اسم النوع من سمات الفيروس الفيروس. أنواع فيروسات الكمبيوتر وأسباب خطورتها

أقسام الموقع

اختيار المحرر:

دعاية

بيت - خدمة

أنواع الفيروسات

اسم المعلمة	معنى
موضوع المقال:	أنواع الفيروسات
الموضوع (الفئة الموضوعية)	أجهزة الكمبيوتر

ما هي الفيروسات، تاريخ الخلق

الفيروسات

اقترح جون فون نيومان طريقة لإنشاء آليات ذاتية التكرار في عام 1951

يُعزى ظهور فيروسات الكمبيوتر الأولى خطأً إلى السبعينيات وحتى الستينيات. يُشار إلى برامج مثل Animal وCreeper وCookie Monster عادةً باسم "الفيروسات" (الأول والأخير في المصطلحات الحديثة هما الديدان، ولم يكن CREEPER فيروسًا ولا دودة، بل كان برنامجًا ذاتي الحركة، أي عندما يظهر فيروس جديد تم تشغيل نسخة من CREEPER على جهاز كمبيوتر بعيد، وتوقفت النسخة السابقة عن العمل.)

تنتشر الفيروسات عن طريق نسخ أجسامها وضمان تنفيذها لاحقًا: إدخال نفسها في التعليمات البرمجية القابلة للتنفيذ للبرامج الأخرى، واستبدال البرامج الأخرى، وتسجيل نفسها في التشغيل التلقائي، والمزيد. لا يقتصر الفيروس أو الناقل الخاص به على البرامج التي تحتوي على رمز الجهاز فحسب، بل يشمل أيضًا أي معلومات تحتوي على أوامر يتم تنفيذها تلقائيًا - على سبيل المثال، الملفات الدفعية ومستندات Microsoft Word وExcel التي تحتوي على وحدات ماكرو. في الوقت نفسه، لاختراق جهاز كمبيوتر، يمكن للفيروس استخدام نقاط الضعف في البرامج الشائعة (على سبيل المثال، Adobe Flash وInternet Explorer وOutlook)، والتي يقوم الموزعون بحقنها في البيانات العادية (الصور والنصوص وما إلى ذلك) جنبًا إلى جنب مع استغلال استغلال الثغرة الأمنية.

عندما تتكاثر الديدان، فإنها تقوم ببساطة بنسخ التعليمات البرمجية الخاصة بها إلى بعض أدلة القرص على أمل أن يقوم المستخدم بتشغيل هذه النسخ الجديدة يومًا ما.

أول الفيروسات المعروفة هي Virus 1,2,3 وElk Cloner لأجهزة Apple II PC. كلا الفيروسين متشابهان جدًا في الوظيفة وظهرا بشكل مستقل عن بعضهما البعض خلال فترة زمنية قصيرة في عام 1981.

تم تسمية فيروس الكمبيوتر قياسًا على الفيروسات البيولوجية نظرًا لآلية انتشار مماثلة.

ويبدو أن كلمة "فيروس" استُخدمت لأول مرة فيما يتعلق ببرنامج غريغوري بنفورد في قصة الخيال العلمي "الرجل الندب" التي نشرت في مجلة فينتشر في مايو 1970.

أول مضاد فيروسات كان في عام 1984.

حسب موطن الفيروس

‣‣‣ فيروسات الملفات

‣‣‣ فيروسات التمهيد

‣‣‣ فيروسات ماكرو الشبكة المدمجة

‣‣‣ فيروسات المستندات

‣‣‣ فيروسات الشبكة

‣‣‣ ملف التمهيد

حسب طريقة إصابة الموائل:

الفيروس المقيم- عندما يصاب جهاز كمبيوتر، فإنه يترك الجزء المقيم فيه في ذاكرة الوصول العشوائي (RAM)، والذي يعترض بعد ذلك وصول نظام التشغيل إلى كائنات العدوى ويتم تضمينه فيها.

الفيروسات غير المقيمةلا تصيب ذاكرة الكمبيوتر وتكون نشطة لفترة محدودة.

حسب القدرات التدميرية:

غير ضار (لا يؤثر على تشغيل الكمبيوتر، باستثناء تقليل الذاكرة الخالية بسبب توزيعها)
غير ضار (يقلل من مساحة القرص الحرة)
خطير (يؤدي إلى الفشل)
خطير جدًا (تلف أجزاء من الآليات، فقدان البرامج، تدمير البيانات)

وفقا لخصائص خوارزمية الفيروس .

الفيروسات المصاحبة هي فيروسات لا تقوم بتغيير الملفات.

الفيروسات الدودية هي فيروسات تنتشر على شبكة الكمبيوتر، وهي، مثل الفيروسات المصاحبة، لا تغير الملفات أو القطاعات الموجودة على الأقراص. فهي تخترق ذاكرة الكمبيوتر من شبكة الكمبيوتر، وتحسب عناوين الشبكة لأجهزة الكمبيوتر الأخرى وترسل نسخًا منها إلى هذه العناوين. تقوم هذه الفيروسات أحيانًا بإنشاء ملفات عمل على أقراص النظام، ولكنها قد لا تتمكن من الوصول إلى موارد الكمبيوتر على الإطلاق (باستثناء ذاكرة الوصول العشوائي).

فيروسات متعددة الأشكال- الفيروسات التي تقوم بتعديل التعليمات البرمجية الخاصة بها في البرامج المصابة بحيث لا تتطابق نسختان من نفس الفيروس في بت واحد. ويبدو أن هذا النوع من فيروسات الكمبيوتر هو الأخطر اليوم. لا تقوم مثل هذه الفيروسات بتشفير أكوادها البرمجية باستخدام مسارات تشفير مختلفة فحسب، بل تحتوي أيضًا على أكواد إنشاء التشفير وفك التشفير، وهو ما يميزها عن فيروسات التشفير العادية، التي يمكنها أيضًا تشفير أجزاء من أكوادها البرمجية، ولكنها تحتوي في الوقت نفسه على كود تشفير وفك تشفير ثابت. .

الفيروسات الخفية - إنهم يخدعون برامج مكافحة الفيروسات، ونتيجة لذلك، يظلون غير مكتشفين. ومع ذلك، هناك طريقة بسيطة لتعطيل آلية التمويه للفيروسات الخفية. يكفي تشغيل الكمبيوتر من قرص مرن للنظام غير مصاب، وعلى الفور، دون تشغيل برامج أخرى من قرص الكمبيوتر (والذي قد يكون مصابًا أيضًا)، قم بفحص الكمبيوتر باستخدام برنامج مكافحة الفيروسات. عند تحميله من قرص مرن للنظام، لا يستطيع الفيروس التحكم وتثبيت وحدة مقيمة في ذاكرة الوصول العشوائي (RAM) تنفذ آلية التخفي. سيتمكن برنامج مكافحة الفيروسات من قراءة المعلومات المكتوبة فعليًا على القرص وسيكتشف الفيروس بسهولة.

أحصنة طروادة (خاصة بالنسبة لدان =)) - هذا برنامج يحتوي على بعض الوظائف التدميرية، والتي يتم تنشيطها عند حدوث حالة تشغيل معينة. عادةً ما يتم إخفاء هذه البرامج في شكل بعض الأدوات المساعدة المفيدة. "أحصنة طروادة" هي برامج تقوم، بالإضافة إلى الوظائف الموضحة في الوثائق، بتنفيذ بعض الوظائف الأخرى المرتبطة بالانتهاكات الأمنية والإجراءات المدمرة. كانت هناك حالات تم فيها إنشاء مثل هذه البرامج لتسهيل انتشار الفيروسات. يتم نشر قوائم هذه البرامج على نطاق واسع في الصحافة الأجنبية. وعادة ما تكون متخفية في صورة برامج ألعاب أو ترفيه وتسبب ضررًا مصحوبًا بالصور أو الموسيقى الجميلة.

الديدان - الفيروسات التي تنتشر عبر الشبكات العالمية، وتصيب الأنظمة بأكملها بدلاً من البرامج الفردية. وهذا هو أخطر أنواع الفيروسات، حيث أن أهداف الهجوم في هذه الحالة هي أنظمة المعلومات على المستوى الوطني. ومع ظهور شبكة الإنترنت العالمية، أصبح هذا النوع من الاختراقات الأمنية يشكل التهديد الأكبر، حيث يمكن أن يتعرض لها أي من أجهزة الكمبيوتر المتصلة بهذه الشبكة والبالغ عددها 40 مليون جهاز في أي وقت.

أنواع الفيروسات - المفهوم والأنواع. تصنيف ومميزات فئة "أصناف الفيروسات" 2017، 2018.

قسم التعليم في إدارة منطقة أوردزونيكيدزه

فيروسات الكمبيوتر

ملخص عن علوم الكمبيوتر

المنفذ:

نوفيكوف الكسندر

9 فئة "ب".

مشرف:

نازيموفا إيلينا أناتوليفنا

مدرس تكنولوجيا المعلومات

ايكاترينبرج 1999

ما هو فيروس الكمبيوتر؟

فيروس الكمبيوتر هو برنامج صغير مكتوب خصيصًا يمكنه "نسب" نفسه إلى برامج أخرى وتنفيذ العديد من الإجراءات غير المرغوب فيها على الكمبيوتر. البرنامج الذي يحتوي على فيروس يسمى "مصاب". عندما يبدأ مثل هذا البرنامج في العمل، يتولى الفيروس السيطرة أولاً. يعثر الفيروس على برامج أخرى و"يصيبها"، ويقوم أيضًا ببعض الإجراءات الضارة (على سبيل المثال، يفسد الملفات أو جدول تخصيص الملفات على القرص، أو "يسد" ذاكرة الوصول العشوائي، وما إلى ذلك). الفيروس هو برنامج لديه القدرة على إعادة إنتاج نفسه. هذه القدرة هي الخاصية الوحيدة المتأصلة في جميع أنواع الفيروسات. ولا يمكن للفيروس أن يتواجد في "عزلة تامة". هذا يعني أنه من المستحيل اليوم تخيل فيروس لا يستخدم بطريقة أو بأخرى كود البرامج الأخرى، أو معلومات حول بنية الملف، أو حتى أسماء البرامج الأخرى فقط. والسبب في ذلك واضح تمامًا: يجب أن يوفر الفيروس بطريقة أو بأخرى

نقل السيطرة لنفسك.

الأنواع الرئيسية لفيروسات الكمبيوتر

يوجد نظام رسمي تمامًا لتصنيف فيروسات الكمبيوتر وتسميتها بطريقة تتجنب الموقف الذي يكون فيه لنفس الفيروس أسماء مختلفة بشكل لا يمكن التعرف عليه في تصنيف مطوري برامج مكافحة الفيروسات المختلفين. وعلى الرغم من ذلك، لا يزال من المستحيل القول بوجود توحيد كامل لأسماء الفيروسات وخصائصها. يتم تحديد ذلك إلى حد كبير من خلال حقيقة أنه بحلول الوقت الذي تمت فيه صياغة بعض "قواعد اللعبة"، كانت أدوات مكافحة الفيروسات موجودة بالفعل وتعمل في نظام التدوين الخاص بها. سيتطلب التوحيد العام جهدًا كبيرًا وتعديلًا للبرامج والوثائق. وفي عدد من الحالات تم ذلك. سننطلق من حقيقة أن المستخدم العادي لا يحتاج إلى الخوض في جميع تعقيدات عمل الفيروس: كائنات الهجوم، وطرق العدوى، وميزات المظاهر، وما إلى ذلك. ولكن من المستحسن معرفة أنواع الفيروسات هي، لفهم المخطط العام لعملهم.

من بين مجموعة متنوعة من الفيروسات، يمكن تمييز المجموعات الرئيسية التالية:

– فيروسات التمهيد; هذا هو الاسم الذي يطلق على الفيروسات التي تصيب قطاعات التمهيد للأقراص المرنة ومحركات الأقراص الصلبة؛

– فيروسات الملفات؛وفي أبسط الحالات، تصيب هذه الفيروسات الملفات القابلة للتنفيذ؛ إذا كان كل شيء أكثر أو أقل وضوحا مع فيروسات التمهيد، فإن فيروسات الملفات هي مفهوم أقل تحديدا بكثير؛ يكفي، على سبيل المثال، أن نقول إن فيروس الملف قد لا يقوم بتعديل الملف على الإطلاق (فيروسات الأقمار الصناعية وفيروسات عائلة Dir-II)؛

– فيروسات ملفات التمهيد؛تتمتع هذه الفيروسات بالقدرة على إصابة كل من رمز قطاع التمهيد ورمز الملف. لا يوجد الكثير من هذه الفيروسات، ولكن من بينها أمثلة شريرة للغاية (على سبيل المثال، فيروس OneHalf الشهير).

الفيروسات مكتوبة بما يسمى لغات الماكرو، تعتمد بشكل رسمي على الملفات، ولكنها لا تصيب الملفات القابلة للتنفيذ، ولكن ملفات البياناتومع ذلك، فقد تم تصميمها بحيث يمكن إصابتها بالعدوى - وهذا موجود بالفعل في ضمير ناشري البرامج.

الملفات التالفة والمصابة

فيروس الكمبيوتر يمكن أن يفسد، أي. تغيير أي ملف على الأقراص المتوفرة على الكمبيوتر بشكل مناسب. لكن بعض أنواع الملفات يمكن أن تصاب بفيروس. وهذا يعني أن الفيروس يمكنه "حقن" نفسه في هذه الملفات، أي. قم بتغييرها بحيث تحتوي على فيروس يمكن أن يبدأ العمل في ظل ظروف معينة.

تجدر الإشارة إلى أن نصوص البرامج والمستندات وملفات معلومات قواعد البيانات وجداول معالج الجداول وغيرها من الملفات المشابهة لا يمكن أن تصاب بفيروس، بل يمكنه فقط إتلافها.

يمكن أن تصاب الأنواع التالية من الملفات بالفيروس:

1. الملفات القابلة للتنفيذ،أولئك. الملفات ذات امتدادات الأسماء .COM و.EXE، بالإضافة إلى ملفات التراكب التي يتم تحميلها عند تنفيذ برامج أخرى. يبدأ الفيروس الموجود في الملفات التنفيذية المصابة عمله عند تشغيل البرنامج الموجود فيه. الأخطر هي فيروسات الملفات التي تظل مقيمة في الذاكرة بعد إطلاقها - حيث يمكنها إصابة الملفات والتسبب في ضرر حتى إعادة التشغيل التالية للكمبيوتر. وإذا أصابوا أي برنامج تم إطلاقه من ملف AUTOEXEC.BAT أو CONFIG.SYS، فسيبدأ الفيروس في العمل مرة أخرى عند إعادة التشغيل من القرص الصلب.

2. محمل نظام التشغيل والإقلاع الرئيسي

تسجيل القرص الصلب.تتأثر هذه المناطق بفيروس التمهيد.

يبدأ مثل هذا الفيروس عمله عندما يقوم الكمبيوتر بالتمهيد ويصبح مقيمًا، أي عند تشغيله. يتم تخزينها بشكل دائم في ذاكرة الكمبيوتر. آلية التوزيع هي إصابة سجلات التمهيد للأقراص المرنة التي يتم إدخالها في الكمبيوتر. غالبًا ما تتكون هذه الفيروسات من جزأين، نظرًا لأن سجل التمهيد وسجل التمهيد الرئيسي صغير الحجم ومن الصعب استيعاب برنامج الفيروس بأكمله. يقع جزء الفيروس الذي لا يتناسب معها في جزء آخر من القرص، على سبيل المثال، في نهاية الدليل الجذر للقرص أو في كتلة في منطقة بيانات القرص (عادةً ما يكون مثل هذا تم إعلان أن المجموعة معيبة بحيث لا تتم الكتابة فوق برنامج الفيروس عند كتابة البيانات على القرص).

3. برامج تشغيل الأجهزة،أولئك. الملفات المحددة في تطبيق الجهاز لملف CONFIG.SYS. يبدأ الفيروس الموجود فيها عمله في كل مرة يتم فيها الوصول إلى الجهاز المقابل. تعد الفيروسات التي تصيب برامج تشغيل الأجهزة نادرة جدًا، حيث نادرًا ما تتم إعادة كتابة برامج التشغيل من كمبيوتر إلى آخر. الأمر نفسه ينطبق على ملفات نظام DOS - فالإصابة بها ممكنة أيضًا من الناحية النظرية، ولكنها غير فعالة للتوزيع.

كقاعدة عامة، يمكن لكل نوع محدد من الفيروسات إصابة نوع واحد أو نوعين فقط من الملفات. الفيروسات الأكثر شيوعًا هي تلك التي تصيب الملفات القابلة للتنفيذ. تصيب بعض الفيروسات ملفات .COM فقط، والبعض الآخر يصيب ملفات .EXE فقط، ومعظمها يصيب كليهما. ثاني أكثر الفيروسات شيوعًا هو فيروسات التمهيد. تصيب بعض الفيروسات الملفات ومناطق التمهيد على الأقراص. تعد الفيروسات التي تصيب برامج تشغيل الأجهزة نادرة للغاية، وعادةً ما يمكن لهذه الفيروسات أن تصيب الملفات القابلة للتنفيذ.

الفيروسات التي تغير نظام الملفات

في الآونة الأخيرة، انتشر على نطاق واسع نوع جديد من الفيروسات - الفيروسات التي تغير نظام الملفات على القرص. تسمى هذه الفيروسات عادةً باسم Dir. تخفي هذه الفيروسات جسمها في جزء ما من القرص (عادةً المجموعة الأخيرة من القرص) وتضع علامة عليه في جدول تخصيص الملفات (FAT) باعتباره نهاية الملف. بالنسبة لجميع ملفات .COM و.EXE، يتم استبدال المؤشرات إلى القسم الأول من الملف الموجود في عناصر الدليل المقابلة برابط إلى قسم القرص الذي يحتوي على الفيروس، ويتم إخفاء المؤشر الصحيح، المشفر، في ملف الجزء غير المستخدم من عنصر الدليل. لذلك، عند تشغيل أي برنامج، يتم تحميل الفيروس إلى الذاكرة، وبعد ذلك يظل مقيمًا في الذاكرة، ويتصل ببرامج DOS لمعالجة الملفات الموجودة على القرص، و

يعطي الروابط الصحيحة لجميع الاستدعاءات لعناصر الدليل.

وبالتالي، عند تشغيل الفيروس، يبدو نظام الملفات الموجود على القرص طبيعيًا تمامًا. إن النظرة السطحية إلى القرص المصاب الموجود على جهاز كمبيوتر "نظيف" لا تلاحظ أي شيء غريب. ما لم تحاول قراءة أو نسخ ملفات البرنامج من قرص مرن مصاب، فسيتم قراءة أو نسخ 512 أو 1024 بايت فقط، حتى لو كان الملف أطول بكثير. وعندما تقوم بتشغيل أي برنامج قابل للتنفيذ من قرص مصاب بمثل هذا الفيروس، فإن هذا القرص، كما لو كان بالسحر، يبدأ في العمل (ليس من المستغرب، لأن الكمبيوتر يصاب بعد ذلك).

عند التحليل على جهاز كمبيوتر "نظيف" باستخدام برامج ChkDsk أو NDD، يبدو أن نظام الملفات الخاص بالقرص المصاب بفيروس Dir تالف تمامًا. وبالتالي، ينتج برنامج ChkDsk مجموعة من الرسائل حول تقاطعات الملفات ("... المرتبطة عبر المجموعة ...") وحول سلاسل المجموعات المفقودة ("... تم العثور على مجموعات مفقودة في ... سلاسل"). لا يجب عليك تصحيح هذه الأخطاء باستخدام برامج ChkDsk أو NDD - فهذا سيؤدي إلى تلف القرص بشكل ميؤوس منه. لإصلاح الأقراص المصابة بهذه الفيروسات، يجب عليك استخدام برامج مكافحة الفيروسات الخاصة فقط (على سبيل المثال، أحدث إصدارات Aidstest).

"غير مرئية" و

الفيروسات المعدلة ذاتيا

لمنع اكتشافها، تستخدم بعض الفيروسات تقنيات تمويه ماكرة إلى حد ما. سنتحدث عن اثنين منها: الفيروسات "غير المرئية" والفيروسات المعدلة ذاتيا.

الفيروسات "غير المرئية".تمنع العديد من الفيروسات المقيمة (فيروسات الملفات والتمهيد) اكتشافها عن طريق اعتراض استدعاءات DOS (وبالتالي برامج التطبيقات) للملفات المصابة ومناطق القرص وعرضها في شكلها الأصلي (غير المصاب). بالطبع، يتم ملاحظة هذا التأثير فقط على جهاز كمبيوتر مصاب - على جهاز كمبيوتر "نظيف"، يمكن بسهولة اكتشاف التغييرات في الملفات ومناطق التمهيد على القرص.

لاحظ أن بعض برامج مكافحة الفيروسات يمكنها اكتشاف الفيروسات "غير المرئية" حتى على جهاز كمبيوتر مصاب. وبالتالي فإن برنامج ADinf من شركة Dialog-Nauka يقرأ القرص لهذا الغرض دون استخدام خدمات DOS، ويقوم برنامج AVSP من شركة Dialog-MSU بـ "تعطيله" لفترة من الوقت

فحص الفيروسات (الطريقة الأخيرة لا تعمل دائمًا).

لمكافحة الفيروسات، تستخدم بعض برامج مكافحة الفيروسات قدرة فيروسات الملفات "غير المرئية" على "علاج" الملفات المصابة. يقرأون (أثناء تشغيل الفيروس) المعلومات من الملفات المصابة ويكتبونها على القرص في ملف أو ملفات حيث يتم تخزين هذه المعلومات في شكل غير مشوه. وبعد ذلك، بعد التمهيد من قرص مرن "نظيف"، تتم استعادة الملفات القابلة للتنفيذ إلى شكلها الأصلي.

الفيروسات ذاتية التعديل.هناك طريقة أخرى تستخدمها الفيروسات لتجنب اكتشافها وهي تعديل أجسامها. تقوم العديد من الفيروسات بتخزين معظم جسمها في شكل مشفر، بحيث لا يمكن استخدام أدوات التفكيك لفهم آلية عملها. تستخدم الفيروسات ذاتية التعديل هذه التقنية وغالبًا ما تغير معلمات هذا التشفير، وبالإضافة إلى ذلك، فإنها تغير جزء البداية الخاص بها، والذي يعمل على فك تشفير أوامر الفيروس المتبقية. وبالتالي، لا توجد في جسم مثل هذا الفيروس سلسلة ثابتة واحدة من البايتات التي يمكن من خلالها التعرف على الفيروس. وهذا، بطبيعة الحال، يجعل من الصعب على برامج الكشف العثور على مثل هذه الفيروسات.

ومع ذلك، لا تزال برامج الكشف تتعلم كيف تلتقط الفيروسات "البسيطة" التي تعدل نفسها ذاتيًا. في هذه الفيروسات، تتعلق الاختلافات في آلية فك تشفير الجزء المشفر من الفيروس فقط باستخدام سجلات كمبيوتر معينة، وثوابت التشفير، وإضافة أوامر "غير هامة"، وما إلى ذلك. وقد تكيفت برامج الكاشف لكشف الأوامر في الجزء الأول من الفيروس، على الرغم من إخفاء التغييرات فيها. ولكن في الآونة الأخيرة، ظهرت فيروسات ذات آليات تعديل ذاتية معقدة للغاية. فيها، يتم إنشاء الجزء الأولي من الفيروس تلقائيًا باستخدام خوارزميات معقدة للغاية: يتم إرسال كل تعليمات مهمة لبرنامج فك التشفير بواسطة واحد من مئات الآلاف من الخيارات الممكنة، بينما يتم استخدام أكثر من نصف جميع أوامر Intel-8088. إن مشكلة التعرف على مثل هذه الفيروسات معقدة للغاية، ولم تتلق بعد حلاً موثوقًا به تمامًا. ومع ذلك، تحتوي بعض برامج مكافحة الفيروسات على أدوات للعثور على مثل هذه الفيروسات، ويمكن لبرنامج Dr. الويب - أيضًا طرق إرشادية لاكتشاف الأقسام "المشبوهة" من كود البرنامج، وهي نموذجية للفيروسات المعدلة ذاتيًا.

الطرق الأساسية للحماية من فيروسات الكمبيوتر

للحماية من الفيروسات يمكنك استخدام:

- أدوات حماية المعلومات العامة، والتي تعتبر مفيدة أيضًا كتأمين ضد الأضرار المادية التي تلحق بالأقراص أو البرامج المعطلة أو إجراءات المستخدم الخاطئة؛

- التدابير الوقائية لتقليل احتمالية الإصابة بالفيروس؛

برامج متخصصة للحماية من الفيروسات.

تعد أدوات أمن المعلومات العامة مفيدة لأكثر من مجرد الحماية من الفيروسات. هناك نوعان رئيسيان من هذه الأموال:

نسخ المعلومات - إنشاء نسخ من الملفات ومناطق قرص النظام؛

صلاحية التحكم صلاحية الدخول يمنع الاستخدام غير المصرح به للمعلومات، وعلى وجه الخصوص، الحماية من التغييرات في البرامج والبيانات بواسطة الفيروسات والبرامج المعطلة وإجراءات المستخدم الخاطئة.

على الرغم من أهمية التدابير العامة لأمن المعلومات للحماية من الفيروسات، إلا أنها لا تزال غير كافية. ومن الضروري أيضًا استخدام البرامج المتخصصة للحماية من الفيروسات. يمكن تقسيم هذه البرامج إلى عدة أنواع: أجهزة الكشف، والأطباء (العاثيات)، والمدققين (برامج مراقبة التغييرات في الملفات ومناطق النظام على الأقراص)، ومدققي الطبيب، والمرشحات (البرامج المقيمة للحماية من الفيروسات) واللقاحات (المحصنات). دعونا نعطي تعريفات موجزة لهذه المفاهيم، ثم نتناولها بالتفصيل.

برامج كشف تسمح لك باكتشاف الملفات المصابة بأحد الفيروسات العديدة المعروفة.

برامج دكتور ، أو العاثيات ، "علاج" البرامج أو الأقراص المصابة عن طريق "قضم" جسم الفيروس من البرامج المصابة، أي. إعادة البرنامج إلى الحالة التي كان عليها قبل الإصابة بالفيروس.

برامج المدقق أولاً، يتذكرون معلومات حول حالة البرامج ومناطق نظام الأقراص، ثم يقارنون حالتها بالحالة الأصلية. إذا تم الكشف عن أي اختلافات، يتم إخطار المستخدم.

الأطباء المفتشين - هؤلاء هم الهجينة من المراجعين والأطباء، أي. البرامج التي لا تكتشف التغييرات في الملفات ومناطق نظام الأقراص فحسب، بل يمكنها أيضًا إعادتها تلقائيًا إلى حالتها الأصلية في حالة حدوث تغييرات.

برامج التصفية توجد هذه البرامج في ذاكرة الوصول العشوائي (RAM) للكمبيوتر وتقوم باعتراض تلك المكالمات إلى نظام التشغيل التي تستخدمها الفيروسات لإعادة إنتاجها وإحداث الضرر بها، وإبلاغ المستخدم بها.

برامج اللقاحات أو التحصينات ، تعديل البرامج والأقراص بحيث لا يؤثر ذلك على عمل البرامج، ولكن الفيروس الذي يتم التطعيم ضده يعتبر هذه البرامج أو الأقراص مصابة بالفعل. هذه البرامج غير فعالة للغاية ولا يتم النظر فيها أكثر.

برامج الكاشف والأطباء

في معظم الحالات، يمكنك العثور على برامج كاشفة تم تطويرها بالفعل لاكتشاف الفيروس الذي أصاب جهاز الكمبيوتر الخاص بك. تتحقق هذه البرامج مما إذا كانت الملفات الموجودة على محرك الأقراص المحدد من قبل المستخدم تحتوي على مجموعة من وحدات البايت الخاصة بفيروس معين. عند اكتشافه في أي ملف، يتم عرض الرسالة المقابلة على الشاشة. تحتوي العديد من أجهزة الكشف على أوضاع لمعالجة الملفات المصابة أو تدميرها.

ويجب التأكيد على أن برامج الكاشف يمكنها فقط اكتشاف الفيروسات "المعروفة" لها. يتيح لك برنامج المسح الضوئي من McAfee Associates وD.N. Lozinsky's Aidstest اكتشاف حوالي 1000 فيروس، ولكن هناك أكثر من خمسة آلاف في المجموع! يمكن تكوين بعض برامج الكشف، على سبيل المثال Norton AntiVirus أو AVSP من Dialog-MGU، لأنواع جديدة من الفيروسات، فهي تحتاج فقط إلى تحديد مجموعات البايت المتأصلة في هذه الفيروسات. ومع ذلك، فمن المستحيل تطوير برنامج يمكنه اكتشاف أي فيروس غير معروف سابقًا.

وبالتالي، فإن حقيقة عدم التعرف على برنامج ما من قبل أجهزة الكشف على أنه مصاب لا تعني أنه سليم - فقد يحتوي على بعض الفيروسات الجديدة أو نسخة معدلة قليلاً من فيروس قديم، غير معروف لبرامج الكاشف.

برامج المدقق

برامج التدقيق لديها مرحلتين من العمل. أولاً، يتذكرون معلومات حول حالة البرامج ومناطق نظام الأقراص (قطاع التمهيد والقطاع الذي يحتوي على جدول تقسيم القرص الصلب). من المفترض أن البرامج ومناطق قرص النظام غير مصابة في هذه اللحظة. بعد ذلك، باستخدام برنامج المدقق، يمكنك مقارنة حالة البرامج ومناطق قرص النظام بالحالة الأصلية في أي وقت. حول التي تم تحديدها

يتم الإبلاغ عن التناقضات للمستخدم.

يقوم العديد من المستخدمين بتضمين أمر تشغيل برنامج التدقيق في الملف الدفعي AUTOEXEC.BAT بحيث يتم التحقق من حالة البرامج والأقراص في كل مرة يتم فيها تشغيل نظام التشغيل. يتيح لك ذلك اكتشاف الإصابة بفيروسات الكمبيوتر عندما لا تسبب ضررًا كبيرًا بعد. علاوة على ذلك، سيتمكن برنامج التدقيق نفسه من العثور على الملفات التي تضررت بسبب الفيروس.

برامج التصفية

أحد أسباب ظهور ظاهرة مثل فيروس الكمبيوتر هو عدم وجود وسائل فعالة في نظام التشغيل MS DOS لحماية المعلومات من الوصول غير المصرح به. بسبب نقص وسائل الحماية، يمكن لفيروسات الكمبيوتر تغيير البرامج دون أن يلاحظها أحد ومع الإفلات من العقاب، وجداول تخصيص الملفات الفاسدة، وما إلى ذلك.

وفي هذا الصدد، قامت العديد من الشركات والمبرمجين بتطوير برامج تصفية، أو برامج مقيمة، للحماية من الفيروسات، والتي تعوض إلى حد ما عن هذا النقص في DOS. توجد هذه البرامج في ذاكرة الوصول العشوائي (RAM) للكمبيوتر و"تعترض" تلك المكالمات إلى نظام التشغيل التي تستخدمها الفيروسات لإعادة إنتاجها وإحداث الضرر. مثل هذه الإجراءات "المشبوهة" هي، على وجه الخصوص، تغيير ملفات ‎.COM و.EXE، وإزالة سمة "القراءة فقط" من ملف، والكتابة مباشرة على القرص (الكتابة إلى عنوان مطلق)، وتهيئة القرص، وتثبيت "المقيم" (الموجود بشكل دائم في ذاكرة الوصول العشوائي) البرامج.

في كل مرة يُطلب فيها إجراء غير مريب، يتم عرض رسالة على شاشة الكمبيوتر تشير إلى الإجراء المطلوب والبرنامج الذي يريد تنفيذه. يمكنك إما السماح بهذا الإجراء أو رفضه (الشكل 1).

بعض برامج التصفية لا "تكتشف" الإجراءات المشبوهة، ولكنها تتحقق من البرامج التي تستدعي تنفيذها بحثًا عن الفيروسات. ومن المفهوم أن هذا يؤدي إلى إبطاء جهاز الكمبيوتر.

لا ينبغي المبالغة في تقدير درجة الحماية التي توفرها برامج التصفية، حيث أن العديد من الفيروسات، لكي تتكاثر وتسبب الضرر، تصل إلى برامج نظام التشغيل مباشرة، دون استخدام الطريقة القياسية لاستدعاء هذه البرامج من خلال المقاطعات، والبرامج المقيمة تعترض هذه المقاطعات فقط للحماية ضد الفيروسات. بالإضافة إلى ذلك، لا تساعد برامج التصفية في منع إصابة القرص الصلب بالفيروسات التي تنتشر عبر قطاع التمهيد، حيث تحدث هذه العدوى عند تحميل DOS، أي. قبل تشغيل أي برامج أو تثبيت برامج التشغيل.

ومع ذلك، فإن مزايا استخدام برامج التصفية مهمة للغاية - فهي تسمح لك باكتشاف العديد من الفيروسات في مرحلة مبكرة جدًا، عندما لا يكون لدى الفيروس الوقت الكافي للتكاثر وإفساد أي شيء. بهذه الطريقة يمكنك تقليل الخسائر الناجمة عن الفيروس إلى الحد الأدنى.

ما يمكنهم وما لا يمكنهم فعله

فيروسات الكمبيوتر

بسبب الجهل بآلية عمل فيروسات الكمبيوتر، وكذلك تحت تأثير الشائعات المختلفة والمنشورات غير الكفؤة في الصحافة، غالبا ما يتم إنشاء مجمع غريب من الفيروسات، ما يسمى. "رهاب الفيروسات". هذا المجمع له مظهران.

1. الميل إلى إرجاع أي تلف في البيانات أو ظاهرة غير عادية في جهاز الكمبيوتر إلى الفيروسات. على سبيل المثال، لا يمكن تهيئة القرص المرن؛ بالنسبة لـ "فوبيا الفيروسات"، فإن هذا ليس عيبًا محتملاً في القرص المرن أو محرك الأقراص، ولكنه تأثير فيروس. إذا ظهرت كتلة تالفة على القرص الصلب، فمن المؤكد أن الفيروس هو المسؤول عن ذلك أيضًا. في الواقع، غالبًا ما تكون الظواهر غير العادية على جهاز الكمبيوتر ناتجة عن أخطاء المستخدم أو أخطاء البرنامج أو عيوب الأجهزة.

2. الأفكار المبالغ فيها حول قدرات الفيروسات. يعتقد بعض الأشخاص، على سبيل المثال، أنه يكفي إدخال قرص مرن مصاب في محرك الأقراص حتى يصاب الكمبيوتر بفيروس. ويعتقد أيضًا على نطاق واسع أنه لأجهزة الكمبيوتر المتصلة

في شبكة، أو حتى مجرد الوقوف في نفس الغرفة، فإن إصابة أحد أجهزة الكمبيوتر ستؤدي بالتأكيد على الفور إلى إصابة بقية أجهزة الكمبيوتر.

أفضل علاج لرهاب الفيروسات هو معرفة كيفية عمل الفيروسات، وما يمكنها فعله وما لا يمكنها فعله. الفيروسات هي برامج عادية ولا يمكنها القيام بأي أعمال خارقة للطبيعة.

لكي يصاب جهاز الكمبيوتر بفيروس، يجب تنفيذ برنامج يحتوي على الفيروس عليه مرة واحدة على الأقل. ولذلك فإن الإصابة الأولية لجهاز الكمبيوتر بفيروس يمكن أن تحدث في إحدى الحالات التالية:

– تم تنفيذ برنامج مصاب من النوع .COM أو .EXE أو وحدة برنامج تراكب مصابة على الكمبيوتر؛

- تم تمهيد الكمبيوتر من قرص مرن يحتوي على قطاع تمهيد مصاب؛

تم تثبيت نظام تشغيل مصاب أو برنامج تشغيل جهاز مصاب على الكمبيوتر؛

ويترتب على ذلك أنه لا يوجد سبب للخوف من إصابة جهاز الكمبيوتر الخاص بك بفيروس إذا:

يتم نسخ نصوص البرامج والمستندات وملفات المعلومات الخاصة بقواعد البيانات أو معالجات الجداول وما إلى ذلك على الكمبيوتر. هذه الملفات ليست برامج، وبالتالي لا يمكن أن تكون مصابة بفيروس؛

على جهاز كمبيوتر غير مصاب، يتم نسخ الملفات من قرص مرن إلى آخر. إذا كان الكمبيوتر "صحيًا"، فلن يصاب هو نفسه ولا الأقراص المرنة التي يتم نسخها بالفيروس. الخيار الوحيد لنقل الفيروس في هذه الحالة هو نسخ ملف مصاب: في هذه الحالة، ستكون نسخته بالطبع "مصابة"، ولكن لن يصاب الكمبيوتر ولا أي ملفات أخرى؛

باستخدام معالجات النصوص ومعالجات جداول البيانات وأنظمة إدارة قواعد البيانات والبرامج الأخرى المتوفرة على القرص الصلب لجهاز كمبيوتر غير مصاب، تتم معالجة ملفات المعلومات الموجودة على الأقراص المرنة.

الإجراءات التي يجب اتخاذها في حالة الإصابة بالفيروس

إذا كان جهاز الكمبيوتر الخاص بك مصابًا بفيروس (أو إذا كنت تشك في ذلك)، فمن المهم اتباع أربع قواعد.

بادئ ذي بدء، ليست هناك حاجة للاندفاع واتخاذ قرارات متهورة - يمكن أن تؤدي الإجراءات غير المدروسة ليس فقط إلى فقدان بعض الملفات التي يمكن استعادتها، ولكن أيضا إلى إعادة إصابة الكمبيوتر.

2. يجب تنفيذ إجراء واحد على الفور - يجب عليك إيقاف تشغيل الكمبيوتر حتى لا يواصل الفيروس أعماله المدمرة.

3. يجب تنفيذ كافة الإجراءات الخاصة باكتشاف نوع الإصابة وعلاج الكمبيوتر فقط عند تمهيد الكمبيوتر من قرص مرن "مرجعي" محمي ضد الكتابة باستخدام نظام التشغيل. في هذه الحالة، يجب عليك فقط استخدام البرامج (الملفات القابلة للتنفيذ) المخزنة على الأقراص المرنة المحمية ضد الكتابة. يمكن أن يؤدي عدم الامتثال لهذه القاعدة إلى عواقب وخيمة للغاية، لأنه عند تحميل DOS أو تشغيل برنامج من قرص مصاب، يمكن تنشيط الفيروس في الكمبيوتر، وإذا كان الفيروس قيد التشغيل، فإن معالجة الكمبيوتر ستكون بلا معنى، لأن سيكون مصحوبًا بمزيد من الإصابة بالأقراص والبرامج.

4. إذا تم استخدام برنامج التصفية المقيم للحماية من الفيروس، فيمكن اكتشاف وجود فيروس في أي برنامج في مرحلة مبكرة جدًا، عندما لا يكون لدى الفيروس الوقت الكافي لإصابة البرامج الأخرى وإتلاف أي ملفات. في هذه الحالة، يجب عليك إعادة تشغيل DOS من القرص المرن وحذف البرنامج المصاب، ثم إعادة كتابة هذا البرنامج من القرص المرن المرجعي أو استعادته من الأرشيف. من أجل معرفة ما إذا كان الفيروس قد أفسد أي ملفات أخرى، يجب عليك تشغيل برنامج تدقيق للتحقق من التغييرات في الملفات، ويفضل أن يكون ذلك مع قائمة واسعة من الملفات المراد فحصها. لتجنب الاستمرار في إصابة جهاز الكمبيوتر الخاص بك أثناء عملية المسح، يجب عليك تشغيل الملف القابل للتنفيذ لبرنامج التدقيق الموجود على القرص المرن.

العلاج بالكمبيوتر.إذا تمكن فيروس بالفعل من إصابة بعض الملفات الموجودة على أقراص جهاز الكمبيوتر الخاص بك أو إتلافها، فيجب عليك تنفيذ الخطوات التالية.

أعد تشغيل نظام التشغيل DOS باستخدام قرص مرن مرجعي تم إعداده مسبقًا. يجب أن يحتوي هذا القرص المرن، مثل الأقراص المرنة الأخرى المستخدمة في استرداد فيروسات الكمبيوتر، على ملصق حماية ضد الكتابة عليه لمنع الفيروس من إصابة الملفات الموجودة على القرص المرن أو إتلافها. لاحظ أنه لا ينبغي إجراء إعادة التشغيل باستخدام اختصار لوحة المفاتيح السيطرة + البديل + ديل، لأن تتمكن بعض الفيروسات من "البقاء" على قيد الحياة عند إعادة التشغيل هذه.

إذا كان جهاز الكمبيوتر الخاص بك يحتوي على برنامج تكوين (يتم استدعاؤه عند الضغط على مجموعة مفاتيح معينة عند تشغيل الكمبيوتر)، فيجب عليك تشغيل هذا البرنامج والتحقق من ضبط إعدادات تكوين الكمبيوتر بشكل صحيح، لأن قد تتضرر بسبب فيروس. إذا تم تثبيتها بشكل غير صحيح، فيجب إعادة تثبيتها.

إذا كانت هناك برامج كاشفة للكشف عن الفيروس الذي يصيب جهاز الكمبيوتر الخاص بك، فيجب عليك تشغيل هذه البرامج لفحص أقراص الكمبيوتر. للعثور على البرنامج الذي تحتاجه، يمكنك تشغيل برامج الكاشف الموجودة واحدًا تلو الآخر لفحص القرص المصاب (من الأفضل عدم استخدام أوضاع برامج الكاشف التي تقوم فيها بتطهير الملفات المصابة أو حذفها دون تأكيد). أولا، من المنطقي تشغيل البرامج التي تكتشف عدة فيروسات في وقت واحد، على سبيل المثال Scan أو Aidstest. إذا أبلغ أي من برامج الكاشف عن العثور على فيروس، فيجب استخدامه في عملية التخلص من عواقب إصابة الكمبيوتر بالفيروس، كما هو موضح أدناه. ومع ذلك، تجدر الإشارة إلى أنه في كثير من الأحيان تكون أجهزة الكمبيوتر مصابة بعدة فيروسات في وقت واحد، لذلك، بعد اكتشاف فيروس واحد، يجب ألا تهدأ، فقد يكون هناك فيروس ثان أو ثالث في الكمبيوتر.

بعد ذلك، يجب عليك تحييد كافة الأقراص التي قد تكون مصابة بفيروس بشكل تسلسلي، كما هو موضح أدناه. لاحظ أنه إذا تم تقسيم القرص الصلب في جهاز الكمبيوتر إلى عدة محركات أقراص منطقية، فعند التشغيل من قرص مرن، يمكن الوصول إلى محرك أقراص منطقي واحد فقط - وهو القرص الذي يتم تحميل نظام التشغيل DOS منه. في هذه الحالة، يجب عليك أولاً تحييد محرك الأقراص المنطقي الذي يقوم DOS بالتمهيد منه، ثم التمهيد من القرص الصلب وتحييد محركات الأقراص المنطقية الأخرى.

علاج القرص.إذا كان القرص يحتوي على نسخ مؤرشفة من جميع الملفات التي تحتاجها، فإن أسهل طريقة هي إعادة تهيئة القرص ثم استعادة كافة الملفات الموجودة على هذا القرص باستخدام النسخ المؤرشفة. لنفترض الآن أن القرص يحتوي على الملفات الضرورية التي لا توجد نسخ منها في الأرشيف. للتأكد من ذلك، سنفترض أن هذا القرص موجود على محرك الأقراص (B :). عليك القيام بما يلي:

تشغيل برنامج كاشف للقرص الذي يكتشف الفيروس الذي أصيب به الكمبيوتر (إذا لم يكن من الواضح أي كاشف يكتشف الفيروس، يجب عليك تشغيل برامج الكاشف واحدًا تلو الآخر حتى يكتشف أحدها الفيروس). في هذه الحالة، من الأفضل عدم إنشاء نظام العلاج.

إذا اكتشف برنامج الكاشف وجود فيروس تمهيد، فيمكنك استخدام وضع العلاج الخاص به بأمان للقضاء على الفيروس. إذا تم اكتشاف فيروس مثل Dir، فيجب إزالته أيضًا باستخدام برنامج مكافحة فيروسات أو آخر، ولا تستخدم بأي حال من الأحوال برامج مثل NDD وChkDsk لهذا الغرض.

الآن بعد أن عرفت أنه لا توجد فيروسات من نوع Dir على القرص، يمكنك التحقق من سلامة نظام الملفات والسطح

القرص باستخدام برنامج NDD: NDD B: C. إذا كان الضرر الذي لحق بنظام الملفات كبيرًا، فمن المستحسن نسخ جميع الملفات الضرورية من القرص، التي لا توجد نسخ منها في الأرشيف، إلى الأقراص المرنة وإعادة تهيئة القرص القرص. إذا كان القرص يحتوي على بنية ملف معقدة، فيمكنك محاولة تصحيحه باستخدام برنامج DiskEdit من Norton Utilites.

إذا تم حفظ معلومات حول الملفات الموجودة على القرص لبرنامج التدقيق، فمن المفيد تشغيل برنامج التدقيق لتشخيص التغييرات في الملفات. سيسمح لك هذا بتحديد الملفات التي أصيبت أو أتلفها الفيروس. إذا كان برنامج التدقيق يؤدي أيضًا وظيفة الطبيب، فيمكنك الوثوق به لاستعادة الملفات التالفة.

احذف جميع الملفات غير الضرورية من القرص، وكذلك الملفات التي توجد نسخ منها في الأرشيف. تلك الملفات التي لم يتم تعديلها بواسطة الفيروس (يمكن تثبيتها باستخدام برنامج تدقيق) لا تحتاج إلى حذفها.

يجب ألا تترك ملفات .COM و.EXE تحت أي ظرف من الظروف على القرص الذي أبلغ برنامج التدقيق أنه قد تم تغييرها. يجب ترك ملفات .COM و.EXE غير المعروفة ما إذا كان قد تم تعديلها بواسطة فيروس أم لا، على القرص فقط عند الضرورة القصوى.

إذا كان القرص الذي تقوم بمعالجته هو قرص نظام (أي، يمكنك تشغيل نظام التشغيل DOS منه)، فيجب عليك إعادة كتابة قطاع التمهيد وملفات نظام التشغيل عليه. يمكن القيام بذلك باستخدام أمر SYS.

إذا أصيب جهاز الكمبيوتر الخاص بك بفيروس ملفات ولم تقم بإجراء أي علاج بمساعدة طبيب مفتش، فيجب عليك تشغيل برنامج طبيب لعلاج هذا القرص. يجب تدمير الملفات المصابة التي لم يتمكن برنامج الطبيب من استعادتها. بالطبع إذا

الملخصات ذات الصلة.

فيروس الكمبيوترهو برنامج صغير الحجم مكتوب خصيصًا (أي مجموعة معينة من التعليمات البرمجية القابلة للتنفيذ) يمكنه "نسب" نفسه إلى برامج أخرى ("إصابتها") وإنشاء نسخ منه وحقنها في الملفات ومناطق النظام بالكمبيوتر ، وما إلى ذلك. د.، وكذلك تنفيذ العديد من الإجراءات غير المرغوب فيها على الكمبيوتر.

هناك فيروسات الشبكة - منتجات البرامج الضارة التي تتكاثر وتنتشر بشكل مستقل على الشبكة. يمكن أن تؤثر على كل من معلومات الشبكة والنظام ومعلومات المستخدم.

تدين فيروسات الكمبيوتر باسمها إلى تشابه معين مع الفيروسات "البيولوجية" من حيث:

قدرات التكاثر الذاتي.

سرعة انتشار عالية

انتقائية الأنظمة المتأثرة (كل فيروس يؤثر فقط على أنظمة معينة أو مجموعات متجانسة من الأنظمة)؛

القدرة على "إصابة" الأنظمة غير المصابة؛

صعوبات في مكافحة الفيروسات وغيرها.

أشهر حالة إصابة جماعية بأجهزة كمبيوتر الإنترنت، والتي ترتبت عليها عواقب وخيمة، هي الحادثة الطارئة التي وقعت في 2 نوفمبر 1988، عندما تم تعطيل آلاف أجهزة الكمبيوتر عمليا نتيجة انتشار فيروس موريس (WORM)، الذي كان بمثابة برنامج معقد بحجم 60 كيلو بايت مكتوب بلغة C. يعمل البرنامج على عدة أنظمة تشغيل مختلفة، وإن كانت متشابهة: BSD-Unix، VAX، SunOS. بعد أن "استقر" الفيروس على جهاز كمبيوتر واحد، حاول إصابة جميع أجهزة الكمبيوتر الأخرى المتصلة بهذا الجهاز. لقد حاول أولاً اكتشاف الضحية التالية من خلال محاولة إنشاء اتصال باستخدام خدمات Telnet أو SMTP أو Rexec. إذا تم اكتشاف جهاز كمبيوتر على الطرف الآخر من الاتصال، فإن الفيروس يحاول إصابته بإحدى الطرق الثلاث. في حالة وجود علاقة ثقة بين جهاز كمبيوتر مصاب بالفعل وضحية جديدة، حدثت الإصابة باستخدام الأوامر القياسية لمعالج أوامر Bourne rch. في غياب مثل هذه العلاقات، حدثت العدوى باستخدام أدوات مساعدة Fingerd أو Sendmail. بالنسبة للعدوى باستخدام الأداة المساعدة Fingerd، تمت كتابة 536 بايت من البيانات إلى المخزن المؤقت للإدخال لهذه الأداة المساعدة. عندما يفيض المخزن المؤقت، تبين أن رمز الإرجاع من الأداة المساعدة يساوي تعليمات تنفيذ رمز الفيروس. للعدوى باستخدام أمر sendmail، تم استخدام خيار التصحيح لهذا الأمر، المخصص لتصحيح الأخطاء. وبمساعدته، تم إدخال الأوامر إلى جهاز الكمبيوتر الضحية، مما أدى إلى نسخ الفيروس إلى جهاز الكمبيوتر. وبعد اختراق جهاز الكمبيوتر الضحية، عثر الفيروس على ملف كلمة مرور Unix وحاول تخمين كلمات المرور الخاصة بمستخدمي الكمبيوتر المميزين. يحتوي الفيروس على عدة خوارزميات لتقسيم كلمة المرور. حاول أحدهم تخمين كلمة مرور باستخدام مشتقات مختلفة لأسماء المستخدمين، وكان لدى آخر جدول مدمج يضم 432 كلمة مرور الأكثر شيوعًا، وحاول الثالث تخمين كلمة مرور باستخدام طريقة القوة الغاشمة. لتسريع عملية تقسيم كلمة المرور، أطلق الفيروس عدة عمليات متوازية. بعد تلقي كلمات المرور لجميع المستخدمين، حاول الفيروس استخدامها لالتقاط أجهزة الكمبيوتر التالية. وفي فترة قصيرة من وجوده (لا تزيد عن يوم واحد)، تكاثر الفيروس إلى أجل غير مسمى وأدى إلى شل عمل معظم أنظمة الكمبيوتر الكبيرة في الولايات المتحدة المتصلة بالإنترنت.

في 16 أكتوبر 1999، ظهرت رسالة على الإنترنت حول هجوم على شبكة SPAN لأنظمة VAX/VMS بواسطة فيروس شبكة W.COM. أثر هذا الفيروس على أنظمة تشغيل DEC VMS فقط وانتشر عبر الشبكات التي تستخدم بروتوكولات عائلة DECnet. لم تكن شبكات TCP/IP معرضة لخطر الإصابة، ولكنها يمكن أن تكون بمثابة وسيلة نقل لانتشار الفيروس إذا تم نقل حزم DECnet المغلفة عبر شبكات TCP/IP.

قامت دودة W.COM بتعديل الملفات القابلة للتنفيذ عن طريق إضافة التعليمات البرمجية الخاصة بها إليها، مما أدى إلى ظهور تهديدات لمطوري الأسلحة النووية على الشاشة. لإعادة الإنتاج، بحثت الدودة في الشبكة عن مستخدمين بدون كلمة مرور أو بكلمة مرور تطابق اسم المستخدم. عندما يتم العثور على مثل هذا المستخدم، يتم إطلاق الدودة نيابة عنه وتعديل الملفات الجديدة. حدثت أسوأ العواقب عندما تم تنفيذ الدودة كمستخدم مميز. في هذه الحالة، قام بإنشاء مستخدمين جدد وتعديل كلمات المرور الخاصة بالمستخدمين الحاليين، أي أنه أنشأ الظروف اللازمة لتهيئته في المستقبل. تم الاختراق إلى الأنظمة الأخرى من خلال البحث العشوائي في عناوين الشبكة والوصول إلى الأنظمة البعيدة نيابة عن المستخدمين النشطين.

غالبًا ما تكون الفيروسات الموجودة على الإنترنت متخفية في صورة ملفات مضغوطة أو ملفات مضغوطة. حدثت حالة إرشادية في عام 1995، عندما كان من الممكن شطب الملفات pkz300B.exe أو pkz300B.zip. عند إطلاقها أو فك ضغطها، يتم تنشيط الأرشيفات ذاتية التوسيع، مما يتسبب في إعادة تهيئة القرص الصلب.

في عام 1999، ظهر فيروس ماكرو سرق مفاتيح نظام التشفير PGP. إنه ينتمي إلى فئة يسميها بعض الخبراء فيروسات برامج التجسس. يتم إنشاء هذه الفيروسات بغرض سرقة المعلومات المخزنة على أجهزة كمبيوتر الآخرين. يصل كاليجولا إلى جهاز الكمبيوتر مع مستند مصاب بتنسيق Microsoft Word. بمجرد وصوله إلى جهاز كمبيوتر جديد، يتحقق فيروس الماكرو هذا لمعرفة ما إذا كانت هناك نسخة من برنامج PGP مثبتة عليه. إذا تم اكتشاف مثل هذا النظام بنجاح، فسيتم نسخ المفاتيح السرية للشفرات المستخدمة فيه - وهي المكون الأكثر أهمية من وجهة نظر أمان البيانات المشفرة باستخدام خوارزمية PGP - إلى أحد خوادم FTP على الإنترنت .

يمكن ترجمة فيروس سوبيج من الإنجليزية إلى "كبير جدًا"، وقد أعلن عن نفسه لأول مرة في 18 أغسطس 2003. ويمثل سوبيج جيلًا جديدًا من الفيروسات الفائقة وهو خطير لأنه يتمتع بقدرة مذهلة على الانتشار والتكاثر الذاتي. نسخته من سوبيج خطيرة بشكل خاص - أفسس. هدف الفيروس هو إصابة البريد الإلكتروني. وتكمن خصوصيته في أنه يمكنه تغيير محتوى نصوص الرسائل الإلكترونية ومهاجمة كل كمبيوتر على حدة عبر البريد الإلكتروني بمئات الرسائل المختلفة.

في عام 2005، كان أحد الفيروسات النشطة هو الدودة W32.Codbot.AL. ينتشر هذا الفيروس عن طريق استغلال الثغرات الأمنية المعروفة في عمليات SQL Server LSASS وRPC-DCOM. لتثبيت نفسه على جهاز كمبيوتر، فإنه يسجل نفسه كعملية نظام يتم تشغيلها في كل مرة يبدأ فيها النظام. أثناء التشغيل، يتصل بخوادم IRC المختلفة ويستمع للأوامر. يمكن للفيروس تلقي جميع أنواع الأوامر، مثل جمع معلومات الكمبيوتر، وتسجيل ضغطات المفاتيح، وتفعيل خدمات FTP، وحتى تنزيل البرامج الضارة الأخرى وتشغيلها.

أما الفيروس المتنقل الثاني، W32.Semapi.A، فيتم توزيعه عبر البريد الإلكتروني في رسالة ذات رؤوس مختلفة ومرسل وخصائص أخرى، كمرفق ذي اسم وامتداد مختلفين. عندما يتم تثبيت فيروس متنقل على جهاز كمبيوتر، فإنه يقوم بنسخ عدة ملفات إلى القرص الصلب ويقوم بإنشاء سلسلة من إدخالات التسجيل لضمان تشغيله في كل مرة يتم فيها تشغيل الكمبيوتر. ثم يبحث بعد ذلك عن عناوين البريد الإلكتروني في كافة الملفات ذات الملحقات المحددة على الكمبيوتر المصاب ويرسل نسخًا منها إليها.

يحاول حصان طروادة Banker.XP الحصول على بيانات سرية، مثل كلمات المرور للوصول إلى الخدمات المختلفة الموجودة على الكمبيوتر المصاب. بمجرد استلامها، يقوم بتجميعها وإرسالها إلى المتسلل.

في يونيو 2005، أعلنت شركة Kaspersky Lab عن تسجيل أول برنامج خبيث يؤثر على نظام التشغيل الآلي المعروف 1C: Enterprise. هذا الفيروس يسمى طنجة.

ينتشر Tanga في نظام 1C: Enterprise 7.7 عن طريق إصابة ملفات المستخدم المسؤولة عن التقارير الخارجية والتي لها امتداد "ERT". تشبه طريقة وضع Tanga في الملفات المصابة، من نواحٍ عديدة، فيروسات الماكرو التي تصيب المستندات والجداول الموجودة في حزمة برامج Microsoft Office. توجد الوحدات الضارة في كتلة بيانات خاصة ويتم تنشيطها عند فتح ملف تقرير. للعمل، يستخدم الفيروس مكتبة خاصة "Compound.dll". إذا كان هذا الملف مفقودًا من النظام، فلن يتم تشغيل الفيروس.

تجدر الإشارة إلى أن مؤلف هذا الإصدار من Tanga أظهر فهمًا لتعقيد عمل خبراء مكافحة الفيروسات وبذل قصارى جهده لتقليل وقت تحليل الكود والأضرار الناجمة عن توزيعه المحتمل. وللقيام بذلك، حرمه مبتكر الفيروس من أي وظائف تدميرية، مما يجعل البرنامج آمنًا حتى في حالة الإصابة.

يمكن تصنيف فيروسات الكمبيوتر وفقًا للمعايير التالية:

- حسب موطن الفيروس:

· شبكة؛

· ملف؛

· حذاء طويل؛

- عن طريق العدوى:

· مقيم؛

· غير مقيم؛

- حسب القدرات التدميرية:

· غير ضارة؛

· غير خطرة.

· خطير؛

· خطير جدا؛

- حسب مميزات خوارزمية الفيروس.

البحث عن النص الكامل:

الصفحة الرئيسية > اختبار >المعلوماتية

وزارة التعليم والعلوم في الاتحاد الروسي

الجامعة الروسية التجارية والاقتصادية

معهد قازان (فرع)

قسم الرياضيات والرياضيات العليا

الاختبار رقم 1

الانضباط: "المعلوماتية"

فيروسات الكمبيوتر

إجراء:

طالبة سنة أولى مراسلة

أقسام خاصة كلية

مجموعة "التمويل والائتمان".

التحقق:

كازان، 2007

يخطط

مقدمة

جوهر ومظاهر فيروسات الكمبيوتر

الأنواع الرئيسية وأنواع فيروسات الكمبيوتر

كيف تنتشر الفيروسات؟

الكشف عن فيروسات الكمبيوتر

5. التدابير الوقائية ضد الفيروسات

خاتمة

فهرس

مقدمة

فيروس الكمبيوتر- برنامج تم إنشاؤه خصيصًا لتنفيذ إجراءات معينة تتعارض مع العمل على جهاز الكمبيوتر. العديد من برامج الفيروسات غير ضارة، ولكن لسوء الحظ ليست جميعها غير ضارة تمامًا. أولاً، أنها تشغل مساحة في ذاكرة الوصول العشوائي (RAM) والقرص. ثانيًا، قد تحتوي على أخطاء قد تؤدي إلى تعطل النظام وإعادة تشغيله. لذلك، إذا كان الفيروس غير ضار تمامًا، فلا يزال يتعين عليك التخلص منه.

يوجد حاليًا عدة أنواع وأنواع من الفيروسات. الأنواع الرئيسية لفيروسات الكمبيوتر هي: فيروسات البرامج، وفيروسات التمهيد، وفيروسات الماكرو. يوجد حاليًا أكثر من 5000 نوع من فيروسات البرامج المعروفة، ويمكن تصنيفها وفقًا للمعايير التالية: الموطن؛ طريقة إصابة الموطن؛ التأثير؛ ميزات الخوارزمية.

الطرق الرئيسية التي تدخل بها الفيروسات إلى الكمبيوتر هي الأقراص القابلة للإزالة (الأقراص المرنة والليزر)، بالإضافة إلى شبكات الكمبيوتر. يمكن أن يصاب محرك الأقراص الثابتة لديك بالفيروسات عند تشغيل جهاز الكمبيوتر الخاص بك من قرص مرن يحتوي على فيروس. يمكن أن تكون مثل هذه العدوى عرضية أيضًا، على سبيل المثال، إذا لم تتم إزالة القرص المرن من محرك الأقراص A: وتم إعادة تشغيل الكمبيوتر، في حين أن القرص المرن قد لا يكون هو قرص النظام. من الأسهل بكثير إصابة القرص المرن. يمكن للفيروس أن يصل إليه حتى لو تم إدخال القرص المرن ببساطة في محرك الأقراص لجهاز كمبيوتر مصاب، وعلى سبيل المثال، تمت قراءة جدول محتوياته. لكن الطريقة الأكثر شيوعًا لنشر الفيروسات هي من خلال شبكة من أجهزة الكمبيوتر، وخاصة الإنترنت، عندما يتم إعادة كتابة وتشغيل برامج أخرى، مثل الألعاب. قد تكون هناك حالات أخرى نادرة إلى حد ما عندما يتم إدخال قرص صلب آخر في الكمبيوتر المصاب. لتجنب ذلك، قم بالتمهيد من القرص المرن للنظام وإما فحص القرص الصلب باستخدام برامج خاصة لمكافحة الفيروسات، أو الأفضل من ذلك، تقسيم القرص وتهيئته باستخدام برامج Fdisk وFormat.

للتعرف على الفيروسات، توجد برامج خاصة لمكافحة الفيروسات يمكنها اكتشاف الفيروسات وتدميرها. هناك مجموعة واسعة إلى حد ما من برامج مكافحة الفيروسات. هذه هي Aidstest (Lozinsky)، وDr Web، وNorton antivirus لنظام التشغيل Windows، ومجموعة DSAV وغيرها.

جوهر ومظاهر فيروسات الكمبيوتر

لسوء الحظ، تبين أن الاستخدام الواسع النطاق لأجهزة الكمبيوتر الشخصية يرتبط بظهور برامج فيروسات ذاتية النسخ تتداخل مع التشغيل العادي للكمبيوتر، وتدمير بنية ملفات الأقراص وإتلاف المعلومات المخزنة على الكمبيوتر. بمجرد أن يخترق فيروس الكمبيوتر أحد أجهزة الكمبيوتر، فإنه يمكن أن ينتشر إلى أجهزة كمبيوتر أخرى.

إن أسباب ظهور وانتشار فيروسات الكمبيوتر، من ناحية، تكمن في سيكولوجية الشخصية الإنسانية وجوانبها الظلية (الحسد، الانتقام، الغرور من المبدعين غير المعترف بهم)، من ناحية أخرى، بسبب عدم وجود حماية الأجهزة والرد من نظام تشغيل الكمبيوتر الشخصي.

على الرغم من القوانين المعتمدة في العديد من البلدان لمكافحة جرائم الكمبيوتر وتطوير برامج خاصة لمكافحة الفيروسات، فإن عدد الفيروسات البرمجية الجديدة يتزايد باستمرار. ويتطلب ذلك أن يكون لدى مستخدم الكمبيوتر الشخصي معرفة بطبيعة الفيروسات وطرق الإصابة بالفيروسات والحماية منها.

عندما يصاب جهاز الكمبيوتر الخاص بك بفيروس، من المهم جدًا اكتشافه على الفور. للقيام بذلك، يجب أن تعرف عن العلامات الرئيسية للفيروسات. وتشمل هذه:

إنهاء التشغيل أو التشغيل غير الصحيح للبرامج التي كانت تعمل بنجاح سابقًا؛

بطء أداء الكمبيوتر؛

عدم القدرة على تحميل نظام التشغيل.

اختفاء الملفات والأدلة أو تلف محتوياتها؛

تغيير تاريخ ووقت تعديل الملف؛

تغيير حجم الملفات؛

زيادة كبيرة غير متوقعة في عدد الملفات الموجودة على القرص؛

انخفاض كبير في حجم ذاكرة الوصول العشوائي الحرة؛

عرض رسائل أو صور غير متوقعة4

إعطاء إشارات صوتية غير متوقعة؛

تجميد متكرر وتعطل في الكمبيوتر.

ومع ذلك، بناءً على كل هذه العلامات، من المستحيل القول على وجه اليقين أن الفيروس قد دخل إلى الكمبيوتر. نظرًا لاحتمال وجود أعطال أخرى يكون سببها خللًا أو عدم تصحيح أخطاء النظام. على سبيل المثال، في جهاز كمبيوتر تم شراؤه، عند بدء تشغيله، بدلا من الرموز الروسية، يتم عرض الرموز غير المهنية التي تراها لأول مرة. قد يكون السبب في ذلك هو عدم تثبيت برنامج التشغيل السيريلي للشاشة. نفس السبب - عدم وجود برنامج تشغيل للطابعة - قد يفسر أيضًا السلوك الغريب للطابعة. قد يكون سبب فشل النظام هو وجود دائرة كهربائية صغيرة سيئة داخل وحدة النظام أو في توصيل السلك.

الأنواع الرئيسية وأنواع فيروسات الكمبيوتر

الأنواع الرئيسية لفيروسات الكمبيوتر هي:

فيروسات البرمجيات؛

فيروسات التمهيد؛

فيروسات الماكرو.

تشمل فيروسات الكمبيوتر أيضًا ما يسمى ب حصان طروادة

الخيول (برامج طروادة، أحصنة طروادة).

فيروسات البرمجيات.

فيروسات البرامج عبارة عن كتل من تعليمات برمجية مضمنة بشكل مقصود داخل برامج التطبيقات الأخرى. عند تشغيل برنامج يحمل فيروسًا، يتم إطلاق رمز الفيروس المزروع فيه.

يؤدي تشغيل هذا الرمز إلى حدوث تغييرات مخفية عن المستخدم في نظام ملفات محركات الأقراص الثابتة و/أو في محتويات البرامج الأخرى. على سبيل المثال، يمكن أن يعيد كود الفيروس إنتاج نفسه في نص البرامج الأخرى - وتسمى هذه العملية التكاثر.بعد وقت معين، بعد إنشاء عدد كاف من النسخ، يمكن لفيروس البرنامج أن ينتقل إلى إجراءات مدمرة: تعطيل تشغيل البرامج ونظام التشغيل، وحذف المعلومات المخزنة على القرص الصلب. هذه العملية تسمى هجوم الفيروس.

يمكن للفيروسات الأكثر تدميراً أن تبدأ عملية تهيئة محركات الأقراص الثابتة. نظرًا لأن تهيئة القرص هي عملية طويلة إلى حد ما ولا ينبغي أن تمر دون أن يلاحظها أحد من قبل المستخدم، ففي كثير من الحالات تقتصر فيروسات البرامج على مضاعفة البيانات فقط في قطاعات النظام بالقرص الصلب، وهو ما يعادل فقدان جداول نظام الملفات. في هذه الحالة، تظل البيانات الموجودة على القرص الصلب سليمة، ولكن لا يمكن استخدامها دون استخدام أدوات خاصة، لأنه من غير المعروف أي قطاعات القرص تنتمي إلى أي ملفات. من الناحية النظرية، من الممكن استعادة البيانات في هذه الحالة، ولكن كثافة اليد العاملة لهذا العمل يمكن أن تكون عالية للغاية.

يُعتقد أنه لا يوجد فيروس يمكنه إتلاف أجهزة الكمبيوتر. ومع ذلك، هناك أوقات تكون فيها الأجهزة والبرامج مترابطة بشكل كبير بحيث يجب حل تلف البرامج عن طريق استبدال الأجهزة. على سبيل المثال، في معظم اللوحات الأم الحديثة، يتم تخزين نظام الإدخال/الإخراج الأساسي (BIOS) في أجهزة ذاكرة للقراءة فقط قابلة لإعادة الكتابة (ما يسمى ذاكرة متنقله).

يتم استخدام القدرة على الكتابة فوق المعلومات الموجودة في شريحة ذاكرة فلاش بواسطة بعض فيروسات البرامج لتدمير بيانات BIOS.

في هذه الحالة، لاستعادة وظائف الكمبيوتر، من الضروري إما استبدال الشريحة التي تخزن BIOS أو إعادة برمجتها باستخدام برنامج خاص.

لأسباب أمنية، وإذا تم تلقي بيانات غير مرغوب فيها من مصدر غير معروف، فيجب تدميرها دون فحصها. إحدى الطرق الشائعة لتوزيع برامج طروادة هي إرفاقها برسالة بريد إلكتروني تحتوي على "توصية" لاستخراج البرنامج المفترض أنه مفيد وتشغيله.

فيروسات التمهيد.

تختلف فيروسات التمهيد عن فيروسات البرامج في كيفية انتشارها. فهي لا تهاجم ملفات البرامج، بل تهاجم مناطق نظام معينة من الوسائط المغناطيسية (الأقراص المرنة والأقراص الصلبة). بالإضافة إلى ذلك، عند تشغيل الكمبيوتر، يمكن أن تكون موجودة مؤقتًا في ذاكرة الوصول العشوائي (RAM).

عادةً ما تحدث الإصابة عندما يقوم الكمبيوتر بالتمهيد من وسيط مغناطيسي تحتوي منطقة نظامه على فيروس تمهيد. على سبيل المثال، عند محاولة تشغيل جهاز كمبيوتر من قرص مرن، يخترق الفيروس أولاً ذاكرة الوصول العشوائي (RAM) ثم إلى قطاع التمهيد في محرك الأقراص الثابتة. ثم يصبح هذا الكمبيوتر نفسه مصدرًا لتوزيع فيروس التمهيد.

الفيروسات الكبيرة.

يصيب هذا النوع الخاص من الفيروسات المستندات التي يتم تنفيذها في برامج تطبيقية معينة. امتلاك الوسائل اللازمة لتنفيذ ما يسمى ب أوامر الماكروعلى وجه الخصوص، تتضمن هذه المستندات مستندات معالج النصوص Microsoft Word (تحتوي على الامتداد

وثيقة). تحدث العدوى عند فتح ملف مستند في نافذة البرنامج، ما لم يتم تعطيل القدرة على تنفيذ أوامر الماكرو في البرنامج.

كما هو الحال مع الأنواع الأخرى من الفيروسات، يمكن أن تتراوح نتيجة الهجوم من غير ضار نسبيًا إلى مدمر.

الأنواع الرئيسية لفيروسات الكمبيوتر.

يوجد حاليًا أكثر من 5000 فيروس برمجي معروف، ويمكن تصنيفها وفقًا للمعايير التالية (الشكل 1):

موطن؛

طريقة تلوث الموائل.

تأثير؛

ميزات الخوارزمية.

رسم بياني 1تصنيف فيروسات الكمبيوتر:

أ – حسب الموائل؛ ب – عن طريق العدوى.

ج – حسب درجة التأثير . د – حسب خصائص الخوارزميات.

يعتمد على موطنيمكن تقسيم الفيروسات إلى فيروسات الشبكة والملفات والتمهيد وفيروسات تمهيد الملفات.

فيروسات الشبكةموزعة على شبكات الكمبيوتر المختلفة.

فيروسات الملفاتيتم تضمينها بشكل أساسي في الوحدات القابلة للتنفيذ، أي. إلى الملفات ذات امتدادات COM و EXE. يمكن أن تكون فيروسات الملفات مضمنة في أنواع أخرى من الملفات، ولكن كقاعدة عامة، بمجرد كتابتها في مثل هذه الملفات، فإنها لا تتحكم أبدًا، وبالتالي تفقد القدرة على إعادة الإنتاج.

فيروسات التمهيدمضمنة في قطاع تمهيد القرص (التمهيد) أو في القطاع الذي يحتوي على برنامج تمهيد قرص النظام (سجل التمهيد الرئيسي).

فيروسات تمهيد الملفاتتصيب كل من الملفات وقطاعات التمهيد من الأقراص.

عن طريق العدوىتنقسم الفيروسات إلى مقيمة وغير مقيمة.

الفيروس المقيمعند إصابة جهاز كمبيوتر، فإنه يترك الجزء المقيم الخاص به في ذاكرة الوصول العشوائي (RAM)، والذي يعترض بعد ذلك وصول نظام التشغيل إلى كائنات الإصابة (الملفات، وقطاعات التمهيد، وما إلى ذلك) ويحقن نفسه فيها. تتواجد الفيروسات المقيمة في الذاكرة وتكون نشطة حتى يتم إيقاف تشغيل الكمبيوتر أو إعادة تشغيله.

الفيروسات غير المقيمةلا تصيب ذاكرة الكمبيوتر وتكون نشطة لفترة محدودة.

حسب درجة التأثيريمكن تقسيم الفيروسات إلى الأنواع التالية:

غير ضارة،عدم التدخل في تشغيل الكمبيوتر، ولكن تقليل مقدار ذاكرة الوصول العشوائي وذاكرة القرص الحرة، تتجلى تصرفات هذه الفيروسات في بعض المؤثرات الرسومية أو الصوتية؛

خطيرالفيروسات التي يمكن أن تؤدي إلى مشاكل مختلفة بجهاز الكمبيوتر الخاص بك؛

خطير جداوالتي يمكن أن يؤدي تأثيرها إلى فقدان البرامج وتدمير البيانات ومحو المعلومات في مناطق النظام بالقرص.

كيف تنتشر الفيروسات؟

هناك عدة طرق، في المقام الأول من خلال الأقراص المرنة. إذا تلقيت قرصًا مرنًا من صديق لديه فيروس على جهاز الكمبيوتر الخاص به، فمن المرجح أن يكون القرص المرن مصابًا. هناك خياران ممكنان هنا. الأول هو وجود الفيروس في منطقة النظام بالقرص، والثاني هو وجود ملف مصاب أو أكثر. كما ذكرنا سابقًا، يجب أن يكتسب الفيروس السيطرة، لذلك إذا كان قرصًا مرنًا للنظام، فعند التشغيل منه يمكنك إصابة الكمبيوتر. إذا كان هذا قرصًا مرنًا للنظام، وحاولت تشغيل الكمبيوتر منه وظهرت الرسالة: قرص غير نظامي (قرص غير نظامي) على الشاشة، ففي هذه الحالة قد تصيب جهاز الكمبيوتر الخاص بك، نظرًا لأن أي قرص مرن يحتوي على محمل نظام التشغيل وعند تشغيله سيتلقى التحكم.

الخيار الثاني هو الملفات المصابة. ليس كل الملفات يمكن أن تكون مصابة. لذلك، على سبيل المثال، إذا كان هناك نص خطاب أو مستند آخر مكتوب باستخدام محرر Norton Commander، فلن يكون هناك فيروس هناك. حتى لو انتهى به الأمر هناك عن طريق الصدفة، فبعد عرض الملف باستخدام نفس المحرر أو محرر مشابه، يمكنك رؤية أحرف غير مفهومة في بداية هذا الملف أو نهايته، والتي من الأفضل تدميرها. يقوم المحررون الآخرون بإنشاء ملفات تحتوي على معلومات التحكم، مثل حجم الخط أو النوع، والمسافات البادئة، وجداول التحويل المختلفة، وما إلى ذلك. وكقاعدة عامة، يكاد يكون من المستحيل الإصابة بالعدوى من خلال مثل هذا الملف. ومع ذلك، فإن الإصدارين 6.0 و7.0 من محرر Word لديهما القدرة على احتواء أوامر الماكرو في بداية المستند الذي سيتم نقل التحكم إليه، وبالتالي يمكن أن ينتشر الفيروس عبر المستندات.

هناك طرق أخرى لنشر الفيروسات وهي النقل على وسائط تخزين أخرى، على سبيل المثال، على محركات الأقراص المضغوطة، وهو أمر نادر جدًا. لقد حدث أنه عند شراء برنامج مرخص، تبين أنه مصاب بفيروس، ولكن مثل هذه الحالات نادرة للغاية.

خصوصية الأقراص المضغوطة هي أن المعلومات لا تُكتب إليها. إذا كان هناك قرص مضغوط خالٍ من الفيروسات في جهاز كمبيوتر مصاب، فلن يصاب بالفيروس. ومع ذلك، إذا كان يحتوي على معلومات مصابة بفيروس، فلن تتمكن أي برامج مكافحة الفيروسات من تنظيف القرص من الفيروسات.

الطريقة الأكثر شيوعًا لنشر الفيروسات هي من خلال شبكة من أجهزة الكمبيوتر، وخاصة الإنترنت، عندما تتم إعادة كتابة وتشغيل برامج أخرى، مثل الألعاب. قد تكون هناك حالات أخرى نادرة إلى حد ما عندما يتم إدخال قرص صلب آخر في الكمبيوتر المصاب. لتجنب ذلك، قم بالتمهيد من القرص المرن للنظام وإما فحص القرص الصلب باستخدام برامج خاصة لمكافحة الفيروسات، أو الأفضل من ذلك، تقسيم القرص وتهيئته باستخدام برامج Fdisk وFormat.

الكشف عن فيروسات الكمبيوتر

للتعرف على الفيروسات، توجد برامج خاصة لمكافحة الفيروسات يمكنها اكتشاف الفيروسات وتدميرها. ومع ذلك، لا يمكن اكتشاف جميع الفيروسات، حيث تظهر المزيد والمزيد من الأشكال الجديدة.

يشبه برنامج مكافحة الفيروسات الدواء، أي أنه يعمل بشكل انتقائي على بعض الفيروسات بينما يتخطى البعض الآخر. لذلك، إذا تم تشغيل برنامج مكافحة الفيروسات على جهاز كمبيوتر كل يوم (أسبوع، شهر)، فلا يوجد حتى الآن يقين مطلق بأنه سيكتشف الفيروسات.

هناك مجموعة واسعة إلى حد ما من برامج مكافحة الفيروسات. هذه هي Aidstest (Lozinsky)، وDr Web، وNorton antivirus لنظام التشغيل Windows، ومجموعة DSAV وغيرها. وبحسب طريقة عملها يمكن تقسيمها إلى ثلاثة أنواع:

1) أجهزة الكشف، إنتاج يتم المسح. هذا هو النموذج الأبسط والأكثر شيوعًا، والذي يتضمن عرض الملفات وسجلات التمهيد للتحقق من محتوياتها لاكتشاف التوقيع (التوقيع هو رمز برنامج الفيروس). بالإضافة إلى المسح بحثًا عن التوقيع، يمكن استخدام طريقة التحليل الإرشادي: من خلال فحص الرموز لتحديد الرموز المميزة للفيروسات، تقوم أجهزة الكشف بإزالة الفيروسات المكتشفة، والتي تسمى polyphages. يمكن لمثل هذه البرامج إجراء تحليل إرشادي واكتشاف الفيروسات الجديدة.

2) المدققين- البرامج التي تتذكر حالة الملفات ومناطق النظام، غالبًا عن طريق حساب المجموع الاختباري أو حجم الملف.

3) برامج - فلاتر،أو الحراس المقيمين، الموجود بشكل دائم في ذاكرة الوصول العشوائي للكمبيوتر ويقوم بتحليل الملفات التي تم تشغيلها والأقراص المرنة المدرجة. يبلغون المستخدم بمحاولة تغيير قطاع التمهيد، ومظهر البرنامج المقيم، والقدرة على الكتابة على القرص، وما إلى ذلك.

4) حماية الأجهزةعبارة عن وحدة تحكم يتم إدخالها في موصل التوسيع وتراقب الوصول إلى محركات الأقراص المرنة والأقراص الصلبة. يمكنك حماية أجزاء معينة، مثل سجلات التمهيد، والملفات القابلة للتنفيذ، وملفات التكوين، وما إلى ذلك. وعلى عكس الطرق السابقة، يمكن أن تعمل أيضًا عند إصابة الكمبيوتر.

5) هناك أيضًا برامج مثبتة فيها BIOS الكمبيوتر عندما تظهر رسالة على الشاشة عند محاولة الكتابة إلى قطاع التمهيد.

التدابير الوقائية ضد الفيروسات

للوقاية تحتاج:

1. أرشفة البيانات. الأرشفة هي تسجيل الملفات على الوسائط القابلة للإزالة. في أغلب الأحيان، يتم لعب هذا الدور بواسطة الأقراص المرنة أو الأشرطة المغناطيسية المستخدمة في الأجهزة الخاصة (أجهزة البث). على سبيل المثال، ليست هناك حاجة لتذكر ملفات Windows إذا كان لديك قرص التثبيت المرن الذي يمكنك من خلاله إعادة تشغيل النظام واستعادة الملفات. لذلك، إذا كان الكمبيوتر يحتوي على أقراص مرنة فقط بين الأجهزة القابلة للإزالة، فأنت بحاجة إلى تذكر المعلومات التي يصعب استردادها.

الأرشفة. كقاعدة عامة، يتم تسجيل المعلومات على أكثر من قرص واحد. لنفترض أن المعلومات موضوعة على قرص مرن واحد، ويتم النسخ مرة واحدة في الأسبوع. أولاً، يتم تسجيل المعلومات في 4 أغسطس، وفي المرة التالية، في 11 أغسطس، يتم التسجيل على قرص مرن آخر من نفس الدلائل. في 18 أغسطس، يتم التسجيل مرة أخرى على القرص المرن الأول، في 25 أغسطس في الثاني، ثم مرة أخرى في الأول، وهكذا، ولهذا تحتاج إلى قرصين مرنين على الأقل. والحقيقة هي أنه عند الكتابة على القرص المرن، قد يحدث فشل وسيتم فقدان معظم المعلومات. على جهاز كمبيوتر منزلي، تحتاج إلى عمل نسخ من وقت لآخر، ولكن يتم تحديد التردد من قبل المستخدم.

2. حتى أن كل شيء معلومة، تم استلامها من أجهزة كمبيوتر أخرى، التحققبرامج مكافحة الفيروسات. لقد سبق أن كتبنا من قبل أن بعض الملفات، على سبيل المثال التي تحتوي على معلومات رسومية، آمنة تمامًا من وجهة نظر الإصابة بالفيروسات. ولذلك، إذا كان هناك هذا النوع من المعلومات فقط على القرص المرن، فإن هذه المعلومات ليست خطيرة. إذا تم اكتشاف فيروس، فأنت بحاجة إلى فحص جميع أجهزة الكمبيوتر المتصلة بالجهاز المصاب عبر الأقراص المرنة أو الشبكة. من الضروري إزالة الفيروس ليس فقط من القرص الصلب، ولكن أيضًا من الأقراص المرنة وملفات الأرشيف. إذا كنت تشك في وجود فيروس على جهاز الكمبيوتر الخاص بك أو يتم نقل المعلومات إلى جهاز الكمبيوتر الخاص بك باستخدام الأقراص المرنة أو الإنترنت، فيمكنك تثبيت برامج مكافحة الفيروسات فيتنفيذ تلقائي. فيفي، بحيث عند تشغيل الكمبيوتر يبدأون في العمل.

3. لا تقم بالتمهيد من أقراص مرنة غير معروفة. عند التشغيل من محرك الأقراص الثابتة، تأكد من عدم وجود أقراص مرنة في محرك الأقراص A: أو B:، خاصة من الأجهزة الأخرى.

خاتمة

فيروس الكمبيوتر- برنامج تم إنشاؤه خصيصًا لتنفيذ إجراءات معينة تتعارض مع العمل على جهاز الكمبيوتر.

بمجرد أن يخترق فيروس الكمبيوتر أحد أجهزة الكمبيوتر، فإنه يمكن أن ينتشر إلى أجهزة كمبيوتر أخرى.

برنامج الفيروس مكتوب بلغة الأسمبلي لكي يكون صغير الحجم وسريع التنفيذ، بالرغم من وجود برامج مكتوبة بلغة السي والباسكال وغيرها من اللغات. تستخدم العديد من برامج الفيروسات المقيمة المبادئ التي تم تطويرها في برامج التشغيل، أي أنها تحدد عنوان برنامج الفيروس في جدول المقاطعة، وبعد انتهاء الفيروس من العمل، تقوم بنقل التحكم إلى برنامج عادي، كان عنوانه سابقًا في جدول المقاطعة. وهذا ما يسمى اعتراض السيطرة.

توجد برامج آلية لإنشاء فيروسات جديدة تسمح لك بإنشاء النص المصدر للفيروس بشكل تفاعلي بلغة التجميع. عند إدخال الحزمة، يمكنك تعيين الخيارات التي تسمح لك بتحديد الإجراءات التدميرية التي سينفذها الفيروس، وما إذا كان سيقوم بتشفير نص رمز الجهاز الخاص به، ومدى سرعة إصابة الملفات الموجودة على الأقراص، وما إلى ذلك.

الشيء الرئيسي الذي يحتاجه الفيروس هو السيطرة عليه ليبدأ عمله. إذا بدأ الفيروس على الفور في تنفيذ الإجراء المتأصل فيه، فسيكون من الأسهل التعرف عليه وتنظيف الكمبيوتر منه. وتكمن الصعوبة في أن الفيروسات قد لا تظهر فور ظهورها على الكمبيوتر، بل بعد وقت معين، على سبيل المثال في يوم معين.

يوجد في العالم الحديث العديد من برامج مكافحة الفيروسات التي يمكنها اكتشاف الفيروسات وتدميرها. ومع ذلك، لا يمكن اكتشاف جميع الفيروسات، حيث تظهر المزيد والمزيد من الأشكال الجديدة.

لمنع برنامج الفيروس من إفساد برنامج مكافحة الفيروسات، يجب تحميله من القرص المرن للنظام، وتمهيد الكمبيوتر من قرص النظام وبدء تشغيل برنامج مكافحة الفيروسات.

حافظ على تحديث برنامج مكافحة الفيروسات لديك لأن الإصدارات الأحدث قد تكتشف المزيد من أنواع الفيروسات. لتحديث أحدث إصدارات برامج مكافحة الفيروسات، يمكنك استقبالها عبر المودم، أو يمكنك الاتصال بالمتخصصين من شركات مكافحة الفيروسات.

فهرس

أ.كوستسوف، ف.كوستسوف. موسوعة عظيمة. كل ما يتعلق بالكمبيوتر الشخصي. - م: "مارتن"، 2003. - 720 ص.

علوم الكمبيوتر: كتاب مدرسي. – المراجعة الثالثة إد. / إد. إن في ماكاروفا. – م: المالية والإحصاء، 2005. – 768 ص: مريض.

علوم الكمبيوتر للمحامين والاقتصاديين. / حرره S. V. Simonovich وآخرون - سانت بطرسبرغ: سانت بطرسبرغ، 2001. - 688 ص 6 مريض.

فايروس- متنوع حاسوبالبرامج التي من سماتها المميزة... حماية المعلومات في أجهزة الكمبيوتر، ومكافحة حاسوب الفيروساتالمواقع الإباحية للأطفال وأمن المعلومات...

مقدمة …………………………………………………………………….3

1. فيروسات الكمبيوتر. التصنيف …………………………….4

2. منشئو البرامج الضارة ……………………………….5

3. وصف البرامج الضارة ………………………………….6

3.1. الفيروسات متعددة الأشكال …………………………………………………………………………………………………………………………………… 7

3.2 الفيروسات الخفية………………………………………………………………………………………………………………… 7

3.3 فيروسات طروادة……………………………………………….7

3.4 الديدان ………………………………………………………………….8

4. علامات الفيروسات ………………………………………………………………………………………………… 8

5. مكافحة الفيروسات ……………………………………………..9

الخلاصة ………………………………………………………………………… 10

قائمة المراجع ……………………………………………..11

مقدمة

لقد أصبحت أجهزة الكمبيوتر مساعدين بشريين حقيقيين، ولا يمكن لأي شركة تجارية أو مؤسسة حكومية الاستغناء عنها. ومع ذلك، في هذا الصدد، أصبحت مشكلة أمن المعلومات حادة بشكل خاص.

الفيروسات التي انتشرت على نطاق واسع في تكنولوجيا الكمبيوتر أثارت اهتمام العالم كله. يشعر العديد من مستخدمي الكمبيوتر بالقلق إزاء الشائعات التي تفيد بأن مجرمي الإنترنت يستخدمون فيروسات الكمبيوتر لاختراق الشبكات وسرقة البنوك وسرقة الملكية الفكرية.

اليوم، لسوء الحظ، تبين أن الاستخدام الواسع النطاق لأجهزة الكمبيوتر الشخصية يرتبط بظهور برامج فيروسات ذاتية النسخ تتداخل مع التشغيل العادي للكمبيوتر، وتدمر بنية ملفات الأقراص وتلحق الضرر بالمعلومات المخزنة على الكمبيوتر .

على نحو متزايد، هناك تقارير في وسائل الإعلام حول أنواع مختلفة من حيل القراصنة من مثيري الشغب الكمبيوتر، حول ظهور برامج النسخ الذاتي المتقدمة بشكل متزايد. في الآونة الأخيرة، تعتبر إصابة الملفات النصية بالفيروس أمرا سخيفا - الآن لن يفاجئ أحدا. على الرغم من القوانين المعتمدة في العديد من البلدان لمكافحة جرائم الكمبيوتر وتطوير برامج خاصة لمكافحة الفيروسات، فإن عدد الفيروسات البرمجية الجديدة يتزايد باستمرار. ويتطلب ذلك أن يكون لدى مستخدم الكمبيوتر الشخصي معرفة بطبيعة الفيروسات وطرق الإصابة بالفيروسات والحماية منها.

1. فيروسات الكمبيوتر

فيروس الكمبيوترهو برنامج (مجموعة معينة من التعليمات البرمجية/التعليمات القابلة للتنفيذ) قادر على إنشاء نسخ من نفسه (ليست بالضرورة مطابقة تمامًا للأصل) وتنفيذها في كائنات/موارد مختلفة لأنظمة الكمبيوتر والشبكات وما إلى ذلك. دون علم المستخدم. وفي الوقت نفسه، تحتفظ النسخ بالقدرة على التوزيع بشكل أكبر.

تصنيف الفيروسات:

1) حسب موطن الفيروس

فيروسات الملفاتغالبًا ما يتم تضمينها في ملفات قابلة للتنفيذ ذات امتدادات .exe و.com (أكثر الفيروسات شيوعًا)، ولكن يمكن أيضًا تضمينها في ملفات تحتوي على مكونات نظام التشغيل، وبرامج تشغيل الأجهزة الخارجية، وملفات الكائنات والمكتبات، وفي ملفات الأوامر المجمعة، والبرنامج الملفات في برمجة اللغات الإجرائية (فهي تصيب الملفات القابلة للتنفيذ أثناء الترجمة).

فيروسات التمهيدمضمنة في قطاع التمهيد للقرص المرن (قطاع التمهيد) أو في القطاع الذي يحتوي على برنامج تمهيد قرص النظام (سجل التمهيد الرئيسي). عند تحميل DOS من قرص مصاب، يقوم مثل هذا الفيروس بتغيير برنامج التمهيد أو تعديل جدول تخصيص الملفات على القرص، مما يخلق صعوبات في تشغيل الكمبيوتر أو حتى يجعل من المستحيل بدء تشغيل نظام التشغيل.

ملف التمهيدتدمج الفيروسات قدرات المجموعتين السابقتين وتتمتع بأكبر قدر من "كفاءة" العدوى.

فيروسات الشبكةيستخدمون أوامر وبروتوكولات أنظمة الاتصالات (البريد الإلكتروني وشبكات الكمبيوتر) لتوزيعها.

فيروسات المستندات(غالبًا ما تسمى فيروسات الماكرو) تصيب الملفات النصية (.doc) وملفات جداول البيانات الخاصة ببعض المحررين المشهورين وتفسدها.

فيروسات ماكرو الشبكة مجتمعةلا يقتصر الأمر على إصابة المستندات التي يقومون بإنشائها فحسب، بل يرسلون أيضًا نسخًا من هذه المستندات عبر البريد الإلكتروني.

2) عن طريق تلوث الموائل؛

مقيم فايروسعندما يصاب جهاز كمبيوتر، فإنه يترك الجزء المقيم في ذاكرة الوصول العشوائي (RAM)، والذي يعترض بعد ذلك وصول نظام التشغيل إلى كائنات العدوى ويحقن نفسه فيها. الفيروسات غير المقيمةلا تصيب ذاكرة الكمبيوتر وتكون نشطة لفترة محدودة.

3) حسب القدرات التدميرية

غير مؤذية،أولئك. التي لا تؤثر على تشغيل الكمبيوتر بأي شكل من الأشكال (باستثناء تقليل الذاكرة الخالية على القرص نتيجة توزيعها)؛

غير خطرة , يقتصر تأثيرها على انخفاض الذاكرة الحرة على القرص وتأثيرات الرسم والصوت وما إلى ذلك؛

4) حسب ميزات خوارزمية الفيروس .

الفيروسات المصاحبة- هذه فيروسات لا تغير الملفات.

الفيروسات - "الديدان" (دُودَة)- الفيروسات التي تنتشر على شبكة الكمبيوتر، مثل الفيروسات المصاحبة، لا تغير الملفات أو القطاعات الموجودة على الأقراص. فهي تخترق ذاكرة الكمبيوتر من شبكة الكمبيوتر، وتحسب عناوين الشبكة لأجهزة الكمبيوتر الأخرى وترسل نسخًا منها إلى هذه العناوين. تقوم هذه الفيروسات أحيانًا بإنشاء ملفات عمل على أقراص النظام، ولكنها قد لا تتمكن من الوصول إلى موارد الكمبيوتر على الإطلاق (باستثناء ذاكرة الوصول العشوائي).

2. منشئو البرامج الضارة

تم إنشاء الجزء الأكبر من الفيروسات وبرامج طروادة في الماضي من قبل الطلاب وأطفال المدارس الذين تعلموا للتو لغة برمجة، وأرادوا تجربتها، لكنهم لم يتمكنوا من العثور على استخدام أكثر جدارة لهم. لقد تمت كتابة مثل هذه الفيروسات وما زالت تتم كتابتها حتى يومنا هذا فقط من أجل تأكيد الذات لمؤلفيها.

تتكون المجموعة الثانية من منشئي الفيروسات أيضًا من الشباب (عادةً الطلاب) الذين لم يتقنوا بعد فن البرمجة بشكل كامل. من قلم مثل هذه الفيروسات "الحرفية" غالبًا ما تخرج فيروسات بدائية للغاية وتحتوي على عدد كبير من الأخطاء (فيروسات "الطالب"). أصبحت حياة مؤلفي الفيروسات أسهل بشكل ملحوظ مع تطور الإنترنت وظهور العديد من مواقع الويب التي تهدف إلى تعليم كيفية كتابة فيروسات الكمبيوتر. في كثير من الأحيان، يمكنك العثور على نصوص مصدر جاهزة، حيث تحتاج فقط إلى إجراء الحد الأدنى من تغييرات "المؤلف" وتجميعها بالطريقة الموصى بها.

المجموعة الثالثة وهي الأخطر، وهي التي تصنع وتطلق فيروسات "محترفة" إلى العالم. يتم إنشاء هذه البرامج المدروسة والمصححة بعناية بواسطة مبرمجين محترفين، وغالبًا ما يكونون موهوبين جدًا. غالبًا ما تستخدم مثل هذه الفيروسات خوارزميات أصلية تمامًا لاختراق مناطق بيانات النظام والأخطاء في أنظمة الأمان لبيئات التشغيل والهندسة الاجتماعية وغيرها من الحيل.

هناك مجموعة رابعة منفصلة من مؤلفي الفيروسات - "الباحثون" الذين يشاركون في اختراع طرق جديدة بشكل أساسي للعدوى والإخفاء ومكافحة الفيروسات وما إلى ذلك. في كثير من الأحيان لا يقوم مؤلفو هذه الفيروسات بتوزيع إبداعاتهم، ولكنهم يروجون بنشاط لأفكارهم من خلال العديد من موارد الإنترنت المخصصة لإنشاء الفيروسات. وفي الوقت نفسه، فإن الخطر الذي تشكله مثل هذه الفيروسات "البحثية" كبير جدًا أيضًا - بعد أن وقعت في أيدي "المحترفين" من المجموعة السابقة، تظهر هذه الأفكار بسرعة كبيرة في الفيروسات الجديدة.

3. وصف البرامج الضارة

تشتمل البرامج الضارة على ديدان الشبكة وفيروسات الملفات الكلاسيكية وأحصنة طروادة وأدوات القرصنة والبرامج الأخرى التي تتسبب عمدًا في إلحاق الضرر بالكمبيوتر الذي يتم تنفيذها عليه أو أجهزة الكمبيوتر الأخرى الموجودة على الشبكة.

3.1 الفيروسات متعددة الأشكال

فيروسات متعددة الأشكال- الفيروسات التي تقوم بتعديل شفرتها في البرامج المصابة بحيث لا تتطابق نسختان من نفس الفيروس في بت واحد. ويبدو أن هذا النوع من فيروسات الكمبيوتر هو الأخطر اليوم. لا تقوم مثل هذه الفيروسات بتشفير أكوادها البرمجية باستخدام مسارات تشفير مختلفة فحسب، بل تحتوي أيضًا على أكواد إنشاء التشفير وفك التشفير، وهو ما يميزها عن فيروسات التشفير العادية، التي يمكنها أيضًا تشفير أجزاء من أكوادها البرمجية، ولكنها تحتوي في الوقت نفسه على كود تشفير وفك تشفير ثابت. .

3.2 الفيروسات الخفية

فيروسات التخفيخداع برامج مكافحة الفيروسات، ونتيجة لذلك، تظل غير مكتشفة. ومع ذلك، هناك طريقة بسيطة لتعطيل آلية التمويه للفيروسات الخفية. يكفي تشغيل الكمبيوتر من قرص مرن للنظام غير مصاب، وعلى الفور، دون تشغيل برامج أخرى من قرص الكمبيوتر (والذي قد يكون مصابًا أيضًا)، قم بفحص الكمبيوتر باستخدام برنامج مكافحة الفيروسات. عند تحميله من قرص مرن للنظام، لا يستطيع الفيروس التحكم وتثبيت وحدة مقيمة في ذاكرة الوصول العشوائي (RAM) تنفذ آلية التخفي. سيتمكن برنامج مكافحة الفيروسات من قراءة المعلومات المكتوبة فعليًا على القرص وسيكتشف الفيروس بسهولة.

3.3 فيروسات طروادة

حصان طروادة- هذا برنامج يحتوي على بعض الوظائف التدميرية، والتي يتم تنشيطها عند حدوث حالة تشغيل معينة. عادةً ما يتم إخفاء هذه البرامج في شكل بعض الأدوات المساعدة المفيدة. "أحصنة طروادة" هي برامج تقوم أيضًا، بالإضافة إلى الوظائف الموضحة في الوثائق، بتنفيذ بعض الوظائف الأخرى المرتبطة بالانتهاكات الأمنية والإجراءات المدمرة. كانت هناك حالات تم فيها إنشاء مثل هذه البرامج لتسهيل انتشار الفيروسات. يتم نشر قوائم هذه البرامج على نطاق واسع في الصحافة الأجنبية. وعادة ما تكون متخفية في صورة برامج ألعاب أو ترفيه وتسبب ضررًا مصحوبًا بالصور أو الموسيقى الجميلة.

تحتوي الإشارات المرجعية للبرامج أيضًا على بعض الوظائف الضارة بالطائرة، ولكن هذه الوظيفة، على العكس من ذلك، تحاول أن تكون غير واضحة قدر الإمكان، لأن كلما طالت فترة عدم إثارة البرنامج للشكوك، كلما طالت مدة عمل الإشارة المرجعية.

3.4 الديدان

الديدانتسمى الفيروسات التي تنتشر عبر الشبكات العالمية، وتصيب الأنظمة بأكملها بدلاً من البرامج الفردية. وهذا هو أخطر أنواع الفيروسات، لأنه في هذه الحالة تصبح أنظمة المعلومات على المستوى الوطني هدفًا للهجوم. ومع ظهور شبكة الإنترنت العالمية، أصبح هذا النوع من الاختراقات الأمنية يشكل التهديد الأكبر، حيث يمكن أن يتعرض لها أي من أجهزة الكمبيوتر المتصلة بهذه الشبكة والبالغ عددها 40 مليون جهاز في أي وقت.

4. علامات الفيروسات

عندما يصاب جهاز الكمبيوتر الخاص بك بفيروس، فمن المهم اكتشافه. للقيام بذلك، يجب أن تعرف عن العلامات الرئيسية للفيروسات. وتشمل هذه ما يلي:

1. توقف التشغيل أو التشغيل غير الصحيح للبرامج التي كانت تعمل بنجاح سابقًا

2. الكمبيوتر بطيء

3. عدم القدرة على تحميل نظام التشغيل

4. اختفاء الملفات والأدلة أو تلف محتوياتها

5. تغيير تاريخ ووقت تعديل الملف

6. تغيير حجم الملفات

7. زيادة كبيرة غير متوقعة في عدد الملفات الموجودة على القرص

8. تخفيض كبير في حجم ذاكرة الوصول العشوائي المجانية

9. عرض رسائل أو صور غير متوقعة

10. إعطاء إشارات صوتية غير متوقعة

11. التجميد المتكرر وتعطل الكمبيوتر

تجدر الإشارة إلى أن الظواهر المذكورة أعلاه ليست بالضرورة ناجمة عن وجود فيروس، بل قد تكون نتيجة لأسباب أخرى. لذلك، من الصعب دائمًا تشخيص حالة الكمبيوتر بشكل صحيح.

5. مكافحة الفيروسات

في جميع الأوقات، كانت هناك برامج ضارة تحمي نفسها بنشاط كبير. وقد تشمل هذه الحماية ما يلي:

البحث عن قصد في النظام عن برنامج مكافحة فيروسات أو جدار حماية أو أي أداة أمنية أخرى وتعطيل تشغيله. ومن الأمثلة على ذلك قيام برنامج ضار بالبحث عن اسم برنامج مكافحة فيروسات محدد في قائمة العمليات ومحاولة إلغاء تحميل برنامج مكافحة الفيروسات هذا؛

حظر الملفات وفتحها بوصول خاص كإجراء مضاد ضد برامج مكافحة فيروسات الملفات؛

تعديل ملف المضيفين لمنع الوصول إلى مواقع تحديث برامج مكافحة الفيروسات؛

يكتشف نوافذ مطالبات الأمان ويحاكي النقر فوق الزر "السماح".

في الواقع، يعد الهجوم المستهدف على الدفاعات بمثابة "إجراء قسري" لحماية شخص ما على الحائط، أكثر من كونه هجومًا نشطًا. في الظروف الحديثة، عندما تقوم برامج مكافحة الفيروسات بتحليل ليس فقط رمز البرامج الضارة، ولكن أيضا سلوكها، فإن الأخير يجد نفسه أكثر أو أقل عزلا: لا تعدد الأشكال، ولا التعبئة والتغليف، ولا حتى تقنيات الإخفاء في النظام توفر لهم الحماية الكاملة. لذلك، يمكن للبرامج الضارة أن تستهدف فقط المظاهر أو الوظائف الفردية لـ "العدو". وباستثناء الضرورة التي لا مفر منها، فإن طريقة الدفاع عن النفس هذه لن تحظى بشعبية كبيرة، لأنها غير مواتية للغاية من وجهة نظر أوسع حماية ممكنة.

خاتمة

من كل ما سبق، يمكننا أن نستنتج أن فيروس الكمبيوتر هو برنامج صغير مكتوب خصيصًا يمكنه "نسب" نفسه إلى برامج أخرى، بالإضافة إلى تنفيذ العديد من الإجراءات غير المرغوب فيها على الكمبيوتر. البرنامج الذي يحتوي على فيروس يسمى "مصاب". عندما يبدأ مثل هذا البرنامج في العمل، يتولى الفيروس السيطرة أولاً. يعثر الفيروس على برامج أخرى و"يصيبها"، ويقوم أيضًا ببعض الإجراءات الضارة (على سبيل المثال، يفسد الملفات أو جدول تخصيص الملفات على القرص، أو "يسد" ذاكرة الوصول العشوائي، وما إلى ذلك). الفيروس هو برنامج لديه القدرة على إعادة إنتاج نفسه. هذه القدرة هي الخاصية الوحيدة المتأصلة في جميع أنواع الفيروسات. ولا يمكن للفيروس أن يتواجد في "عزلة تامة". هذا يعني أنه من المستحيل اليوم تخيل فيروس لا يستخدم بطريقة أو بأخرى كود البرامج الأخرى، أو معلومات حول بنية الملف، أو حتى أسماء البرامج الأخرى فقط. والسبب في ذلك واضح تمامًا: يجب أن يضمن الفيروس بطريقة أو بأخرى نقل السيطرة إلى نفسه.

الطريقة الأكثر فعالية للحماية من فيروسات الكمبيوتر هي عدم إدخال المعلومات إلى الكمبيوتر من الخارج. ولكن، لسوء الحظ، يكاد يكون من المستحيل حماية نفسك بنسبة 100٪ من الفيروسات (وهذا يعني أن المستخدم يتبادل الأقراص المرنة مع الأصدقاء ويلعب الألعاب، ويتلقى أيضًا معلومات من الآخرين).

فهرس

1. ليونتييف ف.ب. أحدث موسوعة للكمبيوتر الشخصي 2003. - الطبعة الخامسة، منقحة. وإضافية - م: أولما برس، 2003

2. ليفين أ.ش. دليل التعليمات الذاتية للعمل على الكمبيوتر - الطبعة التاسعة، سانت بطرسبرغ: بيتر، 2006

3. www.yandex. رو

4. www.google. رو

4. القرص المضغوط. الأفضل على الإطلاق: المقالات والدورات الدراسية والدبلومات، 2007

فيروسات قطاع التمهيد المنزلية. البرامج التي تتم كتابتها في ذيل برنامج التمهيد على محرك الأقراص C: أو استبدالها، وأداءها ووظائفها الخاصة منذ لحظة الإصابة. تدخل هذه الفيروسات إلى الجهاز عند التشغيل من قرص مرن مصاب. عند قراءة برنامج التمهيد وتنفيذه، يتم تحميل الفيروس إلى الذاكرة ويصيب كل ما "مصمم" للقيام به.

فيروسات التمهيد الخاصة بسجل التمهيد الرئيسي. إنها تصيب سجل التمهيد الرئيسي للنظام على محركات الأقراص الثابتة وقطاع التمهيد على الأقراص المرنة. يتحكم هذا النوع من الفيروسات في النظام عند أدنى مستوى عن طريق اعتراض التعليمات بين أجهزة الكمبيوتر ونظام التشغيل.

· فيروسات الماكرو: تستخدم بعض برامج الكمبيوتر لغات الماكرو لأتمتة الإجراءات التي يتم تنفيذها بشكل متكرر. مع ازدياد قوة أجهزة الكمبيوتر، أصبحت المشكلات التي تحلها أكثر تعقيدًا. توفر بعض لغات الماكرو إمكانية كتابة الملفات بتنسيقات أخرى غير المستند الأصلي. يمكن لمؤلفي الفيروسات استخدام هذه الميزة لإنشاء وحدات ماكرو تصيب المستندات. عادةً ما يتم توزيع فيروسات الماكرو من خلال ملفات Microsoft Word وExcel.
· الفيروسات المركبة: الفيروسات التي تظهر مجموعة من الخصائص المذكورة أعلاه. يمكنهم إصابة الملفات وقطاعات التمهيد وسجلات التمهيد الرئيسية.
· فيروسات الملفات: الآن دعونا نلقي نظرة على كيفية عمل فيروسات الملفات البسيطة. على عكس فيروسات التمهيد، التي تكون مقيمة دائمًا تقريبًا، فإن فيروسات الملفات ليست بالضرورة مقيمة. دعونا نفكر في مخطط عمل فيروس الملفات غير المقيم. لنفترض أن لدينا ملفًا قابلاً للتنفيذ مصابًا. عند تشغيل مثل هذا الملف، يكتسب الفيروس السيطرة، ويقوم ببعض الإجراءات وينقل التحكم إلى "المضيف"

ما هي الإجراءات التي يقوم بها الفيروس؟ يبحث عن كائن جديد لإصابته - ملف من النوع المناسب لم يتم إصابته بعد. من خلال إصابة ملف ما، يقوم الفيروس بحقن نفسه في الكود الخاص به من أجل التحكم عند تنفيذ الملف. بالإضافة إلى وظيفتها الرئيسية - التكاثر، قد يفعل الفيروس شيئًا معقدًا (على سبيل المثال، اسأل، العب) - وهذا يعتمد بالفعل على خيال مؤلف الفيروس. إذا كان فيروس الملف مقيمًا، فسوف يقوم بتثبيت نفسه في الذاكرة وسيكون قادرًا على إصابة الملفات وإظهار قدرات أخرى ليس فقط أثناء تشغيل الملف المصاب. عند إصابة ملف قابل للتنفيذ، يقوم الفيروس دائمًا بتغيير التعليمات البرمجية الخاصة به - وبالتالي، يمكن دائمًا اكتشاف إصابة ملف قابل للتنفيذ. ولكن من خلال تغيير رمز الملف، لا يقوم الفيروس بالضرورة بإجراء تغييرات أخرى:

· غير ملزم بتغيير طول الملف
الأقسام غير المستخدمة من التعليمات البرمجية
· لا يشترط تغيير بداية الملف

أخيرًا، غالبًا ما تشتمل فيروسات الملفات على فيروسات "لها بعض العلاقة بالملفات" ولكن لا يلزم تضمينها في التعليمات البرمجية الخاصة بها.

وبالتالي، عند إطلاق أي ملف، يكتسب الفيروس السيطرة (يقوم نظام التشغيل بتشغيله بنفسه)، ويقوم بتثبيت نفسه في الذاكرة وينقل التحكم إلى الملف المطلوب.

· فيروسات ملفات التمهيد: لن نأخذ بعين الاعتبار نموذج فيروسات ملفات التمهيد، لأنك لن تتعلم أي معلومات جديدة. ولكن هنا فرصة جيدة لمناقشة فيروس ملفات التمهيد "الرائج" مؤخرًا OneHalf بإيجاز، والذي يصيب قطاع التمهيد الرئيسي (MBR) والملفات القابلة للتنفيذ. التأثير المدمر الرئيسي هو تشفير قطاعات القرص الصلب. في كل مرة يتم إطلاقه، يقوم الفيروس بتشفير جزء آخر من القطاعات، وبعد تشفير نصف القرص الصلب، يبلغ عن ذلك بكل سرور. المشكلة الرئيسية في علاج هذا الفيروس هي أنه لا يكفي مجرد إزالة الفيروس من MBR والملفات، بل يجب عليك فك تشفير المعلومات المشفرة به.
· الفيروسات متعددة الأشكال: أغلب الأسئلة تتعلق بمصطلح "الفيروس متعدد الأشكال". ويبدو أن هذا النوع من فيروسات الكمبيوتر هو الأخطر اليوم. دعونا نشرح ما هو عليه.

الفيروسات متعددة الأشكال هي فيروسات تقوم بتعديل التعليمات البرمجية الخاصة بها في البرامج المصابة بطريقة قد لا تتطابق فيها نسختان من نفس الفيروس في بت واحد.

لا تقوم مثل هذه الفيروسات بتشفير أكوادها البرمجية باستخدام مسارات تشفير مختلفة فحسب، بل تحتوي أيضًا على أكواد إنشاء التشفير وفك التشفير، وهو ما يميزها عن فيروسات التشفير العادية، التي يمكنها أيضًا تشفير أجزاء من أكوادها البرمجية، ولكنها تحتوي في الوقت نفسه على كود تشفير وفك تشفير ثابت. .

الفيروسات متعددة الأشكال هي فيروسات ذات أدوات فك تشفير ذاتية التعديل. الغرض من هذا التشفير: إذا كان لديك ملف مصاب وأصلي، فلن تتمكن من تحليل الكود الخاص به باستخدام التفكيك العادي. هذا الرمز مشفر وهو عبارة عن مجموعة من الأوامر لا معنى لها. يتم فك التشفير بواسطة الفيروس نفسه أثناء التنفيذ. في هذه الحالة، تكون الخيارات ممكنة: يمكنه فك تشفير نفسه مرة واحدة، أو يمكنه تنفيذ عملية فك التشفير هذه "بسرعة"، أو يمكنه إعادة تشفير الأقسام التي تم استخدامها بالفعل. يتم كل هذا لتجعل من الصعب تحليل كود الفيروس.

· الفيروسات الخفية: عند فحص جهاز كمبيوتر، تقوم برامج مكافحة الفيروسات بقراءة البيانات - الملفات ومناطق النظام من محركات الأقراص الثابتة والأقراص المرنة، باستخدام نظام التشغيل ونظام الإدخال/الإخراج الأساسي BIOS. يترك عدد من الفيروسات، بعد إطلاقها، وحدات خاصة في ذاكرة الوصول العشوائي للكمبيوتر، والتي تعترض البرامج التي تصل إلى النظام الفرعي للقرص بالكمبيوتر. إذا اكتشفت هذه الوحدة أن أحد البرامج يحاول قراءة ملف مصاب أو منطقة نظام على القرص، فإنها تحل محل البيانات التي تتم قراءتها بسرعة، كما لو لم يكن هناك فيروس على القرص.

تخدع الفيروسات المخفية برامج مكافحة الفيروسات، ونتيجة لذلك، تظل غير مكتشفة. ومع ذلك، هناك طريقة بسيطة لتعطيل آلية التمويه للفيروسات الخفية. يكفي تشغيل الكمبيوتر من قرص مرن للنظام غير مصاب، وعلى الفور، دون تشغيل برامج أخرى من قرص الكمبيوتر (والذي قد يكون مصابًا أيضًا)، قم بفحص الكمبيوتر باستخدام برنامج مكافحة الفيروسات.

عند تحميله من قرص مرن للنظام، لا يستطيع الفيروس التحكم وتثبيت وحدة مقيمة في ذاكرة الوصول العشوائي (RAM) تنفذ آلية التخفي. سيتمكن برنامج مكافحة الفيروسات من قراءة المعلومات المكتوبة فعليًا على القرص وسيكتشف الفيروس بسهولة.

· أحصنة طروادة وإشارات البرامج وديدان الشبكة: حصان طروادة (انظر الملحق 2، الشكل 2) هو برنامج يحتوي على بعض الوظائف التدميرية التي يتم تنشيطها عند حدوث حالة تشغيل معينة. عادةً ما يتم إخفاء هذه البرامج في شكل بعض الأدوات المساعدة المفيدة. يمكن للفيروسات أن تحمل أحصنة طروادة أو "تروجانز" البرامج الأخرى - مما يؤدي إلى إدخال وظائف مدمرة فيها.

"أحصنة طروادة" هي برامج تقوم أيضًا، بالإضافة إلى الوظائف الموضحة في الوثائق، بتنفيذ بعض الوظائف الأخرى المرتبطة بالانتهاكات الأمنية والإجراءات المدمرة. كانت هناك حالات تم فيها إنشاء مثل هذه البرامج لتسهيل انتشار الفيروسات. يتم نشر قوائم هذه البرامج على نطاق واسع في الصحافة الأجنبية. وعادة ما تكون متخفية في صورة برامج ألعاب أو ترفيه وتسبب ضررًا مصحوبًا بالصور أو الموسيقى الجميلة.

· تحتوي الإشارات المرجعية للبرامج أيضًا على بعض الوظائف الضارة بالطائرة، لكن هذه الوظيفة، على العكس من ذلك، تحاول أن تكون غير واضحة قدر الإمكان، لأن كلما طالت فترة عدم إثارة البرنامج للشكوك، كلما طالت مدة عمل الإشارة المرجعية.

إذا تسببت الفيروسات وأحصنة طروادة في حدوث أضرار من خلال الانتشار الذاتي الشبيه بالانهيار الجليدي أو التدمير التام، فإن الوظيفة الرئيسية للفيروسات الدودية العاملة في شبكات الكمبيوتر هي اختراق النظام المهاجم، أي اختراق النظام الذي تمت مهاجمته. التغلب على الحماية للمساس بالأمن والنزاهة.

وفي أكثر من 80% من جرائم الكمبيوتر التي حقق فيها مكتب التحقيقات الفيدرالي، تخترق "المفرقعات" النظام الذي تمت مهاجمته عبر الإنترنت. عندما تنجح مثل هذه المحاولة، فإن مستقبل الشركة التي استغرق بناؤها سنوات قد يتعرض للخطر في غضون ثوانٍ.

يمكن أتمتة هذه العملية باستخدام فيروس يسمى دودة الشبكة.

· الديدان هي فيروسات تنتشر عبر الشبكات العالمية، فتصيب أنظمة بأكملها بدلاً من البرامج الفردية. وهذا هو أخطر أنواع الفيروسات، لأنه في هذه الحالة تصبح أنظمة المعلومات على المستوى الوطني هدفًا للهجوم. ومع ظهور شبكة الإنترنت العالمية، أصبح هذا النوع من الاختراقات الأمنية يشكل التهديد الأكبر، حيث يمكن أن يتعرض لها أي من أجهزة الكمبيوتر المتصلة بهذه الشبكة والبالغ عددها 40 مليون جهاز في أي وقت.

برنامج فيروسات للكمبيوتر

كما ذكرنا سابقًا، فإن أكثر الفيروسات شيوعًا هي أحصنة طروادة، والفيروسات متعددة الأشكال، وفيروسات التشفير غير متعددة الأشكال، والفيروسات الخفية، والفيروسات البطيئة، والفيروسات الرجعية، والفيروسات المركبة، والفيروسات المسلحة، والفيروسات العاثيات، وفيروسات الماكرو. يقوم كل منهم ببعض الإجراءات المحددة:

1. أحصنة طروادة هي فيروسات تختبئ في ملفات البيانات (على سبيل المثال، الملفات أو المستندات المضغوطة). ولتجنب اكتشافها، يتم أيضًا إخفاء بعض أنواع أحصنة طروادة في الملفات القابلة للتنفيذ. وبالتالي، يمكن تحديد موقع هذا البرنامج في ملفات البرنامج وفي ملفات المكتبة التي جاءت في شكل مضغوط. ومع ذلك، غالبًا ما تحتوي أحصنة طروادة على إجراءات فيروسية فقط. ولعل أفضل تعريف لأحصنة طروادة يأتي من دان إدواردز، وهو متسلل سابق يقوم الآن بتطوير برامج مكافحة الفيروسات لوكالة الأمن القومي (إدارة الأمن القومي). وفقًا لدان، فإن حصان طروادة هو "برنامج غير آمن يتنكر في شكل تطبيق غير ضار، مثل أرشيفي أو لعبة أو (مشهور في عام 1990) برنامج للكشف عن الفيروسات وتدميرها." تكتشف معظم برامج مكافحة الفيروسات الجديدة جميع أحصنة طروادة تقريبًا.

أحد أشهر أحصنة طروادة هو برنامج Crackerjack. مثل جميع أدوات اختراق كلمات المرور الأخرى المتاحة على الإنترنت، اختبر هذا البرنامج القوة النسبية لكلمات المرور الموجودة في الملف المحدد. وبعد إطلاقه، عرض قائمة بكلمات المرور المخترقة وطلب من المستخدم حذف هذا الملف. لم يقتصر الإصدار الأول من البرنامج على كسر كلمات المرور فحسب، بل نقلها أيضًا إلى مؤلف حصان طروادة. تبين أن Crackerjack أداة مفيدة جدًا، كما ترون بنفسك. للقيام بذلك، فقط قم بتنزيل البرنامج من الإنترنت.

2. الفيروسات متعددة الأشكال هي فيروسات تقوم بتشفير جسمها وبالتالي يمكنها تجنب اكتشافها عن طريق التحقق من توقيع الفيروس. قبل بدء العمل، يقوم هذا الفيروس بفك تشفير نفسه باستخدام إجراء فك تشفير خاص. كما تمت مناقشته في الفصل الرابع، فإن إجراء فك التشفير يحول المعلومات المشفرة إلى معلومات عادية. لفك تشفير جسم الفيروس، يتحكم إجراء فك التشفير في الجهاز. بعد فك التشفير، يتم نقل السيطرة على الكمبيوتر إلى الفيروس الذي تم فك تشفيره. كانت فيروسات التشفير الأولى غير متعددة الأشكال. بمعنى آخر، لم يتغير إجراء فك تشفير الفيروس من نسخة إلى أخرى. ولذلك، يمكن لبرامج مكافحة الفيروسات اكتشاف الفيروس عن طريق التوقيع المتأصل في إجراء فك التشفير. ولكن سرعان ما تغير الوضع بشكل جذري. من الصعب جدًا اكتشاف الفيروسات متعددة الأشكال. والحقيقة هي أنها تولد إجراءات فك تشفير جديدة تمامًا مع كل إصابة جديدة. وبفضل هذا، يتغير توقيع الفيروس من ملف إلى آخر. لتغيير إجراء التشفير، يتم استخدام مولد رمز آلي بسيط إلى حد ما، يسمى مولد الطفرة. ويستخدم منشئ أرقام عشوائية وخوارزمية بسيطة إلى حد ما لتغيير توقيع الفيروس. بمساعدتها، يمكن للمبرمج تحويل أي فيروس إلى فيروس متعدد الأشكال. وللقيام بذلك، يجب تغيير نص الفيروس بحيث يستدعي مولد الطفرة قبل كل إنشاء لنسخته.

على الرغم من أنه لا يمكن اكتشاف الفيروسات متعددة الأشكال باستخدام طرق المسح التقليدية (مثل مقارنة سطور التعليمات البرمجية)، إلا أنه لا يزال يتم اكتشافها بواسطة برامج خاصة لمكافحة الفيروسات. لذلك، يمكن اكتشاف الفيروسات متعددة الأشكال. ومع ذلك، تستغرق هذه العملية وقتًا طويلاً، كما أن إنشاء برنامج مكافحة فيروسات يتطلب جهدًا أكبر بكثير. تبحث آخر تحديثات برامج مكافحة الفيروسات عن إجراءات التشفير التي تكتشف الفيروسات متعددة الأشكال. يغير الفيروس متعدد الأشكال توقيعه عند إنشاء نسخة أخرى. من ملف إلى ملف.

3. فيروسات التخفي هي فيروسات تخفي التغييرات التي تم إنشاؤها في ملف مصاب. للقيام بذلك، يقومون بمراقبة وظائف النظام لقراءة الملفات أو القطاعات الموجودة على وسائط التخزين. إذا تم استدعاء مثل هذه الوظيفة، يحاول الفيروس تغيير النتائج التي يتلقاها: بدلاً من المعلومات الحقيقية، يقوم الفيروس بتمرير بيانات ملف غير مصاب إلى الوظيفة. وبالتالي، لا يتمكن برنامج مكافحة الفيروسات من اكتشاف أي تغييرات في الملف. ولكن، من أجل اعتراض مكالمات النظام، يجب أن يكون الفيروس موجودًا في ذاكرة الجهاز. يمكن لجميع برامج مكافحة الفيروسات الجيدة بشكل معقول اكتشاف مثل هذه الفيروسات أثناء تنزيل برنامج مصاب. من الأمثلة الجيدة على فيروسات التخفي هو أحد فيروسات DOS الأولى الموثقة، Brain. قام فيروس التمهيد هذا بمراقبة جميع عمليات الإدخال/الإخراج لنظام القرص وأعاد توجيه المكالمة كلما حاول النظام قراءة قطاع تمهيد مصاب. في هذه الحالة، يقرأ النظام المعلومات ليس من قطاع التمهيد، ولكن من المكان الذي حفظ فيه الفيروس نسخة من هذا القطاع. فيروسات التخفي هي أيضًا فيروسات الأرقام والوحش وفرودو. في لغة المبرمجين، يقومون باعتراض المقاطعة 21H، مقاطعة DOS الرئيسية. ولذلك، فإن أي أمر مستخدم قادر على اكتشاف وجود فيروس، تتم إعادة توجيهه بواسطة الفيروس إلى موقع محدد في الذاكرة. وبفضل هذا، لا يمكن للمستخدم "ملاحظة" الفيروس. كقاعدة عامة، تكون الفيروسات الخفية إما غير مرئية في الحجم أو غير مرئية للقراءة. تنتمي الفيروسات ذات الحجم غير المرئي إلى نوع فرعي من الفيروسات التي تصيب الملفات. تقوم هذه الفيروسات بإدخال جسمها داخل الملف، مما يؤدي إلى زيادة حجمه. ومع ذلك، يقوم الفيروس بتغيير معلومات حجم الملف بحيث لا يتمكن المستخدم من اكتشاف وجوده. بمعنى آخر، يشير النظام إلى أن طول الملف المصاب يساوي طول الملف العادي (غير المصاب). تعترض الفيروسات غير المرئية للقراءة (مثل Stoned.Monkey) طلبات قراءة سجل أو ملف تمهيد مصاب وتقدم ردًا على ذلك المعلومات الأصلية، التي لم يتم تعديلها بواسطة الفيروس. ومرة أخرى، يتعذر على المستخدم اكتشاف وجود الفيروس. من السهل جدًا اكتشاف فيروسات التخفي. تلتقط معظم برامج مكافحة الفيروسات القياسية الفيروسات الخفية. للقيام بذلك، يكفي تشغيل برنامج مكافحة الفيروسات قبل أن يتم وضع الفيروس في ذاكرة الجهاز. تحتاج إلى بدء تشغيل جهاز الكمبيوتر الخاص بك من قرص تمهيد مرن فارغ ثم تشغيل برنامج مكافحة الفيروسات. كما ذكرنا سابقًا، لا يمكن للفيروسات الخفية أن تمويه نفسها إلا إذا كانت موجودة بالفعل في الذاكرة. إذا لم يكن الأمر كذلك، فسيكتشف برنامج مكافحة الفيروسات بسهولة وجود مثل هذه الفيروسات على القرص الصلب.
4. من الصعب جدًا اكتشاف الفيروسات البطيئة لأنها تصيب فقط الملفات التي تم تعديلها أو نسخها بواسطة نظام التشغيل. بمعنى آخر، يصيب الفيروس البطيء أي ملف قابل للتنفيذ، ويقوم بذلك في اللحظة التي يقوم فيها المستخدم بإجراء بعض العمليات على هذا الملف. على سبيل المثال، يمكن أن يصيب فيروس بطيء سجل التمهيد الخاص بقرص مرن عند تنفيذ أوامر النظام التي تغير هذا السجل (على سبيل المثال، FORMAT أو SYS). يمكن أن يصيب الفيروس البطيء نسخة من الملف دون إصابة الملف المصدر. أحد أشهر الفيروسات البطيئة هو Darth_Vader، الذي يصيب ملفات COM فقط وأثناء كتابتها فقط.

يعد اكتشاف الفيروسات البطيئة عملية معقدة إلى حد ما. يجب على حارس السلامة اكتشاف الملف الجديد وإبلاغ المستخدم بأن الملف لا يحتوي على قيمة المجموع الاختباري. Integrity Guardian هو برنامج مضاد للفيروسات يراقب محتويات محركات الأقراص الثابتة، بالإضافة إلى الحجم والمجموع الاختباري لكل ملف موجود عليها. إذا اكتشف الوصي تغييرات في المحتوى أو الحجم، فسوف يقوم بإخطار المستخدم على الفور. ومع ذلك، سيتم إصدار الرسالة أيضًا إذا قام المستخدم بنفسه بإنشاء ملف جديد. لذلك، من المرجح أن يقوم المستخدم بإرشاد حارس السلامة لحساب المجموع الاختباري الجديد للملف الجديد (المصاب).

العلاج الأكثر نجاحا ضد الفيروسات البطيئة هو قذائف النزاهة. قذائف النزاهة هي حراس النزاهة المقيمين. إنهم موجودون باستمرار في ذاكرة الكمبيوتر ويراقبون إنشاء كل ملف جديد، ولا توجد فرصة للفيروس تقريبًا. هناك طريقة أخرى للتحقق من النزاهة وهي إنشاء مصائد. هنا، يقوم برنامج مكافحة الفيروسات الخاص بإنشاء العديد من ملفات COM و EXE بمحتوى محدد. يقوم البرنامج بعد ذلك بالتحقق من محتويات هذه الملفات. إذا أصابهم فيروس بطيء، فسيعلم المستخدم بذلك على الفور. على سبيل المثال، قد يكون هناك فيروس بطيء يراقب برنامج نسخ الملفات. إذا استوفى DOS طلب النسخ، فسيقوم الفيروس بوضع جسمه في نسخة جديدة من الملف.

5. الفيروس الرجعي هو فيروس يحاول تجاوز برامج مكافحة الفيروسات أو التدخل فيها. بمعنى آخر، تهاجم هذه الفيروسات برامج مكافحة الفيروسات. يطلق متخصصو الكمبيوتر على الفيروسات الرجعية مضادات الفيروسات. (لا تخلط بين برامج مكافحة الفيروسات وفيروسات مكافحة الفيروسات - الفيروسات المصممة لتدمير الفيروسات الأخرى.) يعد إنشاء فيروس رجعي مهمة بسيطة نسبيًا. بعد كل شيء، يستطيع منشئو الفيروسات الوصول إلى جميع برامج مكافحة الفيروسات. من خلال شراء مثل هذا البرنامج، يقومون بدراسة تشغيله، والعثور على ثغرات في الدفاع، ثم إنشاء فيروس بناءً على الأخطاء المكتشفة. تبحث معظم الفيروسات القديمة عن الملفات التي تحتوي على بيانات توقيع الفيروس وتحذفها. وبالتالي، فإن برنامج مكافحة الفيروسات الذي يستخدم هذا الملف لم يعد قادرًا على العمل بشكل طبيعي. تقوم الفيروسات القهقرية الأكثر تعقيدًا بالبحث عن قواعد البيانات التي تحتوي على معلومات حول سلامة الملفات وحذفها. إن حذف قاعدة البيانات هذه له نفس التأثير على حارس السلامة مثل حذف الملفات التي تحتوي على توقيعات فيروسات على برنامج مكافحة الفيروسات. تكتشف العديد من الفيروسات الرجعية تنشيط برامج مكافحة الفيروسات ثم تختبئ من البرنامج أو توقف تنفيذه. بالإضافة إلى ذلك، يمكنهم بدء إجراء التدمير قبل أن يكتشف برنامج مكافحة الفيروسات وجودهم. تقوم بعض الفيروسات القهقرية بتعديل غلاف حوسبة مكافحة الفيروسات وبالتالي تؤثر على تنفيذ برامج مكافحة الفيروسات. بالإضافة إلى ذلك، هناك فيروسات قديمة تستغل أوجه القصور في برامج مكافحة الفيروسات لإبطائها أو إبطال فعاليتها.
6. تصيب الفيروسات المركبة كلاً من الملفات القابلة للتنفيذ وقطاعات التمهيد للأقراص. وبالإضافة إلى ذلك، فإنها يمكن أن تصيب قطاعات التمهيد للأقراص المرنة. لقد حصلوا على هذا الاسم لأنهم يصيبون جهاز الكمبيوتر بطرق مختلفة. بمعنى آخر، لا تقتصر على نوع ملف واحد أو موقع قرص محدد. إذا قمت بتشغيل برنامج مصاب، فسيصيب الفيروس سجل التمهيد الخاص بمحرك الأقراص الثابتة لديك. في المرة التالية التي تقوم فيها بتشغيل الجهاز، سيتم تنشيط الفيروس وسيصيب جميع البرامج قيد التشغيل. ومن أشهر الفيروسات المركبة فيروس وان هاف (One-Half) الذي يتميز بخصائص الفيروس الخفي والفيروس متعدد الأشكال.
7. تحمي الفيروسات المسلحة نفسها باستخدام كود خاص، مما يجعل من الصعب للغاية تتبع الفيروس وتفكيكه. يمكن للفيروسات المسلحة استخدام "دمية" لحماية نفسها. هذا رمز يسمح لك بتحويل مطور برامج مكافحة الفيروسات عن رمز الفيروس الحقيقي. بالإضافة إلى ذلك، قد يشتمل الفيروس على جزء خاص يشير إلى أن الفيروس موجود في مكان واحد، على الرغم من أنه في الواقع لن يكون هناك. أحد أشهر الفيروسات المسلحة هو فيروس الحوت.
8. الفيروسات رفاق. حصلت هذه الفيروسات على اسمها لأنها، بالتوازي مع الملف الذي تصيبه، تقوم بإنشاء ملف يحمل نفس الاسم، ولكن بامتداد مختلف. على سبيل المثال، قد يقوم فيروس مصاحب بتخزين جسمه في الملف winword.com. بفضل هذا، قبل كل إطلاق لملف winword.exe، سيقوم نظام التشغيل بتشغيل ملف winword.com، والذي سيكون موجودا في ذاكرة الكمبيوتر. عادة، يتم إنشاء الفيروسات المصاحبة بواسطة فيروسات العاثيات.
9. النوع الكلاسيكي الأخير من الفيروسات هو فيروسات العاثيات. فيروس العاثيات هو برنامج يقوم بتعديل البرامج أو قواعد البيانات الأخرى. يطلق متخصصو الكمبيوتر على هذه الفيروسات اسم العاثيات لأنها تتصرف مثل الكائنات الحية الدقيقة. في الطبيعة، تعد فيروسات العاثيات كائنات دقيقة ضارة بشكل خاص، حيث تستبدل محتويات الخلية بمحتوياتها الخاصة. عادةً ما تستبدل العاثيات نص البرنامج بالرمز الخاص بها. غالبًا ما يكونون منشئي الفيروسات المصاحبة. Phages هي أخطر أنواع الفيروسات. والحقيقة هي أنها لا تتكاثر وتصيب البرامج الأخرى فحسب، بل تسعى أيضًا إلى تدمير جميع البرامج المصابة.
10. دودة. في الفصل الأول من هذه الدورة، تحدثت بالفعل عن دودة الإنترنت الشهيرة التي ظهرت في أواخر الثمانينات. كما ذكرنا سابقًا، كانت دودة الإنترنت (المعروفة أيضًا باسم دودة موريس) أول فيروس يصيب الإنترنت. وقد جعل هذا الفيروس تشغيل الكمبيوتر مستحيلاً، حيث قام بإنشاء عدد هائل من النسخ منه في ذاكرة الكمبيوتر. وبما أن الدودة تحاول إيقاف الكمبيوتر المصاب، فيجب على منشئ الفيروس أن يمنحه القدرة على التحرك عبر الشبكة من جهاز إلى آخر. لقد تحدثت بالفعل عن كيفية نسخ الديدان لنفسها إلى أجهزة كمبيوتر أخرى باستخدام البروتوكولات والأنظمة الموضحة في الفصل الثاني. يعد التشغيل عن بعد ضروريًا لأنه بعد إيقاف الجهاز، سيحاول المستخدم تنظيف جميع الفيروسات الموجودة على القرص الصلب. لا تحتاج الديدان إلى تغيير البرامج المضيفة حتى تنتشر. لكي تعمل الديدان بشكل صحيح، فإنها تتطلب أنظمة تشغيل توفر إمكانيات التنفيذ عن بعد وتسمح بتنفيذ البرامج الواردة على الكمبيوتر. في عام 1988، كان لدى نظام تشغيل واحد فقط مثل هذه القدرات - يونكس. حتى وقت قريب، لم يكن من الممكن إصابة العديد من أجهزة الكمبيوتر الشخصية بفيروسات متنقلة - لا يسمح DOS ولا Windows 95 بذلك. ومع ذلك، يتمتع Windows NT بالفعل بإمكانيات التنفيذ عن بعد، وبالتالي يمكنه دعم تشغيل الفيروسات الدودية.

أحد الفيروسات الأكثر شيوعًا على الإنترنت هو WINSTART. لقد حصل على اسمه من اسم الملف - winstart.bat - الذي يوجد به عادةً جسم الفيروس. تقوم هذه الدودة، مثل العديد من الدودة الأخرى، بنسخ نفسها في ذاكرة الجهاز حتى يتم تعطيل نظام التشغيل. بعد ذلك، يتجمد الكمبيوتر تلقائيًا. أثناء تنفيذه، يبحث الفيروس في نفس الوقت عن الضحية التالية. ومن المفارقات أن الدودة ليست مجرد نوع معين من الفيروسات، ولكنها أيضًا أداة مفيدة جدًا لمكافحة الفيروسات. عيب معظم أدوات التدقيق القياسية وأدوات حماية النزاهة هو أنها يمكن أن تقع أيضًا ضحية للفيروسات. ومع ذلك، من الممكن تخزين المعلومات والبرامج الأمنية على وسائط معزولة وغير قابلة للتغيير. تعتبر أقراص WORM هي الأكثر ملاءمة لهذه الأغراض. ("اكتب مرة واحدة، اقرأ عدة مرات" - سجل واحد، قراءة متعددة؛ تتم ترجمة الكلمة الإنجليزية worm على أنها دودة. - ملاحظة المترجم). عادةً ما يكون محرك الأقراص WORM عبارة عن جهاز تخزين بصري يمكنه التعامل مع أقراص WORM متعددة.

تشمل فيروسات الكمبيوتر أيضًا ما يسمى بأحصنة طروادة (برامج طروادة، أحصنة طروادة).

فيروسات البرمجيات.

يؤدي تشغيل هذا الرمز إلى حدوث تغييرات مخفية عن المستخدم في نظام ملفات محركات الأقراص الثابتة و/أو في محتويات البرامج الأخرى. على سبيل المثال، يمكن للشفرة الفيروسية إعادة إنتاج نفسها في نص البرامج الأخرى - وتسمى هذه العملية بالنسخ المتماثل. بعد وقت معين، بعد إنشاء عدد كاف من النسخ، يمكن لفيروس البرنامج أن ينتقل إلى إجراءات مدمرة: تعطيل تشغيل البرامج ونظام التشغيل، وحذف المعلومات المخزنة على القرص الصلب. وتسمى هذه العملية هجوم الفيروس.

يُعتقد أنه لا يوجد فيروس يمكنه إتلاف أجهزة الكمبيوتر. ومع ذلك، هناك أوقات تكون فيها الأجهزة والبرامج مترابطة بشكل كبير بحيث يجب حل تلف البرامج عن طريق استبدال الأجهزة. على سبيل المثال، تقوم معظم اللوحات الأم الحديثة بتخزين نظام الإدخال/الإخراج الأساسي (BIOS) في ذاكرة للقراءة فقط قابلة لإعادة الكتابة (تسمى ذاكرة فلاش).

تدخل فيروسات البرامج إلى الكمبيوتر عند تشغيل برامج لم يتم التحقق منها يتم استلامها على وسائط خارجية (قرص مرن، قرص مضغوط، وما إلى ذلك) أو يتم استلامها من الإنترنت. ينبغي إيلاء اهتمام خاص للكلمات عند البدء. إذا قمت ببساطة بنسخ الملفات المصابة، فلن يصاب جهاز الكمبيوتر الخاص بك بالعدوى. وفي هذا الصدد، يجب أن تخضع جميع البيانات الواردة من الإنترنت لفحوصات أمنية إلزامية، وإذا تم تلقي بيانات غير مرغوب فيها من مصدر غير مألوف، فيجب تدميرها دون فحصها. إحدى الطرق الشائعة لتوزيع برامج طروادة هي إرفاقها برسالة بريد إلكتروني تحتوي على "توصية" لاستخراج البرنامج المفترض أنه مفيد وتشغيله.

فيروسات التمهيد.

الفيروسات الكبيرة.

يصيب هذا النوع الخاص من الفيروسات المستندات التي يتم تنفيذها في برامج تطبيقية معينة. امتلاك الوسائل اللازمة لتنفيذ ما يسمى بأوامر الماكرو. على وجه الخصوص، تتضمن هذه المستندات مستندات معالج النصوص Microsoft Word (لديها ملحق .Doc). تحدث العدوى عند فتح ملف مستند في نافذة البرنامج، ما لم يتم تعطيل القدرة على تنفيذ أوامر الماكرو في البرنامج.

كما هو الحال مع الأنواع الأخرى من الفيروسات، يمكن أن تتراوح نتيجة الهجوم من غير ضار نسبيًا إلى مدمر.

الأنواع الرئيسية لفيروسات الكمبيوتر.

يوجد حاليًا أكثر من 5000 فيروس برمجي معروف، ويمكن تصنيفها وفقًا للمعايير التالية (الشكل 1):

-الموئل؛
-طريقة تلوث الموائل؛
-تأثير؛
-مميزات الخوارزمية:

اعتمادًا على موطنها، يمكن تقسيم الفيروسات إلى فيروسات الشبكة، والملفات، والتمهيد، وفيروسات التمهيد.

تنتشر فيروسات الشبكة عبر شبكات الكمبيوتر المختلفة.

يتم تضمين فيروسات الملفات بشكل أساسي في الوحدات القابلة للتنفيذ، أي. إلى الملفات ذات امتدادات COM و EXE. يمكن أن تكون فيروسات الملفات مضمنة في أنواع أخرى من الملفات، ولكن كقاعدة عامة، بمجرد كتابتها في مثل هذه الملفات، فإنها لا تتحكم أبدًا، وبالتالي تفقد القدرة على إعادة الإنتاج.

يتم تضمين فيروسات التمهيد في قطاع تمهيد القرص (التمهيد) أو في القطاع الذي يحتوي على برنامج تمهيد قرص النظام (سجل التمهيد الرئيسي).

تصيب فيروسات تمهيد الملفات كلاً من الملفات وقطاعات التمهيد على الأقراص.

بناءً على طريقة الإصابة، تنقسم الفيروسات إلى مقيمة وغير مقيمة.

- عندما يصيب فيروس مقيم جهاز كمبيوتر، فإنه يترك الجزء المقيم الخاص به في ذاكرة الوصول العشوائي (RAM)، والذي يعترض بعد ذلك وصول نظام التشغيل إلى كائنات العدوى (الملفات، وقطاعات التمهيد، وما إلى ذلك) ويحقن نفسه فيها. تتواجد الفيروسات المقيمة في الذاكرة وتكون نشطة حتى يتم إيقاف تشغيل الكمبيوتر أو إعادة تشغيله.
- الفيروسات غير المقيمة لا تصيب ذاكرة الكمبيوتر وتكون نشطة لفترة محدودة.

بناءً على درجة التأثير يمكن تقسيم الفيروسات إلى الأنواع التالية:

- غير خطرة، لا تتداخل مع تشغيل الكمبيوتر، ولكنها تقلل من مقدار ذاكرة الوصول العشوائي وذاكرة القرص الحرة، وتتجلى تصرفات هذه الفيروسات في بعض المؤثرات الرسومية أو الصوتية؛
- الفيروسات الخطيرة التي يمكن أن تؤدي إلى مشاكل مختلفة بجهاز الكمبيوتر الخاص بك؛
- خطير جدًا حيث يمكن أن يؤدي تأثيره إلى فقدان البرامج وتدمير البيانات ومحو المعلومات في مناطق النظام بالقرص.

يقرأ:

كيفية التمهيد من قرص DVD أو محرك أقراص فلاش "تثبيت" - إعداد BIOS بالصور كيفية ضبط توقيت ذاكرة الوصول العشوائي (RAM) بشكل صحيح؟ تثبيت Navitel على الملاح والكمبيوتر قم بتغيير كلمة المرور على خادم Minecraft من خلال حسابك الشخصي وفي العميل ما هو كابل مكبر الصوت

يقرأ: