МУНИЦИПАЛЬНОЕ ОБЩЕОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ «ОСНОВНАЯ ОБЩЕОБРАЗОВАТЕЛЬНАЯ ШКОЛА №83» IV ШКОЛЬНАЯ НАУЧНО-ПРАКТИЧЕСКАЯ КОНФЕРЕНЦИЯЗАЩИТА ИНФОРМАЦИИ ОТ ВИРУСОВАвторы: Лагерников Сергей, 8 А класс Недосеков Дмитрий, 8 А классНаучный руководитель: Фогель Ольга Николаевна, учитель информатикиг.Новокузнецк, 2011 г.СОДЕРЖАНИЕ Введение ………………………………………………………………………………..............3 1.Проблема защиты информации от вирусов..........................................................................6 1.1. Понятие компьютерные вирусы………………………………….....................................6 1.2. Разновидности компьютерных вирусов……………………………................................6 1.3. Пути проникновения вирусов, признаки появления в компьютере..............................7 1.4. Антивирусные средства…………………………………………......................................8 2. Сравнительный анализ антивирусных программ……………………..............................10 2.1. Описание и принцип работы основных антивирусных программ...............................10 2.2. Сравнительный анализ антивирусных программ..........................................................12 Заключение…………………………………………………………….....................................16 Список литературы……………………………………………………....................................17ВВЕДЕНИЕ Человеческое общество по мере своего развития прошло этапы овладения веществом, затем энергией и, наконец, информацией. Овладение энергией позволило перейти к массовому машинному производству потребительских товаров. Было создано индустриальное общество. В этот период происходили также существенные изменения в способах хранения и передачи информации. В информационном обществе главным ресурсом является информация. Именно на основе владения информацией о самых различных процессах и явлениях можно эффективно и оптимально строить любую деятельность. Важно не только произвести большое количество продукции, но произвести нужную продукцию в определенное время. С определенными затратами и так далее. Поэтому в информационном обществе повышается не только качество потребления, но и качество производства; человек, использующий информационные технологии, имеет лучшие условия труда, труд становится творческим, интеллектуальным и так далее. В качестве критериев развитости информационного общества можно выбрать три: наличие компьютеров, уровень развития компьютерных сетей и количество населения, занятого в информационной сфере, а также использующего информационные и коммуникационные технологии в своей повседневной деятельности[1]. В связи со стремительным развитием информационных технологий и их проникновением во все сферы человеческой деятельности возросло количество преступлений, направленных против информационной безопасности. Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации. Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них. Среди учащихся и учителей нашей школы мы провели анкетирование, в котором задали следующие вопросы: Как часто ваш компьютер заражается вирусами?(очень часто, часто, редко, никогда) Какой антивирусной программой вы пользуетесь? Результаты анкетирования представлены на рисунке 1 и рисунке 2. Из них видно, что компьютеры пользователей очень часто заражаются вирусами. И что пользователи нашей школы используют для защиты от вирусов в основном следующие программы: Антивирус Касперского, Доктор Веб, EsetNod32, Аваст и Авира. Рисунок 1. Результаты анкетирования Рисунок 2. Основные антивирусные программы, которыми пользуются анкетируемые.Цель нашего исследования – определить понятие «Компьютерный вирус», классифицировать вирусы и определить основные методы защиты от них.Задачи: 1) изучить литературные источники и существующие версии по вопросу защиты информации от вирусов; 2) выявить основные понятия о компьютерных вирусах и их разновидностях, пути проникновения вирусов, признаки их появления в компьютере, изучить основные антивирусные программы; 3) провести экспериментальным путем сравнительный анализ антивирусных программ.^ Объектом нашего исследования стала информация и защита ее от вирусов.Предмет исследования: природа вирусов и методов защиты от них.Гипотеза: в современном информационном обществе главным ресурсом является информация, которую необходимо тщательно охранять от программ – вирусов. Данное исследование было проведено в г.Новокузнецке на базе компьютерного класса МОУ «Основная общеобразовательная школа №83».^ Основные методы исследования: поиск и сбор нужной литературы по теме, изучение методов практической защиты информации с помощью антивирусных программ. ^ 1 ЗАЩИТА ИНФОРМАЦИИ ОТ ВИРУСОВ1.1. Понятие компьютерные вирусыВирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает так же, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и не зараженной. Разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, т.е. до перезагрузки DOS, и время от времени заражает программы и выполняет вредные действия на компьютере[2]. Основные пути проникновения вирусов - съемные диски и компьютерные сети. Чтобы этого не случилось, соблюдайте меры по защите. Также для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов антивирусных программ. Вирус - программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но, и могут вообще с ним не совпадать! Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления[3].^ 1.2. Разновидности компьютерных вирусов1) В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово - загрузочные.^ Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т.е. в файлы, имеющие расширения СОМ и ЕХЕ.^ Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.^ Загрузочные вирусы внедряются в загрузочный сектор диска (Вооt-с) или в сектор, содержащий программу загрузки системного диска (Маster Вооt Record).Файлово - загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.^ 2) По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.^ Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.3) По степени воздействия вирусы можно разделить на следующие виды: Неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;^ Опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;Очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.^ 4) По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаруженыи уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копииодного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков[5].^ 1.3. Пути проникновения вирусов, признаки появления в компьютере Основными путями проникновения вирусов в компьютер являются съемные диски, а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты или съемного диска (флеш), содержащих вирус. Такое заражение может быть и случайным, например, если съемные диски не вынули из дисководов и перезагрузили компьютер, при этом съемные диски могут быть и не системными. Заразить съемные диски гораздо проще. На них вирус может попасть, даже если диски просто вставили в дисковод зараженного компьютера и, например, прочитали их оглавление. Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы. После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное. Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное, например:* некоторые программы перестают работать или начинают работать неправильно;* на экран выводятся посторонние сообщения, символы и т.д.;* работа на компьютере существенно замедляется;* некоторые файлы оказываются испорченными и т.д. К этому моменту, как правило, уже достаточно много (или даже большинство) программ являются зараженными вирусом, а некоторые файлы и диски - испорченными. Более того, зараженные программы с одного компьютера могли быть перенесены с помощью съемных дисков или по локальной сети на другие компьютеры. Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными[6].^ 1.4. Антивирусные средства Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.Для защиты от вирусов можно использовать: *общие средства защиты информации, которые полезны также и как страховка от порчи дисков, неправильно работающих программ или ошибочныхдействий пользователя; * профилактические меры, позволяющие уменьшить вероятность заражения вирусов; * специальные программы для защиты от вирусов. Общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы)[7].ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю. В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. ДОКТОРА-РЕВИЗОРЫ - программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы. Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции. Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.^ ПРОГРАММЫ-ВАКЦИНЫ, или ИММУНИЗАТОРЫ, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны[6].^ 2 СРАВНИТЕЛЬНЫЙ АНАЛИЗ АНТИВИРУСНЫХ ПРОГРАММ2.1 Описание и принцип работы основных антивирусных программ 1) Очень мощным и эффективным антивирусом является фаг Dr Web (созданный И.Даниловым). Детектор этого фага не просто сканирует файлы в поисках одной из известных вирусных сигнатур. Для нахождения вирусов Dr Web использует программу эмуляцию процессора, т.е. он моделирует выполнение остальных файлов с помощью программной модели микропроцессора I-8086 и тем самым создает среду для проявления вирусов и их размножения. Таким образом, программа Dr Web может бороться не только с полиморфными вирусами, но и вирусами, которые только еще могут появиться в перспективе. ^ Основными функциональными особенностями Dr Web являются: * защита от червей, вирусов, троянов, полиморфных вирусов, макровирусов, spyware, программ - дозвонщиков, adware, хакерских утилит и вредоносных скриптов; * обновление антивирусных баз до нескольких раз в час, размер каждого обновления до 15 KB; * проверка системной памяти компьютера, позволяющая обнаружить вирусы, не существующие в виде файлов (например, CodeRed или Slammer); * эвристический анализатор, позволяющий обезвредить неизвестные угрозы до выхода соответствующих обновлений вирусных баз[6]. 2) В антивирусной системе Eset NOD32 используются как эвристические, так и сигнатурные методы борьбы с вредоносным кодом, но роли между этими двумя технологиями распределяются не так, как в других антивирусах: в то время как большинство антивирусов отталкивается от сигнатурных методов, дополняя их эвристиками, у Eset NOD32 все наоборот. В итоге расширенные эвристики Eset NOD32 позволяют проактивно детектировать почти 90% всех угроз, а остальные устраняются сигнатурными методами. Надежность такого подхода подтверждается результатами независимых тестирований.^ Основными функциональными особенностями Esest NOD32 являются: * эвристический анализ, позволяющий обнаруживать неизвестные угрозы; * технология ThreatSense – анализ файлов для выявления вирусов, программ-шпионов (spyware), непрошенной рекламы (adware), phishing-атак и других угроз; * проверка и удаление вирусов из заблокированных для записей файлов (к примеру, защищенные системой безопасности Windows библиотеки DLL); * проверка протоколов HTTP, POP3 и PMTP[5]. 3) ^ Антивирус Касперского Personal предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционных систем Windows 98/ME, 2000/NT/XP, от всех известных видов вирусов, включая потенциально опасное программное обеспечение. Программа осуществляет постоянный контроль всех источников проникновения вирусов - электронной почты, интернета, дискет, компакт-дисков и т.д. Уникальная система эвристического анализа данных эффективно нейтрализует неизвестные вирусы. Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности): * Постоянная защита компьютера - проверка всех запускаемых, открываемых и сохраняемых на компьютере объектов на присутствие вирусов. * Проверка компьютера по требованию - проверка и лечение как всего компьютера в целом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можете запускать самостоятельно или настроить ее регулярный автоматический запуск. Программа создает надежный барьер на пути проникновения вирусов через электронную почту. Антивирус Касперского Personal автоматически осуществляет проверку и лечение всей входящей и исходящей почтовые корреспонденции по протоколам POP3 и SMTP и эффективно обнаруживает вирусы в почтовых базах. Программа поддерживает более семисот форматов архивированных и сжатых файлов и обеспечивает автоматическую антивирусную проверку их содержимого, а также удаление вредоносного кода из архивных файлов формата ZIP, CAB, RAR, ARJ, LHA и ICE[5]. ^ 2.2 Сравнительный анализ антивирусных программ На базе компьютерного класса МОУ «Основная общеобразовательная школа №83» г.Новокузнецка мы провели сравнительный анализ трех основных антивирусных программ. Рассматривались программы Dr Web, Антивирус Касперского и Eset NOD32. В качестве критериев для сравнения были выбраны следующие параметры: общий уровень обнаружения вредоносного программного обеспечения, среднее время реакции на новые угрозы (часы), увеличение времени загрузки компьютера, лечение активного заражения, занимаемая оперативная память в обычном режиме работы (кБ), время сканирования данных (мин.), количество отсканированных данных. Результаты проведения эксперимента и обработки данных представлены в таблице 1. В нашем сравнительном тестировании мы изучали эффективность антивирусов по противодействию новейшим образцам вредоносных программ, передаваемых пользователям наиболее распространенным сейчас способом - через зараженные веб-сайты. Для этого мы собирали ссылки на зараженные сайты из различных источников. Как правило, на такие ссылки каждый из нас натыкается в поисковиках, получает по e-mail, ICQ или другие средства интернет коммуникации, включая социальные сети. Суть сравнительного тестирования состоит в проверке комплексных возможностей антивирусов в противодействии новейшим угрозам в виде вредоносных программ, распространяемым через зараженные веб-сайты. Перед началом теста производилась подготовка среды тестирования. Для этого был создан набор чистых виртуальных машин, на которые была установлена операционная система Microsoft Windows XP Pro SP2 (последние обновления намеренно не ставились). На каждую машину по отдельности была установлена своя программа защиты из числа приведенных выше.Таблица 1. «Результаты тестирования» Dr Web 4.33 ЛабораторияКасперского Eset NOD32 Увеличение времени загрузки компьютера, на 17,80 с 6,33 с 10,16 с Время сканирования данных, мин. 79 28 23 Среднее время реакции на новые угрозы, часы 6-8 0-2 4-6 Лечение активного заражения 82% 71% 18% Общий уровень обнаружения вредоносного программного обеспечения 92.40% 98.88% 94.38% Количество отсканированных данных 133848 124914 123724 На рисунке 3 представлены данные о сравнении времени сканирования данных. Рисунок 3. Сравнение времени сканирования данных Как видно из диаграммы, дольше всех сканирует данные DrWeb, почти в два раза меньше времени требует на сканирование Лаборатория Касперского, и, наконец, быстрее всех справился Eset NOD32.Рисунок 4. Лечение активного заражения Диаграмма показывает, что не смотря на самое большое время сканирования, DrWeb лечит активные заражения намного качественнее остальных испытуемых программ. Хуже всех с этой задачей справляется Eset NOD32. Рисунок 5. Общий уровень обнаружения вирусов По результатам, представленным в диаграмме видно, что общий уровень обнаружения вредоносного программного обеспечения наиболее высок у антивируса Лаборатории Касперского. Остальные антивирусные программы немного отстают. Таким образом, по представленным данным видно, что у одних антивирусов выигрышным оказывается один показатель, у других - другой. При этом естественно, что в своих рекламных материалах разработчики антивирусов делают упор только на те тесты, где их продукты занимают лидирующие позиции. Так, например, Лаборатория Касперского делает акцент на скорости реакции на появление новых угроз, Eset NOD32 - на силе своих эвристических технологий, Dr Web 4.33 описывает свои преимущества в лечении активного заражения. Но что же делать пользователю, как сделать правильный выбор? Выбирая антивирус для своей системы, нужно в первую очередь ответить себе на вопрос: «А какой результат я хочу получить?». Если пользователь желает защитить свой компьютер от вирусов присылаемых через интернет, то лучше выбрать DrWeb и антивирус Касперского. Если пользователь активно пользуется съемными дисками, то антивирусы Касперского и Eset Nod32. Но разработчики антивирусных программ постоянно контролируют появление новых опасных вирусов, своевременно обновляют антивирусную базу данных и совершенствуют алгоритмы обнаружения вирусов. Поэтому, решение, которое выберет пользователь, должно быть сбалансированным и по большинству параметров подходить его запросам/ЗАКЛЮЧЕНИЕ Целью нашего исследования было выявление основных источников угрозы информации и определение способов защиты от них. Для достижения этой цели нами были выполнены следующие задачи: 1) мы изучили литературные источники и существующие версии по вопросу защиты информации от вирусов; 2) выявили основные понятия о компьютерных вирусах и их разновидностях, пути проникновения вирусов, признаки их появления в компьютере, изучили основные антивирусные программы; 3) провели эксперимент по сравнению антивирусных программ и анализ эксперимента. В ходе эксперимента мы изучили три основные антивирусные программы, широко используемые в России. Это DrWeb, Лаборатория Касперского и Eset NOD32. В результате проведенного эксперимента мы выяснили, у какой из программ выше общий уровень обнаружения вредоносного программного обеспечения, больше среднее время реакции на новые угрозы, какая из программ больше увеличивает время загрузки компьютера, какая лучше лечит активные заражения, какая из программ больше занимает оперативной памяти в обычном режиме работы, какая программа дольше сканирует данные. Все обработанные данные мы представили в виде таблицы и диаграмм, по которым каждый пользователь может составить себе впечатление об исследуемой программе. Таким образом, в результате проведенных исследований и экспериментов, выдвинутая нами гипотеза о том, что в информационном обществе главным ресурсом является информация, которую необходимо тщательно охранять от программ – вирусов, полностью подтвердилась.^ СПИСОК ЛИТЕРАТУРЫ Информатика: Учебник / под ред. Проф. Н.В. Макаровой. - М.: Базовыйкурс. Теория. 2004 г. Безруков Н.Н. Компьютерные вирусы. - М.: Наука, 2001. Мостовой Д.Ю. Современные технологии борьбы с вирусами // Мир ПК. -№8. - 2003. Безруков Н.Н. Классификация компьютерных вирусов и методы защиты от них/ Н.Н. Безруков. – М.: СП "ICE", 2006 Денисов Т.В. Антивирусная защита//Мой Компьютер-№4-2009г. Могилев А.В. Информатика: учебное пособие для студ. пед. вузов / А.В.Могилев Н.И.Пак, Е.К.Хеннер; Под ред. Е.К.Хеннера. – М.: Изд. Центр «Академия», 2000.-816с.