возрастает скорость их передачи, доступная память используется более эффективно. Следовательно, при одинаковой частоте и объеме видеопамяти можно добиться более высокой производительности.
Программы-архиваторы
Для создания резервных копий файлов чаще всего используются программы-архиваторы. Используя методы сжатия, они создают копии фалов меньшего размера, и помещают их в один архивный файл или архив.
Различными разработчиками были созданы разные программы-архиваторы, отличающиеся между собой форматами архивных файлов, коэффициентом сжатия данных, скоростью работы, удобством интерфейса. Но ни одна из программ по всем параметрам не превосходит остальные.
Пример архиваторов. Arj, Zip, Rar, WinArj, WinRar, WinZip и др.
Архивный файл
Архивный файл (архив) – это набор из одного или нескольких файлов, помещенных в сжатом виде в один файл.
При необходимости данные из архивного файла могут быть извлечены в первоначальном виде.
Каждый архивный файл имеет оглавление, в котором содержится информация о каждом файле, помещенном в архив:
· имя файла
· сведения о исходном размещении
· дата и время последней модификации
· исходный размер и размер в архиве
· код циклического контроля, с помощью которого можно проверить сохранность данных в архиве.
Основные операции с архивами:
1. создание нового архива
2. добавление файлов в существующий архив
3. обновление архива
4. просмотр содержимого архива (оглавления)
5. распаковка архива (извлечение файлов из архива)
6. проверка целостности архива (сохранности данных)
Обычно для распаковки архивного файла нужно иметь тот архиватор, который создал этот архив (это нужно помнить, когда переносите файлы с одного компьютера на другой), но некоторые архиваторы могут создавать специальные архивные файлы, для распаковки которых уже не нужен архиватор. Такие архивные файла называются самораспаковывающимися архивами.
Самораспаковывающиеся архивы представляют собой файл, который содержит и сжатые данные и программу по их распаковки, имеет расширение exe.
Методы сжатия.
Существуют разные алгоритмы сжатия информации. Их можно разделить на два класса: алгоритмы сжатия без потери данных и алгоритмы сжатия с потерей данных.
Если применялся метод сжатия без потери данных, и если знать каким способом был сжат файл, то можно будет “распаковать” его, т.е. вернуть в исходный вид. Иначе говоря, эти методы архивации обратимы.
Методы сжатия с потерей данных применяются для архивации графической, видео и звуковой информации, т.к. данные этих типов как правило избыточны.
Важным понятием является коэффициент сжатия – отношение объема исходных данных, к объему сжатых.
Замена повторяющихся блоков
В процессе сжатия исходная информация подвергается анализу на наличие повторяющихся двоичных блоков. В зависимости от типа данных блок может иметь разную длину, например, для текстовой информации длина блока может быть равна 8 битам, для графической – больше, в зависимости от того, сколько бит отводится для кодировки одной точки.
Последовательность одинаковых блоков заменяется коэффициентом повторения и одним блоком.
Перед последовательностью неповторяющихся блоков ставится коэффициент неповторения, задающий количество различных блоков.
Коэффициент повторения 0N, где N количество блоков, коэффициент неповторения – 1M, где M количество блоков.
Например.
Исходный текст: CCCCFBDEFFFFFF – 14 байт
Сжатый текст: 04С14FBDE06F – 9 байт
Длина блока – 1байт.
Замена повторяющихся групп блоков.
В процессе анализа информации учитывается не только повторение отдельных блоков, но и последовательностей. Такой способ сжатия в некоторых случаях обеспечивает более высокий коэффициент сжатия, но работает медленнее.
Коэффициент повторения одиночного блока – 0N, где N количество блоков.
Коэффициент неповторения – 1M, где M количество блоков.
Коэффициент повторения группы блоков – LN, где L длина группы блоков, а N количество повторов группы.
Пример:
Исходный текст: ABABABDCEFFFFF – 14 байт
Сжатый текст: 23AB13DCE05F – 9 байт
Для дальнейшего увеличения степени сжатия можно учитывать повторы внутри группы. Это потребует еще одного коэффициента. Увеличение максимальной длины групп, исследуемых на повторяемость, приведет к снижению быстродействия и уменьшению вероятности повтора группы. Длина группы <32.
