Расширяющий блок
Выводы по теме
Вопросы для самоконтроля
Выводы по теме
Общий алгоритм обнаружения вируса
При анализе алгоритма вируса необходимо выяснить:
· способ(ы) размножения вируса;
· характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках;
· метод лечения оперативной памяти и зараженных файлов (секторов).
При анализе файлового вируса необходимо выяснить, какие файлы (COM, EXE, SYS) поражаются вирусом, в какое место (места) в файле записывается код вируса - в начало, конец или середину файла, в каком объеме возможно восстановление файла (полностью или частично), в каком месте вирус хранит восстанавливаемую информацию.
При анализе загрузочного вируса основной задачей является выяснение адреса (адресов) сектора, в котором вирус сохраняет первоначальный загрузочный сектор.
Для резидентного вируса требуется также выделить участок кода, создающий резидентную копию вируса. Необходимо также определить, каким образом и где в оперативной памяти вирус выделяет место для своей резидентной копии.
Для анализа макровирусов необходимо получить текст их макросов. Для нешифрованных ("не-стелс") вирусов это достигается при помощи меню Сервис/Макрос. Если же вирус шифрует свои макросы или использует "стелс"-приемы, то необходимо воспользоваться специальными утилитами просмотра макросов. Такие специализированные утилиты есть практически у каждой фирмы-производителя антивирусов, однако, они являются утилитами "внутреннего пользования" и не распространяются за пределы фирм.
В любом случае, если есть возможность, правильнее всего передавать зараженные файлы специалистам антивирусных лабораторий.
1. Компьютерные вирусы одна из главных угроз информационной безопасности. Это связано с масштабностью распространения этого явления и, как следствие, огромного ущерба, наносимого информационным системам.
2. Современный компьютерный вирус – это практически незаметный для обычного пользователя "враг", который постоянно совершенствуется, находя все новые и более изощренные способы проникновения на компьютеры пользователей. Необходимость борьбы с компьютерными вирусами обусловлена возможностью нарушения ими всех составляющих информационной безопасности.
3. Антивирусные программы и аппаратные средства не дают полной гарантии защиты от вирусов.
4. Термин "компьютерный вирус" появился в середине 80-х годов на одной из конференций по безопасности информации, проходившей в США.
1. Основная особенность компьютерных вирусов заключается в возможности их самопроизвольного внедрения в различные объекты операционной системы.
2. Программный вирус – это исполняемый или интерпретируемый программный код, обладающий свойством несанкционированного распространения и самовоспроизведения в автоматизированных системах или телекоммуникационных сетях с целью изменить или уничтожить программное обеспечение и/или данные, хранящиеся в автоматизированных системах.
3. Надежная защита от вирусов может быть обеспечена комплексным применением аппаратных и программных средств и, что немаловажно, соблюдением элементарной "компьютерной гигиены". По среде "обитания" вирусы делятся на файловые, загрузочные, макровирусы, сетевые.
4. Файловые вирусы внедряются в выполняемые файлы, либо создают файлы-двойники, либо используют особенности организации файловой системы.
5. Загрузочные вирусы записывают себя либо в загрузочный сектор диска, либо в сектор, содержащий системный загрузчик жесткого диска.
6. Макровирусы заражают файлы-документы и электронные таблицы офисных приложений.
7. Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
8. По особенностям алгоритма работы вирусы делятся на резидентные, стелс-вирусы, полиморфик-вирусы и вирусы, использующие нестандартные приемы.
9. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них.
10. Стелс-вирусы скрывают свое присутствие в "среде обитания".
11. Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (обнаружения) вируса.
12. По деструктивным возможностям вирусы можно разделить на безвредные, неопасные, опасные и очень опасные вирусы.
13. Вирусоподобная" программа – это программа, которая сама по себе не является вирусом, она может использоваться для внедрения, скрытия или создания вируса.
14. К "вирусоподобным программам" относятся: "троянские программы" (логические бомбы), утилиты скрытого администрирования удаленных компьютеров, "intended"-вирусы, конструкторы вирусов и полиморфик-генераторы.
15. К "троянским" программам относятся программы, наносящие какие-либо разрушительные действия в зависимости от каких-либо условий.
16. Утилиты скрытого администрирования являются разновидностью "логических бомб" ("троянских программ"), которые используются злоумышленниками для удаленного администрирования компьютеров в сети.
17. Внедренные в операционную систему утилиты скрытого управления позволяют делать с компьютером все, что в них заложил их автор: принимать/отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.
18. Конструкторы вирусов предназначены для создания новых компьютерных вирусов.
19. Полиморфик-генераторы, как и конструкторы вирусов, не являются вирусами, поскольку в их алгоритм не закладываются функции размножения; главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика.
1. Поясните понятия "сканирование налету" и "сканирование по запросу".
2. Перечислите виды антивирусных программ.
3. Охарактеризуйте антивирусные сканеры.
4. Принципы функционирования блокировщиков и иммунизаторов.
5. Особенности CRC-сканеров.
6. В чем состоят особенности эвристических сканеров?
7. Какие факторы определяют качество антивирусной программы?
8. Перечислите наиболее распространенные пути заражения компьютеров вирусами.
9. Какие особенности заражения вирусами при использовании электронной почты?
10. Особенности заражения компьютеров локальных сетей.
11. Перечислите основные правила защиты от компьютерных вирусов, получаемых не из вычислительных сетей.
12. Как ограничить заражение макровирусом при работе с офисными приложениями?
13. Как обнаружить загрузочный вирус?
14. Как обнаружить резидентный вирус?
15. Характерные черты макровируса.
16. Как проверить систему на наличие макровируса?
17. Является ли наличие скрытых листов в Excel признаком заражения макровирусом?
18. Перечислите основные этапы алгоритма обнаружения вируса.
19. Характерные черты компьютерных вирусов.
19. Дайте определение программного вируса.
20. Какие трудности возникают при определении компьютерного вируса?
21. Когда появился первый вирус, который самостоятельно дописывал себя в файлы?
22. В чем особенность компьютерного вируса "Чернобыль"?
23. Какой вид вирусов наиболее распространяемый в распределенных вычислительных сетях? Почему?
24. Перечислите классификационные признаки компьютерных вирусов.
25. Охарактеризуйте файловый и загрузочный вирусы.
26. В чем особенности резидентных вирусов?
27. Сформулируйте признаки стелс-вирусов.
28. Перечислите деструктивные возможности компьютерных вирусов.
29. Поясните самошифрование и полиморфичность как свойства компьютерных вирусов.
30. Перечислите виды "вирусоподобных" программ.
31. Поясните механизм функционирования "троянской программы" (логической бомбы).
32. В чем заключаются деструктивные свойства логических бомб?
33. Как используются утилиты скрытого администрирования и их деструктивные возможности?
34. Охарактеризуйте "intended"-вирусы и причины их появления.
35. Для чего используются конструкторы вирусов?
36. Для создания каких вирусов используются полиморфик-генераторы?
1. Использование антивирусного программного обеспечения является одним из наиболее эффективных способов борьбы с вирусами.
2. Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры, CRC-сканеры (ревизоры).
3. К антивирусным программам также относятся антивирусы: блокировщики и иммунизаторы.
4. Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски".
5. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса.
6. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов.
7. CRC-сканеры, использующие "анти-стелс" алгоритмы реагируют практически на 100% вирусов сразу после появления изменений на компьютере.
8. Антивирусные блокировщики – это резидентные программы, перехватывающие "вирусоопасные" ситуации и сообщающие об этом пользователю.
9. Качество антивирусной программы определяют надежность и удобство работы, качество обнаружения вирусов, возможность сканирования "на лету" и скорость работы.
10. Профилактика – один из способов защиты компьютеров от вирусов.
11. Компьютерная профилактика предполагает соблюдение правил ("компьютерной гигиены"), позволяющих значительно снизить вероятность заражения вирусом и потери каких-либо данных.
12. Профилактика компьютерных вирусов начинается с выявления путей проникновения вируса в компьютер и компьютерные сети.
13. Основными путями проникновения вирусов в компьютеры пользователей являются: глобальные и локальные сети, пиратское программное обеспечение, персональные компьютеры "общего пользования", сервисные службы.
14. Основной источник вирусов на сегодняшний день - глобальная сеть Интернет.
15. Наибольшее число заражений вирусом происходит при обмене электронными письмами через почтовые серверы E-mail.
16. Для исключения заражения вирусами внимательно относитесь к программам и документам, которые получаете из глобальных сетей.
17. Прежде чем запустить файл на выполнение или открыть документ/таблицу, обязательно проверьте его на наличие вирусов.
18. Используйте специализированные антивирусы – для проверки "налету" (например, SpIDer Guard из пакета Dr. Web и др.) всех файлов, приходящих по электронной почте (и из Интернета в целом).
19. Постоянно обновляйте вирусные базы используемого антивируса.
20. Некоторые загрузочные вирусы практически сразу можно обнаружить по наличию различных текстовых строк выводимых на экран при активизации вируса.
21. Отсутствие или изменение строки-заголовка boot-сектора (строка, название фирмы-производителя программного обеспечения) также может служить сигналом о заражении вирусом.
22. Если в компьютере обнаружены следы деятельности вируса, но видимых изменений в файлах и системных секторах дисков не наблюдается, то вполне возможно, что компьютер поражен одним из "стелс"-вирусов.
23. Обнаружить резидентный Windows-вирус можно, если загрузить DOS и проверить запускаемые файлы Windows.
24. Для проверки системы на предмет наличия вируса можно использовать пункт меню Сервис/макрос, если обнаружены неизвестные макросы, то они могут принадлежать вирусу.
25. Сигналом о вирусе являются и изменения в файлах и системной конфигурации Word, Excel и Windows.
26. При анализе алгоритма вируса необходимо выяснить: способ(ы) размножения вируса, характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках, метод лечения оперативной памяти и зараженных файлов (секторов).