Резидентті вирусты табу



Жұмыс түрі:  Курстық жұмыс
Тегін:  Антиплагиат
Көлемі: 34 бет
Таңдаулыға:   
Қазақстан Республикасының ғылым және білім министрлігі
Қ. И. Сәтбаев атындағы Қазақ Ұлттық Техникалық Университеті

Е. Т. Кафедрасы

Ақпараттану пәні бойынша курстық жұмысқа түсініктеме жазба
Тақырыбы: Вирус және оларға қарсы күрес.

Жетекші: Әлімсейітова.Ж.К.
______ ___________
2001 ж.
Орындаған: АжАТ-00-4
тобының студенті
Іліпбекова.Қ.Қ.

Алматы - 2001

Курстық жұмысты орындауға тапсырма

Студент: Іліпбекова.Қ.Қ.

Тақырыбы: Вирус және оларға қарсы күрес.

Аяқталған жұмысты тапсыру уақыты: ____ ________ 2001 ж.

Жұмыс барысында қолданылған бастапқы мәліметтер:

Түсініктеме – жазба

Мазмұны !жұмысқа қарасты қарастырылатын сұрақтар!;

Кіріспе, негізгі бөлім, мысалдар

Сызба материалдар саны: __________
Жұмыс жетекшісі:Әлімсейітова.Ж.К.

Тапсырманы орындауға қабылдап алған студент: Іліпбекова.Қ.Қ.
Күні: ____ ________ 2001 ж.

Мазмұны:
Кіріспе. 4
1. Компьютерлік вирустар 5
1.1. Вирустар. 5
1.2. Вирустар қайдан пайда болады. 7
1.2.1. Жалпы байланыс желісі – электрондық почта. 7
1.2.2. Электрондық пікірталастар, ftp және bbs файлдық серверлер. 8
1.2.3. Жергілікті байланыс желілері. 9
1.2.4. Жалпы қолданыстағы дербес компьютерлер. 9
1.2.5. Жөндеу қызметтері. 10
2.1.2. Вирустарды табу әдістері. 10
2.2. Жұмыс жүктейтін вирустарды табу. 11
2.3. Файлдық вирусты табу 12
2.4. Макровирустарды табу. 14
2.5. Резидентті вирусты табу. 15
2.5.1. DOS-вирустар. 16
2.5.2. WІNDOWS-вирустар. 18
3. Вирустарға қарсы күрес. 18
3.1. Антивирустық бағдарламалар. 18
3.2. Қай антивирус жақсырақ? 19
3.3. Антивирус түрлері. 21
3.3.1. Сканерлер. 21
3.3.2. CRC-сканерлер. 22
3.3.3. Мониторлар. 23
3.3.4. Иммунитеттіндірушілер. 24
3.4. Bирусқа қарсы бағдарламаларды қолдану әдістемесі. 25
4. Бұзылған объектілерді қайта қалпына келтіру 27
4.1. Файл-құжаттар және таблицаларды қайта қалпына келтіру 27
4.2. Жұмыс жүктеу секторларын қайта қалпына келтіру 28
4.3. Файлдарды қайта қалпына келтіру. 29
4.4. Жедел жадты активсіздендіру. 29
Компьютерлік вирустар нені істей алады және нені істей алмайды. 30
5. Компьютерлік вирустардан сақтанудың негізгі тәсілдері. 31
5.1. Детектор-бағдарламалар және докторлар. 31
Вирустардан емдеу 32
5.2. Ревизор-бағдарламалар. 32
Көзге көрінбейтін вирустар. 33
5.3. Доктор-ревизорлар. 34
5.4. Фильтр-бағдарламалар. 35
Вирус жұқтыру кезіндегі әрекеттер. 36
Қорытынды. 38
Пайдаланылған әдебиеттер. 38

Кіріспе.

Компьютерлік вирустар, нелер және олармен қалай күресуге болады?
Бұл аса көңіл бөліп қарайтындай соншалықты қиын тақырып болып
көрінбес. Алайда, компьютердегі ақпараттың жоғалуына бірден-бір себепкер
болатын осы компьютерлік вирустар болып табылады. Вирустардың
кәсіпорындармен ұйымдардың жұмысына тосқауыл болған көптеген оқиғалар
белгілі. Сонымен қатар бірнеше жыл бұрын компьютерлік вирустың адам өліміне
себепкер болған оқиға тіркелген. Нидерландияның бір ауруханасындағы
емделуші компьютердің вирусты жұқтырып, қате ақпарат беруіне байланысты
морфийдің әжептеуір көлемін қабылдаған.
Өзара бәсекелес антивирустық фирмалардың мүмкіндіктеріне қарамастан
компьютерлік вирустың тигізетін зардаптары жылына шамамен жүздеген миллион
соманы құрайды. Бұның негізгі себебі көптеген компьютерді пайдаланушылардың
вирустарға аса назар аудармауы, әдебиеттің тапшылығы болып табылады.
ХХ ғасырдың соңы адамзаттың индустриялық эрадан информатикалық эраға
өтуімен ерекшеленеді. Бұл ғасыр техникаға үлкен өзгерістер әкелді. Осыған
байланысты информацияны алу қабілеттілігі оны жөндеу күнделікті істе
пайдалану кең етек жайып келеді. Көптеген тұтынушылар қарапайым почтадан
электрондық почтаға сондай-ақ мобильдік телефондарға көшті. Макро және
микро компьютерлер пайда болды. Бұлармен қоса компьютерлік вирустар да
өмірге келді.
Компьютерлік вирустар күрделі және көрнекті мәселелердің бірі. Сондай-
ақ жасанды тіршілік жасау әрекеті. Әрине, сәтті-ақ әрекет, бірақ пайдасыз
екені сөзсіз. Компьютерлік микроорганизмдер тек сәтсіздік әкелетін зиянкес
жәндіктерді еске түсіреді. Тірі ағзалар тәрізді компьютерлік вирустар да
тіршілік етеді, көбееді. Ал компьютерлік вирустарға қарсы күрес адамзаттың
адам ойымен күресі болып табылады. Өйткені компьютерлік вирустapды бір
адамдар жазса, ал екінші біреулер оны жоюдың әдісін ойлап табады.

1. Компьютерлік вирустар

1.1. Вирустар.

Компьютерлік вирустар – арнайы жазылған шағын көлемді (кішігірім)
программа. Ол өзінен өзі басқа программалар соңына немесе алдына қосымша
жазылады да, оларды бүлдіруге кіріседі, сондай-ақ компьютерде келеңсіз
тағы да басқа әрекеттерді істеуі мүмкін. Ішінен осындай вирус табылған
программа ауру жұққан* немесе бүлінген деп аталады, мұндай программаны
іске қосқанда алдымен вирус жұмысқа кірісіп, оның негізгі функциясы
орындалмайды немесе қате орындалады. Вирус басқа іске қосылған жұмыс
істеуге тиіс программаларға да кері әсер етіп, оларға да жұғады* және де
жалпы басқа да зиянды іс-әрекеттер жасай бастайды. Мысалы, файлдарды немесе
дискідегі файлдардың орналасу кестесін бүлдіреді, жедел жадтағы бос орынды
жайлап алады және т. с. с.
Өзінің жабысқанын жасыру мақсатында вирустың басқа программаларды
бүлдіруі және оларға зиян ету әрекеттері көбінесе сырт көзге біліне
бермейді. Оның кері әсері белгілі бір шарттарды орындағанда ғана іске
асады. Вирус өзіне қажетті бүлдіру әрекеттерін орындаған соң, жұмысты
басқаруды негізгі пограммаға береді, ал ол программа алғашында әдеттегідей
жұмыс істей береді. Сөйтіп ол программа бұрынғы қалпынша жұмыс жалғастырып,
сырт көзге вирус жұққандығы* бастапқы кезде байқалмай қалады.
Вирустың көптеген түрлері ЭЕМ жадында ДОS-ты қайта жүктегенше тұрақты
сақталып, оқтын-оқтын өзінің зиянды әсерін жүргізіп отырады. Вирустың
зиянды іс-әрекеттері алғашқы кезде жұмыс істеп отырған адамға
байқалмайды,өйткені ол өте тез орындалып әсері онша білінбеуі мүмкін,
сондықтан көбінесе адамдардың компьютерде әдеттегіден өзгеше жағдайлардың
болып жатқанын сезуі өте қиынға соғады.
Компьютерде вирус жұққанң программалар соны көбеймей тұрғанда, онда
вирустың бар екені сырт көзге ешбір байқалмайды, бірақ біраз уақыт өткен
соң, компьютерде әдеттегіден тыс, келеңсіз құбылыстар басталғаны білінеді,
олар, мысалы, мынадай іс әрекеттер істеуі мүмкін:
Кейбір программалар жұмыс істемей қалады немесе дұрыс жұмыс істемейді;
Экранға әдеттегіден тыс бөтен мәліметтер, символдар, т.б. шығады;
Компьютердің жұмыс істеу жылдамдығы баяулайды;
Көптеген файлдардың бүлінгені байқалады және т.с.с.
Компьютерге вирус жұққанын байқаған кезде кейбір файлдар мен
каталогтар, дискідегі мәліметтер бұзылып үлгереді, оның үстіне
пайдаланылған дискеттер арқылы немесе жергілікті байланыс желілері бойымен
компьютердегі вирус басқа компьютерлерге таралып кеткені байқалмай да
қалады.
Вирустардың кейбір түрлерінің кері әсері тіпті одан да терең болады,
олар бастапқы кезде өзінің жұққанын ещбір әсерін білдіртпей, көптеген
программалармен дискілерге үндемей таралып өтеді де, сонан соң бірден бел
шешіп зиянкестік жасауға кіріседі. Мысалға, компьютердегі қатты дискіні
өздігінен қайта форматтап шығады. Ал зиянкестік әсерін программаларға өте
аз тигізіп, бірақ қатты дискідегі мәліметтерді іштен мүжіп құртып жататын
вирустарға не істеуге болады?
Осының бәрі вирустан дер кезінде қорғанбасақ, оның артқы әсері өте
жағдайсыз кезеңдерге душар ететіні талас тудырмаса керек.
Вирус программасының байқалмау себебі олардың көлемі кішігірім ғана
болады да, өздері ассембілер тілінде жазылады. Кез келген жағдайда вирус
программасы қай компьютерге арналып жазылса да, ол мәлімет алмасып жұмыс
істейтін басқа компьютерлерге де тез тарап кетеді және өте көп зиянкестік
әрекеттер жасауы мүмкін.
Қазіргі кездегі вирустар екі топқа бөлінеді:
Резиденттік (компьютер жадында тұрақты сақталынатын) вирустар;
Резиденттік емес вирустар;
Вирус жұққан программа іске қосылғанда резиденттік вирустар әсерлене
әрекет етеді. Олар жедел жадқа көшіріліп жазылып, алғашқы бірсыпыра уақытта
әсері сезілмегенмен, артынан бірден қатты іске кіріседі. Бұл вирустарды тез
анықтау ісін қиындатады.
Дискілерге мәлімет жазу кезінде вирус өзінің жабысуына қолайлы сәт
іздеп негізгі операциялар орындалып жатқанда солармен қосылып дискіге
жазылып алады да, оның қалай жұққанынң адамдар білмей де қалады. Ал
резиденттік емес вирус жедел жадқа тұрақты күйде жазылмайды, бірақ вирустың
әсері тиген программа іске қосылғанда ол екпіндене түседі де, өзі жұмыс
істеп тұрған каталогтан немесе РАТН командасында көрсетілген каталогтардан
өзі ішіне байқаусыз енеп кететін файл іздейді. Ондай файлды тауып, оның
ішіне кіріп алып, ол кейін жұмыс істейтін кезде соған зиянды әрекетін
тигізеді.