Коэффициент сжатия при таком методе уплотнения существенно зависит от состава данных. Возможно, что после “уплотнения” данные будут занимать не меньше, а больше места (например в текстовых файлах, где повторяющиеся символы встречаются редко).
Методы сжатия, основанные на поиске повторяющихся блоков хорошо работают на графических и табличных данных, но плохо на текстовых.
Перекодирование.
Рассмотрим использование перекодирования на примере текстовых данных.
Представление текстов в памяти компьютера заключается в том, что каждому символу ставится в соответствие его двоичный код. В существующих сейчас системах кодировки для хранения одного символа используется 1 байт (8 бит) или 2 байта (Unicode).
Пусть в файле записано только одно слово – поле.
Объем такого файла – 4 байта.
С другой стороны, для кодировки 4 различных символов необходимо всего 2 бита. Если использовать другую кодировку, то файл будет занимать на диске всего 8 бит, а не 32, т.е. экономия будет четырехкратной.
Если в тексте используются только прописные латинские буквы, то для его хранения можно также применить другой, более экономичный принцип кодирования символов. Но такой способ не подходит в том случае, если в тексте используется большое количество различных символов. (например около 200).
Другой подход основывается на том, что в текстах, написанных на естественных языках различные буквы встречаются с разной частотой.
Итак, основная идея состоит в том, чтобы для часто повторяющихся блоков данных использовать более короткие коды. При этом можно перекодировать не только отдельные блоки (в случае с текстом – буквы), но и группы блоков (слова). Решение о том, группу блоков какой длины заменять кодом, принимается на основе анализа таблиц длин кодов.
Пример.
| символ | Длина кода | Заменяется вся группа целиком, т.к. сумма длин кодов трех символов по отдельности – 4+4+3=11, а длина кода группы – 6. |
| A | 4 | |
| B | 4 | |
| C | 3 | |
| ABC | 6 |
Коды, применяемые в данном методе имеют переменную длину. Следовательно, встает вопрос о декодировании. Например, 110111 можно трактовать 11 01 11 или 1 101 11 или 1101 11…
В этом случае используется один из следующих способов:
· Длина каждого кода указывается явным способом, тогда кодовая последовательность имеет вид: L1K1 L2K2 L3K3… где L длина кода, а K – код.
· Коды составляются так, чтобы каждый код был уникальным и не являлся началом другого кода. Примером такого кодирования является кодирование Хаффмана.
Вопросы для самопроверки.
· Для чего применяется архивация данных.
· Проведите классификацию методов сжатия. Каковы особенности каждого метода.
· Какие принципы лежат в основе организационной схемы резервирования данных.
· Что представляет собой архивный файл. Какие основные операции с архивным файлом.
· Приведите примеры программ- архиваторов.
Компьютерные вирусы и антивирусные средства
Выделяют два типа программ, выполняющих какие-либо деструктивные действия и причиняющих ущерб пользователям: троянцы (троянские кони) и вирусы.
Троянцы – программы, которые при запуске выполняют скрытые (отсюда и название) деструктивные функции (например, форматирование диска, кодирование информации на диске, удаление файлов и другие несанкционированные операции). Обычно, подобные программы маскируются под известные или привлекательные программы, побуждая пользователя их запустить. Самостоятельно распространяться не могут. Такие программы не подлежат лечению, их нужно удалять.
Что такое компьютерный вирус
Объяснение будет дано на примере клерка, работающего исключительно с бумагами. (Идея такого объяснения принадлежит Д.Н.Лозинскому).
Представим себе аккуратного клерка, который приходит на работу к себе в контору и каждый день обнаруживает у себя на столе стопку листов бумаги со списком заданий, которые он должен выполнить за рабочий день. Клерк берет верхний лист, читает указания начальства, пунктуально их выполняет, выбрасывает "отработанный" лист в мусорное ведро и переходит к следующему листу. Предположим, что некий злоумышленник тайком прокрадывается в контору и подкладывает в стопку бумаг лист, на котором написано следующее:
"Переписать этот лист два раза и положить копии в стопку заданий соседей"
Что сделает клерк? Дважды перепишет лист, положит его соседям на стол, уничтожит оригинал и перейдет к выполнению второго листа из стопки, т.е. продолжит выполнять свою настоящую работу. Что сделают соседи, являясь такими же аккуратными клерками, обнаружив новое задание? То же, что и первый: перепишут его по два раза и раздадут другим клеркам. Итого, в конторе бродят уже четыре копии первоначального документа, которые и дальше будут копироваться и раздаваться на другие столы.
Примерно так же работает и компьютерный вирус, только стопками бумаг-указаний являются программы, а клерком – компьютер. Так же как и клерк, компьютер аккуратно выполняет все команды программы (листы заданий), начиная с первой. Если же первая команда звучит как "скопируй меня в две другие программы", то компьютер так и сделает, – и команда-вирус попадает в две другие программы. Когда компьютер перейдет к выполнению других "зараженных" программ, вирус тем же способом будет расходиться все дальше и дальше по всему компьютеру.
В приведенном выше примере про клерка и его контору лист-вирус не проверяет, заражена очередная папка заданий или нет. В этом случае к концу рабочего дня контора будет завалена такими копиями, а клерки только и будут что переписывать один и тот же текст и раздавать его соседям – ведь первый клерк сделает две копии, очередные жертвы вируса – уже четыре, затем 8, 16, 32, 64 и т.д., т.е. количество копий каждый раз будет увеличиваться в два раза.
Если клерк на переписывание одного листа тратит 30 секунд и еще 30 секунд на раздачу копий, то через час по конторе будет "бродить" более 1.000.000.000.000.000.000 копий вируса! Скорее всего, конечно же, не хватит бумаги, и распространение вируса будет остановлено по столь банальной причине.
Как это ни смешно (хотя участникам этого инцидента было совсем не смешно), именно такой случай произошел в 1988 году в Америке - несколько глобальных сетей передачи информации оказались переполненными копиями сетевого вируса (вирус Морриса), который рассылал себя от компьютера к компьютеру. Поэтому "правильные" вирусы делают так:
"Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа".
Проблема решена – "перенаселения" нет, но каждая стопка содержит по копии вируса, при этом клерки еще успевают справляться и с обычной работой.
А как же уничтожение данных? Все очень просто – достаточно дописать на лист примерно следующее:
"1. Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа.
2. Посмотреть на календарь - если сегодня пятница, попавшая на 13-е число, выкинуть все документы в мусорную корзину"
Примерно это и выполняет хорошо известный вирус "Jerusalem" (другое название – "Time").
Кстати, на примере клерка очень хорошо видно, почему в большинстве случаев нельзя точно определить, откуда в компьютере появился вирус. Все клерки имеют одинаковые (с точностью до почерка) КОПИИ, но оригинал-то с почерком злоумышленника уже давно в корзине!
Две аксиомы, которые, как это ни странно, не для всех являются очевидными:
Во-первых, вирусы не возникают сами собой – их создают программисты-злоумышленники.
Во-вторых, компьютерные вирусы заражают только компьютер и ничего больше, поэтому не надо бояться – через клавиатуру и мышь они не передаются.
Более строгое определение
Первые исследования саморазмножающихся искусственных конструкций проводились в середине нынешнего столетия. В работах фон Неймана, Винера и других авторов дано определение и проведен математический анализ конечных автоматов, в том числе и самовоспроизводящихся. Термин "компьютерный вирус" появился позднее – официально считается, что его впервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на 7-й конференции по безопасности информации, проходившей в США. С тех пор прошло немало времени, острота проблемы вирусов многократно возросла, однако строгого определения, что же такое компьютерный вирус, так и не дано, несмотря на то, что попытки дать такое определение предпринимались неоднократно.
Основная трудность, возникающая при попытках дать строгое определение вируса, заключается в том, что практически все отличительные черты вируса (внедрение в другие объекты, скрытность, потенциальная опасность и проч.) либо присущи другим программам, которые вирусами не являются, либо существуют вирусы, которые не содержат указанных отличительных черт (за исключением возможности распространения).
Можно сформулировать только необходимое условие для того, чтобы некоторая последовательность выполняемого кода являлась вирусом. Необходимым свойством компьютерного вируса является возможность самопроизвольно создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера и другие выполняемые объекты.
Вот почему точного определения вируса нет до сих пор, и вряд ли оно появится в обозримом будущем. Следовательно, нет точно определенного закона, по которому "хорошие" файлы можно отличить от "вирусов". Более того, иногда даже для конкретного файла довольно сложно определить, является он вирусом или нет. Например, есть программа ALREADY.COM, которая сама себя копирует в разные подкаталоги на диске в зависимости от системной даты, т.е. ведет себя как типичный вирус-червь, сам себя расползающий по дискам (включая сетевые). Однако это не вирус, а компонента от какого-то программного обеспечения. Но если этот файл выдернуть из этого ПО, то ведет он себя как типичный вирус.
Основные разновидности вирусов.
· Файловые вирусы – наиболее известны, распространялись еще в DOS. Для своего распространения используют стандартные функции ОС. Первоначальное заражение происходит при запуске зараженной программы.
· Загрузочные вирусы (бутовые) – местом их обитания является загрузочный сектор диска. Подменяя собой стандартный загрузчик ОС такой вирус попадает в память раньше ОС. Заражение происходит в момент загрузки с зараженного диска.
· Резидентные вирусы оставляют в памяти свою часть после завершения работы зараженной программы.
· Макрокомандные вирусы живут в среде макрокоманд. Этот класс вирусов быстро развивается, что обусловлено большим документооборотом. Ряд таких вирусов жизнеспособен и в среде обычных файлов.
· Полиморфные вирусы способны менять свой код при заражении очередного объекта. Результатом этого может быть вирус, весьма отличающийся от исходного, но выполняющий сходные действия.
· Стелс-вирусы умеют скрывать свое присутствие в системе. Просматривая файл средствами ОС, увидеть стелс-вирус невозможно, так как он удаляет свое тело из файла, а после просмотра заражает его снова. Такие вирусы имеют резидентный блок, который перехватывает команды ОС и соответствующим образом реагирует на них.
Антивирусные программы
Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако, не существует антивирусов, гарантирующих стопроцентную защиту от вирусов. Более того, невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства - Фред Коэн.
Следующие термины применяются при обсуждении антивирусных программ:
· "Ложное срабатывание" (False positive) - обнаружение вируса в незараженном объекте (файле, секторе или системной памяти). Обратный термин - "False negative", т.е. необнаружение вируса в зараженном объекте.
· "Сканирование по запросу" ("on-demand") - поиск вирусов по запросу пользователя. В этом режиме антивирусная программа неактивна до тех пор, пока не будет вызвана пользователем из командной строки, командного файла или программы-расписания (system scheduler).
· "Сканирование на-лету" ("real-time", "on-the-fly") - постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т.п.). В этом режиме антивирус постоянно активен, он присутствует в памяти "резидентно" и проверяет объекты без запроса пользователя.
Типы антивирусных программ.
Сканеры (детекторы).
Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются "маски" (сигнатуры). Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса.
Во многих сканерах используются также алгоритмы "эвристического сканирования", т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения ("возможно заражен" или "не заражен") для каждого проверяемого объекта.
Сканеры подразделяются на:
· Универсальные – рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер.
· Специализированные – предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.
· Резидентные (мониторы), производящие сканирование "на-лету",
· Нерезидентные, обеспечивающие проверку системы только по запросу.
Как правило, "резидентные" сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как "нерезидентный" сканер способен опознать вирус только во время своего очередного запуска.
Достоинства – универсальность,
Недостатки – большие размеры антивирусных баз и относительно небольшая скорость поиска вирусов.
CRC-сканеры (ревизоры)
Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов и системных секторов. Эти CRC-суммы и некоторая другая информация: длины файлов, даты их последней модификации и т.д., затем сохраняются в базе данных антивируса. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
Достоинства:
CRC-сканеры, использующие анти-стелс алгоритмы, позволяют обнаружить практически 100% вирусов почти сразу после их появления на компьютере.
Недостатки:
CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах.
Блокировщики
Антивирусные блокировщики - это резидентные программы, перехватывающие "вирусоопасные" ситуации и сообщающие об этом пользователю. К "вирусоопасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.
Достоинства
способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что очень полезно в случаях, когда давно известный вирус постоянно "выползает неизвестно откуда".
Недостатки
1. существование путей обхода защиты блокировщиков
2. большое количество ложных срабатываний.
Иммунизаторы
Иммунизаторы делятся на два типа:
иммунизаторы, сообщающие о заражении, обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток – абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы практически не используются в настоящее время.
иммунизаторы, блокирующие заражение каким-либо типом вируса. Защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Такой тип иммунизации не может быть универсальним, поскольку нельзя иммунизировать файлы от всех известных вирусов.
Методика использования антивирусных программ
Нужно следить за тем, чтобы антивирусные программы, используемые для проверки, были самых последних версий.
Если вирус обнаружен в каком-то из новых файлов и еще не проник в систему, то нет причин для беспокойства: удалите этот файл (или удалите вирус любимой антивирусной программой) и спокойно работайте дальше.
В случае обнаружения вируса сразу в нескольких файлах на диске или в загрузочном секторе, проблема становится более сложной, но все равно разрешимой.
Если на компьютере найден вирус, то надо сделать следующее:
1. В случае обнаружения файлового вируса, если компьютер подключен к сети, необходимо отключить его от сети и проинформировать системного администратора. Если вирус еще не проник в сеть, это защитит сервер и другие рабочие станции от проникновения вируса. Если же вирус уже поразил сервер, то отключение от сети не позволит ему вновь проникнуть на компьютер после его лечения. Подключение к сети возможно лишь после того, как будут вылечены все серверы и рабочие станции.
При обнаружени загрузочного вируса отключать компьютер от сети не следует: вирусы этого типа по сети не распространяются (естественно, кроме файлово-загрузочных вирусов).
Если произошло заражение макро-вирусом достаточно на период лечения убедиться в том, что соответствующий редактор (Word/Excel) неактивен ни на одном компьютере.
2. Если обнаружен файловый или загрузочный вирус, следует убедиться в том, что вирус либо нерезидентный, либо резидентная часть вируса обезврежена: при запуске некоторые (но не все) антивирусы автоматически обезвреживают резидентные вирусы в памяти. Удаление вируса из памяти необходимо для того, чтобы остановить его распространение. При сканировании файлов антивирусы открывают их, многие из резидентных вирусов перехватывают это событие и заражают открываемые файлы. В результате большая часть файлов окажется зараженной, поскольку вирус не удален из памяти. То же может произойти и в случае загрузочных вирусов – все проверяемые дискеты могут оказаться зараженными.
Если используемый антивирус не удаляет вирусы из памяти, следует перезагрузить компьютер с заведомо незараженной и защищенной от записи системной дискеты. Перезагрузка должна быть «холодной» (клавиша Reset или выключение/включение компьютера), так как некоторые вирусы «выживают» при «теплой» перезагрузке.
3. При помощи антивирусной программы нужно восстановить зараженные файлы и затем проверить их работоспособность. Перед лечением или одновременно с ним - создать резервные копии зараженных файлов и распечатать или сохранить где-либо список зараженных файлов (log-файл антивируса). Это необходимо для того, чтобы восстановить файлы, если лечение окажется неуспешным. В этом случае придется прибегнуть к помощи какого-либо другого антивируса.
Гораздо надежнее, конечно, восстановить зараженные файлы из backup-копии (если она есть), однако все равно потребуются услуги антивируса - вдруг не все копии вируса окажутся уничтожены, или если файлы в backup-копии также заражены.
В случае загрузочного вируса необходимо проверить все дискеты независимо от того, загрузочные они или нет. Даже совершенно пустая дискета может стать источником распространения вируса - достаточно забыть ее в дисководе и перезагрузить компьютер (если, конечно же, в BIOS Setup загрузочным диском отмечен флоппи-диск).
Необходимо обращать особое внимание на чистоту архивов (ZIP, ARC, ICE, ARJ и т.д.) Если случайно упаковать файл, зараженный вирусом, то обнаружение и удаление такого вируса без распаковки файла затруднено. Антивирусные программы, неспособные сканировать внутри упакованных файлов, сообщат о том, что от вирусов очищены все диски, но через некоторое время вирус появится опять.
Никто не гарантирует полного уничтожения всех копий компьютерного вируса. Поэтому целесообразно некоторое время после удаления вируса постоянно пользоваться резидентным антивирусным сканером (не говоря уже о том, что желательно пользоваться им постоянно)
Способы заражения компьютерным вирусом.
Дата: 2019-05-28, просмотров: 185.