Государственный комитет России
по высшему образованию.
Рязанская Государственная
Радиотехническая Академия
Кафедра ЭВМ.
«Защита от компьютерных вирусов. Работа с антивирусной программой DrWeb»
Выполнил
студент гр.343
Кондрахин А.В.
Проверил
Доц. Иопа Н.И.
Ст. пр. Гринченко Н.Н.
Рязань, 2007 г.
Цель работы
1. Изучение компьютерных вирусов и методов борьбы с ними
2. Работа с антивирусной программой Dr.Web
1.
Теоретическая часть
Если Вы имеете опыт продолжительной работы с ПК, то, возможно, уже сталкивались с компьютерными вирусами или хотя бы слышали о них. Компьютерный вирус-это программа, производящая в Вашем ПК действия, в которых Вы не нуждаетесь и о которых не подозреваете. Главной ее особенностью является способность к «размножению», т. е. к созданию множества готовых к дальнейшей работе экземпляров вируса. Вирусы «цепляются» к обычным исполняемым файлам типа .ЕХЕ, .СОМ или к загрузочным секторам физических носителей информации (дискет) и таким образом перемещаются от одного ПК к другому.
Являвшиеся первоначально вполне невинным развлечением скучающих программистов компьютерные вирусы сегодня стали настоящим бедствием для пользователей ПК: количество и типы таких программ растут с ужасающей скоростью, а сами вирусы в ряде случаев приобрели весьма неприятные свойства-некоторые из них способны уничтожать файловую структуру дисков со всеми катастрофическими для пользователя последствиями. В литературе [14] описывается беспрецедентный случай, когда вирус на Три дня (с 2 по 4 ноября 1988 г.) вывел из строя фактически всю компьютерную сеть США. Были парализованы компьютеры Агентства национальной безопасности, Стратегического командования ВВС США, локальные сети всех крупных университетов и исследовательских центров. Лишь в последний момент удалось спасти систему управления полетом космических кораблей Шаттл.
Положение было настолько серьезным, что к расследованию немедленно приступило ФБР. Виновником катастрофы, причинившей ущерб более чем в 100 миллионов долларов, оказался студент выпускного курса Корнеллского университета Р. Моррис, придумавший достаточно хитрую разновидность вируса. Он был исключен из университета с правом восстановления через год и приговорен судом к уплате штрафа в 270 тысяч долларов и трем месяцам тюремного заключения. Трудно объяснить, для чего программисты тратят силы и время на создание все более изощренных типов вируса, поскольку их авторы почти всегда остаются или надеются остаться анонимными, так что естественное для человека стремление к известности здесь исключено.
Может быть это неудачная шутка (этой версии придерживался Р. Моррис), возможно это связано с патологическими отклонениями в психике, а может быть объяснение кроется в стремлении заработать на создании антивирусных программ? Как бы там ни было, нам нельзя не считаться с возможностью заражения ПК компьютерным вирусом.
Общие сведения о вирусах.
А)Понятие о вирусах и признаках заражения компьютера
Компьютерный вирус -
это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам, т.е. "заражать" их, а также изменять или удалять файлы, проигрывать мелодии, выводить на экран различные видеоэффекты. При запуске такой программы управление получает вирус, который сначала выполняет заложенные в него действия, а затемзапускает саму программ).
Факты свидетельствующие о заражении компьютера вирусом :
- воспроизведение компьютером различных звуковых и видеоэффектов;
- свечение индикатора дисковода, когда к нему нет обращения;
- увеличение размеров исполняемых файлов (exe, com, sys, dll, ovlи и т.д.)
- наличие файлов с некорректным временем создания (например, 10ч 25м 62с);
- неуместное появление системных сообщений;
- появление на диске зарегистрированных дефектных кластеров;
- постоянное увеличение количества файлов на диске;
- неожиданное зависание компьютера с невозможностью перегрузки;
-разрушение файловой структуры.
Б) Классификация вирусов. Характеристика классов.
Вирусы можно разделить на классы по трем признакам:
1) среде обитания и способу распространения:
-сетевые
распространяются по компьютерным сетям, файлы и диски не заражают;
-файловые
внедряются в выполняемые файлы;
-загрузочные
внедряются в область диска, используемую при загрузке операционной системы;
-файлово-загрузочные
комбинация предыдущих двух видов;
-вирусы-компаньоны
непосредственно файлы не заражают, но для файлов с расширением "ехе" создают одноименные файлы с расширением "com", содержащие тело вируса; таким образом, если при запуске программы не указать расширение "ехе", то MS-DOS запустит com-файл с вирусом;
- макро-вирусы
наиболее многочисленная разновидность вирусов: внедряются в документы MS-Word, MS-ExceLMS-PowerPoint благодаря наличию в этих программах встроенных языков VisualBasic и WordBasic.
2) способу заражения:
- резидентные
постоянно находятся в оперативной памяти и заражают запускаемые в это время программы;
- нерезидентные
активны только в момент запуска зараженной программы.
3) деструктивным возможностям:
-безвредные
приводят лишь к уменьшению свободной памяти на диске;
-неопасные
ограничиваются графическими, звуковыми и прочими эффектами;
-опасные -
могут привести к серьезным сбоям в работе компьютера;
-очень опасные -
могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию.
В) Профилактические меры:
Для предотвращения заражения вирусами используют такие профилактические меры, как:
- создание архивных копий всех важных материалов;
- проверка любых новых программ и дискет при помощи антивирусов;
-ограничение доступа по записи к внешним носителям;
- использование лицензионных программ.
Антивирусные программы делят на:
программы-детекторы
-
проверяют файлы на наличие в них уникальной последовательности байт (сигнатуры),
принадлежащей одному из известных ранее вирусов, а также проводят так называемый эвристический анализ,
т.е. поиск в теле программы действий, характерных для вирусов;
программы-доктора
—
лечат зараженные файлы, вырезая из них тело вируса.
Часто антивирусные программы объединяют в себе функции детектора и доктора;
программы-ревизоры
-
позволяют запомнить сведения о всех файлах, а затем сравнивать их состояние с исходным и выдавать пользователю сообщения о произошедших изменениях и появлении новых файлов;
программы-фильтры (мониторы)
—
работают непрерывно с момента включения компьютера, отслеживают нестандартные действия программ и сообщают об этом пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции;
программы-блокировщики
—
небольшие резидентные программы, предназначенные для предотвращения распространения одного конкретного вируса.
На сегодня самыми распространенными антивирусными программами являются NortonAntiVirus, AVP и DrWeb, которые выполняют функции детектора и доктора. Они могут находить и уничтожать десятки тысяч различных вирусов. лечение зараженный файл компьютер антивирус
2.
Описание программы
Dr
.
Web
Отечественная программа DrWeb (автор И. Данилов, ЗАО «ДИАЛОГ-НАУКА») обрела широкую известность в силу таких достоинств, как:
- постоянная обновляемость, т.е. наличие новых версий, способных находить и уничтожать только что появившиеся вирусы;
- наличие эффективного эвристического анализатора, который позволяет выявлять вирусы, еще не известные авторам программы;
-возможность работы с программой как в режиме командной строки, так ивдиалоговом режиме. При работе в диалоговом режиме появляется возможность получения оперативной помощи, что значительно упрощает работу.
А)
Работа в диалоговом режиме.
Программа DrWeb при запуске выводит на экран следующие элементы:
- главное меню -
позволяет пользователю задать необходимые опции, выбрать команду на выполнение нужной операции: проверки памяти, проверки файлов, лечения файлов;
- окно тестирования содержит отчет о ходе проверки памяти и файлов на наличие вирусов.
Меню программы DrWeb позволяет выполнять различные операции, а каждый пункт меню (Dr. Web
, Тест, Настройки)
дает пользователю доступ к ряду команд, сгруппированных по функциональному назначению.
| Команда |
Выполняемая операция |
| Dr.Web |
Временный
выход
|
временный выход в
DOS
|
| О программе |
вывод информации об авторских правах, версии программы
|
| Выход (Alt+X) |
выход из программы
|
| Тест |
Тест памяти |
проверка памяти компьютера наличие вирусов
|
| Тестирование (F5) |
проверка файлов на наличие вирусов
|
| Лечение (Ctrl+F5) |
проверка файлов на наличие вирусов и лечение
|
| Статистика |
вывод информации о количестве проверенных файлов, числе найденных вирусов, количестве подозрений на наличие вирусов
| |
| Файл отчета |
просмотр отчета после выполнения проверка
|
| Настройки |
Интерфейс |
настройка параметров интерфейса: язык (русский или английский), цветовое оформление и др.
|
| Параметры (F9) |
настройка различных возможностей программы
DrWeb
для проверки памяти и файлов на
наличие вирусов
|
| Файлы |
выбор файлов, подлежащих проверке на вирусы (все файлы, только программы, файлы, выбранные пользователем)
|
При выборе в главном меню команды "Параметры"DrWeb выводит диалоговое окно, в котором сосредоточены наиболее важные для работы программы элементы настройки. Каждому элементу настройки соответствует переключатель, представляющий собой две квадратные скобки:
[ ] - выключен,
[х]- включен.
Все главные элементы настройки по функциональному назначению разделены на три основные группы:
- общие установки;
-инфицированные файлы;
-файлы.
2. Практическая часть
Проверка дискеты на наличие вирусов (работа с программой
DrWeb
)
1)
Регистрация.
-В главном меню выбрать пункт Информатика;
-Выбрать номер группы 343;
2)
Запуск программы
DrWeb
в диалоговом режиме;
-В командной строке набрать drweb.exe;
-<Enter>;
3)
Настройка программы
DrWeb
;
-В пункте "Настройки" главного меню выбрать команду "Параметры";
-В открывшемся диалоговом окне включить опции "Тест загрузочных секторов", "Эвристический анализ", "Лечить", "Запрос на лечение", "Проверка архивов" и "Проверка упакованных"
;
-<Enter>.
4)
Тестирование дискеты;
-В пункте "Тест" главного меню выбрать команду "Тестирование";
-В появившемся диалоговом окне указать имя диска, подлежащего проверке - "а:", установить опцию «Включая подкаталоги»
;
-Вставить дискету;
-<Enter>;
После нажатия <Enter> Dr.Web начинает проверку дискеты: сначала тестируется загрузочный сектор, а затем все файлы.
Поиск вирусов и инфицированных программ на диске А:
Boot Sector - Ok
A:\MODE.COM инфицирован Ambulance.796
A:\FORMAT.COM инфицирован Ambulance.796
A:\WATCOM\MAIN.CPP - Ok
A:\WATCOH\EFFECTS\GOURAUD.EXE - Ok
A:\WATCOM\EFFECTS\FRACTAL.EXE - Ok
Отчет для диска А: Проверено : файлов и загрузочных секторов - 6
Обнаружено: вирусов и инфицированных программ - 2
Время сканирования: 00:00:20
6)
Лечение зараженных файлов
-В пункте Тест главного меню выбрать команду "Лечение"
-В открывшемся окне ввести через пробел
полные пути к зараженным файлам "а:\mode.coma:\format. com";
-<Enter>.
Для подтверждения необходимости лечения конкретного файла нажимать кнопку "Да" каждый раз, когда DrWeb выводит диалоговое окно с вопросом о необходимости лечения.
Поиск вирусов в a:\mode.com:
Boot Sector - Ok
a:\MODE.COM инфицирован Ambulance.796 - исцелен!
a:\MODE.COM - Ok
Отчет для диска А:
Проверено : файлов и загрузочных секторов - 2
Обнаружено: вирусов и инфицированных программ - 1
Исцелено : файлов и загрузочных секторов - 1
Время сканирования: 00:00:10
Поиск вирусов в a:\format.com:
BootSector - Ok
a:\FORMAT.COM инфицирован Ambulance.796 - исцелен! a:\FORMAT.COM - Ok Отчет для диска А:
Проверено: файлов и загрузочных секторов - 2
Обнаружено: вирусов и инфицированных программ - 1
Исцелено: файлов и загрузочных секторов - 1
Время сканирования: 00:00:05
|