- •I семестр
- •Типовые технологические процессы в сервисе компьютеров.
- •Тема 2. Сборка компьютеров.
- •Пример инструкции сборки системного блока персонального компьютера
- •Порядок сборки
- •Тема 3. Подключение компьютеров.
- •Настройка компьютеров.Необходимость настройки
- •Способы настройки системных плат компьютеров
- •Настройка с помощью setup bios.Назначение setup bios
- •Главное меню setup
- •Установка параметров bios
- •Пример параметров чипсета
- •Тема 4. Установка операционной системы. Основные понятия.
- •Взаимодействие ос и базовой системы ввода-вывода
- •Развитие технологий установки ос
- •Варианты установки
- •Этапы установки ос
- •Тема 5. Установка прикладных программ.
- •Развитие процессов установки
- •Типовые этапы установки прикладных программ
- •Системный реестр Windows как пример системной структуры данных
- •Резервирование системного реестра
- •Восстановление поврежденного реестра
- •Удаление ненужных данных из системного реестра
- •Тема 6. Тестирование компьютеров. Необходимость тестирования.
- •Виды процессов тестирования
- •Тестовое программное обеспечение
- •Состав тестового по на предприятии
- •Принципы тестирования некоторых блоков компьютера
- •Основная память
- •Кэш-память
- •Накопитель на жестких дисках (hdd - Hard Disk Drive)
- •Информационное обеспечение специалистов по сервису
- •Тема 7. Подключение и настройка внешних устройств. Подключение
- •Установка на примере драйвера принтера
- •Настройка внешних устройств
- •Структура подсистемы ввода-вывода
- •Системные ресурсы персонального компьютера
- •Настройка ресурсов, требуемых устройством
- •Технология PnP
- •Настройка параметров ввода-вывода в чипсете
- •Настройка драйвера на примере принтера hp lj 6l
- •2. Ориентациядокумента на странице.
- •Параметры устройства
- •Настройка изображения на мониторе
- •Тема 8. Антивирусная профилактика и восстановление.
- •Терминология, история проблемы, возможности решения
- •Антивирусная профилактика
- •Основные возможности антивирусных программ
- •Выбор антивируса
- •Симптомы заражения
- •Проверка электронной почты
- •Сравнение антивирусов по скорости реакции на новые угрозы.
- •Основные способы защиты информации в вычислительной системе.
- •Тема 9. Профилактика и восстановление ос. Повреждения информации.
- •Классификация повреждений информации.
- •Восстановление информации в случае неисправности жесткого диска
- •Что такое чистая комната?
- •Замена головок и блока головок
- •Замена микросхемы предварительного усилителя-коммутатора
- •Адаптивное копирование информации
- •Разгерметизация камеры и восстановление информации
- •Восстановление файлов прикладных программ.
- •Профилактика очистки дисков.
Тема 8. Антивирусная профилактика и восстановление.
Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию. Убытки, приносимые компьютерными вирусами, ежегодно достигают величин в сотни миллионов долларов.
Терминология, история проблемы, возможности решения
Классическое определение компьютерного вируса было дано в 1984 г и звучит как: “компьютерный вирус — это программа, которая может заражать другие программы, изменяя их посредством добавления своей, возможно модифицированной, копии, которая сохраняет способность к дальнейшему размножению".
Автор уходит от понятия "саморазмножение" изменяет его производным — "заражение" (раз вирус должен размножаться, то в результате этого некоторые объекты должны приобрести копию вируса, т.е. заразиться), считая его определяющим свойством вируса.
Современные исследователи считают, что это определение нуждается в уточнениях.
Например, "копии", которые могут быть "модифицированными", т.е. не совпадать с оригиналом - противоречие. Здесь имеются в виду возможность вируса к "мутациям", когда в новую копию он может вставлять случайные ничего не значащие команды, шифровать свое тело с другим ключом и т.д.
Сейчас уже непонятно, почему разговор ведется только о программах? Как известно, новые типы вирусов могут внедряться в другие объекты (не программы), модифицируя их и вычислительную среду так, что при запуске программы они получают управление. Пример — вирус Dir, ничего не меняющий в файлах программ, так модифицирует таблицу расположения файлов (FAT), что запуск любой программы приводит сначала к исполнению вируса.
Так называемые сетевые черви полностью выпадают из этого определения, т.к. они заражают не отдельную программу, а целую компьютерную систему.
Некоторые авторы считают, что точного определения понятия "компьютерный вирус" до сих пор нет.
Классификация вирусов может проводится по различным признакам.
По среде распространения часто говорят о
загрузочных вирусах;
файловых вирусах;
макровирусах;
сетевых вирусах.
Загрузочные (бутовые) вирусы
Загрузочные вирусы записывают себя либо в загрузочный сектор дис-ка (boot-сектор), либо в сектор, содержащий системный загрузчик винче-стера (Master Boot Record), либо меняют указатель на активный boot-сектор. Легко распространяются в boot-секторах дискет. В настоящее время мало распространены, но не исключена возможность "реанимации" такого вируса из какого-либо старого архива.
Файловые вирусы
Файловые вирусы либо различными способами внедряются в выполняе-мые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы). Таким образом, файловый вирус распространяется при переносе и последующем запуске выполняемого файла (а не при загрузке зараженной ОС).
Существуют комбинированные файлово-загрузочные вирусы.
Макровирусы
Макро-вирусы заражают файлы-документов, электронные таблицы нескольких популярных редакторов, базы данных и другие приложения, имеющие свои собственные языки программирования, выполняемые в режиме интерпретации (то есть транслируемые построчно). Такие средства программирования встроены в подавляющее число современных крупных прикладных программ. Поэтому макровирусы могут использовать очень разнообразные способы распространения, а иногда и несколько способов. В настоящее время они, пожалуй, более распространены, чем файловые.
Сетевые вирусы (червь, worm)
Сетевые вирусы используют для своего распространения команды программного обеспечения компьютерных сетей и прикладных сетевых программ, таких как электронная почта, веб-браузеры, службы обмена файлами. В настоящее время происходит опасное развитие именно этой категории вирусов.
Существует большое количество сочетаний, например сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Во многих случаях используются термины, характеризующие особенности действия вируса в зараженном компьютере и уклонения от антивирусных программ:
резидентные вирусы;
стелс-вирусы;
самошифрующиеся вирусы;
полиморфики.
Резидентные вирусы
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время.
Резидентными можно считать макро-вирусы, посколько они постоянно присутствуют в памяти компьютера все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.
Стелс-вирусы ("невидимки")
Использование специальных алгоритмов позволяет вирусам полностью или частично скрыть себя в системе от обычных системных программ. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ - запрет вызовов меню просмотра макросов.
Самошифрующиеся вирусы
Из названия следует, что они шифруют свой код, стараясь скрыть его от антивирусных программ. При активизации происходит обратное расшифрование и выполнение кода вируса.
Полиморфики
Усовершенствованная разновидность самошифрующихся вирусов. Вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Употребляются также обозначения, означающие способ выполнения вредной функции вирусом. Здесь нет устоявшейся классификации, рассмотрим некоторые из таких терминов.
Троян ("троянский конь", troyan)
Программа, выполняющая вредную функцию под прикрытием полезной или безобидной (игры, обслуживающей функции).
BackDoor ("бэкдор", "черный ход", "лазейка")
Скрытая программа, необнаруживаемая обычными средствами, но предоставляющая злоумышленнику нужные ему средства.
DoS-атака
Denied of Service - Нарушение обслуживания. Способ вывода компьютера из работоспособного состояния путем разрушения его способности отвечать на запросы пользователей. Чаще всего для этого используется перегрузка каких-либо ограниченных ресурсов компьютера, например, пропускной способности его сетевых подключений.
DDos-атака
Distribute Denied of Service - Распределенное нарушение обслуживания. Способ организации DoS-атаки, когда сетевые каналы атакуемого компьютера перегружаются из-за одновременной посылки запросов или сообщений со стороны многих (сотен и тысяч) специально подготовленных (обычно зараженных) компьютеров.
Как правило, в качестве атакующих подставляются зараженные компьютеры совершенно посторонних пользователей.
Эта разновидность приобрела угрожающий характер в настоящее время.
История проблемы компьютерных вирусов
Исторические сведения приводятся по "Вирусной энциклопедии" Касперского - известного разработчика антивирусных программ.
Первый этап (до середины 1980-х гг)
Первые исследования саморазмножающихся искусственных конструкций проводились в середине прошлого столетия. В работах фон Неймана, Ви-нера и других авторов дано определение и проведен математический ана-лиз конечных автоматов, в том числе и самовоспроизводящихся. На компьютерах 60-х годов периодически появлялись программы, которые получили название "кролик" (the rabbit). Эти программы клонировали себя, занимали системные ресурсы и таким образом снижали производительность системы. Они не передавались от системы к системе и являлись местными явлениями - результатами исследований системных программистов, обслуживавших компьютер. Первый вирус появился где-то в самом начале 70-х или даже в конце 60-х годов, хотя "вирусом" его никто еще не называл. Он дописывал себя к выполняемым файлам - делал практически то же самое, что тысячи современных компьютерных вирусов.
Термин "компьютерный вирус" появился позднее - официально считается, что его впервые употребили в 1984 г.
В первой половина 1970-х гг был создан вирус, использовавший для своего распространения глобальные компьютерные сети. Вирус был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. Для борьбы с этим вирусом была создана первая известная антивирусная программа.
В целом первый этап характеризуется исследовательским происхождением вирусов, их слабой распространенностью и отсутствием ощутимого вреда.
Второй этап (середина 1980-х -1990-е гг)
Второй этап в развитии вирусов был спровоцирован быстрым ростом производства и резким снижением цен на компьютеры IBM PC и связан с достижением "критической массы" произведенных компьютеров. В отличие от первого второй этап носит характер противостояния пользователей безответственным или уголовным элементам.
Появляется все больше и больше программ, авторами которых являются не фирмы, а частные лица, причем эти программы имеют возможность свободного хождения. Результатом этого является появление большого числа разнообразных "троянских коней" - программ, которые под видом полезной функции при их запуске наносят системе какой-либо вред. Тогда же появляются загрузочные вирусы, распространяющиеся через сменные носители информации, например, дискеты.
В 1984 г появился первый стелс-вирус - при попытке чтения зараженного загрузочного сектора он "подставлял" его незараженный оригинал.
В 1986 г обнаружили, что программа персонального компьютера может делать собственные копии путем добавления своего кода к выполняемым DOS-файлам (файловый вирус).
В 1987 появился первый самошифрующийся вирус и первый сетевой вирус, который смог распространится (среди не персональных компьютеров). В ноябре 1988 произошла эпидемия сетевого червя Морриса (по имени создателя). Вирус заразил более 6000 компьютерных систем в США (включая NASA Research Institute) и практически парализовал их работу. Вирус использовал для своего размножения ошибки в операционных системах и подбор паролей пользователей.
Моррис был отчислен из Корнельского университета, а Министерство юстиции США довольно долго изучало вопрос о возможности привлечения Морриса к суду на основе действующего законодательства.
В 1990 г начался судебный процесс по делу Морриса. Нанесенный ущерб был оценен в 150 тыс. долл. Процесс над Моррисом стал возможен в результате принятия в 1986 году федерального закона США об ответственности за преступления, связанные с компьютерами. Моррису грозил штраф в 250 тыс. долл. и тюремное заключение сроком до 5 лет. Адвокат Морриса утверждал, что тот якобы создал вирус для проведения эксперимента по проверке защиты компьютера, но при этом допустил ошибку, которая и привела к нежелательным результатам. Моррис, по словам адвоката, не стремился нанести какой-либо ущерб компьютерным системам США. Суд присяжных признал Морриса виновным. Он был приговорен к условному заключению сроком на два года, 400 часам общественных работ и штрафу размером 10 тыс. долл. Это был первый прецедент наказания за создание и распространение вирусов.
1989 г отмечен появлением опасного вируса, форматирующего жесткие диски. Этот вирус вызвал истерию в средствах массовой информации в Голландии и Великобритании.
В этом же году произошел инцидент с "троянским конем". После 90 загрузок системы "троянец" шифровал имена всех файлов на диске, делал их невидимыми (атрибут "скрытый") и оставлял на диске только один читаемый файл - счет на 189 долларов, который следовало послать по адресу автора. Автор был пойман и приговорен к тюремному заключению.
1990 год принес появление первых полиморфик-вирусов "Chameleon". До этого момента антивирусные программы для поиска вирусов пользовались так называемыми "масками" - кусками вирусного кода. После появления вирусов "Chameleon" разработчики антивирусных программ были вынуждены искать другие методы их обнаружения.
В 1992 г произошел первый известный случай, когда антивирусные компании раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а в целях извлечения коммерческой выгоды. Так одна американская антивирусная компания заявила, что 6-го марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в дейтсвительности пострадало всего около 10 000 компьютеров.
В конце 1992 появился первый вирус для Windows, заражающий выполняемые файлы этой операционной системы.
С 1994 г все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярными, эти диски оказались одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных дисков.
Август 1995 г: обнаружен первый вирус для Microsoft Word (макровирус). Июль 1996 г: первый вирус для Microsoft Excel. Принцип действия основывается на наличии в файлах документов так называемых макросов - программ на языке Basic. Оказалось, что встроенный в Excel язык Basic также позволяет создавать вирусы.
В 1997 г появились макровирусы, использующие не только возможности MS Word, но также рассылающие свои копии по электронной почте. Далее в 1998 - первый вирус, заражающий два различных приложения MS Office: Access и Word и переносящмй свой код из одного Office-проложения в другое.
В июне 1998 произошла эпидемия вируса "Win95.CIH", ставшая глобальной. Следует обратить внимание на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы.
В этом же году отмечено появление "BackOffice" - вирусных утилит скрытого администрирования удаленных компьютеров и сетей.
Третий этап (с конца 1990-х гг)
В конце 1990-х гг Касперский писал: "Тенденции 1998 отмечены следующим: появлением вирусов, заражающих Web-страницы. Становится достаточно очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, Web-серверы и активно распространяющегося по электронной почте."
К сожалению, его прогноз подтвердился. Этот этап характерен следующим:
- преобладанием интернет-вирусов;
- использованием вирусами многочисленных способов распространения в интернете, не только через электронную почту, но и через многие другие сетевые электронные средства (веб-страницы, службы обмена сообщениями, такие, как ICQ, любительские файлообменные сети);
- криминализацией использования вирусов (в качестве средства вымогательства против компаний, бизнес которых основан на интернет; для проникновения с целью подготовки кражи информации или перевода безналичных денег).
Приведем в качестве примера только одну из недавних угроз (приводится по текстам предупреждений антивирусных фирм в январе и феврале 2004).
"I-Worm.Mydoom" - вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa (сеть обмена музыкальными файлами).
Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении в письмо). В этом случае червь инсталлирует себя в систему и запускает процедуры своего самораспространения.
Часть тела вируса зашифрована.
При инсталляции червь копирует себя с именем "taskmon.exe" в сис-темный каталог Windows и регистрирует этот файл в параметрах автозапуска системного реестра.
В отличие от одноименного системного файла Windows, файл червя всегда имеет размер 22 528 байт.
Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом и также регистрирует его в системном реестре.
Функции "бэкдора" позволяют злоумышленнику получить полный доступ к зараженному компьютеру, во время его работы в интернете. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы.
При рассылке зараженных писем червь использует собственную почтовую библиотеку, пытаясь осуществить прямое подключение к почтовому серверу получателя.
Для обнаружения адресов электронной почты, по которым будет вес-тись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения, связанные с интернет, и собирает найденные в них адреса электронной почты.
В черве заложена функция организации DoS-атаки на сайт www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисе-кунду червь способен отсылать на атакуемый сайт запрос о получении услуг, что в условиях глобальной эпидемии может привести к полной перегрузке и отключению данного сайта.
Добавим, что так и произошло. Сайт www.sco.com был временно выведен из строя.
На фоне непрекращающегося роста количества заражений червем Mydoom.A был зафиксирован и его новый вариант - Mydoom.B. Новый вредоносный код был разработан с целью атаки на серверы корпорации Microsoft.
Mydoom.A вызвал одну из самых больших эпидемий за всю историю существования компьютерных вирусов. Статистика свидетельствует, что в пике эпидемии было заражено каждое двенадцатое электронное письмо.
Согласно данным, собранным онлайновым антивирусом Panda ActiveScan (в сутки он делает более 20 000 проверок компьютеров, рас-положенных по всему миру), Mydoom.A заразил в шесть раз больше компьютеров, нежели находящийся на втором месте по уровню распространения.
Возможности решения проблемы
Основная "питательная среда" для массового распространения вируса в компьютерах, по мнению Касперского, обязана содержать следующие необходимые компоненты:
- незащищенность операционной системы (ОС);
- наличие разнообразной и довольно полной документации по OC и аппаратной части;
- широкое распространение этой ОС и соответствующих компьютеров.
Следует отметить, что понятие операционной системы достаточно растяжимое. Например, для макровирусов операционной системой являются редакторы Word и Excel, поскольку именно редакторы, а не Windows предоставляют макровирусам (т.е. программам на бейсике) необходимые ресурсы и функции.
В обозримом будущем не представляется возможным кардинальное изменение аппаратной части персональных компьютеров. Также невозможно и усечение потока информации по ОС, так как это ударит по числу приложений для них, а следовательно, и по их "продаваемости".
Защищенность ОС требует исполнения некоторых правил (паролей и т.п.), что приводит к ряду неудобств. Поэтому (как считает Касперский), вряд ли такие ОС станут популярными в среде обычных пользователей, либо функции защиты будут отключаться пользователем еще при установке ОС.
Исходя из вышесказанного он делает вывод о том, что ситуация не будет улучшаться в обозримом будущем и единственное, что реально остается - технологии антивирусной профилактики и восстановления.