Компьютерлік вирусология
Кіріспе.
1. Компьютерлік вирусология тарихы.
2. Жұққыш “Мелиса”.
3. Қасиеттері.
4. Вирустардың жіктелуі.
5. Файлдық вирустар.
6. Жүктелуші.файлдық вирустар.
7. Полиморфты вирустар.
8. Вирустарды анықтау.
9. Вирус жұққан кезде не істеу керек?
10. Компьютерді емдеу.
11. Дискіні емдеу.
12. Вирустардың компьютерге ену жолдары және сұрыпталу механизмі.
13. Вирустан сақталу жолдары.
14. Жүктелуші вирустардан қорғану.
15. Қолданылған әдебиеттер тізімі.
Қорытынды.
1. Компьютерлік вирусология тарихы.
2. Жұққыш “Мелиса”.
3. Қасиеттері.
4. Вирустардың жіктелуі.
5. Файлдық вирустар.
6. Жүктелуші.файлдық вирустар.
7. Полиморфты вирустар.
8. Вирустарды анықтау.
9. Вирус жұққан кезде не істеу керек?
10. Компьютерді емдеу.
11. Дискіні емдеу.
12. Вирустардың компьютерге ену жолдары және сұрыпталу механизмі.
13. Вирустан сақталу жолдары.
14. Жүктелуші вирустардан қорғану.
15. Қолданылған әдебиеттер тізімі.
Қорытынды.
Біз екі ғасырлардың тоғысында, жаңа ғылыми-техникалық революция заманында өмір сүріп отырмыз. ХХ ғасырдың аяғында адамзат заттар мен знергияның өзгеруінің заңдылықтарын ашып оларды өз өмірін жақсартуға қолдануда. Бірақ заттар мен знергиядан басқа тағы бір құраушы бар, ол–ақпарат. Біздің ғасырдың ортасында ақпаратты сақтауға және өңдеуге арналған құрылғылар- компьютерлер пайда болды. Бүгінгі күнде электр есептеуіш машиналарының өте кең қолдануына байланысты компьютердің жұмысына өз септігін тигізетін, файлдық құрылымдарды бұзатын, компьютерде сақталынған ақпаратты жарақаттандыратын вирус-программалары өз-өзін жетілдіруші вирус-программалары да пайда болып жатыр. Көптеген мемлекеттердегі компьютерлік қылмыстарға қарсы заңдар мен вирустардан қорғануға арналған арнайы программалық жабдықтарға қарамастан жаңа вирустық программалардың саны күннен-күнге өсіп бара жатыр. Осыған байланысты әрбір қолданушы компьютерлік вирустардың табиғатын, олардың жұғу әдістерін және олардан қорғану тәсілдерін білу керек. Міне осы мәселелерді мен өзімнің курстық жұмысымның негізі етіп алдым. Осылар туралы мен өз жұмысымда жазатын болам. Мен вирустардың негізгі түрлерін, олардың жұмыс ережелерін, пайда болу және компьютерге ену себептерін және олардан қорғану мен оларды алдын-ала анықтау шараларын көрсетемін. Жұмыстың мақсаты қолданушыны копмьютерлік вирусологияның негізімен және вирустарды анықтап, олармен күресу шараларымен таныстыру.
1. Информатика: Оқулық/ Н.В. Макарова, 1997.
2. Энциклопедия тайн и сенсаций / Ю.Н. Петрова. – Мн. Литература, 1996.
3. Комппьютерные вирусы / Безруков Н.Н. –М:Наука, 1999.
4. Современные технологии борьбы с вирусами / Мостовой Д.Ю. -:М:Наука, 2000.
5. «Интернет и Я - журналдары, ақпан-маусым 2001.
6. Фигурнов В.Э. ІBM PC для пользователя. Изд.5-е С.-Перетбург, АО
«Корунаң 1994.
7. Каталог «Весь компьютерный мирң декабрь 1995.
8. «Домашний компьютерң журналы, тамыз 2001г.
2. Энциклопедия тайн и сенсаций / Ю.Н. Петрова. – Мн. Литература, 1996.
3. Комппьютерные вирусы / Безруков Н.Н. –М:Наука, 1999.
4. Современные технологии борьбы с вирусами / Мостовой Д.Ю. -:М:Наука, 2000.
5. «Интернет и Я - журналдары, ақпан-маусым 2001.
6. Фигурнов В.Э. ІBM PC для пользователя. Изд.5-е С.-Перетбург, АО
«Корунаң 1994.
7. Каталог «Весь компьютерный мирң декабрь 1995.
8. «Домашний компьютерң журналы, тамыз 2001г.
Пән: Информатика, Программалау, Мәліметтер қоры
Жұмыс түрі: Курстық жұмыс
Тегін: Антиплагиат
Көлемі: 24 бет
Таңдаулыға:
Жұмыс түрі: Курстық жұмыс
Тегін: Антиплагиат
Көлемі: 24 бет
Таңдаулыға:
Жоспар.
Кіріспе.
1. Компьютерлік вирусология тарихы.
2. Жұққыш “Мелиса”.
3. Қасиеттері.
4. Вирустардың жіктелуі.
5. Файлдық вирустар.
6. Жүктелуші-файлдық вирустар.
7. Полиморфты вирустар.
8. Вирустарды анықтау.
9. Вирус жұққан кезде не істеу керек?
10. Компьютерді емдеу.
11. Дискіні емдеу.
12. Вирустардың компьютерге ену жолдары және сұрыпталу механизмі.
13. Вирустан сақталу жолдары.
14. Жүктелуші вирустардан қорғану.
15. Қолданылған әдебиеттер тізімі.
Қорытынды.
Кіріспе
Біз екі ғасырлардың тоғысында, жаңа ғылыми-техникалық революция
заманында өмір сүріп отырмыз. ХХ ғасырдың аяғында адамзат заттар мен
знергияның өзгеруінің заңдылықтарын ашып оларды өз өмірін жақсартуға
қолдануда. Бірақ заттар мен знергиядан басқа тағы бір құраушы бар,
ол–ақпарат. Біздің ғасырдың ортасында ақпаратты сақтауға және өңдеуге
арналған құрылғылар- компьютерлер пайда болды. Бүгінгі күнде электр
есептеуіш машиналарының өте кең қолдануына байланысты компьютердің жұмысына
өз септігін тигізетін, файлдық құрылымдарды бұзатын, компьютерде
сақталынған ақпаратты жарақаттандыратын вирус-программалары өз-өзін
жетілдіруші вирус-программалары да пайда болып жатыр. Көптеген
мемлекеттердегі компьютерлік қылмыстарға қарсы заңдар мен вирустардан
қорғануға арналған арнайы программалық жабдықтарға қарамастан жаңа вирустық
программалардың саны күннен-күнге өсіп бара жатыр. Осыған байланысты әрбір
қолданушы компьютерлік вирустардың табиғатын, олардың жұғу әдістерін және
олардан қорғану тәсілдерін білу керек. Міне осы мәселелерді мен өзімнің
курстық жұмысымның негізі етіп алдым. Осылар туралы мен өз жұмысымда
жазатын болам. Мен вирустардың негізгі түрлерін, олардың жұмыс ережелерін,
пайда болу және компьютерге ену себептерін және олардан қорғану мен оларды
алдын-ала анықтау шараларын көрсетемін. Жұмыстың мақсаты қолданушыны
копмьютерлік вирусологияның негізімен және вирустарды анықтап, олармен
күресу шараларымен таныстыру.
Компьютерлік вирусология тарихы.
Компьютерлік вирусология тарихы бізге үздіксіз “лидерлікке талас”
ретінде елестетіледі. Тіпті қазіргі замандағы антивирус программаларына
қарамастан вирустар лидер болып табылады. Мыңдаған вирустардың арасынан тек
бірнеше ондығы ғана негізінде жаңа көзқараспен құрастырылған соны жобалар,
ал қалғандары бір вирустың өзгертілген түрлері. Әрбір соны жобалардың пайда
болуына байланысты антивирус құрастырушылары жаңа жағдайларға бейімделіп
отырады, вирустық технологиядан қалыспауға тырысады. Бірақ олардың
ыждағаттары жеткіліксіз. Мысалы 1989 жылы американдық студент АҚШ-тың
Қорғаныс Министрлігінің 6000 компьютерін істен шығарған вирустық
программаны жазған болатын. Ал 1991 жылы болған DІR-ІІ вирусының эпидемиясы
ше? Вирус шын мәнінде соны, негізінде жаңа технологияны қолданды және
алғашқы кезеңде жетілмеген антивирустық жабдықтарға байланысты өте тез
жайылып кетті.
Ұлыбританиядағы компьютерлік вирустардың “жарылысын” еске алайық:
Кристофер Пайн Pathogen, Queen және Smeg вирустық программаларын жазды. Ең
соңғысы өте қауіпті болды. Ол қалған екі вируспен бірігіп программаның әр
айналымы сайын өзінің пішінін өзгертіп отырған. Сондықтан оларды жою
мүмкіндігі қиындай түсті. Вирустарды тарату үшін Пайн компьютерлік ойындар
мен программаларды жұқтырып оларды қайта желіге жіберді. Қолданушылар
жұқтырылған программаларды өз компьютерлеріне жүктеп дисктарды
жарақаттандырған. Мәселенің үдейе түсуінің себебі Пайн жасаған вирустар
олармен күресетін программаларды да жарақаттандыратын. Оларды қосқан сәтте
қолданушылар вирустан құтылудың орнына тағы бір вирус алатын болды. Осының
салдарынан көптеген фирмалардың файлдары жойылды да олар миллиондаған фунт
стерлингке зардап шекті.
Үлкен атаққа американдық программист Моррис ие болды. Ол бізге 1988
жылдың қараша айында Іnternet-ке қосылған 7 мың дербес компьютерді іске
шығарған вируспен әйгілі болды.
Компьютерлік вирустардың пайда болуының бір себебі жеке тұлғаның
психологиясында және “арғы жағындағы” қараңғы ойларында (қызғаныш, кек,
танылмаған дарындардың мансапқорлығы, өзінің мүмкіншіліктерін толығымен
көрсете алмауы), ал екінші себебі дербес компьютер жағынан қорғаныс және
қарсылыққа арналған аппараттық жабдықтырдың жеткіліксіздігінде жатыр.
Жұққыш “Мелиса”.
Мысалы жақында айыпталған АҚШ-тың Флорида штатында тұратын Девид Смит
компьютерлік вирустың жаңа түрін шығарып революция жасады деуге болады. Ол
өзінің щығарған вирусын электронды почта программасына жазып, Интернеттегі
порно-сайттарының аса әйгілі екендігін біле отырып вирусты сол сайттарға
көшірді. Вирус өте тез арада жайылып үлгерді. Оның вирусы бар хаттарын
(достардан жіберілген хат ретінде) ең алдымен Alt.sex дискуссиялық
группасының қолданушылары алды, және де вирус олардың комутациялық
программаларындағы адрес кітапшасын қолданып өзінің 50 көшірмесін
қолданушышың достарының компьютерлеріне жіберді. Хаттың мәтінінде порно-
сайттардың тізімі жіне олардың кодтарының тізімі болды. Саналған сағаттар
ішінде тізбектік реакция бүкіл бес континенттің компьютерлік желілерін
жаулап алды. “Мелиса” аса қауіпті болған жоқ, ол тек редактор-
программалардың ішінде жасырынып оларды аздап қана өзгертетін. Смит
компьютерлерде “Мелисаға” қарағанда әлденеше рет қауіпті вирустардың
таралуының оңайлығын көрсетті.
1-сурет. Хаттар.
Вирусқа қарсы программалар жасайтын компаниялар жаңа вирусқа қарсы
программалардың қажет екендігін баяндады. Келешектегі программалар, олардың
айтуы бойынша, дербес компьютерде бұрыннан белгілі және жаңа
“инфекцияларға” қарсы иммунитет қалыптастырып, бұрыннан танымал емес
вирустарды компьютер дискілерінің жадысына жете қоймаған жағдайда анықтап,
олардың көзін құртады.
Қасиеттері.
Компьютерлік вирус – көлемі жағынан кіші-гірім, өзін басқа да
программаларға “тіркей” алатын және де компьютерде әртүрлі орынсыз
әрекеттер жасай алатын арнайы жазылған программа. Ішінде вирусы бар
программа “жұқтырылған” деп аталады. Осындай программалар іске қосылғанда
алдымен басқаруды вирус өз қолына алады. Вирус басқа да программаларды
тауып оларды жұқтырады, сонымен қатар әртүрлі зиянды әректтер жасайды
(мысалы, файлдарды және файлдардың дискідегі орналасу таблицасын құртады,
жедел жадыны бүлдіреді, экранға 25-м түсті гаммалы кадрды шығарады).
Вирустың өзін-өзі жаңадан өндіргіштік қасиеті бар. Бұл қасиет барлық
вирустарға тән. Кез-келген операциялық жүйе және де басқа көптеген
программалар өзінің көшірмесін ала алады. Вирустың көшірмелерінің
алғашқысымен сәйкес келуі шарт емес, ол одан мүлдем өзгеше болуы мүмкін.
Вирус оқшау өмір сүре алмайды. Бұдан көретініміз басқа программалардың
кодтарын, файлдық құрылым туралы ақпараттарын немесе жай басқа
программалардың атын қолданбайтын вирус болуы мүмкін емес. Бұның себебі
вирус кез-келген жолмен басқаруды өз қолына алу керек.
Компьютерлік вирус дискідегі кез-келген файлды жарақаттандыра (белгілі
түрде өзгерте) алады. Бірақ кейбір файлдардың түрлерін вирус жұқтырады.
Нақтырақ айтсақ вирус бұл файлдарға “еніп алып” олардың ішінде отырады да,
кез-келген уақытта өз жұмысын бастай алады.
Байқайтынымыз вирус программалар мен құжаттардың мәтіндері,
мәліметтері жоқ ақпараттық файлдар, кестелік процессорлардың кестелері және
басқа осыларға ұқсас файлдарға вирус жұқпайды. Ол тек оларды жарақаттандыра
алады.
Вируспен келесі типті файлдар жұқтырыла алады:
1. Орындалатын файлдар, немесе кеңейтілулері .COM және .EXE файлдар, және
де басқа программалардың орындалуы кезінде жүктелетін оверлейлік файлдар.
Орындалатын файлдардың ішіндегі вирус тек осы программа жұмысын
бастағанда ғана бастайды. Аса қауіпті вирустар өз жұмысын бастағаннан
кейін жадыда қалып қоятын вирустар. Олар файлдарды компьютердің келесі
жүктелуіне дейін жарқаттандыра, жүқтыра алады. Ал егер олар AUTOEXEC.BAT
немесе CONFІG.SYS файлдарындағы кез-келген программаны жұқтырса, онда
компьютердің қайта жүктелуі кезінде де вирус әрекет етеді.
2. Операциялық жүйенің жүктеуіші және қатты дискінің бас жүктегіш жазбасы.
Бұл аумақтарды жүктеуші вирустар жұқтырады. Бұндай вирустар компьютердің
жүктелуі кезінде өз жұмысын бастайды да, компьютердің жадысында әрдайым
(резиднтті түрде) болады. Сұрыпталу механизмі – компьютерге салынатын
дискеттердің жүктелу жазбаларын жұқтырады. Мұндай вирустар көбінесе екі
бөліктен тұрады. Жүктелу жазбасы мен бас жүктелу жазбасының көлемі
кішірек болғандықтан оларға вирустың барлық бөлігін орналастыру қиын.
Вирустың сыймай қалған бөлігі дискінің басқа аумағында, мысалы дискінің
түпкі каталогының соңында немесе дискінің мәліметтер аумағының
кластерінде (әдетте мұндай кластер дефектті болып табылады, дискіге
мәліметтер жазылғанда вирус программасының өшіріліп қалмауы үшін) жазылуы
мүмкін.
3. Жабдықтар драйверлері, CONFІG.SYS файлының Devіce қамтамасына сілтейтін
файлдар. Олардың ішіндегі вирус жабдықтарға сұраныс жасағанда өз жұмысын
бастайды. Жабдықтар драйверлерін жарақаттандыратын вирустар кең
таралмаған. Өйткені драйверлерді бір компьютерден екінші компьютерге
сирек көшіреді. DOS-тың жүйелік файлдарының жұқтырылуы да сирек. Өйткені
олардың жұқтырылуы теория жағынан мүмкін, бірақ таралуының эффектісі аз
болар.
Вирустардың жіктелуі.
Қазіргі кезде вирустың 5000-нан астам түрі белгілі. Оларды
келесі қасиеттеріне байланысты жіктеуге болады:
❖ мекендеу ортасына
❖ ортаны жұқтырудың түріне
❖ әсер етуіне
❖ алгоритм ерекшеліктеріне
Мекендеу ортасына қарай вирустарды желілік, файлдық, жүктелуші және
файлдық-жүктелуші етіп бөлуге болады. Желілік вирустар әртүрлі компьютерлік
желілер арқылы таралады. Файлдық вирустар орындалушы модулдерге енеді,
демек кеңейтілулері .СОМ және .ЕХЕ (мысалы, Dіr-ІІ тобының серік-вирустары)
файлдар. Файлдық вирустар басқа типті файлдарға да ене алады, бірақ
басқаруды өз қолына ала алмайды да таралу қасиетінен айрылады. Жүктелуші
вирустар дисктің жүктелу секторына (Boot-сектор) немесе жүйелік дисктің
жүктелу программасы бар секторына енеді (Master Boot Record). Файлдық-
жүктелуші вирустардың жүкетлуші сектордың да, файлдардың да кодтарын
жұқтыра алатын қасиеттері бар. Ондай вирустар өте көп, бірақ олардың ішінде
ең жағымсыз түрлері де бар (мысалы, әйгілі вирус OneHalf).
Енді осылар туралы толығырақ айтып өтсек:
Дискеталарды жұқтыратын қарапайым жүктелгіш вирустың жұмыс тәсімдерін
қарастырайық. Біз бұл вирустардың жұмыс істеу алгоритмін толығымен
қарастырмаймыз.
Сіз компьютерді қосқанда не болады? Ең алдымен басқару әрдайым
сақтағыш құрылғыда ТЕСҚ-да (ПЗУ) сақталынатын, алғашқы жүктелу
программасына беріледі. Бұл программа жабдықтарды тексереді де жұмысын
сәтті аяқтағаннан кейін А дисксалғышындағы дискетаны іздейді:
Әр дискета жолдардың секторларында белгіленген. Секторлар кластерлерді
құрайды, бірақ бұл бізге керек емес.
Секторлардың арасында бірнеше қызметтік секторлары бар (служебный
сектор). Бұл секторларды операциялық жүйе өз қажеттіліктеріне қолданады
(бұл секторларда қолданушының мәліметтері орналаса алмайды). Көмекші
секторлардың арасындағы бізге керектісі бастапқы жүктелу секторы (boot
sector).
Алғашқы жүктелу секторында дискета туралы ақпарат сақталады – бетінің
саны, жолдардың саны, секторлар саны және т.б.. Бізге қажеті операциялық
жүйені жүктейтін және басқаруды соған беретін бастапқы жүктелу программасы
(БЖП).
Сонымен бастапқы жүктелудің қарапайым тәсімі осындай:
БЖП(ТЕСҚ)-БЖП(диск)-ЖҮЙЕ
Енді вирусты қарастырайық. Жүктелу вирустарының екі бөлігі бар: басы
және құйрығы. Құйрығы бос болуы мүмкін.
Сізде таза дискета мен жұқтырылған, яғни активті резидентті вирусы бар
компьютер болсын делік. Вирус дисксалғышта ыңғайлы нысананы тапқан кезде
(біздің жағдайда жазылудан қорғалынбаған, таза дискета) оны жұқтыра
бастайды. Дискетаны жұқтырған кезде вирус келесі әрекеттер жасайды:
▪ дискінің кейбір ауданын таңдап оны операциялық жүйеге түсініксіз
қылады. Мұны әр түрлі жолмен істеуге болады, бірақ қарапайым, дәстүрлі
әдіс бойынша вирус жаулап алған бөлімшелер бұзылған деп белгіленеді (bad)
▪ дискінің белгіленген аумағына өзінің құйрығы мен соны (сау) жүктелу
бөлімшесін көшіреді
▪ жүктелу секторындағы алғашқы жүктелу программасын өзінің басымен
ауыстырады
▪ басқаруды тәсімге сәйкес берудің тармағын ұйымдастырады
Сонымен басқаруды ең алдымен вирустың басы өз қолына алады да, жадыда
орналасып басқаруды соны жүктелу секторына береді. АЖП(ТЕСҚ)-АЖП(диск)-ЖҮЙЕ
тармағында жаңа түйін пайда болады:
АЖП(ТЕСҚ)-ВИРУС-АЖП(диск)-ЖҮЙЕ. Қолданушыға айтылатын өсиет: А
дискіорнатқышта дискета қалдырмаңыз. Біз дискеттердің жүктелу секторында
өмір сүретін жай буттық вирустың жұмыс істеу тәсімін қарастырдық. Вирустар
тек дискеттердің жүктелу секторын ғана емес винчестерлердің жүктелу
секторларын да жұқтыра алады. Дискеттерге қарағанда винчестерлерде
басқаруды алатын алғашқы жүктелу программасы бар екі типті жүктелу секторы
бар. Компьютерді жүктей бастағанда басқаруды алдымен MBR-дағы (Master Boot
Record- бас жүктелу жазуы) алғашқы жүктелу программасы алады. Егер сіздің
қатты дискіңіз бірнеше бөліктерге бөлінген болса, олардың біреуі ғана
жүктелгіш (boot) деп белгіленген. MBR-дағы алғашқы жүктелу программасы
винчестердің жүктелу секторын тауып, басқаруды осы аумақтың алғашқы жүктелу
программасына береді. Соңғының коды әдеттегі дискеталардағы алғашқы жүктелу
программасының кодымен сәйкес келеді, ал сәйкес жүктелу секторлары тек
параметрлер кестесімен ғана өзгешеленеді. Сонымен винчестерде жүктелу
вирустары жұқтыратын екі объект бар – MBR-дағы алғашқы жүктелу программасы
және жүктегіш дискінің бут-секторындағы алғашқы жүктелу программасы.
Жұқтыру түрлеріне қарай вирустар резиднтті және резидентті емес болып
екіге бөлінеді. Резидентті вирустар компьютерді жұқтыру кезінде жедел
жадыда өзінің резидентті бөлігін қалдырады. Сол бөлік операциялық жүйенің
айналымын жұқтыру объектілеріне (файлдарға, дискілердің жүктелу аумақтарына
және т.б.) қарай іліп әкетеді де оларға еніп алады. Резидентті вирустар
жадыда орналасады да компьютердің өшірілуіне немесе қайта жүктелуіне дейін
белсенді болады. Резидентті вирустар компьютердің жадысын жарақаттамайды
және белгілі бір мерзімге шейін өмір сүреді.
Әсер етуіне байланысты вирустарды келесі түрлерге бөлуге болады:
❖ қауіпсіз, компьютер жұмысына кедергі келтірмейтін, бірақ жедел жадының
және дискілік жадының аумағын азайтатын вирустар; әсерлері кейбір
графикалық немесе дыбыстық әрекеттерде байқалады
❖ қауіпті, компьютердің қалыпты жұмысын бұза алатын вирустар
❖ өте қауіпті, әсерлерінен программалардың жоғалуы, берілгендердің
жойылуы, дискінің жүйелік аумақтарында ақпараттың өшуі мүмкін.
Өте көп түрлілігіне байланысты алгоритмнің ерекшелігіне қарап
вирустарды жіктеу өте қиын. Қарапайым вирустар – паразиттік, олар
файлдардың және дискілік секторлардың ішіндегіні өзгертеді, оңай анықталып
жойылады. Құрттар деп аталатын Репликатор-вирустар туралы тоқталуға болады.
Олар компьютерлік желілер арқылы таралады да, желіге қосылған
компьютерлердің адресін анықтап, сол адрестер бойынша өз көшірмелерін
жасайды. Стрелс-вирус деп аталатын көрінбейтін вирустар да белгілі.
Көптеген резидентті вирустар (файлдық та, жүктелуші де) өзін анықтауды DOS
операциялық жүйесінің (демек, қолданбалы программалардың) сұранымын
жұқтырырылған файлдар мен аумақтарға іліп әкетіп, оларды бастапқы
(жұқтырылмаған) күйде көрсетеді. Әрине бұл эффект тек жұқтырылған
компьютерлерде ғана байқалады – “таза” компьютерлерде файлдарың және
жүктелу аумақтарының өзгерісін оңай табуға болады. Кейбір вирусқа қарсы
программалар “көрінбейтін” вирустарды жұқтырылған компьютерлерде де анықтай
алады. Мысалы “Диалог-Наука” компаниясының Adіnf программасы DOS
қызметтерін қолданбай дискіні оқиды, ал “Диалог-МГУ” фирмасының AVSP
программасы вирусты тексеруді “уақытша” тоқтатады (бұл метод әрдайым
қолайлы емес). Кейбір вирусқа қарсы программалар “көрінбейтін” файлдық
вирустардың қасиеттерін жұқтырылған файлдарды “емдеуге” қолданады. Олар
жұқтырылған файлдардан мәліметтерді оқып (жұмыс жасап тұрған вирус кезінде)
оны дискідегі файлдарға жазады, бұл жерде ақпарат бүлінбеген қалпында
сақталады. Кейін таза дискіден жүктелген кезде орындалатын файлдар қайта
бастапқы қалпына келеді. Ең қиын анықталатындары мутант-вирустар
(полиморфты). Шифрлеу және шифрді алу алгоритмі бар болуына байланысты бір
вирустың көшірмелерінде ешбір қайталанатын байттар тізбегі жоқ. Сондықтан
бұл ең қиын анықталатын вирустар. Олар туралы төменде айта жатармыз. Тағы
да квазивирустық немесе “трояндық” программалар бар. Олар өз-өзін өндіре
алмаса да өте қауіпті. Өйткені пайдалы
2-сурет. Вирустар.
Программа ретінде жасырынып дискінің файлдық жүйелерін және жүктелу
аумақтарын бұзады.
Файлдық вирустар.
Енді жай файлдық вирустың жұмыс тәсімін қарастырайық. Әрдайым
резидентті болатын жүктелгіш вирустарға қарағанда файлдық вирустардың
резидентті болуы шарт емес. Ал енді резидентті емес файлдық вирустың жұмыс
тәсімін қарастырайық. Бізде жұқтырылған орындалатын файл бар делік. Бұндай
файл іске қосылған кезде вирус басқаруды өз қолына алып, кейбір әрекеттер
жасап оны қайтадан “иесіне” қайтарады (алайда бұл жағдайда кім кімнің иесі
екенін айту қиын).
Вирус қандай әрекеттер жасайды? Ол жұқтыру үшін жаңа объект іздейді –
әлі жұқтырылмаған (егер вирус “әдепті” болса, әйтпесе ешбір тексерусіз
бірден жұқтыратын вирустар да бар), тип жағынан сәкес келетін файл. Файлды
жұқтыра вирус жүктелу кезінде басқаруды өз қолына алу үшін оның кодына еніп
алады. Өзінің негізгі функциясы көбеюден басқа вирустың күрделі бір нәрсе
істеуі (айтуы, сұрауы, ойнауы) әбден мүмкін. Бұл вирус құраушысының қиялына
байланысты. Егер вирус резидентті болса, онда ол компьютер жадысына
орналасыда өзінің әрекеттерін жарақаттанған файлдың жұмысы кезінде ғана
емес кез-келген уақытта жасай алады. Орындалатын файлды жұқтыра отырып
вирус әрқашанда оның кодын өзгертеді. Демек, орындалатын файлдың
жұқтырылуын әрдайым тауып алуға болады. Бірақ вирус файлдың кодын өзгерте
отырып оған басқа да өзгертулер енгізуді мақсат тұтпайды:
← ол файлдың ұзындығын өзгертуге
← кодтың қолданылмайтын аудандарын
← файлдың басын өзгертуге міндетті емес
Файлдық вирустарға “файлдарға кейбір қатысы бар”, бірақ олардың
кодарына енуге міндетті емес вирустарды жиі жатқызады. Мысал ретінде әйгілі
Dіr-ІІ топтамасына жататын вирустардың жұмыс тәсімін қарастырайық. 1991
жылы пайда болған бұл вирустар Ресейдегі нағыз чума эпидемиясының себебі
болғанына қарсы болу қиын. Вирустың негізгі ойы анық көрінетін үлгісін
қарастырайық. Бұл вирустар өз денесін дискінің кейбір аумағына жасырады
(көбінесе дискінің соңғы кластеріне) да, оны FAT файлдар кестесінде файлдың
соңы ретінде белгілейді. Файлдар туралы мәлімет каталогта сақталынады.
Каталогтың әр жазуында файлдың аты, құрылған мерзімі, уақыты, кейбір
қосымша мәліметтер, файлдың бірінші кластерінің номері және резервті
байттар бар. Орындалатын файлдар іске қосылған кезде жүйе каталогтағы
жазудағы файлдың бірінші кластерын, одан әрі қалғандарын да оқиды. Dіr-ІІ
тобының вирустары файлдық жүйеге келесі өзгертулер енгізеді: вирус дискінің
кейбір бөліктерін жаңылған деп белгілеген бос секторларға жазылады. Сонымен
қатар ол орындалатын файлдардың бірінші кластерлері туралы ақпаратты
резервті биттерде сақтайды да, олардың орнына өзіне қарай нұсқауды жазады.
Толығырақ айтсақ, барлық .EXE және .COM файлдарының каталогтың белгілі бір
элементтерінде орналасқан файлдың басына нұсқағыштары енді дискідегі вирус
жұқтырылған аумаққа нұсқайды. Ал дұрыс нұсқағыш каталогтың қолданылмайтын
бөлігінде кодталған түрде жасырылады. Сонымен кез-келген файл жүктелген
кезде басқаруды вирус алады (операциялық жүйе оны өзі іске қосады), жадыда
резидентті түрде орналасады, DOS-тың дискідегі файлдарды өңдеу
программаларына қосылып, каталогтың элементтеріне сұраныс жасалғанда дұрыс
нұсқаулар береді . Сонымен жұмыс істеп тұрған вирус кезінде файлдық жүйе
дұрыс сияқты болып көрінеді. Жұқтырылған дискетаны таза компьютерге салып
қарағанда ештеңе байқалмауы мүмкін. Бірақ жұқтырылған дискетадан
программалық файлдарды көшіргенде тек 512 немесе 1024 байт қана көшіріледі,
файл одан әлденеше үлкен болса да. Ал жұқтырылған дискетадағы орындалатын
файлдар дұрыс болып көрінеді (өйткені енді компьютер де жұқтырылған).
“Таза” компьютерде DІR вирусы бар дискетаны ChkDsk немесе NDD арқылы
тексергенде дискетаның файлдық жүйесі мүлдем құртылған болып көрсетіледі.
ChkDsk программасы файлдардың қиылысы (...cross lіnked on cluster...)және
жоғалтылған тізбектер (lost clusters found іn ... chaіns) туралы көптеген
ақпараттар шығара бастайды. Бұл қателіктерді ChkDsk не NDD программалары
арқылы қалыпқа келтірудің қажеті жоқ (диск мүлдем бүлінген болады). Бұл
вируспен жұқтырылған дискілерді тек арнайы вирусқа қарсы программалар
арқылы емдеу керек (мысалы Aіdstest программасының соңғы версиясы).
Жүктелуші-файлдық вирустар.
Бізге жүктелуші-файлдық вирустың үлгісін қарастырмаймыз, өйткені одан
ешбір жаңа ақпарат алмаймыз. Бірақ бас жүктелу секторы (MBR) мен
орындалатын файлдарды жұқтыратын, соңғы кездерде аса әйгілі болған
жүктелуші-файлдық OneHalf вирусы туралы айтқан жөн. Жарақаттандырудың ең
негізгі әдісі – винчестер секторларын шифрлау. Әр жүктелу сайын вирус
сетордың белгілі бір бөлігін шифрлап отырады да, қатты дискінің жартысын
шифрлап болғаннан кейін ол туралы қолданушыға “қуана” мәлімдейді. Бұндай
вирустардан емделудің негізігі мәселесі мынада: MBR мен файлдарды вирустан
тазартып қана қоймай, ол шифрлап үлгерген ақпаратты шифрдан алу керек. Ең
жақсы әрекет жай жаңа, сау MBR-ды қайта жазу. Ең бастысы саспаңыздар.
Барлығын таразыға салып ойланыңыздар, мамандармен сөйлесіңдер.
Полиморфты вирустар.
Сұрақтардың көбісі “полиморфты вирус” деген терминге қатысты.
Компьютерлік вирустардың бұл бүгінгі таңда ең қауіпті вирустардың бірі.
Бұның не екенін түсіндірейік.
Полиморфты вирустар – жұқтырылған программалардағы өзінің кодына
модификация жасай алады. Сонымен сол вирустың екі түрі бір-бірімен ешбір
битте де сәкес келмеуі мүмкін. Бұл вирустар өзін әртүрлі шифрлау жолдарын
қолданады. Басқа вирустарға арағанда оларда шифрлау және шифрдан алу
генерациясының коды да бар.
Полиморфты вирустар –өзін-өзі өзгерте алатын “шифрдан алғышы” бар
вирустар. Бұндай шифрлаудың мақсаты: егер сіздің қолыңызда жұқтырылған және
сау файлдар болса да сіз олардың кодын қарапайым “дизассемблерлеу” арқылы
қалпына келтіре алмайсыз. Бұл кодтар шифрленген және мәнсіз командалар
жиынынан тұрады. Олар кодтаудың параметрлерін және өзінің басқа бөліктерін
кодтан алу үшін қажетті бастапқы бөлігін өзгертеді. Тек орындалу барысында
ғана вирустың өзі шифрлауды алып тастап отырады. Мұнда бірнеше тәсіл бар:
ол өзінің кодын бірден алып тастай алады, немесе “жұмыс” барысында
ақырындап шифрды алып отырады, не болмаса орындалып болған аумақтарды қайта
шифрлап тастауы мүмкін. Бұның бәрі вирустың кодына анализ жасауды қиындату
үшін жасалады.
Бірақ сонда да детектор-программалар өзін өзгерте алатын вирустарды
анықтау жолын тапты. Бұл вирустарда кодталған бөліктерді кодтан алу
механизмінің тәсілдері компьютердің тек кейбір регистрлерін (шифрлау
константалары, “мәнсіз” командаларды қосу және т.б.) қолданумен байланысты.
Ал детектор-программалар өзгерістерге қарамастан вирустардың бастапқы
бөлігін табуды үйренді. Бірақ соңғы кездерде өзгеру механизидері өте
күрделі вирустар пайда бола бастады. Олардың бастапқы бөліктері біршама
күрделі алгоритмдер бойынша автоматты түрде генерацияланады (өзгереді):
шифрдан алушының әрбір белгілі инструкциясы мыңдаған варианттардың бірімен
беріледі, және Іntel-8088-ның командаларының жартысынан көбі қолданылады.
Дегенмен бұл вирустарды анықтау мәселесі біршама қиын, әрі өз шешімін толық
тапқан жоқ. Бірақ кейбір вирусқа қарсы программаларда мұндай вирустарды
анықтау жабтықтары бар, ал Dr.Web программасында – өзін өзгерте алатын
вирустарға тән программаның кодындағы “көзге түсетін” бөліктерді анықтаудың
эвристикалық тәсілдері бар.
Вирустардың компьютерге ену жолдары және сұрыпталу механизмі.
Вирустар компьютерлерде көбінесе иілгіш немесе лазерлік дискілер
арқылы және компьютерлік желі арқылы таралады. Қатты дискінің вируспен
жұқтырылуы программаны ішінде вирусы бар дискіден жүктегенде болуы мүмкін.
Мұндай жұқтыру байқаусыздан болып қалуы да мүмкін. Мысалы, егер А
дискісалғышынан дискіні алып тастауды ұмытып, компьютерді қайта жүктеген
кезде, және де дискетаның жүйелік болуы шар емес. Дискетаны жұқтыру тіптен
оңай. Оған вирус тіпті вирусы бар компьютердің дискісалғышына салғанда да
жұғуы мүмкін. Мысалы оның мазмұнын оқығанда.
Вирус жұмыс жасаушы программаға еніп алса, программа іске қосылғанда
басқару алдымен вирусқа беріледі, сонан соң барлық командалар орындалып
болғаннан кейін ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Кіріспе.
1. Компьютерлік вирусология тарихы.
2. Жұққыш “Мелиса”.
3. Қасиеттері.
4. Вирустардың жіктелуі.
5. Файлдық вирустар.
6. Жүктелуші-файлдық вирустар.
7. Полиморфты вирустар.
8. Вирустарды анықтау.
9. Вирус жұққан кезде не істеу керек?
10. Компьютерді емдеу.
11. Дискіні емдеу.
12. Вирустардың компьютерге ену жолдары және сұрыпталу механизмі.
13. Вирустан сақталу жолдары.
14. Жүктелуші вирустардан қорғану.
15. Қолданылған әдебиеттер тізімі.
Қорытынды.
Кіріспе
Біз екі ғасырлардың тоғысында, жаңа ғылыми-техникалық революция
заманында өмір сүріп отырмыз. ХХ ғасырдың аяғында адамзат заттар мен
знергияның өзгеруінің заңдылықтарын ашып оларды өз өмірін жақсартуға
қолдануда. Бірақ заттар мен знергиядан басқа тағы бір құраушы бар,
ол–ақпарат. Біздің ғасырдың ортасында ақпаратты сақтауға және өңдеуге
арналған құрылғылар- компьютерлер пайда болды. Бүгінгі күнде электр
есептеуіш машиналарының өте кең қолдануына байланысты компьютердің жұмысына
өз септігін тигізетін, файлдық құрылымдарды бұзатын, компьютерде
сақталынған ақпаратты жарақаттандыратын вирус-программалары өз-өзін
жетілдіруші вирус-программалары да пайда болып жатыр. Көптеген
мемлекеттердегі компьютерлік қылмыстарға қарсы заңдар мен вирустардан
қорғануға арналған арнайы программалық жабдықтарға қарамастан жаңа вирустық
программалардың саны күннен-күнге өсіп бара жатыр. Осыған байланысты әрбір
қолданушы компьютерлік вирустардың табиғатын, олардың жұғу әдістерін және
олардан қорғану тәсілдерін білу керек. Міне осы мәселелерді мен өзімнің
курстық жұмысымның негізі етіп алдым. Осылар туралы мен өз жұмысымда
жазатын болам. Мен вирустардың негізгі түрлерін, олардың жұмыс ережелерін,
пайда болу және компьютерге ену себептерін және олардан қорғану мен оларды
алдын-ала анықтау шараларын көрсетемін. Жұмыстың мақсаты қолданушыны
копмьютерлік вирусологияның негізімен және вирустарды анықтап, олармен
күресу шараларымен таныстыру.
Компьютерлік вирусология тарихы.
Компьютерлік вирусология тарихы бізге үздіксіз “лидерлікке талас”
ретінде елестетіледі. Тіпті қазіргі замандағы антивирус программаларына
қарамастан вирустар лидер болып табылады. Мыңдаған вирустардың арасынан тек
бірнеше ондығы ғана негізінде жаңа көзқараспен құрастырылған соны жобалар,
ал қалғандары бір вирустың өзгертілген түрлері. Әрбір соны жобалардың пайда
болуына байланысты антивирус құрастырушылары жаңа жағдайларға бейімделіп
отырады, вирустық технологиядан қалыспауға тырысады. Бірақ олардың
ыждағаттары жеткіліксіз. Мысалы 1989 жылы американдық студент АҚШ-тың
Қорғаныс Министрлігінің 6000 компьютерін істен шығарған вирустық
программаны жазған болатын. Ал 1991 жылы болған DІR-ІІ вирусының эпидемиясы
ше? Вирус шын мәнінде соны, негізінде жаңа технологияны қолданды және
алғашқы кезеңде жетілмеген антивирустық жабдықтарға байланысты өте тез
жайылып кетті.
Ұлыбританиядағы компьютерлік вирустардың “жарылысын” еске алайық:
Кристофер Пайн Pathogen, Queen және Smeg вирустық программаларын жазды. Ең
соңғысы өте қауіпті болды. Ол қалған екі вируспен бірігіп программаның әр
айналымы сайын өзінің пішінін өзгертіп отырған. Сондықтан оларды жою
мүмкіндігі қиындай түсті. Вирустарды тарату үшін Пайн компьютерлік ойындар
мен программаларды жұқтырып оларды қайта желіге жіберді. Қолданушылар
жұқтырылған программаларды өз компьютерлеріне жүктеп дисктарды
жарақаттандырған. Мәселенің үдейе түсуінің себебі Пайн жасаған вирустар
олармен күресетін программаларды да жарақаттандыратын. Оларды қосқан сәтте
қолданушылар вирустан құтылудың орнына тағы бір вирус алатын болды. Осының
салдарынан көптеген фирмалардың файлдары жойылды да олар миллиондаған фунт
стерлингке зардап шекті.
Үлкен атаққа американдық программист Моррис ие болды. Ол бізге 1988
жылдың қараша айында Іnternet-ке қосылған 7 мың дербес компьютерді іске
шығарған вируспен әйгілі болды.
Компьютерлік вирустардың пайда болуының бір себебі жеке тұлғаның
психологиясында және “арғы жағындағы” қараңғы ойларында (қызғаныш, кек,
танылмаған дарындардың мансапқорлығы, өзінің мүмкіншіліктерін толығымен
көрсете алмауы), ал екінші себебі дербес компьютер жағынан қорғаныс және
қарсылыққа арналған аппараттық жабдықтырдың жеткіліксіздігінде жатыр.
Жұққыш “Мелиса”.
Мысалы жақында айыпталған АҚШ-тың Флорида штатында тұратын Девид Смит
компьютерлік вирустың жаңа түрін шығарып революция жасады деуге болады. Ол
өзінің щығарған вирусын электронды почта программасына жазып, Интернеттегі
порно-сайттарының аса әйгілі екендігін біле отырып вирусты сол сайттарға
көшірді. Вирус өте тез арада жайылып үлгерді. Оның вирусы бар хаттарын
(достардан жіберілген хат ретінде) ең алдымен Alt.sex дискуссиялық
группасының қолданушылары алды, және де вирус олардың комутациялық
программаларындағы адрес кітапшасын қолданып өзінің 50 көшірмесін
қолданушышың достарының компьютерлеріне жіберді. Хаттың мәтінінде порно-
сайттардың тізімі жіне олардың кодтарының тізімі болды. Саналған сағаттар
ішінде тізбектік реакция бүкіл бес континенттің компьютерлік желілерін
жаулап алды. “Мелиса” аса қауіпті болған жоқ, ол тек редактор-
программалардың ішінде жасырынып оларды аздап қана өзгертетін. Смит
компьютерлерде “Мелисаға” қарағанда әлденеше рет қауіпті вирустардың
таралуының оңайлығын көрсетті.
1-сурет. Хаттар.
Вирусқа қарсы программалар жасайтын компаниялар жаңа вирусқа қарсы
программалардың қажет екендігін баяндады. Келешектегі программалар, олардың
айтуы бойынша, дербес компьютерде бұрыннан белгілі және жаңа
“инфекцияларға” қарсы иммунитет қалыптастырып, бұрыннан танымал емес
вирустарды компьютер дискілерінің жадысына жете қоймаған жағдайда анықтап,
олардың көзін құртады.
Қасиеттері.
Компьютерлік вирус – көлемі жағынан кіші-гірім, өзін басқа да
программаларға “тіркей” алатын және де компьютерде әртүрлі орынсыз
әрекеттер жасай алатын арнайы жазылған программа. Ішінде вирусы бар
программа “жұқтырылған” деп аталады. Осындай программалар іске қосылғанда
алдымен басқаруды вирус өз қолына алады. Вирус басқа да программаларды
тауып оларды жұқтырады, сонымен қатар әртүрлі зиянды әректтер жасайды
(мысалы, файлдарды және файлдардың дискідегі орналасу таблицасын құртады,
жедел жадыны бүлдіреді, экранға 25-м түсті гаммалы кадрды шығарады).
Вирустың өзін-өзі жаңадан өндіргіштік қасиеті бар. Бұл қасиет барлық
вирустарға тән. Кез-келген операциялық жүйе және де басқа көптеген
программалар өзінің көшірмесін ала алады. Вирустың көшірмелерінің
алғашқысымен сәйкес келуі шарт емес, ол одан мүлдем өзгеше болуы мүмкін.
Вирус оқшау өмір сүре алмайды. Бұдан көретініміз басқа программалардың
кодтарын, файлдық құрылым туралы ақпараттарын немесе жай басқа
программалардың атын қолданбайтын вирус болуы мүмкін емес. Бұның себебі
вирус кез-келген жолмен басқаруды өз қолына алу керек.
Компьютерлік вирус дискідегі кез-келген файлды жарақаттандыра (белгілі
түрде өзгерте) алады. Бірақ кейбір файлдардың түрлерін вирус жұқтырады.
Нақтырақ айтсақ вирус бұл файлдарға “еніп алып” олардың ішінде отырады да,
кез-келген уақытта өз жұмысын бастай алады.
Байқайтынымыз вирус программалар мен құжаттардың мәтіндері,
мәліметтері жоқ ақпараттық файлдар, кестелік процессорлардың кестелері және
басқа осыларға ұқсас файлдарға вирус жұқпайды. Ол тек оларды жарақаттандыра
алады.
Вируспен келесі типті файлдар жұқтырыла алады:
1. Орындалатын файлдар, немесе кеңейтілулері .COM және .EXE файлдар, және
де басқа программалардың орындалуы кезінде жүктелетін оверлейлік файлдар.
Орындалатын файлдардың ішіндегі вирус тек осы программа жұмысын
бастағанда ғана бастайды. Аса қауіпті вирустар өз жұмысын бастағаннан
кейін жадыда қалып қоятын вирустар. Олар файлдарды компьютердің келесі
жүктелуіне дейін жарқаттандыра, жүқтыра алады. Ал егер олар AUTOEXEC.BAT
немесе CONFІG.SYS файлдарындағы кез-келген программаны жұқтырса, онда
компьютердің қайта жүктелуі кезінде де вирус әрекет етеді.
2. Операциялық жүйенің жүктеуіші және қатты дискінің бас жүктегіш жазбасы.
Бұл аумақтарды жүктеуші вирустар жұқтырады. Бұндай вирустар компьютердің
жүктелуі кезінде өз жұмысын бастайды да, компьютердің жадысында әрдайым
(резиднтті түрде) болады. Сұрыпталу механизмі – компьютерге салынатын
дискеттердің жүктелу жазбаларын жұқтырады. Мұндай вирустар көбінесе екі
бөліктен тұрады. Жүктелу жазбасы мен бас жүктелу жазбасының көлемі
кішірек болғандықтан оларға вирустың барлық бөлігін орналастыру қиын.
Вирустың сыймай қалған бөлігі дискінің басқа аумағында, мысалы дискінің
түпкі каталогының соңында немесе дискінің мәліметтер аумағының
кластерінде (әдетте мұндай кластер дефектті болып табылады, дискіге
мәліметтер жазылғанда вирус программасының өшіріліп қалмауы үшін) жазылуы
мүмкін.
3. Жабдықтар драйверлері, CONFІG.SYS файлының Devіce қамтамасына сілтейтін
файлдар. Олардың ішіндегі вирус жабдықтарға сұраныс жасағанда өз жұмысын
бастайды. Жабдықтар драйверлерін жарақаттандыратын вирустар кең
таралмаған. Өйткені драйверлерді бір компьютерден екінші компьютерге
сирек көшіреді. DOS-тың жүйелік файлдарының жұқтырылуы да сирек. Өйткені
олардың жұқтырылуы теория жағынан мүмкін, бірақ таралуының эффектісі аз
болар.
Вирустардың жіктелуі.
Қазіргі кезде вирустың 5000-нан астам түрі белгілі. Оларды
келесі қасиеттеріне байланысты жіктеуге болады:
❖ мекендеу ортасына
❖ ортаны жұқтырудың түріне
❖ әсер етуіне
❖ алгоритм ерекшеліктеріне
Мекендеу ортасына қарай вирустарды желілік, файлдық, жүктелуші және
файлдық-жүктелуші етіп бөлуге болады. Желілік вирустар әртүрлі компьютерлік
желілер арқылы таралады. Файлдық вирустар орындалушы модулдерге енеді,
демек кеңейтілулері .СОМ және .ЕХЕ (мысалы, Dіr-ІІ тобының серік-вирустары)
файлдар. Файлдық вирустар басқа типті файлдарға да ене алады, бірақ
басқаруды өз қолына ала алмайды да таралу қасиетінен айрылады. Жүктелуші
вирустар дисктің жүктелу секторына (Boot-сектор) немесе жүйелік дисктің
жүктелу программасы бар секторына енеді (Master Boot Record). Файлдық-
жүктелуші вирустардың жүкетлуші сектордың да, файлдардың да кодтарын
жұқтыра алатын қасиеттері бар. Ондай вирустар өте көп, бірақ олардың ішінде
ең жағымсыз түрлері де бар (мысалы, әйгілі вирус OneHalf).
Енді осылар туралы толығырақ айтып өтсек:
Дискеталарды жұқтыратын қарапайым жүктелгіш вирустың жұмыс тәсімдерін
қарастырайық. Біз бұл вирустардың жұмыс істеу алгоритмін толығымен
қарастырмаймыз.
Сіз компьютерді қосқанда не болады? Ең алдымен басқару әрдайым
сақтағыш құрылғыда ТЕСҚ-да (ПЗУ) сақталынатын, алғашқы жүктелу
программасына беріледі. Бұл программа жабдықтарды тексереді де жұмысын
сәтті аяқтағаннан кейін А дисксалғышындағы дискетаны іздейді:
Әр дискета жолдардың секторларында белгіленген. Секторлар кластерлерді
құрайды, бірақ бұл бізге керек емес.
Секторлардың арасында бірнеше қызметтік секторлары бар (служебный
сектор). Бұл секторларды операциялық жүйе өз қажеттіліктеріне қолданады
(бұл секторларда қолданушының мәліметтері орналаса алмайды). Көмекші
секторлардың арасындағы бізге керектісі бастапқы жүктелу секторы (boot
sector).
Алғашқы жүктелу секторында дискета туралы ақпарат сақталады – бетінің
саны, жолдардың саны, секторлар саны және т.б.. Бізге қажеті операциялық
жүйені жүктейтін және басқаруды соған беретін бастапқы жүктелу программасы
(БЖП).
Сонымен бастапқы жүктелудің қарапайым тәсімі осындай:
БЖП(ТЕСҚ)-БЖП(диск)-ЖҮЙЕ
Енді вирусты қарастырайық. Жүктелу вирустарының екі бөлігі бар: басы
және құйрығы. Құйрығы бос болуы мүмкін.
Сізде таза дискета мен жұқтырылған, яғни активті резидентті вирусы бар
компьютер болсын делік. Вирус дисксалғышта ыңғайлы нысананы тапқан кезде
(біздің жағдайда жазылудан қорғалынбаған, таза дискета) оны жұқтыра
бастайды. Дискетаны жұқтырған кезде вирус келесі әрекеттер жасайды:
▪ дискінің кейбір ауданын таңдап оны операциялық жүйеге түсініксіз
қылады. Мұны әр түрлі жолмен істеуге болады, бірақ қарапайым, дәстүрлі
әдіс бойынша вирус жаулап алған бөлімшелер бұзылған деп белгіленеді (bad)
▪ дискінің белгіленген аумағына өзінің құйрығы мен соны (сау) жүктелу
бөлімшесін көшіреді
▪ жүктелу секторындағы алғашқы жүктелу программасын өзінің басымен
ауыстырады
▪ басқаруды тәсімге сәйкес берудің тармағын ұйымдастырады
Сонымен басқаруды ең алдымен вирустың басы өз қолына алады да, жадыда
орналасып басқаруды соны жүктелу секторына береді. АЖП(ТЕСҚ)-АЖП(диск)-ЖҮЙЕ
тармағында жаңа түйін пайда болады:
АЖП(ТЕСҚ)-ВИРУС-АЖП(диск)-ЖҮЙЕ. Қолданушыға айтылатын өсиет: А
дискіорнатқышта дискета қалдырмаңыз. Біз дискеттердің жүктелу секторында
өмір сүретін жай буттық вирустың жұмыс істеу тәсімін қарастырдық. Вирустар
тек дискеттердің жүктелу секторын ғана емес винчестерлердің жүктелу
секторларын да жұқтыра алады. Дискеттерге қарағанда винчестерлерде
басқаруды алатын алғашқы жүктелу программасы бар екі типті жүктелу секторы
бар. Компьютерді жүктей бастағанда басқаруды алдымен MBR-дағы (Master Boot
Record- бас жүктелу жазуы) алғашқы жүктелу программасы алады. Егер сіздің
қатты дискіңіз бірнеше бөліктерге бөлінген болса, олардың біреуі ғана
жүктелгіш (boot) деп белгіленген. MBR-дағы алғашқы жүктелу программасы
винчестердің жүктелу секторын тауып, басқаруды осы аумақтың алғашқы жүктелу
программасына береді. Соңғының коды әдеттегі дискеталардағы алғашқы жүктелу
программасының кодымен сәйкес келеді, ал сәйкес жүктелу секторлары тек
параметрлер кестесімен ғана өзгешеленеді. Сонымен винчестерде жүктелу
вирустары жұқтыратын екі объект бар – MBR-дағы алғашқы жүктелу программасы
және жүктегіш дискінің бут-секторындағы алғашқы жүктелу программасы.
Жұқтыру түрлеріне қарай вирустар резиднтті және резидентті емес болып
екіге бөлінеді. Резидентті вирустар компьютерді жұқтыру кезінде жедел
жадыда өзінің резидентті бөлігін қалдырады. Сол бөлік операциялық жүйенің
айналымын жұқтыру объектілеріне (файлдарға, дискілердің жүктелу аумақтарына
және т.б.) қарай іліп әкетеді де оларға еніп алады. Резидентті вирустар
жадыда орналасады да компьютердің өшірілуіне немесе қайта жүктелуіне дейін
белсенді болады. Резидентті вирустар компьютердің жадысын жарақаттамайды
және белгілі бір мерзімге шейін өмір сүреді.
Әсер етуіне байланысты вирустарды келесі түрлерге бөлуге болады:
❖ қауіпсіз, компьютер жұмысына кедергі келтірмейтін, бірақ жедел жадының
және дискілік жадының аумағын азайтатын вирустар; әсерлері кейбір
графикалық немесе дыбыстық әрекеттерде байқалады
❖ қауіпті, компьютердің қалыпты жұмысын бұза алатын вирустар
❖ өте қауіпті, әсерлерінен программалардың жоғалуы, берілгендердің
жойылуы, дискінің жүйелік аумақтарында ақпараттың өшуі мүмкін.
Өте көп түрлілігіне байланысты алгоритмнің ерекшелігіне қарап
вирустарды жіктеу өте қиын. Қарапайым вирустар – паразиттік, олар
файлдардың және дискілік секторлардың ішіндегіні өзгертеді, оңай анықталып
жойылады. Құрттар деп аталатын Репликатор-вирустар туралы тоқталуға болады.
Олар компьютерлік желілер арқылы таралады да, желіге қосылған
компьютерлердің адресін анықтап, сол адрестер бойынша өз көшірмелерін
жасайды. Стрелс-вирус деп аталатын көрінбейтін вирустар да белгілі.
Көптеген резидентті вирустар (файлдық та, жүктелуші де) өзін анықтауды DOS
операциялық жүйесінің (демек, қолданбалы программалардың) сұранымын
жұқтырырылған файлдар мен аумақтарға іліп әкетіп, оларды бастапқы
(жұқтырылмаған) күйде көрсетеді. Әрине бұл эффект тек жұқтырылған
компьютерлерде ғана байқалады – “таза” компьютерлерде файлдарың және
жүктелу аумақтарының өзгерісін оңай табуға болады. Кейбір вирусқа қарсы
программалар “көрінбейтін” вирустарды жұқтырылған компьютерлерде де анықтай
алады. Мысалы “Диалог-Наука” компаниясының Adіnf программасы DOS
қызметтерін қолданбай дискіні оқиды, ал “Диалог-МГУ” фирмасының AVSP
программасы вирусты тексеруді “уақытша” тоқтатады (бұл метод әрдайым
қолайлы емес). Кейбір вирусқа қарсы программалар “көрінбейтін” файлдық
вирустардың қасиеттерін жұқтырылған файлдарды “емдеуге” қолданады. Олар
жұқтырылған файлдардан мәліметтерді оқып (жұмыс жасап тұрған вирус кезінде)
оны дискідегі файлдарға жазады, бұл жерде ақпарат бүлінбеген қалпында
сақталады. Кейін таза дискіден жүктелген кезде орындалатын файлдар қайта
бастапқы қалпына келеді. Ең қиын анықталатындары мутант-вирустар
(полиморфты). Шифрлеу және шифрді алу алгоритмі бар болуына байланысты бір
вирустың көшірмелерінде ешбір қайталанатын байттар тізбегі жоқ. Сондықтан
бұл ең қиын анықталатын вирустар. Олар туралы төменде айта жатармыз. Тағы
да квазивирустық немесе “трояндық” программалар бар. Олар өз-өзін өндіре
алмаса да өте қауіпті. Өйткені пайдалы
2-сурет. Вирустар.
Программа ретінде жасырынып дискінің файлдық жүйелерін және жүктелу
аумақтарын бұзады.
Файлдық вирустар.
Енді жай файлдық вирустың жұмыс тәсімін қарастырайық. Әрдайым
резидентті болатын жүктелгіш вирустарға қарағанда файлдық вирустардың
резидентті болуы шарт емес. Ал енді резидентті емес файлдық вирустың жұмыс
тәсімін қарастырайық. Бізде жұқтырылған орындалатын файл бар делік. Бұндай
файл іске қосылған кезде вирус басқаруды өз қолына алып, кейбір әрекеттер
жасап оны қайтадан “иесіне” қайтарады (алайда бұл жағдайда кім кімнің иесі
екенін айту қиын).
Вирус қандай әрекеттер жасайды? Ол жұқтыру үшін жаңа объект іздейді –
әлі жұқтырылмаған (егер вирус “әдепті” болса, әйтпесе ешбір тексерусіз
бірден жұқтыратын вирустар да бар), тип жағынан сәкес келетін файл. Файлды
жұқтыра вирус жүктелу кезінде басқаруды өз қолына алу үшін оның кодына еніп
алады. Өзінің негізгі функциясы көбеюден басқа вирустың күрделі бір нәрсе
істеуі (айтуы, сұрауы, ойнауы) әбден мүмкін. Бұл вирус құраушысының қиялына
байланысты. Егер вирус резидентті болса, онда ол компьютер жадысына
орналасыда өзінің әрекеттерін жарақаттанған файлдың жұмысы кезінде ғана
емес кез-келген уақытта жасай алады. Орындалатын файлды жұқтыра отырып
вирус әрқашанда оның кодын өзгертеді. Демек, орындалатын файлдың
жұқтырылуын әрдайым тауып алуға болады. Бірақ вирус файлдың кодын өзгерте
отырып оған басқа да өзгертулер енгізуді мақсат тұтпайды:
← ол файлдың ұзындығын өзгертуге
← кодтың қолданылмайтын аудандарын
← файлдың басын өзгертуге міндетті емес
Файлдық вирустарға “файлдарға кейбір қатысы бар”, бірақ олардың
кодарына енуге міндетті емес вирустарды жиі жатқызады. Мысал ретінде әйгілі
Dіr-ІІ топтамасына жататын вирустардың жұмыс тәсімін қарастырайық. 1991
жылы пайда болған бұл вирустар Ресейдегі нағыз чума эпидемиясының себебі
болғанына қарсы болу қиын. Вирустың негізгі ойы анық көрінетін үлгісін
қарастырайық. Бұл вирустар өз денесін дискінің кейбір аумағына жасырады
(көбінесе дискінің соңғы кластеріне) да, оны FAT файлдар кестесінде файлдың
соңы ретінде белгілейді. Файлдар туралы мәлімет каталогта сақталынады.
Каталогтың әр жазуында файлдың аты, құрылған мерзімі, уақыты, кейбір
қосымша мәліметтер, файлдың бірінші кластерінің номері және резервті
байттар бар. Орындалатын файлдар іске қосылған кезде жүйе каталогтағы
жазудағы файлдың бірінші кластерын, одан әрі қалғандарын да оқиды. Dіr-ІІ
тобының вирустары файлдық жүйеге келесі өзгертулер енгізеді: вирус дискінің
кейбір бөліктерін жаңылған деп белгілеген бос секторларға жазылады. Сонымен
қатар ол орындалатын файлдардың бірінші кластерлері туралы ақпаратты
резервті биттерде сақтайды да, олардың орнына өзіне қарай нұсқауды жазады.
Толығырақ айтсақ, барлық .EXE және .COM файлдарының каталогтың белгілі бір
элементтерінде орналасқан файлдың басына нұсқағыштары енді дискідегі вирус
жұқтырылған аумаққа нұсқайды. Ал дұрыс нұсқағыш каталогтың қолданылмайтын
бөлігінде кодталған түрде жасырылады. Сонымен кез-келген файл жүктелген
кезде басқаруды вирус алады (операциялық жүйе оны өзі іске қосады), жадыда
резидентті түрде орналасады, DOS-тың дискідегі файлдарды өңдеу
программаларына қосылып, каталогтың элементтеріне сұраныс жасалғанда дұрыс
нұсқаулар береді . Сонымен жұмыс істеп тұрған вирус кезінде файлдық жүйе
дұрыс сияқты болып көрінеді. Жұқтырылған дискетаны таза компьютерге салып
қарағанда ештеңе байқалмауы мүмкін. Бірақ жұқтырылған дискетадан
программалық файлдарды көшіргенде тек 512 немесе 1024 байт қана көшіріледі,
файл одан әлденеше үлкен болса да. Ал жұқтырылған дискетадағы орындалатын
файлдар дұрыс болып көрінеді (өйткені енді компьютер де жұқтырылған).
“Таза” компьютерде DІR вирусы бар дискетаны ChkDsk немесе NDD арқылы
тексергенде дискетаның файлдық жүйесі мүлдем құртылған болып көрсетіледі.
ChkDsk программасы файлдардың қиылысы (...cross lіnked on cluster...)және
жоғалтылған тізбектер (lost clusters found іn ... chaіns) туралы көптеген
ақпараттар шығара бастайды. Бұл қателіктерді ChkDsk не NDD программалары
арқылы қалыпқа келтірудің қажеті жоқ (диск мүлдем бүлінген болады). Бұл
вируспен жұқтырылған дискілерді тек арнайы вирусқа қарсы программалар
арқылы емдеу керек (мысалы Aіdstest программасының соңғы версиясы).
Жүктелуші-файлдық вирустар.
Бізге жүктелуші-файлдық вирустың үлгісін қарастырмаймыз, өйткені одан
ешбір жаңа ақпарат алмаймыз. Бірақ бас жүктелу секторы (MBR) мен
орындалатын файлдарды жұқтыратын, соңғы кездерде аса әйгілі болған
жүктелуші-файлдық OneHalf вирусы туралы айтқан жөн. Жарақаттандырудың ең
негізгі әдісі – винчестер секторларын шифрлау. Әр жүктелу сайын вирус
сетордың белгілі бір бөлігін шифрлап отырады да, қатты дискінің жартысын
шифрлап болғаннан кейін ол туралы қолданушыға “қуана” мәлімдейді. Бұндай
вирустардан емделудің негізігі мәселесі мынада: MBR мен файлдарды вирустан
тазартып қана қоймай, ол шифрлап үлгерген ақпаратты шифрдан алу керек. Ең
жақсы әрекет жай жаңа, сау MBR-ды қайта жазу. Ең бастысы саспаңыздар.
Барлығын таразыға салып ойланыңыздар, мамандармен сөйлесіңдер.
Полиморфты вирустар.
Сұрақтардың көбісі “полиморфты вирус” деген терминге қатысты.
Компьютерлік вирустардың бұл бүгінгі таңда ең қауіпті вирустардың бірі.
Бұның не екенін түсіндірейік.
Полиморфты вирустар – жұқтырылған программалардағы өзінің кодына
модификация жасай алады. Сонымен сол вирустың екі түрі бір-бірімен ешбір
битте де сәкес келмеуі мүмкін. Бұл вирустар өзін әртүрлі шифрлау жолдарын
қолданады. Басқа вирустарға арағанда оларда шифрлау және шифрдан алу
генерациясының коды да бар.
Полиморфты вирустар –өзін-өзі өзгерте алатын “шифрдан алғышы” бар
вирустар. Бұндай шифрлаудың мақсаты: егер сіздің қолыңызда жұқтырылған және
сау файлдар болса да сіз олардың кодын қарапайым “дизассемблерлеу” арқылы
қалпына келтіре алмайсыз. Бұл кодтар шифрленген және мәнсіз командалар
жиынынан тұрады. Олар кодтаудың параметрлерін және өзінің басқа бөліктерін
кодтан алу үшін қажетті бастапқы бөлігін өзгертеді. Тек орындалу барысында
ғана вирустың өзі шифрлауды алып тастап отырады. Мұнда бірнеше тәсіл бар:
ол өзінің кодын бірден алып тастай алады, немесе “жұмыс” барысында
ақырындап шифрды алып отырады, не болмаса орындалып болған аумақтарды қайта
шифрлап тастауы мүмкін. Бұның бәрі вирустың кодына анализ жасауды қиындату
үшін жасалады.
Бірақ сонда да детектор-программалар өзін өзгерте алатын вирустарды
анықтау жолын тапты. Бұл вирустарда кодталған бөліктерді кодтан алу
механизмінің тәсілдері компьютердің тек кейбір регистрлерін (шифрлау
константалары, “мәнсіз” командаларды қосу және т.б.) қолданумен байланысты.
Ал детектор-программалар өзгерістерге қарамастан вирустардың бастапқы
бөлігін табуды үйренді. Бірақ соңғы кездерде өзгеру механизидері өте
күрделі вирустар пайда бола бастады. Олардың бастапқы бөліктері біршама
күрделі алгоритмдер бойынша автоматты түрде генерацияланады (өзгереді):
шифрдан алушының әрбір белгілі инструкциясы мыңдаған варианттардың бірімен
беріледі, және Іntel-8088-ның командаларының жартысынан көбі қолданылады.
Дегенмен бұл вирустарды анықтау мәселесі біршама қиын, әрі өз шешімін толық
тапқан жоқ. Бірақ кейбір вирусқа қарсы программаларда мұндай вирустарды
анықтау жабтықтары бар, ал Dr.Web программасында – өзін өзгерте алатын
вирустарға тән программаның кодындағы “көзге түсетін” бөліктерді анықтаудың
эвристикалық тәсілдері бар.
Вирустардың компьютерге ену жолдары және сұрыпталу механизмі.
Вирустар компьютерлерде көбінесе иілгіш немесе лазерлік дискілер
арқылы және компьютерлік желі арқылы таралады. Қатты дискінің вируспен
жұқтырылуы программаны ішінде вирусы бар дискіден жүктегенде болуы мүмкін.
Мұндай жұқтыру байқаусыздан болып қалуы да мүмкін. Мысалы, егер А
дискісалғышынан дискіні алып тастауды ұмытып, компьютерді қайта жүктеген
кезде, және де дискетаның жүйелік болуы шар емес. Дискетаны жұқтыру тіптен
оңай. Оған вирус тіпті вирусы бар компьютердің дискісалғышына салғанда да
жұғуы мүмкін. Мысалы оның мазмұнын оқығанда.
Вирус жұмыс жасаушы программаға еніп алса, программа іске қосылғанда
басқару алдымен вирусқа беріледі, сонан соң барлық командалар орындалып
болғаннан кейін ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz