Государственныйкомитет России
по высшему образованию.
Рязанская Государственная
Радиотехническая Академия
Кафедра ЭВМ.
«Защита откомпьютерных вирусов. Работа с антивирусной программой DrWeb»Выполнил
студент гр.343
Кондрахин А.В.
Проверил
Доц. Иопа Н.И.
Ст. пр. Гринченко Н.Н.
Рязань, 2007 г.
Цель работы
1.Изучение компьютерных вирусов и методов борьбы с ними
2. Работа с антивируснойпрограммой Dr.Web
1. Теоретическаячасть
Если Выимеете опыт продолжительной работы с ПК, то, возможно, уже сталкивались скомпьютерными вирусами или хотя бы слышали о них. Компьютерный вирус-этопрограмма, производящая в Вашем ПК действия, в которых Вы не нуждаетесь и окоторых не подозреваете. Главной ее особенностью является способность к«размножению», т. е. к созданию множества готовых к дальнейшей работеэкземпляров вируса. Вирусы «цепляются» к обычным исполняемым файлам типа.ЕХЕ,.СОМ или к загрузочным секторам физических носителей информации (дискет) итаким образом перемещаются от одного ПК к другому.
Являвшиесяпервоначально вполне невинным развлечением скучающих программистов компьютерныевирусы сегодня стали настоящим бедствием для пользователей ПК: количество итипы таких программ растут с ужасающей скоростью, а сами вирусы в ряде случаевприобрели весьма неприятные свойства-некоторые из них способны уничтожатьфайловую структуру дисков со всеми катастрофическими для пользователяпоследствиями. В литературе [14] описывается беспрецедентный случай, когдавирус на Три дня (с 2 по 4 ноября 1988 г.) вывел из строя фактически всю компьютернуюсеть США. Были парализованы компьютеры Агентства национальной безопасности,Стратегического командования ВВС США, локальные сети всех крупных университетови исследовательских центров. Лишь в последний момент удалось спасти системууправления полетом космических кораблей Шаттл.
Положениебыло настолько серьезным, что к расследованию немедленно приступило ФБР.Виновником катастрофы, причинившей ущерб более чем в 100 миллионов долларов,оказался студент выпускного курса Корнеллского университета Р. Моррис,придумавший достаточно хитрую разновидность вируса. Он был исключен изуниверситета с правом восстановления через год и приговорен судом к уплатештрафа в 270 тысяч долларов и трем месяцам тюремного заключения. Труднообъяснить, для чего программисты тратят силы и время на создание все болееизощренных типов вируса, поскольку их авторы почти всегда остаются илинадеются остаться анонимными, так что естественное для человека стремление кизвестности здесь исключено.
Может бытьэто неудачная шутка (этой версии придерживался Р. Моррис), возможно это связанос патологическими отклонениями в психике, а может быть объяснение кроется встремлении заработать на создании антивирусных программ? Как бы там ни было,нам нельзя не считаться с возможностью заражения ПК компьютерным вирусом.Общие сведения овирусах.
А)Понятие о вирусахи признаках заражения компьютера
Компьютерный вирус — это специально написаннаянебольшая по размерам программа, которая может «приписывать» себя кдругим программам, т.е. «заражать» их, а также изменять или удалятьфайлы, проигрывать мелодии, выводить на экран различные видеоэффекты. Призапуске такой программы управление получает вирус, который сначала выполняетзаложенные в него действия, а затем запускает саму программ).
Факты свидетельствующие о заражении компьютеравирусом :
- воспроизведениекомпьютером различных звуковых и видеоэффектов;
- свечение индикаторадисковода, когда к нему нет обращения;
- увеличение размеровисполняемых файлов (exe, com, sys, dll, ovl и и т.д.)
- наличие файлов снекорректным временем создания (например, 10ч 25м 62с);
- неуместное появлениесистемных сообщений;
- появление на дискезарегистрированных дефектных кластеров;
- постоянное увеличениеколичества файлов на диске;
- неожиданное зависаниекомпьютера с невозможностью перегрузки;
-разрушениефайловой структуры.
Б)Классификация вирусов. Характеристика классов.
Вирусы можно разделить на классы по тремпризнакам:
1) среде обитания и способу распространения:
-сетевые распространяются по компьютерным сетям, файлы идиски не заражают;
-файловые внедряются в выполняемые файлы;
-загрузочные внедряются в область диска,используемую при загрузке операционной системы;
-файлово-загрузочные комбинация предыдущихдвух видов;
-вирусы-компаньоны непосредственно файлыне заражают, но для файлов с расширением «ехе» создают одноименныефайлы с расширением «com», содержащие тело вируса; таким образом,если при запуске программы не указать расширение «ехе», то MS-DOS запустит com-файл с вирусом;
-макро-вирусы наиболее многочисленнаяразновидность вирусов: внедряются в документы MS-Word, MS-ExceL MS-PowerPoint благодаря наличию в этихпрограммах встроенных языков VisualBasic и WordBasic.
2) способу заражения:
- резидентныепостояннонаходятся в оперативной памяти и заражают запускаемые в это время программы;
- нерезидентныеактивнытолько в момент запуска зараженной программы.
3)деструктивным возможностям:
-безвредные приводят лишь к уменьшению свободной памяти надиске;
-неопасные ограничиваются графическими, звуковыми и прочимиэффектами;
-опасные — могут привести к серьезным сбоям в работекомпьютера;
-оченьопасные — могут привести к потере программ, уничтожить данные, стеретьнеобходимую для работы компьютера информацию.
В) Профилактические меры:
Для предотвращения заражения вирусами используюттакие профилактические меры, как:
- создание архивных копийвсех важных материалов;
- проверка любых новыхпрограмм и дискет при помощи антивирусов;
-ограничениедоступа по записи к внешним носителям;
- использованиелицензионных программ.
Антивирусные программы делят на:
программы-детекторы— проверяют файлы наналичие в них уникальной последовательности байт (сигнатуры), принадлежащейодному из известных ранее вирусов, а также проводят так называемый эвристическийанализ, т.е. поиск в теле программы действий, характерных для вирусов;
программы-доктора— лечат зараженные файлы, вырезая из них теловируса.
Часто антивирусные программы объединяют в себефункции детектора и доктора;
программы-ревизоры— позволяют запомнитьсведения о всех файлах, а затем сравнивать их состояние с исходным и выдаватьпользователю сообщения о произошедших изменениях и появлении новых файлов;
программы-фильтры (мониторы)— работают непрерывно смомента включения компьютера, отслеживают нестандартные действия программ исообщают об этом пользователю. Пользователь может разрешить или запретитьвыполнение соответствующей операции;
программы-блокировщики— небольшие резидентныепрограммы, предназначенные для предотвращения распространения одногоконкретного вируса.
На сегоднясамыми распространенными антивирусными программами являются Norton AntiVirus, AVP и DrWeb, которые выполняютфункции детектора и доктора. Они могут находить и уничтожать десятки тысячразличных вирусов. лечение зараженный файл компьютер антивирус
2. Описаниепрограммы Dr.Web
Отечественная программа DrWeb (автор И. Данилов, ЗАО«ДИАЛОГ-НАУКА») обрела широкую известность в силу таких достоинств, как:
- постояннаяобновляемость, т.е. наличие новых версий, способных находить и уничтожатьтолько что появившиеся вирусы;
- наличиеэффективного эвристического анализатора, который позволяет выявлять вирусы, ещене известные авторам программы;
-возможностьработы с программой как в режиме командной строки, так ивдиалоговомрежиме. При работе в диалоговом режиме появляется возможность полученияоперативной помощи, что значительно упрощает работу.
А) Работа в диалоговом режиме.
Программа DrWeb при запуске выводит наэкран следующие элементы:
- главное меню — позволяет пользователю задатьнеобходимые опции, выбрать команду на выполнение нужной операции: проверкипамяти, проверки файлов, лечения файлов;
- окно тестирования содержит отчет о ходе проверки памяти ифайлов на наличие вирусов.
Менюпрограммы DrWeb позволяет выполнять различные операции, а каждый пункт меню (Dr. Web, Тест, Настройки) дает пользователю доступк ряду команд, сгруппированных по функциональному назначению. Команда Выполняемая операция Dr.Web
Временный
выход
временный выход в DOS О программе
вывод информации об авторских правах, версии программы Выход (Alt+X)
выход из программы Тест Тест памяти
проверка памяти компьютера наличие вирусов Тестирование (F5)
проверка файлов на наличие вирусов Лечение (Ctrl+F5)
проверка файлов на наличие вирусов и лечение Статистика
вывод информации о количестве проверенных файлов, числе найденных вирусов, количестве подозрений на наличие вирусов | Файл отчета
просмотр отчета после выполнения проверка Настройки Интерфейс
настройка параметров интерфейса: язык (русский или английский), цветовое оформление и др. Параметры (F9)
настройка различных возможностей программы DrWebдля проверки памяти и файлов на наличие вирусов Файлы
выбор файлов, подлежащих проверке на вирусы (все файлы, только программы, файлы, выбранные пользователем)
При выборе в главном меню команды«Параметры»DrWeb выводит диалоговое окно, в котором сосредоточенынаиболее важные для работы программы элементы настройки. Каждому элементунастройки соответствует переключатель, представляющий собой две квадратныескобки:
[ ] — выключен,
[х]- включен.
Все главные элементы настройки по функциональномуназначению разделены на три основные группы:
- общие установки;
-инфицированныефайлы;
-файлы.
2.Практическая часть
Проверкадискеты на наличие вирусов (работа с программой DrWeb)
1) Регистрация.
-В главном меню выбратьпункт Информатика;
-Выбрать номер группы343;
2) Запускпрограммы DrWebв диалоговом режиме;
-В команднойстроке набрать drweb.exe;
-;
3) Настройкапрограммы DrWeb;
-В пункте«Настройки» главного меню выбрать команду «Параметры»;
-Воткрывшемся диалоговом окне включить опции «Тест загрузочныхсекторов», «Эвристический анализ», «Лечить»,«Запрос на лечение», «Проверка архивов» и «Проверкаупакованных» ;
-.
4) Тестированиедискеты;
-В пункте«Тест» главного меню выбрать команду «Тестирование»;
-Впоявившемся диалоговом окне указать имя диска, подлежащего проверке — «а:», установить опцию «Включая подкаталоги»;
-Вставитьдискету;
-;
После нажатия Dr.Web начинает проверку дискеты: сначала тестируется загрузочныйсектор, а затем все файлы.
Поиск вирусов и инфицированных программ на дискеА:
Boot Sector — Ok
A:\MODE.COM инфицирован Ambulance.796
A:\FORMAT.COM инфицирован Ambulance.796
A:\WATCOM\MAIN.CPP — Ok
A:\WATCOH\EFFECTS\GOURAUD.EXE — Ok
A:\WATCOM\EFFECTS\FRACTAL.EXE — Ok
Отчет для диска А: Проверено: файлов изагрузочных секторов — 6
Обнаружено: вирусов и инфицированных программ — 2Времясканирования: 00:00:20
6) Лечениезараженных файлов
-В пунктеТест главного меню выбрать команду «Лечение»
-Воткрывшемся окне ввести через пробел полные пути к зараженным файлам «а:\mode.com a:\format. com»;
-.
Дляподтверждения необходимости лечения конкретного файла нажимать кнопку«Да» каждый раз, когда DrWeb выводит диалоговое окно с вопросом онеобходимости лечения.
Поиск вирусов в a:\mode.com:
Boot Sector — Ok
a:\MODE.COM инфицирован Ambulance.796 — исцелен!
a:\MODE.COM — Ok
Отчет для диска А:
Проверено: файлов и загрузочных секторов — 2
Обнаружено: вирусов и инфицированных программ — 1
Исцелено: файлов и загрузочных секторов — 1
Время сканирования: 00:00:10
Поиск вирусов в a:\format.com:
Boot Sector — Ok
a:\FORMAT.COM инфицирован Ambulance.796 — исцелен! a:\FORMAT.COM — Ok Отчет для диска А:
Проверено: файлови загрузочных секторов — 2
Обнаружено:вирусов и инфицированных программ — 1
Исцелено:файлов и загрузочных секторов — 1
Времясканирования: 00:00:05