Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
от 22 500 грн | портфолио | подробнее>>
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
от 24 000 грн | подробнее>>
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
от $450/месяц | подробнее>>
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
от 4000 грн | портфолио | подробнее>>
профессиональная рекламная фотография
креативно, смело, качественно
от $800/день | подробнее>>
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
от 4500 грн | подробнее>>

Введення в комп'ютерну вірусологію

  1. завантажувальні віруси
  2. ППЗ (ПЗУ) ® ПНЗ (диск) ® СИСТЕМА
  3. файлові віруси
  4. Завантажувально-файлові віруси
  5. поліморфні віруси
  6. DrWeb [диск: [шлях]] [ключі]

Наша взаимовыгодная связь https://banwar.org/

Введення в комп'ютерну вірусологію

· Що таке комп'ютерний вірус, якими властивостями він володіє.

· Основні види вірусів і схеми їх функціонування.

· Шляхи проникнення вірусів в комп'ютер, ознаки вірусного зараження комп'ютера.

· Як своєчасно виявити вірус і вжити заходів для захисту.

· Заходи антивірусної профілактики.

· Призначення і порядок використання антивірусних програм.

Практична робота на персональному комп'ютері з прикладними програмами і реальні ситуації в комп'ютері часто вимагають від вас вміння охороняти в цілісності інформацію, захищати її від можливих руйнувань, викликаних дефектами магнітних дисків, збоями в роботі комп'ютера, впливами програмних вірусів або особисто вашими помилками.

На жаль, сьогодні масове застосування персональних комп'ютерів, використання мережі Інтернет був пов'язаний із появою програм-вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди береженої в комп'ютері інформації.

Незважаючи на прийняті в багатьох країнах закони про боротьбу з комп'ютерними злочинами і розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно росте. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами і захисту від них.

Перш за все комп'ютерний вірус - це програма, здатна до самовідтворення. Така здатність є єдиним засобом, властивим всім типам вірусів.

Вірус не може існувати в «повній ізоляції»: не можна уявити собі вірус, який не використовує код інших програм, інформацію про файлову структуру або навіть просто імена інших програм. Причина зрозуміла: вірус повинен яким-небудь способом забезпечити передачу собі управління.

Комп'ютерний вірус - спеціально написана програма, здатна спонтанно приєднуватися до інших програм, створювати свої копії та впроваджувати їх у файли, системні області комп'ютера і в обчислювальні мережі з метою порушення роботи програм, псування файлів і каталогів, створення всіляких перешкод в роботі комп'ютера.

В даний час відомі тисячі комп'ютерних вірусів, їх можна класифікувати за такими ознаками:

· Середовищі існування;

· Способу зараження довкілля;

· Впливу;

· Особливостям алгоритму.

Залежно від середовища існування віруси можна розділити на мережеві, файлові, завантажувальні і файлово-завантажувальні. Мережеві віруси поширюються по різних комп'ютерних мережах. Файлові віруси впроваджуються головним чином у виконувані модулі, т. Е. В файли, які мають розширення СОМ і ЕХЕ. Файлові віруси можуть впроваджуватися і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не отримують управління і, отже, втрачають здатність до розмноження. Завантажувальні віруси впроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Record). Файлово-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.

За способом зараження віруси діляться на резидентні і нерезидентні. Резидентний вірус при зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження (файлів, завантажувальних секторів дисків і т. П.) І впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимикання або перезавантаження комп'ютера. Нерезидентні віруси не заражають пам'ять комп'ютера і є активними обмежений час.

За ступенем впливу віруси можна розділити на наступні види:

· Безпечні, не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах;

· Небезпечні віруси, які можуть привести до різних порушень в роботі комп'ютера;

· Дуже небезпечні, вплив яких може привести до втрати програм, знищення даних, стирання інформації в системних областях диска.

