Les programmes de vaccin font référence à. Programmes de détecteurs: qu'est-ce qui est en protection anti-virus? Vaccins ou immuniseurs

Méthodes de protection.

Détermination des programmes antivirus et de leur classification.

Quel que soit le virus, l'utilisateur doit connaître les méthodes de base de protection contre les virus informatiques.

Pour protéger contre les virus, vous pouvez utiliser:

Moyens généraux de protection des informations qui sont également utiles comme je. assurance contre les dommages physiques aux disques, les programmes de travail incorrectement ou les actions erronées de l'utilisateur;

Mesures préventives pour réduire probabilité infection par virus;

Programmes spécialisés pour protéger contre les virus. Il existe deux principales variétés d'outils de sécurité généraux d'informations fournissant:

Copier des informations - Créer des copies des fichiers et des régions système des disques;

Séparation d'accès empêchant l'utilisation non autorisée des informations, en particulier une protection contre les changements de changements de programme et des données par virus, de programmes de travail incorrectement et des actions erronées des utilisateurs.

Pour détecter, supprimer et protéger les virus informatiques, plusieurs types de programmes spéciaux ont été développés qui vous permettent de détecter et de détruire des virus. Ces programmes sont appelés antiviral. Distinguer les types de programmes antivirus suivants:

Programmes de détection;

Programmes de médecin ou de phage;

Programmes d'audit;

Programmes de filtrage;

Programmes de vaccins ou immuniseurs.

Programmes de détecteurs Recherchez un code spécifique (Signature) caractéristique d'un virus particulier (signature) en RAM et dans les fichiers et lorsqu'il est détecté, le message correspondant est donné. L'inconvénient de tels programmes antivirus est qu'ils ne peuvent trouver que les virus connus des développeurs de tels programmes.

Les programmes de médecin ou de phage, ainsi que des programmes de vaccination, non seulement les fichiers infectés par des virus, mais aussi les "traités", c'est-à-dire supprimer le corps du programme de virus dans le fichier, renvoyer des fichiers à son état d'origine. Au début de son travail, les phages recherchent des virus dans la RAM, les détruisant et ne sont qu'à un "traitement" des fichiers. Parmi les phages, les polyphags sont isolés, c'est-à-dire les programmes de médecins conçus pour rechercher et détruire un grand nombre de virus. Les plus célèbres d'entre eux sont: AIDSTEST, Scan, Norton Antivirus, Doctor Web.

Étant donné que de nouveaux virus sont constamment émergents, les programmes de détection et les médecins sont rapidement obsolètes et la mise à jour régulière des versions est requise.

Les antivirus polyphag sont les moyens les plus courants de combattre les logiciels malveillants. Historiquement, ils sont apparus en premier et maintiennent toujours un leadership incontestable dans ce domaine.

Sur la base de l'exploitation des polyphs, il existe un principe simple - la recherche dans les programmes et les documents de sections familières du code viral (appelé signature virus). En général, la signature est une telle enregistrement du virus, qui vous permet d'identifier sans ambiguïté la présence d'un code viral dans un programme ou un document. Le plus souvent, la signature est directement la zone de virale coda ou sa somme de contrôle (Digest).

Initialement, les antivirus polyphag ont travaillé sur un principe très simple - ils ont effectué des fichiers de visualisation en série pour l'emplacement des programmes viraux. Si la signature du virus a été détectée, la procédure d'élimination d'un code viral de l'organe d'un programme ou d'un document a été réalisée. Avant de commencer à vérifier les fichiers, le programme FAG vérifie toujours la RAM. Si un virus est fourni en RAM, il est désactivé. Cela est dû au fait que les programmes viraux sont souvent infectés de ces programmes lancés ou ouverts au moment où le virus est dans la phase active (cela est dû au désir d'économiser sur la recherche d'objets d'infection). Ainsi, si le virus reste actif en mémoire, la vérification totale de tous les fichiers exécutables conduira à une infection totale du système.

Actuellement, les programmes viraux ont de manière significative. Par exemple, les "virus furtifs" sont apparus. Leur travail repose sur le fait que le système d'exploitation lors de l'accès des périphériques (y compris des disques durs) utilise le mécanisme d'interruption. Ici, il est nécessaire de faire une légère retraite sur le sujet "Comment fonctionne le mécanisme d'interruption". Si une interruption se produit, le contrôle est transmis par un programme spécial - "Handler interruption". Ce programme est responsable de la saisie et de la sortie d'informations vers / depuis le périphérique. De plus, les interruptions sont divisées en niveaux d'interaction avec la périphérie (dans notre cas - avec des disques rigides et flexibles). Il existe un niveau de système d'exploitation (dans l'environnement MS DOS - Interruption 25H), il existe un système d'E / S de base (niveau BIOS - interruption 13H). Les programmeurs système expérimentés peuvent fonctionner directement en se référant aux ports d'E / S des périphériques. Mais c'est une tâche assez sérieuse et difficile. Un tel système à plusieurs niveaux est fait tout d'abord, afin de préserver la portabilité des applications. C'est grâce à un tel système qu'il a été possible de lancer des applications DOS dans des environnements multitâches tels que MS Windows ou IBM OS / 2.

Mais dans un tel système est initialement masqué et vulnérabilité: contrôler le gestionnaire d'interruptions, vous pouvez contrôler le flux d'informations du périphérique de périphériques à l'utilisateur. Les virus furtifs, en particulier, utilisent le mécanisme de contrôle lors de l'interruption. Remplacement, le gestionnaire d'interruption d'origine avec son code, les virus furtifs contrôlent les données de lecture du disque.

Si un programme infecté est lu à partir du disque, le virus "claque" son propre code (généralement le code n'est pas littéralement "fouetté", et le nombre du secteur de disque lisible est remplacé). En conséquence, l'utilisateur doit lire le code "propre". Ainsi, tant que le vecteur de gestionnaire d'interruptions est modifié par code viral, le virus lui-même est actif dans la mémoire de l'ordinateur, le détecte simplement en lisant simplement le disque à l'aide des outils du système d'exploitation. Un mécanisme de déguisement similaire est utilisé et des virus amorçables qui seront mentionnés. Afin de lutter contre les virus furtifs, il a été recommandé auparavant (et, en principe, il est recommandé d'effectuer une alternative de chargement du système à partir d'un disque flexible et uniquement après la recherche et la suppression de programmes viraux. Actuellement, le chargement à partir d'un disque flexible peut être problématique (pour le cas où les applications Win32 - antivirus ne seront pas lancées). Compte tenu de ce qui précède, les antivirus-polyphags ne sont plus efficaces que lors de la lutte contre des virus déjà connus, c'est-à-dire dont les signatures et les méthodes de comportement sont familières aux développeurs.

Ce n'est que dans ce cas, le virus avec une précision de 100% sera détecté et supprimé de la mémoire de l'ordinateur, puis de tous les fichiers vérifiés. Si le virus est inconnu, il peut affronter avec succès les tentatives de détection et de traitement. Par conséquent, la chose principale lors de l'utilisation de tout polyphag - aussi souvent que possible de mettre à jour les versions du programme et des bases de données virales.

Le manoir ici est dit analyseurs heuristiques. Le fait est qu'il existe un grand nombre de virus, dont l'algorithme est presque copié de l'algorithme d'autres virus.

En règle générale, ces variations créent des programmeurs non professionnels qui, pour une raison quelconque, ont décidé d'écrire un virus. Les analyseurs eureux ont été inventés pour lutter contre de telles copies. Avec leur aide, l'antivirus est capable de trouver de tels analogues de virus célèbres, en disant à l'utilisateur qu'il semblait avoir un virus. Naturellement, la fiabilité de l'analyseur heuristique n'est pas de 100%, mais son efficacité est toujours supérieure à 50%. Les virus qui ne sont pas reconnus par les détecteurs antivirus sont capables d'écrire uniquement les programmeurs les plus expérimentés et les plus qualifiés.

Un analyseur de code heuristique est un ensemble de sous-programmes qui analysent le code de fichiers exécutables, de la mémoire ou de secteurs de démarrage afin de détecter différents types de virus informatiques. La partie principale de l'analyseur heuristique est l'émulateur de code. L'émulateur de code fonctionne en mode d'affichage, c'est-à-dire que sa tâche principale n'est pas d'exécuter le code, mais d'identifier toutes sortes d'événements, c'est-à-dire l'ensemble du code ou appeler une fonction spécifique du système d'exploitation, visant à convertir des données système, travailler avec des fichiers ou détecter des structures virales fréquemment utilisées. À peu près, l'émulateur examine le code du programme et révèle les actions que ce programme fait. Si les actions de ce programme sont empilées dans un système spécifique, il est conclu que la présence d'un code viral dans le programme.

Bien sûr, la probabilité de sauter et de fausse réponse est très élevée. Cependant, en utilisant correctement le mécanisme de l'heuristique, l'utilisateur peut provenir de manière indépendante des bonnes conclusions. Par exemple, si l'antivirus émet un message sur le suspect d'un virus pour un seul fichier, la probabilité de fausse réponse est très élevée. S'il est répété sur de nombreux fichiers (et avant cela, l'antivirus n'a pas détecté de suspect dans ces fichiers), nous pouvons alors parler de l'infection du système par un virus avec une probabilité proche de 100%. L'analyseur heuristique le plus puissant a actuellement le Dr.Web Anti-Virus.

L'utilisation de l'analyseur heuristique, en plus de ce qui précède, vous permet également de traiter avec générateurs de viruset virus polymorphes.

La méthode classique de détermination des virus par signature dans ce "cas est inefficace du tout. Les générateurs de virus sont un ensemble de bibliothèques spécialisé qui permet à l'utilisateur de construire facilement son propre virus, même d'avoir une connaissance faible de la programmation. Au programme écrit, Les bibliothèques de générateur sont connectées dans les appels souhaités des procédures externes - et ici le virus élémentaire transformé en un produit plutôt compliqué. La chose la plus triste est que, dans ce cas, la signature du virus sera différente à chaque fois, afin de suivre le virus n'est possible que possible. Sur les appels caractéristiques des procédures externes - et c'est le travail de l'analyseur heuristique. Virus polymorphe Il a une structure encore plus complexe. Le corps de virus lui-même est modifié d'une infection à l'infection, tout en maintenant son remplissage fonctionnel.

Dans le cas le plus simple - si vous vous dispersez dans le corps du virus, n'effectuez rien, des opérateurs vides (comme «MOV AX, AX» ou «POR»), le corps du code viral subira des changements importants et l'algorithme restera la même chose. Dans ce cas, l'analyseur heuristique vient à l'aide.

Caractéristiques du virus informatique

Entité et manifestation des virus informatiques

L'utilisation massive des ordinateurs personnels, malheureusement, s'est révélée être associée à l'avènement des programmes de virus auto-reproducteurs qui empêchent le fonctionnement normal de l'ordinateur qui détruit la structure de fichiers des disques et endommagent les informations stockées dans l'ordinateur. Pénétrer dans un ordinateur, le virus de l'ordinateur est capable de se propager à d'autres ordinateurs. Virus informatique Un programme spécialement écrit est appelé à une joindre spontanément à d'autres programmes, de créer vos copies et de les mettre en œuvre dans des fichiers, des zones de système informatique et des réseaux informatiques afin de violer les programmes, des dommages causés aux catalogues, créer toutes sortes d'interférences dans l'ordinateur. Aventures et La propagation des virus informatiques, d'une part, est cachée dans la psychologie de la personnalité humaine et de ses côtés ombres (envy, vengeance, vanité de créateurs non reconnus, l'impossibilité d'appliquer de manière constructive leurs capacités), d'autre part, en raison de L'absence de protection matérielle et de contre-sens du système d'exploitation informatique personnelle.. Malgré les lois de la lutte contre les crimes informatiques adoptées dans de nombreux pays et le développement d'une protection logicielle spéciale contre les virus, le nombre de nouveaux virus logiciels est en croissance constante. Cela nécessite l'utilisateur d'un ordinateur personnel de connaissance sur la nature des virus, des moyens d'infection avec des virus et une protection contre eux. Les sources de virus dans l'ordinateur sont des disques amovibles (flexibles et laser), ainsi que des réseaux informatiques. Une infection de disque dur avec des virus peut survenir lorsque l'ordinateur est démarré à partir d'une disquette contenant le virus. Une telle infection peut être aléatoire, par exemple, si la disquette a été retirée de l'entraînement A: et redémaçait l'ordinateur, tandis que la disquette peut ne pas être systémique. Infecter une disquette est beaucoup plus facile. Un virus peut y remettre, même si la disquette a été insérée dans l'entraînement d'un ordinateur infecté et, par exemple, lisez sa table de contenu. Disque infecté - Ceci est un disque, dans le secteur de démarrage de laquelle le programme est un virus. Après avoir démarré un programme contenant le virus, il devient possible d'infecter d'autres fichiers. Le plus souvent, le virus est infecté par le secteur de démarrage du disque et des fichiers exécutables ayant des extensions EXE, .., SYS ou WAT. Texte extrêmement infecté rarement infecté des fichiers graphiques. Programme infecté - Il s'agit d'un programme contenant le virus de programme intégré. Après une infection par ordinateur, le virus est très important pour la détecter dans les meilleurs délais. Pour ce faire, vous devez connaître les principaux signes de la manifestation des virus. Ceux-ci incluent les éléments suivants:

résiliation du travail ou un travail incorrect de programmes de fonctionnement auparavant avec succès;

travail d'ordinateur lent;

l'incapacité de charger le système d'exploitation;

disparition de fichiers et de répertoires ou de déformer leur contenu;

modification de la date et de l'heure de la modification de fichier;

modification des tailles de fichier;

une augmentation significative inattendue du nombre de fichiers sur le disque;

une réduction significative de la taille de la RAM libre;

sortie à l'écran de messages imprévus ou d'images;

alimenter des signaux sonores imprévus;

frezes fréquents et dysfonctionnements dans l'ordinateur.

Il convient de noter que les phénomènes ci-dessus ne sont pas nécessairement causés par la présence d'un virus et peuvent être une conséquence d'autres raisons. Par conséquent, le diagnostic correct de l'état de l'ordinateur est toujours difficile. Principaux types de virus Actuellement, plus de 5000 logiciels virus, Ils peuvent être classés selon les caractéristiques suivantes (Fig. 11.10): Fig. 11.10. Classification des virus informatiques: A - par habitat; B. - selon la méthode d'infection; en fonction du degré d'impact; g - Selon les caractéristiques de la dépendance à l'algorithme de l'habitat Les virus peuvent être divisés en réseau, fichier, démarrage et démarrage de fichier. Virus de réseau Distribuer via divers réseaux informatiques. Virus de fichiers Mis en œuvre principalement dans les modules exécutables, c'est-à-dire Dans les fichiers avec des extensions de som et ex. Les virus de fichier peuvent être intégrés dans d'autres types de types de fichiers, mais généralement enregistrés dans ces fichiers, ils ne reçoivent jamais de contrôle et perdent donc la capacité de reproduire. Virus de démarrage Mis en œuvre dans le secteur de démarrage du disque (secteur de démarrage) ou du secteur contenant l'enregistrement de démarrage principal (enregistrement de démarrage principal). Virus de démarrage de fichiers Infectez les deux fichiers et les secteurs de démarrage des disques. Par mode d'infection Les virus sont divisés en résidents et non-résidents. Virus résident Lorsqu'il est infecté (infection), l'ordinateur laisse son rôle de résident dans la RAM, qui intercepte ensuite l'accès du système d'exploitation aux objets d'infection (fichiers, secteurs de démarrage, etc.) et y est introduit. Les virus résidents sont en mémoire et sont actifs pour arrêter ou redémarrer l'ordinateur. Virus non-résidents Ne pas infecter la mémoire de l'ordinateur et le temps limité actif. degré d'impact Les virus peuvent être divisés en types suivants:

non dangereux, ne pas interférer avec le travail de l'ordinateur, mais la quantité réduite de la mémoire RAM et de la mémoire gratuite sur les disques, les actions de tels virus se manifestent dans des effets graphiques ou sonores;

dangereux virus qui peuvent conduire à divers troubles de l'ordinateur;

très dangereux L'impact qui peut entraîner une perte de programmes, détruits, effacer des informations dans les zones système du disque.

Par caractéristiques algorithme Les virus sont difficiles à classer en raison d'une grande variété. Les virus les plus simples - parasite, Ils modifient le contenu des fichiers et des secteurs du disque et peuvent être facilement détectés et détruits. Vous pouvez noter virus de réplicateurs, Causé par les vers distribués sur des réseaux informatiques, calculez l'adresse des ordinateurs réseau et écrivez leurs copies à ces adresses. Connu virus invisibles, Appelé virus furtifsce qui est très difficile à détecter et à neutraliser, car ils interceptent les opérations du système d'exploitation aux fichiers affectés et aux secteurs de disque et substitut au lieu de leurs sections de disque non sélectionnées. Il est très difficile de détecter des virus mutants contenant des algorithmes de cryptage-décodage, grâce aux copies du même virus sans chaîne de bytes répétitives. Il y a aussi appelé quasivirus ou "Troyansky" Les programmes qui, bien que non capables de se proliférer, sont très dangereux, car déguisés comme programme utile, détruisent le secteur de la démarrage et le système de fichiers de disque.

Programmes de détection et de protection des virus

Caractéristiques des logiciels antivirusLe jour de la détection, la suppression et la protection contre les virus informatiques ont mis au point plusieurs types de programmes spéciaux vous permettant de détecter et de détruire des virus. Ces programmes sont appelés antivirus. Les types suivants de programmes antivirus distinguent la distinction (Fig. 11.11): Programmes de détecteurs Recherchez une séquence spécifique de la séquence (signature de virus) caractéristique du virus spécifique et dans les fichiers et est détectée. L'inconvénient d'un tel antivirus pro-riz. 11.11. Types de logiciels antivirus

gram est qu'ils ne peuvent trouver que ces virus connus des développeurs de tels programmes. Programmes de docteur ou alors phages aussi bien que programmes de vaccins Non seulement trouver des fichiers infectés par des virus, mais aussi "traiter" eux, c'est-à-dire Supprimez le corps du programme de virus dans le fichier, retourner des fichiers à son état d'origine. Au début de son travail, les phages recherchent des virus dans la RAM, les détruisant et ne sont qu'aux fichiers «traitement». Parmi les phages alloués polyphagi., ceux. Programmes de docteur conçus pour rechercher et détruire un grand nombre de virus. Les polyphas les plus célèbres sont des programmes d'aidsest , Scanner, antivirus Norton et docteur Web. . Étant donné que de nouveaux virus émergent constamment, les programmes de détection et les médecins sont rapidement observés et des mises à jour régulières de leurs versions sont nécessaires. Auditeurs de programme appartiennent aux moyens de protection les plus fiables contre les virus. Les auditeurs se souviennent de l'état d'origine des programmes, des répertoires et des régions système du disque lorsque l'ordinateur n'est pas infecté par le virus, puis ou à la demande de l'utilisateur de comparer l'état actuel avec la source. Les modifications détectées sont affichées sur l'écran du moniteur vidéo. En règle générale, les comparaisons d'état sont effectuées immédiatement après le chargement du système d'exploitation. Par comparé, la longueur du fichier, le code de contrôle cyclique (checksum du fichier), la date et l'heure de la modification, d'autres paramètres sont vérifiés. Les programmes d'audit ont des algorithmes suffisamment développés, détectent des virus furtifs et peuvent même distinguer les modifications de la version du programme en cours de vérification des modifications apportées par le virus. Le programme ADINF de la société "Dialog Science" est un programme généralisé. Programmes de filtrage ou alors "Storam" Présentez les petits programmes résidents conçus pour détecter des actions suspectes lorsqu'ils travaillent sur une caractéristique informatique des virus. Ces actions peuvent être:

tente de corriger les fichiers avec des extensions COM et EXE;

modification des attributs de fichier;

enregistrement direct sur le disque à une adresse absolue;

enregistrement dans le secteur de démarrage du disque.

Lorsque vous essayez de faire les actions spécifiées "Watchman" envoie l'utilisateur un message N offre d'interdire ou de résoudre l'action appropriée. Les programmes de filtrage sont très utiles, car ils peuvent détecter le virus le plus tôt de son existence à la reproduction. Cependant, ils ne "traitent" pas de fichiers et de disques. Pour détruire les virus, vous devez appliquer d'autres programmes, tels que Phages. Les inconvénients des programmes de surveillance incluent leur "gênant" (par exemple, ils émettent constamment un avertissement sur toute tentative de copie du fichier exécutable), ainsi que des conflits possibles avec d'autres logiciels. L'exemple du programme de filtrage est le programme Vsafe Le package utilitaire de système d'exploitation MS DOS. Vaccins ou alors immuniseurs - Ce sont des programmes résidents qui empêchent l'infection de fichiers. Les vaccins sont utilisés s'il n'y a pas de programmes de médecins, «assister à» ce virus. La vaccination n'est possible que de virus célèbres. Le vaccin modifie le programme ou le disque de manière à ce que cela ne soit pas reflété dans leur travail et que le virus les percevrait infectés et ne sera donc pas mis en œuvre. Actuellement, les programmes de vaccin ont une utilisation limitée. Détection à venir des fichiers infectés par des virus et des disques, la destruction complète de virus détectées sur chaque ordinateur vous permet d'éviter la propagation d'une épidémie virale à d'autres ordinateurs. Kit anti-virus "Science de dialogue"Parmi l'abondance d'outils logiciels modernes pour lutter contre les virus informatiques, il convient de donner la préférence à l'ensemble anti-virus de la science de dialogue JSC, qui comprend quatre produits logiciels: SIDSTStest et Web Polyphal (Abréviated Dr.Web), ADINF Drive Auditor et le assister à un module de traitement ADINF. Considérez brièvement, comme vous devez appliquer ces programmes antivirus. Polyphag Programme SIDSTest . AIDSTEST - Il s'agit d'un programme capable de détecter et de détruire plus de 1 300 virus informatiques qui ont reçu le plus répandu en Russie. Version Aidsest. Régulièrement mis à jour et mis à jour avec des informations sur les nouveaux virus. Pour le défi Aidsest. Vous devriez entrer la commande: AIDSTEST [] Où chemin - Nom du disque, Nom complet ou spécification de fichier, masque de groupe de fichiers: * - toutes les sections du disque dur, ** - Tous les disques, y compris les disques de réseau et de CD-ROM; Options - Toute combinaison des touches suivantes: / f - CORRECT programmes infectés et lavés gâtés; / g - Vérifiez tous les fichiers d'une rangée (non seulement Som, EX et SYS); / S - Travail lent pour rechercher des virus gâtés; / x - Effacer tous les fichiers avec des violations dans la structure de la structure du Virus; / q - Demandez la permission de supprimer des fichiers gâtés; / In - ne pas offrir le traitement de la prochaine disquette. Exemple 11.27 Aidsest. Vérifier et "traitement" "disque DANS. Des programmes infectés détectés seront corrigés. Tous les fichiers de disque sont soumis à une vérification. Si le fichier ne peut pas être corrigé, le programme demandera une autorisation de la supprimer: AIDSTEST B: / F / G / Q Programme de polifags de médecin web. Ce programme est conçu principalement pour lutter contre les virus polymorphes, qui sont relativement récemment apparus dans le monde de l'ordinateur. Utilisant Dr. La toile. Vérifier les disques et détecter les virus détectés dans son ensemble, comme un programme Aidsest. La duplication du chèque ne se produit pratiquement pas, car Aidsest. et Dr.Web. Travailler sur différents ensembles de virus. Programme Dr.Web. peut effectivement traiter des virus mutants complexes qui ne sont pas valides par le programme Aidsest.contrairement à Aidsest. programme Dr.Web. Il est capable de détecter des modifications de son propre code de programme, d'identifier efficacement les fichiers infectés par de nouveaux virus inconnus, de pénétrer des fichiers cryptés et emballés et de surmonter la "couverture vaccinique". Ceci est réalisé en raison de la présence d'un analyseur heuristique assez puissant. Dans le mode d'analyse hurlique, le programme Dr.Web. Explorez les fichiers et les régions système des disques, essayant de détecter des virus nouveaux ou inconnus par des virus caractéristiques des séquences de code Virus. Si vous le trouverez, l'avertissement est affiché que l'objet est éventuellement infecté par un virus inconnu. Ils connaissent trois niveaux d'analyse hurlique. En mode d'analyse hétistique, les fausses réponses sont possibles, c'est-à-dire Détection de fichiers non infectés. Le niveau de "heuristique" implique le niveau d'analyse de code sans la présence de faux positifs. Plus le niveau de "heuristique" est élevé, plus le pourcentage d'erreurs ou de faux positifs est élevé. Les deux premiers niveaux de fonctionnement de l'analyseur heuristique sont recommandés. Le niveau d'analyse heuristique fournit des contrôles supplémentaires de fichiers au temps "suspect" de leur création. Certains virus infectés par des fichiers établissent un délai de création incorrect, en tant que signe de l'infection de ces fichiers. Par exemple, pour les fichiers infectés, une seconde peut avoir une valeur de 62, et l'année de création peut être augmentée de 100 ans. Dans le paquet du programme antivirus Dr.Web. Il peut également inclure des fichiers complémentaires à la base de données virale principale du programme, en développant ses capacités. Travailler avec le programme Dr. La toile. Vous pouvez en deux modes:

dans un mode d'interface à écran complet à l'aide du menu et de la boîte de dialogue;

en mode de contrôle via la ligne de commande.

Pour une utilisation irrégulière ponctuelle, le premier mode est plus pratique, mais pour une utilisation régulière afin de contrôler systématiquement les disquettes mieux appliquer le deuxième mode. Lorsque vous utilisez le deuxième mode, la commande de démarrage correspondante Dr. La toile. Il doit être activé soit dans le menu Norton Smmander Oper Shell, soit dans un fichier de commande spécial. Comand String de démarrer le Dr. Web ressemble à ceci: DRWEB [DISC: [Chemin]] [Touches] Où DRIVE: X: - Disque dur logique ou périphérique physique d'un disque flexible, par exemple F: ou :, * tous les périphériques logiques sur le disque dur , chemin - c'est le chemin ou le masque des fichiers requis. Et les touches les plus importantes: / al sont les diagnostics de tous les fichiers sur un périphérique donné; / Cu [P] - "Traitement" des disques et des fichiers, en supprimant les virus trouvé; P - supprimer des virus avec confirmation de l'utilisateur; / DL - dossiers de suppression, dont le traitement correct n'est pas possible; / sur [Niveau] - analyse heuristique des fichiers et de la recherche de virus inconnus, où le niveau peut prendre des valeurs environ, 1, 2; / rr [Nom du fichier] - enregistrer le protocole de travail dans le fichier (défaut dans le rapport de fichier par défaut. Web); / cl - Démarrage d'un programme en mode ligne de commande, lors du test de fichiers et de zones système, a L'interface à écran complet n'est pas utilisée; / Quand Sortie sur DOS immédiatement après le test; /? - Un bref écran de référence. S'il n'y a pas de clé de l'invite de commande Dr.Web, toutes les informations pour le démarrage en cours seront lues à partir du fichier de configuration DRWEB.INI situé dans le même répertoire que le fichier drweb.exe. Le fichier de configuration est créé dans le processus de travail avec le programme. Dr.Web. Utilisation de la commande de préservation requise pour les tests. Exemple 11.28. Exécuter le programme antivirus Dr.Web. Pour vérifier et traiter le disque DANS:. Les fichiers infectés détectés seront "guéri". Tous les fichiers de disque sont soumis à une vérification. Si le fichier "CURE" échoue, le programme demandera la permission de le supprimer. Pour rechercher des virus, un niveau d'analyse heuristique doit être utilisé 1. Le programme doit être effectué uniquement dans le mode de ligne de commande avec la sortie DOS après la fin du test: DROWB Q: / al / tasse / HA1 / Qur / Cl Technologie fonctionne avec le Dr. Web en mode d'interface plein écran.Pour démarrer dans une interface plein écran, entrez simplement le nom du programme à l'invite de commande. Immédiatement après avoir chargé le programme, le programme commencera à tester la RAM de l'ordinateur s'il n'est pas désactivé par le paramètre précédent des paramètres. Le test est affiché dans la fenêtre de test. Après avoir terminé le test de mémoire, il y aura un arrêt. Le travail de programme peut être poursuivi si vous utilisez le menu principal situé en haut de l'écran. Pour activer le menu, appuyez sur la touche. Le menu Source contient les modes suivants: DR.Webest Paramètres Suppléments Le choix de tout mode ouvre le sous-menu correspondant. Afficher Dr.Web. Vous permet de quitter temporairement DOS, d'obtenir une brève information sur le programme Dr.Web et de son auteur ou de quitter le programme. Le test offre la possibilité d'effectuer des opérations de base et des opérations d'Oman "des fichiers et des disques, ainsi que des rapports sur le Actions fabriquées. Le message d'installation est utilisé pour installer à l'aide des paramètres de programme des paramètres de la boîte de dialogue, de définir des chemins et des masques de la recherche et de la sauvegarde des paramètres dans le fichier de configuration DRWeb.ini. Pour connecter des fichiers add-ons à la base de données virale principale du programme qui se développera Ses capacités, le mode est utilisé. Suppléments.Antivirus-Auditor Adinf. ADINF Auditor vous permet de trouver l'apparence de tout virus, y compris des virus furtifs, des virus mutants et des virus inconnus aujourd'hui. Programme Adinf. se souvient:

informations sur les secteurs de démarrage;

informations sur les grappes infructueuses;

longueur et contrôle des fichiers;

date et heure pour créer des fichiers.

Tout au long des travaux du programme informatique Adinf. Surveille la sécurité de ces caractéristiques. Au contrôle quotidien Adinf. Il commence automatiquement tous les jours lorsque l'ordinateur est allumé pour la première fois. Des modifications ressemblant à un virus sont également particulièrement suivies, un avertissement est immédiatement émis. En plus de contrôler l'intégrité des fichiers Adinf. Surveillez pour créer et supprimer des sous-répertoires, créer, supprimer, déplacer et renommer des fichiers, l'apparition de nouvelles grappes d'échec, la sécurité des secteurs de démarrage et de nombreux autres. Tous les endroits possibles pour l'introduction du virus sont chevauchés. Adinf.vérifie les disques sans utiliser DOS, les lire dans les secteurs de contact direct dans le BIOS. Merci à cette méthode de vérification Adinf. Détecte masquant les virus furtifs et fournit une vitesse de contrôle de disque haute disque. Module de marée adipcuce. Module ADINFCURE - Il s'agit d'un programme qui aide à "guérir" un ordinateur d'un nouveau virus, sans attendre des versions fraîches de Polyphanes de SieSest ou Dr.Web, que ce virus sera connu. Programme Module ADINFCURE. Utilise le fait que, malgré l'énorme variété de virus, il existe différentes méthodes de leur introduction dans des fichiers. Pendant le fonctionnement normal, avec un lancement régulier de l'auditeur ADINF, il rapporte Module de traitement ADINF.quels fichiers ont changé depuis le dernier lancement. Module de traitement ADINF.analyse ces fichiers et enregistre des informations sur vos tableaux, qui peuvent être nécessaires pour restaurer le fichier lorsqu'il est infecté par le virus. Si l'infection s'est produite, ADINF remarquera le changement et rappellera à nouveau Module de traitement ADINF, Lequel, sur la base de l'analyse d'un fichier infecté et de la mapper avec des informations enregistrées, vous essayera de restaurer l'état du fichier source. Mesures de base pour se protéger contre les virusAfin de ne pas soumettre l'ordinateur à l'infection par des virus et de garantir un stockage fiable des informations sur les disques, les règles suivantes doivent être suivis:

Équipez votre ordinateur avec des programmes antivirus modernes, tels que Aidsest. ou alors Doctor Web, et mettre à jour constamment leurs versions;

avant de lire avec des disques d'information enregistrés sur d'autres ordinateurs, vérifiez toujours ces disques à disquettes pour les virus, lancant les programmes anti-virus de votre ordinateur;

lorsque vous transférez sur vos fichiers de votre ordinateur sous forme archivée, vérifiez-les immédiatement après avoir décompressé sur le disque dur, limitant la zone de numérisation uniquement par des fichiers nouvellement enregistrés;

vérifier périodiquement les virus de disques durs de l'ordinateur, exécutant des programmes antivirus pour tester des fichiers, des régions de mémoire et de système de disques avec une disquette protégée par disquette, après avoir téléchargé le système d'exploitation également avec les disques système protégés par enregistrement;

protégez toujours vos disques de disquettes lorsque vous travaillez sur d'autres ordinateurs si les informations sont enregistrées sur elles;

assurez-vous de faire des copies archivistiques sur des discrets de précieuses informations pour vous;

ne laissez pas de lecteur dans votre poche: des disques de disquettes lorsque vous allumez ou redémarrez le système d'exploitation pour exclure l'infection par ordinateur avec des virus de chargement;

utilisez des programmes antivirus pour la commande d'entrée de tous les fichiers exécutables reçus de réseaux informatiques;

pour assurer une plus grande application de sécurité Aidsest. et Docteur Web. Il est nécessaire de combiner avec l'utilisation quotidienne de l'auditeur du disque Adinf.

Distinguer les types de programmes antivirus suivants:

Programmes de phage (scanners);

Les programmes d'audit (scanners de CRC);

Bloceurs de programme;

Programmes d'immuniseurs.

Programmes des FIGY (scanners)utilisé pour détecter les virus la méthode de comparaison avec la norme, la méthode d'analyse hurlique et d'autres méthodes. Programmes FUGGE Recherchez un virus de masque spécifique en balayant en RAM et dans les fichiers et lorsque la détection a émis un message correspondant. Les programmes FIGY ne trouvent pas seulement des fichiers infectés par des virus, mais également les "traités", c'est-à-dire supprimer le corps du virus du corps du fichier, renvoyer des fichiers à son état d'origine. Au début de la balayage de programme-phage, les virus détectent et détruisent-leur et ne sont que sur un "traitement" des fichiers. Parmi les phages, les programmes Polyphag-Phage, conçus pour rechercher et détruire un grand nombre de virus.

Les programmes de phage peuvent être divisés en deux catégories - scanners universels et spécialisés. Scanneurs universelsconçu pour rechercher et neutraliser tous les types de virus, quel que soit le système d'exploitation, de travailler dans lequel le scanner est calculé. Scanners spécialisésconçu pour neutraliser un nombre limité de virus ou une seule classe d'entre eux, par exemple, les volumes macro. Les scanners spécialisés, calculés uniquement sur les macrovirus, sont des solutions plus pratiques et fiables pour protéger les systèmes de gestion de documents dans les environnements MS Word et MS Excel.

Les programmes de FAG sont également divisés en moniteurs résidents,produire une analyse "à la volée" et scanners non-résidents,système de support uniquement sur demande. Les moniteurs résidents offrent une protection plus fiable du système, car elles réagissent immédiatement à l'apparition du virus, tandis qu'un scanner non-résident est capable d'identifier le virus uniquement lors de son prochain lancement.

Les avantages des programmes de phage de tous types incluent leur polyvalence. Les inconvénients incluent une vitesse relativement faible de la recherche de virus et de tailles relativement importantes des bases antivirus.

Les programmes de phage les plus célèbres: Aidstest, Scan, Norton Antivirus, Doctor Web. Considérant que de nouveaux virus apparaissent constamment, les programmes de phage deviennent rapidement obsolètes et la mise à jour régulière des versions est requise.

Programmes - Auditeurs (scanners de CRC)utiliser pour rechercher la méthode de la détection des changements de virus. Le principe de fonctionnement des scanners de CRC est basé sur le comptage SUM-SUMC (codes de contrôle cycliques) pour les fichiers / secteurs système présents sur le disque. Ces quantités de CRC, ainsi que d'autres informations (longueurs de fichier, les dates de leur dernière modification, etc.) sont ensuite stockées dans la base de données antivirus. Avec le lancement ultérieur, les scanners de CRC sont vérifiés par les données contenues dans la base de données, avec des valeurs calculées en réalité. Si les informations de fichier enregistrées dans la base de données ne correspondent pas aux valeurs réelles, les scanners de CRC signent que le fichier a été modifié ou infecté par le virus. En règle générale, les comparaisons d'état sont effectuées immédiatement après avoir chargé le système d'exploitation.

Les scanners de CRC utilisant des algorithmes anti-furtifs sont un outil assez puissant contre les virus: près de 100% des virus sont découverts presque immédiatement après leur apparition sur l'ordinateur. Cependant, les scanners de CRC ont un désavantage réduisant considérablement leur efficacité: ils ne peuvent pas déterminer le virus dans de nouveaux fichiers (par courrier électronique, sur des disquettes, dans des fichiers récupérés à partir de la sauvegarde ou lors du déballage des fichiers de l'archive), car leur base de données n'a pas informations sur ces fichiers.

L'inspecteur AVP AVP Inspecteur (AVP Inspecteur Auditor est répandu en Russie. Avec Adinf, le module ADINF CURE (ADINFEXT) est utilisé, qui utilise des informations de fichier précédemment collectées pour leur restauration après la défaite par des virus inconnus. L'auditeur de l'inspecteur AVP comprend également un module assistant pouvant supprimer des virus.

Programmes-bloquantsmettre en œuvre la méthode de surveillance antivirus. Les bloqueurs anti-virus sont des programmes résidents qui interceptent des situations «virus-dangereuses» et qui en font rapport. Les situations "virus-dangereuses" comprennent des appels caractéristiques des virus aux moments de la reproduction (des appels à ouvrir pour écrire à l'exécution des fichiers, d'écrire dans les secteurs de démarrage des disques ou de MBR Winchester, tentent de rester résidence, etc.).

Lorsque vous essayez d'effectuer les actions spécifiées, le bloqueur envoie un message à l'utilisateur et propose d'interdire l'action appropriée. Les avantages des bloqueurs incluent leur capacité à détecter et à empêcher le virus le plus tôt de sa reproduction, ce qui est particulièrement utile dans les cas où un virus connu de longue date apparaît régulièrement. Cependant, ils ne "traitent" pas de fichiers et de disques. Pour détruire les virus, d'autres programmes sont nécessaires, tels que les phages. Les inconvénients des bloqueurs comprennent l'existence de moyens de contourner leur protection et leur "agaçant" (par exemple, ils émettent constamment un avertissement sur toute tentative de copie du fichier exécutable).

Il convient de noter que les bloqueurs antivirus fabriqués sous forme de composants matériels informatiques sont créés. Le plus courant est la protection intégrée de l'écriture dans le MBR Winchester.

Programmes d'immuniseur- Ce sont des programmes qui empêchent l'infection de fichiers. Les immunisers sont divisés en deux types:

· Immuniseurs infectant une infection

· Immunisers bloquant l'infection par tout type de virus.

Les immunistres de premier type sont généralement écrits à la fin des fichiers et lorsque le fichier démarre, chaque fois, vérifiez-le sur le changement. Ces immunistres ont un inconvénient sérieux - ils ne peuvent pas détecter la contamination du virus furtif. Par conséquent, ce type d'immuniseur n'est pratiquement pas utilisé à l'heure actuelle.

La deuxième immuniseur de type protège le système des dommages causés au virus d'une certaine espèce. Il modifie un programme ou un disque de manière à ce que cela ne soit pas reflété dans leur travail, le virus les perçoit en contaminé et n'est donc pas mis en œuvre. Ce type d'immunisation ne peut pas être universel, car il est impossible d'immuniser des fichiers de tous les virus connus. Cependant, comme une immuniseur similaire, semi-dimensionnelle, peut tout de même protéger l'ordinateur d'un nouveau virus inconnu jusqu'au moment où il est déterminé par des scanners antivirus.

Programmes de détecteurs

Programmes de détecteurs Recherchez un virus de signature spécifique en RAM et dans les fichiers et lorsqu'il est détecté, un message correspondant est donné. L'inconvénient de tels programmes antivirus est qu'ils ne peuvent trouver que les virus connus des développeurs de tels programmes.

Programmes de docteur

Les programmes de médecins ou de phages, ainsi que des programmes de vaccination, non seulement les fichiers infectés par des virus, mais aussi les "traiter", c'est-à-dire qu'ils sont supprimés du corps du virus du fichier-virus, qui renvoient des fichiers à son état d'origine. Au début de son travail, les phages recherchent des virus dans la RAM, les détruisant et ne sont qu'à un "traitement" des fichiers. Parmi les phages, les polyphags sont isolés, c'est-à-dire les programmes de médecins conçus pour rechercher et détruire un grand nombre de virus. Les plus célèbres d'entre eux sont: AVP, AIDSTEST, SCAN, NORTON Antivirus, Doctor Web.

Étant donné que de nouveaux virus sont constamment émergents, les programmes de détection et les médecins sont rapidement obsolètes et la mise à jour régulière des versions est requise.

Programmes de révolution (inspecteur)

Les programmes et les auditeurs (inspecteur) se réfèrent aux moyens de protection les plus fiables contre les virus.

Les auditeurs (inspecteur) Vérifiez les données sur le disque pour les virus invisibles, apprenez si le virus grimpait dans des fichiers, il n'existe pas de secteur de disque dur non autorisé, il n'existe pas de changements de registre Windows non autorisés. De plus, l'inspecteur peut ne pas utiliser les moyens du système d'exploitation pour faire appel aux disques (et donc le virus actif ne sera pas en mesure d'intercepter le présent appel).

Le fait est qu'un certain nombre de virus, intégrés dans des fichiers (c'est-à-dire d'ajouter à la fin ou au début du fichier), remplacez les enregistrements sur ce fichier dans les tables d'emplacement de fichier de notre système d'exploitation. Vous regardez des "fenêtres" - cela semble être rien changé: ni la longueur du fichier, ni la date ou la date de création, ni même le code de contrôle (CRC). Comme on dit, tout converge sur les papiers et le détournement de fonds est.

Les auditeurs (inspecteur) se souviennent de l'état d'origine des programmes, des répertoires et des régions système du disque lorsque l'ordinateur n'est pas infecté par le virus, puis ou à la demande de l'utilisateur de comparer l'état actuel avec l'original. Les modifications détectées sont affichées sur l'écran du moniteur. En règle générale, la comparaison des États produisent immédiatement après avoir chargé le système d'exploitation. Par comparé, la longueur du fichier, le code de contrôle cyclique (checksum du fichier), la date et l'heure de la modification, d'autres paramètres sont vérifiés. Les programmes d'audit (inspecteur) ont des algorithmes suffisamment développés, découvrent des virus furtifs et peuvent même effacer les modifications de la version du programme en cours de vérification des modifications apportées par le virus. Le programme ADINF est un programme généralisé ADINF largement distribué en Russie.

Pour exécuter l'auditeur (inspecteur), il est nécessaire lorsque l'ordinateur n'est pas encore infecté, de sorte qu'il puisse créer dans le répertoire racine de chaque disque sur le fichier de fichier kavitab (bykva_dis) (par exemple, kavitabc.dat), avec tout le nécessaire. Informations sur les fichiers disponibles sur ce disque, ainsi que sur sa zone de démarrage. Sur la création de chaque table, nous serons demandés la permission.

Avec le lancement suivant, l'auditeur (inspecteur) affichera les disques, comparant les données sur chaque fichier avec ses enregistrements. Par exemple, la taille du fichier a changé et la date et l'heure sont restées les mêmes. Étrange? Étrange! Plusieurs fichiers ont changé de longueur et quelque chose d'extérieur a été ajouté à chacun des fichiers. Étrange? Toujours! Ou dans le registre Windows, il y avait des changements, bien que vous n'ajoutiez rien de nouveau au système. Méfiant? Au plus haut suspect! Eh bien, lorsque l'inspecteur rapporte d'étranges changements dans le secteur de démarrage, c'est juste un garde! (À moins que, bien sûr, vous n'avez pas défini de nouveau système d'exploitation à partir du chèque précédent.)

Dans une telle situation, l'auditeur (inspecteur) sera en mesure d'utiliser son propre module assistant, ce qui restaurera le fichier corrompu par le virus dans 95 cas sur 100 (au moins ils promettent les auteurs). Pour restaurer des fichiers, l'inspecteur n'a même pas besoin de savoir quoi que ce soit sur le type de virus spécifique, il suffit d'utiliser les données sur les fichiers stockés dans les tableaux.

De plus, si nécessaire, un scanner antivirus peut être causé.

Programmes - Filtres (moniteurs)

Les filtres (moniteurs) ou «Storam» sont des petits programmes résidents conçus pour détecter des actions suspectes lorsqu'ils travaillent sur une caractéristique informatique des virus. Ces actions peuvent être:

1. tente de corriger les fichiers avec COM, des extensions Exe;

2. Modifier les attributs de fichier;

4. Enregistrement dans le secteur de démarrage du disque;

Lorsque vous essayez de faire les actions spécifiées "Watchman" envoie à l'utilisateur un message et propose d'interdire ou de résoudre l'action appropriée. Les programmes de filtrage sont très utiles, car ils peuvent détecter le virus le plus tôt de son existence à la reproduction. Cependant, ils ne "traitent" pas de fichiers et de disques. Pour détruire les virus, vous devez appliquer d'autres programmes, tels que Phages.

Vaccins ou immuniseurs

Les vaccins ou les immuniseurs sont des programmes résidents qui empêchent l'infection de fichiers. Les vaccins sont utilisés s'il n'y a pas de programmes de médecins, «assister à» ce virus. La vaccination n'est possible que de virus célèbres. Le vaccin modifie le programme ou le disque de manière à ce que cela ne soit pas reflété dans leur travail et que le virus les percevrait infectés et ne sera donc pas mis en œuvre. Actuellement, les programmes de vaccins ont une utilisation limitée.

Scanner

Le principe de fonctionnement des scanners anti-virus est basé sur la vérification des fichiers, des secteurs et de la mémoire système, ainsi que de la recherche de virus connus et nouveaux (inconnus) de virus. Pour rechercher des virus célèbres, les "masques" sont utilisés. Le masque du virus est une séquence de code permanente spécifique à un virus particulier. Si le virus ne contient pas de masque permanent ou que la longueur de ce masque ne suffit pas, les autres méthodes sont utilisées. Un exemple de cette méthode est une langue algorithmique décrivant toutes les options de code possibles pouvant se rencontrer lorsqu'il infectait un type de virus similaire. Cette approche est utilisée par certains antivirus pour détecter les virus polymorphes.

L'inconvénient des scanners simples est leur incapacité à détecter les virus polymorphes qui changent complètement leur code. Pour ce faire, il est nécessaire d'utiliser des algorithmes de recherche plus complexes comprenant une analyse heuristique des programmes vérifiés.

De plus, les scanners ne peuvent détecter que des virus déjà connus et déjà étudiés pour lesquels la signature a été déterminée. Par conséquent, les scanners ne protégeront pas votre ordinateur de la pénétration de nouveaux virus qui, au fait, apparaissent plusieurs pièces par jour. En conséquence, des scanners sont observés au moment de la sortie de la nouvelle version.

Les vaccins ou immuniseurs sont des programmes résidents qui n'autorisent pas l'infection au fichier. Les vaccins sont utilisés s'il n'y a pas de programmes de médecins, «assister à» ce virus. La vaccination ne peut être utilisée que sur des virus connus. L'essence de cette méthode est que le vaccin modifie le programme ou le disque de manière à ce qu'il ne soit pas exprimé dans leur travail, et le virus les examinera infectés et, par conséquent, ne sera pas mis en œuvre. Actuellement, les programmes de vaccin sont limités en application.

Les immunisers se distinguent par deux types: les immunistres qui infectent l'infection et les immunistres qui ne permettent aucune infection par un virus. Le premier le plus souvent enregistré à la fin des fichiers et chaque fois que vous démarrez le fichier pour le vérifier sur le changement. Le deuxième type de vaccination protège le système des dommages causés à un virus d'une certaine espèce.

Programmes de filtrage

Les programmes de filtrage, également appelés wrappers et moniteurs résidents, sont toujours en RAM et intercepter les interruptions données afin de les vérifier sur des actions suspectes. Ils sont également capables de bloquer des actions "dangereuses" ou d'émettre une demande à l'utilisateur.

Les actions à contrôler peuvent être les suivantes: modification de l'enregistrement de démarrage principal (MBR) et chargement des enregistrements de disques logiques et de GMD, enregistrement à une adresse absolue, mise en forme de disque de bas niveau, laissant la bélier du module résident, etc., Outre les auditeurs, les filtres sont souvent "obsédants" et créent certains inconvénients dans l'utilisateur.

Tous les types de programmes antivirus sont principalement dirigés pour protéger l'ordinateur des virus empiétant.

Chaque personne, établissant un programme antivirus, s'efforce d'atteindre certains résultats. Pour une tâche importante, c'est empêcher les fuites d'informations. D'autres font attention à l'intégrité de l'information. Pour la troisième fois, le premier endroit est l'exploitation sans problème des systèmes d'information. Il y avait des cas lorsque les virus ont bloqué le travail des organisations et des entreprises. De plus, il y a quelques années, une affaire a été enregistrée lorsqu'un virus informatique a provoqué la mort d'une personne - dans l'un des hôpitaux du patient néerlandais, une dose fatale de morphine a été introduite pour la raison pour laquelle l'ordinateur a été infecté par le virus et émis informations incorrectes.

Site sur le technicien informatique