Резидентті вирусты табу

Жұмыс түрі: Курстық жұмыс
Тегін: Антиплагиат
Көлемі: 34 бет
Таңдаулыға:

Қазақстан Республикасының ғылым және білім министрлігі

Қ. И. Сәтбаев атындағы Қазақ Ұлттық Техникалық Университеті

Е. Т. Кафедрасы

Ақпараттану пәні бойынша курстық жұмысқа түсініктеме жазба

Тақырыбы : Вирус және оларға қарсы күрес.

Жетекші: Әлімсейітова . Ж. К.

«» 2001 ж.

Орындаған: АжАТ-00-4

тобының студенті

Іліпбекова. Қ. Қ.

Алматы - 2001

Курстық жұмысты орындауға тапсырма

Студент: Іліпбекова. Қ. Қ.

Тақырыбы: Вирус және оларға қарсы күрес.

Аяқталған жұмысты тапсыру уақыты: «» 2001 ж.

Жұмыс барысында қолданылған бастапқы мәліметтер:

Түсініктеме - жазба

Мазмұны !жұмысқа қарасты қарастырылатын сұрақтар!;

Кіріспе, негізгі бөлім, мысалдар

Сызба материалдар саны:

Жұмыс жетекшісі:Әлімсейітова. Ж. К.

Тапсырманы орындауға қабылдап алған студент: Іліпбекова. Қ. Қ.

Күні: «» 2001 ж.

Мазмұны:

Кіріспе. 4

1. Компьютерлік вирустар5

1. 1. Вирустар. 5

1. 2. Вирустар қайдан пайда болады. 7

1. 2. 1. Жалпы байланыс желісі - электрондық почта. 7

1. 2. 2. Электрондық пікірталастар, ftp және bbs файлдық серверлер. 8

1. 2. 3. Жергілікті байланыс желілері. 9

1. 2. 4. Жалпы қолданыстағы дербес компьютерлер. 9

1. 2. 5. Жөндеу қызметтері. 10

2. 1. 2. Вирустарды табу әдістері. 10

2. 2. Жұмыс жүктейтін вирустарды табу. 11

2. 3. Файлдық вирусты табу12

2. 4. Макровирустарды табу. 14

2. 5. Резидентті вирусты табу. 15

2. 5. 1. DOS-вирустар. 16

2. 5. 2. WІNDOWS-вирустар. 18

3. Вирустарға қарсы күрес. 18

3. 1. Антивирустық бағдарламалар. 18

3. 2. Қай антивирус жақсырақ?19

3. 3. Антивирус түрлері. 21

3. 3. 1. Сканерлер. 21

3. 3. 2. CRC-сканерлер. 22

3. 3. 3. Мониторлар. 23

3. 3. 4. Иммунитеттіндірушілер. 24

3. 4. Bирусқа қарсы бағдарламаларды қолдану әдістемесі. 25

4. Бұзылған объектілерді қайта қалпына келтіру27

4. 1. Файл-құжаттар және таблицаларды қайта қалпына келтіру27

4. 2. Жұмыс жүктеу секторларын қайта қалпына келтіру28

4. 3. Файлдарды қайта қалпына келтіру. 29

4. 4. Жедел жадты активсіздендіру. 29

Компьютерлік вирустар нені істей алады және нені істей алмайды. 30

5. Компьютерлік вирустардан сақтанудың негізгі тәсілдері. 31

5. 1. Детектор-бағдарламалар және докторлар. 31

Вирустардан емдеу32

5. 2. Ревизор-бағдарламалар. 32

Көзге көрінбейтін вирустар. 33

5. 3. Доктор-ревизорлар. 34

5. 4. Фильтр-бағдарламалар. 35

Вирус жұқтыру кезіндегі әрекеттер. 36

Қорытынды. 38

Пайдаланылған әдебиеттер. 38

Кіріспе.

Компьютерлік вирустар, нелер және олармен қалай күресуге болады?

Бұл аса көңіл бөліп қарайтындай соншалықты қиын тақырып болып көрінбес. Алайда, компьютердегі ақпараттың жоғалуына бірден-бір себепкер болатын осы компьютерлік вирустар болып табылады. Вирустардың кәсіпорындармен ұйымдардың жұмысына тосқауыл болған көптеген оқиғалар белгілі. Сонымен қатар бірнеше жыл бұрын компьютерлік вирустың адам өліміне себепкер болған оқиға тіркелген. Нидерландияның бір ауруханасындағы емделуші компьютердің вирусты жұқтырып, қате ақпарат беруіне байланысты морфийдің әжептеуір көлемін қабылдаған.

Өзара бәсекелес антивирустық фирмалардың мүмкіндіктеріне қарамастан компьютерлік вирустың тигізетін зардаптары жылына шамамен жүздеген миллион соманы құрайды. Бұның негізгі себебі көптеген компьютерді пайдаланушылардың вирустарға аса назар аудармауы, әдебиеттің тапшылығы болып табылады.

ХХ ғасырдың соңы адамзаттың индустриялық эрадан информатикалық эраға өтуімен ерекшеленеді. Бұл ғасыр техникаға үлкен өзгерістер әкелді. Осыған байланысты информацияны алу қабілеттілігі оны жөндеу күнделікті істе пайдалану кең етек жайып келеді. Көптеген тұтынушылар қарапайым почтадан электрондық почтаға сондай-ақ мобильдік телефондарға көшті. Макро және микро компьютерлер пайда болды. Бұлармен қоса компьютерлік вирустар да өмірге келді.

Компьютерлік вирустар күрделі және көрнекті мәселелердің бірі. Сондай-ақ жасанды тіршілік жасау әрекеті. Әрине, сәтті-ақ әрекет, бірақ пайдасыз екені сөзсіз. Компьютерлік микроорганизмдер тек сәтсіздік әкелетін зиянкес жәндіктерді еске түсіреді. Тірі ағзалар тәрізді компьютерлік вирустар да тіршілік етеді, көбееді. Ал компьютерлік вирустарға қарсы күрес адамзаттың адам ойымен күресі болып табылады. Өйткені компьютерлік вирустapды бір адамдар жазса, ал екінші біреулер оны жоюдың әдісін ойлап табады.

1. Компьютерлік вирустар

1. 1. Вирустар.

Компьютерлік вирустар - арнайы жазылған шағын көлемді (кішігірім) программа. Ол өзінен өзі басқа программалар соңына немесе алдына қосымша жазылады да, оларды «бүлдіруге кіріседі, сондай-ақ компьютерде келеңсіз тағы да басқа әрекеттерді істеуі мүмкін. Ішінен осындай вирус табылған программа «ауру жұққан* немесе «бүлінген деп аталады, мұндай программаны іске қосқанда алдымен вирус жұмысқа кірісіп, оның негізгі функциясы орындалмайды немесе қате орындалады. Вирус басқа іске қосылған жұмыс істеуге тиіс программаларға да кері әсер етіп, оларға да «жұғады* және де жалпы басқа да зиянды іс-әрекеттер жасай бастайды. Мысалы, файлдарды немесе дискідегі файлдардың орналасу кестесін бүлдіреді, жедел жадтағы бос орынды жайлап алады және т. с. с.

Өзінің жабысқанын жасыру мақсатында вирустың басқа программаларды бүлдіруі және оларға зиян ету әрекеттері көбінесе сырт көзге біліне бермейді. Оның кері әсері белгілі бір шарттарды орындағанда ғана іске асады. Вирус өзіне қажетті бүлдіру әрекеттерін орындаған соң, жұмысты басқаруды негізгі пограммаға береді, ал ол программа алғашында әдеттегідей жұмыс істей береді. Сөйтіп ол программа бұрынғы қалпынша жұмыс жалғастырып, сырт көзге «вирус жұққандығы* бастапқы кезде байқалмай қалады.

Вирустың көптеген түрлері ЭЕМ жадында ДОS-ты қайта жүктегенше тұрақты сақталып, оқтын-оқтын өзінің зиянды әсерін жүргізіп отырады. Вирустың зиянды іс-әрекеттері алғашқы кезде жұмыс істеп отырған адамға байқалмайды, өйткені ол өте тез орындалып әсері онша білінбеуі мүмкін, сондықтан көбінесе адамдардың компьютерде әдеттегіден өзгеше жағдайлардың болып жатқанын сезуі өте қиынға соғады.

Компьютерде « вирус жұққанң программалар соны көбеймей тұрғанда, онда вирустың бар екені сырт көзге ешбір байқалмайды, бірақ біраз уақыт өткен соң, компьютерде әдеттегіден тыс, келеңсіз құбылыстар басталғаны білінеді, олар, мысалы, мынадай іс әрекеттер істеуі мүмкін:

Кейбір программалар жұмыс істемей қалады немесе дұрыс жұмыс істемейді;
Экранға әдеттегіден тыс бөтен мәліметтер, символдар, т. б. шығады;
Компьютердің жұмыс істеу жылдамдығы баяулайды;
Көптеген файлдардың бүлінгені байқалады және т. с. с.

Компьютерге вирус жұққанын байқаған кезде кейбір файлдар мен каталогтар, дискідегі мәліметтер бұзылып үлгереді, оның үстіне пайдаланылған дискеттер арқылы немесе жергілікті байланыс желілері бойымен компьютердегі вирус басқа компьютерлерге таралып кеткені байқалмай да қалады.

Вирустардың кейбір түрлерінің кері әсері тіпті одан да терең болады, олар бастапқы кезде өзінің жұққанын ещбір әсерін білдіртпей, көптеген программалармен дискілерге үндемей таралып өтеді де, сонан соң бірден бел шешіп зиянкестік жасауға кіріседі. Мысалға, компьютердегі қатты дискіні өздігінен қайта форматтап шығады. Ал зиянкестік әсерін программаларға өте аз тигізіп, бірақ қатты дискідегі мәліметтерді іштен «мүжіп» құртып жататын вирустарға не істеуге болады?

Осының бәрі вирустан дер кезінде қорғанбасақ, оның артқы әсері өте жағдайсыз кезеңдерге душар ететіні талас тудырмаса керек.

Вирус программасының байқалмау себебі олардың көлемі кішігірім ғана болады да, өздері ассембілер тілінде жазылады. Кез келген жағдайда вирус программасы қай компьютерге арналып жазылса да, ол мәлімет алмасып жұмыс істейтін басқа компьютерлерге де тез тарап кетеді және өте көп зиянкестік әрекеттер жасауы мүмкін.

Қазіргі кездегі вирустар екі топқа бөлінеді:

Резиденттік (компьютер жадында тұрақты сақталынатын) вирустар;
Резиденттік емес вирустар;

Вирус жұққан программа іске қосылғанда резиденттік вирустар әсерлене әрекет етеді. Олар жедел жадқа көшіріліп жазылып, алғашқы бірсыпыра уақытта әсері сезілмегенмен, артынан бірден қатты іске кіріседі. Бұл вирустарды тез анықтау ісін қиындатады.

Дискілерге мәлімет жазу кезінде вирус өзінің жабысуына қолайлы сәт іздеп негізгі операциялар орындалып жатқанда солармен қосылып дискіге жазылып алады да, оның қалай « жұққанынң адамдар білмей де қалады. Ал резиденттік емес вирус жедел жадқа тұрақты күйде жазылмайды, бірақ вирустың әсері тиген программа іске қосылғанда ол екпіндене түседі де, өзі жұмыс істеп тұрған каталогтан немесе РАТН командасында көрсетілген каталогтардан өзі ішіне байқаусыз енеп кететін файл іздейді. Ондай файлды тауып, оның ішіне кіріп алып, ол кейін жұмыс істейтін кезде соған зиянды әрекетін тигізеді.

1. 2. Вирустар қайдан пайда болады.

1. 2. 1. Жалпы байланыс желісі - электрондық почта.

Вирустардың негізгі шығу көзі бүгінгі күнде ІNTERNET жалпы байланыс жүйесі болып табылады. Вирустардың әсер етуінің көпшілігі Word/Offіce 97 форматтарында хат алмасу кезінде болады. Макровирус әсер еткен редакторды пайдаланушы өзі де байқамай, вирус әсер еткен хаттарды адресаттарға жібереді, ал олар өз кезегінде вирус әсер еткен жаңа хаттарды жібереді, т. с. с.

Мысалға алсақ, пайдаланушы бес адресатпен хат алысады. Вирус әсер еткен хатты жібергеннен кейін оны алған бес компьютердің бәрі де вирус әсер еткен болып шығады. Содан соң вирус жаңадан әсер еткен әр компьютерден тағы бес хат жіберіледі. Біреуі вирус алдында әсер еткен компьютерге артқа, ал төртеуі - жаңа адресаттарға кетеді.

Осылай, хат таратудың екінші деңгейінде 1+5+20 =26 компьютерге әсер етілді. Егер байланыс жүйесінің адресаттары күніне 1 рет хат алмасса, онда жұмыс аптасының соңында (бес күн ішінде) ең кемі 1+5+20+80+320=426 компьютер әсерлеген болып шығады. Сонда он күннің ішінде 100 мыңнан астам компьютер әсерленетінін есептен шығару қиын емес. Әр күн сайын олардың саны төрт есе көбейіп отырады. Вирус таратылуының суреттеліп отырған жағдайын вирусқа қарсы компаниялар жиі тіркейді. Аяғына дейін дұрыс қарамау себептерінен қандай да бір ірі компанияның коммерциялық ақпаратты тарату тізімдеріне әсерленген файл- құжат немесе EXCEL таблицасы түскен жағдайлар аз емес - бұндай жағдайда осындай таратулардың бес емес, жүз немесе тіпті мың абонент зиян шегеді, содан соң әсерленген файлдардың өздерінің он мыңдаған абоненттеріне жіберіледі.

1. 2. 2. Электрондық пікірталастар, ftp және bbs файлдық серверлер.

Жалпы қолданыстағы файлдық серверлер мен элетрондық пікірталастарда вирус таратудың негізгі көздерінің бірі болвып табылады. Әр апта сайын қандай да бір пайдаланушы өз компьютерін BBS, ftp-серверлер немесе басқа бір электрондық пікірталастан түскен вируспен әсерлендіріп алды деген хабар келіп жатады.

Осының өзінде вирустың авторы әсерленген файлдарды бірнеше BBS/ftp-ға салады немесе бірнеше пікірталасқа бір уақытта таратады және бұл файлдар бағдармаллалық қамтамасыздандырудың қандай да бір жаңа версиясында «жасырынадың ( кейде - вирусқа қарсы жаңа версияларда) . Вирусты ftp/BBS файлдық серверлеріне жалпы тарату жағдайында мың компьютер бір уақытта бұзылуы мүмкін, алайда көп жағдайларда таратылу жылдамдығы қазіргі жағдайларда макровирустарға қарағанда әлдеқайда төмен DOS - немесе WІNDOWS -вирустар «салынадың. Осы себептен осындай оқиғалар ешқашан жалпы эпидемиямен аяқталмайды, макровирустар болса бұлай емес.

1. 2. 3. Жергілікті байланыс желілері.

Жылдам әсерленудің үшінші жолы - жергілікті байланыс желілері. Егер қажетті қорғаy шараларын қолданбаса зақымдалған жұмыс станциясы байланыс жүйесіне кіреді серверлердегі бір немесе бірнеше қызмет файлдарын зақымдайды. Келесі күні пайдаланушылар байланыс жүйесіне кірерде зақымдалған файлдарды серверден жібереді және осылай вирус зақымдалмаған станцияға кіру мүмкіндігін алады. LOGІN. COM қызмет файлының орнына сервердегі әртүрлі бағдармалалық қамтамасыздандырулар стандартты құжат-шаблондар немесе фирмада қолданылатын EXCEL- таблицалар, т. б. жүруі мүмкін.

1. 2. 4. Жалпы қолданыстағы дербес компьютерлер.

Сондай-ақ оқу орындарында орнатылған компьютерлер де қауіпті. Егер студенттердің біреуі өз дискетасымен вирус әкелсе және қандай да бір оқу компьютеріне жұқтырса, онда кезекті «жұқпалының осы компьютермен жұмыс істеген басқа студенттердің бәрінің дискеталары да дербес компьютерден мәліметтерді алу кезінде жұқтырады. Егер бір адамнан артық жұмыс істесе, үйдегі компьютерге де бұл қатысты болады. Институттағы көпшілік пайдаланатын кoмпьютерлермен жұмыс істеп, бала-студенттер үйдегі компьютерге вирус әкеліп, соның нәтижесінде вирус ата-аналар жұмыс істейтін фирманың компьютерлік байланыс желілеріне түсетін жағдайлар аз емес.

1. 2. 5. Жөндеу қызметтері.

Компьютердің вируспен әсерленуі оның жөнделуі немесе алдын ала тексерістен өтуі кезінде де болуы қазіргі күнде де сирек болса да кездеседі. Жөндеушілер де - адамдар, олардың кейбіреулері компьютерлік қауіпсіздіктің қарапайым ережелеріне де немқұрайлы қарайды.

2. 1. 2. Вирустарды табу әдістері.

Пайдаланушының компьютері вируспен зақымдалғанын сезіктеніп, бірақ оған белгілі бірде-бір вирусқа қарсы бағдармалар дұрыс жауап бермеген жағдайлармен кездесіп қалса, вирусты қайда және қалай іздеу керек?

Вирусқа қарсы бағдармаларды және утилиттерді пайдаланар алдында вирусы жоқ екендігін біле тұрып, жазудан қорғалған дискетадағы DOS резервтік көшірмесінен жұмыс жүктеп алуды және ары қарай тек осы дискеталардағы бағдарламаларды қолдануды ұмытпау керек. Бұл резидентті вирустан қауіпсіздену үшін қажет, өйткені ол бағдармалар жұмысын қоршап алуы немесе олардың жұмысын тексеріліп отырған файлдар, дисктерді әсерлендіру үшін пайдаланып қалуы мүмкін. Әрі өздерінің кодтары табылып қалуы мүмкін екендігінен «сезіктенсең, дисктегі мәліметтерді жойып жіберетін көп вирустар бар. Әрине бұл талаптың жаңа форматтардың бірімен (NTFS, HPFS) белгіленген макровирустар мен дисктерге қатысы жоқ. DOS жұмыс жүктеуінен кейін бұндай винчестер DOS-бағдармалар үшін жабық болып шығады.

2. 2. Жұмыс жүктейтін вирустарды табу.

Дисктердің жұмыс жүктейтін секторларында, әдетте, міндеті логикалық дисктердің көлемдері мен шекараларын анықтау немесе операциялық жүйенің жұмыс жүктеуі болып табылатын

аса үлкен емес бағдарламалар орналасады.

Ең басында вирустың бар екендігінен сезіктенетін сектордың құрамын тексеріп алу қажет. Бұл мақсат үшін «Нортон утилиттеріненң DІSKEDІT немесе AVP кәсіби комплектінен AVPUTІL-ді қолданған ыңғайлы.

Кейбір жұмыс жүктейтін вирустарды әр түрлі мәтіндік жолдарының болуы бойынша бірден табуға болады мысалы, Stoned вирусында «Your PC іs now Stoned», «LEGALІSE MARІJUANA!» жолдары болады. Дисктің жұмыс жүктеу секторын бұзатын кейбір вирустар, керісінше, жұмыс жүктеу секторында міндетті түрде болуы тиіс жолдардың жоқтығы бойынша анықталады. Бұндай жолдарға жүйелік файлдардың аттары және қателер жайлы хабарлау жолы жатады. Егер компьютерде Wіndows 95/NT орнатылған болса, жұмыс жүктеу секторының тақырыпша-жолының DOS-версиясының нөмірі бар жол немесе бағдарламалық қамтамасыздандыруды жасаушы фирманың атауы, мысалы, MSDOS5. 0 немесе MSWІN4. 0 болмауы немесе өзгеруі де вирус жұққандығы жайлы белгі болуы мүмкін, өйткені бұл жүйелер белгісіз себептер бойынша дискеталардың жұмыс жүктеу секторының тақырыпшасына мәтіннің кез келген жолдарын жазады.

MBR-де орналасқан MS-DOS стандартты жұмыс жүктеушісі сектордың жартысынан аз бөлігін алады, және MBR- винчестерді бұзатын көптеген вирустарды MBR секторындағы код ұзындығының өсуі бойынша оңай байқап қалуға болады.

Алайда, мәтіндік жолдары жұмыс жүктеушіге өзгеріссіз енгізілетін және жұмыс жүктеуші кодының өзгерістері ең аз болатын вирустар да бар. Бұндай вирусты табу үшін көп жағдайларда әсерленбегені белгілі компьютерде дискетаны форматтап алу, оның жұмыс жүктеу секторын файл түрінде сақтау, содан соң біраз уақыт оны әсерленген компьютерде пайдалану, ал содан кейін әсерленбеген компьютерде оның жұмыс жүктеу секторын нағыз сектормен салыстыру жеткілікті. Егер жұмыс жүктеу секторының кодында өзгерістер болса - вирус ұсталғаны. Жұқтырудың күрделірек тәсілдерін қолданатын вирустар да бар, мысалы, MBR-ге вирус жұқтыру кезінде белсенді жұмыс жүктеу секторының мекен-жайына сәйкес келетін Dіsk Partіtіon Table-дің бар болғаны үш байтын ғана өзгертетін вирустар. Бұндай вирусты ұқсастыру үшін жұмыс жүктеу секторы кодтарын оның кодының жұмыс алгоритмін толық талдауға дейін егжей-тегжейлі зерттеу керек.

2. 3. Файлдық вирусты табу

Жоғарыда айтып өткендей, вирустар резидентті және резидентті емес болып бөлінеді. Сондықтан ең алдымен қарапайым оқиғаны - компьютердің белгісіз резидентті емес вируспен әсерленуін қарастырайық. Бұндай вирус қандай да бір әсерленген бағдарламаны жіберген кезде белсенеді, ол не істеу керек болса, соны істейді, басқаруды бағдарлама таратушыға береді және ары қарай (резидентті вирустардан айырмашылығы) оның жұмысына кедергі жасамайды. Бұндай вирусты табу үшін винчестердегі және дистрибутивті көшірмелердегі файлдар ұзындығын салыстыру қажет. Егер бұл көмектеспесе, дистрибутивті көшірмелерді пайдаланатын бағдармалармен әр байтымен салыстырулар үшін көптеген утилиттер жасалып шығарылған, солардың ішіндегі ең қарапайымы COMP утилиті DOS - та орналасқан.

Сондай-ақ орындалып отырған файлдардың дамптарын қарастырып өтуге болады. Кейбір жағдайларда вирустың бар екендігін оның кодында мәтіндік жолдардың болуы бойынша бірден тауып алуға болады. Мысалы, көптеген вирустарда «COM», «*COM», «EXE», «*EXE», «**», «MZ», «COMMAND», т. б. жолдар болады. Бұл жолдар көбіне зақымдалған файлдардың бас жағында немесе аяқ жағында кездеседі.

Вируспен зақымдалған DOS-файлды анықтаудың тағы бір тәсілі бар. Ол шығу мәтіні жоғары деңгейлі тілмен жазылған, орындалып отырған файлдардың белгілі бір құрылымы болатындығына негізделген. Borland немесе Mіcrosoft С/C++ болғанда бағдарлама кодының сегменті файлдың бас жағында компиляторды дайындап шығарушы фирманың копирайт жолы тұрады. Егер бұндай файлдың дампында мәліметтер сегментінен кейін тағы бір код учаскесі болса, онда - файлдың вирус жұқтырып алғандығы.

Осы Wіndows және OS/2 файлдарын әсерлендіретін вирустардың көпшілігі үшін де әділ. Осы операциялық жүйелердің орындалып отырған файлдарындағы сегменттердің орналасуы мына тәртіпте стандартты болады: код сегменті, одан соң мәліметтер сегменттері. Егер мәліметтер сегментінен кейін тағы бір код сегменті болса, онда бұл да вирус бар екендігінің белгісі бола алады.

Ассембілер тілін білетін пайдаланушыларға күмәнді бағдармалар кодтарын ұғынып алуға әрекет жасап көруге болады. Жылдам қарап шығу үшін HІEW (Hacker*s VІEW) немесе AVPUTІL ең жақсы болады. Толығырақ зерттеу үшін дизассембілер - Sourcer немесе ІDA-қажет болады.

Резидентті вирусқа қарсы бағдарлама мониторлардың біреуін жіберу және олардың бағдарламалардың күмәнды әрекеттері жайлы хабарлауын бақылау ұсынылады (COM немесе EXE-файлға жазу, абсолютті мекен-жай бойынша дискке жазу, т. с. с. ) . Тек осындай әрекеттерді іліп әкетіп қоймай, сонымен бірге күмәнді шақыру қайдан келіп түскендігін де хабарлайтын мониторлар бар (осындай мониторларға AVPTSR. COM жатады) . Осындай хабарды көрген соң, оның қандай бағдарламадан келгенін анықтап алып, резидентті дизассамбілердің (мысалы, AVPUTІL. COM) көмегімен оның кодтарын талдау кезінде 13h және 21h үзілістерін трассалап белгілеу көп көмек көрсетеді.

Егер жұмыс WІNDOWS/95 NT-ның DOS-бөлімінде жүргізілсе, резидентті DOS-мониторлар көбінесе әлсіз болып шығады, өйткені WІNDOWS/95 NT вирустың мониторды айналып өтіп жұмыс істеуіне жол береді. DOS-мониторлар, сондай-ақ, WІNDOWS вирустардың таратылуын да тоқтата алмайды.

Жоғарыда қарастырылған файлдық және жұмыс жүктеу вирустарын табу әдістері резидентті де, резидентті емес те вирустардың көпшілігіне жарайды. Алайда бұл әдістер, егер вирус «стелс» технологиясы бойыншa орындалса, істемей қалады, бұл резиденттік мониторлардың, файлдарды салыстыру және секторларды оқу утилиттерінің көпшілігін пайдалануды пайдасыз етеді.

2. 4. Макровирустарды табу.

Макровирустарға тән көрінулер мыналар болып табылады:

WORD құжаттарында:

әсерленген WORD құжатын басқа форматқа конверсиялаудың мүмкін болмауы;
әсерленген файлдардың TEMPLATE (шаблон) форматы болады, өйткені WORD-вирустар әсерленген кезде файлдарды WORD DOCUMENT-тен TEMPLATE-ке конверсиялайды.