1.2. Вирустар қайдан пайда болады.

1.2.1. Жалпы байланыс желісі – электрондық почта.

Вирустардың негізгі шығу көзі бүгінгі күнде ІNTERNET жалпы байланыс
жүйесі болып табылады. Вирустардың әсер етуінің көпшілігі WordOffіce 97
форматтарында хат алмасу кезінде болады. Макровирус әсер еткен редакторды
пайдаланушы өзі де байқамай, вирус әсер еткен хаттарды адресаттарға
жібереді, ал олар өз кезегінде вирус әсер еткен жаңа хаттарды жібереді,
т.с.с.
Мысалға алсақ, пайдаланушы бес адресатпен хат алысады. Вирус әсер
еткен хатты жібергеннен кейін оны алған бес компьютердің бәрі де вирус әсер
еткен болып шығады. Содан соң вирус жаңадан әсер еткен әр компьютерден тағы
бес хат жіберіледі. Біреуі вирус алдында әсер еткен компьютерге артқа, ал
төртеуі – жаңа адресаттарға кетеді.
Осылай, хат таратудың екінші деңгейінде 1+5+20 =26 компьютерге әсер
етілді. Егер байланыс жүйесінің адресаттары күніне 1 рет хат алмасса, онда
жұмыс аптасының соңында (бес күн ішінде) ең кемі 1+5+20+80+320=426
компьютер әсерлеген болып шығады. Сонда он күннің ішінде 100 мыңнан астам
компьютер әсерленетінін есептен шығару қиын емес. Әр күн сайын олардың саны
төрт есе көбейіп отырады. Вирус таратылуының суреттеліп отырған жағдайын
вирусқа қарсы компаниялар жиі тіркейді. Аяғына дейін дұрыс қарамау
себептерінен қандай да бір ірі компанияның коммерциялық ақпаратты тарату
тізімдеріне әсерленген файл- құжат немесе EXCEL таблицасы түскен жағдайлар
аз емес – бұндай жағдайда осындай таратулардың бес емес, жүз немесе тіпті
мың абонент зиян шегеді, содан соң әсерленген файлдардың өздерінің он
мыңдаған абоненттеріне жіберіледі.

1.2.2. Электрондық пікірталастар, ftp және bbs файлдық серверлер.

Жалпы қолданыстағы файлдық серверлер мен элетрондық пікірталастарда
вирус таратудың негізгі көздерінің бірі болвып табылады. Әр апта сайын
қандай да бір пайдаланушы өз компьютерін BBS, ftp-серверлер немесе басқа
бір электрондық пікірталастан түскен вируспен әсерлендіріп алды деген хабар
келіп жатады.
Осының өзінде вирустың авторы әсерленген файлдарды бірнеше BBSftp-ға
салады немесе бірнеше пікірталасқа бір уақытта таратады және бұл файлдар
бағдармаллалық қамтамасыздандырудың қандай да бір жаңа версиясында
жасырынадың ( кейде – вирусқа қарсы жаңа версияларда). Вирусты ftpBBS
файлдық серверлеріне жалпы тарату жағдайында мың компьютер бір уақытта
бұзылуы мүмкін, алайда көп жағдайларда таратылу жылдамдығы қазіргі
жағдайларда макровирустарға қарағанда әлдеқайда төмен DOS – немесе WІNDOWS
–вирустар салынадың. Осы себептен осындай оқиғалар ешқашан жалпы
эпидемиямен аяқталмайды, макровирустар болса бұлай емес.

1.2.3. Жергілікті байланыс желілері.

Жылдам әсерленудің үшінші жолы – жергілікті байланыс желілері. Егер
қажетті қорғаy шараларын қолданбаса зақымдалған жұмыс станциясы байланыс
жүйесіне кіреді серверлердегі бір немесе бірнеше қызмет файлдарын
зақымдайды. Келесі күні пайдаланушылар байланыс жүйесіне кірерде
зақымдалған файлдарды серверден жібереді және осылай вирус зақымдалмаған
станцияға кіру мүмкіндігін алады. LOGІN.COM қызмет файлының орнына
сервердегі әртүрлі бағдармалалық қамтамасыздандырулар стандартты құжат-
шаблондар немесе фирмада қолданылатын EXCEL- таблицалар, т. б. жүруі
мүмкін.

1.2.4. Жалпы қолданыстағы дербес компьютерлер.

Сондай-ақ оқу орындарында орнатылған компьютерлер де қауіпті. Егер
студенттердің біреуі өз дискетасымен вирус әкелсе және қандай да бір оқу
компьютеріне жұқтырса, онда кезекті жұқпалының осы компьютермен жұмыс
істеген басқа студенттердің бәрінің дискеталары да дербес компьютерден
мәліметтерді алу кезінде жұқтырады. Егер бір адамнан артық жұмыс істесе,
үйдегі компьютерге де бұл қатысты болады. Институттағы көпшілік
пайдаланатын кoмпьютерлермен жұмыс істеп, бала-студенттер үйдегі
компьютерге вирус әкеліп, соның нәтижесінде вирус ата-аналар жұмыс істейтін
фирманың компьютерлік байланыс желілеріне түсетін жағдайлар аз емес.

1.2.5. Жөндеу қызметтері.

Компьютердің вируспен әсерленуі оның жөнделуі немесе алдын ала
тексерістен өтуі кезінде де болуы қазіргі күнде де сирек болса да
кездеседі. Жөндеушілер де – адамдар, олардың кейбіреулері компьютерлік
қауіпсіздіктің қарапайым ережелеріне де немқұрайлы қарайды.

2.1.2. Вирустарды табу әдістері.

Пайдаланушының компьютері вируспен зақымдалғанын сезіктеніп, бірақ
оған белгілі бірде-бір вирусқа қарсы бағдармалар дұрыс жауап бермеген
жағдайлармен кездесіп қалса, вирусты қайда және қалай іздеу керек?
Вирусқа қарсы бағдармаларды және утилиттерді пайдаланар алдында вирусы
жоқ екендігін біле тұрып, жазудан қорғалған дискетадағы DOS резервтік
көшірмесінен жұмыс жүктеп алуды және ары қарай тек осы дискеталардағы
бағдарламаларды қолдануды ұмытпау керек. Бұл резидентті вирустан
қауіпсіздену үшін қажет, өйткені ол бағдармалар жұмысын қоршап алуы немесе
олардың жұмысын тексеріліп отырған файлдар, дисктерді әсерлендіру үшін
пайдаланып қалуы мүмкін. Әрі өздерінің кодтары табылып қалуы мүмкін
екендігінен сезіктенсең, дисктегі мәліметтерді жойып жіберетін көп
вирустар бар. Әрине бұл талаптың жаңа форматтардың бірімен (NTFS, HPFS)
белгіленген макровирустар мен дисктерге қатысы жоқ. DOS жұмыс жүктеуінен
кейін бұндай винчестер DOS-бағдармалар үшін жабық болып шығады.

2.2. Жұмыс жүктейтін вирустарды табу.

Дисктердің жұмыс жүктейтін секторларында, әдетте, міндеті логикалық
дисктердің көлемдері мен шекараларын анықтау немесе операциялық жүйенің
жұмыс жүктеуі болып табылатын
аса үлкен емес бағдарламалар орналасады.
Ең басында вирустың бар екендігінен сезіктенетін сектордың құрамын
тексеріп алу қажет. Бұл мақсат үшін Нортон утилиттеріненң DІSKEDІT немесе
AVP кәсіби комплектінен AVPUTІL-ді қолданған ыңғайлы.
Кейбір жұмыс жүктейтін вирустарды әр түрлі мәтіндік жолдарының болуы
бойынша бірден табуға болады мысалы, Stoned вирусында Your PC іs now
Stoned, LEGALІSE MARІJUANA! жолдары болады. Дисктің жұмыс жүктеу
секторын бұзатын кейбір вирустар, керісінше, жұмыс жүктеу секторында
міндетті түрде болуы тиіс жолдардың жоқтығы бойынша анықталады. Бұндай
жолдарға жүйелік файлдардың аттары және қателер жайлы хабарлау жолы жатады.
Егер компьютерде Wіndows 95NT орнатылған болса, жұмыс жүктеу секторының
тақырыпша-жолының DOS-версиясының нөмірі бар жол немесе бағдарламалық
қамтамасыздандыруды жасаушы фирманың атауы, мысалы, MSDOS5.0 немесе
MSWІN4.0 болмауы немесе өзгеруі де вирус жұққандығы жайлы белгі болуы
мүмкін, өйткені бұл жүйелер белгісіз себептер бойынша дискеталардың жұмыс
жүктеу секторының тақырыпшасына мәтіннің кез келген жолдарын жазады.
MBR-де орналасқан MS-DOS стандартты жұмыс жүктеушісі сектордың
жартысынан аз бөлігін алады, және MBR- винчестерді бұзатын көптеген
вирустарды MBR секторындағы код ұзындығының өсуі бойынша оңай байқап қалуға
болады.
Алайда, мәтіндік жолдары жұмыс жүктеушіге өзгеріссіз енгізілетін және
жұмыс жүктеуші кодының өзгерістері ең аз болатын вирустар да бар. Бұндай
вирусты табу үшін көп жағдайларда әсерленбегені белгілі компьютерде
дискетаны форматтап алу, оның жұмыс жүктеу секторын файл түрінде сақтау,
содан соң біраз уақыт оны әсерленген компьютерде пайдалану, ал содан кейін
әсерленбеген компьютерде оның жұмыс жүктеу секторын нағыз сектормен
салыстыру жеткілікті. Егер жұмыс жүктеу секторының кодында өзгерістер болса
– вирус ұсталғаны. Жұқтырудың күрделірек тәсілдерін қолданатын вирустар да
бар, мысалы, MBR-ге вирус жұқтыру кезінде белсенді жұмыс жүктеу секторының
мекен-жайына сәйкес келетін Dіsk Partіtіon Table–дің бар болғаны үш байтын
ғана өзгертетін вирустар. Бұндай вирусты ұқсастыру үшін жұмыс жүктеу
секторы кодтарын оның кодының жұмыс алгоритмін толық талдауға дейін егжей-
тегжейлі зерттеу керек.

2.3. Файлдық вирусты табу

Жоғарыда айтып өткендей, вирустар резидентті және резидентті емес
болып бөлінеді. Сондықтан ең алдымен қарапайым оқиғаны – компьютердің
белгісіз резидентті емес вируспен әсерленуін қарастырайық. Бұндай вирус
қандай да бір әсерленген бағдарламаны жіберген кезде белсенеді, ол не істеу
керек болса, соны істейді, басқаруды бағдарлама таратушыға береді және ары
қарай (резидентті вирустардан айырмашылығы) оның жұмысына кедергі
жасамайды. Бұндай вирусты табу үшін винчестердегі және дистрибутивті
көшірмелердегі файлдар ұзындығын салыстыру қажет. Егер бұл көмектеспесе,
дистрибутивті көшірмелерді пайдаланатын бағдармалармен әр байтымен
салыстырулар үшін көптеген утилиттер жасалып шығарылған, солардың ішіндегі
ең қарапайымы COMP утилиті DOS - та орналасқан.
Сондай-ақ орындалып отырған файлдардың дамптарын қарастырып өтуге
болады. Кейбір жағдайларда вирустың бар екендігін оның кодында мәтіндік
жолдардың болуы бойынша бірден тауып алуға болады. Мысалы, көптеген
вирустарда COM, *COM, EXE, *EXE, **, MZ, COMMAND, т. б.
жолдар болады. Бұл жолдар көбіне зақымдалған файлдардың бас жағында немесе
аяқ жағында кездеседі.
Вируспен зақымдалған DOS-файлды анықтаудың тағы бір тәсілі бар. Ол
шығу мәтіні жоғары деңгейлі тілмен жазылған, орындалып отырған файлдардың
белгілі бір құрылымы болатындығына негізделген. Borland немесе Mіcrosoft
СC++ болғанда бағдарлама кодының сегменті файлдың бас жағында компиляторды
дайындап шығарушы фирманың копирайт жолы тұрады. Егер бұндай файлдың
дампында мәліметтер сегментінен кейін тағы бір код учаскесі болса, онда –
файлдың вирус жұқтырып алғандығы.
Осы Wіndows және OS2 файлдарын әсерлендіретін вирустардың көпшілігі
үшін де әділ. Осы операциялық жүйелердің орындалып отырған файлдарындағы
сегменттердің орналасуы мына тәртіпте стандартты болады: код сегменті, одан
соң мәліметтер сегменттері. Егер мәліметтер сегментінен кейін тағы бір код
сегменті болса, онда бұл да вирус бар екендігінің белгісі бола алады.
Ассембілер тілін білетін пайдаланушыларға күмәнді бағдармалар кодтарын
ұғынып алуға әрекет жасап көруге болады. Жылдам қарап шығу үшін HІEW
(Hacker*s VІEW) немесе AVPUTІL ең жақсы болады. Толығырақ зерттеу үшін
дизассембілер – Sourcer немесе ІDA-қажет болады.
Резидентті вирусқа қарсы бағдарлама мониторлардың біреуін жіберу және
олардың бағдарламалардың күмәнды әрекеттері жайлы хабарлауын бақылау
ұсынылады (COM немесе EXE-файлға жазу, абсолютті мекен-жай бойынша дискке
жазу, т.с.с.). Тек осындай әрекеттерді іліп әкетіп қоймай, сонымен бірге
күмәнді шақыру қайдан келіп түскендігін де хабарлайтын мониторлар бар
(осындай мониторларға AVPTSR.COM жатады). Осындай хабарды көрген соң, оның
қандай бағдарламадан келгенін анықтап алып, резидентті дизассамбілердің
(мысалы, AVPUTІL.COM) көмегімен оның кодтарын талдау кезінде 13h және 21h
үзілістерін трассалап белгілеу көп көмек көрсетеді.
Егер жұмыс WІNDOWS95 NT–ның DOS-бөлімінде жүргізілсе, резидентті DOS-
мониторлар көбінесе әлсіз болып шығады, өйткені WІNDOWS95 NT вирустың
мониторды айналып өтіп жұмыс істеуіне жол береді. DOS-мониторлар, сондай-
ақ, WІNDOWS вирустардың таратылуын да тоқтата алмайды.
Жоғарыда қарастырылған файлдық және жұмыс жүктеу вирустарын табу
әдістері резидентті де, резидентті емес те вирустардың көпшілігіне жарайды.
Алайда бұл әдістер, егер вирус стелс технологиясы бойыншa орындалса,
істемей қалады, бұл резиденттік мониторлардың, файлдарды салыстыру және
секторларды оқу утилиттерінің көпшілігін пайдалануды пайдасыз етеді.

2.4. Макровирустарды табу.

Макровирустарға тән көрінулер мыналар болып табылады:
1. WORD құжаттарында:
7. әсерленген WORD құжатын басқа форматқа конверсиялаудың мүмкін болмауы;
8. әсерленген файлдардың TEMPLATE (шаблон) форматы болады, өйткені WORD-
вирустар әсерленген кезде файлдарды WORD DOCUMENT-тен TEMPLATE-ке
конверсиялайды.
1. Тек WORD 6–да:
9. құжатты басқа каталогқабасқа дискке Save as бұйрығы бойынша жазудың
мүмкін болмауы;
1. ExcelWord-та:
10. STARTUP-каталогта бөтен файлдар болады.
1. 5- және 7-версиялы Excel таблицаларында:
11. Кітапта (Book) артық және жасырын беттердің (Sheets) болуы.
Жүйеде вирус барлығын тексеру үшін ToolsMacro менюі пунктін
қолдануға болады. Егер бөтен макростар табылса, олардың вирус макростары
болып шығуы мүмкін. Алайда бұл әдіс бұл меню пунктінің жұмысына тыйым
салатын стелсң-вирустар болғанда жұмыс істемейді, бұл, өз кезегінде,
жүйені әсерленген деп есептеуге негіз бола алады.
Көптеген вирустар Word және Excel-дің әртүрлі версияларында қате
жібереді немесе жаңылыс жұмыс істейді, осының нәтижесінде бағдарламалар
қате жайлы хабар береді, мысалы:
Word Basіc Err = қате нөмірі.
Егер бұндай хабар жаңа құжатты немесе таблицаны редакциялау кезінде
пайда болса, әрі қандай да бір пайдаланушылық макростар біле тұрып
пайдаланылмаса, онда бұл да жүйе әсерленгенінің белгісі болып табыла
алады.
Word, Excel және Wіndows файлдары және жүйелік кескін
үйлесімдеріндегі өзгерістер де вирус жайлы белгі болып табылады. Көптеген
вирустар ToolsOptіons менюі пунктерін ауыстырады. Prompt to Save Normal
Template, Allow Fast Save, Vіrus Protectіon атқарымына рұқсат береді
немесе тыйым салады. Кейбір вирустар файлдарға олар әсерленгенде
парольдер бекітеді. Жаңа секциялар және Wіndows (WІN.ІNІ) kескін үйлесімі
файлындағы опциялар көп вирустар жасайды.
Word немесе Excel бекітілген версиялы тілімен сәйкес келмейтін
тілде немесе түсініксіз мазмұнды диалогтар, хабарлардың пайда болуы
сияқты фактілер де вирус көрінулеріне жатады.

2.5. Резидентті вирусты табу.

Егер компьютерде вирус іс-әрекеттерінің іздері табылса, бірақ
файлдар мен дисктердің жүйелік секторларында көзге көрінетін өзгерістер
байқалмаса да, компьютердің стелсң - вирустардың бірін жұқтырғаны әбден
мүмкін. Бұл жағдайда DOS резервті көшірмесі бар, вирустары жоқ екендігі
белгілі дискетадан DOS-қа жұмыс жүктеу және резидентті вируспен
әсерленген кездегідей әрекет жасау қажет. Алайда, кейде бұл керек емес,
ал кейбір жағдайларда мүмкін емес. Мысалы, вируспен зақымдалған жаңа
компьюиерлерді сатып алу жағдайлары белгілі. Онда стелсң технологиясы
бойынша орындалған вирустың резидентті бөлігін тауып, бейтараптандыруға
тура келеді. Вирусты немесе оның резидентті бөлігін жадтың қай жерінде
және қалай іздеу керек? – деген сұрақ туады. Жадты әсерлендірудің бірнеше
тәсілдері бар.

2.5.1. DOS-вирустар.

1. Вирус үзілістер векторлары таблицасына кіріп кете алады. Бұндай вирусты
табудың ең жақсы тәсілі – резидентті бағдарламалар тізімі бар жадты бөліп
беру картасын қарап шығу. Жадтың толық картасы жад бөлінген барлық
блоктар жайлы ақпаратты хабарлайды: MCB жадын басқару блогының мекен-
жайы, бағдарлама блок иесінің аты, бағдарламалық сегмент (PSP)
префиксінің мекен-жайы және блок іліп әкететін үзіліс векторларының
тізімі.
Үзілістер векторлары таблицасында вирус болғанда, жадты бөліп беру
картасын бейнелетін утилиттер шулайң бастайды. Мысалы, AFVPTSR.COM,
AVPUTІL.COM.
Келесі, сенімдірек, бірақ пайдаланушыдан жоғары сапалы білім
дәрежесін талап ететін тәсіл – үзіліс векторлары таблицаларын
дизассемблердің көмегімен қарап шығу.
Егер осы кезде қандай да бір бағдарламалардың кодтары табылса,
вирустың коды табылғаны.
2. Вирус DOS-қа бірнеше тәсілмен құрыла алады: өз бетімен істейтін
жүйелік драйверге, жүйелік буферге, DOS-тың басқа жұмыс салаларына.
Мысалы, жүйелік жиналу саласына немесе DOS және BІOS таблицаларының
бос жерлеріне.
Өз бетімен жұмыс істейтін жүйелік драйверге вирус жұқтырудың ең
танымалң жолы – драйвері бар файлға вирус денесінің бекітілуі және
әсерленіп отырған драйвер тақырыпшасын модификациялау. Егер вирус өзін
жеке драйвер ретінде рәсімдесе, оны жүйелік драйверлер тізімі бар жадты
бөліп беру картасын қарап шығу кезінде табуға болады. Егер осының өзінде
CONFІG.SYS файлында сипатталмаған драйвер тізімде бар болып шықса да, ол
вирус болуы мүмкін. Егер вирус өз кодтарын жеке бағдарлама драйвер
ретінде бөліп көрсетпей-ақ, оның алдында орналасқан драйверге
желімделсе, оны төменде сипатталған әдістермен табуға болады.
Жүйелік буферге еніп, құрылатын вирус буферлердің жалпы санын
азайтуға тиіс: олай болмаған күнде ол дисктен оқудың келесі
операцияларымен жойылады. Жүйедегі шын мәнінде бар буферлер санын есептеп
шығаратын және алынған нәтижені CONFІG.SYS файлында орналасқан BUFFERS
бұйрығы мағынасымен салыстыратын бағдарламаны жазу тіпті де қиын емес.
Вирусты жүйелік таблицалар немесе DOS жиналу саласына енгізудің
жеткілікті тәсілдері бар. Алайда бұл тәсілдерді іске асыру вирус
авторынан DOS-тың әртүрлі версияларын егжей-тегжейлі білуді талап етеді.
Әрі DOS-та бос орындар сондай көп емес, сондықтан осындай типті толық
бағалы стелсң-вирусты жазуы күмәнді. Сөйтсе де, осындай вирус пайда
болса, оның кодын DOS-тың күмәнді учаскелерін дизассемблерлеумен табуға
болады.
3. Вирус бағдарлама саласына кіріп кетуі мүмкін:
12. Жеке резидентті бағдарлама немесе жеке жад блогі ретінде;
13. Қандай да бір резидентті бағдарлама ішінде немесе оған желімделіпң.
Егер вирус қолданбалы бағдарламалар үшін бөліп қойылған жад саласына
өзі үшін өз МСВ-ын жасап, жаңа блок ретінде немесе жеке резидентті
бағдарлама ретінде енгізілсе, оны МСВ-ның барлық блоктарының мекен-жайын
бейнелейтін жадты бөліп берудің толық картасын қарау кезінде табуға
болады. Әдетте, бұндай вирус аты жоқ және үзіліс векторларының біреуі
немесе бірнешеуін іліп әкететін жеке жад блогі сияқты болады.
4. Вирус DOS-та бөліп көрсетілген жад шекараларының сыртына да өтіп кете
алады. Барлық жұмыс жүктейтін және кейбір файлдық вирустар мекен-жайы
бойынша орналасқан сөздің мағынасын азайта отырып, DOS үшін бөліп
шығарылған жадтың сыртында орналасады.
4. Мұндай вирустарды табу өте оңай – жедел жадтың сиымдылығын шын
мәніндегі жадпен салыстыру жеткілікті. Егер 640 Кб-ның орнына жүйе
азырақ мағына хабарласа жадтың кесіп алынғанң учаскесін
дизассемблермен қарап шығу қажет. Егер бұл учаскеде қандай да бір
басқа бағдарламаның кодтары табылса, онда вирустың табылғаны.

2.5.2. WІNDOWS-вирустар.

Резидентті WІNDOWS-вирусты тау аса күрделі міндет болып табылады.
Вирус WІNDOWS ортасында қосымша немесе VxD драйвер ретінде болса, көзге
көрінбейді, өйткені бірнеше ондаған VxD-мен қосымшалар бір уақытта
белсенді болады, вирустың олардан ешқандай сыртқы айырмашылығы жоқ. Вирус
бағдарламаны белсенді VxD және қосымшалардың тізімінен тауып алу үшін
WІNDOWS-тың ішкі құрылысынң егжей-тегжейлері білу және берілген
компьютердегі драйверлермен қосымшалар жайлы толық түсінік болуы қажет.
Сондықтан резидентті WІNDOWS-вирусты ұстап алудың қолдануға болатын
жалғыз тәсілі – DOS-қа жұмыс жүктеу, және WІNDOWS-тың жіберіліп отырған
файлдарын жоғарыда сипатталған әдістермен тексеру.

3. Вирустарға қарсы күрес.

3.1. Антивирустық бағдарламалар.

Компьютерлік вирустармен күресте антивирустық бағдарламалар әсіресе
тиімді. Бірақ вирустардан 100 пайыздық қорғауға кепілдік беретін
антивирустар жоқ екендігін айтып өту керек, және осындай жүйелер бар деп
айтуды не адал емес жарнама, не кәсібін жақсы білмеу деп бағалауға
болады. Бұндай жүйелер жоқ, өйткені кез-келген антивирусқа көрінбейтін
контр-алгоритм вирусты әрқащан ұсынуға болады. Сонымен бірге, абсолюттік
антивирустың болуы мүмкін емес екендігі соңғы автоматтар теориясы
негізінде математикалық дәлелденген.

3.2. Қай антивирус жақсырақ?

Қай антивирус ең жақсы? Егер компьютерде вирустар болмаса және
ақпараттың вирустық қауіпті көздерін пайдаланбаса, кез келгені жақсы.
Егер электрондық почта бойынша белсенді түрде хат алысса және WORD-
ты пайдаланса немесе EXCEL таблицаларымен алмасатын болса, онда қандай да
бір антивирусты пайдалану қажет.
Вирусқа қарсы бағдарламалардың сапасы, олардың маңыздылығы азайып
отыратын тәртіпте келтірілген мына позицияларда анықталады:
1. Сенімділік және жұмыс істеу ыңғайлылығы – пайдаланушыдан арнайы
дайындықты қажет ететін антивирустың тұрып қалуы немесе басқа
техникалық мәселелердің болмауы.
1. Барлық таралған типтердегі вирустарды табу сапасы, файлдардың ішінде
құжаттаблицаларды (MS WORD, EXCEL, OFFІCE 97), бір жерге жиналған
және архивтендірілген файлдарды сканерлеу. Жалған істеп кетудіңң
жоқтығы. Әсерленген объектілердің емдеу мүмкіндігі. Сканерлер үшін
жаңа версиялардың пайда болу мезгілдігі де, яғни сканердің жаңа
вирусқа икемделу жылдамдығы да маңызды болып табылады.
1. Барлық жалпыға түсінікті платформаларға антивирус версияларының болуы
(DOS, WІNDOWS, WІNDOWS 95, WІNDOWS NT, NOVELL Net Ware, OS2, ALPHA,
Lіnux, т.б.), тек қана сұрау бойынша сканерлеуң режимі ғана болмай,
тез арада сканерлеуң-дің де болуы, байланыс жүйесін басқара алу
мүмкіндігі бар серверлік версиялардың болуы.
1. Жұмыс жылдамдығы және басқа да пайдалы ерекшеліктер, атқарымдар.
Антивирус жұмысының сенімділігі аса маңызды белгі болып табылады,
өйткені тіпті абсолютті вирус егер ол сканеpлеу прoцесін аяғына дейін
апаруға мүмкіндігі болмай, тұрып қалса және дисктер мен файлдардың бір
бөлігін тексермесе, вирyсты жүйеде байқаусыз қалдырып кетеді де, пайдасыз
болып шығуы мүмкін. Егер антивирус пайдаланушыдан арнайы білімді талап
ететін болса, онда ол да пайдасыз болып шығады, өйткені пайдаланушылардың
көпшілігі антивирустардың хабарларын елемей, ‘мышьң-тің курсоры қай түймеге
жақын екендігіне байланысты ОК немесе Cancel-ге басып қоюы мүмкін. Ал егер
антивирус қатардағы пайдаланушыға күрделі сұрақтарды тым жиі қоя берсе,
онда пайдаланушы бұл антивирусты қолданбай қояды немесе оны дисктен алып
тастайды.
Вирусқа қарсы бағдарламалардың міндеттері вирустарды ... жалғасы

Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Вирус және олармен күрес
Компьютерлiк вирустар жайлы мәлімет
ВИРУСТАРДЫҢ ТҮРЛЕРІ
Компьютерлік вирусология
Компьютерлік вирустар. Программалық вирустар.
Ревизор программалар
Компьютерлік вирустар және оның түрлері жайында
Вирус және оларға қарсы күрес
Компьютерлік вирустар туралы ақпарат
Компьютерлік вирустардың пайда болуы және олардан қорғану
Пәндер