Upload
jerrod
View
82
Download
7
Embed Size (px)
DESCRIPTION
Защита на данните в компютърната система. Какво е компютърен вирус?. Паразитни програми , създадени от хора, с цел унищожаването на други програми или данни. Известни са повече от 53 000 вида. Терминът идва от биологията и означава отровен сок. - PowerPoint PPT Presentation
Citation preview
Защита на данните в компютърната система
Какво е компютърен вирус?
Паразитни програми, създадени от хора, с цел унищожаването на други програми или данни.
Известни са повече от 53 000 вида. Терминът идва от биологията и означава
отровен сок. Пренася се през всички средства за пренос на
данни. Притежават свойството
самовъзпроизвеждане.
Видове- зависят от областите на разпространение
Резидентни- разполагат се в паметта и пречат за нормалното функциониране на програмите;
Троянски кон- маскирана като обикновена програма (скрита в нея);
Макро- причиняват правописни и стилистични грешки на текстове и таблици;
Файлови- поразяват изпълними файлове (EXE и COM);
BIOS- поразяват BIOS на КС, като променят неговата конфигурация.
Спам- нежелана информация под формата на електронни писма.
Характеристика на вирусите
Armored ("бронирани")- Тези вируси разполагат със сложни техники за прикриване като шифриране и преместване на вирусния код, за да се избегне откриването и премахването им.
Например Whale.
Boot - sector infector (BSI)- Тези вируси инфектират сектора за начално зареждане на дискове. Вируси, които заразяват главния запис за начално зареждане (Master Boot Record - MBR), може да инфектират сектора за зареждане на дискети. Ефективното премахване на вируси BSI се осъществява с форматирането на заразения диск. Вируси на MBR не може да бъдат премахнати с форматиране на диска.
Пример: Form.
Encrypting (шифрирани)- Някои вируси използват шифриране на данни или само шифриране, както се забелязва при полиморфните вируси. Вирусът Monkey заразява основния запис за начално зареждане на твърди дискове и шифрира данните за дялове (partition) на устройството. Файловете на това устройство може да бъдат разглеждани само когато вирусът е зареден в паметта , за да дешифрира данните на твърдия диск. Премахването на вируса Monkey отстранява и възможността за разчитане на шифрирани данни за разпределяне на диска., което на практика изтрива съдържанието на устройството. Вируси като Monkey трябва да се отстраняват с помощта на специални инструменти и техники.
Пример: Monkey
File (файлови)- Този тип вируси инфектират файлове например изпълними (.exe) програми или документи (.doc) на Microsoft Word. Когато бъде отворен заразен файл или е стартирана заразена програма, вирусът се изпълнява заедно с инструкциите в съответния файл. "Заразите" на документите на Microsoft Word са познати като "макро вируси". Определени типове файлове като например изображения (JPEG, GIF) или филми (MPEG) не са изпълними и не може да пренасят зараза. Но, от друга страна, някои вируси се маскират като такива "безопасни" файлове, например JPEG, за да проникват безпрепятствено в системата.
Пример: Jerusalem
Macro (макро вируси)- Макро вирусите може да се изпълняват само в програми, които поддържат макроси. Microsoft Word и Microsoft Excel са най - често използваните програми за заразяване с макро вируси, създавани на Visual Basic for Applications или WordBasic. От появата на първия макро вирус през 1995 г. - Concept, макро вирусите започват стремително разпространение. Днес те са преобладаващия тип вируси "на свобода".
Пример: Concept
Master Boot Record (MBR)- Всички твърди дискове съдържат главен запис за начално зареждане (Master Boot Record - MBR), към който се обръща компютърът при стартиране. MBR вирусите заразяват този запис на твърдия диск с вирусен код, когато системата зареди от заразена дискета. Често срещан начин на заразяване е когато потребителят забрави заразена дискета във флопидисковото устройство при изключване на компютърът. Следващия път, когато включи компютъра, той се опитва да зареди операционната система от дискетата, като заразява твърдия диск с вируса MBR. Впоследствие вирусът се изпълнява заедно с нормалния код на MBR всеки път когато системата се зарежда от вече заразения твърд диск. После вирусите MBR се опитват да заразят секторите за начално зареждане на дискети и дискове, когато бъдат използвани. MBR вирусите не се отстраняват от диска в процес на форматиране. Тъй като MBR се намира на различно място в диска, един вирус MBR трябва да бъде премахван с инструмент като FDISK или като системата се зареди от чиста стартова дискета, преди да бъде използвана антивирусна програма.
Пример: AntiCMOS
Polymorphic (полиморфни)- Както подсказва името им ("поли" - много и "морфос" - форма), полиморфните вируси съдържат сложни инструкции, които позволяват на вирусите да мутират в нови и различни форми в рамките на същото семейство вируси. Разкриването на добре програмиране полиморфни вируси е изключително трудно. Новите евристични методи подпомагат откриването и премахването на нови и по - рано неоткриваеми полиморфни вируси на свобода. За съжаление евристичните методи понякога отчитат "лъжливи положителни" резултати или неправилно разпознаване, когато търсят "подобен на вирус" код.
Пример: Hare
Stealth ("потайни")- Тези вируси се опитват да скрият присъствието си на заразената система, така че да могат да се репродуцират и да останат неразкрити дълго време. Прикритите вируси могат да прихващат системни съобщения за проверка и да ги връщат обратно с отчет за незаразен документ, като така препятстват разкриването им. Налични са няколко добре познати, но рядко срещани експертни техники за прикриване, които включват "брониране", "дълбане" и "тунелиране".
Пример: One_Half
Terminate and stay resident (TSR)- Тези вируси за DOS се зареждат в паметта, когато бъдат стартирани, независимо че първоначално приела ги програма може да е прекратила работата си. След първоначалното заразяване много TSR вируси са създадени така, че да се зареждат в паметта при всяко стартиране на системата.
Пример: Jerusalem
Tunneling (тунелиране)- Такива вируси могат директно да викат оригиналните манипулатори на прекъсване (interrupt handlers) в DOS и BIOS, като заобикалят програмите за мониторинг, които се изпълняват с цел откриване на вирусна активност. Интересното в случая е, че някои антивирусни програми също използват техника на тунелиране, за да заобикалят вируси, които евентуално се изпълняват в паметта.
Multipartite (многокомпонентни)- Многокомпонентните вируси се опитват да се разпространят с голяма скорост, като заразяват по няколко различни начина едновременно. Най - честия прийом на многокомпонентните вируси е да заразяват както програми, така и главния запис за начално зареждане. Този тип вируси често се разпространяват успешно на свобода, но понастоящем са рядкост.
Пример: Pieck
Как да разберем присъствието на вирус? Забавяне на компютърната система (КС); Поява на необичайни съобщения за
грешки; Изчезване, поява или променяне на
размера на файлове; Отказ за достъп до дадено устройство; Намаляване на количеството памет Блокиране на клавиатурата или мишката
и други.
Борба срещу вирусите с антивирусни програми
При стартиране на КС те се зареждат в паметта и проверяват при изпълнение на някаква програма за наличие на вирус.
Проверяват при процеса на работа за вируси.
За по- голяма надеждност антивирусните програми трябва да се обновяват (с нови версии или с нови дефиниции).
Предпазни мерки:
Винаги да се проверяват файловете, които се обменят чрез носители на информация или електронна поща.
Да се използват най-новите версии на антивирусните програми.
Да не се отварят прикачени файлове от съмнителни източници и с неясно съдържание.
Да не се отговаря на покани за “download” при “сърфирането” из Интернет.
Антивирусни програми
Norton Antivirus F-Prot Avast Panda Antivirus Kaspersky NOD32 McAfee AntiVir AVG Internet Security и
много други.
Работа с антивирусната програмаСканиране за вируси (Scan).Сваляне на нови дефиниции
(Update)Изтриване или поставяне под
“карантина” на вируси.