Реферат: Антивирусные программы
Оглавление
TOC o «1-2» Введение.… PAGEREF _Toc5089254h 1
Компьютерные вирусы.… PAGEREF _Toc5089255h 2
История развития вирусов.… PAGEREF _Toc5089256h 2
Опасные и неопасные вирусы.… PAGEREF _Toc5089257h 3
Заражаемые объекты.… PAGEREF _Toc5089258h 3
Особые виды вирусов.… PAGEREF _Toc5089259h 4
Методы маскировки вирусов.… PAGEREF _Toc5089260h 5
Как уберечься от вируса.… PAGEREF _Toc5089261h 6
Антивирусные программы.… PAGEREF _Toc5089262h 7
AIDSTEST… PAGEREF _Toc5089263h 8
DOCTOR WEB… PAGEREF _Toc5089264h 9
AVSP… PAGEREF _Toc5089265h 10
Microsoft Antivirus… PAGEREF _Toc5089266h 11
ADINF… PAGEREF _Toc5089267h 12
AVP… PAGEREF _Toc5089268h 14
Антивирусная проверка электроннойпочты.… PAGEREF _Toc5089269h 15
Защита от вирусов, распространяющихся по почте.… PAGEREF _Toc5089270h 15
Антивирусы для почтовых серверов.… PAGEREF _Toc5089271h 15
Doctor Web для UNIX-систем.… PAGEREF _Toc5089272h 16
«Антивирус Касперского» для проверкиэлектронной почты.… PAGEREF _Toc5089273h 16
<span Times",«serif»;mso-bidi-font-family:«Times New Roman»; layout-grid-mode:line">Заключение.…
PAGEREF _Toc5089274h 17Список литературы.… PAGEREF _Toc5089275h 19
<span Times",«serif»; mso-bidi-font-family:«Times New Roman»">Введение.<span Times",«serif»; mso-bidi-font-family:«Times New Roman»"><span Times",«serif»;mso-bidi-font-family:«Times New Roman»">Приработе с современным персональным компьютером пользователя (а особенноначинающего) может подстерегать множество неприятностей: потеря данных,зависание системы, выход из строя отдельных частей компьютера и другие. Однойиз причин этих проблем наряду с ошибками в программном обеспечении и неумелымидействиями самого оператора ПЭВМ могут быть проникшие в систему компьютерныевирусы.
<span Times",«serif»;mso-bidi-font-family:«Times New Roman»">Вирусы– едва ли не главные враги компьютера. Эти программы подобно биологическимвирусам размножаются, записываясь в системные области диска или приписываясь кфайлам, и производят различные нежелательные действия, которые, зачастую,имеют катастрофические последствия. Еще два года назад казалось, что совладычеством вирусов покончено – со смертью
<span Times",«serif»;mso-bidi-font-family:«Times New Roman»; mso-ansi-language:EN-US">DOS и <span Times",«serif»; mso-bidi-font-family:«Times New Roman»;mso-ansi-language:EN-US">DOS-совместимыхпрограмм неминуемо должны были исчезнуть и паразитирующие на них вирусы. Ведьесли вирус под DOS, заражающий исполняемые файлы <span Times",«serif»;mso-bidi-font-family:«Times New Roman»; mso-ansi-language:EN-US"> *.com и<span Times",«serif»;mso-bidi-font-family:«Times New Roman»; mso-ansi-language:EN-US"> *.exe-файлы, может написать каждый, кто хоть немногоразбирается в программировании, то создать полноценный вирус для Windowsгораздо труднее. Однако вирусы остались, хотя и несколько видоизменились.Сегодня самой распространенной группой вирусов стали макровирусы, заражающие непрограммы, а документы, созданные в Microsoft Word и Microsoft Excel.Путей распространения вирусовсуществует множество. Вирус может попасть на компьютер пользователя вместе сдискетой, пиратским компакт-диском или с сообщением электронной почты.<span Times",«serif»;mso-bidi-font-family:«Times New Roman»">Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знатьпринципы защиты от компьютерных вирусов. Ведь нет никакой надежды на то, что сприходом нового тысячелетия вирусы исчезнут. Так же как и нет надежды справиться с нимиокончательно в какие-то обозримые сроки, так как таланту авторов антивирусныхпрограмм противостоит фантазия компьютерных графоманов.
