Как называется цепочка байт по которой антивирус ищет конкретный вирус в файле
Обновлено: 07.07.2024
"Я слышу - я забываю,
Я вижу - я запоминаю,
Я делаю - я понимаю".
Тема урока: "Вирусы и антивирусные программы"
Цель урока: Обобщение и систематизация знаний по теме вирусы и антивирусные программы
- Классификация вирусов и их отличительная особенность;
- Технология создания и редактирования слайдов с помощью программы Microsoft Power Point;
- Технология создания и редактирования списков с помощью текстового редактора Microsoft Word;
- Практическое использование антивирусов-фагов для поиска и лечения вирусов на гибком диске;
- Умение работать в многозадачной среде операционной системы Windows.
- Поиск информации в различных источниках;
- Анализ пройденных этапов разрабатываемого проекта;
- Публичное выступление с собственным проектом;
- Формулирование вопроса по теме выступления;
- Выбор и систематизация информации в презентациях одноклассников, формирование текста собственного документа;
- Анализ готового продукта на примерах работ одноклассников.
- Уважительное и внимательное отношение к выступающему;
- Умение оценивать и ценить чужой труд;
- Овладение проектным методом мышления.
На уроке применяется проектная методика, цель которой самостоятельное нахождение учащимися необходимых сведений по антивирусным программам (описание интерфейса, достоинства, недостатки). Конечный продукт общей деятельности: выпуск памятки пользователю для защиты ПК от компьютерных вирусов. Результатом исследовательской деятельности учащихся является составление рейтинга популярности антивирусных программ у педагогов и студентов КГУ «АТК-10», практическим его приложением считается построенная по результатам анкетирования диаграмма.
Предполагаемый результат: Систематизирован материал темы "Компьютерные вирусы" посредством публичных выступлений учащихся и разработки памятки.
Отличие данного урока:
1. Подготовка к уроку осуществлялась самостоятельно каждым учеником через поиск, анализ и систематизацию информации с использованием ИКТ;
2. Тема урока раскрыта в форме индивидуальных презентаций отдельных модулей;
3. В ходе системного анализа проектных работ учащихся разработан продукт "Памятка для пользователя ПК".
Ход урока
Повторение пройденного материала:
Компьютерный вирус – это целенаправленно созданная программа, автоматически приписывающая себя к другим программным продуктам, изменяющая или уничтожающая их.
Вирьмейкер - человек, который «пишет» вирусы.
Первое неконтролируемое распространение вируса в сети произошло- 2 ноября 1988 года.
Три аксиомы компьютерного вируса:
Во-первых, вирусы не возникают сами собой - их создают нехорошие программисты-хакеры и рассылают по сети передачи данных или подкидывают на компьютеры знакомых.
Во-вторых: вирус не может сам собой появиться на Вашем компьютере - либо его подсунули на дискетах или даже на компакт-диске, либо Вы его случайно скачали из компьютерной сети, либо вирус жил у Вас в компьютере с самого начала, либо (что самое ужасное) программист-хакер живет у Вас в доме.
В третьих: компьютерные вирусы заражают только компьютер и ничего больше, поэтому не надо бояться - через клавиатуру и мышь они не передаются.
Необходимо знать, что ни один из вирусов не способен вывести из строя комплектующие компьютера. Максимум, на что способны некоторые вирусы, - это уничтожить информацию на жестком диске, что приведет к повреждению ОС и приложений. Хотя даже в этом случае ситуация может стать для вас фатальной, если вирус уничтожит важные документы.
У вирусов 3 этапа действия:
1. Заражение (попадание в компьютер);
2. Размножение (вирусный код может воспроизводить себя в теле других программ) ;
3. Вирусная атака (после создания достаточного числа копий программный вирус начинает осуществлять разрушение: нарушение работы программ и ОС, удаление информации на жестком диске, самые разрушительные вирусы вызывают форматирование жесткого диска).
1. Как называется группа компьютеров, зараженных вирусом, которая по команде из Интернета выполняет атаку указанного сайта?
2. Как называется цепочка байтов, характерная для определённого вируса?
3. Как называется выманивание паролей для доступа на сайты Интернета с помощью специально сделанных веб - страниц, которые внешне выглядят так же, как «официальные» сайты?
4. Как называется программа, блокирующая передачу данных по каналам связи, которые часто используют вирусы и программы для взлома сетей?
1) ботнет или зомби
Какая программа отчищает компьютер от вирусов?
Какая программа отчищает компьютер от вирусов?
Перечислите признаки заражения компьютера вирусом?
Перечислите признаки заражения компьютера вирусом.
Языковые конструкции, с помощью которых в программах записываются действия, выполняемые в процессе решения задачи, называются : операторами операндами выражениями данными?
Языковые конструкции, с помощью которых в программах записываются действия, выполняемые в процессе решения задачи, называются : операторами операндами выражениями данными.
С помощью этого коня ахейцы одержали победу над царем Приамом?
С помощью этого коня ахейцы одержали победу над царем Приамом.
Сегодня так называют один из компьютерных вирусов.
Как звали этого коня?
Программа, которая обеспечивает работоспособность и управление, называется : А?
Программа, которая обеспечивает работоспособность и управление, называется : А.
Операционная система С.
Операционная оболочка D.
У меня вопрос скорее не по школьной тематике?
У меня вопрос скорее не по школьной тематике.
Если при посещении сомнительных сайтов мне на компьютер попал вирус, то при починке в сервисном центре мастера смогут определить, с какого сайта вирус проник на комп?
Программа которая обеспечивает работоспособность управления компьютера называется?
Программа которая обеспечивает работоспособность управления компьютера называется.
Как называется программа, которая переводит в машинные коды символьную запись машинных команд?
Как называется программа, которая переводит в машинные коды символьную запись машинных команд?
Антивирусные программы, обеспечивающие защиту компьютера от вирусов, относятся к ?
Антивирусные программы, обеспечивающие защиту компьютера от вирусов, относятся к :
4. Вирус действует следующим образом : после запуска на зараженном компьютере он ждёт 2 часа, после чего каждый час рассылает свои копии на 15 не зараженных компьютеров в сети?
4. Вирус действует следующим образом : после запуска на зараженном компьютере он ждёт 2 часа, после чего каждый час рассылает свои копии на 15 не зараженных компьютеров в сети.
Из них 20% заражаются этим вирусом (заражение происходит мгновенно), остальные – нет.
Сколько компьютеров будет заражено вирусом через 6 с половиной часов после запуска первого экземпляра вируса?
Антивирусная программа предназначена для обнаружения и обезвреживания угроз безопасности. Интересно, что в процессе эволюции антивирусы совершенствовали методы обнаружения: от определения вредоносов по сигнатурам до эвристического анализа и выявления подозрительного поведения.
Антивирусы делятся на сканеры и резидентные модули. Сканеры находят файлы на дисках, читают их и делают вывод об инфицировании вирусом. Резидентные антивирусы постоянно работают в оперативной памяти и проверяют каждый новый файл и программу на заражение вирусом. При таком подходе расходуются ресурсы компьютера: процессор и оперативная память. Именно из-за этого некоторые пользователи не любят антивирусы, не хотят собственноручно замедлять работу компьютера. Но работать без антивируса сегодня небезопасно, так можно делать только в случае полной уверенности в своих действиях и посещаемых ресурсах в интернете.
Методы обнаружения вредоносного ПО
В самом простом случае используется определение по сигнатурам. Сигнатура – это кусок кода вируса, который не изменяется. Базы данных антивирусов содержат именно сигнатуры известных вирусов. Простое сравнение программного кода по базе сигнатур 100% позволяет определить есть вирус или нет. Но и вирусы не стоят на месте, они используют полиморфные алгоритмы, с помощью которых сигнатура меняется. Также создаются новые вирусы, которые невозможно определить по имеющимся базам.
Следующим методом стал эвристический анализ, который более интеллектуально подходит к обнаружению угроз. Эвристический анализатор выявляет паттерны, т.е. закономерности поведения вирусов и таким образом может определить угрозу ещё до того, как станет известна её сигнатура. Так, например, под особым контролем программы, которые создают резидентные модули в памяти, напрямую обращаются к файловой системе или к загрузочным секторам, перехватывают программные и аппаратные прерывания, изменяют исполняемые (.exe) файлы.
Также, антивирусы научились определять потенциально-нежелательные программы (PUP). Это не совсем вирусы, но PUP устанавливаются «в довесок» к другой программе, часто без ведома пользователя. PUPs могут устанавливать дополнительные модули в систему, расширения для браузеров, нарушать конфиденциальность и безопасность, показывать рекламу, в будущем загружать реальные вирусы.
Какие угрозы обнаруживаются антивирусами
Стоит отметить, что на самом деле вирус и вредоносная программа, это немного разные определения. Вредоносное ПО – это любой программный код, цель которого нанести вред или ущерб компьютеру, операционной системе или лично человеку, похитив конфиденциальные данные (пароли, данные кредитных карт, деньги с электронных кошельков). Вирус же способен самореплицироваться, т.е. самостоятельно распространяться, заражая другие программы и компьютеры. Пользователю нужно запустить вирус или инфицированную программу, чтобы он начал вредить.
Черви (Worms)
Червь, в отличии от вируса, существует самостоятельно, не заражая другие файлы. Для заражения червём не требуется запуск заражённой программы или посещение инфицированного сайта. Червь использует сетевые уязвимости и эксплоиты операционки Windows. Эксплоит (exploit) – это код, последовательность команд, которая использует обнаруженную хакером брешь в системе безопасности, например ошибку при переполнении буфера, которая позволяет выполнить любой код.
Поэтому червь пролазит в компьютер сам, и затем дальше ищет другие уязвимости в сетях, к которым подключён компьютер. Червь может выполнять любые злонамеренные действия: кража паролей, шифрование файлов, нарушение работы ОС, перезагружать компьютер и т.д.
Трояны (Trojan)
Трояны попадают в компьютер под видом безвредного ПО и не имеют свойства размножаться. Трояны часто попадают в компьютер под видом кейгена или патча для взлома платных программ. Патч делает полезную работу, и ничего не подозревающий пользователь получает «бонусом» трояна, который открывает бэкдор – службу для удалённого управления компьютером. С помощью бэкдора хакер может делать с компьютером что угодно: загружать другие программы, похищать личные данные, менять начальную страницу и настройки браузера, нарушать целостность системы и др.
Руткиты (Rootkit)
Название пошло из операционок Linux, где для входа в систему с правами администратора используется логин «root». Руткиты самые нежелательные гости в Windows. Руткиты:
- Получают доступ к ядру ОС
- Изменяют системные файлы
- Маскируются под системные процессы
- Загружаются до запуска операционной системы
- Работают в теневом режиме
Всё это осложняет обнаружение и удаление руткитов.
Spyware, Adware, Ransomware
Spyware – шпионские программы, которые следят за активностью пользователя в сети, запоминают нажатия клавиш, находят данные карт, кошельков, документы и передают их хакеру.
Adware – рекламное ПО, показывает рекламу в всплывающих окнах. Adware (ad, реклама) может долго оставаться незамеченным, внедряя рекламные баннеры на посещаемые сайты или заменяя имеющуюся рекламу на свою. Переход по рекламным ссылкам может повлечь заражение трояном или руткитом.
Ransomware – это вымогатели, которые шифруют личные и рабочие документы на дисках. Вымогатель требует выкуп за получение ключа расшифровки. Как правило, выкуп просят в биткоинах, но никакого ключа расшифровки не существует. Лечения от вымогателя не существует, данные теряются навсегда.
Следуйте правилам безопасности, работая за компьютером и в интернете, используйте антивирусное ПО, например Total AV.
3. “ВАКЦИНАЦИЯ” ПРОГРАММ
3.1. Заголовок исполняемых файлов
3.2. Защита вновь создаваемых программ
3.3. Модуль F_Anti
4. ЗАЩИТА СУЩЕСТВУЮЩИХ ЕХЕ-ФАЙЛОВ
4.1. Описание программ SetFag. pas и Fag. asm
4.2. Программа AntiVir
В работе анализируется механизм распространения и функционирования вирусов в операционной системе MS-DOS и на основе анализа предлагаются достаточно эффективные способы борьбы с ними. Приводятся описания трех разных программ, обеспечивающих выявление и ликвидацию вирусов. Модуль F_Anti может использоваться для автоматической защиты вновь разрабатываемых Турбо Паскалевых программ. Программа AntiVir осуществляет выявление и ликвидацию загрузочных вирусов и контроль любых исполняемых файлов на основе сопоставления наиболее уязвимых для вируса частей файлов с их эталонными копиями. Наконец, комплекс программ SetFag. exe и Fag, prg даст Вам возможность установить антивирусную программу—фаг на любой уже созданный ЕХЕ-файл: в момент запуска программы фаг проверит ее состояние, если программа поражена вирусом, сообщит об этом и удалит вирус.
1. ЧТО ТАКОЕ КОМПЬЮТЕРНЫЕ ВИРУСЫ
Если Вы имеете опыт продолжительной работы с ПК, то, возможно, уже сталкивались с компьютерными вирусами или хотя бы слышали о них. Компьютерный вирус-это программа, производящая в Вашем ПК действия, в которых Вы не нуждаетесь и о которых не подозреваете. Главной ее особенностью является способность к “размножению” , т.е. к созданию множества готовых к дальнейшей работе экземпляров вируса. Вирусы “цепляются” к обычным исполняемым файлам типа . ЕХЕ,. СОМ или к загрузочным секторам физических носителей информации (дискет) и таким образом перемещаются от одного ПК к другому.
Являвшиеся первоначально вполне невинным развлечением скучающих программистов компьютерные вирусы сегодня стали настоящим бедствием для пользователей ПК: количество и типы таких программ растут с ужасающей скоростью, а сами вирусы в ряде случаев приобрели весьма неприятные свойства-некоторые из них способны уничтожать файловую структуру дисков со всеми катастрофическими для пользователя последствиями. В литературе [14] описывается беспрецедентный случай, когда вирус на Три дня (с 2 по 4 ноября 1988 г.) вывел из строя фактически всю компьютерную сеть США. Были парализованы компьютеры Агентства национальной безопасности, Стратегического командования ВВС США, локальные сети всех крупных университетов и исследовательских центров. Лишь в последний момент удалось спасти систему управления полетом космических кораблей Шаттл. Положение было настолько серьезным, что к расследованию немедленно приступило ФБР. Виновником катастрофы, причинившей ущерб более чем в 100 миллионов долларов, оказался студент выпускного курса Корнеллского университета Р. Моррис, придумавший достаточно хитрую разновидность вируса. Он был исключен из университета с правом восстановления через год и приговорен судом к уплате штрафа в 270 тысяч долларов и трем месяцам тюремного заключения.
Трудно объяснить, для чего программисты тратят силы и время на создание все более изощренных типов вируса, поскольку их авторы почти всегда остаются или надеются остаться анонимными, так что естественное для человека стремление к известности здесь исключено. Может быть это неудачная шутка (этой версии придерживался Р. Моррис) , возможно это связано с патологическими отклонениями в психике, а может быть объяснение кроется в стремлении заработать на создании антивирусных программ? Как бы там ни было, нам нельзя не считаться с возможностью заражения ПК компьютерным вирусом.
2. ЦИКЛ ФУНКЦИОНИРОВАНИЯ ВИРУСОВ
В цикле существования любого вируса можно выделить три этапа. Первоначально вирус находится в неактивном состоянии. В этом состоянии он внедрен в тело исполняемого файла или находится в загрузочном секторе диска и “ждет” своего часа. Именно
3. “ВАКЦИНАЦИЯ” ПРОГРАММ
Что же следует сделать, чтобы эта безрадостная картина не стала реальностью? Один ответ очевиден-периодически (и по возможности чаще) сохранять жизненно важные для Вас результаты работы на дискетах. Нет ничего проще, чем дать этот совет, гораздо сложнее заставить себя следовать ему: я сам, честно говоря, далеко не каждый день трачу время на архивирование. Второй ответ менее очевиден. С его простой идеей я впервые познакомился в прекрасной статье Ф. Н. Шерстюка.
Вот эта идея: нужно произвести “вакцинацию” исполняемых программ, т.е. придать им свойство самодиагностики, позволяющее произвести контроль собственного файла и выяснить, заражен он или нет. Если факт заражения установлен, программа может попытаться восстановить свой исходный вид, т.е. удалить прицепившийся к ее файлу вирус. Если эту идею последовательно воплощать в жизнь, то большинство Ваших программ приобретет стойкий “иммунитет” к вирусам, во всяком случае, они смогут достаточно быстро сообщить Вам о факте заражения.
Преимущества этой идеи очевидны: в отличие от разработчиков многочисленных антивирусных программ, которые борются с конкретными разновидностями вирусов, Вы можете сохранить в файле программы некоторую ключевую информацию о ее незараженном виде, и поэтому факт заражения любым видом вируса может быть легко установлен в момент запуска Вашей программы.
3.1. Заголовок исполняемых файлов
Какую именно информацию о незараженном файле след
Какую именно информацию о незараженном файле следует сохранять? Для ответа на этот вопрос необходимо знать соглашение ДОС о формате исполняемых файлов. Как известно, существуют два формата: СОМ и ЕХЕ. Любая программа, обрабатываемая системой Турбо Паскаль версии 4.0 и выше, может быть оттранслирована только в ЕХЕ- файл, поэтому все дальнейшие рассуждения относятся именно к этому формату.
В начале ЕХЕ- файла располагается заголовок, в котором содержится вся информация, необходимая для преобразования дискового файла в готовую к работе программу. Первые 28 байт заголовка соответствуют следующей структуре данных:
3.2. Защита вновь создаваемых программ
Ключевую информацию (будем для краткости называть ее ключ) о незараженной программе можно хранить в отдельном файле, но в этом случае существует опасность потерять дополнительный файл при копировании программы или ошибочно уничтожить его. Гораздо надежнее хранить ключ в теле самого защищаемого файла. К сожалению, его нельзя подобно вирусу пристыковать в конец файла, т.к. в случае заражения вирус изменит поля PartPag и PageCnt и мы никогда не сможем определить то место в файле, где он располагается. Вспомним, что все константы (в том числе и типизированные) создаются на этапе компиляции программы, таким образом, в файле обязательно имеется область данных, содержащая значения этих констант. Эта область в Турбо Паскалевых программах располагается в самом конце загружаемой части файла (см. рис. 6.2) .
Следовательно, мы должны объявить в программе типизированную констант, предназначенную для хранения ключа, а затем в область файла, отведенную для ее размещения, поместить нужную информацию.
Каким образом отыскать в ЕХЕ- файле место, занимаемое ключом? Конечно, можно перед ним в программе разместить какую-либо типизированную константу с характерным значением (например, заранее обусловленную текстовую строку) и затем отыскивать ее в файле. Однако такое решение вряд ли можно признать удовлетворительным: во-первых, всегда существует вероятность того, что какой-то фрагмент кодов программы содержит ту же цепочку байт, что и заголовок ключа; во-вторых, придется просматривать подчас большой по объему ЕХЕ—файл в поисках нужной константы. Значительно изящнее выглядит решение, основанное на точном вычислении смещения от начала файла до ключа.
Для этого нужно определить начало области данных в файле. В заголовке файла не предусмотрено никакой информации о начальном значении регистра DS, в котором хранится сегмент данных. Перед передачей управления программе загрузчик устанавливает значение этого регистра так, чтобы он указывал на начало так называемого префикса программного сегмента Остается последняя проблема-как найти нужную константу. Турбо Паскаль размещает константы в области данных по мере их объявления в программе. Зная размер каждой константы и порядок их объявления, можно вычислить место размещения нужной нам типизированной константы. Однако этот метод не годится для универсальной программы защиты, так как порядок объявления констант может меняться от программы к программе. К счастью, мы можем использовать операцию получения адреса @. Результатом применения этой операции к адресу константы, выбранной в качестве ключа, является указатель (четырехбайтный адрес) ; смещение адреса, который он содержит, и является нужным нам смещением начала ключа относительно начала области данных. 3.3. Модуль F_Anti В этом параграфе описывается модуль F_Anti, в котором осуществляются все необходимые дейс Поговорим о нескольких понятиях, которые зачастую понимаются ошибочно: какие бывают сигнатуры, что на самом деле такое вирусы и как работает лечение системы антивирусом. 13 октября 2016 Мы много и часто рассказываем о правилах поведения (а может, даже и выживания) в Интернете, да и в цифровом мире в целом. Очень надеемся, что делаем это все не зря, — что люди учатся и потом учат своих близких. Это правда очень важно. Однако во всех этих рассказах встречается немало специфических терминов, которые кто-то может не знать или понимать неверно. Сегодня мы поговорим о трех самых распространенных заблуждениях, связанных с антивирусами, и попробуем объяснить, почему мы называем определенные вещи так, а не иначе. Так исторически сложилось, что антивирусные базы в разговоре и даже статьях часто называют сигнатурами. В действительности же классические сигнатуры, пожалуй, ни один антивирус не использует уже лет 20. Давайте же это определение дадим. Классическая вирусная сигнатура — это непрерывная последовательность байтов, характерная для той или иной вредоносной программы. То есть она содержится в этом вредоносном файле и не содержится в чистых файлах. Например, характерная последовательность байтов может быть такой Проблема в том, что сегодня с помощью таких классических сигнатур определить вредоносный файл достаточно проблематично — их создатели используют различные техники для того, чтобы запутать следы. Поэтому современные антивирусы используют значительно более продвинутые методы. И хотя в антивирусных базах примитивных записей по-прежнему много (больше половины), но есть еще и очень много умных записей. Антивирусная запись — это запись, а стоящая за ней технология может быть как классической, простенькой, так и суперсовременной и навороченной, нацеленной на детектирование самых запутанных и высокотехнологичных вредоносных файлов или даже целых семейств вредоносов. Инфекторы в вирусной лаборатории пользуются особым статусом. Во-первых, их чуть сложнее распознать — с виду файл чистый, а на самом деле в нем инфекция. Во-вторых, они требуют особого подхода: почти всегда для них нужна специальная процедура лечения и, как правило, еще и особая процедура детектирования. Поэтому инфекторами занимаются люди, специализирующиеся именно на этом типе угроз. Классификация вредоносных программ Мне встречалось такое заблуждение, будто антивирус сканирует и детектирует, а если что-то найдет, то потом надо скачивать специальную лечащую утилиту и использовать уже ее. Отдельные утилиты для особо популярных зловредов у нас действительно есть — например, специализированные утилиты, позволяющие бесплатно расшифровать файлы, зашифрованные вымогателями. Но и антивирус справляется с лечением ничуть не хуже. А в подавляющем большинстве случаев — даже лучше, за счет драйверов в системе и других технологий, которые в утилиту не запихнешь. А в остальных 99% случаев, когда зловред ничего не инфицирует, а просто делает (или собирается делать) свое черное дело, лечение действительно состоит в банальном удалении файла зловреда. Просто потому, что заражения других файлов нет, так что и лечить их не требуется. Уничтожаем файл — и система здорова. В большинстве случаев лечение как таковое не требуется, достаточно просто удалить вредоносный файлЗаблуждение первое: сигнатуры — это что-то устаревшее
Заблуждение второе: вирусы — это любые вредоносные программы
Заблуждение третье: антивирус не умеет лечить
Читайте также: