|
предыдущая | содержание | следующая 5. Антивирусная программа DrWeb5.1. Общие сведения о вирусах и антивирусных программахЧаще всего причиной потери данных, нарушения работоспособности программ, зависания системы, уменьшения памяти, появление нежелательных графических и звуковых эффектов являются проникшие в систему компьютерные вирусы. Компьютерные вирусы - это специально написанные программы, которые подобно биологическим вирусам «размножаются», записываясь в системные области диска или приписываясь к файлам, и производят разрушительные или нежелательные действия. Каждый пользователь должен знать принципы действия вирусов, меры и средства защиты от компьютерных вирусов. Основными мерами защиты от вирусов считаются: резервирование (копирование FAT, ежедневное ведение архивов измененных файлов); профилактика (использование только проверенных антивирусом программ и дистрибутивных копий программного обеспечения, купленных у официальных продавцов, раздельное хранение вновь полученных программ и эксплуатирующихся, хранение неиспользуемых программ в архивах, использование специального диска для записи новых программ); ревизия (анализ вновь полученных программ и электронной почты специальными средствами и их запуск в контролируемой среде, систематическая проверка загрузочного (BOOT) сектора используемых дисков и содержимого системных, исполняемых и других файлов, подверженных заражению (*.exe, *.com, *.sys, *.dll, *.dot, *.doc, *.xls, *.xlt); фильтрация (использование специальных сервисных программ для разбиения диска на зоны с установленным атрибутом READ ONLY (только для чтения), использование резидентных программ для обнаружения попыток выполнить несанкционированные действия); вакцинация (специальная обработка файлов, дисков, каталогов, запуск специальных резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса для определения, заражена уже программа, диск, ЭВМ или нет, т.е. обманывающих вирус); лечение (дезактивация конкретного вируса с помощью специальной программы или восстановление первоначального состояния программ путем удаления всех экземпляров вируса в каждом из зараженных файлов или дисков). Программы предназначены для предотвращения заражения компьютера вирусом и ликвидации последствий заражения, называются антивирусными программами. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы. Современные антивирусные комплексы программ объединяют в себе фильтр, детектор и доктор. Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, отформатировать его и других подозрительных действиях. При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество «вирусов-мутантов», не имеющих постоянного кода. Однако, программы-фильтры, не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки операционной системы. К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать. Антивирусы-детекторы (обычно объединяющие в себе детектор и доктор) рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов, содержащихся в теле вируса с кодами проверяемых программ. Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов. Наиболее известные представители этого класса - Aidstest, Doctor Web, MicroSoft AntiVirus. Ревизоры - программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов данных ревизора. При этом проверяется состояние загрузочного (BOOT) сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус. Распространенным представителем этой группы является антивирусная программа ADINF (Advanced Diskinfoscope). К последней группе относятся менее эффективные и редко используемые антивирусы - вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной. При появлении первых признаков компьютерного вируса необходимо сделать «холодную» перезагрузку системы с помощью кнопки Reset и загрузиться с защищенной от записи эталонной дискеты или компакт диска с операционной системой и антивирусной программой. Нельзя использовать программы, находящиеся на жестком диске компьютера. Выполнение действий по анализу и восстановлению на зараженной операционной системе является грубой ошибкой и может иметь катастрофические последствия |