انواع ویروس ها

ویروس ها چیست، تاریخچه خلقت

ویروس ها

جان فون نویمان در سال 1951 روشی را برای ایجاد مکانیسم های خود-تکثیری پیشنهاد کرد

ظهور اولین ویروس های کامپیوتری به اشتباه به دهه 1970 و حتی 1960 نسبت داده می شود. معمولاً به عنوان "ویروس" نامیده می شود، برنامه هایی مانند Animal، Creeper، Cookie Monster (اولین و آخرین در اصطلاح مدرن کرم هستند، CREEPER نه ویروس بود و نه کرم، بلکه یک برنامه خود متحرک بود، یعنی زمانی که یک برنامه جدید کپی CREEPER روی یک کامپیوتر راه دور راه اندازی شد، کپی قبلی از کار افتاد.)

ویروس‌ها با کپی کردن بدن خود و اطمینان از اجرای بعدی آن پخش می‌شوند: معرفی خود به کد اجرایی برنامه‌های دیگر، جایگزینی برنامه‌های دیگر، ثبت نام خود در autorun و موارد دیگر. یک ویروس یا حامل آن نه تنها برنامه‌هایی است که حاوی کد ماشین هستند، بلکه هر اطلاعاتی است که شامل دستورات خودکار اجرا شده است - به عنوان مثال، فایل‌های دسته‌ای و اسناد Microsoft Word و Excel حاوی ماکروها. در عین حال، برای نفوذ به رایانه، یک ویروس می‌تواند از آسیب‌پذیری‌هایی در نرم‌افزارهای محبوب (به عنوان مثال، Adobe Flash، Internet Explorer، Outlook) استفاده کند که توزیع‌کنندگان آن را به همراه یک داده‌های معمولی (تصاویر، متون و غیره) تزریق می‌کنند. سوء استفاده از آسیب پذیری.

هنگامی که کرم ها تکثیر می شوند، آنها به سادگی کد خود را در برخی از فهرست های دیسک کپی می کنند به این امید که روزی این کپی های جدید توسط کاربر راه اندازی شوند.

اولین ویروس های شناخته شده Virus 1،2،3 و Elk Cloner برای رایانه شخصی Apple II هستند. هر دو ویروس از نظر عملکرد بسیار مشابه هستند و در سال 1981 به طور مستقل از یکدیگر در مدت زمان کوتاهی ظاهر شدند.

یک ویروس کامپیوتری با قیاس با ویروس های بیولوژیکی به دلیل مکانیسم مشابه انتشار نامگذاری شد.

ظاهراً کلمه "ویروس" برای اولین بار در رابطه با برنامه ای توسط گرگوری بنفورد در داستان علمی تخیلی "مرد زخمی" که در ماه می 1970 در مجله Venture منتشر شد، استفاده شد.

اولین آنتی ویروس در سال 1984 بود.

ویروس‌ها با کپی کردن بدن خود و اطمینان از اجرای بعدی آن پخش می‌شوند: معرفی خود به کد اجرایی برنامه‌های دیگر، جایگزینی برنامه‌های دیگر، ثبت نام خود در autorun و موارد دیگر. یک ویروس یا حامل آن نه تنها برنامه هایی است که حاوی کد ماشین هستند، بلکه هر اطلاعاتی حاوی دستورات اجرا شده به صورت خودکار نیز هستند.

با توجه به زیستگاه ویروس

‣‣‣ ویروس های فایل

‣‣‣ ویروس ها را بوت کنید

‣‣‣ ویروس های ماکرو شبکه ترکیبی

‣‣‣ ویروس ها را مستند کنید

‣‣‣ ویروس های شبکه

‣‣‣ بوت شدن فایل

با توجه به روش آلودگی زیستگاه:

ویروس مقیم- هنگامی که یک کامپیوتر آلوده می شود، قسمت ساکن خود را در RAM رها می کند، که سپس دسترسی سیستم عامل به اشیاء آلوده را قطع می کند و در آنها تعبیه می شود.

ویروس های غیر مقیمحافظه کامپیوتر را آلوده نکنید و برای مدت محدودی فعال هستند.

با توجه به قابلیت های مخرب:

1. بی ضرر (بر عملکرد رایانه تأثیر نمی گذارد، به جز کاهش حافظه آزاد به دلیل توزیع آن)
2. بی ضرر (کاهش فضای آزاد دیسک)
3. خطرناک (منجر به شکست)
4. بسیار خطرناک (آسیب به قسمت هایی از مکانیسم ها، از بین رفتن برنامه ها، تخریب داده ها)

با توجه به ویژگی های الگوریتم ویروس .

ویروس های همراه، ویروس هایی هستند که فایل ها را تغییر نمی دهند.

ویروس‌های کرم ویروس‌هایی هستند که در یک شبکه کامپیوتری پخش می‌شوند و مانند ویروس‌های همراه، فایل‌ها یا بخش‌هایی را روی دیسک‌ها تغییر نمی‌دهند. آنها از طریق یک شبکه کامپیوتری به حافظه کامپیوتر نفوذ می کنند، آدرس شبکه کامپیوترهای دیگر را محاسبه می کنند و کپی هایی از خود را به این آدرس ها ارسال می کنند. چنین ویروس هایی گاهی اوقات فایل های کاری را روی دیسک های سیستم ایجاد می کنند، اما ممکن است به هیچ وجه به منابع رایانه دسترسی نداشته باشند (به استثنای RAM).

ویروس های چند شکلی- ویروس هایی که کد خود را در برنامه های آلوده به گونه ای تغییر می دهند که ممکن است دو نسخه از یک ویروس در یک بیت با هم مطابقت نداشته باشند. به نظر می رسد این نوع ویروس کامپیوتری امروزه خطرناک ترین است. این گونه ویروس ها نه تنها کد خود را با استفاده از مسیرهای رمزگذاری مختلف رمزگذاری می کنند، بلکه حاوی کدهای تولید رمزگذار و رمزگشا هستند که آنها را از ویروس های رمزگذاری معمولی متمایز می کند که می توانند بخش هایی از کد خود را نیز رمزگذاری کنند، اما در عین حال دارای رمزگذار و کد رمزگشای ثابت هستند. .

ویروس های مخفیانه - آنها برنامه های آنتی ویروس را فریب می دهند و در نتیجه شناسایی نمی شوند. با این حال، یک راه ساده برای غیرفعال کردن مکانیسم استتار ویروس های مخفی وجود دارد. کافی است رایانه را از یک فلاپی دیسک سیستم غیر آلوده بوت کنید و بلافاصله بدون راه اندازی برنامه های دیگر از روی دیسک رایانه (که ممکن است آلوده نیز باشند)، رایانه را با یک برنامه ضد ویروس اسکن کنید. هنگامی که ویروس از فلاپی دیسک بارگذاری می شود، نمی تواند کنترل را به دست آورد و یک ماژول ساکن را در RAM نصب کند که مکانیزم مخفی کاری را اجرا می کند. یک برنامه آنتی ویروس قادر به خواندن اطلاعات واقعی نوشته شده روی دیسک خواهد بود و به راحتی ویروس را شناسایی می کند.

اسب های تروا (مخصوصا برای Dan =)) - این یک برنامه حاوی برخی از عملکردهای مخرب است که زمانی فعال می شود که شرایط ماشه خاصی رخ دهد. معمولاً چنین برنامه هایی به عنوان برخی از ابزارهای مفید پنهان می شوند. "اسب های تروجان" برنامه هایی هستند که علاوه بر عملکردهای شرح داده شده در اسناد، برخی عملکردهای دیگر مرتبط با نقض امنیتی و اقدامات مخرب را اجرا می کنند. مواردی از ایجاد چنین برنامه هایی برای تسهیل گسترش ویروس ها وجود داشته است. فهرست این گونه برنامه ها به طور گسترده در مطبوعات خارجی منتشر می شود. آنها معمولاً به عنوان برنامه های بازی یا سرگرمی پنهان می شوند و همراه با تصاویر یا موسیقی زیبا باعث آسیب می شوند.

کرم ها - ویروس هایی که در سراسر شبکه های جهانی پخش می شوند و کل سیستم ها را به جای برنامه های فردی آلوده می کنند. این خطرناک ترین نوع ویروس است، زیرا اهداف حمله در این مورد سیستم های اطلاعاتی در مقیاس ملی هستند. با ظهور اینترنت جهانی، این نوع نقض امنیتی بزرگترین تهدید را ایجاد می کند، زیرا هر یک از 40 میلیون رایانه متصل به این شبکه می تواند در هر زمان در معرض آن قرار گیرد.

انواع ویروس ها - مفهوم و انواع. طبقه بندی و ویژگی های دسته "انواع ویروس ها" 2017، 2018.

اداره آموزش و پرورش اداره منطقه Ordzhonikidze

ویروس های کامپیوتری

چکیده در مورد علوم کامپیوتر

مجری:

نوویکوف الکساندر

9 کلاس "B".

سرپرست:

نازیمووا النا آناتولیونا

معلم فناوری اطلاعات

یکاترینبورگ 1999

ویروس کامپیوتری چیست؟

ویروس کامپیوتری یک برنامه کوچک ویژه نوشته شده است که می تواند خود را به برنامه های دیگر "نسبت" کند و همچنین اعمال ناخواسته مختلفی را بر روی رایانه انجام دهد. به برنامه ای که حاوی ویروس است "عفونی" می گویند. هنگامی که چنین برنامه ای شروع به کار می کند، ابتدا ویروس کنترل می شود. ویروس برنامه های دیگر را پیدا کرده و "عفونت" می کند، و همچنین برخی از اقدامات مضر را انجام می دهد (به عنوان مثال، فایل ها یا جدول تخصیص فایل روی دیسک را خراب می کند، RAM را "انسداد" می کند و غیره). ویروس برنامه ای است که توانایی تکثیر خود را دارد. این توانایی تنها ویژگی ذاتی انواع ویروس ها است. ویروس نمی تواند در "انزوا کامل" وجود داشته باشد. این بدان معنی است که امروزه نمی توان ویروسی را تصور کرد که به نوعی از کد برنامه های دیگر، اطلاعات مربوط به ساختار فایل یا حتی فقط از نام برنامه های دیگر استفاده نکند. دلیل این امر کاملاً واضح است: ویروس باید به نحوی ارائه دهد

انتقال کنترل به خود

انواع اصلی ویروس های کامپیوتری

یک سیستم کاملاً رسمی برای طبقه‌بندی ویروس‌های رایانه‌ای و نام‌گذاری آن‌ها به گونه‌ای وجود دارد که از شرایطی جلوگیری شود که در طبقه‌بندی توسعه‌دهندگان نرم‌افزار آنتی‌ویروس مختلف، همان ویروس نام‌های غیرقابل تشخیص متفاوتی داشته باشد. با وجود این، هنوز نمی توان گفت که نام ها و ویژگی های ویروس ها یکپارچه سازی کامل وجود دارد. این تا حد زیادی با این واقعیت مشخص می شود که در زمان تدوین برخی از "قوانین بازی"، ابزارهای آنتی ویروس قبلاً وجود داشتند که در سیستم نمادگذاری خود کار می کردند. یکپارچگی عمومی مستلزم تلاش قابل توجه و اصلاح برنامه ها و اسناد است. در تعدادی از موارد این کار انجام شد. ما از این واقعیت پیش خواهیم رفت که کاربر معمولی نیازی به بررسی تمام پیچیدگی های عملکرد ویروس ندارد: اشیاء حمله، روش های عفونت، ویژگی های تظاهرات و غیره. اما توصیه می شود بدانید چه نوع ویروس هایی وجود دارد. هستند، برای درک طرح کلی کار خود.

از میان انواع ویروس ها، گروه های اصلی زیر را می توان تشخیص داد:

– بوت ویروس ها; این نام به ویروس هایی است که بخش های بوت فلاپی دیسک ها و هارد دیسک ها را آلوده می کنند.

– ویروس های فایل؛در ساده ترین حالت، چنین ویروس هایی فایل های اجرایی را آلوده می کنند. اگر همه چیز با ویروس های بوت کم و بیش روشن باشد، پس ویروس های فایل مفهومی بسیار کمتر قطعی هستند. به عنوان مثال، کافی است بگوییم که یک ویروس فایل ممکن است اصلا فایل را تغییر ندهد (ویروس های ماهواره ای و ویروس های خانواده Dir-II).

– ویروس های فایل بوت؛چنین ویروس هایی این توانایی را دارند که هم کد بوت سکتور و هم کد فایل را آلوده کنند. تعداد زیادی از این ویروس ها وجود ندارد، اما در بین آنها نمونه های بسیار شیطانی وجود دارد (به عنوان مثال، ویروس معروف OneHalf).

ویروس های نوشته شده در به اصطلاح زبان های کلان، به طور رسمی مبتنی بر فایل هستند، اما فایل های اجرایی را آلوده نمی کنند، اما فایل های دادهبا این حال، به گونه ای طراحی شده است که می توانند آلوده شوند - این قبلاً بر وجدان ناشران نرم افزار است.

فایل های خراب و آلوده

یک ویروس کامپیوتری می تواند خراب شود، به عنوان مثال. هر فایل موجود در دیسک های موجود در رایانه را به طور مناسب تغییر دهید. اما برخی از انواع فایل ها می توانند توسط ویروس آلوده شوند. این بدان معنی است که ویروس می تواند خود را به این فایل ها "تزریق" کند. آنها را طوری تغییر دهید که حاوی ویروسی باشند که تحت شرایط خاص شروع به کار کند.

لازم به ذکر است که متون برنامه‌ها و اسناد، فایل‌های اطلاعات پایگاه داده، جداول پردازشگر جدول و سایر فایل‌های مشابه توسط ویروس آلوده نمی‌شوند، فقط می‌توانند آن‌ها را خراب کنند.

انواع فایل های زیر می توانند به ویروس آلوده شوند:

1. فایل های اجراییآن ها فایل هایی با پسوند نام .COM و EXE. و همچنین فایل های همپوشانی که هنگام اجرای برنامه های دیگر بارگذاری می شوند. ویروس در فایل های اجرایی آلوده کار خود را با راه اندازی برنامه ای که در آن قرار دارد آغاز می کند. خطرناک ترین ویروس های فایلی هستند که پس از راه اندازی، در حافظه باقی می مانند - آنها می توانند فایل ها را آلوده کرده و تا راه اندازی مجدد رایانه بعدی آسیب ببینند. و اگر آنها هر برنامه ای را که از فایل AUTOEXEC.BAT یا CONFIG.SYS راه اندازی شده است آلوده کنند، پس از راه اندازی مجدد از هارد دیسک، ویروس دوباره شروع به کار می کند.

2. لودر سیستم عامل و بوت اصلی

ضبط هارد دیسکاین مناطق تحت تأثیر ویروس بوت قرار می گیرند.

چنین ویروسی زمانی کار خود را شروع می کند که کامپیوتر بوت می شود و ساکن می شود، یعنی. به طور دائم در حافظه کامپیوتر ذخیره می شود. مکانیسم توزیع عفونت سوابق بوت فلاپی دیسک های وارد شده به کامپیوتر است. اغلب چنین ویروس‌هایی از دو بخش تشکیل شده‌اند، زیرا رکورد بوت و رکورد بوت اصلی اندازه کوچکی دارند و گنجاندن کل برنامه ویروس دشوار است. بخشی از ویروس که در آنها قرار نمی گیرد در قسمت دیگری از دیسک قرار دارد، به عنوان مثال، در انتهای فهرست اصلی دیسک یا در یک خوشه در ناحیه داده دیسک (معمولاً چنین کلاستر معیوب اعلام می شود تا برنامه ویروس هنگام نوشتن داده ها روی دیسک بازنویسی نشود.

3. درایورهای دستگاه،آن ها فایل های مشخص شده در برنامه Device فایل CONFIG.SYS. ویروس موجود در آنها با هر بار دسترسی به دستگاه مربوطه کار خود را آغاز می کند. ویروس هایی که درایورهای دستگاه را آلوده می کنند بسیار نادر هستند، زیرا درایورها به ندرت از یک رایانه به رایانه دیگر بازنویسی می شوند. همین امر در مورد فایل های سیستم DOS نیز صدق می کند - آلودگی آنها نیز از نظر تئوری امکان پذیر است، اما برای توزیع بی اثر است.

به عنوان یک قاعده، هر نوع خاص از ویروس تنها می تواند یک یا دو نوع فایل را آلوده کند. رایج ترین ویروس ها آنهایی هستند که فایل های اجرایی را آلوده می کنند. برخی از ویروس‌ها فقط فایل‌های COM را آلوده می‌کنند، برخی فقط فایل‌های EXE را آلوده می‌کنند و بیشتر هر دو را آلوده می‌کنند. دومین ویروس رایج، ویروس های بوت هستند. برخی از ویروس ها هم فایل ها و هم قسمت های بوت دیسک را آلوده می کنند. ویروس‌هایی که درایورهای دستگاه را آلوده می‌کنند بسیار نادر هستند؛ معمولاً چنین ویروس‌هایی می‌توانند فایل‌های اجرایی را آلوده کنند.

ویروس هایی که فایل سیستم را تغییر می دهند

اخیراً نوع جدیدی از ویروس ها گسترش یافته است - ویروس هایی که سیستم فایل را روی دیسک تغییر می دهند. این ویروس ها معمولا دیر نامیده می شوند. چنین ویروس هایی بدن خود را در قسمتی از دیسک (معمولا آخرین خوشه دیسک) پنهان می کنند و آن را در جدول تخصیص فایل (FAT) به عنوان انتهای فایل علامت گذاری می کنند. برای همه فایل‌های COM و EXE، نشانگرهای بخش اول فایل موجود در عناصر دایرکتوری مربوطه با پیوندی به بخش دیسک حاوی ویروس جایگزین می‌شوند و اشاره‌گر صحیح، کدگذاری شده، در یک فایل پنهان می‌شود. بخش استفاده نشده از عنصر دایرکتوری بنابراین، هنگامی که هر برنامه ای راه اندازی می شود، یک ویروس در حافظه بارگذاری می شود، پس از آن در حافظه باقی می ماند، به برنامه های DOS متصل می شود تا فایل های روی دیسک را پردازش کند و

پیوندهای صحیحی را برای همه فراخوانی ها به عناصر دایرکتوری می دهد.

بنابراین، هنگامی که ویروس در حال اجرا است، سیستم فایل روی دیسک کاملاً عادی به نظر می رسد. یک نگاه سطحی به دیسک آلوده در یک رایانه "تمیز" چیز عجیبی را مشاهده نمی کند. مگر اینکه وقتی بخواهید فایل های برنامه را از فلاپی دیسک آلوده بخوانید یا کپی کنید، فقط 512 یا 1024 بایت خوانده یا کپی می شود، حتی اگر فایل بسیار طولانی تر باشد. و هنگامی که هر برنامه اجرایی را از روی دیسک آلوده به چنین ویروسی اجرا می کنید، این دیسک، به طور جادویی، شروع به کار می کند (تعجب آور نیست، زیرا کامپیوتر پس از آن آلوده می شود).

وقتی با استفاده از برنامه‌های ChkDsk یا NDD روی رایانه‌ای «تمیز» تجزیه و تحلیل می‌شود، به نظر می‌رسد که سیستم فایل یک دیسک آلوده به ویروس Dir کاملاً خراب است. بنابراین، برنامه ChkDsk مجموعه‌ای از پیام‌ها را درباره تقاطع‌های فایل‌ها ("... پیوند متقاطع در خوشه...") و درباره زنجیره‌های خوشه‌های گمشده ("... خوشه‌های گمشده در ... زنجیره‌ها") تولید می‌کند. شما نباید این خطاها را با برنامه های ChkDsk یا NDD تصحیح کنید - این باعث می شود که دیسک به طور ناامیدکننده ای آسیب ببیند. برای تعمیر دیسک های آلوده به این ویروس ها، فقط باید از برنامه های ضد ویروس خاص (مثلا آخرین نسخه های Aidstest) استفاده کنید.

"نامرئی" و

ویروس های خود اصلاح شونده

برای جلوگیری از شناسایی، برخی از ویروس ها از تکنیک های استتار نسبتاً حیله گرانه استفاده می کنند. ما در مورد دو مورد از آنها صحبت خواهیم کرد: ویروس های "نامرئی" و خود اصلاح شونده.

ویروس های "نامرئی".بسیاری از ویروس‌های مقیم (هم فایل‌ها و هم ویروس‌های راه‌اندازی) با رهگیری تماس‌های DOS (و در نتیجه برنامه‌های کاربردی) به فایل‌ها و مناطق دیسک آلوده و نمایش آن‌ها به شکل اصلی (غیر آلوده) از شناسایی آنها جلوگیری می‌کنند. البته، این اثر فقط در یک کامپیوتر آلوده مشاهده می شود - در یک کامپیوتر "تمیز"، تغییرات در فایل ها و مناطق بوت دیسک به راحتی قابل تشخیص است.

توجه داشته باشید که برخی از برنامه های آنتی ویروس می توانند ویروس های "نامرئی" را حتی در رایانه آلوده شناسایی کنند. بنابراین، برنامه ADinf از شرکت Dialog-Nauka دیسک را بدون استفاده از خدمات DOS برای این منظور می خواند و برنامه AVSP از شرکت Dialog-MSU برای مدتی آن را غیرفعال می کند.

بررسی ویروس (آخرین روش همیشه کار نمی کند).

برخی از برنامه های آنتی ویروس از توانایی ویروس های فایل "نامرئی" برای "درمان" فایل های آلوده برای مبارزه با ویروس ها استفاده می کنند. آنها اطلاعات فایل های آلوده را می خوانند (هنگامی که ویروس در حال اجراست) و آنها را روی دیسک در یک فایل یا فایل هایی می نویسند که این اطلاعات به شکل تحریف نشده ذخیره می شوند. سپس، پس از بوت شدن از یک فلاپی دیسک "تمیز"، فایل های اجرایی به شکل اصلی خود بازیابی می شوند.

ویروس های خود اصلاح شوندهروش دیگری که توسط ویروس ها برای فرار از تشخیص استفاده می شود، اصلاح بدن آنها است. بسیاری از ویروس ها بیشتر بدن خود را به صورت رمزگذاری شده ذخیره می کنند، به طوری که نمی توان از جداکننده ها برای درک مکانیسم عملکرد آنها استفاده کرد. ویروس‌های خود اصلاح‌شونده از این تکنیک استفاده می‌کنند و اغلب پارامترهای این رمزگذاری را تغییر می‌دهند و علاوه بر این، قسمت شروع خود را تغییر می‌دهند که در خدمت رمزگشایی دستورات باقی‌مانده ویروس است. بنابراین، در بدن چنین ویروسی یک زنجیره ثابت از بایت ها وجود ندارد که با آن بتوان ویروس را شناسایی کرد. این، به طور طبیعی، پیدا کردن چنین ویروس هایی را برای برنامه های آشکارساز دشوار می کند.

با این حال، برنامه‌های آشکارساز هنوز یاد گرفته‌اند که ویروس‌های «ساده» خود را تغییر دهند. در این ویروس‌ها، تغییرات در مکانیسم رمزگشایی بخش رمزگذاری‌شده ویروس فقط به استفاده از رجیسترهای کامپیوتری خاص، ثابت‌های رمزگذاری، اضافه کردن دستورات «بی‌اهمیت» و غیره مربوط می‌شود. و برنامه های آشکارساز با وجود پنهان کردن تغییرات در آنها، برای شناسایی دستورات در قسمت شروع ویروس سازگار شده اند. اما اخیراً ویروس هایی با مکانیسم های خود اصلاحی بسیار پیچیده ظاهر شده اند. در آنها، قسمت شروع ویروس به طور خودکار با استفاده از الگوریتم های بسیار پیچیده تولید می شود: هر دستورالعمل مهم رمزگشا توسط یکی از صدها هزار گزینه ممکن منتقل می شود، در حالی که بیش از نیمی از تمام دستورات Intel-8088 استفاده می شود. مشکل شناسایی چنین ویروس هایی کاملاً پیچیده است و هنوز راه حل کاملاً قابل اعتمادی دریافت نکرده است. با این حال، برخی از برنامه های آنتی ویروس ابزارهایی برای یافتن چنین ویروس هایی دارند و دکتر Dr. وب - همچنین روش های اکتشافی برای تشخیص بخش های "مشکوک" کد برنامه، معمولی ویروس های خود اصلاح شونده.

روش های اساسی محافظت در برابر ویروس های رایانه ای

برای محافظت در برابر ویروس ها می توانید از:

- ابزارهای حفاظت اطلاعات عمومی، که به عنوان بیمه در برابر آسیب فیزیکی به دیسک، برنامه های نادرست یا اقدامات اشتباه کاربر نیز مفید هستند.

- اقدامات پیشگیرانه برای کاهش احتمال ابتلا به ویروس؛

برنامه های تخصصی برای محافظت از ویروس

ابزارهای امنیت اطلاعات عمومی برای چیزی بیش از محافظت از ویروس مفید هستند. دو نوع اصلی از این صندوق ها وجود دارد:

کپی کردن اطلاعات - ایجاد کپی از فایل ها و مناطق دیسک سیستم؛

کنترل دسترسی از استفاده غیرمجاز از اطلاعات، به ویژه محافظت در برابر تغییرات برنامه ها و داده ها توسط ویروس ها، برنامه های نادرست و اقدامات اشتباه کاربر جلوگیری می کند.

علیرغم این واقعیت که اقدامات کلی امنیت اطلاعات برای محافظت در برابر ویروس ها بسیار مهم است، هنوز کافی نیست. همچنین استفاده از برنامه های تخصصی برای محافظت در برابر ویروس ها ضروری است. این برنامه ها را می توان به چند نوع تقسیم کرد: آشکارسازها، پزشکان (فاژها)، ممیزی ها (برنامه های نظارت بر تغییرات در فایل ها و مناطق سیستم دیسک ها)، پزشک-حساب، فیلتر (برنامه های مقیم برای محافظت در برابر ویروس ها) و واکسن ها (ایمن ساز). اجازه دهید تعاریف مختصری از این مفاهیم ارائه دهیم و سپس آنها را به تفصیل بررسی کنیم.

برنامه های آشکارساز به شما امکان می دهد فایل های آلوده به یکی از چندین ویروس شناخته شده را شناسایی کنید.

برنامه های دکتر ، یا فاژها ، "درمان" برنامه ها یا دیسک های آلوده با "گزیدن" بدن ویروس از برنامه های آلوده، یعنی. بازگرداندن برنامه به حالت قبل از آلوده شدن ویروس.

برنامه های حسابرس ابتدا اطلاعات مربوط به وضعیت برنامه ها و مناطق سیستم دیسک ها را به خاطر می آورند و سپس وضعیت آنها را با حالت اصلی مقایسه می کنند. در صورت مشاهده هرگونه مغایرت، به کاربر اطلاع داده می شود.

پزشکان-بازرسان - اینها ترکیبی از حسابرسان و پزشکان هستند، یعنی. برنامه‌هایی که نه تنها تغییرات فایل‌ها و قسمت‌های سیستمی دیسک‌ها را شناسایی می‌کنند، بلکه می‌توانند در صورت تغییر به‌طور خودکار آن‌ها را به حالت اولیه خود بازگردانند.

فیلتر کردن برنامه ها در رم کامپیوتر قرار دارند و تماس‌های سیستم‌عاملی را که توسط ویروس‌ها برای تکثیر و ایجاد آسیب استفاده می‌شوند را رهگیری می‌کنند و به کاربر گزارش می‌دهند.

برنامه های واکسن یا ایمن سازها ، برنامه ها و دیسک ها را به گونه ای تغییر دهید که بر عملکرد برنامه ها تأثیری نداشته باشد، اما ویروسی که واکسیناسیون علیه آن انجام می شود، این برنامه ها یا دیسک ها را قبلاً آلوده می داند. این برنامه ها به شدت بی اثر هستند و بیشتر مورد توجه قرار نمی گیرند.

برنامه های آشکارساز و پزشکان

در بیشتر موارد، می توانید برنامه های آشکارساز از قبل توسعه یافته ای را برای شناسایی ویروسی که رایانه شما را آلوده کرده است، پیدا کنید. این برنامه‌ها بررسی می‌کنند که آیا فایل‌های موجود در درایو مشخص شده توسط کاربر حاوی ترکیبی از بایت‌های خاص یک ویروس خاص هستند یا خیر. وقتی در هر فایلی شناسایی شد، پیام مربوطه روی صفحه نمایش داده می شود. بسیاری از آشکارسازها حالت هایی برای درمان یا از بین بردن فایل های آلوده دارند.

لازم به ذکر است که برنامه های آشکارساز فقط می توانند ویروس هایی را که برای آنها "شناخته" هستند شناسایی کنند. برنامه Scan از McAfee Associates و D.N. Lozinsky's Aidstest به شما امکان می دهد حدود 1000 ویروس را شناسایی کنید، اما در مجموع بیش از پنج هزار ویروس وجود دارد! برخی از برنامه‌های آشکارساز، به عنوان مثال Norton AntiVirus یا AVSP از Dialog-MGU، می‌توانند برای انواع جدیدی از ویروس‌ها پیکربندی شوند؛ آنها فقط باید ترکیب‌های بایت ذاتی این ویروس‌ها را مشخص کنند. با این حال، توسعه برنامه ای که بتواند هر ویروس ناشناخته قبلی را شناسایی کند غیرممکن است.

بنابراین، این واقعیت که یک برنامه توسط آشکارسازها به عنوان آلوده تشخیص داده نمی شود به معنای سالم بودن آن نیست - ممکن است حاوی یک ویروس جدید یا یک نسخه کمی تغییر یافته از یک ویروس قدیمی باشد که برای برنامه های آشکارساز ناشناخته است.

برنامه های حسابرس

برنامه های حسابرسی دو مرحله کار دارند. ابتدا اطلاعاتی در مورد وضعیت برنامه ها و مناطق سیستم دیسک ها (بخش بوت و بخش با جدول پارتیشن هارد دیسک) را به خاطر می آورند. فرض بر این است که در حال حاضر برنامه ها و مناطق دیسک سیستم آلوده نشده اند. پس از این، با استفاده از برنامه حسابرسی، می توانید در هر زمان وضعیت برنامه ها و مناطق دیسک سیستم را با حالت اصلی مقایسه کنید. در مورد شناسایی شد

مغایرت ها به کاربر گزارش می شود.

بسیاری از کاربران دستور اجرای برنامه ممیزی را در فایل دسته ای AUTOEXEC.BAT قرار می دهند تا هر بار که سیستم عامل بوت می شود وضعیت برنامه ها و دیسک ها بررسی شود. این به شما این امکان را می دهد که عفونت ویروس کامپیوتری را زمانی که هنوز آسیب زیادی وارد نکرده است شناسایی کنید. علاوه بر این، همان برنامه ممیزی می تواند فایل های آسیب دیده توسط ویروس را پیدا کند.

فیلتر کردن برنامه ها

یکی از دلایلی که باعث شد چنین پدیده ای به عنوان یک ویروس رایانه ای امکان پذیر شود، عدم وجود ابزار مؤثر در سیستم عامل MS DOS برای محافظت از اطلاعات در برابر دسترسی غیرمجاز است. ویروس های کامپیوتری به دلیل عدم وجود وسایل حفاظتی می توانند برنامه ها را بدون توجه و بدون مجازات تغییر دهند، جداول تخصیص فایل خراب و غیره را تغییر دهند.

در این راستا شرکت ها و برنامه نویسان مختلف برنامه های فیلتر یا همان برنامه های مقیم را برای محافظت در برابر ویروس ها ایجاد کرده اند که تا حدودی این نقص DOS را جبران می کند. این برنامه‌ها در حافظه رم رایانه قرار دارند و تماس‌های سیستم عامل را که توسط ویروس‌ها برای تولید مثل و ایجاد آسیب استفاده می‌شوند، «رهگیری» می‌کنند. چنین اقدامات «مشکوک» به ویژه تغییر فایل‌های COM و EXE، حذف ویژگی «فقط خواندنی» از یک فایل، نوشتن مستقیم روی دیسک (نوشتن به یک آدرس مطلق)، قالب‌بندی دیسک، نصب «رزیدنت» است. (به طور دائم در RAM قرار دارد) برنامه ها.

هر بار که یک اقدام غیر مشکوک درخواست می شود، پیامی بر روی صفحه کامپیوتر نمایش داده می شود که نشان می دهد چه اقدامی درخواست شده است و چه برنامه ای می خواهد آن را انجام دهد. می توانید این عمل را مجاز یا رد کنید (شکل 1).

برخی از برنامه‌های فیلتر، اقدامات مشکوک را «گرفتن» نمی‌کنند، اما برنامه‌هایی را که برای اجرا درخواست می‌کنند برای ویروس‌ها بررسی می‌کنند. این، به طور قابل درک، باعث کاهش سرعت کامپیوتر می شود.

درجه حفاظت ارائه شده توسط برنامه های فیلتر را نباید بیش از حد تخمین زد، زیرا بسیاری از ویروس ها برای تکثیر و ایجاد آسیب، مستقیماً به برنامه های سیستم عامل دسترسی پیدا می کنند، بدون استفاده از روش استاندارد فراخوانی این برنامه ها از طریق وقفه ها، و برنامه های مقیم فقط این وقفه ها را برای محافظت رهگیری می کنند. در برابر ویروس ها علاوه بر این، برنامه های فیلتر در برابر عفونت هارد دیسک توسط ویروس هایی که از طریق بخش بوت پخش می شوند کمکی نمی کنند، زیرا چنین آلودگی هنگام بارگیری DOS رخ می دهد، به عنوان مثال. قبل از اجرای هر برنامه یا نصب درایور.

با این حال، مزایای استفاده از برنامه های فیلتر بسیار قابل توجه است - آنها به شما امکان می دهند بسیاری از ویروس ها را در مراحل اولیه شناسایی کنید، زمانی که ویروس هنوز فرصت تکثیر و خراب کردن چیزی را نداشته است. به این ترتیب می توانید تلفات ناشی از ویروس را به حداقل کاهش دهید.

کارهایی که می توانند انجام دهند و نمی توانند انجام دهند

ویروس های کامپیوتری

به دلیل ناآگاهی از مکانیسم عملکرد ویروس های رایانه ای، و همچنین تحت تأثیر شایعات مختلف و انتشارات ناکارآمد در مطبوعات، اغلب یک مجموعه عجیب از ترس از ویروس ها، به اصطلاح، ایجاد می شود. "ویروس هراسی". این مجموعه دو جلوه دارد.

1. تمایل به نسبت دادن هرگونه خرابی داده یا پدیده غیرعادی در رایانه به ویروس ها. به عنوان مثال، فلاپی دیسک را نمی توان فرمت کرد؛ برای یک "ویروس فوب" این نقص احتمالی فلاپی دیسک یا درایو نیست، بلکه اثر یک ویروس است. اگر بلوک بدی روی هارد دیسک ظاهر شود، مطمئناً یک ویروس نیز در این مورد مقصر است. در واقع، پدیده‌های غیرمعمول در رایانه بیشتر به دلیل خطاهای کاربر، خطاهای برنامه یا نقص سخت‌افزاری ایجاد می‌شوند.

2. ایده های اغراق آمیز در مورد قابلیت های ویروس ها. برخی از افراد فکر می کنند، برای مثال، کافی است یک فلاپی دیسک آلوده را وارد درایو کنید تا کامپیوتر به ویروس آلوده شود. همچنین به طور گسترده اعتقاد بر این است که برای کامپیوترهای متصل

در یک شبکه، یا حتی فقط ایستادن در یک اتاق، آلوده کردن یک کامپیوتر مطمئناً بلافاصله منجر به عفونت بقیه خواهد شد.

بهترین درمان برای ویروس هراسی، آگاهی از نحوه عملکرد ویروس ها، کارهایی که می توانند انجام دهند و نمی توانند انجام دهند، است. ویروس ها برنامه های معمولی هستند و نمی توانند هیچ عمل ماورایی را انجام دهند.

برای اینکه کامپیوتر به ویروس آلوده شود باید حداقل یک بار برنامه حاوی ویروس روی آن اجرا شود. بنابراین، آلودگی اولیه رایانه به ویروس در یکی از موارد زیر رخ می دهد:

- یک برنامه آلوده از نوع COM یا EXE یا یک ماژول برنامه پوشش آلوده بر روی رایانه اجرا شد.

- رایانه بوت شده از یک فلاپی دیسک حاوی بخش بوت آلوده؛

یک سیستم عامل آلوده یا یک درایور دستگاه آلوده روی رایانه نصب شده است.

بنابراین هیچ دلیلی برای ترس از آلوده شدن رایانه شما به ویروس وجود ندارد اگر:

متون برنامه ها، اسناد، فایل های اطلاعاتی پایگاه های داده یا پردازشگرهای جدول و غیره بر روی کامپیوتر کپی می شوند. این فایل ها برنامه نیستند و بنابراین نمی توانند به ویروس آلوده شوند.

در یک کامپیوتر غیر آلوده، فایل ها از یک فلاپی دیسک به دیسک دیگر کپی می شوند. اگر رایانه «سالم» باشد، نه خودش و نه فلاپی دیسک‌هایی که کپی می‌شوند به ویروس آلوده نمی‌شوند. تنها گزینه برای انتقال ویروس در این شرایط، کپی کردن یک فایل آلوده است: در این صورت، البته، کپی آن نیز "عفونت می شود"، اما نه کامپیوتر و نه هیچ فایل دیگری آلوده نمی شود.

با استفاده از پردازشگرهای کلمه، پردازنده‌های صفحه گسترده، سیستم‌های مدیریت پایگاه داده و سایر برنامه‌های موجود بر روی هارد دیسک یک کامپیوتر سالم، فایل‌های اطلاعاتی موجود در فلاپی دیسک‌ها پردازش می‌شوند.

اقدامات لازم در صورت آلوده شدن به ویروس

اگر رایانه شما به ویروس آلوده شده است (یا اگر به آن مشکوک هستید)، رعایت چهار قانون مهم است.

اول از همه، نیازی به عجله و تصمیم گیری عجولانه نیست - اقدامات نسنجیده می تواند نه تنها منجر به از بین رفتن برخی از فایل های قابل بازیابی، بلکه به عفونت مجدد رایانه شود.

2. یک عمل باید بلافاصله انجام شود - باید کامپیوتر را خاموش کنید تا ویروس به اقدامات مخرب خود ادامه ندهد.

3. تمام اقدامات برای تشخیص نوع عفونت و درمان رایانه باید فقط زمانی انجام شود که رایانه از یک فلاپی دیسک «مرجع» محافظت شده با سیستم عامل بوت شود. در این حالت فقط باید از برنامه ها (فایل های اجرایی) ذخیره شده در فلاپی دیسک های محافظت شده از نوشتن استفاده کنید. عدم رعایت این قانون می تواند منجر به عواقب بسیار جدی شود، زیرا هنگام بارگیری DOS یا اجرای برنامه از یک دیسک آلوده، یک ویروس در رایانه فعال می شود و اگر ویروس در حال اجرا باشد، درمان رایانه بی معنی خواهد بود، زیرا با آلودگی بیشتر دیسک ها و برنامه ها همراه خواهد بود.

4. اگر از یک برنامه فیلتر مقیم برای محافظت در برابر ویروس استفاده شود، وجود ویروس در هر برنامه ای را می توان در مراحل اولیه تشخیص داد، زمانی که ویروس هنوز فرصتی برای آلوده کردن سایر برنامه ها و خراب کردن فایل ها نداشته است. در این صورت باید DOS را از فلاپی دیسک ریبوت کنید و برنامه آلوده را حذف کنید و سپس این برنامه را از فلاپی دیسک مرجع بازنویسی کنید یا از بایگانی بازیابی کنید. برای اینکه بفهمید ویروس فایل‌های دیگری را خراب کرده است، باید یک برنامه ممیزی را اجرا کنید تا تغییرات فایل‌ها را بررسی کند، ترجیحاً فهرست گسترده‌ای از فایل‌ها برای اسکن کردن. برای جلوگیری از آلوده شدن رایانه خود در طول فرآیند اسکن، باید فایل اجرایی برنامه ممیزی واقع در فلاپی دیسک را اجرا کنید.

درمان کامپیوتریاگر یک ویروس قبلاً توانسته است برخی از فایل ها را روی دیسک رایانه شما آلوده یا خراب کند، باید مراحل زیر را انجام دهید.

سیستم عامل DOS را با یک فلاپی دیسک مرجع از قبل آماده شده راه اندازی مجدد کنید. این فلاپی دیسک، مانند سایر فلاپی دیسک های مورد استفاده در بازیابی ویروس های کامپیوتری، باید دارای برچسب محافظت از نوشتن بر روی آن باشد تا از آلوده شدن یا خراب کردن فایل های روی فلاپی دیسک توسط ویروس جلوگیری شود. توجه داشته باشید که راه اندازی مجدد نباید با استفاده از میانبر صفحه کلید انجام شود Ctrl+Alt+Del، زیرا برخی از ویروس ها موفق می شوند از چنین راه اندازی مجدد "زنده بمانند".

اگر رایانه شما دارای یک برنامه پیکربندی است (زمانی که یک کلید ترکیبی خاص را فشار می دهید هنگام بوت شدن رایانه به آن فراخوانی می شود)، باید این برنامه را اجرا کنید و بررسی کنید که آیا تنظیمات پیکربندی رایانه به درستی تنظیم شده است، زیرا ممکن است توسط یک ویروس آسیب ببینند. اگر اشتباه نصب شده باشند، باید دوباره نصب شوند.

اگر برنامه های آشکارساز برای شناسایی ویروسی که رایانه شما را آلوده می کند وجود دارد، باید این برنامه ها را برای اسکن دیسک های رایانه اجرا کنید. برای یافتن برنامه مورد نیاز خود، می توانید برنامه های آشکارساز موجود را یکی یکی اجرا کنید تا دیسک آلوده را اسکن کنید (بهتر است از آن حالت هایی از برنامه های آشکارساز استفاده نکنید که در آنها فایل های آلوده را بدون تأیید ضد عفونی یا حذف می کنند). اول، منطقی است که برنامه هایی را اجرا کنید که چندین ویروس را به طور همزمان شناسایی کنند، به عنوان مثال Scan یا Aidstest. اگر هر یک از برنامه های آشکارساز گزارش می دهد که ویروسی را پیدا کرده است، باید از آن در فرآیند از بین بردن عواقب عفونت رایانه با ویروس استفاده شود، همانطور که در زیر توضیح داده شده است. البته لازم به ذکر است که اغلب رایانه ها به طور همزمان با چندین ویروس آلوده می شوند، بنابراین با کشف یک ویروس، نباید آرام باشید؛ ممکن است ویروس دوم یا سوم در رایانه وجود داشته باشد.

در مرحله بعد، همانطور که در زیر توضیح داده شده است، باید تمام دیسک هایی را که ممکن است به ویروس آلوده شوند، خنثی کنید. توجه داشته باشید که اگر هارد درایو رایانه به چندین درایو منطقی تقسیم شود، پس هنگام بوت شدن از یک فلاپی دیسک، فقط یک درایو منطقی قابل دسترسی است - همان درایو که سیستم عامل DOS از آن بارگیری می شود. در این حالت ابتدا باید درایو منطقی که DOS از آن بوت می شود را خنثی کنید و سپس از هارد دیسک بوت شده و سایر درایوهای منطقی را خنثی کنید.

درمان دیسک.اگر دیسک کپی‌هایی از تمام فایل‌های مورد نیاز شما را بایگانی کرده است، ساده‌ترین راه این است که دیسک را دوباره فرمت کنید و سپس با استفاده از کپی‌های بایگانی شده، تمام فایل‌های روی آن دیسک را بازیابی کنید. اکنون فرض می کنیم که دیسک حاوی فایل های لازم است که کپی هایی از آنها در بایگانی نیست. برای قطعیت، فرض می کنیم که این دیسک در درایو (B:) قرار دارد. شما باید موارد زیر را انجام دهید:

یک برنامه آشکارساز را برای دیسکی اجرا کنید که ویروسی را که کامپیوتر به آن آلوده شده است شناسایی کند (اگر مشخص نیست کدام آشکارساز ویروس را شناسایی می کند، باید برنامه های آشکارساز را یکی یکی اجرا کنید تا زمانی که یکی از آنها ویروس را شناسایی کند). در این مورد، بهتر است یک رژیم درمانی ایجاد نکنید.

اگر برنامه آشکارساز یک ویروس بوت را شناسایی کرده باشد، می توانید با خیال راحت از حالت درمان آن برای از بین بردن ویروس استفاده کنید. اگر ویروسی مانند Dir شناسایی شد، باید با استفاده از یک برنامه آنتی ویروس دیگر نیز حذف شود و در هیچ موردی از برنامه هایی مانند NDD و ChkDsk برای این کار استفاده نکنید.

اکنون که می دانید هیچ ویروسی از نوع Dir بر روی دیسک وجود ندارد، می توانید یکپارچگی سیستم فایل و سطح را بررسی کنید.

دیسک با استفاده از برنامه NDD: NDD B: C. اگر آسیب به سیستم فایل قابل توجه است، توصیه می شود همه فایل های لازم را از دیسک که کپی هایی از آنها در بایگانی نیست، در فلاپی دیسک کپی کنید و دوباره فرمت کنید. دیسک اگر دیسک دارای ساختار فایل پیچیده ای است، می توانید سعی کنید آن را با استفاده از برنامه DiskEdit از Norton Utilites تصحیح کنید.

اگر اطلاعات مربوط به فایل های روی دیسک برای برنامه ممیزی ذخیره شده باشد، اجرای برنامه ممیزی برای تشخیص تغییرات در فایل ها مفید است. این به شما امکان می دهد تشخیص دهید که کدام فایل ها توسط ویروس آلوده یا خراب شده اند. اگر برنامه ممیزی عملکرد یک پزشک را نیز انجام می دهد، می توانید برای بازیابی فایل های آسیب دیده به آن اعتماد کنید.

تمام فایل های غیر ضروری را از دیسک و همچنین فایل هایی که کپی های آنها در بایگانی است حذف کنید. آن دسته از فایل هایی که توسط ویروس اصلاح نشده اند (این را می توان با استفاده از یک برنامه ممیزی نصب کرد) نیازی به حذف ندارند.

تحت هیچ شرایطی نباید فایل های .COM و EXE را روی دیسکی که برنامه حسابرسی گزارش می دهد که تغییر کرده اند بگذارید. آن دسته از فایل‌های .COM و EXE که معلوم نیست توسط ویروس اصلاح شده‌اند یا خیر، باید فقط در صورت لزوم روی دیسک باقی بمانند.

اگر دیسکی که در حال پردازش آن هستید یک دیسک سیستمی است (یعنی می توانید سیستم عامل DOS را از روی آن بوت کنید)، پس باید بخش بوت و فایل های سیستم عامل را دوباره روی آن بنویسید. این کار را می توان با دستور SYS انجام داد.

اگر رایانه شما به ویروس فایل آلوده شده است و هیچ درمانی با کمک پزشک بازرس انجام نداده اید، باید یک برنامه پزشک را برای درمان این دیسک اجرا کنید. فایل های آلوده ای که برنامه پزشک قادر به بازیابی آنها نیست باید از بین بروند. البته اگر

چکیده های مرتبط

ویروس کامپیوترییک برنامه ویژه نوشته شده با اندازه کوچک (یعنی مجموعه معینی از کدهای اجرایی) است که می تواند خود را به برنامه های دیگر «نسبت دهد» (آنها را «آلوده» کند، کپی هایی از خود ایجاد کند و آنها را به فایل ها، مناطق سیستمی کامپیوتر تزریق کند. و غیره .d.، و همچنین اعمال ناخواسته مختلفی را در رایانه انجام می دهند.

ویروس های شبکه وجود دارد - محصولات نرم افزاری مخرب که به طور مستقل تکثیر و در شبکه پخش می شوند. آنها می توانند بر اطلاعات شبکه و سیستم و اطلاعات کاربر تأثیر بگذارند.

ویروس‌های رایانه‌ای نام خود را مدیون شباهت خاصی با ویروس‌های «بیولوژیکی» از نظر موارد زیر هستند:

توانایی های خود تولید مثل؛

سرعت انتشار بالا؛

گزینش پذیری سیستم های آسیب دیده (هر ویروس فقط سیستم های خاصی یا گروه های همگن سیستم ها را تحت تاثیر قرار می دهد).

توانایی "عفونت" سیستم های غیر آلوده.

مشکلات در مبارزه با ویروس ها و غیره

معروف‌ترین مورد آلودگی انبوه رایانه‌های اینترنتی که پیامدهای جدی در پی داشت، حادثه اضطراری 2 نوامبر 1988 است که در آن هزاران رایانه در نتیجه شیوع ویروس موریس (WORM) عملاً از کار افتادند. برنامه پیچیده 60 کیلوبایتی که به زبان C نوشته شده است. این برنامه روی چندین سیستم عامل مختلف، هرچند مشابه، کار می کرد: BSD-Unix، VAX، SunOS. با "قرار گرفتن" روی یک رایانه، ویروس سعی کرد همه رایانه های شخصی دیگر را که به این رایانه متصل هستند آلوده کند. ابتدا سعی کرد قربانی بعدی را با تلاش برای برقراری ارتباط با استفاده از Telnet یا SMTP یا خدمات Rexec کشف کند. اگر رایانه ای در انتهای دیگر اتصال شناسایی می شد، ویروس سعی می کرد آن را به یکی از سه راه آلوده کند. در مورد یک رابطه اعتماد بین یک کامپیوتر از قبل آلوده و یک قربانی جدید، عفونت با استفاده از دستورات استاندارد پردازنده فرمان Bourne rch رخ داده است. در غیاب چنین روابطی، عفونت با استفاده از ابزار انگشت یا sendmail رخ داده است. برای آلودگی با استفاده از ابزار انگشتی، 536 بایت داده در بافر ورودی این ابزار نوشته شد. هنگامی که بافر سرریز شد، کد بازگشتی از ابزار برابر با دستورالعمل اجرای کد ویروس بود. برای آلوده کردن با استفاده از دستور sendmail، از گزینه debug این دستور استفاده شد که برای اشکال زدایی در نظر گرفته شده است. با کمک آن، دستوراتی به رایانه قربانی وارد شد که منجر به کپی شدن ویروس در رایانه شخصی شد. ویروس پس از نفوذ به رایانه قربانی، فایل رمز یونیکس را پیدا کرد و سعی کرد رمزهای عبور کاربران ممتاز رایانه را حدس بزند. این ویروس حاوی چندین الگوریتم تقسیم رمز عبور بود. یکی از آنها سعی کرد رمز عبور را با استفاده از مشتقات مختلف نام های کاربری حدس بزند، دیگری یک جدول داخلی از 432 رمز عبور رایج داشت، و سومی سعی کرد با استفاده از روش brute force رمز عبور را حدس بزند. برای سرعت بخشیدن به فرآیند تقسیم رمز عبور، ویروس چندین فرآیند موازی را راه اندازی کرد. ویروس با دریافت رمز عبور همه کاربران، سعی کرد از آنها برای ضبط رایانه های زیر استفاده کند. این ویروس در مدت کوتاهی از وجود خود (بیش از یک روز) به طور نامحدودی تکثیر شد و با کار خود اکثر سیستم های کامپیوتری بزرگ ایالات متحده متصل به اینترنت را فلج کرد.

در 16 اکتبر 1999، پیامی در اینترنت در مورد حمله به شبکه SPAN سیستم های VAX/VMS توسط کرم شبکه W.COM ظاهر شد. این ویروس فقط سیستم عامل های DEC VMS را تحت تاثیر قرار داد و با استفاده از پروتکل های خانواده DECnet در شبکه ها پخش شد. شبکه‌های TCP/IP در معرض خطر عفونت نبودند، اما اگر بسته‌های DECnet محصور شده از طریق شبکه‌های TCP/IP منتقل شوند، می‌توانند به عنوان یک رسانه انتقال برای انتشار ویروس عمل کنند.

کرم W.COM فایل‌های اجرایی را با افزودن کدهای خود به آن‌ها تغییر می‌دهد و در نتیجه تهدیدهایی برای توسعه‌دهندگان سلاح‌های هسته‌ای روی صفحه نمایش داده می‌شود. برای تولید مثل، این کرم در شبکه به دنبال کاربران بدون رمز عبور یا با رمز عبور منطبق با نام کاربری بود. وقتی چنین کاربری پیدا شد، کرم از طرف او راه اندازی شد و فایل های جدید را اصلاح کرد. بدترین عواقب زمانی رخ داد که کرم به عنوان یک کاربر ممتاز اجرا شد. در این مورد، او کاربران جدیدی ایجاد کرد و رمز عبور کاربران موجود را اصلاح کرد، یعنی شرایط را برای مقداردهی اولیه خود در آینده ایجاد کرد. نفوذ به سیستم های دیگر با جستجوی تصادفی از طریق آدرس های شبکه و دسترسی به سیستم های راه دور از طرف کاربران فعال انجام شد.

ویروس‌های موجود در اینترنت اغلب به صورت فایل‌های فشرده یا فایل‌های فشرده پنهان می‌شوند. یک مورد شاخص در سال 1995 رخ داد، زمانی که امکان حذف فایل‌های pkz300B.exe یا pkz300B.zip وجود داشت. هنگامی که آنها راه اندازی یا از حالت فشرده خارج شدند، بایگانی های خودگسترش فعال شدند و باعث فرمت مجدد هارد دیسک شدند.

در سال 1999، یک ویروس ماکرو ظاهر شد که کلیدهای سیستم رمزگذاری PGP را به سرقت برد. این متعلق به کلاسی است که برخی از کارشناسان آن را ویروس های جاسوس افزار می نامند. این ویروس ها با هدف سرقت اطلاعات ذخیره شده در رایانه های دیگران ایجاد می شوند. کالیگولا به همراه یک سند آلوده در قالب Microsoft Word وارد رایانه شخصی می شود. این ماکرو ویروس پس از استفاده از رایانه شخصی جدید، بررسی می کند که آیا نسخه ای از نرم افزار PGP روی آن نصب شده است یا خیر. اگر چنین سیستمی با موفقیت شناسایی شود، کلیدهای مخفی رمزهای استفاده شده در آن - مهمترین مؤلفه از نقطه نظر امنیت داده های رمزگذاری شده با استفاده از الگوریتم PGP - در یکی از سرورهای FTP در اینترنت کپی می شود. .

ویروس Soubig را می توان از انگلیسی به عنوان "بسیار بزرگ" ترجمه کرد؛ این ویروس برای اولین بار در 18 اوت 2003 خود را اعلام کرد. Soubig نشان دهنده نسل جدیدی از ویروس های فوق العاده است و خطرناک است زیرا توانایی باورنکردنی برای انتشار و خود تولید مثل دارد. نسخه او از Soubig بسیار خطرناک است - Eph. هدف این ویروس آلوده کردن ایمیل است. ویژگی آن این است که می تواند محتوای متون پیام های الکترونیکی را تغییر دهد و با صدها پیام مختلف از طریق ایمیل به هر رایانه شخصی حمله کند.

در سال 2005 یکی از ویروس های فعال کرم W32.Codbot.AL بود. این ویروس با بهره برداری از آسیب پذیری های شناخته شده در فرآیندهای SQL Server LSASS و RPC-DCOM گسترش می یابد. برای نصب خود بر روی رایانه، خود را به عنوان یک فرآیند سیستمی ثبت می کند که هر بار که سیستم شروع می شود اجرا می شود. در حین اجرا، به سرورهای مختلف IRC متصل می شود و به دستورات گوش می دهد. این ویروس می‌تواند انواع دستورات مانند جمع‌آوری اطلاعات رایانه، ضبط ضربه‌های کلید، فعال‌سازی سرویس‌های FTP و حتی دانلود و اجرای برنامه‌های مخرب دیگر را دریافت کند.

دومین کرم، W32.Semapi.A، از طریق ایمیل در پیامی با هدرهای مختلف، فرستنده و سایر خصوصیات، به عنوان پیوست با نام و پسوند متفاوت توزیع می شود. هنگامی که یک کرم بر روی رایانه نصب می شود، چندین فایل را روی هارد دیسک کپی می کند و یک سری ورودی های رجیستری ایجاد می کند تا مطمئن شود که هر بار که رایانه روشن می شود اجرا می شود. سپس به دنبال آدرس‌های ایمیل در تمام فایل‌های با پسوندهای خاص در رایانه آسیب‌دیده می‌گردد و کپی‌هایی از خود را برای آنها ارسال می‌کند.

تروجان Banker.XP تلاش می کند تا داده های محرمانه مانند رمزهای عبور برای دسترسی به خدمات مختلف در رایانه آلوده را به دست آورد. پس از دریافت، آنها را جمع آوری کرده و برای هکر ارسال می کند.

در ژوئن 2005، آزمایشگاه کسپرسکی ثبت اولین برنامه مخربی را اعلام کرد که سیستم اتوماسیون معروف 1C: Enterprise را تحت تأثیر قرار می دهد. این ویروس تانگا نام دارد.

Tanga در سیستم 1C: Enterprise 7.7 با آلوده کردن فایل های کاربر مسئول گزارش های خارجی و داشتن پسوند "ERT" گسترش می یابد. روش قرار دادن Tanga در فایل های آلوده از بسیاری جهات شبیه به ویروس های ماکرو است که اسناد و جداول را در بسته نرم افزاری Microsoft Office آلوده می کنند. ماژول های مخرب در یک بلوک داده خاص قرار دارند و با باز شدن یک فایل گزارش فعال می شوند. برای کار، ویروس از یک کتابخانه ویژه "Compound.dll" استفاده می کند. اگر این فایل از سیستم مفقود شود، ویروس اجرا نمی شود.

لازم به ذکر است که نویسنده این نسخه از Tanga درک پیچیدگی کار متخصصان آنتی ویروس را نشان داده و تمام تلاش خود را برای به حداقل رساندن زمان تجزیه و تحلیل کد و آسیب ناشی از توزیع احتمالی آن انجام داده است. برای انجام این کار، خالق ویروس آن را از هرگونه عملکرد مخرب محروم کرد و برنامه را حتی در صورت آلودگی ایمن کرد.

ویروس های کامپیوتری را می توان بر اساس معیارهای زیر طبقه بندی کرد:

- با توجه به زیستگاه ویروس:

· شبکه؛

· فایل؛

· چکمه؛

- از طریق روش عفونت:

· مقیم؛

· غیر ساکن؛

- با توجه به قابلیت های مخرب:

· بی ضرر؛

· غیر خطرناک؛

· خطرناک؛

· بسیار خطرناک؛

- با توجه به ویژگی های الگوریتم ویروس.

جستجوی متن کامل:

صفحه اصلی > آزمون > انفورماتیک

وزارت آموزش و پرورش و علوم فدراسیون روسیه

دانشگاه تجارت و اقتصاد روسیه

موسسه کازان (شعبه)

گروه ریاضی و ریاضیات عالی

تست شماره 1

رشته: "انفورماتیک"

ویروس های کامپیوتری

انجام:

دانشجوی سال اول مکاتبه ای

بخش های ویژه دانشکده

گروه "مالی و اعتبار".

بررسی شد:

کازان، 2007

طرح

معرفی

ماهیت و تجلی ویروس های رایانه ای

انواع اصلی و انواع ویروس های کامپیوتری

ویروس ها چگونه پخش می شوند؟

تشخیص ویروس های کامپیوتری

5. اقدامات پیشگیرانه در برابر ویروس ها

نتیجه

کتابشناسی - فهرست کتب

معرفی

ویروس کامپیوتری- یک برنامه به خصوص ایجاد شده برای انجام اقدامات خاصی که در کار بر روی رایانه اختلال ایجاد می کند. بسیاری از برنامه های ویروسی بی ضرر هستند، اما متأسفانه همه آنها کاملاً بی ضرر نیستند. در مرحله اول، آنها فضای RAM و دیسک را اشغال می کنند. ثانیاً، ممکن است حاوی خطاهایی باشند که می تواند منجر به خرابی و راه اندازی مجدد سیستم شود. بنابراین، اگر ویروس کاملاً بی ضرر است، باز هم باید از شر آن خلاص شوید.

در حال حاضر انواع مختلفی از ویروس ها وجود دارد. انواع اصلی ویروس های کامپیوتری عبارتند از: ویروس های نرم افزاری، ویروس های بوت و ویروس های ماکرو. در حال حاضر، بیش از 5000 نوع ویروس نرم افزاری شناخته شده است که می توان آنها را بر اساس معیارهای زیر طبقه بندی کرد: زیستگاه; روش آلودگی زیستگاه؛ تأثیر؛ ویژگی های الگوریتم.

راه های اصلی ورود ویروس ها به کامپیوتر دیسک های قابل جابجایی (فلاپی و لیزری) و همچنین شبکه های کامپیوتری است. هنگامی که رایانه خود را از فلاپی دیسکی که حاوی ویروس است بوت می کنید، هارد دیسک شما ممکن است به ویروس آلوده شود. چنین عفونتی همچنین می تواند تصادفی باشد، برای مثال، اگر فلاپی دیسک از درایو A: حذف نشده باشد و رایانه مجددا راه اندازی شود، در حالی که فلاپی دیسک ممکن است دیسک سیستمی نباشد. آلوده کردن فلاپی دیسک بسیار ساده تر است. یک ویروس می تواند به آن نفوذ کند حتی اگر فلاپی دیسک به سادگی در درایو دیسک رایانه آلوده قرار داده شود و برای مثال فهرست مطالب آن خوانده شود. اما رایج ترین راه انتشار ویروس ها از طریق شبکه ای از رایانه ها و به ویژه اینترنت است که برنامه های دیگر مانند بازی ها بازنویسی و راه اندازی می شوند. ممکن است موارد دیگر و نسبتاً نادری وجود داشته باشد که هارد دیسک دیگری در رایانه قرار داده شود که آلوده شده است. برای جلوگیری از این امر، از فلاپی دیسک سیستم بوت کنید و یا با برنامه های ضد ویروس مخصوص هارد دیسک را اسکن کنید یا بهتر است با برنامه های Fdisk و Format دیسک را پارتیشن بندی و فرمت کنید.

برای شناسایی ویروس ها، برنامه های ضد ویروس خاصی وجود دارند که می توانند ویروس ها را شناسایی و از بین ببرند. انتخاب نسبتاً گسترده ای از برنامه های آنتی ویروس وجود دارد. اینها Aidstest (Lozinsky)، دکتر وب، آنتی ویروس نورتون برای ویندوز، کیت DSAV و دیگران هستند.

ماهیت و تجلی ویروس های رایانه ای

متأسفانه مشخص شد که استفاده گسترده از رایانه های شخصی با ظهور برنامه های ویروسی خود-تکثیر شونده همراه است که با عملکرد عادی رایانه تداخل می کند، ساختار فایل دیسک ها را از بین می برد و به اطلاعات ذخیره شده در رایانه آسیب می رساند. هنگامی که یک ویروس کامپیوتری به یک رایانه نفوذ می کند، می تواند به رایانه های دیگر سرایت کند.

دلایل پیدایش و گسترش ویروس های رایانه ای از یک سو در روان شناسی شخصیت انسان و جنبه های سایه آن (حسادت، انتقام، غرور خالقان ناشناس) نهفته است، از سوی دیگر به دلیل عدم وجود حفاظت سخت افزاری و مقابله با سیستم عامل یک کامپیوتر شخصی.

علیرغم قوانینی که در بسیاری از کشورها برای مبارزه با جرایم رایانه ای و توسعه نرم افزارهای ضد ویروس خاص اتخاذ شده است، تعداد ویروس های نرم افزاری جدید به طور مداوم در حال افزایش است. این امر مستلزم آن است که کاربر رایانه شخصی در مورد ماهیت ویروس ها، روش های آلوده شدن توسط ویروس ها و محافظت در برابر آنها اطلاعات داشته باشد.

راه های اصلی ورود ویروس ها به کامپیوتر دیسک های قابل جابجایی (فلاپی و لیزری) و همچنین شبکه های کامپیوتری است. هنگامی که رایانه خود را از فلاپی دیسکی که حاوی ویروس است بوت می کنید، هارد دیسک شما ممکن است به ویروس آلوده شود. چنین عفونتی همچنین می تواند تصادفی باشد، برای مثال، اگر فلاپی دیسک از درایو A: حذف نشده باشد و رایانه مجددا راه اندازی شود، در حالی که فلاپی دیسک ممکن است دیسک سیستمی نباشد. آلوده کردن فلاپی دیسک بسیار ساده تر است. یک ویروس می تواند به آن نفوذ کند حتی اگر فلاپی دیسک به سادگی در درایو دیسک رایانه آلوده قرار داده شود و برای مثال فهرست مطالب آن خوانده شود.

هنگامی که رایانه شما به ویروس آلوده می شود، تشخیص سریع آن بسیار مهم است. برای این کار باید علائم اصلی ویروس ها را بدانید. این شامل:

خاتمه عملیات یا عملکرد نادرست برنامه هایی که قبلاً با موفقیت کار می کردند.

عملکرد کند کامپیوتر؛

ناتوانی در بارگیری سیستم عامل؛

ناپدید شدن فایل ها و دایرکتوری ها یا خراب شدن محتوای آنها؛

تغییر تاریخ و زمان تغییر فایل؛

تغییر اندازه فایل ها؛

افزایش قابل توجه غیرمنتظره تعداد فایل های روی دیسک؛

کاهش قابل توجه در اندازه RAM رایگان؛

نمایش پیام ها یا تصاویر غیرمنتظره4

دادن سیگنال های صوتی غیرمنتظره؛

یخ زدن و از کار افتادن مکرر کامپیوتر.

با این حال، بر اساس همه این علائم، نمی توان با اطمینان گفت که ویروس وارد رایانه شده است. از آنجایی که ممکن است نقص های دیگری نیز وجود داشته باشد که علت آن نقص یا عدم رفع اشکال سیستم است. به عنوان مثال در کامپیوتر خریداری شده هنگام راه اندازی به جای نمادهای روسی علائم نامفهومی نمایش داده می شود که برای اولین بار می بینید. دلیل این امر ممکن است نصب نشدن درایور سیریلیک نمایشگر باشد. همین دلیل - نبود درایور برای چاپگر - ممکن است رفتار عجیب چاپگر را نیز توضیح دهد. خرابی های سیستم ممکن است به دلیل وجود ریزمدار خراب در داخل واحد سیستم یا در اتصال سیم باشد.

انواع اصلی و انواع ویروس های کامپیوتری

انواع اصلی ویروس های کامپیوتری عبارتند از:

ویروس های نرم افزاری؛

ویروس های بوت؛

ماکرو ویروس ها

ویروس های کامپیوتری نیز شامل به اصطلاح هستند تروجان

اسب ها (برنامه های تروجان، تروجان ها).

ویروس های نرم افزاری

ویروس‌های نرم‌افزار بلوک‌هایی از کد برنامه هستند که به طور هدفمند در داخل برنامه‌های کاربردی دیگر تعبیه شده‌اند. وقتی برنامه ای را اجرا می کنید که حامل ویروس است، کد ویروس کاشته شده در آن راه اندازی می شود.

عملکرد این کد باعث می شود تغییراتی در فایل سیستم هارد دیسک ها و/یا محتوای برنامه های دیگر از کاربر پنهان شود. به عنوان مثال، کد ویروس می تواند خود را در بدنه برنامه های دیگر بازتولید کند - این فرآیند نامیده می شود تولید مثل.پس از مدت زمان معینی، با ایجاد تعداد کافی نسخه، یک ویروس نرم افزاری می تواند اقدامات مخربی را انجام دهد: اختلال در عملکرد برنامه ها و سیستم عامل، حذف اطلاعات ذخیره شده در هارد دیسک. این فرآیند نامیده می شود حمله ویروس

مخرب ترین ویروس ها می توانند قالب بندی هارد دیسک ها را آغاز کنند. از آنجایی که فرمت کردن یک دیسک یک فرآیند نسبتا طولانی است که نباید مورد توجه کاربر قرار گیرد، در بسیاری از موارد ویروس های نرم افزاری محدود به تکثیر داده ها فقط در بخش های سیستمی هارد دیسک هستند که معادل از دست دادن جداول سیستم فایل است. در این حالت ، داده های هارد درایو دست نخورده باقی می ماند ، اما بدون استفاده از ابزارهای خاص قابل استفاده نیست ، زیرا مشخص نیست که کدام بخش از دیسک متعلق به کدام فایل است. از نظر تئوری، امکان بازیابی داده ها در این مورد وجود دارد، اما شدت کار این کار می تواند بسیار بالا باشد.

اعتقاد بر این است که هیچ ویروسی نمی تواند به سخت افزار کامپیوتر آسیب برساند. با این حال، مواقعی وجود دارد که سخت افزار و نرم افزار به قدری به هم مرتبط هستند که باید با تعویض سخت افزار، خرابی نرم افزار برطرف شود. برای مثال، در اکثر مادربردهای مدرن، سیستم ورودی/خروجی اولیه (BIOS) در دستگاه‌های حافظه فقط خواندنی قابل بازنویسی (به اصطلاح فلش مموری).

قابلیت رونویسی اطلاعات در تراشه فلش مموری توسط برخی ویروس های نرم افزاری برای از بین بردن اطلاعات بایوس استفاده می شود.

در این حالت، برای بازگرداندن عملکرد رایانه، لازم است یا تراشه ذخیره‌سازی بایوس را جایگزین کنید یا با استفاده از نرم‌افزار ویژه آن را دوباره برنامه‌ریزی کنید.

ویروس‌های نرم‌افزاری هنگام اجرای برنامه‌های تایید نشده دریافت‌شده روی رسانه خارجی (فلاپی دیسک، سی‌دی و غیره) یا دریافت‌شده از اینترنت وارد رایانه می‌شوند. باید به کلمات توجه ویژه ای شود در راه اندازیاگر به سادگی فایل های آلوده را کپی کنید، کامپیوتر شما نمی تواند آلوده شود. در این راستا، تمام داده های دریافت شده از اینترنت باید مورد تایید اجباری قرار گیرند

برای امنیت، و اگر داده های ناخواسته از منبع ناشناس دریافت شود، باید بدون بررسی از بین برود. یک روش رایج برای توزیع برنامه‌های تروجان، پیوست به ایمیل با یک «توصیه» برای استخراج و اجرای برنامه‌ای است که ظاهراً مفید است.

ویروس ها را بوت کنید.

ویروس های بوت با ویروس های نرم افزاری در نحوه انتشار متفاوت هستند. آنها به فایل های برنامه حمله نمی کنند، بلکه به بخش های سیستم خاصی از رسانه های مغناطیسی (فلاپی و هارد دیسک ها) حمله می کنند. علاوه بر این، هنگامی که رایانه روشن است، می توان آنها را به طور موقت در RAM قرار داد.

به طور معمول، عفونت زمانی رخ می دهد که رایانه از یک رسانه مغناطیسی بوت می شود که ناحیه سیستم آن حاوی ویروس بوت است. به عنوان مثال، هنگامی که می خواهید رایانه ای را از فلاپی دیسک بوت کنید، ویروس ابتدا به حافظه RAM و سپس به بخش بوت هارد دیسک نفوذ می کند. سپس این رایانه خود منبع توزیع ویروس بوت می شود.

ماکرو ویروس ها

این نوع خاص از ویروس، اسناد اجرا شده در برنامه های کاربردی خاص را آلوده می کند. داشتن وسایلی برای انجام به اصطلاح دستورات ماکروبه طور خاص، چنین اسنادی شامل اسناد پردازشگر کلمه مایکروسافت ورد (آنها پسوند هستند

دکتر). عفونت زمانی رخ می دهد که یک فایل سند در پنجره برنامه باز شود، مگر اینکه قابلیت اجرای دستورات ماکرو در برنامه غیرفعال باشد.

مانند سایر انواع ویروس ها، نتیجه یک حمله می تواند از نسبتاً بی ضرر تا مخرب متغیر باشد.

انواع اصلی ویروس های کامپیوتری

در حال حاضر، بیش از 5000 ویروس نرم افزاری شناخته شده است که می توان آنها را بر اساس معیارهای زیر طبقه بندی کرد (شکل 1):

زیستگاه؛

روش آلودگی زیستگاه؛

نفوذ؛

ویژگی های الگوریتم

عکس. 1طبقه بندی ویروس های کامپیوتری:

الف - بر اساس زیستگاه؛ ب - با روش عفونت؛

ج - با توجه به درجه تأثیر. د – با توجه به ویژگی های الگوریتم ها.

بسته به زیستگاهویروس ها را می توان به ویروس های شبکه، فایل، بوت و فایل بوت تقسیم کرد.

ویروس های شبکهدر شبکه های مختلف کامپیوتری توزیع شده است.

ویروس های فایلعمدتاً در ماژول های اجرایی تعبیه شده اند. به فایل هایی با پسوند COM و EXE. ویروس های فایل را می توان در انواع دیگر فایل ها جاسازی کرد، اما به عنوان یک قاعده، پس از نوشتن در چنین فایل هایی، هرگز کنترل نمی شوند و بنابراین، توانایی تولید مجدد را از دست می دهند.

ویروس ها را بوت کنیددر بخش بوت دیسک (Boot) یا در بخش حاوی برنامه بوت دیسک سیستم (Master Boot Record) تعبیه شده اند.

ویروس های بوت فایلهم فایل ها و هم بخش های بوت دیسک ها را آلوده می کند.

با روش عفونتویروس ها به دو دسته مقیم و غیر مقیم تقسیم می شوند.

ویروس مقیمهنگام آلوده کردن رایانه، بخش ساکن خود را در RAM رها می کند، که سپس دسترسی سیستم عامل به اشیاء آلوده (فایل ها، بخش های بوت و غیره) را قطع می کند و خود را به آنها تزریق می کند. ویروس های مقیم در حافظه هستند و تا زمانی که کامپیوتر خاموش یا راه اندازی مجدد نشود فعال هستند.

ویروس های غیر مقیمحافظه کامپیوتر را آلوده نکنید و برای مدت محدودی فعال هستند.

بر اساس درجه تاثیرویروس ها را می توان به انواع زیر تقسیم کرد:

بی ضرر،عدم تداخل در عملکرد رایانه، اما کاهش مقدار رم و حافظه دیسک آزاد، اقدامات چنین ویروس هایی در برخی جلوه های گرافیکی یا صوتی ظاهر می شود.

خطرناکویروس هایی که می توانند منجر به مشکلات مختلفی در رایانه شما شوند.

بسیار خطرناک، که تأثیر آن می تواند منجر به از بین رفتن برنامه ها، از بین رفتن داده ها و پاک شدن اطلاعات در مناطق سیستمی دیسک شود.

ویروس ها چگونه پخش می شوند؟

راه های مختلفی وجود دارد، در درجه اول از طریق فلاپی دیسک. اگر فلاپی دیسکی را از یکی از دوستانتان دریافت کرده اید که روی کامپیوترش ویروس دارد، به احتمال زیاد فلاپی دیسک آلوده خواهد شد. در اینجا دو گزینه ممکن وجود دارد. اول این که ویروس در ناحیه سیستم دیسک قرار دارد و دوم اینکه یک یا چند فایل آلوده وجود دارد. همانطور که قبلاً ذکر شد، ویروس باید کنترل را به دست آورد، بنابراین اگر یک فلاپی دیسک سیستمی است، هنگام بوت شدن از آن می توانید رایانه را آلوده کنید. اگر این یک فلاپی دیسک سیستمی است و سعی کرده اید رایانه را از طریق آن بوت کنید و پیام: دیسک غیر سیستمی (دیسک غیر سیستمی) روی صفحه ظاهر شد، در این صورت می توانید رایانه خود را آلوده کنید، زیرا هر دیسکتی دارای یک لودر سیستم عامل و هنگامی که آن را روشن کنید کنترل را دریافت می کند.

گزینه دوم فایل های آلوده است. همه فایل ها را نمی توان آلوده کرد. بنابراین، به عنوان مثال، اگر متن نامه یا سند دیگری با استفاده از ویرایشگر Norton Commander تایپ شده باشد، هیچ ویروسی در آنجا وجود نخواهد داشت. حتی اگر به طور تصادفی به آنجا ختم شود، پس از مشاهده فایل با استفاده از همان ویرایشگر یا مشابه، می توانید کاراکترهای نامفهومی را در ابتدا یا انتهای چنین فایلی مشاهده کنید که بهتر است از بین بروند. ویرایشگرهای دیگر فایل هایی ایجاد می کنند که حاوی اطلاعات کنترلی مانند اندازه یا نوع قلم، تورفتگی ها، جداول تبدیل مختلف و غیره است. به عنوان یک قاعده، آلوده شدن از طریق چنین فایلی تقریبا غیرممکن است. با این حال، ویرایشگر Word نسخه های 6.0 و 7.0 این قابلیت را دارند که حاوی دستورات ماکرو در همان ابتدای سند باشند که کنترل به آن منتقل می شود و بنابراین ویروس می تواند از طریق اسناد منتشر شود.

راه های دیگر انتشار ویروس ها انتقال بر روی رسانه های ذخیره سازی دیگر، به عنوان مثال در درایوهای CD-ROM است که بسیار نادر است. اتفاق افتاده است که هنگام خرید نرم افزار دارای مجوز، مشخص شده است که به ویروس آلوده شده است، اما چنین مواردی بسیار نادر است.

ویژگی دیسک های CD-ROM این است که اطلاعات روی آنها نوشته نمی شود. اگر یک دیسک CD-ROM عاری از ویروس در رایانه آلوده وجود داشته باشد، آلوده نخواهد شد. با این حال، اگر حاوی اطلاعات آلوده به ویروس باشد، هیچ برنامه ضد ویروسی نمی تواند دیسک را از ویروس ها پاک کند.

رایج ترین راه انتشار ویروس ها از طریق شبکه ای از رایانه ها و به ویژه اینترنت است که برنامه های دیگر مانند بازی ها بازنویسی و راه اندازی می شوند. ممکن است موارد دیگر و نسبتاً نادری وجود داشته باشد که هارد دیسک دیگری در رایانه قرار داده شود که آلوده شده است. برای جلوگیری از این امر، از فلاپی دیسک سیستم بوت کنید و یا با برنامه های ضد ویروس مخصوص هارد دیسک را اسکن کنید یا بهتر است با برنامه های Fdisk و Format دیسک را پارتیشن بندی و فرمت کنید.

تشخیص ویروس های کامپیوتری

برای شناسایی ویروس ها، برنامه های ضد ویروس خاصی وجود دارند که می توانند ویروس ها را شناسایی و از بین ببرند. با این حال، همه ویروس ها را نمی توان شناسایی کرد، زیرا اشکال جدید بیشتری ظاهر می شود.

یک برنامه آنتی ویروس شبیه به یک دارو است، یعنی روی برخی از ویروس ها به صورت انتخابی عمل می کند در حالی که از برخی دیگر صرف نظر می کند. بنابراین اگر یک برنامه آنتی ویروس هر روز (هفته، ماه) بر روی رایانه راه اندازی شود، هنوز هیچ اطمینان مطلقی وجود ندارد که ویروس ها را شناسایی کند.

انتخاب نسبتاً گسترده ای از برنامه های آنتی ویروس وجود دارد. اینها Aidstest (Lozinsky)، دکتر وب، آنتی ویروس نورتون برای ویندوز، کیت DSAV و دیگران هستند. با توجه به نحوه کار آنها می توان آنها را به سه نوع تقسیم کرد:

1) آشکارسازها، تولید اسکن کردن. این ساده ترین و رایج ترین شکل است که شامل مشاهده فایل ها و سوابق بوت به منظور بررسی محتویات آنها برای شناسایی امضا است (امضا کد یک برنامه ویروسی است). علاوه بر اسکن برای امضا، می توان از یک روش تجزیه و تحلیل اکتشافی استفاده کرد: با بررسی کدها برای شناسایی کدهای مشخصه ویروس ها، آشکارسازها ویروس های شناسایی شده را که پلی فاژ نامیده می شوند حذف می کنند. چنین برنامه هایی می توانند تجزیه و تحلیل اکتشافی انجام دهند و ویروس های جدید را شناسایی کنند.

2) حسابرسان– برنامه‌هایی که وضعیت فایل‌ها و نواحی سیستم را به خاطر می‌آورند، اغلب با محاسبه یک چک‌سوم یا اندازه فایل.

3) برنامه ها - فیلترها،یا نگهبانان ساکن، به طور دائم در رم رایانه قرار دارد و فایل های راه اندازی شده و فلاپی دیسک های درج شده را تجزیه و تحلیل می کند. آنها به کاربر در مورد تلاش برای تغییر بخش بوت، ظاهر یک برنامه مقیم، توانایی نوشتن روی دیسک و غیره اطلاع می دهند.

4) حفاظت سخت افزاریکنترل کننده ای است که در کانکتور توسعه قرار می گیرد و دسترسی به فلاپی و هارد دیسک را نظارت می کند. می‌توانید از بخش‌های خاصی مانند سوابق بوت، فایل‌های اجرایی، فایل‌های پیکربندی و غیره محافظت کنید. برخلاف روش‌های قبلی، زمانی که رایانه آلوده است نیز می‌تواند کار کند.

5) برنامه هایی نیز در آن نصب شده است BIOS هنگامی که هنگام تلاش برای نوشتن در بخش بوت، پیامی در این مورد روی صفحه ظاهر می شود.

اقدامات پیشگیرانه در برابر ویروس ها

برای پیشگیری نیاز دارید:

1. آرشیو داده ها. بایگانی ضبط فایل ها در رسانه های قابل جابجایی است. بیشتر اوقات، این نقش توسط دیسک های فلاپی یا نوارهای مغناطیسی مورد استفاده در دستگاه های خاص (استریمر) ایفا می شود. به عنوان مثال، اگر یک دیسکت نصب دارید که می توانید سیستم را مجددا راه اندازی کنید و فایل ها را بازیابی کنید، نیازی به به خاطر سپردن فایل های ویندوز نیست. بنابراین، اگر رایانه در بین دستگاه های قابل جابجایی فقط فلاپی دیسک دارد، باید اطلاعاتی را به خاطر بسپارید که بازیابی آنها دشوار است.

آرشیو کردن. به عنوان یک قاعده، اطلاعات روی بیش از یک دیسک ثبت می شود. فرض کنید اطلاعات روی یک فلاپی دیسک قرار می گیرد و هفته ای یک بار کپی انجام می شود. ابتدا اطلاعات در 4 آگوست ضبط می شود، دفعه بعد در 11 آگوست ضبط روی فلاپی دیسک دیگری از همان دایرکتوری ها انجام می شود. در 18 آگوست، ضبط دوباره روی فلاپی دیسک اول، در 25 آگوست در دوم، سپس دوباره در اول، و به همین ترتیب انجام می شود، برای این کار شما باید حداقل دو فلاپی دیسک داشته باشید. واقعیت این است که هنگام نوشتن روی فلاپی دیسک، ممکن است خرابی رخ دهد و بیشتر اطلاعات از بین بروند. در رایانه خانگی، هر از گاهی باید کپی تهیه کنید، اما فرکانس توسط کاربر تعیین می شود.

2. به طوری که همه چیز اطلاعات، دریافت شده از رایانه های دیگر، بررسی شدبرنامه های آنتی ویروس قبلاً نوشته شده بود که برخی از فایل ها، مثلاً با اطلاعات گرافیکی، از نظر آلودگی به ویروس کاملاً ایمن هستند. بنابراین، اگر فقط این نوع اطلاعات در فلاپی دیسک وجود داشته باشد، این اطلاعات خطرناک نیست. اگر ویروسی شناسایی شد، باید تمام رایانه هایی که از طریق فلاپی دیسک یا شبکه به رایانه آلوده متصل شده اند را بررسی کنید. حذف ویروس نه تنها از هارد دیسک، بلکه از فلاپی دیسک ها و فایل های آرشیو نیز ضروری است. اگر مشکوک به وجود ویروس در رایانه خود هستید یا اطلاعات با استفاده از فلاپی دیسک یا اینترنت به رایانه شما منتقل می شود، می توانید نصب برنامه های آنتی ویروس درAutoexec. که دردر، به طوری که وقتی کامپیوتر را روشن می کنید شروع به کار می کنند.

3. از فلاپی دیسک های ناشناخته بوت نکنید. هنگام بوت شدن از دیسک سخت، مطمئن شوید که فلاپی دیسکی در درایو A: یا B: وجود ندارد، به خصوص از ماشین های دیگر.

نتیجه

متأسفانه مشخص شد که استفاده گسترده از رایانه های شخصی با ظهور برنامه های ویروسی خود-تکثیر شونده همراه است که با عملکرد عادی رایانه تداخل می کند، ساختار فایل دیسک ها را از بین می برد و به اطلاعات ذخیره شده در رایانه آسیب می رساند.

ویروس کامپیوتری- یک برنامه به خصوص ایجاد شده برای انجام اقدامات خاصی که در کار بر روی رایانه اختلال ایجاد می کند.

هنگامی که یک ویروس کامپیوتری به یک رایانه نفوذ می کند، می تواند به رایانه های دیگر سرایت کند.

برنامه ویروس به زبان اسمبلی نوشته شده است تا حجم کمی داشته باشد و سریع اجرا شود، البته برنامه هایی نیز وجود دارد که به زبان های C، Pascal و سایر زبان ها نوشته شده اند. بسیاری از برنامه های ویروس مقیم از اصول توسعه یافته در درایورها استفاده می کنند، یعنی آدرس برنامه ویروس را در جدول وقفه تنظیم می کنند و پس از پایان کار ویروس، کنترل را به یک برنامه معمولی که آدرس آن قبلا در جدول وقفه به این می گویند رهگیری کنترل.

برنامه های خودکاری برای ایجاد ویروس های جدید وجود دارد که به شما امکان می دهد متن منبع ویروس را به صورت تعاملی به زبان اسمبلی ایجاد کنید. هنگام ورود به بسته، می‌توانید گزینه‌هایی را تنظیم کنید که به شما امکان می‌دهند مشخص کنید که ویروس چه اقدامات مخربی انجام دهد، آیا متن کد ماشین خود را رمزگذاری می‌کند یا خیر، با چه سرعتی فایل‌ها را روی دیسک‌ها آلوده می‌کند و غیره.

مهمترین چیزی که ویروس به آن نیاز دارد این است که برای شروع کار خود کنترل را به دست آورد. اگر ویروس بلافاصله شروع به انجام عملی کرد که در آن ذاتی است، شناسایی آن و تمیز کردن رایانه از آن آسان تر خواهد بود. مشکل این است که ویروس ها ممکن است بلافاصله پس از ظاهر شدن در رایانه ظاهر نشوند، اما پس از یک زمان خاص، برای مثال در یک روز خاص.

در دنیای مدرن، برنامه های آنتی ویروس زیادی وجود دارند که می توانند ویروس ها را شناسایی و از بین ببرند. با این حال، همه ویروس ها را نمی توان شناسایی کرد، زیرا اشکال جدید بیشتری ظاهر می شود.

برای جلوگیری از خراب شدن برنامه ویروسی برنامه آنتی ویروس، باید از فلاپی دیسک سیستم بارگذاری شود، رایانه از روی دیسک سیستم بوت شود و برنامه آنتی ویروس راه اندازی شود.

نرم افزار آنتی ویروس خود را به روز نگه دارید زیرا نسخه های جدیدتر ممکن است انواع بیشتری از ویروس ها را شناسایی کنند. برای به روز رسانی آخرین نسخه های آنتی ویروس، می توانید آنها را از طریق مودم دریافت کنید یا می توانید با متخصصان شرکت های آنتی ویروس تماس بگیرید.

کتابشناسی - فهرست کتب

A. Kostsov، V. Kostsov. دایره المعارف بزرگ همه چیز درباره کامپیوتر شخصی - م.: "مارتین"، 2003. - 720 ص.

علوم کامپیوتر: کتاب درسی. – ویرایش سوم ویرایش / اد. N.V. ماکاروا. – م.: امور مالی و آمار، 1384. – 768 ص: ill.

علوم کامپیوتر برای حقوقدانان و اقتصاددانان. / ویرایش شده توسط S. V. Simonovich و دیگران - سنت پترزبورگ: سن پترزبورگ، 2001. - 688 ص 6 ill.

مقدمه……………………………………………………………………………………………………………………………………………….

1. ویروس های کامپیوتری. طبقه بندی………………………………….4

2. سازندگان بدافزار ………………………………………………………

3. شرح بدافزار……………………………………………………………………………………

3.1. ویروس های چند شکل…………………………………………………………

3.2. ویروس های مخفی……………………………………………………………………………………

3.3 ویروس های تروجان………………………………………………………………………………………

3.4 کرم ها………………………………………………………………………………………………………………………………………………………………..8

4. علائم ویروس……………………………………………………

5. مبارزه با آنتی ویروس ها……………………………………………………………..9

نتیجه گیری…………………………………………………………………………………………

فهرست مراجع……………………………………………………………………………………………………………………………………………………

معرفی

رایانه ها به دستیاران واقعی انسان تبدیل شده اند و نه یک شرکت تجاری و نه یک سازمان دولتی بدون آنها نمی توانند کار کنند. با این حال، در این زمینه، مشکل امنیت اطلاعات به ویژه حاد شده است.

ویروس هایی که در فن آوری کامپیوتری گسترده شده اند، تمام دنیا را هیجان زده کرده اند. بسیاری از کاربران رایانه نگران شایعاتی هستند مبنی بر اینکه مجرمان سایبری از ویروس‌های رایانه‌ای برای هک کردن شبکه‌ها، سرقت از بانک‌ها و سرقت مالکیت معنوی استفاده می‌کنند.

امروزه، متأسفانه، استفاده گسترده از رایانه های شخصی با ظهور برنامه های ویروسی خود-تکثیر شونده همراه است که در عملکرد عادی رایانه اختلال ایجاد می کند، ساختار فایل دیسک ها را از بین می برد و به اطلاعات ذخیره شده در رایانه آسیب می رساند. .

به طور فزاینده ای، گزارش هایی در رسانه ها در مورد انواع ترفندهای دزدان دریایی هولیگان های رایانه ای، در مورد ظهور برنامه های خود-بازساز پیشرفته تر و پیشرفته تر وجود دارد. اخیراً آلوده کردن فایل های متنی با ویروس پوچ تلقی می شد - اکنون این موضوع هیچ کس را شگفت زده نخواهد کرد. علیرغم قوانینی که در بسیاری از کشورها برای مبارزه با جرایم رایانه ای و توسعه نرم افزارهای ضد ویروس خاص اتخاذ شده است، تعداد ویروس های نرم افزاری جدید به طور مداوم در حال افزایش است. این امر مستلزم آن است که کاربر رایانه شخصی در مورد ماهیت ویروس ها، روش های آلوده شدن توسط ویروس ها و محافظت در برابر آنها اطلاعات داشته باشد.

1. ویروس های کامپیوتری

ویروس کامپیوترییک برنامه (مجموعه معینی از کد/دستورالعمل های اجرایی) است که قادر است از خود کپی هایی ایجاد کند (الزاماً کاملاً مشابه نسخه اصلی نیست) و آنها را در اشیاء/منابع مختلف سیستم های کامپیوتری، شبکه ها و غیره پیاده سازی کند. بدون اطلاع کاربر در عین حال، نسخه‌ها قابلیت توزیع بیشتر را حفظ می‌کنند.

طبقه بندی ویروس ها:

1) با توجه به زیستگاه ویروس

ویروس های فایلاغلب آنها در فایل های اجرایی با پسوندهای exe و .com (متداول ترین ویروس ها) تعبیه می شوند، اما همچنین می توانند در فایل هایی با اجزای سیستم عامل، درایورهای دستگاه خارجی، فایل های شی و کتابخانه ها، در فایل های دسته ای فرمان، برنامه جاسازی شوند. فایل ها در برنامه نویسی زبان های رویه ای (فایل های اجرایی را در حین ترجمه آلوده می کنند).

ویروس ها را بوت کنیددر بخش راه‌اندازی یک فلاپی دیسک (بخش راه‌اندازی) یا در بخش حاوی برنامه بوت دیسک سیستم (رکورد اصلی بوت) تعبیه شده‌اند. هنگام بارگذاری DOS از یک دیسک آلوده، چنین ویروسی برنامه بوت را تغییر می دهد یا جدول تخصیص فایل روی دیسک را تغییر می دهد و مشکلاتی را در عملکرد رایانه ایجاد می کند یا حتی راه اندازی سیستم عامل را غیرممکن می کند.

بوت فایلویروس‌ها قابلیت‌های دو گروه قبلی را ادغام می‌کنند و بیشترین "کارایی" عفونت را دارند.

ویروس های شبکهآنها از دستورات و پروتکل های سیستم های مخابراتی (ایمیل، شبکه های کامپیوتری) برای توزیع خود استفاده می کنند.

ویروس ها را مستند کنید(که اغلب به آنها ویروس های ماکرو گفته می شود) فایل های متنی (.doc) و فایل های صفحه گسترده برخی از ویرایشگرهای محبوب را آلوده و خراب می کند.

ماکرو ویروس های شبکه ترکیبینه تنها اسنادی را که ایجاد می کنند آلوده می کنند، بلکه کپی هایی از این اسناد را از طریق ایمیل ارسال می کنند.

2) با روش آلودگی زیستگاه.

مقیم ویروسهنگامی که یک کامپیوتر آلوده می شود، قسمت ساکن خود را در RAM رها می کند، که سپس دسترسی سیستم عامل به اشیاء آلوده را قطع کرده و خود را به آنها تزریق می کند. ویروس های غیر مقیمحافظه کامپیوتر را آلوده نکنید و برای مدت محدودی فعال هستند.

3) با توجه به قابلیت های مخرب

بی ضرر،آن ها که به هیچ وجه بر عملکرد رایانه تأثیر نمی گذارد (به جز کاهش حافظه آزاد روی دیسک در نتیجه توزیع آنها).

غیر خطرناک , تأثیر آن با کاهش حافظه آزاد روی دیسک و جلوه های گرافیکی، صوتی و غیره محدود می شود.

4) با توجه به ویژگی های الگوریتم ویروس .

ویروس های همراه- اینها ویروس هایی هستند که فایل ها را تغییر نمی دهند.

ویروس ها - "کرم ها" (کرم)- ویروس هایی که در یک شبکه کامپیوتری پخش می شوند و مانند ویروس های همراه، فایل ها یا بخش های دیسک را تغییر نمی دهند. آنها از طریق یک شبکه کامپیوتری به حافظه کامپیوتر نفوذ می کنند، آدرس شبکه کامپیوترهای دیگر را محاسبه می کنند و کپی هایی از خود را به این آدرس ها ارسال می کنند. چنین ویروس هایی گاهی اوقات فایل های کاری را روی دیسک های سیستم ایجاد می کنند، اما ممکن است به هیچ وجه به منابع رایانه دسترسی نداشته باشند (به استثنای RAM).

2. سازندگان بدافزار

بخش عمده ای از ویروس ها و برنامه های تروجان در گذشته توسط دانش آموزان و دانش آموزانی ایجاد می شد که به تازگی یک زبان برنامه نویسی را یاد گرفته بودند، می خواستند دست خود را در آن امتحان کنند، اما نتوانستند کاربرد شایسته تری برای آنها پیدا کنند. چنین ویروس هایی تا به امروز فقط برای تایید خود نویسندگانشان نوشته شده و می شوند.

گروه دوم ویروس آفرینان نیز جوانانی (معمولاً دانش آموزان) هستند که هنوز به هنر برنامه نویسی تسلط کامل ندارند. از قلم چنین "صنعتگران" ویروس هایی اغلب بیرون می آیند که بسیار ابتدایی هستند و حاوی تعداد زیادی خطا (ویروس های "دانشجو") هستند. زندگی این گونه ویروس نویسان با توسعه اینترنت و ظهور وب سایت های متعدد با هدف آموزش نحوه نوشتن ویروس های رایانه ای به طور قابل توجهی آسان تر شده است. اغلب در اینجا می توانید متون منبع آماده را پیدا کنید که فقط باید حداقل تغییرات "نویسنده" را در آنها ایجاد کنید و به روش توصیه شده کامپایل کنید.

سومین و خطرناک ترین گروه که ویروس های "حرفه ای" را در جهان ایجاد و منتشر می کند. این برنامه های با دقت فکر شده و اشکال زدایی شده توسط برنامه نویسان حرفه ای و اغلب بسیار با استعداد ایجاد می شوند. چنین ویروس هایی اغلب از الگوریتم های کاملاً اصلی برای نفوذ به مناطق داده های سیستم، خطاهای سیستم های امنیتی محیط های عملیاتی، مهندسی اجتماعی و سایر ترفندها استفاده می کنند.

گروه چهارم جداگانه ای از نویسندگان ویروس وجود دارد - "محققان" که درگیر اختراع روش های اساسی جدید عفونت، پنهان کردن، مقابله با آنتی ویروس ها و غیره هستند. اغلب نویسندگان چنین ویروس هایی ساخته های خود را توزیع نمی کنند، اما فعالانه ایده های خود را ترویج می کنند. از طریق منابع اینترنتی متعددی که به ایجاد ویروس اختصاص داده شده است. در عین حال ، خطر ناشی از چنین ویروس های "تحقیقی" نیز بسیار زیاد است - با افتادن به دست "حرفه ای ها" از گروه قبلی ، این ایده ها خیلی سریع در ویروس های جدید ظاهر می شوند.

3. توضیحات بدافزار

نرم‌افزارهای مخرب شامل کرم‌های شبکه، ویروس‌های فایل کلاسیک، اسب‌های تروجان، ابزارهای هک و سایر برنامه‌هایی هستند که عمداً به رایانه‌ای که روی آن اجرا می‌شوند یا سایر رایانه‌های موجود در شبکه آسیب می‌رسانند.

3.1 ویروس های چند شکلی

ویروس های چند شکلی- ویروس هایی که کد خود را در برنامه های آلوده به گونه ای تغییر می دهند که ممکن است دو نسخه از یک ویروس در یک بیت با هم مطابقت نداشته باشند. به نظر می رسد این نوع ویروس کامپیوتری امروزه خطرناک ترین است. این گونه ویروس ها نه تنها کد خود را با استفاده از مسیرهای رمزگذاری مختلف رمزگذاری می کنند، بلکه حاوی کدهای تولید رمزگذار و رمزگشا هستند که آنها را از ویروس های رمزگذاری معمولی متمایز می کند که می توانند بخش هایی از کد خود را نیز رمزگذاری کنند، اما در عین حال دارای رمزگذار و کد رمزگشای ثابت هستند. .

3.2 ویروس های مخفی

ویروس های مخفیبرنامه های آنتی ویروس را فریب می دهند و در نتیجه شناسایی نمی شوند. با این حال، یک راه ساده برای غیرفعال کردن مکانیسم استتار ویروس های مخفی وجود دارد. کافی است رایانه را از یک فلاپی دیسک سیستم غیر آلوده بوت کنید و بلافاصله بدون راه اندازی برنامه های دیگر از روی دیسک رایانه (که ممکن است آلوده نیز باشند)، رایانه را با یک برنامه ضد ویروس اسکن کنید. هنگامی که ویروس از فلاپی دیسک بارگذاری می شود، نمی تواند کنترل را به دست آورد و یک ماژول ساکن را در RAM نصب کند که مکانیزم مخفی کاری را اجرا می کند. یک برنامه آنتی ویروس قادر به خواندن اطلاعات واقعی نوشته شده روی دیسک خواهد بود و به راحتی ویروس را شناسایی می کند.

3.3 ویروس های تروجان

اسب تروا- این یک برنامه حاوی برخی از عملکردهای مخرب است که زمانی فعال می شود که شرایط ماشه خاصی رخ دهد. معمولاً چنین برنامه هایی به عنوان برخی از ابزارهای مفید پنهان می شوند. "اسب های تروجان" برنامه هایی هستند که علاوه بر عملکردهای شرح داده شده در مستندات، برخی عملکردهای دیگر مرتبط با نقض امنیتی و اقدامات مخرب را نیز اجرا می کنند. مواردی از ایجاد چنین برنامه هایی برای تسهیل گسترش ویروس ها وجود داشته است. فهرست این گونه برنامه ها به طور گسترده در مطبوعات خارجی منتشر می شود. آنها معمولاً به عنوان برنامه های بازی یا سرگرمی پنهان می شوند و همراه با تصاویر یا موسیقی زیبا باعث آسیب می شوند.

نشانک‌های نرم‌افزاری نیز حاوی عملکردهایی هستند که برای هواپیما مضر هستند، اما این عملکرد، برعکس، سعی می‌کند تا حد امکان نامشخص باشد، زیرا هرچه برنامه مدت زمان بیشتری باعث سوء ظن نشود، نشانک مدت بیشتری می تواند کار کند.

3.4 کرم ها

کرم هاویروس هایی نامیده می شوند که در سراسر شبکه های جهانی پخش می شوند و کل سیستم ها را به جای برنامه های فردی آلوده می کنند. این خطرناک ترین نوع ویروس است، زیرا در این مورد سیستم های اطلاعاتی در مقیاس ملی به اهداف حمله تبدیل می شوند. با ظهور اینترنت جهانی، این نوع نقض امنیتی بزرگترین تهدید را ایجاد می کند، زیرا هر یک از 40 میلیون رایانه متصل به این شبکه می تواند در هر زمان در معرض آن قرار گیرد.

4. علائم ویروس

هنگامی که رایانه شما به ویروس آلوده می شود، شناسایی آن مهم است. برای این کار باید علائم اصلی ویروس ها را بدانید. این موارد شامل موارد زیر است:

1. توقف عملیات یا عملکرد نادرست برنامه هایی که قبلاً با موفقیت کار می کردند

2. کامپیوتر کند است

3. ناتوانی در بارگذاری سیستم عامل

4. ناپدید شدن فایل ها و دایرکتوری ها یا خراب شدن محتوای آنها

5. تغییر تاریخ و زمان تغییر فایل

6. تغییر اندازه فایل ها

7. افزایش قابل توجه غیر منتظره در تعداد فایل های روی دیسک

8. کاهش قابل توجه در اندازه RAM رایگان

9. نمایش پیام ها یا تصاویر غیرمنتظره

10. دادن سیگنال های صوتی غیر منتظره

11. فریز مکرر و خرابی کامپیوتر

لازم به ذکر است که پدیده های فوق لزوماً ناشی از وجود ویروس نیست، بلکه ممکن است ناشی از دلایل دیگری باشد. بنابراین، تشخیص درست وضعیت رایانه همیشه دشوار است.

5. مبارزه با آنتی ویروس ها

در همه زمان ها، برنامه های مخربی وجود داشته اند که کاملاً فعالانه از خود محافظت می کنند. چنین حفاظتی ممکن است شامل موارد زیر باشد:

جستجوی عمدی سیستم برای یک آنتی ویروس، فایروال یا سایر ابزارهای امنیتی و ایجاد اختلال در عملکرد آن. یک مثال می تواند بدافزاری باشد که نام یک آنتی ویروس خاص را در لیست فرآیندها جستجو می کند و سعی در تخلیه آن آنتی ویروس دارد.

مسدود کردن فایل ها و باز کردن آنها با دسترسی انحصاری به عنوان یک اقدام متقابل در برابر آنتی ویروس های فایل.

تغییر فایل میزبان برای مسدود کردن دسترسی به سایت های به روز رسانی آنتی ویروس؛

پنجره های امنیتی را تشخیص می دهد و کلیک کردن روی دکمه Allow را شبیه سازی می کند.

در واقع، حمله هدفمند به دفاع بیشتر یک "اقدام اجباری" است، محافظت از کسی که به دیوار چسبانده شده است تا یک حمله فعال. در شرایط مدرن، هنگامی که آنتی ویروس ها نه تنها کد برنامه های مخرب، بلکه رفتار آنها را نیز تجزیه و تحلیل می کنند، دومی خود را کم و بیش بی دفاع می بیند: نه پلی مورفیسم، نه بسته بندی و نه حتی فناوری های پنهان در سیستم از آنها محافظت کامل نمی کند. بنابراین، بدافزار تنها می‌تواند تظاهرات یا عملکردهای فردی «دشمن» را هدف قرار دهد. خارج از ضرورت اجتناب ناپذیر، این روش دفاع شخصی چندان محبوب نخواهد بود، زیرا از نقطه نظر وسیع ترین محافظت ممکن بسیار زیانبار است.

نتیجه

از همه موارد فوق، می توان نتیجه گرفت که ویروس کامپیوتری یک برنامه کوچک نوشته شده ویژه است که می تواند خود را به برنامه های دیگر "نسبت" کند و همچنین اقدامات ناخواسته مختلفی را روی رایانه انجام دهد. به برنامه ای که حاوی ویروس است "عفونی" می گویند. هنگامی که چنین برنامه ای شروع به کار می کند، ابتدا ویروس کنترل می شود. ویروس برنامه های دیگر را پیدا کرده و "عفونت" می کند، و همچنین برخی از اقدامات مضر را انجام می دهد (به عنوان مثال، فایل ها یا جدول تخصیص فایل روی دیسک را خراب می کند، RAM را "انسداد" می کند و غیره). ویروس برنامه ای است که توانایی تکثیر خود را دارد. این توانایی تنها ویژگی ذاتی انواع ویروس ها است. ویروس نمی تواند در "انزوا کامل" وجود داشته باشد. این بدان معنی است که امروزه نمی توان ویروسی را تصور کرد که به نوعی از کد برنامه های دیگر، اطلاعات مربوط به ساختار فایل یا حتی فقط از نام برنامه های دیگر استفاده نکند. دلیل این امر کاملاً واضح است: ویروس باید به نحوی اطمینان حاصل کند که کنترل به خودش منتقل می شود.

مؤثرترین راه برای محافظت در برابر ویروس های رایانه ای، وارد نکردن اطلاعات از بیرون به رایانه است. اما، متأسفانه، تقریباً غیرممکن است که 100٪ از خود در برابر ویروس ها محافظت کنید (این بدان معنی است که کاربر فلاپی دیسک را با دوستان خود مبادله می کند و بازی می کند و همچنین اطلاعاتی را از دیگران دریافت می کند).

کتابشناسی - فهرست کتب

1. Leontyev V.P. آخرین دایره المعارف کامپیوتر شخصی 2003. - ویرایش پنجم، بازبینی شده. و اضافی - M.: OLMA-PRESS، 2003

2. لوین ا.ش. کتابچه راهنمای خودآموزی برای کار با کامپیوتر - ویرایش نهم، سنت پترزبورگ: پیتر، 2006

3. www.yandex. ru

4. www.google. ru

4. سی دی رام. بهترین ها: انشا، درس، دیپلم، 2007

ویروس های بخش بوت استرپ خانگی برنامه هایی که در دم برنامه بوت در درایو C نوشته می شوند: یا جایگزین آن می شوند و هم آن و هم عملکرد خود را از لحظه آلودگی انجام می دهند. این ویروس ها هنگام بوت شدن از فلاپی دیسک آلوده وارد دستگاه می شوند. هنگامی که برنامه بوت خوانده می شود و اجرا می شود، ویروس در حافظه بارگذاری می شود و هر کاری را که برای انجام آن "طراحی شده" است، آلوده می کند.

بوت ویروس های رکورد اصلی بوت. آنها Master Boot Record سیستم را در هارد دیسک و بخش بوت را در فلاپی دیسک آلوده می کنند. این نوع ویروس با رهگیری دستورالعمل ها بین سخت افزار کامپیوتر و سیستم عامل، کنترل سیستم را در پایین ترین سطح به دست می گیرد.

• · ویروس‌های ماکرو: برخی از برنامه‌های رایانه‌ای از زبان‌های ماکرو برای خودکارسازی رویه‌هایی که اغلب انجام می‌شوند استفاده می‌کنند. با قدرتمندتر شدن رایانه ها، مشکلاتی که آنها حل می کنند پیچیده تر شده اند. برخی از زبان‌های ماکرو امکان نوشتن فایل‌ها در قالب‌هایی غیر از سند اصلی را فراهم می‌کنند. این ویژگی می تواند توسط نویسندگان ویروس برای ایجاد ماکروهایی که اسناد را آلوده می کنند استفاده شود. ویروس های ماکرو معمولاً از طریق فایل های Microsoft Word و Excel توزیع می شوند.
• · ویروس های ترکیبی: ویروس هایی که ترکیبی از ویژگی های ذکر شده در بالا را نشان می دهند. آنها می توانند فایل ها، بخش های بوت و رکوردهای اصلی بوت را آلوده کنند.
• · ویروس های فایل: اکنون بیایید به نحوه عملکرد یک ویروس فایل ساده نگاه کنیم. بر خلاف ویروس های بوت که تقریبا همیشه ساکن هستند، ویروس های فایل لزوما مقیم نیستند. بیایید طرح عملکرد یک ویروس فایل غیر مقیم را در نظر بگیریم. فرض کنید یک فایل اجرایی آلوده داریم. هنگامی که چنین فایلی راه اندازی می شود، ویروس کنترل را به دست می آورد، برخی از اقدامات را انجام می دهد و کنترل را به "میزبان" منتقل می کند.

ویروس چه اقداماتی انجام می دهد؟ به دنبال یک شی جدید برای آلوده کردن می گردد - فایلی از نوع مناسب که هنوز آلوده نشده است. با آلوده کردن یک فایل، ویروس خود را به کد آن تزریق می کند تا در هنگام اجرای فایل، کنترل را به دست آورد. علاوه بر عملکرد اصلی آن - تولید مثل، ویروس ممکن است کار پیچیده ای انجام دهد (مثلاً بپرسید، بازی کنید) - این از قبل به تخیل نویسنده ویروس بستگی دارد. اگر ویروس فایل ساکن باشد، خود را در حافظه نصب می‌کند و نه تنها در زمانی که فایل آلوده در حال اجرا است، می‌تواند فایل‌ها را آلوده کند و توانایی‌های دیگر را نشان دهد. هنگام آلوده کردن یک فایل اجرایی، یک ویروس همیشه کد خود را تغییر می دهد - بنابراین، آلودگی یک فایل اجرایی همیشه قابل شناسایی است. اما با تغییر کد فایل، ویروس لزوماً تغییرات دیگری ایجاد نمی کند:

• · او موظف به تغییر طول فایل نیست
• بخش های استفاده نشده از کد
• · نیازی به تغییر ابتدای فایل نیست

در نهایت، ویروس‌های فایل اغلب شامل ویروس‌هایی هستند که «ارتباطاتی با فایل‌ها دارند» اما لازم نیست در کد آنها تعبیه شوند.

بنابراین، هنگامی که هر فایلی راه اندازی می شود، ویروس کنترل را به دست می آورد (سیستم عامل خود آن را راه اندازی می کند)، خود را در حافظه نصب می کند و کنترل را به فایل فراخوانی منتقل می کند.

• · ویروس های بوت فایل: ما مدل ویروس بوت فایل را در نظر نخواهیم گرفت، زیرا اطلاعات جدیدی یاد نخواهید گرفت. اما در اینجا یک فرصت خوب برای بحث مختصر در مورد ویروس بوت-فایل بسیار "محبوب" OneHalf است که بخش اصلی بوت (MBR) و فایل های اجرایی را آلوده می کند. اثر مخرب اصلی رمزگذاری بخش های هارد دیسک است. هر بار که راه اندازی می شود، ویروس بخش دیگری از بخش ها را رمزگذاری می کند و با رمزگذاری نیمی از هارد دیسک، با خوشحالی این را گزارش می کند. مشکل اصلی در درمان این ویروس این است که به سادگی حذف ویروس از MBR و فایل ها کافی نیست، بلکه باید اطلاعات رمزگذاری شده توسط آن را رمزگشایی کنید.
• · ویروس های چند شکلی: بیشتر سؤالات مربوط به اصطلاح «ویروس چند شکلی» است. به نظر می رسد این نوع ویروس کامپیوتری امروزه خطرناک ترین است. بیایید توضیح دهیم که چیست.

ویروس‌های چند شکلی ویروس‌هایی هستند که کد خود را در برنامه‌های آلوده به گونه‌ای تغییر می‌دهند که ممکن است دو نسخه از یک ویروس در یک بیت با هم مطابقت نداشته باشند.

این گونه ویروس ها نه تنها کد خود را با استفاده از مسیرهای رمزگذاری مختلف رمزگذاری می کنند، بلکه حاوی کدهای تولید رمزگذار و رمزگشا هستند که آنها را از ویروس های رمزگذاری معمولی متمایز می کند که می توانند بخش هایی از کد خود را نیز رمزگذاری کنند، اما در عین حال دارای رمزگذار و کد رمزگشای ثابت هستند. .

ویروس‌های چند شکلی، ویروس‌هایی با رمزگشاهای خودتغییر شونده هستند. هدف از چنین رمزگذاری: اگر یک فایل آلوده و اصلی داشته باشید، هنوز نمی توانید کد آن را با استفاده از جداسازی منظم تجزیه و تحلیل کنید. این کد رمزگذاری شده است و مجموعه ای از دستورات بی معنی است. رمزگشایی توسط خود ویروس در حین اجرا انجام می شود. در این مورد، گزینه‌هایی امکان‌پذیر است: او می‌تواند خود را به یکباره رمزگشایی کند، یا می‌تواند چنین رمزگشایی را «در حال پرواز» انجام دهد، می‌تواند بخش‌هایی را که قبلاً استفاده شده‌اند رمزگذاری مجدد کند. همه اینها به این دلیل انجام می شود که تجزیه و تحلیل کد ویروس را دشوار کند.

· ویروس های مخفی: هنگام اسکن کامپیوتر، برنامه های آنتی ویروس داده ها - فایل ها و مناطق سیستم را از هارد دیسک ها و فلاپی دیسک ها با استفاده از سیستم عامل و سیستم ورودی/خروجی اولیه BIOS می خوانند. تعدادی از ویروس‌ها پس از راه‌اندازی، ماژول‌های ویژه‌ای را در حافظه رم کامپیوتر باقی می‌گذارند که برنامه‌های دسترسی به زیرسیستم دیسک کامپیوتر را رهگیری می‌کنند. اگر چنین ماژولی تشخیص دهد که برنامه ای در تلاش است تا یک فایل آلوده یا ناحیه سیستمی دیسک را بخواند، داده هایی را که در حال خواندن خوانده می شوند جایگزین می کند، گویی هیچ ویروسی روی دیسک وجود ندارد.

ویروس های مخفی برنامه های آنتی ویروس را فریب می دهند و در نتیجه شناسایی نمی شوند. با این حال، یک راه ساده برای غیرفعال کردن مکانیسم استتار ویروس های مخفی وجود دارد. کافی است رایانه را از یک فلاپی دیسک سیستم غیر آلوده بوت کنید و بلافاصله بدون راه اندازی برنامه های دیگر از روی دیسک رایانه (که ممکن است آلوده نیز باشند)، رایانه را با یک برنامه ضد ویروس اسکن کنید.

هنگامی که ویروس از فلاپی دیسک بارگذاری می شود، نمی تواند کنترل را به دست آورد و یک ماژول ساکن را در RAM نصب کند که مکانیزم مخفی کاری را اجرا می کند. یک برنامه آنتی ویروس قادر به خواندن اطلاعات واقعی نوشته شده روی دیسک خواهد بود و به راحتی ویروس را شناسایی می کند.

· اسب های تروجان، نشانک های نرم افزاری و کرم های شبکه: اسب تروجان (به پیوست 2، شکل 2 مراجعه کنید) برنامه ای است که حاوی برخی عملکردهای مخرب است که در صورت وقوع یک شرایط ماشه ای خاص فعال می شود. معمولاً چنین برنامه هایی به عنوان برخی از ابزارهای مفید پنهان می شوند. ویروس ها می توانند اسب های تروجان را حمل کنند یا برنامه های دیگر را "تروجانیزه کنند" - عملکردهای مخرب را به آنها وارد کنند.

"اسب های تروجان" برنامه هایی هستند که علاوه بر عملکردهای شرح داده شده در مستندات، برخی عملکردهای دیگر مرتبط با نقض امنیتی و اقدامات مخرب را نیز اجرا می کنند. مواردی از ایجاد چنین برنامه هایی برای تسهیل گسترش ویروس ها وجود داشته است. فهرست این گونه برنامه ها به طور گسترده در مطبوعات خارجی منتشر می شود. آنها معمولاً به عنوان برنامه های بازی یا سرگرمی پنهان می شوند و همراه با تصاویر یا موسیقی زیبا باعث آسیب می شوند.

· نشانک‌های نرم‌افزاری دارای عملکردی هستند که برای هواپیما مضر است، اما این عملکرد، برعکس، سعی می‌کند تا حد امکان نامشخص باشد، زیرا هرچه برنامه مدت زمان بیشتری باعث سوء ظن نشود، نشانک مدت بیشتری می تواند کار کند.

اگر ویروس‌ها و اسب‌های تروجان از طریق انتشار خود بهمن مانند یا تخریب کامل باعث آسیب شوند، آن‌گاه وظیفه اصلی ویروس‌های کرمی که در شبکه‌های کامپیوتری کار می‌کنند، هک کردن سیستم مورد حمله است. غلبه بر حفاظت برای به خطر انداختن امنیت و یکپارچگی.

در بیش از 80 درصد از جرایم رایانه ای که توسط FBI بررسی می شود، "شکرها" از طریق اینترنت به سیستم مورد حمله نفوذ می کنند. هنگامی که چنین تلاشی با موفقیت انجام می شود، آینده شرکتی که ساخت آن سال ها طول کشیده است می تواند در عرض چند ثانیه به خطر بیفتد.

این فرآیند را می توان با استفاده از ویروسی به نام کرم شبکه خودکار کرد.

· کرم ها ویروس هایی هستند که در سراسر شبکه های جهانی پخش می شوند و کل سیستم ها را به جای برنامه های فردی آلوده می کنند. این خطرناک ترین نوع ویروس است، زیرا در این مورد سیستم های اطلاعاتی در مقیاس ملی به اهداف حمله تبدیل می شوند. با ظهور اینترنت جهانی، این نوع نقض امنیتی بزرگترین تهدید را ایجاد می کند، زیرا هر یک از 40 میلیون رایانه متصل به این شبکه می تواند در هر زمان در معرض آن قرار گیرد.

کامپیوتر برنامه ویروسی

همانطور که قبلاً ذکر شد، رایج‌ترین آنها اسب‌های تروجان، ویروس‌های چند شکلی و ویروس‌های رمزگذاری غیرچند شکلی، ویروس‌های مخفی، ویروس‌های کند، ویروس‌های رترو، ویروس‌های مرکب، ویروس‌های مسلح، ویروس‌های فاژ و ویروس‌های ماکرو هستند. هر یک از آنها اقدامات خاصی را انجام می دهد:

1. اسب های تروجان ویروس هایی هستند که در فایل های داده (مثلاً فایل ها یا اسناد فشرده شده) پنهان می شوند. برای جلوگیری از شناسایی، برخی از انواع اسب های تروجان نیز در فایل های اجرایی پنهان هستند. بنابراین، این برنامه می‌تواند هم در فایل‌های برنامه و هم در فایل‌های کتابخانه‌ای که به صورت فشرده آمده است، قرار گیرد. با این حال، اسب های تروجان اغلب فقط حاوی روتین های ویروس هستند. شاید بهترین تعریف اسب تروا از دن ادواردز، هکر سابق که اکنون نرم افزار آنتی ویروس را برای NSA (اداره امنیت ملی) توسعه می دهد، باشد. به گفته دن، اسب تروجان "برنامه ای ناامن است که خود را به عنوان یک برنامه کاربردی بی ضرر، مانند بایگانی کننده، یک بازی، یا (مشهور در سال 1990) یک برنامه شناسایی و نابودی ویروس، پنهان می کند." اکثر برنامه های آنتی ویروس جدید تقریباً تمام اسب های تروجان را شناسایی می کنند.

یکی از معروف ترین اسب های تروجان برنامه Crackerjack بود. مانند سایر ابزارهای شکستن رمز عبور موجود در اینترنت، این برنامه نیز قدرت نسبی رمزهای عبور موجود در فایل انتخاب شده را آزمایش می کند. پس از راه اندازی، لیستی از رمزهای عبور هک شده را نمایش داد و از کاربر خواست که این فایل را حذف کند. اولین نسخه این برنامه نه تنها رمزهای عبور را شکست، بلکه آنها را به نویسنده اسب تروا نیز منتقل کرد. همانطور که خودتان می بینید Crackerjack ابزار بسیار مفیدی بود. برای این کار کافیست برنامه را از اینترنت دانلود کنید.

2. ویروس های چند شکلی ویروس هایی هستند که بدن خود را رمزگذاری می کنند و بنابراین می توانند با بررسی امضای ویروس از شناسایی آن جلوگیری کنند. قبل از شروع کار، چنین ویروسی با استفاده از یک روش رمزگشایی خاص خود را رمزگشایی می کند. همانطور که در فصل 4 بحث شد، روش رمزگشایی اطلاعات رمزگذاری شده را به اطلاعات ساده تبدیل می کند. برای رمزگشایی بدنه ویروس، روش رمزگشایی کنترل دستگاه را به دست می گیرد. پس از رمزگشایی، کنترل رایانه به ویروس رمزگشایی شده منتقل می شود. اولین ویروس های رمزگذاری غیر چند شکلی بودند. به عبارت دیگر، روش رمزگشایی ویروس از کپی به کپی تغییر نکرد. بنابراین، برنامه های آنتی ویروس می توانند ویروس را با امضای ذاتی در روند رمزگشایی شناسایی کنند. اما به زودی وضعیت به طور اساسی تغییر کرد. شناسایی ویروس های چند شکلی بسیار دشوار است. واقعیت این است که آنها با هر آلودگی جدید، رویه‌های رمزگشایی کاملاً جدیدی ایجاد می‌کنند. به لطف این، امضای ویروس از فایلی به فایل دیگر تغییر می کند. برای تغییر رویه رمزگذاری، از یک مولد کد ماشین نسبتاً ساده استفاده می‌شود که مولد جهش نامیده می‌شود. از یک تولید کننده اعداد تصادفی و یک الگوریتم نسبتاً ساده برای تغییر امضای ویروس استفاده می کند. با کمک آن، یک برنامه نویس می تواند هر ویروسی را به یک ویروس چند شکلی تبدیل کند. برای انجام این کار، o باید متن ویروس را طوری تغییر دهید که قبل از هر بار ایجاد کپی آن، مولد جهش را فراخوانی کند.

با وجود این واقعیت که ویروس های چند شکلی را نمی توان با استفاده از روش های اسکن مرسوم (مانند مقایسه خطوط کد) شناسایی کرد، اما همچنان توسط برنامه های ضد ویروس خاص شناسایی می شوند. بنابراین، ویروس های پلی مورفیک را می توان شناسایی کرد. با این حال، این فرآیند زمان زیادی را می طلبد و ایجاد یک برنامه آنتی ویروس به تلاش بسیار بیشتری نیاز دارد. جدیدترین به‌روزرسانی‌های نرم‌افزار آنتی‌ویروس، روش‌های رمزگذاری را جستجو می‌کنند که ویروس‌های چند شکلی را شناسایی می‌کنند. یک ویروس چند شکلی هنگام ایجاد کپی دیگر امضای خود را تغییر می دهد. از فایلی به پرونده دیگر

• 3. ویروس های Stealth ویروس هایی هستند که تغییرات ایجاد شده در یک فایل آلوده را پنهان می کنند. برای انجام این کار، آنها عملکردهای سیستم را برای خواندن فایل ها یا بخش ها در رسانه ذخیره سازی نظارت می کنند. اگر چنین تابعی فراخوانی شود، ویروس سعی می کند نتایج دریافتی خود را تغییر دهد: به جای اطلاعات واقعی، ویروس داده های یک فایل آلوده نشده را به تابع منتقل می کند. بنابراین، برنامه آنتی ویروس نمی تواند هیچ تغییری را در فایل تشخیص دهد. اما برای رهگیری تماس های سیستمی، ویروس باید در حافظه دستگاه باشد. همه برنامه های آنتی ویروس نسبتا خوب می توانند چنین ویروس هایی را در حین دانلود یک برنامه آلوده شناسایی کنند. یک مثال خوب از ویروس مخفی، یکی از اولین ویروس های مستند DOS، Brain است. این ویروس بوت تمام عملیات ورودی/خروجی سیستم دیسک را مشاهده می‌کرد و هر زمان که سیستم سعی می‌کرد بخش بوت آلوده را بخواند، تماس را تغییر مسیر می‌داد. در این حالت، سیستم اطلاعات را نه از بخش بوت، بلکه از جایی که ویروس یک کپی از این بخش را ذخیره کرده است، می خواند. ویروس های Stealth نیز ویروس های Number، Beast و Frodo هستند. در اصطلاح برنامه نویس، آنها وقفه 21H، وقفه اصلی DOS را قطع می کنند. بنابراین، هر دستور کاربر که قادر به تشخیص وجود ویروس باشد توسط ویروس به یک مکان خاص در حافظه هدایت می شود. به لطف این، کاربر نمی تواند ویروس را "توجه کند". به عنوان یک قاعده، ویروس های مخفی یا از نظر اندازه نامرئی هستند یا قابل مشاهده نیستند. ویروس هایی با اندازه نامرئی متعلق به زیرگروهی از ویروس ها هستند که فایل ها را آلوده می کنند. چنین ویروس هایی بدن خود را در داخل فایل قرار می دهند و در نتیجه باعث افزایش اندازه آن می شوند. با این حال، ویروس اطلاعات اندازه فایل را تغییر می دهد تا کاربر نتواند وجود آن را تشخیص دهد. به عبارت دیگر، سیستم نشان می دهد که طول فایل آلوده با طول فایل معمولی (غیر آلوده) برابر است. ویروس‌هایی که خواندن آن‌ها نامرئی است (مانند Stoned.Monkey) درخواست‌ها برای خواندن یک رکورد یا فایل بوت آلوده را رهگیری می‌کنند و در پاسخ اطلاعات اصلی را ارائه می‌دهند که توسط ویروس اصلاح نشده است. یک بار دیگر کاربر قادر به تشخیص وجود ویروس نیست. شناسایی ویروس های مخفی کاری بسیار آسان است. اکثر برنامه های آنتی ویروس استاندارد ویروس های مخفی را می گیرند. برای این کار کافی است یک برنامه ضد ویروس را قبل از قرار دادن ویروس در حافظه دستگاه اجرا کنید. شما باید کامپیوتر خود را از یک فلاپی خالی بوت راه اندازی کنید و سپس یک برنامه آنتی ویروس را اجرا کنید. همانطور که قبلاً ذکر شد، ویروس های مخفی فقط زمانی می توانند خود را استتار کنند که قبلاً در حافظه قرار داشته باشند. اگر اینطور نیست، برنامه آنتی ویروس به راحتی وجود چنین ویروس هایی را روی هارد دیسک تشخیص می دهد.
• 4. شناسایی ویروس های کند بسیار دشوار است زیرا فقط فایل هایی را آلوده می کنند که توسط سیستم عامل اصلاح یا کپی شده اند. به عبارت دیگر، یک ویروس کند هر فایل اجرایی را آلوده می کند و این کار را در لحظه ای انجام می دهد که کاربر برخی از عملیات ها را با این فایل انجام می دهد. به عنوان مثال، یک ویروس کند می تواند رکورد بوت یک فلاپی دیسک را هنگام اجرای دستورات سیستمی که این رکورد را تغییر می دهد (مثلا FORMAT یا SYS) آلوده کند. یک ویروس کند می تواند یک کپی از یک فایل را بدون آلوده کردن فایل منبع آلوده کند. یکی از معروف ترین ویروس های آهسته Darth_Vader است که فقط فایل های COM و فقط در زمان نوشتن آنها را آلوده می کند.

شناسایی ویروس های کند فرآیند نسبتاً پیچیده ای است. نگهبان یکپارچگی باید فایل جدید را شناسایی کند و به کاربر اطلاع دهد که فایل دارای مقدار چک‌سوم نیست. Integrity Guardian یک برنامه آنتی ویروس است که محتویات هارد دیسک ها و همچنین اندازه و چک مجموع هر فایلی که روی آن قرار دارد را کنترل می کند. اگر متولی تغییراتی را در محتوا یا اندازه تشخیص دهد، بلافاصله به کاربر اطلاع خواهد داد. با این حال، در صورتی که خود کاربر یک فایل جدید ایجاد کند، پیام نیز صادر خواهد شد. بنابراین، کاربر به احتمال زیاد به نگهدارنده یکپارچگی دستور می‌دهد تا یک چک‌سوم جدید برای فایل جدید (آلوده) محاسبه کند.

موفق ترین راه حل در برابر ویروس های کند پوسته یکپارچگی است. پوسته های یکپارچگی نگهبانان یکپارچگی ساکنین هستند. آنها دائماً در حافظه رایانه هستند و بر ایجاد هر فایل جدید نظارت می کنند و ویروس عملاً هیچ شانسی ندارد. راه دیگر برای بررسی یکپارچگی ایجاد تله است. در اینجا یک برنامه ضد ویروس خاص چندین فایل COM و EXE با محتوای خاص ایجاد می کند. سپس برنامه محتویات این فایل ها را بررسی می کند. اگر یک ویروس کند آنها را آلوده کند، کاربر بلافاصله از آن مطلع خواهد شد. به عنوان مثال، یک ویروس کند ممکن است یک برنامه کپی فایل را نظارت کند. اگر DOS درخواست کپی را انجام دهد، ویروس بدن خود را در یک کپی جدید از فایل قرار می دهد.

• 5. ویروس رترو ویروسی است که سعی می کند برنامه های ضد ویروس را دور بزند یا با آنها تداخل ایجاد کند. به عبارت دیگر این ویروس ها به نرم افزارهای آنتی ویروس حمله می کنند. متخصصان کامپیوتر، ویروس های رترو را آنتی ویروس می نامند. (آنتی ویروس ها را با ویروس های ضد ویروس اشتباه نگیرید - ویروس هایی که برای از بین بردن سایر ویروس ها طراحی شده اند.) ایجاد یک ویروس رترو کار نسبتاً ساده ای است. از این گذشته، سازندگان ویروس به همه برنامه های آنتی ویروس دسترسی دارند. با خرید چنین برنامه ای، عملکرد آن را مطالعه می کنند، شکاف های دفاعی را پیدا می کنند و سپس بر اساس خطاهای کشف شده، ویروس ایجاد می کنند. اکثر ویروس‌های قدیمی فایل‌های حاوی داده‌های امضای ویروس را جستجو و حذف می‌کنند. بنابراین، برنامه آنتی ویروسی که از این فایل استفاده می کند، دیگر نمی تواند به طور عادی کار کند. رتروویروس‌های پیچیده‌تر پایگاه‌های اطلاعاتی حاوی اطلاعات مربوط به یکپارچگی فایل‌ها را جستجو و حذف می‌کنند. حذف چنین پایگاه داده ای بر روی محافظ یکپارچگی تأثیری مشابه با حذف فایل های دارای امضای ویروس در یک برنامه ضد ویروس دارد. بسیاری از ویروس های یکپارچهسازی با سیستمعامل فعال شدن برنامه های آنتی ویروس را شناسایی می کنند و سپس از برنامه پنهان می شوند یا اجرای آن را متوقف می کنند. علاوه بر این، آنها می توانند قبل از اینکه برنامه آنتی ویروس حضور آنها را شناسایی کند، روند تخریب را شروع کنند. برخی از رتروویروس ها پوسته محاسباتی آنتی ویروس را تغییر می دهند و در نتیجه بر اجرای برنامه های آنتی ویروس تأثیر می گذارند. علاوه بر این، ویروس‌های یکپارچهسازی با سیستمعامل وجود دارند که از کمبودهای نرم‌افزار آنتی‌ویروس برای کاهش سرعت آن یا نفی کارآیی برنامه استفاده می‌کنند.
• 6. ویروس های مرکب هم فایل های اجرایی و هم بخش های بوت دیسک ها را آلوده می کنند. علاوه بر این، آنها می توانند بخش های بوت فلاپی دیسک ها را آلوده کنند. آنها این نام را دریافت کردند زیرا به روش های مختلف رایانه را آلوده می کنند. به عبارت دیگر، آنها محدود به یک نوع فایل یا یک مکان دیسک خاص نیستند. اگر یک برنامه آلوده را اجرا کنید، ویروس رکورد بوت هارد دیسک شما را آلوده می کند. دفعه بعد که دستگاه را روشن می کنید، ویروس فعال می شود و همه برنامه های در حال اجرا را آلوده می کند. یکی از معروف ترین ویروس های ترکیبی One-Half است که ویژگی های ویروس مخفی و ویروس چندشکلی را دارد.
• 7. ویروس های مسلح شده با استفاده از کد خاصی از خود محافظت می کنند که ردیابی و جداسازی ویروس را بسیار دشوار می کند. ویروس های مسلح می توانند برای محافظت از خود از "ساختگی" استفاده کنند. این کدی است که به شما امکان می دهد توسعه دهنده برنامه های ضد ویروس را از کد ویروس واقعی منحرف کنید. علاوه بر این، ویروس ممکن است شامل قطعه خاصی باشد که نشان می دهد ویروس در یک مکان قرار دارد، اگرچه در واقع در آنجا وجود نخواهد داشت. یکی از معروف ترین ویروس های تسلیح شده Whale است.
• 8. ویروس ها همراه هستند. این ویروس ها نام خود را به این دلیل گرفتند که به موازات فایلی که آلوده می کنند، فایلی با همین نام اما با پسوند متفاوت ایجاد می کنند. به عنوان مثال، یک ویروس همراه ممکن است بدن خود را در فایل winword.com ذخیره کند. با تشکر از این، قبل از هر راه اندازی فایل winword.exe، سیستم عامل فایل winword.com را که در حافظه رایانه قرار دارد راه اندازی می کند. به طور معمول، ویروس های همراه توسط ویروس های فاژ تولید می شوند.
• 9. آخرین نوع کلاسیک ویروس ها، ویروس های فاژ هستند. ویروس فاژ برنامه ای است که سایر برنامه ها یا پایگاه های داده را تغییر می دهد. متخصصان کامپیوتر این ویروس ها را فاژ می نامند زیرا مانند میکروارگانیسم های زنده عمل می کنند. در طبیعت، ویروس‌های فاژ میکروارگانیسم‌های مضری هستند که محتویات یک سلول را با خود جایگزین می‌کنند. به طور معمول، فاژها متن برنامه را با کد خود جایگزین می کنند. اغلب آنها مولد ویروس های همراه هستند. فاژها خطرناک ترین نوع ویروس هستند. واقعیت این است که آنها نه تنها برنامه های دیگر را تکثیر و آلوده می کنند، بلکه تلاش می کنند تا همه برنامه های آلوده را از بین ببرند.
• 10. کرم. در فصل اول این کار دوره، قبلاً در مورد کرم اینترنتی معروفی صحبت کردم که در اواخر دهه 80 ظاهر شد. همانطور که قبلا ذکر شد، کرم اینترنتی (همچنین به عنوان کرم موریس شناخته می شود) اولین ویروسی بود که اینترنت را آلوده کرد. این ویروس با ایجاد تعداد زیادی کپی از خود در حافظه کامپیوتر، کارکرد کامپیوتر را غیرممکن کرد. از آنجایی که کرم تلاش می کند کامپیوتر آلوده را متوقف کند، خالق ویروس باید به آن امکان دهد تا از طریق شبکه از یک ماشین به ماشین دیگر حرکت کند. قبلاً در مورد چگونگی کپی کردن کرم‌ها با استفاده از پروتکل‌ها و سیستم‌هایی که در فصل دوم توضیح داده شد، صحبت کرده‌ام. پخش از راه دور ضروری است زیرا پس از توقف دستگاه، کاربر سعی می کند تمام ویروس های موجود در هارد دیسک را پاک کند. کرم ها برای گسترش نیازی به تغییر برنامه های میزبان ندارند. برای عملکرد صحیح، کرم‌ها به سیستم‌عامل‌هایی نیاز دارند که قابلیت‌های اجرای از راه دور را ارائه می‌دهند و اجازه می‌دهند برنامه‌های ورودی روی رایانه اجرا شوند. در سال 1988، تنها یک سیستم عامل دارای چنین قابلیت هایی بود - یونیکس. تا همین اواخر، بسیاری از رایانه‌های شخصی نمی‌توانستند با کرم آلوده شوند - نه DOS و نه ویندوز 95 این اجازه را نمی‌دادند. با این حال، ویندوز NT از قبل دارای قابلیت‌های اجرای از راه دور است و بنابراین می‌تواند از عملکرد ویروس‌های کرم پشتیبانی کند.

یکی از رایج ترین ویروس های موجود در اینترنت، WINSTART است. نام خود را از نام فایل - winstart.bat - گرفته است که معمولاً بدنه ویروس در آن قرار دارد. این کرم مانند بسیاری دیگر، تا زمانی که سیستم عامل غیرفعال شود، خود را در حافظه دستگاه کپی می کند. پس از این، کامپیوتر به طور خودکار منجمد می شود. در طول اجرای خود، ویروس به طور همزمان قربانی بعدی را جستجو می کند. از قضا، یک کرم نه تنها یک نوع خاص از ویروس است، بلکه یک ابزار آنتی ویروس بسیار مفید است. نقطه ضعف اکثر ابزارهای حسابرسی استاندارد و نگهبانان یکپارچگی این است که می توانند قربانی ویروس ها نیز شوند. با این حال، امکان ذخیره اطلاعات و برنامه های امنیتی در رسانه های جدا شده و تغییرناپذیر وجود دارد. دیسک های WORM برای این اهداف مناسب ترین هستند. ("نوشتن-یک بار، خواندن-بسیار" - یک رکورد، خواندن چندگانه؛ کلمه انگلیسی کرم به عنوان کرم ترجمه شده است. - یادداشت مترجم). درایو دیسک WORM معمولاً یک دستگاه ذخیره سازی نوری است که می تواند چندین دیسک WORM را مدیریت کند.

ویروس های رایانه ای همچنین شامل اسب های تروجان (برنامه های تروجان، تروجان ها) می شوند.

ویروس های نرم افزاری

ویروس‌های نرم‌افزار بلوک‌هایی از کد برنامه هستند که به طور هدفمند در داخل برنامه‌های کاربردی دیگر تعبیه شده‌اند. وقتی برنامه ای را اجرا می کنید که حامل ویروس است، کد ویروس کاشته شده در آن راه اندازی می شود.

عملکرد این کد باعث می شود تغییراتی در فایل سیستم هارد دیسک ها و/یا محتوای برنامه های دیگر از کاربر پنهان شود. به عنوان مثال، کد ویروسی می تواند خود را در بدنه برنامه های دیگر بازتولید کند - این فرآیند تکرار نامیده می شود. پس از مدت زمان معینی، با ایجاد تعداد کافی نسخه، یک ویروس نرم افزاری می تواند اقدامات مخربی را انجام دهد: اختلال در عملکرد برنامه ها و سیستم عامل، حذف اطلاعات ذخیره شده در هارد دیسک. این فرآیند حمله ویروسی نامیده می شود.

مخرب ترین ویروس ها می توانند قالب بندی هارد دیسک ها را آغاز کنند. از آنجایی که فرمت کردن یک دیسک یک فرآیند نسبتا طولانی است که نباید مورد توجه کاربر قرار گیرد، در بسیاری از موارد ویروس های نرم افزاری محدود به تکثیر داده ها فقط در بخش های سیستمی هارد دیسک هستند که معادل از دست دادن جداول سیستم فایل است. در این حالت ، داده های هارد درایو دست نخورده باقی می ماند ، اما بدون استفاده از ابزارهای خاص قابل استفاده نیست ، زیرا مشخص نیست که کدام بخش از دیسک متعلق به کدام فایل است. از نظر تئوری، امکان بازیابی داده ها در این مورد وجود دارد، اما شدت کار این کار می تواند بسیار بالا باشد.

اعتقاد بر این است که هیچ ویروسی نمی تواند به سخت افزار کامپیوتر آسیب برساند. با این حال، مواقعی وجود دارد که سخت افزار و نرم افزار به قدری به هم مرتبط هستند که باید با تعویض سخت افزار، خرابی نرم افزار برطرف شود. به عنوان مثال، اکثر مادربردهای مدرن سیستم اصلی ورودی/خروجی (BIOS) را در حافظه فقط خواندنی قابل بازنویسی (به نام حافظه فلش) ذخیره می کنند.

قابلیت رونویسی اطلاعات در تراشه فلش مموری توسط برخی ویروس های نرم افزاری برای از بین بردن اطلاعات بایوس استفاده می شود.

در این حالت، برای بازگرداندن عملکرد رایانه، لازم است یا تراشه ذخیره‌سازی بایوس را جایگزین کنید یا با استفاده از نرم‌افزار ویژه آن را دوباره برنامه‌ریزی کنید.

ویروس‌های نرم‌افزاری هنگام اجرای برنامه‌های تایید نشده دریافت‌شده روی رسانه خارجی (فلاپی دیسک، سی‌دی و غیره) یا دریافت‌شده از اینترنت وارد رایانه می‌شوند. هنگام شروع باید به کلمات توجه ویژه ای داشت. اگر به سادگی فایل های آلوده را کپی کنید، کامپیوتر شما نمی تواند آلوده شود. در این راستا، کلیه داده های دریافتی از اینترنت باید تحت بررسی های امنیتی اجباری قرار گیرند و در صورت دریافت داده های ناخواسته از منبع ناآشنا، بدون بررسی از بین بروند. یک روش رایج برای توزیع برنامه‌های تروجان، پیوست به ایمیل با یک «توصیه» برای استخراج و اجرای برنامه‌ای است که ظاهراً مفید است.

ویروس ها را بوت کنید.

ویروس های بوت با ویروس های نرم افزاری در نحوه انتشار متفاوت هستند. آنها به فایل های برنامه حمله نمی کنند، بلکه به بخش های سیستم خاصی از رسانه های مغناطیسی (فلاپی و هارد دیسک ها) حمله می کنند. علاوه بر این، هنگامی که رایانه روشن است، می توان آنها را به طور موقت در RAM قرار داد.

به طور معمول، عفونت زمانی رخ می دهد که رایانه از یک رسانه مغناطیسی بوت می شود که ناحیه سیستم آن حاوی ویروس بوت است. به عنوان مثال، هنگامی که می خواهید رایانه ای را از فلاپی دیسک بوت کنید، ویروس ابتدا به حافظه RAM و سپس به بخش بوت هارد دیسک نفوذ می کند. سپس این رایانه خود منبع توزیع ویروس بوت می شود.

ماکرو ویروس ها

این نوع خاص از ویروس، اسناد اجرا شده در برنامه های کاربردی خاص را آلوده می کند. داشتن ابزاری برای اجرای دستورات به اصطلاح ماکرو. به طور خاص، چنین اسنادی شامل اسناد پردازشگر کلمه مایکروسافت ورد است (آنها پسوند .Doc دارند). عفونت زمانی رخ می دهد که یک فایل سند در پنجره برنامه باز شود، مگر اینکه قابلیت اجرای دستورات ماکرو در برنامه غیرفعال باشد.

مانند سایر انواع ویروس ها، نتیجه یک حمله می تواند از نسبتاً بی ضرر تا مخرب متغیر باشد.

انواع اصلی ویروس های کامپیوتری

در حال حاضر، بیش از 5000 ویروس نرم افزاری شناخته شده است که می توان آنها را بر اساس معیارهای زیر طبقه بندی کرد (شکل 1):

• -زیستگاه؛
• -روش آلودگی زیستگاه؛
• -تأثیر؛
• -ویژگی های الگوریتم:

بسته به محل زندگی، ویروس ها را می توان به ویروس های شبکه، فایل، بوت و فایل بوت تقسیم کرد.

ویروس های شبکه در سراسر شبکه های کامپیوتری مختلف پخش می شوند.

ویروس های فایل عمدتاً در ماژول های اجرایی تعبیه شده اند. به فایل هایی با پسوند COM و EXE. ویروس های فایل را می توان در انواع دیگر فایل ها جاسازی کرد، اما به عنوان یک قاعده، پس از نوشتن در چنین فایل هایی، هرگز کنترل نمی شوند و بنابراین، توانایی تولید مجدد را از دست می دهند.

ویروس های بوت در بخش بوت دیسک (Boot) یا در بخش حاوی برنامه بوت دیسک سیستم (Master Boot Record) تعبیه شده اند.

ویروس های بوت فایل هم فایل ها و هم بخش های بوت دیسک را آلوده می کنند.

بر اساس روش آلودگی، ویروس ها به ساکن و غیر مقیم تقسیم می شوند.

• - هنگامی که یک ویروس مقیم کامپیوتری را آلوده می کند، قسمت مقیم خود را در RAM رها می کند، که سپس دسترسی سیستم عامل به اشیاء آلوده (فایل ها، بخش های بوت و غیره) را قطع کرده و خود را به آنها تزریق می کند. ویروس های مقیم در حافظه هستند و تا زمانی که کامپیوتر خاموش یا راه اندازی مجدد نشود فعال هستند.
• - ویروس های غیر مقیم حافظه کامپیوتر را آلوده نمی کنند و برای مدت محدودی فعال هستند.

بر اساس میزان تاثیر، ویروس ها را می توان به انواع زیر تقسیم کرد:

• - غیر خطرناک، با عملکرد رایانه تداخل نداشته باشید، اما مقدار RAM و حافظه دیسک آزاد را کاهش دهید؛ اقدامات چنین ویروس هایی در برخی جلوه های گرافیکی یا صوتی آشکار می شود.
• - ویروس های خطرناکی که می توانند منجر به مشکلات مختلفی در رایانه شما شوند.
• - بسیار خطرناک است که تأثیر آن می تواند منجر به از بین رفتن برنامه ها، از بین رفتن داده ها و پاک شدن اطلاعات در مناطق سیستمی دیسک شود.