За особливостями алгоритму віруси важко класифікувати через великі розмаїття. Найпростіші віруси - паразитичні, вони змінюють вміст файлів і секторів диска і можуть бути досить легко виявлені і знищені. Можна відзначити віруси-станції, звані хробаками, які поширюються по комп'ютерних мережах, обчислюють адреси мережевих комп'ютерів і записують за цими адресами свої копії. Відомі віруси-невидимки, звані стелс-вірусами, які дуже важко виявити і знешкодити, так як вони перехоплюють звертання операційної системи до уражених файлів і секторів дисків і підставляють замість свого тіла незаражені ділянки диска. Найбільш важко виявити віруси-мутанти, що містять алгоритми шифрування-розшифровки, завдяки яким копії одного і того ж вірусу не мають ні одного повторюється ланцюжка байтів. Є і так звані квазівірусні, або троянські програми, які хоча і не здатні до самораспространению, але дуже небезпечні, оскільки, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків.

завантажувальні віруси

Розглянемо схему функціонування дуже простого завантажувального вірусу, що заражає дискети. Ми свідомо обійдемо всі численні тонкощі, які неминуче зустрілися б при строгому розборі алгоритму його функціонування.

Що відбувається, коли ви вмикаєте комп'ютер? Насамперед управління передається програмі початкового завантаження (ПНЗ), яка зберігається в постійно запам'ятовуючому пристрої (ПЗУ).

Ця програма тестує обладнання і при успішному завершенні перевірок намагається знайти дискету в дисководі А:. Будь-яка дискета розмічена на сектори і доріжки. Сектори об'єднуються в кластери, але це для нас несуттєво. Серед секторів є кілька службових, що використовуються операційною системою для власних потреб (в цих секторах не можуть розміщуватися ваші дані).

Серед службових секторів нас поки цікавить один - сектор початкового завантаження (boot-sector). У секторі початкового завантаження зберігається інформація про дискеті - кількість поверхонь, кількість доріжок, кількість секторів і пр. Але нас зараз цікавить не ця інформація, а невелика програма початкового завантаження, яка повинна завантажити саму операційну систему і передати їй управління.

Таким чином, нормальна схема початкового завантаження наступна:

ППЗ (ПЗУ) ® ПНЗ (диск) ® СИСТЕМА

Тепер розглянемо вірус. У завантажувальних віруси виділяють дві частини - голову і хвіст. Хвіст, взагалі кажучи, може бути порожнім. Нехай у вас є чиста дискета і заражений комп'ютер, під яким ми розуміємо комп'ютер з активним резидентним вірусом. Як тільки цей вірус виявить, що в дисководі

з'явилася відповідна жертва - в нашому випадку не захищена від запису і ще не заражена дискета, він приступає до зараження. Заражаючи дискету, вірус виробляє такі дії:

· Виділяє деяку область диска і позначає її як недоступну операційній системі. Це можна зробити по-різному, в найпростішому і традиційному разі зайняті вірусом сектори позначаються як збійні (bad);

· Копіює у виділену область диска свій хвіст і оригінальний (здоровий) завантажувальний сектор;

· Заміщає програму початкового завантаження в завантажувальному секторі (тепер) своєю головою;

· Організовує ланцюжок передачі управління згідно зі схемою.

Таким чином, голова вірусу тепер першої отримує управління, вірус встановлюється в пам'ять і передає управління оригінальному завантажувальному сектору.

У ланцюжку ППЗ (ПЗУ) ® ПНЗ (диск) ® СИСТЕМА з'являється нова ланка: ППЗ (ПЗУ) ® ВІРУС ® ПНЗ (диск) ® СИСТЕМА.

Тому ніколи не залишайте (випадково) дискет в дисководі А.

Ми розглянули схему функціонування простого бутового вірусу, що живе в завантажувальних секторах дискет. Як правило, віруси здатні заражати не тільки завантажувальні сектори дискет, але і завантажувальні сектора вінчестерів. При цьому на відміну від дискет на вінчестері є два типи завантажувальних секторів, що містять програми початкового завантаження, які отримують управління.

При завантаженні комп'ютера з вінчестера першої бере на себе управління програма початкового завантаження в MBR (Master Boot Record - головний завантажувальний запис). Якщо ваш жорсткий диск розбитий на кілька розділів, то лише один з них позначений як завантажувальний (boot). Програма початкового завантаження в MBR знаходить завантажувальний розділ вінчестера і передає управління на програму початкового завантаження цього розділу. Код останньої збігаються з кодом програми початкового завантаження, що міститься на звичайних дискетах, а відповідні завантажувальні сектори відрізняються тільки таблицями параметрів. Таким чином, на вінчестері є два об'єкти атаки завантажувальних вірусів - програма початкового завантаження в MBR і програма початкового завантаження в boot-секторі завантажувального диска.

файлові віруси

Розглянемо тепер схему роботи простого файлового вірусу. На відміну від завантажувальних вірусів, які практично завжди резидентні, файлові віруси не обов'язково резидентні. Розглянемо схему функціонування нерезидентного файлового вірусу. Нехай у нас є інфікований виконуваний файл. При запуску такого файлу вірус отримує управління, виробляє деякі дії і передає управління «хазяїна» (хоча ще невідомо, хто в такій ситуації господар).

Які ж дії виконує вірус? Він шукає новий об'єкт для зараження - підходящий на кшталт файл, який ще не заражений (в тому випадку, якщо вірус «пристойний», а то трапляються такі, що заражають відразу, нічого не перевіряючи). Заражаючи файл, вірус впроваджується в його код, щоб отримати управління при запуску цього файлу. Крім своєї основної функції - розмноження, вірус цілком може зробити що-небудь хитромудре (сказати, запитати, зіграти) - це вже залежить від фантазії автора вірусу.

Якщо файловий вірус резидентний, то він встановиться в пам'ять і отримає можливість заражати файли і проявляти інші здібності не тільки під час роботи зараженого файла.

Заражаючи виконуваний файл, вірус завжди змінює його код -следовательно, зараження виконуваного файлу завжди можна виявити. Але, змінюючи код файла, вірус не обов'язково вносить інші зміни: він не завжди змінює довжину файлу, може не міняти початок файлу.

Нарешті, до файловим вірусам часто відносять віруси, які «мають певний стосунок до файлам», але не зобов'язані впроваджуватися в їх код. Розглянемо як приклад схему функціонування вірусів відомого сімейства DIR-II. Не можна не визнати, що, з'явившись в 1991 році, ці віруси стали причиною справжньої комп'ютерної епідемії в Росії. Розглянемо модель, на якій ясно видно основна ідея вірусу. Інформація про файли зберігається в каталогах. Кожен запис каталогу включає в себе ім'я файлу, дату і час створення, деяку додаткову інформацію, номер першого кластера файла і так звані резервні байти.

При запуску виконуваних файлів система зчитує з записи в каталозі перший кластер файлу і далі всі інші кластери. Віруси сімейства DIR-II проводять наступну «реорганізацію» файлової системи: сам вірус записується в деякі вільні сектори диска, які він позначає як збійні. Крім того, він зберігає інформацію про перші кластерах виконуваних файлів в резервних бітах, а на місце цієї інформації записує посилання на себе.

Таким чином, при запуску будь-якого файлу вірус отримує управління (операційна система запускає його сама), резидентно встановлюється в пам'ять і передає управління викликаного файлу. Дія вірусу призводить до «розмноження» на вінчестері секторів, помічених як збійні.

Завантажувально-файлові віруси

Типовим представником таких вірусів є «популярний» завантажувально-файловий вірус OneHalf, що заражає головний завантажувальний сектор (MBR) і виконувані файли. Основна руйнівна дія - шифрування секторів вінчестера. При кожному запуску вірус шифрує чергову порцію секторів, а, зашифрувавши половину жорсткого диска, радісно повідомляє про це.

Основна проблема при лікуванні даного вірусу полягає в тому, що недостатньо просто видалити вірус з MBR і файлів, треба розшифрувати зашифровану ним інформацію. Найбільш радикальне дію - просто переписати новий здоровий MBR.

поліморфні віруси

Більшість питань пов'язано з терміном «поліморфний вірус». Цей вид комп'ютерних вірусів представляється на сьогоднішній день найбільш небезпечним. Поліморфні віруси - віруси, що модифікують свій код в заражених програмах таким чином, що два примірники одного і того ж вірусу можуть не збігатися ні в одному бите. Такі віруси не тільки шифрують свій код, використовуючи різні шляхи шифрування, але і містять код генерації шифрувальника і розшифровує, що відрізняє їх від звичайних шифрувальних вірусів, що можуть шифрувати ділянки свого коду, але мають при цьому постійний код шифрувальника і розшифровує.

Поліморфні віруси - це віруси з самомодіфіцірующіміся розшифровщик. Мета такого шифрування: захист від розшифровки. Маючи заражений і оригінальний файли, ви все одно не зможете проаналізувати його код за допомогою звичайного дизассемблирования. Цей код зашифрований і є безглуздим набором команд. Розшифровка виробляється самим вірусом вже безпосередньо під час виконання. При цьому можливі варіанти: він може розшифрувати себе всього відразу, а може виконати таку розшифровку «по ходу справи», може знову шифрувати вже відпрацьовані ділянки. Все це робиться заради труднощі аналізу коду вірусу.

Основними шляхами проникнення вірусів в комп'ютер є знімні диски (гнучкі і лазерні), а також комп'ютерні мережі. Зараження жорсткого диска вірусами може статися під час завантаження програми з дискети, що містить вірус. Таке зараження може бути і випадковим, наприклад, якщо дискету не витягнув з дисковода А: і перезавантажили комп'ютер, при цьому дискета може бути і не системною. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст.

Примітка. Щоб виключити зараження дискети комп'ютерним вірусом, забороніть запис на диск. Режим заборони запису на дискеті 3,5 '' встановлюється спеціальним перемикачем, розташованим в одному з кутів дискети. Для заборони запису на дискету, маніпулюючи цим перемикачем, відкрийте проріз в дискеті.

Вірус, як правило, впроваджується в робочу програму таким чином, щоб при її запуску управління спочатку передалося йому і тільки після виконання всіх його команд знову повернулося до робочої програми. Отримавши доступ до управління, вірус насамперед переписує сам себе в іншу робочу програму і заражає її. Після запуску програми, що містить вірус, стає можливим зараження інших файлів. Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, що мають розширення EXE, COM, SYS, ВАТ. Вкрай рідко заражаються текстові файли.

Після зараження програми вірус може виконати якусь диверсію, не дуже серйозну, щоб не привернути уваги і, нарешті, не забуває повернути управління тій програмі, з якої був запущений. Кожне виконання зараженої програми переносить вірус в наступну. Таким чином, заразиться все програмне забезпечення.

При зараженні комп'ютера вірусом важливо його виявити. Для цього слід знати про основні ознаки прояву вірусів. До них можна віднести наступні:

· Припинення роботи або неправильна робота раніше успішно функціонуючих програм;

· Повільна робота комп'ютера;

· Неможливість завантаження операційної системи;

· Зникнення файлів і каталогів або перекручування їхнього вмісту;

· Зміна дати і часу модифікації файлів;

· Зміна розмірів файлів;

· Несподіване значне збільшення кількості файлів на диску;

· Істотне зменшення розміру вільної оперативної пам'яті;

· Висновок на екран непередбачених повідомлень або зображень;

· Подача непередбачених звукових сигналів;

· Часті зависання і збої в роботі комп'ютера.

Слід зазначити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера.

Отже, якийсь вірусописьменників створює вірус і запускає його в «життя». Деякий час він, можливо, погуляє досхочу, але рано чи пізно хтось запідозрить що-небудь недобре. Як правило, віруси виявляють звичайні користувачі, які помічають ті чи інші аномалії в поведінці комп'ютера. Вони в більшості випадків не здатні самостійно впоратися із заразою, але цього від них і не потрібно. Необхідно лише, щоб якомога швидше вірус потрапив в руки фахівців. Професіонали його вивчатимуть, з'ясовуватимуть, «що він робить», «як він робить», «коли він робить» і т.п. У процесі такої роботи збирається вся необхідна інформація про даний вірус, зокрема, виділяється сигнатура вірусу - послідовність байтів, яка цілком виразно його характеризує. Для побудови сигнатури зазвичай беруться найбільш важливі і характерні ділянки коду вірусу. Одночасно стають зрозумілими механізми роботи вірусу, наприклад, в разі завантажувального вірусу важливо знати, де він ховає свій хвіст, де знаходиться оригінальний завантажувальний сектор, а в разі файлового - спосіб зараження файла. Отримана інформація дозволяє з'ясувати:

· Як виявити вірус, для цього уточнюються методи пошуку сигнатур в потенційних об'єктах вірусної атаки - файлах і / або завантажувальних секторах;

· Як знешкодити вірус, якщо це можливо, розробляються алгоритми видалення вірусного коду з уражених об'єктів.

Для виявлення, видалення вірусів і захисту від них розроблено кілька видів спеціальних програм, які дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними. Розрізняють такі види антивірусних програм:

· Програми-детектори;

· Програми-доктора, або фаги;

· Програми-ревізори;

· Програми-фільтри;

· Програми-вакцини, або іммунізатори.

Програми-детектори здійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті і в файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам таких програм.

Програми-доктора, або фаги, а також програми-вакцини не тільки знаходять заражені вірусами файли, але і «лікують» їх, тобто видаляють з файлу тіло програми-вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до «лікування» файлів. Серед фагів виділяють полифаги, тобто програми-доктори, призначені для пошуку і знищення великої кількості вірусів. Найбільш відомі з них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

З огляду на, що постійно з'являються нові віруси, програми-детектори і програми-доктори швидко застарівають, і потрібно регулярне оновлення версій.

Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран монітора. Як правило, порівняння станів проводять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата і час модифікації, інші параметри. Програми-ревізори мають достатньо розвинені алгоритми, виявляють стелс-віруси і можуть навіть очистити зміни версії програми від змін, внесених вірусом. До числа програм-ревізорів належить широко поширена в Росії програма ADinf.

Програми-фільтри, або «сторожа» є невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

· Спроби корекції файлів з розширеннями СОМ, ЕХЕ;

· Зміна атрибутів файлу;

· Пряма запис на диск по абсолютному адресою;

· Запис в завантажувальні сектори диска;

· Завантаження резидентної програми.

При спробі будь-якої програми здійснити зазначені дії «сторож» посилає користувачеві повідомлення і пропонує заборонити або дозволити відповідну дію. Програми-фільтри вельми корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак вони не «лікують» файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх «настирливість» (наприклад, вони постійно видають попередження про будь-яку спробу копіювання виконуваного файлу), а також можливі конфлікти з іншим програмним забезпеченням. Прикладом програми-фільтра є програма Vsafe.

Вакцини, або іммунізатори - це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-доктори, «лікують» цей вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їх роботі, а вірус буде сприймати їх зараженими і тому не впровадити. В даний час програми-вакцини мають обмежене застосування.

Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів на кожному комп'ютері дозволяють уникнути поширення вірусної епідемії на інші комп'ютери.

Для того Щоб не піддаті комп'ютер зараженню вірусамі и Забезпечити надійне зберігання информации на дисках, та патенти, дотримуватись таких правил:

1. Оснастіть свій комп'ютер сучасними антивірусними програмами, наприклад Doctor Web, AVP, і постійно відновлюйте їх версії.

2. Перед зчитуванням з дискет інформації, записаної на інших комп'ютерах, завжди перевіряйте ці дискети на наявність вірусів, запускаючи антивірусні програми свого комп'ютера.

3. При перенесенні на свій комп'ютер файлів в архивированном вигляді перевіряйте їх відразу ж після розархівації на жорсткому диску, обмежуючи область перевірки тільки знову записаними файлами.

4. Періодично перевіряйте на наявність вірусів жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті і системних областей дисків із захищеної від запису дискети, попередньо завантаживши операційну систему із захищеної від запису системної дискети.

5. Завжди захищайте свої дискети від запису при роботі на інших комп'ютерах, якщо на них не буде проводитися запис інформації.

6. Обов'язково робіть архівні копії на дискетах цінної для вас інформації.

7. Не залишайте в кишені дисковода А: дискети при включенні або перезавантаженні операційної системи, щоб виключити зараження комп'ютера завантажувальними вірусами.

8. Використовуйте антивірусні програми для вхідного контролю всіх виконуваних файлів, одержуваних з комп'ютерних мереж.

9. Для забезпечення більшої безпеки застосування необхідно поєднувати доктора і ревізори, наприклад, DrWeb і ADinf.

В даний час існує велика кількість різних програмних засобів боротьби з комп'ютерними вірусами. Розглянемо використання для цих цілей антивіруса Касперського, а також програм з антивірусного комплекту АТ «Діалог-Наука», в який входять чотири програмних продукту: полифаги Aidstest, Doctor Web (скорочено Dr.Web) і ревізор диска ADinf.

Aidstest - це антивірусна програма-полифаг, здатна зараз виявити і знищити понад 1700 вірусів. В даний час Aidstest поставляється як безкоштовний додаток до програми Dr. Web, доповнюючи вірусну базу Dr. Web.

Програма-полифаг Doctor Web призначена насамперед для боротьби з поліморфними вірусами, які порівняно недавно з'явилися в комп'ютерному світі. Вона являє собою потужну комбінацію антивірусного сканера Doctor Web і резидентного сторожа SpIDer Guard, глибоко інтегрованого в операційну систему комп'ютера. Один з найдосконаліших в світі евристичних аналізаторів Doctor Web в поєднанні з щодня оновлюються вірусними базами є надійний захист, непереборну для будь-якого вірусу, «троянського коня», поштового черв'яка і інших видів шкідливого програмного коду.

У режимі евристичного аналізу програма DrWeb досліджує файли і системні області дисків, намагаючись виявити нові або невідомі їй віруси за характерними для вірусів кодовим послідовностям. Якщо такі будуть знайдені, то виводиться попередження про те, що об'єкт, можливо, інфікований невідомим вірусом. Передбачено три рівня евристичного аналізу. У режимі евристичного аналізу можливі помилкові спрацьовування, тобто детектування файлів, які не є зараженими. Рівень «евристики» має на увазі рівень аналізу коду без наявності помилкових спрацьовувань. Чим вище рівень «евристики», тим вище відсоток наявності помилок або помилкових спрацьовувань. Рекомендуються перші два рівня роботи евристичного аналізатора. Третій рівень евристичного аналізу передбачає додаткову перевірку файлів на «підозріле» час їх створення. Деякі віруси при зараженні файлів встановлюють некоректне час створення, як ознака зараженості даних файлів. Наприклад, для заражених файлів секунди можуть мати значення 62, а рік створення може бути збільшений на 100 років.

Розглянемо використання програми DrWeb32, яка призначена для використання в 32-бітових операційних системах сімейства Windows (тобто Windows 95/98 / Me / NT / 2000 / XP) і для стислості названа Dr.Web for Windows 95-XP, або просто DrWeb32W.

Найважливішим нововведенням програми DrWeb32 є модульний принцип її побудови. Ще в версії DrWeb 4.0 основна вірусна база була виділена в окремий файл і довантажувати після старту програми аналогічно файлам-доповненням, що дозволило вирішити проблему нестачі основної пам'яті. Тепер в DrWeb32 відбувся поділ програми на оболонку, орієнтовану на роботу в конкретному середовищі (в даному випадку, Windows 95/98 / NT), і ядро, яке не залежить від середовища. Така організація антивірусної програми дозволяє:

· Використовувати одні і ті ж файли вірусної бази DrWeb для різних платформ - DOS, Windows 95/98 / ME / NT / 2000 / XP, OS / 2, Novell Netware;

· Підключати ядро ​​до різних оболонок і додатків, що дає можливість простої інтеграції антивірусної перевірки з багатьма прикладними завданнями;

· Реалізувати механізм автоматичного поповнення вірусних баз і оновлення версій оболонки і ядра через мережу Інтернет.

До важливих особливостей програми відносяться:

· Наочні і гнучкі засоби вибору об'єктів тестування шляхом перегляду дерева підкаталогів будь-яких дисків аж до рівня окремих файлів;

· Відсутність ряду обмежень традиційної версії;

· Повна перевірка всієї системної пам'яті Windows 95/98 / ME;

· Автоматичне оновлення через Інтернет;

· Резидентний антивірусний контроль файлів (сторож SpIDer);

· Інтелектуальна технологія контролю вірусної активності SpIDer-Netting.

Програма DrWeb32 для Windows випущена в двох варіантах: з графічним інтерфейсом (DrWeb32W) і без нього (DrWebWCL). Обидва варіанти підтримують однаковий набір параметрів (ключів) командного рядка. Для разового нерегулярного застосування більш зручний перший режим, але для регулярного застосування з метою систематичного вхідного контролю дискет краще застосовувати другий режим. При використанні другого режиму відповідна команда запуску DrWeb повинна бути включена або в меню користувача операційної оболонки Total Commander, або в спеціальний командний файл.

Командний рядок для запуску DrWeb виглядає наступним чином:

DrWeb [диск: [шлях]] [ключі]

де диск:

X: - логічний пристрій жорсткого диска або фізичний пристрій гнучкого диска, наприклад F: або А :,

* - всі логічні пристрої на жорсткому диску, шлях - це шлях або маска необхідних файлів.

Найбільш важливі ключі:

· / AL-діагностика всіх файлів на заданому пристрої;

· / CU [P] - «лікування» дисків і файлів, видалення знайдених вірусів;

· P - видалення вірусів з підтвердженням користувача;

· / DL - видалення файлів, коректне лікування яких неможливо;

· / HA [рівень] - евристичний аналіз файлів і пошук в них невідомих вірусів, де рівень може приймати значення 0, 1,2;

· / КР [ім'я файлу] - запис протоколу роботи в файл (за замовчуванням в файл REPORT.WEB);

· / CL - запуск програми в режимі командного рядка, при тестуванні файлів і системних областей не використовується повноекранний інтерфейс;

· / QU - вихід в DOS відразу після тестування;

· /? - висновок на екран короткої довідки.

Якщо в командному рядку DrWeb не вказано жодного ключа, то вся інформація для поточного запуску буде зчитуватися з файлу конфігурації DRWEB.INI, розташованого в тому ж каталозі, що і файл DRWEB.EXE. Файл конфігурації створюється в процесі роботи з програмою DrWeb за допомогою команди збереження параметрів, необхідних для тестування.

За замовчуванням (при відсутності файлу конфігурації DRWEB.INI) основні режими сканування відповідають наступній командному рядку:

DRWEB.EXE / AR / FM / НА / HI /RPREPORT.DWB / RV / SO / UP

На рис.1. показана перевірка комп'ютера на наявність вірусів у вікні DrWeb.

Мал. 1. Перевірка диска C: на наявність вірусів у вікні DrWeb.

В МЕНЮ

Конструктор uCoz

Що відбувається, коли ви вмикаєте комп'ютер?
Які ж дії виконує вірус?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

    • Новости
    https://banwar.org/
    Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: