Virus máy tính và phần mềm diệt virus. Virus máy tính và phần mềm diệt virus

Tóm tắt về chủ đề:

« Virus máy tính Và

chương trình diệt virus"

Không phải vô cớ mà virus máy tính được gọi như vậy – chúng rất giống với virus “sống”. Chúng lây lan theo cùng một cách, sống, hành động và chết theo cùng một cách. Điểm khác biệt duy nhất là mục tiêu không phải là người hay động vật mà là máy tính. Liên lạc với nhau qua đĩa mềm, đĩa CD, mạng cục bộ, Internet và các phương tiện “giao tiếp” khác, chúng cũng giống như con người, lây nhiễm lẫn nhau.

Virus máy tính là một chương trình có thể tạo các bản sao của chính nó (không nhất thiết phải giống hoàn toàn với bản gốc) và triển khai chúng vào các đối tượng hoặc tài nguyên khác nhau hệ thống máy tính, mạng, v.v. mà người dùng không hề hay biết. Đồng thời, các bản sao vẫn có khả năng được phân phối thêm. Ngày nay có 6 loại virus chính được biết đến: virus file, boot, ghost (đa hình), virus vô hình, virus script và virus macro. Phải phân biệt được virus với mã độc. Chúng bao gồm sâu Internet và các chương trình được gọi là ngựa Trojan.

Các triệu chứng chính của việc nhiễm vi-rút: hoạt động của một số chương trình bị chậm, kích thước tệp tăng (đặc biệt là các tệp thực thi), xuất hiện các tệp đáng ngờ trước đây không tồn tại, giảm dung lượng RAM khả dụng (so với hoạt động bình thường). ), đột nhiên xuất hiện nhiều video khác nhau và hiệu ứng âm thanh. Trong trường hợp có tất cả các triệu chứng nêu trên, cũng như các biểu hiện lạ khác trong hoạt động của hệ thống (hoạt động không ổn định, thường xuyên khởi động lại độc lập, v.v.), bạn nên kiểm tra ngay hệ thống để tìm virus.

Sự ra đời của virus máy tính

Có nhiều ý kiến ​​khác nhau về sự xuất hiện của virus máy tính đầu tiên. Người ta chỉ biết chắc chắn rằng chiếc máy của Charles Babbage, được coi là người phát minh ra chiếc máy tính đầu tiên, đã không có nó, nhưng Univax 1108 và IBM 360/370 đã có chúng vào giữa những năm 1970. Điều thú vị là ý tưởng về virus máy tính xuất hiện sớm hơn nhiều so với những máy tính cá nhân. Điểm khởi đầu có thể coi là công trình của nhà khoa học nổi tiếng John von Neumann về nghiên cứu các automata toán học tự tái tạo, được biết đến vào những năm 1940. Năm 1951, ông đề xuất một phương pháp tạo ra những cỗ máy như vậy. Và vào năm 1959, tạp chí Scientific American đã đăng một bài viết của L.S. Penrose, dành riêng cho các cấu trúc cơ học tự tái tạo. Nó mô tả mô hình hai chiều đơn giản nhất của các cấu trúc cơ học tự tái tạo có khả năng kích hoạt, tái tạo, đột biến và bắt giữ. Sau đó, một nhà khoa học khác F.Zh. Stahl đưa mô hình này vào thực tế bằng cách sử dụng mã máy trên IBM650.

Quá trình lây nhiễm

Quá trình lây nhiễm virus được đơn giản hóa file chương trình Có thể
trình bày nó như sau. Mã của chương trình bị nhiễm thường là mã đầu tiên nhận được sự kiểm soát của virus, trước khi chương trình mang virus bắt đầu hoạt động.
Khi quyền kiểm soát được chuyển giao cho virus, bằng cách nào đó nó tìm thấy
chương trình mới và dán bản sao của chính nó vào
phần đầu hoặc phần cuối của phần này thường chưa bị nhiễm
các chương trình. Nếu có virus được thêm vào cuối chương trình thì nó sẽ
sau đó anh ta điều chỉnh mã chương trình để giành quyền kiểm soát
đầu tiên để làm điều này, một vài byte đầu tiên được lưu trữ trong phần thân.
virus, và ở vị trí của chúng, lệnh đi tới phần đầu được chèn vào
vi-rút. Phương pháp này là phổ biến nhất. Qua -
Giành quyền kiểm soát, virus khôi phục phần “ẩn” trước
byte, và sau khi xử lý phần thân của nó sẽ chuyển điều khiển
chương trình mang virus.

Chương trình chống vi-rút

Các phương pháp chống lại vi-rút máy tính có thể được chia thành nhiều nhóm: ngăn ngừa sự lây nhiễm vi-rút và giảm thiệt hại dự kiến ​​do việc lây nhiễm đó; Phương pháp sử dụng chương trình chống virus, bao gồm cả việc vô hiệu hóa và loại bỏ vi-rút đã biết; phương pháp phát hiện và loại bỏ một loại virus chưa biết.

Người ta đã biết từ xa xưa rằng sớm hay muộn bất kỳ chất độc nào cũng

có thể tìm được thuốc giải độc. Như một thuốc giải độc cho thế giới máy tính

trở thành chương trình được gọi là chương trình chống vi-rút. Các chương trình này có thể-

nhưng được phân thành năm nhóm chính: bộ lọc, máy dò,

kiểm toán viên, bác sĩ và người tiêm chủng.

Bộ lọc chống vi-rút là các chương trình thường trú

thông báo cho người dùng về mọi nỗ lực của bất kỳ chương trình nào nhằm ghi lại

vào đĩa, chưa nói đến việc định dạng nó, và cả về

các hành động đáng ngờ khác (ví dụ: cố gắng thay đổi cài đặt

cài đặt CMOS). Trong trường hợp này, yêu cầu cho phép hoặc cấm sẽ được hiển thị.

hiểu hành động này. Nguyên lý hoạt động của các chương trình này dựa trên

chặn các vectơ ngắt tương ứng. Để có lợi

các chương trình thuộc lớp này so với các chương trình dò ​​tìm có thể

mà là gán tính phổ quát trong mối quan hệ với cả những gì đã biết và

các loại virus chưa xác định, trong khi các bộ dò tìm được viết cho các loại virus cụ thể

mới, được biết đến trên khoảnh khắc này quan điểm cho người lập trình. Nó đặc biệt

phù hợp hiện nay, khi nhiều loại virus đột biến đã xuất hiện, không

có mã vĩnh viễn. Tuy nhiên, các chương trình lọc không thể

giám sát các virus truy cập trực tiếp vào BIOS, cũng như

Virus BOOT được kích hoạt ngay cả trước khi chương trình chống vi-rút được khởi chạy, trong

giai đoạn đầu tải DOS cũng có những nhược điểm.

thường xuyên đưa ra các yêu cầu thực hiện bất kỳ hoạt động nào: từ

Việc trả lời các câu hỏi tốn rất nhiều thời gian và công sức của người dùng.

làm anh ấy lo lắng. Khi cài đặt một số phần mềm diệt virus

bộ lọc cú có thể có xung đột với cư dân khác

các chương trình sử dụng cùng các ngắt được truyền đơn giản

ngừng hoạt động.

Các chương trình phổ biến nhất ở nước ta là

chúng tôi là máy dò, hay đúng hơn là các chương trình kết hợp máy dò và

bác sĩ. Đại diện nổi tiếng nhất của lớp này là Aidstest,

Doctor Web, MicroSoft AntiVirus.

Trình phát hiện chống vi-rút được thiết kế cho các loại vi-rút cụ thể và dựa trên

so sánh trình tự mã chứa trong cơ thể virus với

mã của các chương trình đang được kiểm tra cần được cập nhật thường xuyên.

cập nhật, vì chúng nhanh chóng trở nên lỗi thời và không thể phát hiện

các loại virus mới.

Kiểm toán viên - chương trình phân tích hiện trạng

các tập tin và khu vực hệ thống của đĩa và so sánh nó với thông tin

được lưu trước đó vào một trong các tệp dữ liệu kiểm toán viên. trong đó

trạng thái của khu vực BOOT, bảng FAT và độ dài được kiểm tra

các tập tin, của họ thời gian sáng tạo, thuộc tính, tổng kiểm tra. Phân tích

Bằng cách chỉnh sửa các thông báo của chương trình kiểm tra, người dùng có thể quyết định những gì

liệu những thay đổi đó có phải do virus gây ra hay không. Khi đưa ra loại tin nhắn này

người ta không nên hoảng sợ vì nguyên nhân của những thay đổi,

ví dụ: độ dài của chương trình có thể không phải là virus

Nhóm cuối cùng bao gồm các phần mềm chống vi-rút kém hiệu quả nhất -

người tiêm chủng. Họ ghi lại các dấu hiệu trong chương trình tiêm chủng

vi-rút cụ thể để vi-rút coi như nó đã bị nhiễm.

Bộ Giáo dục và Thanh niên

Cộng hòa Karelia

Lyceum chuyên nghiệp số 12

Virus máy tính

và phần mềm diệt virus

Tóm tắt về khoa học máy tính

nhóm sinh viên số 18

Malysheva N.V.

Giáo viên:

Petrozavodsk

Giới thiệu

Ai viết virus và tại sao?

Virus máy tính, đặc tính và phân loại của chúng

Đặc tính của virus máy tính

Phân loại virus

Virus khởi động

Tập tin virus

Virus tập tin khởi động

Virus đa hình

Virus tàng hình

Ngựa Trojan, dấu trang phần mềm và sâu mạng

Đường dẫn virus xâm nhập vào máy tính và cơ chế phát tán chương trình virus

Dấu hiệu của virus

Các phương pháp bảo vệ khỏi virus máy tính

Chương trình chống vi-rút

Phần kết luận

Thư mục

Giới thiệu

Hầu như không cần phải nhắc nhở rằng máy tính đã trở thành trợ lý thực sự của con người và cả công ty thương mại lẫn tổ chức chính phủ đều không thể hoạt động nếu không có chúng. Tuy nhiên, về vấn đề này, vấn đề bảo mật thông tin đã trở nên đặc biệt gay gắt.

Virus trở nên phổ biến trong công nghệ máy tính đã khiến cả thế giới phấn khích. Nhiều người dùng máy tính lo ngại trước tin đồn tội phạm mạng đang sử dụng virus máy tính để hack mạng, cướp ngân hàng, đánh cắp tài sản trí tuệ...

Thật không may, ngày nay, việc sử dụng rộng rãi máy tính cá nhân hóa ra có liên quan đến sự xuất hiện của các chương trình vi-rút tự sao chép, cản trở hoạt động bình thường của máy tính, phá hủy cấu trúc tệp của đĩa và làm hỏng thông tin được lưu trữ trên máy tính. .

Ngày càng có nhiều thông tin trên các phương tiện truyền thông về các loại thủ đoạn cướp biển của bọn côn đồ máy tính, về sự xuất hiện của các chương trình tự sao chép ngày càng tiên tiến. Gần đây hơn, việc lây nhiễm vi-rút vào các tệp văn bản được coi là vô lý - bây giờ điều này sẽ không làm ai ngạc nhiên. Chỉ cần nhớ lại sự xuất hiện của dấu hiệu đầu tiên gây ra nhiều ồn ào - virus WinWord. Khái niệm đánh tài liệu ở định dạng trình xử lý văn bản Phần mềm soạn thảo văn bản dành cho Windows 6.0 và 7.0. Bất chấp luật pháp được thông qua ở nhiều quốc gia để chống tội phạm máy tính và phát triển phần mềm chống vi-rút đặc biệt, số lượng vi-rút phần mềm mới vẫn không ngừng tăng lên. Điều này đòi hỏi người sử dụng máy tính cá nhân phải có kiến ​​thức về bản chất của vi-rút, các phương pháp lây nhiễm vi-rút và cách bảo vệ chống lại chúng.

Tôi muốn lưu ý ngay rằng bạn không nên quá sợ vi-rút, đặc biệt nếu bạn mới mua máy tính và chưa tích lũy nhiều thông tin trên ổ cứng. Virus sẽ không làm nổ tung máy tính của bạn. Hiện tại, chỉ có một loại vi-rút được biết đến (Win95.CIH) có thể làm hỏng phần cứng của máy tính. Những người khác chỉ có thể tiêu hủy thông tin, không có gì hơn.

Các tài liệu rất kiên trì ủng hộ rằng bạn chỉ có thể loại bỏ vi-rút với sự trợ giúp của các chương trình chống vi-rút phức tạp (và đắt tiền), và được cho là chỉ dưới sự bảo vệ của chúng, bạn mới có thể cảm thấy hoàn toàn an toàn. Điều này không hoàn toàn đúng - việc làm quen với các đặc điểm cấu trúc và phương pháp đưa vi-rút máy tính vào sẽ giúp bạn phát hiện và khoanh vùng chúng kịp thời, ngay cả khi bạn không có sẵn chương trình chống vi-rút phù hợp.

Ai viết virus và tại sao?

Ai viết virus? Theo tôi, phần lớn chúng được tạo ra bởi học sinh và học sinh mới học hợp ngữ, muốn thử sức nhưng không tìm được cách sử dụng xứng đáng hơn. Điều đáng mừng là một phần đáng kể các loại vi-rút như vậy thường không được tác giả của chúng phát tán và vi-rút “chết” sau một thời gian cùng với các đĩa mềm mà chúng được lưu trữ trên đó. Những virus như vậy rất có thể chỉ được viết để tự khẳng định.

Nhóm thứ hai cũng bao gồm những người trẻ tuổi (thường là sinh viên), những người chưa hoàn toàn nắm vững nghệ thuật lập trình nhưng đã quyết định cống hiến hết mình cho việc viết và phát tán virus. Lý do duy nhất thúc đẩy những người như vậy viết virus là do mặc cảm tự ti, biểu hiện ở hành vi côn đồ máy tính.

Từ ngòi bút của những “thợ thủ công” như vậy thường xuất hiện vô số sửa đổi của các loại virus “cổ điển”, hoặc những loại virus cực kỳ thô sơ với nhiều lỗi (tôi gọi những loại virus như vậy là “virus sinh viên”). Cuộc sống của những người viết vi-rút như vậy đã trở nên dễ dàng hơn đáng kể sau khi phát hành các trình tạo vi-rút, với sự trợ giúp của chúng, bạn có thể tạo vi-rút mới ngay cả khi có kiến ​​​​thức tối thiểu về hệ điều hành và trình biên dịch mã, hoặc thậm chí không có bất kỳ ý tưởng nào về nó. Cuộc sống của họ thậm chí còn trở nên dễ dàng hơn sau sự ra đời của virus macro, vì thay vì ngôn ngữ hợp ngữ phức tạp, để viết virus macro, chỉ cần học BASIC khá đơn giản là đủ.

Càng lớn tuổi, càng có nhiều kinh nghiệm nhưng chưa bao giờ trưởng thành, nhiều kẻ viết virus này rơi vào nhóm thứ ba, nguy hiểm nhất, nhóm tạo ra và phát tán những virus “chuyên nghiệp” ra thế giới. Những chương trình được suy nghĩ và sửa lỗi rất cẩn thận này được tạo ra bởi các lập trình viên chuyên nghiệp, thường rất tài năng. Những loại virus như vậy thường sử dụng các thuật toán khá nguyên bản, các phương pháp xâm nhập vùng dữ liệu hệ thống không có giấy tờ và ít được biết đến. Virus “chuyên nghiệp” thường được tạo ra bằng công nghệ “tàng hình” và/hoặc là loại virus đa hình, không chỉ lây nhiễm vào các tệp mà còn lây nhiễm vào các khu vực khởi động của đĩa và đôi khi là các tệp thực thi của Windows và OS/2.

Một phần khá quan trọng trong bộ sưu tập của tôi là các “gia đình” - các nhóm gồm một số loại vi-rút (đôi khi hơn một chục). Đại diện của mỗi nhóm này có thể được phân biệt bằng một đặc điểm riêng biệt, được gọi là "chữ viết tay": các thuật toán và kỹ thuật lập trình giống nhau được tìm thấy ở một số loại virus khác nhau. Thường thì tất cả hoặc gần như tất cả các thành viên trong một gia đình đều thuộc về một tác giả, và đôi khi khá buồn cười khi theo dõi “sự hình thành ngòi bút” của một nghệ sĩ như vậy - từ việc gần như “sinh viên” cố gắng tạo ra ít nhất một thứ gì đó tương tự như virus, đến việc triển khai một loại virus “chuyên nghiệp” hoàn toàn khả thi.

Theo tôi, lý do buộc những người như vậy hướng khả năng của mình vào công việc vô nghĩa như vậy vẫn giống nhau - mặc cảm tự ti, đôi khi kết hợp với tâm lý không cân bằng. Điều quan trọng là việc viết virus như vậy thường được kết hợp với các chứng nghiện khác. Vì vậy, vào mùa xuân năm 1997, một trong những tác giả virus nổi tiếng nhất thế giới, có biệt danh Talon (Úc), đã qua đời ở tuổi 21 vì một liều heroin gây chết người.

Nhóm tác giả virus thứ tư, “các nhà nghiên cứu”, có phần tách biệt. Nhóm này bao gồm các lập trình viên khá thông minh, những người đang phát minh ra các phương pháp lây nhiễm, ẩn náu, chống lại phần mềm chống vi-rút, v.v. Họ cũng nghĩ ra cách để triển khai chúng vào các hệ điều hành mới, các trình tạo virus và các trình tạo đa hình. Những lập trình viên này viết virus không phải vì bản thân virus mà vì mục đích “khám phá” tiềm năng của “hệ động vật máy tính”.

Thông thường, các tác giả của những loại virus như vậy không đưa những sáng tạo của họ vào thực tế nhưng họ rất tích cực quảng bá ý tưởng của mình thông qua nhiều ấn phẩm điện tử dành riêng cho việc tạo ra virus. Đồng thời, mối nguy hiểm từ những loại virus “nghiên cứu” như vậy không hề giảm bớt - một khi đã lọt vào tay các “chuyên gia” thuộc nhóm thứ ba, những ý tưởng mới sẽ được triển khai rất nhanh chóng trên những loại virus mới.

Thái độ của tôi đối với tác giả virus là gấp ba lần. Thứ nhất, tất cả những người viết vi-rút hoặc đóng góp vào việc phân phối chúng đều là “người trụ cột” của ngành công nghiệp chống vi-rút, doanh thu hàng năm mà tôi ước tính ít nhất là hai trăm triệu đô la hoặc thậm chí hơn (không nên quên rằng tổn thất do vi-rút gây ra lên tới vài trăm triệu đô la mỗi năm và cao hơn nhiều lần so với chi phí của các chương trình chống vi-rút). Nếu tổng số vi-rút có khả năng lên tới 20.000 vào cuối năm 1997, thì có thể dễ dàng tính được rằng thu nhập của các công ty chống vi-rút từ mỗi loại vi-rút ít nhất là 10 nghìn đô la hàng năm. Tất nhiên, các tác giả virus không nên hy vọng nhận được phần thưởng tài chính: như thực tế cho thấy, tác phẩm của họ đã và vẫn miễn phí. Ngoài ra, ngày nay nguồn cung (vi-rút mới) đã đáp ứng đầy đủ nhu cầu (khả năng xử lý vi-rút mới của các công ty chống vi-rút).

Thứ hai, tôi hơi tiếc cho những tác giả của virus, đặc biệt là những “chuyên gia”. Rốt cuộc, để viết được một loại vi-rút như vậy, cần phải: a) dành khá nhiều công sức và thời gian, và nhiều hơn mức cần thiết để hiểu về vi-rút, nhập nó vào cơ sở dữ liệu hoặc thậm chí viết một chương trình đặc biệt chống virus; và b) không có nghề nghiệp khác hấp dẫn hơn. Do đó, những người viết virus “chuyên nghiệp” làm việc khá hiệu quả, đồng thời phải chịu cảnh nhàn rỗi - đối với tôi, tình hình có vẻ rất đáng buồn.

Virus máy tính, đặc tính và phân loại của chúng

Đặc tính của virus máy tính

Ngày nay, máy tính cá nhân được sử dụng trong đó người dùng có quyền truy cập miễn phí vào tất cả các tài nguyên của máy. Đây chính là điều đã mở ra khả năng xảy ra một mối nguy hiểm được gọi là virus máy tính.

Virus máy tính là gì? Một định nghĩa chính thức về khái niệm này vẫn chưa được phát minh và có những nghi ngờ nghiêm trọng về việc nó có thể được đưa ra hay không. Nhiều nỗ lực nhằm đưa ra một định nghĩa “hiện đại” về virus đã thất bại. Để hiểu được mức độ phức tạp của vấn đề, chẳng hạn, hãy thử định nghĩa khái niệm “người biên tập”. Bạn sẽ nghĩ ra điều gì đó rất chung chung hoặc bạn sẽ bắt đầu liệt kê tất cả các loại biên tập viên đã biết. Cả hai điều này khó có thể được coi là chấp nhận được. Do đó, chúng tôi sẽ hạn chế xem xét một số đặc tính của vi-rút máy tính cho phép chúng tôi nói về chúng như một loại chương trình nhất định.

Trước hết, virus là một chương trình. Bản thân một tuyên bố đơn giản như vậy có thể xua tan nhiều huyền thoại về khả năng phi thường của virus máy tính. Virus có thể lật hình ảnh trên màn hình của bạn nhưng nó không thể lật màn hình. Truyền thuyết về virus giết người “tiêu diệt người vận hành bằng cách hiển thị bảng màu chết người trên màn hình ở khung hình thứ 25” cũng không nên được coi trọng. Thật không may, một số ấn phẩm có uy tín thỉnh thoảng xuất bản “tin tức mới nhất từ ​​​​mặt trận máy tính”, mà khi xem xét kỹ hơn, hóa ra là kết quả của sự hiểu biết không hoàn toàn rõ ràng về chủ đề này.

Virus là một chương trình có khả năng tự sinh sản. Khả năng này là phương tiện duy nhất vốn có của tất cả các loại vi-rút. Nhưng không chỉ virus mới có khả năng tự sao chép. Bất kỳ hệ điều hành và nhiều chương trình khác đều có khả năng tạo bản sao của riêng mình. Các bản sao của virus không những không nhất thiết phải trùng khớp hoàn toàn với bản gốc mà còn có thể không trùng khớp với nó chút nào!

Một loại virus không thể tồn tại trong tình trạng “cách ly hoàn toàn”: ngày nay không thể tưởng tượng được một loại virus không sử dụng mã của các chương trình khác, thông tin về cấu trúc tệp hay thậm chí chỉ là tên của các chương trình khác. Lý do rất rõ ràng: virus phải bằng cách nào đó đảm bảo rằng quyền kiểm soát được chuyển giao cho chính nó.

Phân loại virus

Hiện nay có hơn 5.000 loại virus phần mềm được biết đến, chúng có thể được phân loại theo các tiêu chí sau:

môi trường sống

cách lây nhiễm vào môi trường

ảnh hưởng

đặc điểm của thuật toán

Tùy thuộc vào môi trường sống của chúng, vi-rút có thể được chia thành vi-rút mạng, vi-rút tệp, vi-rút khởi động và vi-rút khởi động tệp. Virus mạngđược phân phối trên nhiều mạng máy tính khác nhau. Tập tin virusđược nhúng chủ yếu trong các mô-đun thực thi, tức là trong các tệp có phần mở rộng COM và EXE. Virus tệp có thể được nhúng vào các loại tệp khác, nhưng theo quy luật, được ghi trong các tệp đó, chúng không bao giờ giành được quyền kiểm soát và do đó, mất khả năng tái tạo. Virus khởi độngđược nhúng trong khu vực khởi động của đĩa (Boot Sector) hoặc trong khu vực chứa chương trình khởi động trên đĩa hệ thống (Master Boot Re-cord). Khởi động tập tin Virus lây nhiễm vào cả tập tin và khu vực khởi động của đĩa.

Dựa trên phương pháp lây nhiễm, virus được chia thành thường trú và không cư trú. Virus thường trú Khi một máy tính bị nhiễm (bị nhiễm), nó sẽ để lại phần cư trú của nó trong RAM, sau đó chặn quyền truy cập của hệ điều hành vào các đối tượng lây nhiễm (tệp, khu vực khởi động đĩa, v.v.) và tự lây nhiễm vào chúng. Virus thường trú cư trú trong bộ nhớ và hoạt động cho đến khi máy tính bị tắt hoặc khởi động lại. Virus không cư trú không lây nhiễm vào bộ nhớ máy tính và hoạt động trong một thời gian giới hạn.

Dựa vào mức độ tác động, virus có thể được chia thành các loại sau:

không nguy hiểm, không cản trở hoạt động của máy tính nhưng làm giảm dung lượng RAM và bộ nhớ đĩa trống, hoạt động của những loại virus đó được thể hiện bằng một số hiệu ứng đồ họa hoặc âm thanh

nguy hiểm virus có thể dẫn đến nhiều vấn đề khác nhau với máy tính của bạn

rất nguy hiểm, tác động của nó có thể dẫn đến mất chương trình, phá hủy dữ liệu và xóa thông tin trong các vùng hệ thống của đĩa.

Đã biết virus vô hình, gọi điện virus tàng hình, rất khó phát hiện và vô hiệu hóa, vì chúng chặn các cuộc gọi từ hệ điều hành đến các tệp và khu vực đĩa bị nhiễm và thay thế các vùng đĩa không bị nhiễm virus vào vị trí của chúng. Khó phát hiện nhất virus đột biến, chứa các thuật toán mã hóa-giải mã, nhờ đó các bản sao của cùng một loại vi-rút không có một chuỗi byte lặp lại. Cũng có cái gọi là tựa virus hoặc "Trojan" các chương trình, mặc dù không có khả năng tự lan truyền, nhưng rất nguy hiểm vì giả dạng là một chương trình hữu ích, chúng phá hủy khu vực khởi động và hệ thống tệp đĩa.

Bây giờ chúng ta hãy xem xét kỹ hơn một số nhóm này.

Virus khởi động

Chúng ta hãy xem hoạt động của một loại virus khởi động rất đơn giản lây nhiễm vào đĩa mềm.

Điều gì xảy ra khi bạn bật máy tính? Trước hết, quyền điều khiển được chuyển giao chương trình khởi động , được lưu trữ trong bộ nhớ chỉ đọc (ROM), tức là. ROM PNZ.

Chương trình này kiểm tra phần cứng và nếu kiểm tra thành công, nó sẽ cố gắng tìm đĩa mềm trong ổ A:

Mỗi đĩa mềm đều được đánh dấu bằng cái gọi là. các ngành và đường ray. Các ngành được kết hợp thành các cụm, nhưng điều này không có ý nghĩa quan trọng đối với chúng tôi.

Trong số các lĩnh vực có một số lĩnh vực dịch vụ được hệ điều hành sử dụng cho nhu cầu riêng của nó (những lĩnh vực này không thể chứa dữ liệu của bạn). Trong số các lĩnh vực dịch vụ chúng tôi quan tâm khu vực khởi động (boot-sector).

Khu vực khởi động lưu trữ thông tin về đĩa mềm - số bề mặt, số rãnh, số khu vực, v.v. Nhưng điều chúng ta quan tâm bây giờ không phải là thông tin này mà là một chương trình khởi động nhỏ (BLP), chương trình này phải tải chính hệ điều hành và chuyển quyền điều khiển cho nó.

Vì vậy, sơ đồ bootstrap bình thường như sau:

Bây giờ chúng ta hãy nhìn vào virus. Virus khởi động có hai phần: phần đầu và cái gọi là. đuôi. Đuôi có thể trống.

Giả sử bạn có một đĩa mềm sạch và một máy tính bị nhiễm virus, chúng tôi muốn nói đến một máy tính có vi-rút thường trú đang hoạt động. Ngay sau khi vi-rút này phát hiện thấy một nạn nhân phù hợp đã xuất hiện trong ổ đĩa - trong trường hợp của chúng tôi, một đĩa mềm không được bảo vệ chống ghi và chưa bị nhiễm, nó sẽ bắt đầu lây nhiễm. Khi lây nhiễm vào đĩa mềm, vi-rút sẽ thực hiện các hành động sau:

phân bổ một khu vực nhất định của đĩa và đánh dấu nó là hệ điều hành không thể truy cập được, việc này có thể được thực hiện theo nhiều cách khác nhau, trong trường hợp đơn giản và truyền thống nhất, các khu vực bị vi rút chiếm giữ được đánh dấu là xấu (xấu)

sao chép phần đuôi của nó và khu vực khởi động ban đầu (khỏe mạnh) vào vùng đã chọn của đĩa

thay thế chương trình khởi động trong khu vực khởi động (chương trình thực) bằng phần đầu của nó

tổ chức chuỗi chuyển giao điều khiển theo sơ đồ.

Như vậy, phần đầu của virus lúc này là người đầu tiên nhận được quyền kiểm soát, virus được cài đặt vào bộ nhớ và chuyển quyền điều khiển sang boot Sector ban đầu. Trong một chuỗi

PNZ (ROM) - PNZ (đĩa) - HỆ THỐNG

một liên kết mới xuất hiện:

PNZ (ROM) - VIRUS - PNZ (đĩa) - HỆ THỐNG

Chúng tôi đã kiểm tra sơ đồ hoạt động của một loại virus khởi động đơn giản sống trong các khu vực khởi động của đĩa mềm. Theo nguyên tắc, virus có thể lây nhiễm không chỉ lĩnh vực khởi độngđĩa mềm mà còn cả các khu vực khởi động của ổ cứng. Hơn nữa, không giống như đĩa mềm, ổ cứng có hai loại vùng khởi động chứa các chương trình khởi động nhận quyền điều khiển. Khi máy tính khởi động từ ổ cứng, chương trình khởi động trong MBR (Bản ghi khởi động chính) sẽ chiếm quyền điều khiển trước tiên. Nếu ổ cứng của bạn được chia thành nhiều phân vùng thì chỉ một trong số chúng được đánh dấu là khởi động. Chương trình khởi động trong MBR tìm phân vùng khởi động của ổ cứng và chuyển quyền điều khiển sang chương trình khởi động của phân vùng này. Mã sau này trùng với mã của chương trình khởi động có trên các đĩa mềm thông thường và các phần khởi động tương ứng chỉ khác nhau ở bảng tham số. Do đó, trên ổ cứng có hai đối tượng bị virus khởi động tấn công - chương trình khởi động trong MBR và chương trình khởi động trong khu vực khởi động của đĩa khởi động.

Tập tin virus

Bây giờ chúng ta hãy xem xét cách thức hoạt động của một virus tập tin đơn giản. Không giống như vi-rút khởi động, hầu như luôn cư trú, vi-rút tập tin không nhất thiết phải cư trú. Chúng ta hãy xem xét sơ đồ hoạt động của một người không cư trú virus tập tin. Giả sử chúng ta có một tệp thực thi bị nhiễm virus. Khi một tệp như vậy được khởi chạy, vi-rút sẽ giành quyền kiểm soát, thực hiện một số hành động và chuyển quyền kiểm soát sang “máy chủ”

Virus thực hiện những hành động gì? Nó tìm kiếm một đối tượng mới để lây nhiễm - một tệp thuộc loại phù hợp nhưng chưa bị lây nhiễm. Bằng cách lây nhiễm vào một tệp, vi-rút sẽ tự tiêm vào mã của nó để giành quyền kiểm soát khi tệp được thực thi. Ngoài chức năng chính của nó - sinh sản, virus còn có thể làm điều gì đó phức tạp (nói, hỏi, chơi) - điều này phụ thuộc vào trí tưởng tượng của tác giả virus. Nếu vi-rút tệp thường trú, thì nó sẽ tự cài đặt trong bộ nhớ và có thể lây nhiễm các tệp cũng như thể hiện các khả năng khác không chỉ khi tệp bị nhiễm đang chạy. Khi lây nhiễm vào một tệp thực thi, vi-rút luôn thay đổi mã của nó - do đó, luôn có thể phát hiện được sự lây nhiễm của tệp thực thi. Nhưng bằng cách thay đổi mã file, virus không nhất thiết phải thực hiện những thay đổi khác:

anh ta không bắt buộc phải thay đổi độ dài tập tin

phần mã không sử dụng

không phải thay đổi phần đầu của tập tin

Cuối cùng, vi-rút tệp thường bao gồm các vi-rút “có liên quan đến tệp” nhưng không cần phải nhúng vào mã của chúng.

Do đó, khi bất kỳ tệp nào được khởi chạy, vi-rút sẽ giành quyền kiểm soát (hệ điều hành tự khởi chạy), tự cài đặt trong bộ nhớ và chuyển quyền kiểm soát sang tệp được gọi.

Virus tập tin khởi động

Chúng tôi sẽ không xem xét mô hình virus tệp khởi động vì bạn sẽ không tìm hiểu được bất kỳ thông tin mới nào. Nhưng đây là cơ hội tốt để thảo luận ngắn gọn về loại virus tệp khởi động cực kỳ “phổ biến” OneHalf gần đây, loại virus này lây nhiễm vào khu vực khởi động chính (MBR) và các tệp thực thi. Tác động phá hoại chính là mã hóa các khu vực ổ cứng. Mỗi lần virus được khởi chạy, nó sẽ mã hóa một phần khác của các lĩnh vực và sau khi mã hóa một nửa ổ cứng, vui vẻ báo cáo điều này. Vấn đề chính trong việc xử lý loại vi-rút này là việc loại bỏ vi-rút khỏi MBR và các tệp là chưa đủ; bạn phải giải mã thông tin được mã hóa bởi nó.

Virus đa hình

Hầu hết các câu hỏi đều liên quan đến thuật ngữ “virus đa hình”. Loại virus máy tính này được xem là nguy hiểm nhất hiện nay. Hãy để chúng tôi giải thích nó là gì.

Virus đa hình là loại virus sửa đổi mã của chúng trong các chương trình bị nhiễm theo cách mà hai bản sao của cùng một loại virus có thể không khớp với nhau trong một bit.

Những loại virus như vậy không chỉ mã hóa mã của chúng bằng nhiều phương pháp mã hóa khác nhau mà còn chứa mã để tạo bộ mã hóa và bộ giải mã, giúp phân biệt chúng với các loại virus thông thường. virus mã hóa, cũng có thể mã hóa các phần mã của chúng, nhưng đồng thời có mã mã hóa và mã giải mã không đổi.

Virus đa hình là virus có bộ giải mã tự sửa đổi. Mục đích của việc mã hóa như vậy: nếu bạn có một tệp gốc và bị nhiễm virus, bạn vẫn không thể phân tích mã của nó bằng cách tháo gỡ thông thường. Mã này được mã hóa và là một tập lệnh vô nghĩa. Việc giải mã được thực hiện bởi chính virus trong quá trình thực thi. Trong trường hợp này, có thể có các tùy chọn: anh ta có thể tự giải mã tất cả cùng một lúc hoặc anh ta có thể thực hiện quá trình giải mã đó một cách “nhanh chóng”, anh ta có thể mã hóa lại các phần đã được sử dụng. Tất cả điều này được thực hiện để gây khó khăn cho việc phân tích mã virus.

Virus tàng hình

Khi quét máy tính, các chương trình chống vi-rút sẽ đọc dữ liệu - tệp và vùng hệ thống từ ổ cứng và đĩa mềm sử dụng hệ điều hành và hệ thống cơ bản BIOS vào/ra. Một số vi-rút sau khi khởi chạy sẽ để lại các mô-đun đặc biệt trong RAM của máy tính để chặn các chương trình truy cập vào hệ thống con đĩa của máy tính. Nếu một mô-đun như vậy phát hiện ra rằng một chương trình đang cố đọc một tệp hoặc vùng hệ thống của đĩa bị nhiễm vi-rút, nó sẽ thay thế dữ liệu đang được đọc nhanh chóng, như thể không có vi-rút trên đĩa.

Virus lén lút đánh lừa các chương trình chống vi-rút và kết quả là không bị phát hiện. Tuy nhiên, có một cách đơn giản để vô hiệu hóa cơ chế ngụy trang của virus tàng hình. Chỉ cần khởi động máy tính từ đĩa mềm hệ thống không bị nhiễm virus là đủ và ngay lập tức, không khởi chạy các chương trình khác từ đĩa máy tính (cũng có thể bị nhiễm), hãy quét máy tính bằng chương trình chống vi-rút.

Khi được tải từ đĩa mềm hệ thống, vi-rút không thể giành quyền kiểm soát và cài đặt mô-đun thường trú trong RAM thực hiện cơ chế tàng hình. Chương trình chống vi-rút sẽ có thể đọc thông tin thực sự được ghi trên đĩa và sẽ dễ dàng phát hiện vi-rút.

Ngựa Trojan, dấu trang phần mềm và sâu mạng

ngựa thành Troy– đây là chương trình chứa một số chức năng phá hủy, được kích hoạt khi xảy ra một điều kiện kích hoạt nhất định. Thông thường các chương trình như vậy được ngụy trang dưới dạng một số loại tiện ích hữu ích. Virus có thể mang ngựa Trojan hoặc “Trojanize” các chương trình khác—đưa các chức năng phá hoại vào chúng.

“Trojan horse” là các chương trình, ngoài các chức năng được mô tả trong tài liệu, còn thực hiện một số chức năng khác liên quan đến vi phạm an ninh và hành động phá hoại. Đã có trường hợp các chương trình như vậy được tạo ra để tạo điều kiện cho virus lây lan. Danh sách các chương trình như vậy được công bố rộng rãi trên báo chí nước ngoài. Chúng thường được ngụy trang dưới dạng các chương trình chơi game hoặc giải trí và gây hại kèm theo hình ảnh hoặc âm nhạc đẹp mắt.

Dấu trang phần mềm cũng chứa một số chức năng gây ra gây hư hại cho máy bay, nhưng ngược lại, chức năng này cố gắng càng kín đáo càng tốt, bởi vì chương trình càng dài thì càng không gây nghi ngờ, dấu trang dài hơn sẽ có thể làm việc.

Nếu vi rút và ngựa Trojan gây thiệt hại thông qua việc tự lan truyền hoặc phá hủy hoàn toàn giống như tuyết lở, thì chức năng chính của vi rút loại sâu hoạt động trong mạng máy tính là hack hệ thống bị tấn công, tức là tấn công vào hệ thống bị tấn công. vượt qua sự bảo vệ để làm tổn hại đến an ninh và tính toàn vẹn.

Trong hơn 80% tội phạm máy tính được FBI điều tra, "crackers" xâm nhập vào hệ thống bị tấn công thông qua Internet. Khi nỗ lực đó thành công, tương lai của một công ty đã mất nhiều năm xây dựng có thể bị đe dọa chỉ trong vài giây.

Quá trình này có thể được tự động hóa bằng cách sử dụng một loại virus có tên là sâu mạng.

Giunđược gọi là virus lây lan trên các mạng toàn cầu, lây nhiễm vào toàn bộ hệ thống chứ không phải chương trình cá nhân. Đây là nhiều nhất cái nhìn nguy hiểm virus, vì trong trường hợp này hệ thống thông tin quy mô quốc gia trở thành mục tiêu tấn công. Với sự ra đời của Internet toàn cầu, loại vi phạm an ninh này gây ra mối đe dọa lớn nhất, vì bất kỳ máy tính nào trong số 40 triệu máy tính được kết nối với mạng này đều có thể bị tấn công bất cứ lúc nào.

Các cách virus xâm nhập vào máy tính

và cơ chế phát tán các chương trình virus

Những con đường chính mà virus xâm nhập vào máy tính là ổ đĩa di động(linh hoạt và laser), cũng như mạng máy tính. Ổ cứng có thể bị nhiễm vi-rút khi tải một chương trình từ đĩa mềm có chứa vi-rút. Sự lây nhiễm như vậy cũng có thể là do ngẫu nhiên, chẳng hạn như nếu đĩa mềm không được tháo khỏi ổ A và máy tính được khởi động lại và đĩa mềm có thể không phải là đĩa hệ thống. Việc lây nhiễm vào đĩa mềm sẽ dễ dàng hơn nhiều. Virus có thể xâm nhập vào nó ngay cả khi đĩa mềm chỉ được đưa vào ổ đĩa của máy tính bị nhiễm và chẳng hạn như mục lục của nó được đọc.

Theo quy luật, vi-rút được đưa vào một chương trình đang hoạt động theo cách mà khi nó được khởi chạy, quyền kiểm soát đầu tiên sẽ được chuyển đến nó và chỉ sau khi tất cả các lệnh của nó được thực thi, nó mới quay trở lại chương trình đang hoạt động. Sau khi giành được quyền kiểm soát, virus trước hết sẽ tự viết lại vào một loại khác chương trình làm việc và lây nhiễm cho cô ấy. Sau khi chạy một chương trình có chứa vi-rút, nó có thể lây nhiễm sang các tệp khác.

Thông thường, khu vực khởi động của đĩa và các tệp thực thi có phần mở rộng EXE, COM, SYS, BAT đều bị nhiễm vi-rút. Rất hiếm khi các tập tin văn bản bị nhiễm virus.

Sau khi lây nhiễm vào một chương trình, virus có thể thực hiện một số kiểu phá hoại nào đó, không quá nghiêm trọng để không thu hút sự chú ý. Và cuối cùng, đừng quên trả lại quyền điều khiển cho chương trình mà nó đã được khởi chạy. Mỗi lần thực thi một chương trình bị nhiễm sẽ truyền vi-rút sang chương trình tiếp theo. Như vậy, tất cả phần mềm sẽ bị nhiễm virus.

Dấu hiệu của virus

Khi máy tính của bạn bị nhiễm virus, điều quan trọng là phải phát hiện ra nó. Để làm điều này, bạn nên biết về các dấu hiệu chính của virus. Chúng bao gồm những điều sau đây:

ngừng hoạt động hoặc vận hành không chính xác các chương trình hoạt động thành công trước đó

máy tính chậm

không thể tải hệ điều hành

sự biến mất của các tập tin và thư mục hoặc nội dung của chúng bị hỏng

thay đổi ngày giờ sửa đổi tập tin

thay đổi kích thước tập tin

sự gia tăng đáng kể bất ngờ về số lượng tệp trên đĩa

giảm đáng kể kích thước RAM trống

Hiển thị tin nhắn hoặc hình ảnh bất ngờ trên màn hình

đưa ra tín hiệu âm thanh bất ngờ

Máy tính thường xuyên bị treo và treo

Cần lưu ý rằng những hiện tượng trên không nhất thiết là do sự hiện diện của virus mà có thể là kết quả của những nguyên nhân khác. Vì vậy, việc chẩn đoán chính xác tình trạng của máy tính luôn khó khăn.

Các phương pháp bảo vệ khỏi virus máy tính

Dù là loại virus nào thì người dùng cũng cần biết các phương pháp cơ bản để bảo vệ khỏi virus máy tính.

Để bảo vệ khỏi virus, bạn có thể sử dụng:

các công cụ bảo vệ thông tin chung, cũng hữu ích như bảo hiểm chống lại hư hỏng vật lý đối với đĩa, chương trình bị trục trặc hoặc hành động sai lầm của người dùng;

các biện pháp phòng ngừa để giảm khả năng nhiễm vi-rút;

các chương trình chuyên biệt để bảo vệ chống virus.

Các công cụ bảo mật thông tin chung không chỉ hữu ích cho việc chống vi-rút. Có hai loại quỹ này chính:

sao chép thông tin - tạo bản sao của tập tin và vùng hệ thống của đĩa;

kiểm soát truy cập ngăn chặn việc sử dụng thông tin trái phép, đặc biệt là bảo vệ chống lại các thay đổi đối với chương trình và dữ liệu do vi-rút, chương trình gặp trục trặc và hành động sai lầm của người dùng.

Mặc dù thực tế là các biện pháp bảo mật thông tin chung là rất quan trọng để bảo vệ chống lại vi-rút nhưng chúng vẫn chưa đủ. Cũng cần phải sử dụng các chương trình chuyên dụng để bảo vệ chống lại virus. Các chương trình này có thể được chia thành nhiều loại: máy dò, bác sĩ (phages), kiểm toán viên, bác sĩ kiểm toán, bộ lọc và vắc xin (máy miễn dịch).

CHƯƠNG TRÌNH DÒ cho phép bạn phát hiện các tập tin bị nhiễm một trong nhiều virus đã biết. Các chương trình này kiểm tra xem các tệp trên ổ đĩa do người dùng chỉ định có chứa tổ hợp byte dành riêng cho một loại vi-rút nhất định hay không. Khi nó được phát hiện trong bất kỳ tập tin nào, một thông báo tương ứng sẽ được hiển thị trên màn hình. Nhiều trình phát hiện có các chế độ để chữa hoặc tiêu diệt các tệp bị nhiễm. Cần nhấn mạnh rằng các chương trình phát hiện chỉ có thể phát hiện những virus mà chúng “biết”. Chương trình Quét của McAfee Associates và Aidstest của D.N. Lozinsky cho phép bạn phát hiện khoảng 9.000 vi-rút, nhưng tổng cộng có hơn hai mươi nghìn vi-rút! Một số chương trình phát hiện, chẳng hạn như Norton AntiVirus hoặc AVSP của Dialog-MGU, có thể được cấu hình cho các loại vi-rút mới, chúng chỉ cần chỉ ra các tổ hợp byte vốn có của các loại vi-rút này. Tuy nhiên, không thể phát triển một chương trình có thể phát hiện bất kỳ loại virus nào chưa được biết đến trước đó.

Do đó, từ việc một chương trình không được máy dò phát hiện là bị nhiễm virus, điều đó không có nghĩa là chương trình đó lành mạnh - nó có thể chứa một số vi-rút mới hoặc một phiên bản được sửa đổi một chút của một loại vi-rút cũ mà các chương trình phát hiện không xác định được.

Nhiều chương trình phát hiện (bao gồm Aidstest) không thể phát hiện sự lây nhiễm của vi-rút “vô hình” nếu vi-rút đó hoạt động trong bộ nhớ máy tính. Thực tế là họ sử dụng các chức năng DOS để đọc đĩa và bị virus chặn lại, điều này nói rằng mọi thứ đều ổn. Đúng, Aidstest và các trình phát hiện khác cố gắng xác định vi-rút bằng cách xem xét RAM, nhưng điều này không giúp chống lại một số vi-rút “xảo quyệt”. Vì vậy, các chương trình dò ​​tìm chỉ cung cấp chẩn đoán đáng tin cậy khi tải DOS từ một đĩa mềm được bảo vệ ghi “sạch” và một bản sao của chương trình dò ​​tìm cũng phải được khởi chạy từ đĩa mềm này.

Một số máy dò (ví dụ: Adinf của Dialog-Nauka) có thể phát hiện vi-rút “vô hình”, ngay cả khi chúng đang hoạt động. Để làm điều này, họ đọc đĩa mà không cần sử dụng lệnh gọi DOS. Tuy nhiên, phương pháp này không hoạt động trên tất cả các ổ đĩa.

Hầu hết các chương trình dò ​​tìm đều có chức năng “bác sĩ”, tức là. họ cố gắng trả lại các tập tin hoặc vùng đĩa bị nhiễm bệnh về trạng thái ban đầu. Những tệp không thể khôi phục được thường không hoạt động hoặc bị xóa.

Hầu hết các chương trình bác sĩ chỉ có thể “chữa khỏi” một nhóm virus cố định nhất định nên chúng nhanh chóng trở nên lỗi thời. Nhưng một số chương trình không chỉ có thể học cách phát hiện mà còn cả cách xử lý các loại vi-rút mới. Các chương trình như vậy bao gồm AVSP từ Dialog-MSU.

CHƯƠNG TRÌNH KIỂM TOÁN có hai giai đoạn làm việc. Đầu tiên, chúng ghi nhớ thông tin về trạng thái của các chương trình và vùng hệ thống của đĩa (khu vực khởi động và khu vực có bảng phân vùng đĩa cứng). Người ta cho rằng tại thời điểm này các chương trình và vùng hệ thống của đĩa không bị nhiễm virus. Sau đó, bằng cách sử dụng chương trình kiểm tra, bạn có thể so sánh trạng thái của các chương trình và vùng đĩa hệ thống với trạng thái ban đầu bất kỳ lúc nào. Bất kỳ sự khác biệt nào được phát hiện sẽ được báo cáo cho người dùng.

Để kiểm tra trạng thái của chương trình và ổ đĩa mỗi khi hệ điều hành khởi động, bạn phải bao gồm lệnh khởi chạy chương trình kiểm tra trong tệp bó AUTOEXEC.BAT. Điều này cho phép bạn phát hiện tình trạng nhiễm virus máy tính khi nó chưa gây ra nhiều tác hại. Hơn nữa, cùng một chương trình kiểm tra sẽ có thể tìm thấy các tệp bị vi-rút làm hỏng.

Nhiều chương trình kiểm tra khá "thông minh" - chúng có thể phân biệt các thay đổi trong tệp gây ra, chẳng hạn bằng cách chuyển sang phiên bản mới các chương trình, khỏi những thay đổi do vi-rút thực hiện và không đưa ra cảnh báo sai. Thực tế là virus thường thay đổi các tập tin theo một cách rất cụ thể và thực hiện những thay đổi giống nhau trong các tập tin chương trình khác nhau. Rõ ràng là trong tình huống bình thường, những thay đổi như vậy hầu như không bao giờ xảy ra, vì vậy chương trình kiểm toán, sau khi ghi lại thực tế về những thay đổi đó, có thể báo cáo một cách tự tin rằng chúng là do vi-rút gây ra.

Các chương trình khác thường sử dụng nhiều biện pháp nửa vời khác nhau - chúng cố gắng phát hiện vi-rút trong RAM, yêu cầu các cuộc gọi từ dòng đầu tiên của tệp AUTOEXEC.BAT, hy vọng hoạt động trên một máy tính “sạch”, v.v. Than ôi, tất cả những điều này đều vô ích trước một số loại virus “xảo quyệt”.

Để kiểm tra xem tệp có thay đổi hay không, một số chương trình kiểm tra sẽ kiểm tra độ dài của tệp. Nhưng việc kiểm tra này là chưa đủ - một số vi-rút không thay đổi độ dài của tệp bị nhiễm. Một cách kiểm tra đáng tin cậy hơn là đọc toàn bộ tệp và tính tổng kiểm tra của nó. Hầu như không thể thay đổi một tập tin để tổng kiểm tra của nó vẫn giữ nguyên.

Gần đây, sự kết hợp rất hữu ích giữa kiểm toán viên và bác sĩ đã xuất hiện, tức là. BÁC SĨ-KIỂM TOÁN, - các chương trình không chỉ phát hiện các thay đổi trong tệp và vùng hệ thống của đĩa mà còn có thể tự động đưa chúng về trạng thái ban đầu trong trường hợp có thay đổi. Các chương trình như vậy có thể phổ biến hơn nhiều so với các chương trình bác sĩ, vì trong quá trình điều trị, chúng sử dụng thông tin được lưu trữ trước về trạng thái của tệp và vùng đĩa. Điều này cho phép họ chữa các tệp ngay cả khỏi vi-rút không được tạo tại thời điểm chương trình được viết.

Nhưng chúng không thể xử lý tất cả các loại vi-rút mà chỉ những loại vi-rút sử dụng cơ chế lây nhiễm tập tin “tiêu chuẩn” được biết đến vào thời điểm chương trình được viết.

Cũng có CHƯƠNG TRÌNH LỌC, nằm trong RAM của máy tính và chặn các cuộc gọi đến hệ điều hành được vi-rút sử dụng để tái tạo và gây hại, đồng thời báo cáo chúng cho người dùng. Người dùng có thể cho phép hoặc từ chối thao tác tương ứng.

Một số chương trình lọc không “bắt” các hành động đáng ngờ mà kiểm tra các chương trình được gọi để thực thi để phát hiện vi-rút. Điều này khiến máy tính của bạn bị chậm lại.

Tuy nhiên, lợi ích của việc sử dụng các chương trình lọc là rất đáng kể - chúng cho phép bạn phát hiện nhiều loại vi-rút ở giai đoạn rất sớm, khi vi-rút chưa có thời gian để nhân lên và làm hỏng bất cứ thứ gì. Bằng cách này, bạn có thể giảm tổn thất do virus đến mức tối thiểu.

CHƯƠNG TRÌNH VẮC-XIN, hoặc CHƯƠNG TRÌNH MIỄN DỊCH, sửa đổi các chương trình và đĩa theo cách không ảnh hưởng đến hoạt động của các chương trình, nhưng vi-rút mà việc tiêm phòng được thực hiện sẽ coi các chương trình hoặc đĩa này đã bị nhiễm. Những chương trình này cực kỳ kém hiệu quả.

Chương trình chống vi-rút

Vậy phần mềm diệt virus là gì? Hãy ngay lập tức xua tan một ảo tưởng thường xuyên xuất hiện. Vì lý do nào đó, nhiều người tin rằng phần mềm chống vi-rút có thể phát hiện bất kỳ vi-rút nào, nghĩa là bằng cách chạy chương trình hoặc màn hình chống vi-rút, bạn có thể hoàn toàn chắc chắn về độ tin cậy của chúng. Quan điểm này không hoàn toàn đúng. Thực tế là phần mềm chống vi-rút cũng là một chương trình, tất nhiên được viết bởi một chuyên gia. Nhưng những chương trình này chỉ có thể nhận dạng và tiêu diệt những loại virus đã biết. Nghĩa là, phần mềm chống vi-rút chống lại một loại vi-rút cụ thể chỉ có thể được viết nếu lập trình viên có ít nhất một bản sao của vi-rút này. Vì vậy, có một cuộc chiến bất tận giữa các tác giả của virus và phần mềm chống vi-rút, mặc dù vì lý do nào đó, ở nước ta luôn có nhiều cái trước hơn cái sau. Nhưng những người tạo ra phần mềm chống vi-rút cũng có lợi thế! Thực tế là có một số lượng lớn vi-rút có thuật toán gần như được sao chép từ thuật toán của các vi-rút khác. Theo quy định, các biến thể như vậy được tạo ra bởi các lập trình viên không chuyên nghiệp, vì lý do nào đó, họ đã quyết định viết virus. Để chống lại những “bản sao” như vậy, một vũ khí mới đã được phát minh - máy phân tích heuristic. Với sự trợ giúp của họ, phần mềm chống vi-rút có thể tìm thấy các loại vi-rút tương tự tương tự đã biết, thông báo cho người dùng rằng dường như anh ta có vi-rút. Đương nhiên, độ tin cậy của máy phân tích heuristic không phải là 100%, nhưng hiệu suất của nó vẫn lớn hơn 0,5. Vì vậy, trong cuộc chiến thông tin này, cũng như trong bất kỳ cuộc chiến nào khác, kẻ mạnh nhất vẫn còn. Những virus không được trình phát hiện chống vi-rút nhận ra chỉ có thể được viết bởi những lập trình viên có trình độ và kinh nghiệm nhất.

Do đó, gần như không thể bảo vệ bản thân 100% khỏi vi-rút (điều này giả định rằng người dùng trao đổi đĩa mềm với bạn bè và chơi trò chơi, đồng thời nhận thông tin từ các nguồn khác, chẳng hạn như mạng). Nếu bạn không nhập thông tin vào máy tính từ bên ngoài thì không thể bị nhiễm virus - nó sẽ không tự sinh ra được.

KIỂM TRA AIDS

Ở nước ta, như đã đề cập ở trên, các chương trình chống vi-rút kết hợp chức năng của máy dò và bác sĩ đã trở nên đặc biệt phổ biến. Nổi tiếng nhất trong số đó là chương trình AIDSTEST của D.N. Lozinsky. Ở Ukraine, hầu hết mọi máy tính cá nhân tương thích với IBM đều có một trong các phiên bản của chương trình này. Một trong những phiên bản mới nhất phát hiện hơn 8.000 loại virus.

Để hoạt động bình thường, Aidstest yêu cầu không có phần mềm chống vi-rút thường trú nào trong bộ nhớ chặn việc ghi vào tệp chương trình, do đó chúng phải được tải xuống bằng cách chỉ định tùy chọn dỡ tải cho chính chương trình thường trú hoặc sử dụng tiện ích thích hợp.

Khi khởi chạy, Aidstest kiểm tra RAM của nó để tìm các loại virus đã biết và vô hiệu hóa chúng. Trong trường hợp này, chỉ các chức năng của virus liên quan đến sinh sản bị tê liệt, trong khi các tác dụng phụ khác có thể vẫn còn. Do đó, sau khi virus đã bị vô hiệu hóa trong bộ nhớ, chương trình sẽ đưa ra yêu cầu khởi động lại. Bạn chắc chắn nên làm theo lời khuyên này nếu người vận hành PC không phải là lập trình viên hệ thống chuyên nghiên cứu các đặc tính của vi-rút. Trong trường hợp này, bạn nên khởi động lại bằng nút RESET, vì trong quá trình “khởi động lại ấm”, một số vi-rút có thể tồn tại. Ngoài ra, tốt hơn hết bạn nên chạy máy và Aidstest từ đĩa mềm được bảo vệ chống ghi, vì khi chạy từ đĩa bị nhiễm, vi-rút có thể cư trú trong bộ nhớ và cản trở việc điều trị.

Aidstest kiểm tra cơ thể của nó để tìm sự hiện diện của các loại vi-rút đã biết và cũng đánh giá bằng cách biến dạng trong mã của nó xem liệu nó có bị nhiễm một loại vi-rút chưa xác định hay không. Trong trường hợp này, có thể xảy ra trường hợp cảnh báo sai, chẳng hạn như khi phần mềm chống vi-rút được nén bởi trình đóng gói. Chương trình không có giao diện đồ họa và các chế độ hoạt động của nó được thiết lập bằng các phím. Bằng cách chỉ định đường dẫn, bạn có thể kiểm tra không phải toàn bộ đĩa mà là một thư mục con riêng biệt.

Như thực tế đã chỉ ra, chế độ tối ưu nhất cho công việc hàng ngàyđược đặt bằng các phím /g (quét tất cả các tệp, không chỉ những tệp có phần mở rộng EXE,COM,SYS) và /s (quét chậm). Sự gia tăng thời gian với các tùy chọn như vậy thực tế là không đáng chú ý, nhưng xác suất phát hiện cao hơn nhiều.

Trong quá trình kiểm tra thông thường, bạn không nên sử dụng khóa chuyển /f (sửa các chương trình bị nhiễm và xóa những chương trình không thể khôi phục được), ngay cả với khóa chuyển /q (nhắc xóa một tệp), vì bất kỳ chương trình nào, kể cả phần mềm chống vi-rút, đều không hoạt động. miễn nhiễm với lỗi. Phím /f nên được sử dụng khi Aidstest, cũng như các phần mềm chống vi-rút khác, cho biết sự hiện diện của vi-rút trong một tệp. Trong trường hợp này, bạn nên khởi động lại máy tính từ đĩa mềm được bảo vệ chống ghi, vì hệ thống có thể bị nhiễm vi-rút thường trú và khi đó việc xử lý sẽ không hiệu quả hoặc thậm chí hết sức nguy hiểm. Nếu phát hiện thấy vi-rút trong một tệp có giá trị, bạn nên sao chép vi-rút đó vào đĩa mềm hoặc thậm chí tốt hơn là vào đĩa điện tử và cố gắng chữa vi-rút ở đó bằng cách chỉ định tùy chọn /f cho Aidstest. Nếu nỗ lực không thành công, bạn cần xóa tất cả các bản sao của tệp bị nhiễm và kiểm tra lại đĩa. Nếu tệp chứa thông tin quan trọng mà sẽ rất tiếc nếu xóa, thì bạn có thể lưu trữ tệp và chờ phát hành phiên bản mới của Aidstest hoặc một phần mềm chống vi-rút khác có thể xử lý loại vi-rút này. Để tăng tốc quá trình, bạn có thể gửi tệp bị nhiễm dưới dạng mẫu tới Lozinsky.

Để tạo tệp nhật ký cho chương trình Aidstest, hãy sử dụng phím /p. Giao thức trở nên cần thiết khi người dùng không có thời gian xem tên của các tệp bị nhiễm. Để hỗ trợ tổ hợp phần cứng và phần mềm chống vi-rút Sheriff (sẽ được thảo luận chi tiết hơn sau), phím /z được sử dụng.

WEB BÁC SĨ

Gần đây, mức độ phổ biến của một chương trình chống vi-rút khác - Doctor Web - đang tăng lên nhanh chóng. Dr.Web, giống như Aidstest, thuộc nhóm máy dò bác sĩ, nhưng không giống như loại sau, nó có cái gọi là “máy phân tích heuristic” - một thuật toán cho phép bạn phát hiện các loại virus chưa xác định. “The Healing Web”, tên của chương trình được dịch từ tiếng Anh, đã trở thành phản ứng của các lập trình viên trong nước trước sự xâm lược của các loại virus đột biến tự biến đổi. Loại thứ hai, khi nhân lên, sẽ sửa đổi phần thân của chúng để không còn lại một chuỗi byte đặc trưng nào có trong phiên bản gốc của virus. Dr.Web có thể được gọi là phần mềm diệt virus thế hệ mới so với Aidstest và các phần mềm tương tự của nó.

Các chế độ được điều khiển bằng phím, giống như trong Aidstest. Người dùng có thể yêu cầu chương trình kiểm tra cả đĩa và các thư mục con hoặc nhóm tệp riêng lẻ hoặc từ chối quét đĩa và chỉ kiểm tra ĐẬP. Đổi lại, bạn có thể chỉ kiểm tra bộ nhớ cơ bản hoặc ngoài ra, bộ nhớ mở rộng (được biểu thị bằng phím /H). Giống như Aidstest, Doctor Web có thể tạo báo cáo công việc (key /P), tải bộ tạo ký tự Cyrillic (key /R), hỗ trợ làm việc với tổ hợp phần mềm và phần cứng Sheriff (key /Z).

Nhưng đương nhiên là, tính năng chính“Trang web chữa bệnh” là sự hiện diện của máy phân tích heuristic, được kết nối bằng phím /S. Có thể đạt được sự cân bằng giữa tốc độ và chất lượng bằng cách chỉ định mức phân tích heuristic cho khóa: 0 - tối thiểu, 1 - tối ưu, 2 - tối đa; trong trường hợp này, đương nhiên, tốc độ giảm tỷ lệ thuận với sự gia tăng chất lượng. Ngoài ra, Dr.Web cho phép bạn kiểm tra các tệp đã được tiêm phòng CPAV, cũng như được đóng gói bằng LZEXE, PKLITE, DIET. Để làm điều này, bạn nên chỉ định phím /U (trong trường hợp này, các tập tin sẽ được giải nén trên thiết bị hiện tại) hoặc ổ đĩa /U: (trong đó ổ đĩa: là thiết bị mà việc giải nén sẽ được thực hiện trên đó), nếu đĩa mềm đĩa mà Doctor Web được khởi chạy được bảo vệ chống ghi. Nhiều chương trình được đóng gói theo cách này, mặc dù người dùng có thể không biết về nó. Nếu phím /U không được đặt, Doctor Web có thể bỏ lỡ vi-rút đã xâm nhập vào chương trình đóng gói.

Một chức năng quan trọng là kiểm soát sự lây nhiễm của các tệp đã được kiểm tra bằng vi-rút thường trú (công tắc/V). Khi quét bộ nhớ, không có gì đảm bảo tuyệt đối rằng Healing Web sẽ phát hiện được tất cả virus nằm trong đó. Vì vậy, khi bạn chỉ định chức năng /V, Dr.Web sẽ cố gắng ngăn chặn các vi-rút thường trú còn lại lây nhiễm vào các tệp được kiểm tra.

Việc kiểm tra ổ cứng bằng Dr.Web mất nhiều thời gian hơn so với Aidstest, vì vậy không phải người dùng nào cũng có đủ khả năng dành nhiều thời gian để kiểm tra toàn bộ ổ cứng mỗi ngày. Những người dùng như vậy có thể được khuyên nên kiểm tra đĩa mềm được mang từ bên ngoài cẩn thận hơn (với tùy chọn /S2). Nếu thông tin trên đĩa mềm nằm trong kho lưu trữ (và gần đây các chương trình và dữ liệu chỉ được truyền từ máy này sang máy khác dưới dạng này; ngay cả các nhà sản xuất phần mềm, chẳng hạn như Borland, đóng gói sản phẩm của họ), bạn nên giải nén nó vào một thư mục riêng trên ổ cứng và ngay lập tức, không chậm trễ, khởi chạy Dr.Web, cung cấp cho nó đường dẫn đầy đủ đến thư mục con này thay vì tên ổ đĩa làm tham số. Chưa hết, bạn cần thực hiện quét toàn bộ ổ cứng để tìm virus ít nhất hai tuần một lần, thiết lập mức phân tích heuristic tối đa.

Cũng giống như trường hợp của Aidstest, trong quá trình thử nghiệm ban đầu, bạn không nên cho phép chương trình khử trùng các tệp mà nó phát hiện thấy vi-rút, vì không thể loại trừ rằng chuỗi byte được chấp nhận làm mẫu trong phần mềm chống vi-rút có thể được tìm thấy trong một chương trình lành mạnh. Nếu sau khi hoàn tất quá trình kiểm tra, Dr.Web hiển thị thông báo cho biết rằng nó đã tìm thấy vi-rút, bạn cần chạy nó với tùy chọn /P (nếu tùy chọn này không được chỉ định) để xem tệp nào bị nhiễm. Sau đó, bạn cần sao chép tập tin vào đĩa mềm hoặc đĩa điện tử và cố gắng xóa bằng cách chỉ định phím /F cho “Web chữa bệnh”. Nếu điều trị thất bại, bạn nên tiến hành theo cách tương tự như trong tình huống tương tự được mô tả ở trên đối với chương trình Aidstest.

Diệt virus MICROSOFT

Bao gồm trong hiện đại Các phiên bản MS-DOS(ví dụ: 7.10) bao gồm Microsoft Antivirus (MSAV). Phần mềm chống vi-rút này có thể hoạt động ở chế độ máy dò-bác sĩ và người kiểm tra.

MSAV có giao diện thân thiện với người dùng theo phong cách MS-Windows và tất nhiên là hỗ trợ chuột. Trợ giúp theo ngữ cảnh được triển khai tốt: có gợi ý cho hầu hết mọi mục menu, cho mọi tình huống. Quyền truy cập vào các mục menu được triển khai phổ biến: để làm được điều này, bạn có thể sử dụng các phím con trỏ, phím phím (F1-F9), các phím tương ứng với một trong các chữ cái của tên mục, cũng như chuột. Cờ cài đặt trong mục menu Tùy chọn có thể được đặt bằng phím SPACEBAR hoặc bằng phím ENTER. Một bất tiện nghiêm trọng khi sử dụng chương trình là nó lưu các bảng có dữ liệu tệp không nằm trong một tệp mà phân tán chúng trên tất cả các thư mục.

Khi khởi chạy, chương trình sẽ tải trình tạo ký tự của riêng nó và đọc cây thư mục của đĩa hiện tại, sau đó nó thoát ra menu chính. Không rõ tại sao cây thư mục phải được đọc ngay khi khởi động: xét cho cùng, người dùng có thể không muốn kiểm tra đĩa hiện tại. Trong menu chính, bạn có thể thay đổi ổ đĩa (Chọn ổ đĩa mới), chọn giữa quét mà không loại bỏ vi-rút (Phát hiện) và loại bỏ chúng (Phát hiện&Làm sạch). Khi bạn chạy kiểm tra ổ đĩa (cả ở chế độ xóa và không có chế độ xóa), trước tiên chương trình sẽ quét bộ nhớ để tìm vi-rút đã biết trong đó. Trong trường hợp này, dấu hiệu của công việc đã hoàn thành được hiển thị dưới dạng thanh màu và phần trăm công việc đã hoàn thành. Sau khi quét bộ nhớ, MSAV bắt đầu quét đĩa.

Trong lần kiểm tra đầu tiên, MSAV tạo các tệp CHKLIST.MS trong mỗi thư mục chứa các tệp thực thi, trong đó nó ghi thông tin về kích thước, ngày, giờ, thuộc tính cũng như tổng kiểm tra của các tệp được kiểm soát. Trong những lần kiểm tra tiếp theo, chương trình sẽ so sánh các tệp với thông tin trong tệp CHKLIST.MS. Nếu kích thước và ngày tháng đã thay đổi, chương trình sẽ thông báo cho người dùng về điều này và yêu cầu thực hiện thêm các hành động: cập nhật thông tin (Cập nhật), đặt ngày giờ theo dữ liệu trong CHKLIST.MS (Sửa chữa), tiếp tục, không chú ý đến những thay đổi trong file này (Tiếp tục), ngắt quãng việc kiểm tra (Dừng). Nếu tổng kiểm tra đã thay đổi thì MSAV sẽ hiển thị cùng một cửa sổ, chỉ thay vì mục Sửa chữa sẽ có mục Xóa vì chương trình không thể khôi phục nội dung của tệp. Nếu phát hiện thấy vi-rút ở chế độ Phát hiện & Làm sạch, chương trình sẽ loại bỏ vi-rút. Quá trình quét đĩa ở cả hai chế độ có thể bị tạm dừng hoặc gián đoạn hoàn toàn bằng cách nhấn ESC (hoặc F3) và trả lời câu hỏi thích hợp từ chương trình. Trong quá trình quét đĩa, thông tin về công việc đã thực hiện sẽ được hiển thị: phần trăm thư mục được xử lý và phần trăm tệp được xử lý trong thư mục hiện tại. Thông tin này cũng được trình bày một cách trực quan, dưới dạng thanh màu, như trong bài kiểm tra trí nhớ. Khi kết thúc quá trình quét, MSAV đưa ra báo cáo dưới dạng bảng, trong đó báo cáo số lượng ổ cứng và ổ đĩa mềm được quét, số lượng file được quét, nhiễm virus và khử trùng. Ngoài ra, thời gian quét được hiển thị.

Trong menu Tùy chọn, bạn có thể cấu hình chương trình theo ý muốn. Tại đây, bạn có thể đặt chế độ quét vi-rút vô hình (Chống tàng hình), kiểm tra tất cả các tệp (không chỉ tệp thực thi) (Kiểm tra tất cả tệp) và cũng cho phép hoặc vô hiệu hóa việc tạo bảng CHKLIST.MS (Tạo tổng kiểm tra mới). Ngoài ra, bạn có thể đặt chế độ lưu báo cáo về công việc đã thực hiện vào một tệp. Nếu bạn đặt tùy chọn Tạo bản sao lưu thì trước khi loại bỏ vi-rút khỏi tệp bị nhiễm, một bản sao của vi-rút sẽ được lưu với phần mở rộng *.VIR

Khi ở menu chính, bạn có thể xem danh sách vi-rút mà chương trình MSAV biết đến bằng cách nhấn phím F9. Thao tác này sẽ hiển thị một cửa sổ có tên của virus. Để xem thông tin chi tiết hơn về virus, bạn cần di chuyển con trỏ đến tên của nó và nhấn ENTER. Bạn có thể nhanh chóng điều hướng đến loại virus quan tâm bằng cách gõ các chữ cái đầu tiên của tên nó. Thông tin về virus có thể được xuất ra máy in bằng cách chọn mục menu thích hợp.

ADINF

(Diskinfoscope nâng cao)

Adinf thuộc lớp chương trình kiểm toán. Phần mềm chống vi-rút có tốc độ hoạt động cao và có khả năng chống lại thành công vi-rút nằm trong bộ nhớ. Nó cho phép bạn điều khiển đĩa bằng cách đọc từng khu vực thông qua BIOS và không sử dụng các ngắt hệ thống DOS, điều này có thể bị vi-rút chặn.

Chương trình Adinf đã nhận được giải nhất tại Cuộc thi các chương trình chống vi-rút toàn Liên minh lần thứ hai vào năm 1990, cũng như giải nhì tại Cuộc thi Borland."93 ADinf là chương trình diệt vi-rút duy nhất vào mùa hè năm 1991 đã phát hiện ra vi-rút DIR , được xây dựng trên một phương pháp lây nhiễm và ngụy trang mới về cơ bản.

Để chữa các tệp bị nhiễm, Mô-đun Adinf Cure được sử dụng, mô-đun này không có trong gói Adinf và được cung cấp riêng. Nguyên lý hoạt động của module là lưu một cơ sở dữ liệu nhỏ mô tả các file được kiểm soát. Khi phối hợp cùng nhau, các chương trình này có thể phát hiện và loại bỏ khoảng 97% vi-rút tệp và 100% vi-rút khu vực khởi động. Ví dụ: vi-rút SatanBug giật gân có thể dễ dàng được phát hiện và các tệp bị nhiễm vi-rút này sẽ tự động được khôi phục. Hơn nữa, ngay cả những người dùng đã mua ADinf và Adinf Cure Module vài tháng trước khi loại virus này xuất hiện cũng có thể loại bỏ nó mà không gặp khó khăn gì.

VIRUS MÁY TÍNH, PHÂN LOẠI CỦA CHÚNG. PHẦN MỀM Diệt VIRUS

Virus máy tính - Cái này chương trình đặc biệt, Có khả năng tự động gắn vào các chương trình khác và khi chương trình này được khởi chạy, thực hiện nhiều hành động không mong muốn khác nhau: làm hỏng các tập tin và thư mục; sai lệch kết quả tính toán; làm tắc nghẽn hoặc xóa bộ nhớ; can thiệp vào hoạt động của máy tính. Sự hiện diện của virus biểu hiện trong các tình huống khác nhau.

1. Một số chương trình ngừng hoạt động hoặc bắt đầu hoạt động không chính xác.
2. Các tin nhắn, tín hiệu không liên quan và các hiệu ứng khác được hiển thị trên màn hình.
3. Máy tính chậm lại đáng kể.
4. Cấu trúc của một số tập tin bị hỏng.

Có một số đặc điểm phân loại virus hiện có:

• theo môi trường sống;
• theo khu vực bị ảnh hưởng;
• theo đặc điểm của thuật toán;
• bằng phương pháp lây nhiễm;
• theo khả năng phá hoại.

Dựa vào môi trường sống của chúng, chúng phân biệt giữa tập tin, khởi động, macro và virus mạng.

Virus tập tin là loại virus phổ biến nhất. Những virus này được nhúng vào các file thực thi, tạo ra các file vệ tinh (virus đồng hành) hoặc sử dụng các tính năng của tổ chức hệ thống file (virus liên kết).

Virus khởi động tự ghi vào khu vực khởi động của đĩa hoặc khu vực khởi động của đĩa cứng. Chúng bắt đầu hoạt động khi máy tính khởi động và thường trở thành thường trú.

Virus macro lây nhiễm vào các tập tin của các gói xử lý dữ liệu thường được sử dụng. Những virus này là các chương trình được viết bằng ngôn ngữ lập trình được tích hợp trong các gói này. Phổ biến nhất là các macrovirus dùng để Ứng dụng của Microsoft Văn phòng.

Virus mạng sử dụng các giao thức hoặc lệnh của mạng máy tính và email để lây lan. Nguyên tắc hoạt động chính của virus mạng là khả năng truyền mã độc lập của nó đến máy chủ hoặc máy trạm từ xa. Virus máy tính chính thức có khả năng chạy trên máy tính điều khiển từ xa mã của bạn để thực thi.

Trong thực tế, có nhiều loại vi-rút kết hợp khác nhau - ví dụ: vi-rút khởi động tệp lây nhiễm cả tệp và phần khởi động của đĩa hoặc vi-rút macro mạng lây nhiễm các tài liệu đã chỉnh sửa và gửi bản sao của chính chúng qua e-mail.

Theo quy định, mỗi loại vi-rút lây nhiễm vào các tệp của một hoặc nhiều hệ điều hành. Nhiều virus khởi động cũngtập trung vào các định dạng cụ thể để định vị dữ liệu hệ thống trong các vùng khởi động của đĩa. Dựa trên các đặc điểm của thuật toán, các thuật toán thường trú được phân biệt; vi-rút, vi-rút tàng hình, đa hình, v.v. Vi-rút thường trú có khả năng để lại các bản sao của chúng trong hệ điều hành, chặn quá trình xử lý sự kiện (ví dụ: truy cập tệp hoặc đĩa) và khiến các thủ tục lây nhiễm vào các đối tượng (tệp hoặc cung). Những vi-rút này hoạt động trong bộ nhớ không chỉ khi chương trình bị nhiễm đang chạy mà còn sau đó. Các bản sao thường trú của những loại vi-rút như vậy vẫn tồn tại cho đến khi hệ điều hành được khởi động lại, ngay cả khi tất cả các tệp bị nhiễm trên đĩa bị phá hủy. Nếu vi-rút thường trú cũng có khả năng khởi động và được kích hoạt khi hệ điều hành khởi động, thì ngay cả việc định dạng đĩa nếu vi-rút này có trong bộ nhớ cũng không xóa nó.

Vi-rút macro cũng nên được phân loại là một loại vi-rút thường trú vì chúng liên tục hiện diện trong bộ nhớ máy tính khi trình soạn thảo bị nhiễm đang chạy.

Các thuật toán tàng hình cho phép virus che giấu hoàn toàn hoặc một phần sự hiện diện của chúng. Thuật toán lén lút phổ biến nhất là chặn các yêu cầu của hệ điều hành để đọc/ghi các đối tượng bị nhiễm. Virus tàng hình có thể tạm thời chữa trị những đối tượng này hoặc thay thế những mẩu thông tin không bị nhiễm virus vào vị trí của chúng. Một phần, vi-rút tàng hình bao gồm một nhóm nhỏ vi-rút macro lưu trữ mã chính của chúng không phải trong macro mà ở các khu vực khác của tài liệu - trong các biến của nó hoặc trong Văn bản tự động.

Tính đa hình (tự mã hóa) được sử dụng để làm phức tạp thêm quy trình phát hiện vi-rút. Virus đa hình là loại virus khó phát hiện và không có đoạn mã cố định. TRONG trường hợp chung hai mẫu của cùng một loại virus không khớp nhau. Điều này đạt được bằng cách mã hóa phần chính của virus và sửa đổi chương trình giải mã.

Khi tạo virus, các kỹ thuật không chuẩn thường được sử dụng. Việc sử dụng chúng sẽ khiến việc phát hiện và loại bỏ vi-rút trở nên khó khăn nhất có thể.

Dựa trên phương thức lây nhiễm, người ta phân biệt giữa các chương trình Trojan, các tiện ích quản trị ẩn, các loại virus có mục đích, v.v.

Ngựa thành Troy có tên tương tự với ngựa thành Troy. Mục đích của các chương trình này là bắt chước bất kỳ chương trình hữu ích, phiên bản mới của các tiện ích phổ biến hoặc phần bổ sung cho chúng. Khi người dùng ghi chúng vào máy tính của mình, các chương trình Trojan sẽ được kích hoạt và thực hiện các hành động không mong muốn.

Tiện ích quản trị ẩn là một loại chương trình Trojan. Về chức năng và giao diện, về nhiều mặt, chúng gợi nhớ đến các hệ thống quản trị máy tính trên mạng, được phát triển và phân phối bởi nhiều nhà sản xuất sản phẩm phần mềm khác nhau. Trong quá trình cài đặt, các tiện ích này sẽ cài đặt độc lập một hệ thống ẩn trên máy tính. điều khiển từ xa. Kết quả là, nó trở nên có thể điều khiển ẩn máy tính này. Triển khai các thuật toán cơ bản, các tiện ích mà người dùng không hề hay biết, nhận, khởi chạy hoặc gửi tệp, hủy thông tin, khởi động lại máy tính, v.v. Những tiện ích này có thể được sử dụng để phát hiện và truyền mật khẩu cũng như các thông tin bí mật khác, khởi chạy vi-rút và tiêu hủy dữ liệu .

Virus dự định bao gồm các chương trình không thể sao chép do có lỗi trong đó. Lớp này cũng bao gồm các virus chỉ sinh sản một lần. Sau khi lây nhiễm một tập tin, chúng sẽ mất khả năng tái tạo thêm thông qua nó.

Theo khả năng phá hủy của chúng, virus được chia thành:

1. không nguy hiểm, tác động của nó bị hạn chế do giảm bộ nhớ đĩa trống, làm chậm máy tính, hiệu ứng đồ họa và âm thanh;
2. nguy hiểm, có khả năng dẫn đến sự bất thường trong cấu trúc tệp và trục trặc máy tính;
3. rất nguy hiểm, thuật toán đặc biệt bao gồm các quy trình hủy dữ liệu và khả năng đảm bảo sự hao mòn nhanh chóng của các bộ phận chuyển động của cơ chế bằng cách tạo ra sự cộng hưởng và phá hủy đầu đọc/ghi của một số ổ cứng.

Để chống lại vi-rút, có các chương trình có thể được chia thành các nhóm chính: màn hình, máy dò, bác sĩ, kiểm toán viên và vắc-xin.

Giám sát chương trình(chương trình lọc) được đặt trong hệ điều hành máy tính, chặnvà thông báo cho người dùng về các lệnh gọi hệ điều hành được vi-rút sử dụng để tái tạo và gây thiệt hại. Người dùng có khả năng cho phép hoặc từ chối việc thực hiện các cuộc gọi này. Ưu điểm của các chương trình như vậy là khả năng phát hiện các loại virus chưa xác định. Sử dụng các chương trình lọc cho phép bạn phát hiện vi-rút ở giai đoạn đầu lây nhiễm vào máy tính của bạn. Nhược điểm của các chương trình là không có khả năng theo dõi vi-rút truy cập trực tiếp vào BIOS, cũng như vi-rút khởi động được kích hoạt trước khi phần mềm chống vi-rút khởi động khi tải DOS và thường xuyên đưa ra yêu cầu thực hiện các thao tác.

Chương trình dò ​​tìm kiểm tra xem các tệp và đĩa có chứa tổ hợp byte dành riêng cho một loại vi-rút nhất định hay không. Nếu nó được phát hiện, một thông báo tương ứng sẽ được hiển thị. Nhược điểm là nó chỉ có thể bảo vệ chống lại các loại virus đã biết.

Chương trình bác sĩ khôi phục các chương trình bị nhiễm bằng cách loại bỏ phần thân vi-rút khỏi chúng. Thông thường, các chương trình này được thiết kế cho các loại vi-rút cụ thể và dựa trên việc so sánh trình tự mã có trong phần thân vi-rút với mã của chương trình được quét. Các chương trình bác sĩ phải được cập nhật định kỳ để có phiên bản mới phát hiện các loại vi-rút mới.

Chương trình kiểm toán phân tích các thay đổi về trạng thái của tệp và vùng hệ thống của đĩa. Kiểm tra trạng thái của khu vực khởi động và bảng FAT; độ dài, thuộc tính và thời gian tạo tệp; mã tổng kiểm tra. Người dùng sẽ được thông báo nếu phát hiện bất kỳ sự khác biệt nào.

Các chương trình vắc xin sửa đổi chương trình và rủi ro theo cách không ảnh hưởng đến hoạt động của chương trình, nhưng vi rút được thực hiện tiêm chủng sẽ coi các chương trình hoặc đĩa đã bị nhiễm. Các chương trình chống vi-rút hiện có chủ yếu thuộc loại lai (bác sĩ phát hiện, bác sĩ kiểm toán, v.v.).

Ở Nga, các chương trình chống vi-rút được sử dụng rộng rãi nhất là Kaspersky Lab (Anti-IViral Toolkit Pro) và DialogScience (Adinf, Dr.Web). Bộ công cụ AntiVirus Pro (AVP) bao gồm Máy quét AVP, AVP Monitor, người canh gác thường trú, một chương trình quản lý các thành phần đã cài đặt. Trung tâm điều khiển và một số trung tâm khác. AVP Scanner, ngoài chức năng quét truyền thống các tệp thực thi và tệp tài liệu, còn xử lý cơ sở dữ liệu email. Sử dụng máy quét cho phép bạn phát hiện vi-rút trong các tệp được đóng gói và lưu trữ (không được bảo vệ bằng mật khẩu). Phát hiện và loại bỏ các loại virus macro, đa hình, tàng hình, Trojan và các loại virus chưa được biết đến trước đó. Điều này đạt được, ví dụ, thông qua việc sử dụng các máy phân tích heuristic. Các máy phân tích như vậy mô phỏng hoạt động của bộ xử lý và phân tích hành động của tệp được chẩn đoán. Tùy thuộc vào những hành động này, quyết định được đưa ra về sự hiện diện của vi-rút.

Điều khiển màn hình những con đường điển hình sự xâm nhập của virus, ví dụ như các hoạt động truy cập vào các tập tin và các khu vực.

Trung tâm điều khiển AVP là một lớp vỏ dịch vụ được thiết kế để đặt thời gian khởi động máy quét, tự động cập nhật các thành phần gói, v.v.

Nếu máy tính của bạn bị nhiễm virus hoặc nghi ngờ nhiễm virus, bạn phải:

1. đánh giá tình hình và không thực hiện các hành động dẫn đến mất thông tin;
2. khởi động lại hệ điều hành máy tính. Trong trường hợp này, hãy sử dụng đĩa mềm hệ thống đặc biệt, được tạo sẵn và bảo vệ chống ghi. Do đó, việc kích hoạt vi-rút khởi động và vi-rút thường trú từ ổ cứng máy tính sẽ bị ngăn chặn;
3. chạy các chương trình chống vi-rút hiện có cho đến khi tất cả vi-rút được phát hiện và loại bỏ. Nếu không thể loại bỏ vi-rút và nếu có thông tin có giá trị trong tệp, hãy lưu trữ tệp và chờ phát hành phiên bản mới của phần mềm chống vi-rút. Sau khi hoàn tất, hãy khởi động lại máy tính của bạn.

1. Giới thiệu

2.1 Virus tập tin

2.2 Virus khởi động

2.3 Virus vĩ mô

2.4 Virus mạng

3. Chương trình chống vi-rút

4. Các loại phần mềm diệt virus

4.1 Máy quét

4.2 Máy quét CRC

4.3 Màn hình

1. Giới thiệu

Những nghiên cứu đầu tiên về cấu trúc nhân tạo tự sao chép được thực hiện vào giữa thế kỷ trước. Trong các tác phẩm của von Neumann, Wiener và các tác giả khác, một định nghĩa đã được đưa ra và thực hiện phân tích toán học máy trạng thái hữu hạn, kể cả những loài tự sinh sản. Thuật ngữ “virus máy tính” xuất hiện muộn hơn. Người ta chính thức tin rằng nó được sử dụng lần đầu tiên bởi F. Cohen, nhân viên của Đại học Lehigh (Hoa Kỳ), vào năm 1984 tại Hội nghị lần thứ 7 về An toàn Thông tin được tổ chức tại Hoa Kỳ. Đã rất nhiều thời gian trôi qua kể từ đó, mức độ nghiêm trọng của vấn đề vi-rút đã tăng lên nhiều lần, nhưng vẫn chưa có một định nghĩa chặt chẽ nào về vi-rút máy tính là gì, mặc dù thực tế là nhiều người đã cố gắng làm điều này nhiều lần.

Khó khăn chính nảy sinh khi cố gắng đưa ra một định nghĩa chặt chẽ về vi-rút là hầu hết tất cả các đặc điểm đặc biệt của vi-rút (sự xâm nhập vào các đối tượng khác, tính bí mật, mối nguy hiểm tiềm ẩn) đều vốn có trong các chương trình khác không phải là vi-rút, hoặc có những loại virus không chứa những thứ trên tính năng đặc biệt(không bao gồm khả năng phân phối).

Vì vậy, dường như chỉ có thể hình thành điều kiện bắt buộcđể một số chuỗi mã được thực thi có thể trở thành virus.

Thuộc tính bắt buộc (cần thiết) của virus máy tính- khả năng tạo các bản sao của riêng bạn (không phải lúc nào cũng giống với bản gốc) và triển khai chúng vào mạng máy tính và/hoặc tệp, vùng hệ thống của máy tính và các đối tượng thực thi khác. Đồng thời, các bản sao vẫn giữ được khả năng lây lan thêm.

2. Phân loại virus máy tính

Virus có thể được chia thành các lớp theo các đặc điểm chính sau:

môi trường sống;

hệ điều hành;

tính năng của thuật toán vận hành;

khả năng phá hoại.

Tùy thuộc vào môi trường sống Virus có thể được chia:

tài liệu;

khởi động;

macrovirus;

Tập tin virus hoặc chúng được nhúng vào các tệp thực thi theo nhiều cách khác nhau hoặc chúng tạo ra các tệp trùng lặp hoặc chúng sử dụng các đặc thù của tổ chức hệ thống tệp.

Virus khởi động tự ghi vào khu vực khởi động của đĩa hoặc vào khu vực chứa bộ tải khởi động hệ thống của ổ cứng hoặc thay đổi con trỏ thành khu vực khởi động.

Virus vĩ mô lây nhiễm các tập tin tài liệu và bảng tính của một số biên tập viên phổ biến.

Virus mạng sử dụng các giao thức hoặc lệnh của mạng máy tính và e-mail để phân phối chúng.

Có một số lượng lớn các kết hợp, chẳng hạn như vi-rút khởi động tệp lây nhiễm vào cả tệp và khu vực khởi động của đĩa. Những loại virus như vậy, theo quy luật, có thuật toán hoạt động khá phức tạp và thường sử dụng các phương pháp xâm nhập hệ thống ban đầu. Một ví dụ khác về sự kết hợp như vậy là vi-rút macro mạng, vi-rút này không chỉ lây nhiễm vào các tài liệu đang được chỉnh sửa mà còn gửi các bản sao của chính nó qua email.

Hệ điều hành bị nhiễm virus là cấp độ thứ hai của việc phân chia virus thành các lớp.

Mọi tài liệu Và virus mạng lây nhiễm các tập tin của một hoặc nhiều hệ điều hành - DOS, Windows, Win95/NT, OS/2, v.v.

Virus vĩ mô lây nhiễm các tập tin ở định dạng Word, Excel, Office 97.

Virus khởi động cũng tập trung vào các định dạng cụ thể để định vị dữ liệu hệ thống trong các vùng khởi động của đĩa.

Giữa Đặc điểm của thuật toán vận hành virus nổi bật sau đây:

cư trú;

sử dụng thuật toán “tàng hình”;

tự mã hóa và đa hình;

sử dụng các kỹ thuật không chuẩn.

Virus thường trú Khi một máy tính bị nhiễm virus, nó sẽ để lại phần cư trú của nó trong bộ nhớ vận hành, sau đó phần này sẽ chặn các cuộc gọi từ hệ điều hành đến các đối tượng bị lây nhiễm và tự lây nhiễm vào chúng. Virus thường trú hoạt động không chỉ khi chương trình bị nhiễm đang chạy mà còn hoạt động sau khi chương trình chạy xong. Các bản sao thường trú của những loại vi-rút như vậy vẫn tồn tại cho đến lần khởi động lại tiếp theo, ngay cả khi tất cả các tệp bị nhiễm trên đĩa bị phá hủy. Thông thường không thể loại bỏ những loại vi-rút như vậy bằng cách khôi phục tất cả các bản sao của tệp từ đĩa phân phối. Bản sao thường trú của vi-rút vẫn hoạt động và lây nhiễm vào các tệp mới được tạo. Điều này cũng đúng đối với vi-rút khởi động; định dạng đĩa trong khi có vi-rút thường trú trong bộ nhớ không phải lúc nào cũng chữa được đĩa, vì nhiều vi-rút thường trú sẽ lây nhiễm lại đĩa sau khi nó được định dạng.

Virus macro có thể được coi là thường trú vì chúng cũng hiện diện trong bộ nhớ máy tính trong suốt thời gian trình soạn thảo bị nhiễm đang chạy. Trong trường hợp này, trình soạn thảo đảm nhận vai trò của hệ điều hành và khái niệm “khởi động lại hệ điều hành” được hiểu là thoát khỏi trình soạn thảo.

Ngược lại, các virus không thường trú chỉ hoạt động trong một thời gian khá ngắn - chỉ tại thời điểm chương trình bị nhiễm được khởi chạy. Để lây lan, chúng tìm kiếm các tập tin không bị nhiễm virus trên đĩa và ghi vào chúng.

Sau khi mã vi-rút chuyển quyền kiểm soát sang chương trình máy chủ, tác động của vi-rút lên hệ điều hành sẽ giảm xuống 0 cho đến lần khởi chạy tiếp theo của bất kỳ chương trình bị nhiễm nào. Do đó, việc xóa các tệp bị nhiễm vi-rút không thường trú khỏi đĩa sẽ dễ dàng hơn nhiều mà không bị vi-rút lây nhiễm lại.

Cách sử dụng thuật toán “tàng hình” cho phép virus ẩn mình hoàn toàn hoặc một phần trong hệ thống. Thuật toán “tàng hình” phổ biến nhất là chặn các yêu cầu của hệ điều hành để đọc và ghi các đối tượng bị nhiễm, sau đó vi-rút “tàng hình” sẽ tạm thời chữa khỏi chúng hoặc thay thế các mẩu thông tin không bị nhiễm vào vị trí của chúng. Trong trường hợp virus macro, phương pháp phổ biến nhất là vô hiệu hóa lệnh gọi tới menu xem macro.

Tự mã hóa Và tính đa hìnhđược hầu hết các loại vi-rút sử dụng để làm phức tạp nhất có thể quy trình phát hiện vi-rút. Virus đa hình là những loại không thể phát hiện được (hoặc cực kỳ khó khăn) bằng cách sử dụng cái gọi là mặt nạ virus - các phần mã dành riêng cho một loại virus cụ thể. Điều này đạt được theo hai cách - bằng cách mã hóa mã vi-rút chính bằng khóa không cố định và một bộ lệnh giải mã ngẫu nhiên hoặc bằng cách thay đổi chính mã vi-rút thực thi.

Nhiều kỹ thuật không chuẩn thường được sử dụng trong vi-rút để ẩn mình sâu nhất có thể trong nhân của hệ điều hành, bảo vệ bản sao thường trú của chúng khỏi bị phát hiện, gây khó khăn cho việc xử lý vi-rút, v.v.

Qua khả năng hủy diệt Virus có thể được chia thành:

vô hại, tức là điều đó không ảnh hưởng đến hoạt động của máy tính dưới bất kỳ hình thức nào (ngoại trừ việc giảm bộ nhớ trống trên đĩa do việc phân phối chúng);

không nguy hiểm, tác động của nó bị hạn chế do giảm bộ nhớ trống trên đĩa và các hiệu ứng đồ họa, âm thanh và các hiệu ứng khác;

những loại virus nguy hiểm có thể dẫn đến trục trặc nghiêm trọng cho máy tính;

rất nguy hiểm - thuật toán hoạt động của chúng cố tình chứa các thủ tục có thể gây mất chương trình, phá hủy dữ liệu và xóa thông tin cần thiết cho hoạt động của máy tính được ghi trong vùng bộ nhớ hệ thống.

Nhưng ngay cả khi không tìm thấy nhánh nào trong thuật toán vi-rút gây thiệt hại cho hệ thống, vi-rút này không thể được coi là vô hại với sự tin cậy hoàn toàn, vì sự xâm nhập của nó vào máy tính có thể gây ra những hậu quả khó lường và đôi khi thảm khốc. Xét cho cùng, vi-rút, giống như bất kỳ chương trình nào, đều có lỗi, do đó cả tệp và ổ đĩa đều có thể bị hỏng.

2.1 Virus tập tin

Nhóm này bao gồm các vi-rút khi sao chép bằng cách này hay cách khác sẽ sử dụng hệ thống tệp của hệ điều hành.

Virus tập tin có thể được nhúng vào hầu hết các tập tin thực thi của tất cả các hệ điều hành phổ biến.

Có những loại virus lây nhiễm vào các tập tin chứa văn bản nguồn chương trình, thư viện hoặc mô-đun đối tượng. Virus cũng có thể được ghi vào tệp dữ liệu, nhưng điều này xảy ra do lỗi của virus hoặc khi các đặc tính hung hãn của nó biểu hiện.

Cách thức hoạt động của virus tập tin:

Sau khi nhận được sự kiểm soát, virus sẽ thực hiện những hành động sau:

vi-rút thường trú kiểm tra RAM xem có bản sao của nó không và lây nhiễm vào bộ nhớ máy tính nếu không tìm thấy bản sao của vi-rút; vi-rút không cư trú sẽ tìm kiếm các tệp không bị nhiễm trong hiện tại và (hoặc) thư mục gốc, trong các thư mục được đánh dấu bằng lệnh PATH, quét cây thư mục của các ổ đĩa logic và sau đó lây nhiễm vào các tệp được phát hiện;

thực thi nếu chúng tồn tại, chức năng bổ sung: hành động phá hoại, hiệu ứng đồ họa hoặc âm thanh, v.v. (các chức năng bổ sung của vi-rút thường trú có thể được gọi một thời gian sau khi kích hoạt, tùy thuộc vào thời gian hiện tại, cấu hình hệ thống, bộ đếm vi-rút bên trong hoặc các điều kiện khác; trong trường hợp này, khi được kích hoạt, vi-rút sẽ xử lý trạng thái của đồng hồ hệ thống, đặt bộ đếm, v.v.)

2.2 Virus khởi động

Virus khởi động lây nhiễm vào khu vực khởi động của đĩa mềm và khu vực khởi động hoặc MasterBootRecord (MBR) của ổ cứng. Nguyên lý hoạt động của virus khởi động dựa trên các thuật toán khởi động hệ điều hành khi bạn bật hoặc khởi động lại máy tính: sau các thử nghiệm cần thiết đối với thiết bị đã cài đặt (bộ nhớ, đĩa), chương trình khởi động hệ thốngđọc khu vực vật lý đầu tiên của đĩa khởi động và chuyển quyền điều khiển sang A:, C: hoặc CD-ROM, tùy thuộc vào các tham số được đặt trong BIOS Setupe.

Trong trường hợp đĩa mềm hoặc CD, khu vực khởi động của đĩa nhận được quyền điều khiển, khu vực này sẽ phân tích bảng tham số đĩa và tính toán địa chỉ. tập tin hệ thống hệ điều hành, đọc bộ nhớ và khởi chạy chúng để thực thi. Nếu không có tệp hệ điều hành trên đĩa khởi động, chương trình nằm trong khu vực khởi động của đĩa sẽ hiển thị thông báo lỗi và đề xuất thay thế đĩa khởi động.

Trong trường hợp ổ cứng, chương trình nằm trong MBR của ổ cứng sẽ nhận quyền điều khiển. Nó phân tích bảng phân vùng đĩa (DiskPartitionTable), tính toán địa chỉ của khu vực khởi động đang hoạt động (thông thường khu vực này là khu vực khởi động của ổ C:), tải nó vào bộ nhớ và chuyển quyền điều khiển cho nó. Sau khi nhận được quyền kiểm soát, khu vực khởi động đang hoạt động của ổ cứng sẽ thực hiện các hành động tương tự như khu vực khởi động của đĩa mềm.

Khi lây nhiễm vào đĩa, virus khởi động sẽ thay thế mã của chúng thay cho bất kỳ chương trình nào giành quyền kiểm soát khi hệ thống khởi động. Nguyên tắc lây nhiễm: vi-rút “buộc” hệ thống, khi được khởi động lại, phải đọc vào bộ nhớ và trao quyền kiểm soát không phải cho mã bộ nạp khởi động ban đầu mà cho mã vi-rút.

Cách duy nhất để lây nhiễm vào đĩa mềm là theo một cách đã biết: thay vào đó virus viết mã của nó mã gốc các lĩnh vực khởi động của đĩa mềm.

Winchester bị nhiễm ba những cách có thể: vi-rút ghi thay vì mã MBR hoặc thay vì mã khu vực khởi động của đĩa khởi động (thường là C:), hoặc sửa đổi địa chỉ của khu vực khởi động đang hoạt động trong DiskPartitionTable, nằm trong MBR của ổ cứng.

Thuật toán hoạt động của virus khởi động.

Hầu như tất cả các virus khởi động đều cư trú. Chúng được nhúng vào bộ nhớ của máy tính khi khởi động từ đĩa bị nhiễm virus. Trong trường hợp này, bộ tải khởi động hệ thống sẽ đọc nội dung của khu vực đầu tiên của đĩa nơi quá trình khởi động được thực hiện, đặt thông tin đã đọc vào bộ nhớ và chuyển quyền điều khiển sang đó (tức là cho vi-rút). Sau đó, các lệnh của virus bắt đầu được thực thi:

theo quy luật, nó giảm dung lượng bộ nhớ trống, sao chép mã của nó vào không gian trống và đọc phần tiếp theo của nó (nếu có) từ đĩa;

chặn các vectơ ngắt cần thiết, đọc khu vực khởi động ban đầu vào bộ nhớ và chuyển điều khiển sang nó.

Sau đó, vi-rút khởi động hoạt động giống như vi-rút tệp thường trú: nó chặn các lệnh gọi của hệ điều hành tới đĩa và lây nhiễm chúng, tùy thuộc vào một số điều kiện nhất định, nó thực hiện các hành động phá hoại hoặc gây ra hiệu ứng âm thanh hoặc video.

Ngoài ra còn có virus khởi động không thường trú. Khi được tải, chúng sẽ lây nhiễm vào MBR của ổ cứng và đĩa mềm nếu chúng có trong ổ đĩa. Những virus như vậy sau đó sẽ chuyển quyền điều khiển về bootloader gốc và không còn ảnh hưởng đến hoạt động của máy tính nữa.

2.3 Virus vĩ mô

Virus macro là các chương trình được viết bằng ngôn ngữ (ngôn ngữ macro) được tích hợp sẵn trong một số hệ thống xử lý dữ liệu (trình soạn thảo văn bản, bảng tính). Để tái tạo, những virus như vậy sử dụng khả năng của các ngôn ngữ macro và với sự trợ giúp của chúng, chúng tự chuyển từ một tệp (tài liệu hoặc bảng) sang tệp khác. Các loại virus macro phổ biến nhất là dành cho Microsoft Word, Excel và Office 97.

Để virus tồn tại trong một hệ thống cụ thể, cần phải có ngôn ngữ macro được tích hợp trong hệ thống với các khả năng sau:

ràng buộc một chương trình trong ngôn ngữ macro với tập tin cụ thể;

sao chép các chương trình macro từ tệp này sang tệp khác;

giành quyền kiểm soát chương trình macro mà không cần sự can thiệp của người dùng (macro tự động hoặc tiêu chuẩn).

Thuật toán của Word macrovirus

Hầu hết các loại virus macro Word nổi tiếng, khi khởi chạy, sẽ chuyển mã (macro) của chúng sang vùng macro chung của tài liệu; để làm điều này, chúng sử dụng các lệnh sao chép macro MacroCopy, Organizer. Sao chép hoặc sử dụng trình chỉnh sửa macro. Virus gọi nó, tạo một macro mới, chèn mã của nó vào đó và lưu vào tài liệu.

Khi bạn thoát Word, các macro chung sẽ tự động được ghi vào tệp DOT macro chung (thường là NORMAL.DOT). Vì vậy, lần tiếp theo bạn khởi động virus Word, nó sẽ được kích hoạt vào thời điểm WinWord tải các macro chung.

Sau đó, vi-rút sẽ ghi đè một hoặc nhiều macro tiêu chuẩn và chặn các lệnh để làm việc với tệp. Khi các lệnh này được gọi, virus sẽ lây nhiễm vào tệp đang được truy cập. Để làm điều này, vi-rút sẽ chuyển đổi tệp thành định dạng Mẫu (điều này khiến không thể thay đổi thêm định dạng tệp) và ghi các macro của nó vào tệp, bao gồm cả macro tự động.

Do đó, nếu vi-rút chặn macro FileSaveAs thì mọi tệp DOS được lưu thông qua macro bị vi-rút chặn đều bị nhiễm. Nếu macro FileOpen bị chặn, vi-rút sẽ được ghi vào tệp khi nó được đọc từ đĩa.

Thuật toán hoạt động của virus macro Excel

Các phương pháp sinh sản của vi rút Excel nhìn chung tương tự như các phương pháp sinh sản của vi rút Word. Sự khác biệt nằm ở các lệnh sao chép macro và sự vắng mặt của BÌNH THƯỜNG. DOT, chức năng của nó (theo nghĩa lan truyền) được thực hiện bởi các tệp trong DANH MỤC KHỞI ĐỘNG của Excel.

2.4 Virus mạng

Virus mạng bao gồm các loại virus tích cực sử dụng các giao thức và khả năng của mạng cục bộ và toàn cầu để lây lan. Nguyên tắc hoạt động chính của virus mạng là khả năng truyền mã độc lập của nó đến máy chủ hoặc máy trạm từ xa.

Virus mạng trước đây lây lan khắp mạng máy tính và thường không thay đổi tệp hoặc cung trên đĩa. Họ xâm nhập vào bộ nhớ của máy tính từ mạng máy tính, tính toán địa chỉ mạng các máy tính khác và gửi bản sao của chúng đến các địa chỉ này.

Virus mạng hiện đại là Macro. Từ. Chia sẻ Vui vẻ và Giành chiến thắng. Homer. cái đầu tiên sử dụng khả năng email của MicrosoftMail. Anh ta tạo một lá thư mới chứa một tập tin tài liệu bị nhiễm virus, sau đó chọn ba từ danh sách địa chỉ MS-Mail. địa chỉ ngẫu nhiên và gửi một lá thư bị nhiễm virus cho họ.

Loại virus thứ hai (Homer) sử dụng để lây lan Giao thức FTP(FileTrausferProtocol) và chuyển bản sao của nó tới máy chủ ftp từ xa trong thư mục Đến. Do giao thức mạng FTP không cho phép chạy tệp trên máy chủ từ xa nên loại vi-rút này có thể được mô tả là bán mạng, nhưng đây là một ví dụ thực tế về khả năng vi-rút sử dụng các giao thức mạng hiện đại và lây nhiễm vào mạng toàn cầu.

3. Chương trình chống vi-rút

Các chương trình chống vi-rút có hiệu quả nhất trong việc chống vi-rút máy tính. Tuy nhiên, cần lưu ý rằng không có phần mềm chống vi-rút nào đảm bảo khả năng bảo vệ 100% khỏi vi-rút. Những hệ thống như vậy không tồn tại, vì đối với bất kỳ thuật toán chống vi-rút nào, luôn có thể đề xuất một thuật toán chống vi-rút mà phần mềm chống vi-rút này không nhìn thấy được (may mắn thay, điều ngược lại cũng đúng: đối với bất kỳ thuật toán vi-rút nào, luôn có thể tạo ra một phần mềm chống vi-rút). Hơn nữa, việc không thể tồn tại một phần mềm chống vi-rút tuyệt đối đã được chứng minh về mặt toán học dựa trên lý thuyết về máy trạng thái hữu hạn, tác giả của bằng chứng là Fred Cohen.

Chất lượng của một chương trình chống vi-rút được xác định bởi các mục sau, được liệt kê theo thứ tự tầm quan trọng giảm dần.

Độ tin cậy và dễ sử dụng- không có tình trạng treo phần mềm chống vi-rút hoặc các sự cố kỹ thuật khác yêu cầu người dùng phải đào tạo đặc biệt.

Đây là tiêu chí quan trọng nhất, vì ngay cả một phần mềm chống vi-rút tuyệt đối cũng có thể vô dụng nếu không thể hoàn tất quá trình quét - nó bị treo và không quét một số đĩa và tệp, do đó, vi-rút không bị phát hiện trong hệ thống. Nếu phần mềm chống vi-rút yêu cầu người dùng có kiến ​​​​thức đặc biệt thì nó cũng sẽ vô ích; hầu hết người dùng sẽ bỏ qua các thông báo chống vi-rút.

Chà, nếu phần mềm chống vi-rút thường xuyên đặt những câu hỏi khó cho người dùng bình thường, thì rất có thể người dùng sẽ ngừng sử dụng phần mềm chống vi-rút đó.

Chất lượng phát hiện virus tất cả các loại phổ biến, quét bên trong các tệp tài liệu/bảng tính (MSWord, Excel, Office), các tệp được đóng gói và lưu trữ. Không có "dương tính giả". Khả năng điều trị các đối tượng bị nhiễm bệnh.

Bất kỳ phần mềm chống vi-rút nào cũng vô dụng nếu nó không bắt được vi-rút hoặc hoạt động không tốt. Vì vậy, chất lượng phát hiện virus là tiêu chí quan trọng thứ hai đánh giá “chất lượng” của một chương trình chống vi-rút. Tuy nhiên, nếu phần mềm chống vi-rút có chất lượng cao Việc phát hiện vi-rút gây ra một số lượng lớn kết quả dương tính giả, sau đó mức độ hữu ích của nó giảm mạnh do người dùng buộc phải hủy các tệp không bị nhiễm hoặc phân tích độc lập các tệp đáng ngờ hoặc quen với các kết quả dương tính giả thường xuyên - ngừng chú ý đến các thông báo chống vi-rút và kết quả là bỏ sót thông điệp của một loại virus thực sự.

Đa nền tảng Phần mềm chống vi-rút là mục tiếp theo trong danh sách, vì chỉ chương trình được thiết kế cho một hệ điều hành cụ thể mới có thể sử dụng đầy đủ các chức năng của hệ thống đó. Các phần mềm chống vi-rút không có nguồn gốc thường không hiệu quả và đôi khi thậm chí có tính phá hoại.

Cơ hội kiểm tra tập tin một cách nhanh chóng cũng là một tính năng khá quan trọng của một phần mềm diệt virus. Quét ngay lập tức và bắt buộc các tệp cũng như đĩa mềm được đưa vào máy tính của bạn là sự đảm bảo gần như 100% khỏi bị nhiễm vi-rút.

Tiêu chí quan trọng tiếp theo là tốc độ vận hành. Nếu phần mềm chống vi-rút mất vài giờ để quét toàn bộ máy tính của bạn thì hầu hết người dùng sẽ không chạy nó đủ thường xuyên. Đồng thời, sự chậm chạp của phần mềm chống vi-rút hoàn toàn không có nghĩa là nó bắt được nhiều vi-rút hơn và hoạt động tốt hơn phần mềm chống vi-rút nhanh hơn. Các phần mềm chống vi-rút khác nhau sử dụng các thuật toán tìm kiếm vi-rút khác nhau; một thuật toán có thể nhanh hơn và có chất lượng cao hơn, trong khi thuật toán khác có thể chậm hơn và chất lượng thấp hơn. Tất cả phụ thuộc vào khả năng và tính chuyên nghiệp của các nhà phát triển một phần mềm chống vi-rút cụ thể.

Sự hiện diện của các chức năng và tính năng bổ sung nằm trong danh sách các tính năng chống vi-rút trên nơi cuối cùng, vì rất thường xuyên các chức năng này không ảnh hưởng đến mức độ hữu ích của phần mềm chống vi-rút. Tuy nhiên, những tính năng bổ sung này giúp cuộc sống của người dùng dễ dàng hơn nhiều.

4. Các loại phần mềm diệt virus

Các chương trình chống vi-rút phổ biến và hiệu quả nhất là máy quét chống vi-rút. Theo sau họ là máy quét CRC. Thường thì cả hai phương pháp này được kết hợp thành một chương trình phổ quát, làm tăng đáng kể sức mạnh của nó. Nhiều loại thiết bị theo dõi (thuốc chặn) và thuốc tiêm chủng cũng được sử dụng.

4.1 Máy quét

Nguyên lý hoạt động của máy quét chống vi-rút dựa trên việc kiểm tra các tệp, cung và bộ nhớ hệ thống và tìm kiếm chúng để tìm vi-rút đã biết và mới (máy quét chưa xác định). Để tìm kiếm các loại virus đã biết, cái gọi là mặt nạ được sử dụng. Mặt nạ của vi-rút là một chuỗi mã cố định dành riêng cho loại vi-rút cụ thể này. Nếu virus không có mặt nạ hoặc mặt nạ không đủ dài thì các phương pháp khác sẽ được sử dụng. Một ví dụ về phương pháp như vậy là ngôn ngữ thuật toán mô tả mọi thứ những lựa chọn khả thi mã có thể xảy ra khi bị nhiễm vi-rút loại này.

Nhiều máy quét cũng sử dụng thuật toán quét heuristic, tức là phân tích trình tự các lệnh trong đối tượng đang kiểm tra, thu thập một số số liệu thống kê và đưa ra quyết định đối với từng đối tượng đang kiểm tra.

Ưu điểm của máy quét bao gồm tính linh hoạt của chúng, nhược điểm là kích thước của chúng cơ sở dữ liệu chống virus, những gì máy quét phải “mang theo bên mình” và tương đối tốc độ thấp tìm kiếm virus.

4.2 Máy quét CRC

Nguyên lý hoạt động của máy quét CRC dựa trên việc tính toán tổng CRC (tổng kiểm tra) cho các khu vực tệp/hệ thống có trên đĩa. Các tổng CRC này sau đó được lưu trữ trong cơ sở dữ liệu chống vi-rút cũng như một số thông tin khác: độ dài tệp, ngày sửa đổi lần cuối, v.v. Khi được khởi chạy sau đó, máy quét CRC sẽ so sánh dữ liệu có trong cơ sở dữ liệu với các giá trị được tính toán thực tế. Nếu thông tin tệp được ghi trong cơ sở dữ liệu không khớp với giá trị thực, khi đó máy quét CRC báo hiệu rằng tệp đã bị sửa đổi hoặc bị nhiễm vi-rút.

Máy quét CRC sử dụng thuật toán “chống lén lút” là một vũ khí chống virus khá mạnh: gần như 100% virus được phát hiện gần như ngay lập tức sau khi chúng xuất hiện trên máy tính. Tuy nhiên, loại phần mềm diệt virus này có một nhược điểm là làm giảm đáng kể hiệu quả của chúng.

Điểm bất lợi này là máy quét CRC không thể bắt được vi-rút vào thời điểm nó xuất hiện trong hệ thống mà chỉ thực hiện việc này sau một thời gian, sau khi vi-rút đã lây lan khắp máy tính. Máy quét CRC không thể phát hiện vi-rút trong các tệp mới vì cơ sở dữ liệu của chúng không chứa thông tin về các tệp này.

Hơn nữa, virus xuất hiện định kỳ, lợi dụng “điểm yếu” này của máy quét CRC, chỉ lây nhiễm các tệp mới được tạo và do đó không thể phát hiện được đối với máy quét CRC.

4.3 Màn hình

Trình giám sát chống vi-rút là các chương trình thường trú có chức năng ngăn chặn các tình huống nguy hiểm do vi-rút và thông báo cho người dùng về tình huống đó. Những hành vi nguy hiểm về vi-rút bao gồm các lệnh gọi mở để ghi vào các tệp thực thi, ghi vào các phần khởi động của đĩa hoặc MBR của ổ cứng, các chương trình cố gắng duy trì trạng thái cư trú, tức là. những thách thức điển hình đối với virus trong quá trình sinh sản của chúng.

Ưu điểm của thiết bị giám sát bao gồm khả năng phát hiện và ngăn chặn vi rút ở giai đoạn sinh sản sớm nhất. Những nhược điểm bao gồm sự tồn tại của các cách để vượt qua tính năng bảo vệ màn hình và một số lượng lớn các kết quả dương tính giả, rõ ràng là lý do khiến người dùng gần như từ bỏ hoàn toàn loại chương trình chống vi-rút này.

Cũng cần lưu ý hướng này đại lý chống vi-rút, giống như những màn hình diệt virus được chế tạo dưới dạng linh kiện phần cứng máy tính. Tuy nhiên, cũng như với trình giám sát chương trình, việc bảo vệ như vậy rất dễ bị bỏ qua. Ngoài ra, những nhược điểm trên còn có vấn đề về khả năng tương thích với cấu hình máy tính tiêu chuẩn và những khó khăn trong việc cài đặt và cấu hình chúng. Tất cả điều này làm cho màn hình phần cứng cực kỳ không được ưa chuộng so với các loại khác bảo vệ chống virus.

4.4 Thuốc tiêm chủng

Thuốc chủng ngừa được chia thành hai loại: loại thuốc chủng ngừa báo cáo tình trạng nhiễm trùng và loại thuốc chủng ngừa ngăn chặn sự lây nhiễm.

Những cái đầu tiên thường được ghi vào cuối tệp và mỗi lần tệp được khởi chạy, họ sẽ kiểm tra xem có thay đổi nào không. Những loại vắc xin này chỉ có một nhược điểm nhưng lại gây chết người: hoàn toàn không có khả năng báo cáo về việc nhiễm vi rút “tàng hình”. Do đó, các loại thiết bị miễn dịch như màn hình hiện nay thực tế không được sử dụng.

Loại miễn dịch thứ hai bảo vệ hệ thống khỏi bị nhiễm một loại vi-rút nào đó. một loại nhất định. Các tập tin trên đĩa được sửa đổi theo cách mà vi-rút nhận thấy chúng như đã bị nhiễm.

Để bảo vệ khỏi vi-rút thường trú, một chương trình mô phỏng bản sao của vi-rút sẽ được đưa vào bộ nhớ của máy tính, khi khởi chạy, vi-rút gặp phải vi-rút đó và tin rằng hệ thống đã bị nhiễm.

Loại miễn dịch này không thể phổ biến vì không thể chủng ngừa các tập tin chống lại tất cả các loại vi-rút đã biết. Tuy nhiên, bất chấp điều này, các biện pháp miễn dịch như vậy, như một biện pháp nửa vời, có thể bảo vệ máy tính khỏi một loại vi-rút mới chưa được biết đến một cách đáng tin cậy cho đến thời điểm nó được phát hiện bởi máy quét chống vi-rút.

Thư mục

1. Kaspersky E.V. Virus máy tính: chúng là gì và cách chống lại chúng. - M.: Nhà xuất bản SK, 1998. - 288 tr.

2. Khoa học máy tính. Khóa học cơ bản.Ấn bản thứ 2 / Ed. S.V. Simonovich. - St. Petersburg: Peter, 2006. - 640 tr.

Virus và phần mềm diệt virus

Hoàn thành bởi: Ilya Silkin 2-TR

1.Virus và phần mềm diệt virus là gì?

2.Thêm thông tin về virus.

3.Thêm thông tin về phần mềm chống vi-rút.

4.Danh sách các phần mềm diệt virus chất lượng.

5.Danh sách các loại virus phổ biến.

Virus và phần mềm chống virus là gì?

Virus máy tính (CV) Virus máy tính (CV) là một chương trình có khả năng tạo các bản sao của chính nó (không nhất thiết phải giống hoàn toàn với bản gốc), đưa chúng vào các đối tượng hoặc tài nguyên khác nhau của hệ thống máy tính, mạng và thực hiện một số hành động nhất định mà người dùng không hề hay biết.

Chống virus – Cái này một chương trình để bảo vệ máy tính hoặc thiết bị di động của bạn khỏi phần mềm độc hại. Thuật ngữ " phần mềm độc hại» bao gồm tất cả các loại chương trình nguy hiểm có thể có, chẳng hạn như vi-rút, sâu, ngựa Trojan và phần mềm gián điệp.

Đọc thêm về virus.

Các virus khác nhau thực hiện khác nhau hành động:

Hiển thị thông tin đáng lo ngại trên màn hình tin nhắn(chúc mừng, khẩu hiệu chính trị, cụm từ nhằm mục đích hài hước, v.v.);

Tạo nên hiệu ứng âm thanh(thánh ca, thang âm, giai điệu bình dân);

Tạo nên hiệu ứng video(lật hoặc dịch chuyển màn hình, mô phỏng động đất, làm rơi chữ trong văn bản, hiển thị hình ảnh, v.v.);

Chậm lại hoạt động của máy tính, giảm dần dung lượng RAM trống;

Tăng mặc phần cứng (ví dụ: đầu ổ đĩa);

Gọi từ chối các thiết bị riêng lẻ, đóng băng hoặc khởi động lại máy tính và khiến toàn bộ máy tính bị hỏng;

Hủy hoạiđịnh dạng FAT ổ cứng, xóa BIOS, hủy hoặc thay đổi dữ liệu, xóa các chương trình diệt virus;

Thực hiện các hoạt động khoa học, kỹ thuật, công nghiệp và tài chính gián điệp;

Vô hiệu hóa hệ thống sự bảo vệ thông tin, v.v.

Triệu chứng Nhiễm virus máy tính:

Một số chương trình bị chậm

Tăng kích thước tệp (đặc biệt là tệp thực thi)

Xuất hiện những tập tin “lạ” chưa từng tồn tại trước đây

Giảm dung lượng RAM khả dụng (so với hoạt động bình thường)

Nhiều hiệu ứng video và âm thanh khác nhau xuất hiện đột ngột

Xuất hiện trục trặc của hệ điều hành (bao gồm cả việc đóng băng)

Ghi thông tin vào đĩa vào những thời điểm điều này không nên xảy ra

Dừng hoặc vận hành không chính xác các chương trình hoạt động bình thường trước đó.

tồn tại con số lớn nhiều phân loại virus:

Theo môi trường sống:

Mạng– lan truyền trên mạng (Melissa).

Tài liệu– lây nhiễm các tập tin thực thi có phần mở rộng .exe, .com. Lớp này cũng bao gồm các vi-rút macro lây nhiễm vào các tệp không thể thực thi được (ví dụ: trong MS WORD hoặc MS EXCEL).

Khởi động– được nhúng vào khu vực khởi động của đĩa (Boot Sector) hoặc trong khu vực chứa chương trình khởi động của đĩa hệ thống (Master Boot Record - MBR). Một số vi rút ghi nội dung của chúng vào các vùng trống của đĩa, đánh dấu chúng là "xấu" trong FAT.

Khởi động tập tin– có khả năng lây nhiễm các phần khởi động và tập tin.

Theo con đường lây nhiễm:

• Người dân– chúng để lại phần thường trú của mình trong RAM, sau đó chặn các lệnh gọi chương trình đến hệ điều hành và được nhúng vào chúng. Virus có thể lặp lại hành động phá hoại của nó nhiều lần.

  Không thường trú– không lây nhiễm vào RAM và chỉ hoạt động một lần khi khởi chạy chương trình bị nhiễm.

Theo mức độ nguy hiểm:

• Không nguy hiểm– ví dụ: trên màn hình xuất hiện thông báo: “Tôi muốn chuchu.” Nếu bạn gõ từ “chucha” trên bàn phím, virus sẽ tạm thời “bình tĩnh lại”.

  Nguy hiểm– phá hủy một số tập tin trên đĩa.

  Rất nguy hiểm– tự định dạng ổ cứng. (CIH - kích hoạt vào ngày 26 hàng tháng và có khả năng hủy dữ liệu trên ổ cứng và trong BIOS).

Theo đặc điểm của thuật toán:

• Virus đồng hành– tạo các tệp vệ tinh mới cho các tệp exe có cùng tên nhưng có phần mở rộng com. Virus được ghi vào tệp com và không thay đổi tệp exe cùng tên dưới bất kỳ hình thức nào. Khi chạy một tệp như vậy, trước tiên HĐH sẽ phát hiện và thực thi tệp COM, tức là. một loại virus sau đó sẽ khởi chạy tệp exe.

  Máy sao chép (worm) - được phân phối trên Internet. Chúng xâm nhập vào bộ nhớ của máy tính từ mạng, tính toán địa chỉ mạng của các máy tính khác và gửi bản sao của chúng đến các địa chỉ này. Giun giảm thông lượng mạng làm chậm máy chủ. Chúng có thể nhân lên mà không cần đưa vào các chương trình khác và bị “nhồi” virus máy tính. (“Sâu Morris” đã làm tê liệt một số mạng lưới toàn cầu ở Hoa Kỳ vào cuối những năm 80).

  Tàng hình (tàng hình) – che giấu sự hiện diện của chúng trong máy tính và rất khó phát hiện. Chúng chặn các cuộc gọi của hệ điều hành đến các tệp hoặc ổ đĩa bị nhiễm và "thay thế" các phần không bị nhiễm của tệp.

  Dị nhân (ma, virus đa hình, đa hình) – chúng rất khó phát hiện, bởi vì bản sao của chúng thực tế không chứa các đoạn mã hoàn toàn trùng khớp. Điều này đạt được bằng cách thêm các lệnh trống (rác) vào các chương trình vi-rút, chúng không làm thay đổi thuật toán của vi-rút nhưng gây khó khăn cho việc phát hiện chúng. (OneHalf - “bệnh dịch” cục bộ xảy ra thường xuyên).

  Virus vĩ mô– sử dụng khả năng của ngôn ngữ macro được tích hợp trong hệ thống xử lý dữ liệu (Word, Excel).

  "ngựa thành Troy" – cải trang thành một chương trình hữu ích hoặc thú vị, đồng thời thực hiện công việc phá hoại trong quá trình hoạt động (ví dụ: xóa FAT) hoặc thu thập thông tin trên máy tính không được tiết lộ. Họ không có tài sản tự sinh sản.

Bởi sự chính trực:

• Nguyên khối – chương trình virus - khối đơn, có thể được phát hiện sau khi bị nhiễm trùng.

  phân phối- Chương trình được chia thành nhiều phần. Những phần này chứa các hướng dẫn cho máy tính biết cách ghép chúng lại với nhau để tạo lại vi-rút.

Đọc thêm về phần mềm chống vi-rút.

Các chương trình chống vi-rút được phát triển để chống lại vi-rút. Về mặt y tế, các chương trình này có thể xác định (chẩn đoán), điều trị (tiêu diệt) vi-rút và tiêm chủng cho các chương trình “khỏe mạnh”.

Các loại chương trình chống virus:

Chương trình dò ​​tìm (máy quét) – được thiết kế để phát hiện các loại virus cụ thể. Dựa trên việc so sánh một chuỗi byte đặc trưng (cụ thể) ( chữ ký hoặc mặt nạ vi-rút) có trong phần thân của vi-rút, với các byte của chương trình đang được quét. Những chương trình này cần được cập nhật thường xuyên, bởi vì... chúng nhanh chóng trở nên lỗi thời và không thể phát hiện các loại virus mới. Nếu một chương trình không được máy dò phát hiện là bị nhiễm virus, điều này không có nghĩa là chương trình đó "khỏe mạnh". Nó có thể chứa virus không có trong cơ sở dữ liệu của máy dò.

Các chương trình bác sĩ (phages, chất khử trùng) – không chỉ tìm thấy các tệp bị nhiễm vi-rút mà còn xử lý chúng bằng cách xóa phần thân của chương trình vi-rút khỏi tệp. Polyphage – cho phép bạn điều trị một số lượng lớn virus. Các chương trình dò ​​tìm thực hiện đồng thời các chức năng của chương trình bác sĩ rất phổ biến. Ví dụ: AVP(tác giả E. Kaspersky), Hỗ trợ(D. Lozinsky), Bác sĩ Web(I. Danilov).

Chương trình kiểm toán – phân tích trạng thái hiện tại của các tệp và vùng đĩa hệ thống và so sánh nó với thông tin đã lưu trước đó trong một trong các tệp kiểm tra. Thao tác này sẽ kiểm tra trạng thái của Boot Sector, FAT, cũng như độ dài của tệp, thời gian tạo, thuộc tính, tổng kiểm tra(tổng modulo 2 của tất cả các byte của tệp). Một ví dụ về một chương trình như vậy là Adin f(D. Mostovoy).

Chương trình lọc (người canh gác, màn hình) – các chương trình thường trú thông báo cho người dùng về mọi nỗ lực của bất kỳ chương trình nào nhằm thực hiện các hành động đáng ngờ và người dùng đưa ra quyết định về việc cho phép hoặc cấm thực hiện các hành động này. Kiểm soát bộ lọc hoạt động sau đây: cập nhật các tập tin chương trình và vùng đĩa hệ thống; định dạng đĩa; vị trí thường trú của các chương trình trong RAM. Điển hình là chương trình Vsafe. Nó không có khả năng vô hiệu hóa virus; để làm được điều này, bạn cần sử dụng các thể thực khuẩn.

Chương trình tiêm chủng – họ viết các dấu hiệu của một loại vi-rút cụ thể vào chương trình tiêm chủng để vi-rút coi như nó đã bị nhiễm và do đó không tái lây nhiễm. Những chương trình này kém hiệu quả nhất và lỗi thời.

Danh sách các phần mềm diệt virus chất lượng.

1. A-Bình phương miễn phí

2. Avast! Chống virus miễn phí

3. AVG Antivirus miễn phí

4. Phần mềm diệt virus Comodo

5.Các yếu tố cần thiết về bảo mật của Microsoft

6. Diệt virus Nano

7. Avira AntiVir cá nhân

10. Phần mềm diệt virus Panda Cloud

Danh sách các loại virus phổ biến.

1.Sự diệt vong của tôi Thiệt hại nặng nề nhất cho đến ngày nay là virus MyDoom, loại virus đã gây thiệt hại lên tới 38 tỷ USD. Ngoài sức tàn phá nặng nề nhất, ảnh hưởng của nó còn lan rộng và nhanh chóng. Khi máy tính của người dùng bị nhiễm vi-rút, nó (vi-rút) sẽ cài đặt một chương trình đặc biệt trên máy tính và gửi các bản sao của chính nó đến tất cả các địa chỉ có thể tìm thấy trên máy tính của người dùng. Ngoài ra, virus còn có khả năng mở các chương trình ngẫu nhiên. Năm 2004, người ta ước tính rằng 25% tổng số emailđã bị nhiễm virus này.

2.Thật lớn Một loại virus nguy hiểm và có sức tàn phá khác là SoBig. Loại vi-rút này gây thiệt hại 37,1 tỷ USD vào năm 2003. Loại vi-rút lây lan nhanh này lây lan qua email dưới dạng thư rác và nếu mở ra sẽ có khả năng sao chép tệp, gửi chính nó cho người khác và gây ra tác hại lớn cho phần mềm và phần cứng.

Đây là một điều đặc biệt khác virus nguy hiểm, lây lan nhanh chóng qua email, trang web và tệp. Loại virus này, còn được gọi là sâu "I Love You", đã làm hỏng hơn 500 nghìn hệ thống vào năm 2000 và gây ra thiệt hại ước tính khoảng 15 tỷ USD, chỉ trong tuần đầu tiên, bản thân loại virus này đã có thể gây hại cho người dùng. được gửi tới mọi người trong danh sách liên lạc của chủ sở hữu máy tính. Loại virus này đã trở thành tổ tiên của những loại virus gắn liền với email.

4. Conficker Phần mềm độc hại này đã gây thiệt hại 9,1 tỷ USD trong năm 2007 và lây nhiễm hàng triệu máy tính trên khắp thế giới. Virus quét máy tính để tìm lỗ hổng, ngẫu nhiênđã tạo một danh sách các trang web được truy cập để lấy mã thực thi. Khi nhận được một tệp thực thi từ một trang web, sâu sẽ kiểm tra chữ ký số điện tử và nếu trùng khớp thì sẽ thực thi tệp đó. 5. Mã Đỏ Cho đến ngày nay nó là một trong những loại virus nổi tiếng nhất. Năm 2001, nó gây thiệt hại hơn 2 tỷ USD do có thể xâm nhập vào mạng máy tính và khai thác điểm yếu trong phần mềm Microsoft. Ngay khi virus lây nhiễm vào một máy tính, nó bắt đầu tích cực tìm kiếm các máy tính khác trong mạng để lây nhiễm.

Đây là một loại virus cực kỳ “trơn trượt” khiến người nhiễm bị lây nhiễm tài liệu của Microsoft Word qua Microsoft Outlook tới tất cả những người có trong sổ địa chỉ của người dùng. Những chữ cái trông giống như tin nhắn thường xuyên từ một người dùng Microsoft Outlook, nhưng thực ra đó là virus Melissa. Dấu hiệu cho thấy Melissa đã xâm nhập vào Outlook của bạn là khi các liên hệ của bạn nhận được tin nhắn từ email của họ có nội dung: “Đây là tài liệu bạn yêu cầu... Đừng cho bất kỳ ai xem nó”. Thông báo này kèm theo một tài liệu Word có chứa virus. Năm 1999, loại virus này gây thiệt hại 1,2 tỷ USD.

7.SirCam Sâu máy tính này đã gây thiệt hại hơn 1 tỷ USD cho người dùng vào năm 2001. Virus này xâm phạm thông tin bí mật, xóa các mục riêng lẻ hoặc điền vào các thông tin bí mật. nơi miễn phí, cho đến khi không còn chỗ để chứa bất cứ thứ gì khác.

8. SQL Slammer Đây là một chương trình độc hại đã ảnh hưởng đáng kể đến các ngân hàng và khiến tốc độ Internet giảm mạnh. Thiệt hại do loại virus này gây ra ước tính khoảng 750 triệu USD vào năm 2003. Nó ảnh hưởng đến khoảng 200 nghìn máy tính trên khắp thế giới.

Đây là một trong những loại virus phổ biến nhất trên Internet. Năm 2001, thiệt hại từ nó lên tới 635 triệu USD. tải chậm Các trang Internet và tốc độ lưu lượng truy cập thấp. Ngoài ra, virus còn có khả năng xâm nhập chương trình thư người dùng và gửi tập tin cho mọi người trong sổ địa chỉ.

10. Sasser Loại virus này đã gây ra nhiều khó khăn trong năm 2004, gây thiệt hại 500 triệu USD, làm gián đoạn hoạt động của các hãng hàng không, chặn thẻ điện tử. Người tạo ra Sasser hóa ra là một thiếu niên và nhanh chóng bị phát hiện khi một trong những “người bạn” của anh ta giao nộp anh ta để nhận phần thưởng đã hứa từ Microsoft trị giá 250 nghìn đô la.

Và tóm lại, virus rất nguy hiểm đối với người dùng ngày nay. Chúng mang theo rất nhiều rắc rối và có thể làm hỏng máy tính của bạn hoặc đánh cắp dữ liệu quan trọng. Mỗi người dùng được yêu cầu mua một phần mềm chống vi-rút cho mục đích bảo vệ nhằm bảo vệ máy tính của họ khỏi vi-rút. Loại virus đầu tiên xuất hiện vào những năm 90 và chúng vẫn tồn tại và mang lại rất nhiều rắc rối cho người dùng. Virus rất nguy hiểm cho máy tính ngay cả ngày nay. Vì vậy, tôi tin rằng mọi PC nên có một phần mềm chống vi-rút để bảo vệ PC khỏi phần mềm độc hại.