Вирусы и борьба с ними
p; этого выполняет чтение диска, не пользуясь услугами DOS, а программа AVSP
фирмы "Диалог-МГУ" — "отключает" на время проверки вирус (последний метод
работает не всегда).
Некоторые антивирусные программы (например, AVSP фирмы "Диалог-МГУ")
используют для борьбы с вирусом свойство "невидимых" файловых вирусов
"вылечивать" зараженные файлы. Они считывают (при работающем вирусе)
информацию из зараженных файлов и записывают их на диск в файл или файлы,
где эта информация хранится в неискаженном виде. Затем уже после загрузки
с "чистой" дискеты, исполняемые файлы восстанавливаются в исходном виде.
- В последнее время получили распространение вирусы, изменяющую файловую
систему на диске. Эти вирусы обычно называются DIR. Такие вирусы прячут
свое тело в некоторый участок диска (обычно в последний кластер диска) и
помечают его в таблице размещения файлов (FAT) как конец файла. Для всех
.com- и .exe- файлов, содержащихся в соответствующих элементах каталога,
указатели на первый участок файла заменяются ссылкой на участок диска,
содержащий вирус, а правильный указатель в закодированном виде прячется в
неиспользуемой части элемента каталога. По этому при запуске любой
программы в память загружается вирус, после чего он остается в памяти
резидентно, подключается к программам DOS для обработки файлов на диске и
при всех обращениях к элементам каталога выдает правильные ссылки. Таким
образом, при работающем вирусе файловая система кажется совершенно
нормальной. При поверхностном осмотре на "чистом" компьютере зараженного
диска также ничего странного не наблюдается. Разве что при попытке
прочесть или скопировать с зараженной дискеты программные файлы из них
будут прочтены или скопированы только 512 или 1024 байта, даже если файл
гораздо длиннее. А при запуске любой исполняемой программы с зараженного
таким вирусом диска этот диск, как по волшебству, начинает казаться
исправным (неудивительно, ведь компьютер при этом становится зараженным).
При анализе на "чистом" компьютере с помощью программы ChkDsk или NDD
файловая система зараженного DIR-вирусом диска кажется безнадежно
испорченной. Так программа ChkDsk выдает кучу сообщений о пересечении
файлов ("…cross linked on cluster…") и о цепочках потерянных кластеров
("…lost clusters found in … chains…"). Не следует исправлять эти ошибки
программами ChkDsk или NDD — при этом диск окажется безнадежно
испорченным. Именно так ведет себя вирус OneHalf-3544. Для исправления
зараженных этими вирусами дисков надо пользоваться только специальными
антивирусными программами, о которых будет рассказано далее.
Можно много рассуждать о классификации вирусов. Однако стоит знать, что
никогда заранее неизвестно каким вирусом будет атакован ваш компьютер.
Соответственно нужно учитывать все возможные типы и принимать все возможные
меры для профилактики заражения. Так, например, для того, чтобы
противостоять вирусу "Чернобыль" достаточно аппаратно отключить возможность
перезаписывать Flash ПЗУ компьютера, а для предотвращения заражения
загрузочными вирусами необходимо запретить загрузку компьютера с дискет. Но
большинство вирусов не поддается правилам. Обычно вирусы пишутся как можно
хитрее, и естественно, что они могут больше, чем представители одного
класса. Т.е. они сочетают в себе достоинства каждого вида, превращаясь в
гибриды. Сложность обнаружения и борьбы с гибридными вирусами возрастает.
Глава 2. Профилактика и борьба с компьютерными вирусами
§ 1. Основные методы защиты от компьютерных вирусов
Для защиты от вирусов можно использовать:
. Общие средства защиты информации, которые полезны также ка страховка
от физической порчи дисков, неправильно работающих программ или
ошибочных действий пользователей;
. профилактические меры, позволяющие уменьшить вероятность заражения
вирусом;
. специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от
вирусов. Имеются две основные разновидности этих средств:
копирование информации — создание копий файлов и системных областей
дисков;
разграничение доступа предотвращает несанкционированное использование
информации, в частности, защиту от изменений программ и данных вирусами,
неправильно работающими программами и ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для
защиты от вирусов, все же их одних недостаточно. Необходимо применять
специализированные программы для защиты от вирусов. Эти программы можно
разделить на несколько видов:
1. Программы - детекторы позволяют обнаруживать файлы, зараженные
одним из нескольких известных вирусов.
2. Программы - доктора, или фаги, "лечат" зараженные программы или
диски, "выкусывая" из зараженных программ тело вируса, т.е.
восстанавливая программу в том состоянии, в котором она находилась
до заражения вирусом.
3. Программы - ревизоры сначала запоминают сведения о состоянии
программ и системных областей дисков, а затем сравнивают их
состояние с исходным. При выявлении несоответствий, об этом
сообщается пользователю.
4. Доктора - ревизоры — это гибриды ревизоров и докторов, т.е.
программы, которые не только обнаруживают изменения в файлах и
системных областях дисков, но и могут автоматически вернуть их в
исходное состояние.
5. Программы - фильтры располагаются резидентно в оперативной памяти
компьютера и перехватывают те обращения к операционной системе,
которые используются вирусами для размножения и нанесения вреда, и
сообщают о них пользователю. Пользователь может разрешить ил
| |  скачать работу |
Вирусы и борьба с ними | 