<span Times",«serif»;mso-bidi-font-family:«Times New Roman»">Сдавних времён известно, что к любому яду рано или поздно можно найтипротивоядие. Таким противоядием в компьютерном мире стали программы, называемыеантивирусными.
Компьютерные вирусы.<span Times",«serif»;mso-bidi-font-family:«Times New Roman»">Историяразвития вирусов.Компьютерный вирус – это специально написанная, как правило, небольшая по размерампрограмма, которая может записывать свои копии в компьютерные программы,расположенные в исполнимых файлах, системных областях дисков, драйверах,документах и т.д., причем эти копии сохраняютвозможность к «размножению». Процесс внедрения вирусом своей копии в другуюпрограмму (системную область диска и т.д.) называется заражением, а программа или иной объект, содержащий вирус – зараженным.
Сегодня науке известно около30 тысяч компьютерных вирусов. Как и обычным вирусам, вирусам компьютерным для«размножения» нужен «носитель» — здоровая программа или документ, в которых онипрячут участки своего программного кода. Сам вирус невелик, его размер редкоизмеряется килобайтами. Однако натворить эта «кроха» может немало. В тотмомент, когда пользователь, ничего не подозревая, запускает на своем компьютерезараженную программу или открывает документ, вирус активизируется и заставляеткомпьютер следовать его, вируса, инструкциям. Это приводит к удалениюкакой-либо информации, причем чаще всего – безвозвратно. Кроме этогосовременные вирусы могут испортить не только программы, но и «железо».Например, уничтожают содержимое BIOS материнской платы илиповреждают жесткий диск.
Вирусы появились приблизительно 30 лет назад.Именно тогда, в конце 60-х, когда о ПК можно было прочитать лишь вфантастических романах, в нескольких «больших» компьютерах, располагавшихся вкрупных исследовательских центрах США, обнаружились очень необычные программы.Необычны они были тем, что не выполнялираспоряжения человека, как другие программы, а действовали сами по себе.Причем, своими действиями они сильно замедляли работу компьютера, но при этомничего не портили и не размножались.
Но продлилось это недолго.Уже в 70-х годах были зарегистрированы первые настоящие вирусы, способные кразмножению и получившие собственные имена: большой компьютер Univac 1108 «заболел» вирусом Pervading Animal, а компьютеры из семейства IBM-360/370были заражены вирусом Christmas tree.
К 80-м годам число активных вирусов измерялось уже сотнями. А появление и распространение ПК породило настоящую эпидемию – счет вирусов пошел на тысячи. Правда, термин «компьютерный вирус» появился только в 1984 г. – впервые его использовал в своем докладе на конференции по информационной безопасности сотрудник Лехайского университета США Ф. Коуэн.
Первые компьютерные вирусыбыли простыми и неприхотливыми – от пользователей не скрывались, «скрашивали»свое разрушительное действие (удаление файлов, разрушение логической структурыдиска) выводимыми на экран картинками и «шутками» («Назовите точную высоту горыКилиманджаро в миллиметрах! При введении неправильного ответа все данные навашем винчестере будут уничтожены!»). Выявить такие вирусы было нетрудно – они«приклеивались» к исполняемым (*.com или *.exe)файлам,изменяя их оригинальные размеры.
Позднее вирусы стали прятатьсвой программный код так, что ни один антивирус не мог его обнаружить. Такиевирусы назывались «невидимками» (stealth).
В 90-е годы вирусы стали«мутировать» — постоянно изменять свой программный код, при этом пряча его вразличных участках жесткого диска. Такие вирусы-мутанты стали называться «полиморфными».
Весомый вклад в распространение вирусов внес Internet.Впервые внимание общественности к проблеме Internet-вирусов было привлеченопосле появления знаменитого «червя Морриса» — относительно безобидногоэкспериментального вируса, в результате неосторожности его создателяраспространившегося по всей мировой Сети. А к 1996-1998 гг. Internet сталглавным поставщиком вирусов. Возник даже целый класс Internet-вирусов, названных «троянскими». Эти программы не причиняливреда компьютеру и хранящейся в нем информации, зато с легкостью могли«украсть» пароль и логин для доступа к Сети, а также другую секретнуюинформацию.
В 1995г., после появленияоперационной системы Windows 95, были зарегистрированывирусы, работающие под Windows 95. Примерно через полгодабыли обнаружены вирусы, которые действовали на документах, подготовленных впопулярных программах из комплекта Microsoft Office.Дело в том, что в текстовыйредактор Microsoft Word и в табличный редактор Microsoft Excelбыл встроен язык программирования – VisualBasic for Applications (VBA), предназначенный для создания специальных дополнений к редакторам –макросов. Эти макросы сохранялись в теле документов MicrosoftOffice и легкомогли быть заменены вирусами. После открытия зараженного файла вирусактивировался и заражал все документы Microsoft Office.Первоначально макровирусы наносили вред только текстовым документам, позднее они сталиуничтожать информацию.
В течение 1998-1999 гг. мирпотрясли несколько разрушительных вирусных атак: в результате деятельностивирусов Melissa, Win95.CIH иChernobyl были выведеныиз строя около миллиона компьютеров во всех странах мира. Вирусы портилижесткий диск и уничтожали BIOS материнской платы.
Не сомнения, что вирусныеатаки буду продолжаться и впредь. Поэтому пользователям компьютеров остаетсятолько обзавестись хорошей антивирусной программой.
Опасные инеопасные вирусы.Большинствовирусов не выполняет каких-либо действий, кроме своего распространения(заражения других программ, дисков и т.д.) и, иногда, выдачи каких-либосообщений или иных эффектов, придуманных автором вируса: игры, музыки,перезагрузки компьютера, выдачи на экран разных рисунков, блокировки илиизменения функций клавиш клавиатуры, замедления работы компьютера и т.д. Однакосознательной порчи информации эти вирусы не осуществляют. Такие вирусы условноназываются неопасными. Впрочем, и этивирусы способны причинить большие неприятности (например, перезагрузки каждыенесколько минут вообще не дадут вам работать).
Однакооколо трети всех видов портят данные на дисках – или сознательно, или из-за содержащихсяв вирусах ошибок, скажем, из-за не вполне корректного выполнения некоторыхдействий. Если порча данных происходит лишь эпизодически и не приводит ктяжелым последствиям, то вирусы называются опасными.Если же порча данных происходит часто или вирусы причиняют значительныеразрушения (форматирование жесткого диска, систематическое изменение данных надиске и т.д.), то вирусы называются оченьопасными.
Заражаемыеобъекты.Компьютерные вирусыотличаются друг от друга по тому, в какие объекты они внедряются, то есть чтоони заражают. Некоторые вирусы могут заражать сразу несколько видов объектов.
Большинство вирусовраспространяются, заражая исполнимыефайлы, т.е. файлы с расширением имени.COM и .EXE, а также различные вспомогательные файлы, загружаемые привыполнении других программ. Такие вирусы называются файловыми. Вирус в зараженных исполнимых файлах начинает своюработу при запуске той программы, в которой он находится.
Еще один распространенныйвид вирусов внедряется в начальный сектор дискет или логических дисков, гденаходится загрузчик операционной системы, или в начальный сектор жесткихдисков, где находится таблица разбиения жесткого диска и небольшая программа,осуществляющая загрузку с одного из разделов, указанных в этой таблице. Такие вирусыназываются загрузочными, или бутовыми (от слова boot – загрузчик).Эти вирусы начинают свою работу при загрузке компьютера с зараженного диска.Загрузочные вирусы являются резидентными и заражают вставляемые в компьютердискеты. Встречаются загрузочные вирусы, заражающие также и файлы – файлово-загрузочные вирусы.
Некоторые вирусы умеютзаражать драйверы, то есть файлы,указываемые в предложении DEVICE или DEVICEHIGHфайла CONFIG.SYS. Вирус, находящийся в драйвере, начинает свою работу призагрузке данного драйвера из файла CONFIG.SYS при начальной загрузкекомпьютера. Обычно заражающие драйверы вирусы заражают также исполнимые файлыили сектора дискет, поскольку иначе им не удавалось бы распространяться – ведьдрайверы очень редко переписывают с одного компьютера на другой.
Оченьредко встречаются вирусы, заражающие системныефайлы DOS (IO.SYS или MSDOS.SYS). Эти вирусы активизируются при загрузкекомпьютера. Обычно такие вирусы заражают также загрузочные сектора дискет,поскольку иначе им не удавалось бы распространяться.
Очень редкой разновидностью вирусов являются вирусы, заражающие командные файлы. Обычно эти вирусыформируют с помощью команд командного файла исполнимый файл на диске, запускаютэтот файл, он выполняет размножение вируса, после чего данный файл стирается.Вирус в зараженных командых файлах начинает свою работу при выполнениикомандного файла, в котором он находится. Иногда вызов зараженного командногофайла вставляется в файл AUTOEXE.BAT.
Долгое время заражение вирусами файлов документов считалось невозможным,так как документы не содержали исполнимых программ. Однако программисты фирмыMicrosoft встроилиа документы Word для Windows мощный язык макрокомандWordBasic. Наэтом WordBasic стало возможно писать вирусы. Запуск вируса происходитпри открытии на редактирование зараженных документов. При этом макрокомандывируса записываются в глобальный шаблон NORMAL.DOT, так что при новых сеансахработы с Word дляWindowsвирус будет автоматическиактивирован.
Возможно заражение и другихобъектов, содержащих программы в какой-либо форме – текстов программ,электронных таблиц и т.д. Например, вирусAsmVirus.238заражает файлы программ на языке ассемблера(.ASM-файлы),вставляя туда ассемблерные команды, которые при трансляции порождают код вируса.Однако число пользователей, программирующих на языке ассемблера, невелико,поэтому широкое распространение такого вируса невозможно.
Электронные таблицы содержатмакрокоманды, в том числе и макрокоманды, автоматически выполняющиеся приоткрытии таблицы. Поэтому для них могут быть созданы вирусы, аналогичныевирусам для документов Word дляWindows. Пока что такие вирусы были созданы для таблиц табличного процессораExcel.
Вирус является программой,поэтому объекты, не содержащие программ и не подлежащие преобразованию впрограммы, заражены вирусом быть не могут. Не содержащие программ объекты вирусможет только испортить, но не заразить. К числу таких объектов относятсятекстовые файлы(кроме командных файлов и текстов программ),документы простых редакторов документов типа ЛЕКСИКОНа или Multi-Edit, информационные файлы базданных и т.д.
Особыевиды вирусов.Некоторые виды вирусовтребуют особого отношения, поскольку стандартные методы лечения для них могутпривести к потере информации(вирусы семейства DIR) или не излечивают от вируса (для вирусовсемейства ЗАРАЗА).
Вирусы семейства DIR.
В 1991 г. появились вирусынового типа – вирусы, меняющие файловую систему на диске. Эти вирусы обычноназываются DIR. Такие вирусы прячут своё тело в некоторый участокдиска (обычно – в последний кластер диска) и помечают его в таблице размещенияфайлов (FAT)как конец файла или как дефектный участок. Длявсех .COM-и .EXE-файлов указатели на первыйучасток файла, содержащиеся в соответствующих элементах каталога, заменяютсяссылкой на участок диска, содержащий вирус, а правильный указатель взакодированном виде прячется в неиспользуемой части элемента каталога. Поэтомупри запуске любой программы в память загружается вирус, после чего он остаетсяв памяти резидентно, подключается к программам DOSдля обработки файлов надиске и при всех обращениях к элементам каталога выдает правильные ссылки.
Таким образом, при работающем вирусе файловаясистема на диске кажется совершенно нормальной. При поверхностном просмотрезараженного диска на «чистом» компьютере также ничего странного не наблюдается.Разве лишь при попытке прочесть или скопировать с зараженной дискетыпрограммные файлы из них будут прочтены или скопированы только 512 или 1024байта, даже если файл гораздо длиннее. А при запуске любой исполнимой программыс зараженного таким вирусом диска этот диск начинает казаться исправным(неудивительно, ведь компьютер при этом становится зараженным).
Особая опасность вирусовсемейства DIRсостоит в том, что повреждения файловой структуры,сделанные этими вирусами, не следует исправлять программами типаScanDisk илиNDD– при этом диск окажется безнадежно испорченным. Для исправления надоприменять только антивирусные программы.
Вирусы семейства ЗАРАЗА.
Еще один необычный тип вирусов– это вирусы, заражающие системный файл IO.SYS.Семейство этих вирусовобычно называется ЗАРАЗА, потому что первый такой вирус выводил сообщение «В BOOT СЕКТОРЕ– ЗАРАЗА!».
Данные вирусы являютсяфайлово-загрузочными и используют рассогласование между механизмом начальнойзагрузки DOSи обычным механизмом работы с файлами. Приначальной загрузкеMS DOSпроверяется, что имена двух первых элементов вкорневом каталоге загрузочного диска – IO.SYSи MSDOS.SYS, но атрибуты этих элементовне проверяются. Если имена совпадают, то программа начальной загрузки считываетв память первый кластер элемента с именем IO.SYSи передает ему управление.Пользуясь этим несовершенством программы начальной загрузки, вирус ЗАРАЗА призаражении жестких дисков делает следующее:
§<span Times New Roman"">
копирует содержимое файла IO.SYSвконец логического диска;§<span Times New Roman"">
сдвигает элементы корневогокаталога, начиная с третьего, на один элемент к концу каталога;§<span Times New Roman"">
копирует первый элементкорневого каталога (соответствующий файлу IO.SYS) в освободившийся третий элементкорневого каталога и устанавливает в нем номер начального кластера, указывающийна место, куда было скопировано содержимое файлаIO.SYS;§<span Times New Roman"">
записывает свое тело вместо, где находится файлIO.SYS (как правило, в началообласти данных логического диска);§<span Times New Roman"">
у первого элемента корневогокаталога диска устанавливает признак «метка тома».В корневом каталоге появляются два элемента с именемIO.SYS,один из которых помечен атрибутом «метка тома». Но при начальной загрузке этоне вызывает сбоев – программа начальной загрузки, проверив, что первые дваэлемента каталога имеют имена IO.SYS и MSDOS.SYS, загрузит кластер, указанный впервом элементе оглавления (на обычном диске – это начало файла IO.SYS, а на зараженном – кодвируса), и передаст ему управление. Вирус загрузит себя в оперативную память,после чего загрузит начало исходногофайла IO.SYSи передаст ему управление.Далее начальная загрузка идет, как обычно.
Опасность вирусов семейства ЗАРАЗА состоит в следующем: даже еслизагрузить компьютер с “чистой” системной дискеты и ввести команду SYS C:, вирус не будет удален сдиска. Команда SYS, как и остальные программы DOS, проигнорирует указывающийна вирус первый элемент корневого каталога, посчитав его описанием метки.Перезаписан будет лишь «файл-дублер»IO.SYS, описанный в третьемэлементе корневого каталога. Причем если программа SYS запишет файл IO.SYSв новое место на диске, тосистема перестанет загружаться с жесткого диска, т.к. вирус в своем теле хранитадрес начального сектора исходного файлаIO.SYS.Поэтомуобеззараживать диски, инфицированные вирусами семейства ЗАРАЗА, командой SYSнеследует, это надо делать антивирусными программами.
Методымаскировки вирусов.Чтобы предотвратить своеобнаружение, многие вирусы применяют довольно хитрые приемы маскировки.
Многие резидентные вирусыпредотвращают свое обнаружение тем, что перехватывают обращения операционнойсистемы к зараженным файлам и областям диска и выдают их в исходном(незараженном) виде. Такие вирусы называются невидимыми, или stealthвирусами. Разумеется, эффект«невидимости» наблюдается только на зараженном компьютере – на «чистом»компьютере изменения в файлах и загрузочных областях диска можно легкообнаружить. Некоторые антивирусные программы могут обнаруживать «невидимые»вирусы даже на зараженном компьютере. Для этого они выполняют чтение диска, непользуясь услугами DOS. Примером таких программ могут послужить Adinfфирмы «Диалог-Наука», Norton AntiVirusи др.
Вирусы часто содержат внутри себя различныесообщения, что позволяет заподозрить неладное при просмотре содержащих вирусфайлов или областей дисков. Чтобы затруднить свое обнаружение, некоторые вирусышифруют свое содержимое, так что при просмотре зараженных ими объектов никакихподозрительных текстовых строк пользователь не увидит.
Еще один способ, применяемыйвирусами для того, чтобы укрыться от обнаружения - модификация своего тела. Это затрудняетнахождение таких вирусов программами-детекторами – в теле таких вирусов неимеется ни одной постоянной цепочки байтов, по которой можно было быидентифицировать вирус. Такие вирусы называются полиморфными, или самомодифицирующимися.Имеются программы-детекторы, способные обнаруживать полиморфные вирусы,например, Dr.Webфирмы «Диалог-Наука».
Какуберечься от вируса.При активизации зараженного вирусом файлауправление сразу передается на вирус, который выполняет свои разрушительныедействия, а также параллельно приписывается к другим программам и файлам. Затемтехнологически происходит возврат к тем действиям, которые выполнялись накомпьютере. При высоком быстродействии компьютера подобное «отвлечение» отрегламентированного хода работ для пользователя остается абсолютнонезамеченным. Нанесенный ущерб может обнаружиться не сразу. Внешние проявленияприсутствия вируса в компьютере могут быть самыми различными, например:
·<span Times New Roman"">
мерцание экрана;·<span Times New Roman"">
появление на экране непредусмотренного сообщения;·<span Times New Roman"">
непредусмотренное требование снять защиту записи с дискеты;·<span Times New Roman"">
изменение даты и времени создания зараженных файлов;·<span Times New Roman"">
зависание компьютера и невозможность преодолеть эту проблему;·<span Times New Roman"">
опадание букв на экране (иногда с музыкальным сопровождением);·<span Times New Roman"">
исчезновение некоторых программных файлов по пятницам, приходящихся на13-е число месяца;·<span Times New Roman"">
необычное аварийное завершение работы;·<span Times New Roman"">
уничтожение информационных файлов или их частичное разрушение;·<span Times New Roman"">
замедление работы компьютера;·<span Times New Roman"">
блокирование ввода с клавиатуры;·<span Times New Roman"">
звучание музыки;·<span Times New Roman"">
поворот символов на экране;·<span Times New Roman"">
блокировка записи на жесткий диск;·<span Times New Roman"">
другие виды необычного «поведения» компьютера.Особенно опасным дляпользователя является такое действие вируса, как форматирование жесткого диска,что сопряжено с быстрой потерей всей хранящейся там информации. Поскольку отпроникновения вируса не застрахован ни один пользователь, то можно, по крайнеймере, сократить до минимума возможные последствия от присутствия в компьютеревируса. Для этого необходимо соблюдать несколько простых правил:
1)<span Times New Roman"">
Каждую свою дискету, еслиона «побывала» на другом компьютере, следует обязательно проверить любойдоступной антивирусной программой. Программы такого рода могут не толькообнаружить вирус, но и «вылечить» дискету. Особенно это касается игровыхпрограмм, т.к. большинство вирусов распространяется именно через них.2)<span Times New Roman"">
Аналогичные проверкинеобходимо устраивать для файлов, полученных через сеть.3)<span Times New Roman"">
Антивирусная программа оченьбыстро морально стареет. Поэтому рекомендуется ее периодически обновлять новойверсией. Период обновления программ такого рода составляет от одной недели доодного квартала.4)<span Times New Roman"">
Не снимать защиту записи сдискеты в ходе повседневных работ, если это не предусмотрено технологиейрешения задач.5)<span Times New Roman"">
При обнаружении вируса непредпринимать необдуманных действий, т.к. это может привести к потере тойинформации, которую еще можно было бы спасти. Самое правильное в такой ситуации– это выключить компьютер, чтобы блокировать деятельность вируса. Затемзагрузить компьютер с эталонной дискеты операционной системой. После этогозапустить антивирусную программу, в функциях которой предусмотрено не толькообнаружение инфицированных файлов, но и их лечение. Далее выполнитьантивирусную программу повторно. Если все операции по удалению вируса былисделаны правильно, то результатом ее работы должно быть информированиепользователя о полном отсутствии вирусов. Но следует помнить, что программа недолжна быть морально устаревшей.В последнее время при работе в сетях, особенно припользовании электронной почтой, участилось проникновение вирусов в компьютерпользователя посредством чтения почтовых сообщений. Поэтому здесь также следуетсоблюдать несколько простых правил:
1)<span Times New Roman"">
2)<span Times New Roman"">
Microsoft и прочих. Компании никогда не занимаются рассылкойфайлов.3)<span Times New Roman"">
4)<span Times New Roman"">
5)<span Times New Roman"">
Антивирусные программы.<span Times",«serif»; mso-bidi-font-family:«Times New Roman»">
Классификация антивирусных программ<span Times",«serif»;mso-bidi-font-family:«Times New Roman»">.
<span Times",«serif»;mso-bidi-font-family:«Times New Roman»">Данныепрограммы можно классифицировать по пяти основным группам: фильтры, детекторы,ревизоры, доктора и вакцинаторы.
<span Times",«serif»; mso-bidi-font-family:«Times New Roman»">Антивирусы-фильтры
<span Times",«serif»;mso-bidi-font-family:«Times New Roman»"> — это резидентные программы, которые оповещают пользователя обо всех попыткахкакой-либо программы записаться на диск, а уж тем более отформатировать его, атакже о других подозрительных действиях (например о попытках изменить установкиCMOS). При этом выводится запрос о разрешении или запрещении данного действия.Принцип работы этих программ основан на перехвате соответствующих векторовпрерываний. К преимуществу программ этого класса по сравнению спрограммами-детекторами можно отнести универсальность по отношению как кизвестным, так и неизвестным вирусам, тогда как детекторы пишутся подконкретные, известные на данный момент программисту виды. Это особенноактуально сейчас, когда появилось множество вирусов-мутантов, не имеющихпостоянного кода. Однако, программы-фильтры не могут отслеживать вирусы,обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещёдо запуска антивируса, в начальной стадии загрузки DOS, К недостаткам такжеможно отнести частую выдачу запросов на осуществление какой-либо операции:ответы на вопросы отнимают у пользователя много времени и действуют ему нанервы. При установке некоторых антивирусов-фильтров могут возникать конфликты сдругими резидентными программами, использующими те же прерывания, которыепросто перестают работать.<span Times",«serif»;mso-bidi-font-family:«Times New Roman»">Наибольшеераспространение в нашей стране получили программы-детекторы,а вернее программы, объединяющие в себе детектори доктор. Наиболее известные представители этого класса — Aidstest, DoctorWeb, MicroSoft AntiVirus далее будут рассмотрены подробнее.Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнениипоследовательности кодов содержащихся в теле вируса с кодами проверяемыхпрограмм. Многие программы-детекторы позволяют также «лечить» зараженные файлыили диски, удаляя из них вирусы (разумеется, лечение поддерживается только длявирусов, известных программе-детектору). Такие программы нужно регулярнообновлять, так как они быстро устаревают и не могут обнаруживать новые видывирусов.
<span Times",«serif»; mso-bidi-font-family:«Times New Roman»">Ревизоры
<span Times",«serif»;mso-bidi-font-family:«Times New Roman»"> –это программы, которые анализируют текущее состояние файлов и системныхобластей диска и сравнивают его с информацией, сохранённой ранее в одном изфайлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицыFAT, а также длина файлов, их время создания, атрибуты, контрольная сумма.Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваныизменения: вирусом или нет. При выдаче такого рода сообщений не следуетпредаваться панике, так как причиной изменений, например, длины программы можетбыть вовсе и не вирус.<span Times",«serif»;mso-bidi-font-family:«Times New Roman»">Кпоследней группе относятся самые неэффективные антивирусы — вакцинаторы. Они записывают ввакцинируемую программу признаки конкретного вируса так, что вирус считает ееуже зараженной.
<span Times",«serif»;mso-bidi-font-family:«Times New Roman»">AIDSTEST<span Times",«serif»; mso-bidi-font-family:«Times New Roman»"><span Times",«serif»;mso-bidi-font-family:«Times New Roman»">Внашей стране, как уже было сказано выше, особую популярность приобрелиантивирусные программы, совмещающие в себе функции детекторов и докторов. Самойизвестной из них является программа AIDSTEST Д.Н. Лозинского. Эта программабыла изобретена ее в 1988 г. и с тех пор она постоянно совершенствуется ипополняется. В России практически на каждом IBM-совместимом персональномкомпьютере есть одна из версий этой программы. Одна из последних версийобнаруживает более 1500 вирусов.
<span Times",«serif»;mso-bidi-font-family:«Times New Roman»">ПрограммаAidstest предназначена для исправления программ, зараженных обычными(неполиморфными) вирусами, не меняющими свой код. Это ограничение вызвано тем,что поиск вирусов этой программой ведется по опознавательным кодам. Зато приэтом достигается очень высокая скорость проверки файлов.
<span Times",«serif»;mso-bidi-font-family:«Times New Roman»">Aidstestдля своего нормальн