- •Краткая аннотация
- •Назначение сервисных программ
- •Вопросы для самоконтроля
- •1. Назначение сервисных программ.
- •Пакет сервисных программ
- •Утилиты устранения неполадок
- •Утилиты оптимизации
- •Утилиты профилактики
- •Информационные утилиты
- •Дополнительные утилиты
- •Вопросы для самоконтроля
- •Драйверы
- •Вопросы для самоконтроля
- •4. Понятие архивации
- •4.1. Архиватор WinZip
- •4.2. Архиватор WinRar
- •Меню File
- •Меню Commands
- •Меню Options
- •Меню Help
- •4.3. Сравнение WinZip и WinRar
- •4.4. Архиватор Arj
- •Основные команды Arj
- •Вопросы для самоконтроля
- •5. Компьютерные вирусы
- •5.1. Прошлое, настоящее и будущее компьютерных вирусов
- •5.2. Понятие и классификация компьютерных вирусов
- •5.3. Схемы функционирования основных видов вирусов
- •5.4. Обнаружение вирусов и меры защиты от них
- •Признаки появления вирусов
- •Программы обнаружения и защиты от вирусов
- •Выбор антивирусных программ
- •Основные практические меры по защите от вирусов
- •Вопросы для самоконтроля
- •Литература
- •Глоссарий
- •Какие типы программ относятся к сервисным?
- •Тренинг умений1
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Задание 2. Удалить файл квартплата из своей папки. Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Рекомендации по выполнению
- •Основы информатики и вычислительной техники
5.2. Понятие и классификация компьютерных вирусов
Таким образом, причины появления и распространения компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и ее теневых сторонах (зависти, мести, тщеславии непризнанных творцов, невозможности конструктивно применить свои способности), с другой стороны, обусловлены отсутствием аппаратных средств защиты и противодействия со стороны операционной системы персонального компьютера.
Считается, что распространение компьютерных вирусов началось в середине 80-х годов с появлением игровых программ. Первые вирусы имели весьма «скромную» цель – уничтожить информацию в заданной области памяти. Настоящие вирусы с уже неограниченной зоной действия появились в 1986г. и с тех пор дают неплохие заработки разработчикам антивирусного программного обеспечения. Скорее всего, война между вирусами и антивирусными программами никогда не закончится полной победой одной из сторон, хотя та и другая – уже достигли пределов возможного в искусстве программирования.
Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру и наносящих ущерб хранимой в компьютере информации.
Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.
Формальное определение компьютерного вируса до сих пор не придумано.
Количество программных вирусов непрерывно растет. Создаются даже учебные пособия, помогающие в написании вирусов.
Так что же такое компьютерный вирус?
Одно из самых известных толкований принадлежит В.Э.Фигурнову, чья книга «IBM PC для пользователей» известна многим читателям еще с середины 80-х годов. «Это специально написанная небольшая по размерам программа, которая может приписывать себя к другим программам (т.е. заражать их), а также выполнять различные нежелательные действия на компьютере».
Е.Касперский, автор антивируса Касперского (бывший AVP), считает что «вирус – это программа (т.е. некоторая совокупность выполняемого кода), которая может создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, вычислительные сети и т.д. При этом копии сохраняют способность дальнейшего распространения».
Н.Н.Безруков один из первых отечественных вирусологов, в конце 1980-х и начале 1990-х годов опубликовал ряд книг на вирусологическую тему, среди которых «Компьютерная вирусология». По его мнению, компьютерный вирус – это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т.е. «заражать» их), а также выполнять различные нежелательные действия на компьютере.
Веселин Бончев, известный вирусолог, дает такое определение вируса: «…это последовательность символов, которая, будучи интерпретирована компьютером, добавляет себя к другим символьным последовательностям, чтобы компьютеры, интерпретируя их, в дальнейшем рекурсивно распространяли (возможно, модифицированную) исходную последовательность».
Фред Коэн, теоретик вирусологии, автор термина «компьютерный вирус», считает, что вирус – «…программа, которая может инфицировать другие программы, модифицируя их с целью внедрения в них возможно измененной копии себя».
А вот еще несколько определений.
Универсальная энциклопедия. Компьютерный вирус – это программа ЭВМ, способная без ведома пользователя и вопреки его желанию самопроизвольно размножаться и распространяться, нарушая работоспособность программного обеспечения ЭВМ (отсюда его название по аналогии с болезнетворным вирусом).
Толковый словарь русского языка. Компьютерный вирус (спец.) – специально созданная небольшая программа, способная присоединяться к другим программам ЭВМ, засорять оперативную память и выполнять другие нежелательные действия ( похоже на определение Н.Н.Безрукова).
Энциклопедия компьютеров. Компьютерные вирусы – это программы, способные распространяться самостоятельно, дописывая свой код для этого к файлам или в служебные области диска.
Из всех определений ясно, что единственным средством, присущим всем типам вирусов является то, что вирус – это программа, обладающая способностью к самовоспроизведению. Копии вируса не только не обязаны полностью совпадать с оригиналом, но и могут вообще с ним не совпадать.
Обобщая существующие определения, можно сказать, что компьютерный вирус – это специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе компьютера.
История компьютерной вирусологии представляется сегодня постоянной «гонкой за лидером», причем несмотря на всю мощь современных антивирусных программ, лидерами являются именно вирусы. Среди тысяч вирусов лишь несколько десятков являются оригинальными разработками, использующими действительно принципиально новые идеи. Все остальные – модификация имеющихся. Но каждая оригинальная разработка заставляет создателей антивирусов приспосабливаться к новым условиям, догонять вирусную технологию.
Вирусы можно разделить на классы по следующим основным признакам:
среда обитания;
операционная система;
особенности алгоритма работы;
деструктивные возможности.
По среде обитания вирусы можно разделить на: файловые, загрузочные, макро, сетевые.
Файловые вирусы либо различными способами внедряются в выполняемые файлы, либо создают файлы-двойники, либо используют особенности организации файловой системы.
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.
Макровирусы заражают файлы-документы и электронные таблицы соответствующих программ.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний – например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные секторы дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему. Другой пример такого сочетания – сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Заражаемая операционная система. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких операционных систем: Ms Dos, Ms Windows, Win95/NT, OS/2 и т.д. Макровирусы заражают файлы форматов Word, Excel, Office. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
Среди особенностей алгоритма работы вирусов выделяются следующие: резидентные, самошифрование и полиморфичность, использование нестандартных приемов.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Резидентными можно считать макровирусы, поскольку они постоянно присутствуют в памяти компьютера. При этом роль операционной системы берет на себя соответствующий редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора.
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы – это достаточно трудно обнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре операционной системы, защитить от обнаружения свою резидентную часть, затруднить лечение от вируса и т.д.
По особенностям алгоритма вирусы трудно классифицировать из-за большого их разнообразия.
По деструктивным возможностям вирусы можно разделить на:
безвредные, т.е. никак не влияющие на работу компьютера, кроме уменьшения свободной памяти на диске в результате своего распространения;
неопасные, т.е. не мешающие работе компьютера. Их влияние ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера. В алгоритм их работы заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, способствовать быстрому износу движущихся частей механизмов – вводить в резонанс и разрушать головки некоторых типов винчестеров.
Вообще говоря, проблема компьютерных вирусов является одной из бесчисленных разновидностей «деструктивной изобретательности».
Есть и иные подходы в классификации вирусов.
Простейшие вирусы изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные, или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
На практике вирусы грубо можно разделить на три класса:
Программы, которые «заражают» другие программы, модифицируя их таким образом, чтобы «зараженные» содержали копию вируса. Такой вирус может считаться чем-то вроде добавленного к программе модуля.
Черви – это программы, которые могут самостоятельно переноситься от одного компьютера к другому, а, следовательно, «размножаться», имея «жизненные циклы» как у червей. Программы, среди которых они разместились, они не изменяют в таком же смысле, в каком солитер не изменяет человека.
Троянские кони – это самостоятельные программы. Они притворяются нормальными программами, но во время активности, когда они функционируют будто бы для решения задач пользователя, «в тылу» происходят совсем другие скрытые процессы. Занимаются они от распознавания, сбора, пересылки паролей до ликвидации данных или целого диска. Их можно считать «троянскими конями», которые всегда связаны с имитацией программы.