Главная    Почта    Новости    Каталог    Одноклассники    Погода    Работа    Игры     Рефераты     Карты
  
по Казнету new!
по каталогу
в рефератах

Компьютерные вирусы

ми,   а
репликаторами, поскольку они не заражают  выполняемые  программы,  а  просто
распространяются по  сети   от  одной   ЭВМ  к  другой.  Буквальный  перевод
соответствующего  англоязычного  термина   Worm  -   червяк   представляется
менее   удачным,   чем  предлагаемый  термин  репликатор.  В  свою  очередь,
репликатор,  подобно  кассетной  боеголовке,   может  переносить   с   собой
троянских коней и обычные вирусы. К  счастью, два наиболее известных  случая
создания таких вирусов не связаны с вандализмом.

                . Вирус Christmas Tree (Рождественская елка)

        Рассматриваемый    вирус      написан     студентом     университета
ClausthalZellerfeld (Германия),  который в  конце декабря  1987 г.  запустил
его в университетской сети.  Название вируса  связано с тем, что он  рисовал
на экране дисплея  новогоднюю елку  и затем  рассылал себя по всем  адресам,
найденным  на  зараженном   компьютере,   используя   механизм   электронной
почты. Вирус был написан на языке  управления  заданиями  REXX  операционной
системы VM/CMS.  Фактически это  один из  немногих  вирусов,  написанных  на
языке управления  заданиями, и это свидетельствует  о  мощности  и  гибкости
REXX --  несомненно лучшего  из множества языков  управления  заданиями  для
компьютеров системы 360/370



                                ПРИЛОЖЕНИЕ 2

     АНТИВИРУСНЫЕ ПРОГРАММЫ

                               AVP Inspector™
    Что такое AVP Inspector™

AVP Inspector™ – это антивирусная программа-ревизор  диска,  работающая  под
управлением операционной системы  Microsoft  Windows  95/98®  или  Microsoft
Windows NT®.
AVP Inspector следит за изменениями содержимого  файлов  и  директорий.  Она
может использоваться в качестве вспомогательной антивирусной  программы  или
для контроля над изменениями на диске.
Программа значительно уменьшает время проверки дисков антивирусным  сканером
AVP, так как после  окончания  проверки  дисков  на  изменения,  AVPI  может
передать на проверку сканеру AVP только новые и измененные файлы.

Ее работа  основана  на  сохранении  основных  данных  о  диске  в  таблице,
содержащей образы  Master-Boot  и  Boot  секторов,  список  номеров  сбойных
кластеров, схему дерева  каталогов  и  информацию  обо  всех  контролируемых
файлах.
Кроме того, AVP Inspector запоминает и  при  каждом  запуске  проверяет,  не
изменился  ли  доступный  DOS  объем  оперативной  памяти  (что  бывает  при
заражении  большинством  загрузочных  вирусов),   количество   установленных
винчестеров.  При  всех  этих  проверках  программа  просматривает  диск  по
секторам непосредственно  через  IOS  и  не  использует  стандартные  методы
(прерывания INT 21h и INT 13h), что позволяет успешно обнаруживать  активные
маскирующиеся вирусы, находящиеся в памяти и взявшие на себя обработку  этих
жизненно важных (для компьютера) прерываний.

    Основные особенности AVP Inspector

Основными особенностями AVP Inspector являются:

·     Работа  в  среде  Microsoft  Windows  95,  Microsoft  Windows  98  или
Microsoft Windows NT;
·     Возможность разбора файловых систем (FAT12, FAT16, VFAT32,  NTFS)  без
использования  обращений  к  функциям  операционной  системы,  работающих  с
файлами;
·     Возможность проверки сетевых дисков;
·     Обращение к дискам  напрямую  через  драйвер  IOS  (супервизор  ввода-
вывода) в обход DOS-резидентов (в частности Boot вирусов, перехвативших  13h
прерывание при загрузке компьютера);

·      Истинная  32-х   разрядность,   многозадачная   работа,   графический
интерфейс;
·     Доступ к компрессионным дискам в обход DOS;
·     Восстановление загрузочных секторов;
·     Ведение базы данных о предыдущих проверках;
·     Анализ измененных файлов на схожее изменение длины;
·     Работа с OLE2 документами (документы Word, Excel и Access);
·     Возможность восстановления исполняемых файлов DOS,  Windows  95/98/NT,
которая обеспечивается лечащим модулем AVPI Cure Module;

·     Возможность обнаружения активных Stelth-вирусов.
·     Контроль за изменениями в системном реестре.

    Принципы работы ревизора AVP Inspector™

Антивирусные ревизоры имеют единый принцип работы,  основанный  на  подсчете
CRC-сумм для дисковых секторов и файлов,  сохранении  их  в  некоторой  базе
данных (таблице) и последующем сравнении  реальных  (новых)  CRC-сумм  с  их
оригинальными значениями, хранящимися в базе данных.  В  базе  данных  также
хранится дополнительная информация о файлах - их  длины,  время  создания  и
последней модификации, атрибуты и  данные,  необходимые  для  восстановления
измененных (зараженных) файлов. В базе данных также хранятся  полные  образы
загрузочных секторов диска (Master-Boot  и  Boot),  список  номеров  сбойных
кластеров,  схема  дерева  подкаталогов  и  прочая   информация   обо   всех
контролируемых объектах.

Помимо  этого,  AVP  Inspector™  запоминает  и  затем  при  каждом   запуске
проверяет информацию об  операционной  системе  и  установленном  аппаратном
обеспечении: объем оперативной памяти  (контроль  на  заражение  загрузочным
вирусом),  количество  установленных  жестких  дисков  и   некоторые   ключи
системного реестра.  При  проверках  AVP  Inspector  обращается  к  секторам
диска напрямую непосредственно через IOS и не использует стандартные  методы
(прерывания INT 21h и INT 13h).  Данная  особенность  работы  AVP  Inspector
позволяет ему успешно обнаруживать и  ликвидировать  так  называемые  стелс-
вирусы (вирусы-невидимки).



    ОСОБЕННОСТИ РАБОТЫ AVP Inspector в MS Windows NT

В  связи  с  архитектурными  особенностями  Microsort   Windows   NT®,   AVP
Inspector™ не производит следующие проверки:

·     Отладочных регистров
·     Проверка размера доступной DOS памяти


AntiViral Toolkit Pro для Windows 95/98/NT


AntiViral  Toolkit  Pro  для  Windows  95/98/NT  представляет  собой  мощную
интегрированную  антивирусную  систему,  которая   включает   в   себя   два
программных модуля:

·     антивирусный сканер AVP,
·     антивирусный резидентный монитор AVP Monitor.

AVP для Windows 95/98/NT  является  полностью  32-х  разрядным  приложением,
оптимизированным  для  работы  в  операционных  системах  Microsoft  Windows
95/98/NT и использующим все возможности, которые эти системы  предоставляют.

Резидентный монитор AVP Monitor, постоянно находясь в оперативной памяти,  в
фоновом режиме осуществляет контроль над операциями  обращения  к  файлам  и
секторам. Прежде чем разрешить доступ к объекту, AVP Monitor  проверяет  его
на наличие  вируса.  Таким  образом,  AVP  Monitor  позволяет  обнаружить  и
удалить вирус до момента реального заражения системы.

Программы имеют удобный пользовательский интерфейс,  характерный  для  среды
Windows 95/98/NT, большое количество настроек, выбираемых  пользователем,  а
также самую большую антивирусную базу данных, количество данных о вирусах  в
которой постоянно растет.
Встроенная в AVP для Windows  95/98/NT  функция  "живые  апдейты"  позволяет
автоматически  обновлять  антивирусные  базы.  В  зависимости  от  выбранных
пользователем опций, обновление может быть произведено либо  через  Интернет
(непосредственно с того http- либо ftp-сервера, на котором всегда  находятся
самые последние базы), либо из каталога на Вашем компьютере.



                              Словарь терминов

Атрибуты файла
Содержит характеристики файла: системный файл,  скрытый  файл,  файл  только
для чтения (read-only) и т.д.

Заголовок EXE-файла
Часть EXE-файла, содержащая управляющую информацию. Располагается  в  начале
EXE-файла  и  содержит   информацию   для   системного   загрузчика:   длину
загружаемого модуля, значения регистров, таблицу настройки адресов и др.

Кластер
Единица разбиения  логического  диска.  Состоит  из  одного  или  нескольких
подряд расположенных логических секторов диска. Длина  кластера  на  флоппи-
дисках обычно равна 1 или 2 секторам, на винчестере – до 64 секторов.

Логический диск
Единица  разбиения  диска.  Состоит  из  подряд   расположенных   физических
секторов. Логический диск делится на  Boot-сектор,  секторы  FAT,  корневого
каталога и области данных. Секторы, входящие в область данных,  группируются
в кластеры. Логическим дискам  ставятся  в  соответствие  заглавные  символы
(A:, B:, D: и  т.д.).  В  пределах  логического  диска  возможна  логическая
адресация к секторам.

Монитор (программа-монитор, блокировщик)
Резидентно находящаяся  в  оперативной  памяти  утилита,  которая  позволяет
выявлять "подозрительные" действия пользовательских  программ:  изменение  и
переименование выполняемых программ (COM- и EXE-файлов), запись на  диск  по
абсолютному  адресу,   форматирование   диска   и   т.д.   При   обнаружении
"подозрительной" функции программа-монитор либо выдает на  экран  сообщение,
либо блокирует  выполнение  перехваченной  функции,  либо  совершает  другие
специальные действия.

Прерывание
Сигнал,    по    которому    процессор    прерывает    выполнение    текущей
последовательности команд и передает управление на  программу  –  обработчик
прерывания. Адрес  программы-обработчика  вычисляется  по  таблице  векторов
прерываний.   Прерывание   может   быть   инициировано   либо    программами
пользователя при работе с дисками, экраном, принтером  и  т.д.  (программные
прерывания) либо внешними устройствами:  клавиатурой,  таймером  (аппаратные
прерывания).

Призрак (вирусы-"призраки")
Вирусы,  предпринимающие  специальные  меры  для  затруднения  их  поиска  и
анализа. Не имеют сигнатур, т.е. не содержат ни одного  постоянного  участка
кода. В большинстве случаев два образца одного и того  же  вируса-"призрак
12345След.
скачать работу

Компьютерные вирусы

 

Отправка СМС бесплатно

На правах рекламы


ZERO.kz
 
Модератор сайта RESURS.KZ