Антивирус.ppt
- Количество слайдов: 15
Вирусы и антивирусные программы 1. Определение вируса 2. Даты появления первых вирусов 3. Классификация вирусов по результату воздействия 4. Классификация вирусов по месторасположению 5. Методы определения компьютерных вирусов (перечислить и любых два пояснить) 6. Антивирусные программы: • Назначение • Классификация 7. Составные части полифагов
Вирусы и антивирусные программы 1. Программный вирус – небольшая программа, способная «размножаться» (самокопироваться) и наносить вред данным и программам, хранящимся в компьютере. 2. Из истории компьютерных вирусов: - 1986 г. Вирус «Brain» переносился с компьютера на компьютер через дискеты; - 1988 г. «Червь Моррисона» бесконтрольно распространился через сеть и парализовал работу порядка 6000 компьютеров в США; - 2000 г. Вирус «ILOVEYOU» передавался через электронную почту как вложенный файл к сообщению, после активизации разрушал файловую систему, переименовывая типы файлов.
Классификация вирусов (по результатам воздействия) – безвредные (уменьшают объем памяти, свободное место на диске, т. е. размножаются); - неопасные (от предыдущих отличаются только тем, что их действия сопровождаются графическими и звуковыми эффектами); - опасные (приводят к сбоям и зависаниями в работе компьютера); - особо опасные (необратимые разрушения файловой системы - удаляют данные, программы, форматируют винчестер).
Классификация вирусов (по среде обитания) – загрузочные или boot-вирусы (записываются в загрузочный сектор диска, при загрузке ОС внедряется в ОЗУ); - файловые (внедряются в исполняемые файлы); - макровирусы (программы, написанные на VB, заражают документы); - сетевые (вирусы, проникающие в компьютер через электронные письма, INTERNET); - трояны (похищают служебную информацию, например, пароль доступа в INTERNET)
Методы определения компьютерных вирусов Методы, с помощью которых антивирусные программы обнаруживают компьютерный вирус: Сканирование сигнатур Проверка целостности Эвристический анализ Анализ макро вирусов Полиморфный анализ
Сканирование сигнатур Этот метод находит вирусы по неизменным кодам (сигнатурам), сравнивая сигнатуру вируса с эталонной, которая хранится в специальной базе, содержащей сигнатуры вирусов. Метод не годится для stealth-вирусов и polymorphic-вирусов.
Проверка целостности Данный метод основан на сравнении контрольной суммы проверяемого файла и контрольной суммы этого же файла, хранящегося в некоторой базе. Несовпадение этих сумм свидетельствует о возможном заражении файла. Метод не применим к новым файлам.
Эвристический анализ Анализируется поведение программы на предмет неординарных действий, свойственным компьютерным вирусам: стремление остаться резидентным, осуществить запись в загрузочные сектора или отформатировать жесткий диск. Так как эвристическое сканирование является вероятностным методом поиска вирусов, то его использование приводит к большому количеству ложных срабатываний.
Полиморфный анализ Метод направлен на обнаружение полиморфных вирусов. Эмулятор воспроизводит работу подозрительной программы в специальной защищенной виртуальной области и при этом анализирует поведение, контролируя действие программы. При необходимости он может прервать ее выполнение, не давая ничего испортить.
Анализ макровирусов Данный метод осуществляет поиск макросов в файлах офисных приложений и затем проверяет их на наличие вирусов.
Антивирусные программы 1. Предназначены для предотвращения заражения компьютерными вирусами и ликвидации последствий заражения. 2. Виды антивирусных программ: - блокировщики (перехватывает изменение и переименование исполняемых файлов, запись в загрузочный сектор диска. Пример – встроенная в BIOS Setup защита от записи в загрузочный сектор диска); - иммунизаторы (предназначены для защиты системы от поражения вирусом только определенного типа. Сейчас практически не используются, т. к. нельзя проиммунизировать файлы от всех известных вирусов).
Антивирусные программы - ревизоры или CRC-сканеры (используют метод проверки целостности (проверка контрольных сумм). Не способны обнаружить вирус в новых файлах. Программа-ревизор Adinf – для ежедневной проверки файлов, анализирует изменения на дисках); - полифаги (многофункциональные программы: проверка ОЗУ, секторов и файлов, поиск известных и новых вирусов на основе методов сканирования сигнатур и эвристического анализа)
Компоненты полифагов 1. Монитор – резидентная программа, постоянно проверяет на вирусы объекты, к которым происходит обращение (запуск, открытие, создание файлов и т. п. ) Позволяет обнаружить вирус в момент его загрузки в оперативную память (немедленная реакция на появление вируса). Недостаток – замедление работы ОС, конфликт с другими программами, загруженными в ОС.
Компоненты полифагов 2. Сканер – автоматически, через заданные промежутки времени или вручную проводит сканирование компьютера на наличие вирусов. Проводит лечение, блокировку или удаление подозрительных объектов. 3. Центр управления – автоматизирует работу всей антивирусной программы.
Примеры полифагов 1. Anti. Viral Toolkit Pro лаборатории Касперского. 2. Dr. Web лаборатории Данилова 3. NOD 32 фирмы Eset


