классификация и характеристика
антивирусных программ.
Компьютерным вирусом называется специально написанная
программа, способная самопроизвольно присоединяться к
другим программам, создавать свои копии и внедрять их в
файлы, системные области компьютера и в вычислительные
сети с целью нарушения работы программ, порчи файлов и
каталогов, создания всевозможных помех в работе на
компьютере.Причины появления и распространения
компьютерных вирусов, с одной стороны, скрываются в
психологии человеческой личности и ее теневых сторонах
(зависти, мести, тщеславии непризнанных творцов,
невозможности конструктивно применить свои способности),
с другой стороны, обусловлены отсутствием аппаратных
средств защиты и противодействия со стороны операционной
системы персонального компьютера.
Несмотря на принятые во многих странах законы о борьбе с
компьютерными преступлениями и разработку специальных
программных средств защиты от вирусов, количество новых
программных вирусов постоянно растет. Это требует от
пользователя персонального компьютера знаний о природе
вирусов, способах заражения вирусами и защиты от них.
Основными путями проникновения вирусов в компьютер
являются съемные диски (гибкие и лазерные), а также
компьютерные сети. Заражение жесткого диска вирусами
может произойти при загрузке компьютера с дискеты,
содержащей вирус. Зараженный диск – это диск, в загрузочном
секторе которого находится программа – вирус.
После запуска программы, содержащей вирус, становится
возможным заражение других файлов. Наиболее часто
вирусом заражаются загрузочный сектор диска и исполняемые
файлы, имеющие расширения EXE , COM , SYS или ВАТ.
Крайне редко заражаются текстовые и графические файлы.
Зараженная программа – это программа, содержащая
внедренную в нее программу-вирус.
При заражении компьютера вирусом очень важно
своевременно его обнаружить. Для этого следует знать об
основных признаках проявления вирусов. К ним можно
отнести следующие:
-прекращение работы или неправильная работа ранее успешно
функционировавших программ;
-медленная работа компьютера;
-невозможность загрузки операционной системы;
-исчезновение файлов и каталогов или искажение их
содержимого;
-изменение даты и времени модификации файлов;
-изменение размеров файлов;
-неожиданное значительное увеличение количества файлов на
диске;
-существенное уменьшение размера свободной оперативной
памяти;
-вывод на экран непредусмотренных сообщений или
изображений;
-подача непредусмотренных звуковых сигналов;
-частые зависания и сбои в работе компьютера.
Следует заметить, что вышеперечисленные явления
необязательно вызываются присутствием вируса, а могут быть
следствием других причин. Поэтому всегда затруднена
правильная диагностика состояния компьютера.
В настоящее время известно более 5000 программных вирусов,
их можно классифицировать по следующим признакам
а – по среде обитания (сетевые, файловые, загрузочные,
файлово-загрузочные)- Сетевые вирусы распространяются по
различным компьютерным сетям. Файловые вирусы
внедряются главным образом в исполняемые модули, т.е. в
файлы, имеющие расширения СОМ и ЕХЕ. Файловые вирусы
могут внедряться и в другие типы файлов, но, как правило,
записанные в таких файлах, они никогда не получают
управление и, следовательно, теряют способность к
размножению. Загрузочные вирусы внедряются в загрузочный
сектор диска ( Boot -сектор) или в сектор, содержащий
программу загрузки системного диска ( Master Boot Record ).
Файлово-загрузочные вирусы заражают как файлы, так и
загрузочные сектора дисков.
б – по способу заражения (резидентные, нерезидентные) -
Резидентный вирус при заражении (инфицировании)
компьютера оставляет в оперативной памяти свою
резидентную часть, которая потом перехватывает обращение
операционной системы к объектам заражения (файлам,
загрузочным секторам дисков и т.п.) и внедряется в них.
Резидентные вирусы находятся в памяти и являются
активными вплоть до выключения или перезагрузки
компьютера. Hepезидентные вирусы не заражают память
компьютера и являются активными ограниченное время.
в – по степени воздействия (неопасные, опасные, очень
опасные) - неопасные , не мешающие работе компьютера, но
уменьшающие объем свободной оперативной памяти и памяти
на дисках, действия таких вирусов проявляются в каких-либо
графических или звуковых эффектах;
опасные вирусы, которые могут привести к различным
нарушениям в работе компьютера;
очень опасные, воздействие которых может привести к потере
программ, уничтожению данных, стиранию информации в
системных областях диска.
г. – по особенностям алгоритмов (паразитические,
репликаторы, невидимки, мутанты, Трояны) - Простейшие
вирусы - паразитические, они изменяют содержимое файлов и
секторов диска и могут быть достаточно легко обнаружены и
уничтожены. Можно отметить вирусы-репликаторы,
называемые червями, которые распространяются по
компьютерным сетям, вычисляют адреса сетевых
компьютеров и записывают по этим адресам свои копии.
Известны вирусы-невидимки, называемые стелс-вирусами,
которые очень трудно обнаружить и обезвредить, так как они
перехватывают обращения операционной системы к
пораженным файлам и секторам дисков и подставляют вместо
своего тела незараженные участки диска.
Наиболее трудно обнаружить вирусы-мутанты, содержащие
алгоритмы шифровки-расшифровки, благодаря которым копии
возможности архиваторов.
Характерной особенностью большинства «классических»
типов данных, с которыми традиционно работают люди,
является определенная избыточность. Степень избыточности
зависит от типа данных. Кроме того, степень избыточности
данных зависит от принятой системы кодирования. Так,
например, можно сказать, что кодирование текстовой
информации средствами русского языка (с использованием
русской азбуки) дает в среднем избыточность на 20-30%
больше, чем кодирование адекватной информации средствами
английского языка.
При обработке информации избыточность также играет
важную роль. Однако, когда речь заходит не об обработке, а о
хранении готовых документов или их передаче, то
избыточность можно уменьшить, что дает эффект сжатия
данных.
Если методы сжатия информации применяют к готовым
документам, то нередко термин сжатие данных подменяют
термином архивация данных, а программные средства,
выполняющие эти операции, называют архиваторами.
В зависимости от того, в каком объекте размещены данные,
подвергаемые сжатию, различают:
• уплотнение (архивацию) файлов;
• уплотнение (архивацию) папок;
• уплотнение дисков.
Если при сжатии данных происходит изменение их
содержания, метод сжатия необратим и при восстановлении
данных из сжатого файла не происходит полного
восстановления исходной последовательности. Такие методы
называют также методами сжатия с регулируемой потерей
информации. Они применимы только для тех типов данных,
для которых формальная утрата части содержания не приводит
к значительному снижению потребительских свойств. В
первую очередь, это относится к мультимедийным данным:
видеорядам, музыкальным записям, звукозаписям и рисункам.
Методы сжатия с потерей информации обычно обеспечивают
гораздо более высокую степень сжатия, чем обратимые
методы, но их нельзя применять к текстовым документам,
базам данных и, тем более, к программному коду.
Характерными форматами сжатия с потерей информации
являются:
• JPG для графических данных;
• .MPG для видеоданных;
• . М РЗ для звуковых данных.
Если при сжатии данных происходит только изменение их
структуры, то метод сжатия обратим. Из результирующего
кода можно восстановить исходный массив путем применения
обратного метода. Обратимые методы применяют для сжатия
любых типов данных. Характерными форматами сжатия без
потери информации являются:
• .GIF, TIP,. PCX и многие другие
для графических данных;
• .AVI для видеоданных;
• .ZIP, .ARJ, .BAR, .LZH, .LH, .CAB
и многие другие для любых типов данных.
«Классическими» форматами сжатия данных, широко
используемыми в повседневной работе с компьютером,
являются форматы .ZIP и .ARJ. В последнее время к ним
добавился популярный формат .RAR.
К базовым функциям, которые выполняют большинство
современных диспетчеров архивов, относятся:
• извлечение файлов из архивов;
• создание новых архивов;
• добавление файлов в имеющийся
архив;
• создание самораспаковывающихся
архивов;
• создание распределенных архивов
на носителях малой емкости;
• тестирование целостности
структуры архивов;
• полное или частичное
восстановление поврежденных архивов;
• защита архивов от просмотра и
несанкционированной модификации.
Самораспаковывающиеся архивы.. Самораспаковывающийся
архив готовится на базе обычного архива путем
присоединения к нему небольшого программного модуля. Сам
архив получает расширение имени .ЕХЕ, характерное для
исполнимых файлов.
Распределенные архивы. Некоторые диспетчеры (например
WinZip) выполняют разбиение сразу на гибкие диски, а
некоторые (например WinRAR и WinArj) позволяют
выполнить предварительное разбиение архива на фрагменты
заданного размера на жестком диске. Впоследствии их можно
перенести на внешние носители путем копирования.
При создании распределенных архивов диспетчер WinZip
обладает неприятной особенностью: каждый том несет файлы
с одинаковыми именами. В результате этого нет возможности
установить номера томов, хранящихся на каждом из гибких
дисков, по названию файла Диспетчеры архивов WinArj и
WinRAR маркируют все файлы распределенного архива
разными именами и потому не создают подобных проблем.
Защита архивов. В большинстве случаев защиту архивов
выполняют с помощью пароля, который запрашивается при
попытке просмотреть, распаковать или изменить архив.
К дополнительным функциям диспетчеров архивов относятся
сервисные функции, делающие работу более удобной. Они
часто реализуются внешним подключением дополнительных
служебных программ и обеспечивают:
- просмотр файлов различных форматов без извлечения их из
архива;
поиск файлов и данных внутри архивов;
установку программ из архивов без предварительной
распаковки;
проверку отсутствия компьютерных вирусов в архиве до его
распаковки;
криптографическую защиту архивной информации;
декодирование сообщений электронной почты;
«прозрачное» уплотнение исполнимых файлов .ЕХЕ и .DLL;
создание самораспаковывающихся многотомных архивов;
выбор или настройку коэффициента сжатия информации.
Магнитные диски ПК в настоящее время являются основными
носителями информации, предназначенными для длительного
и надежного ее хранения. В процессе работы персонального
компьютера непрерывно происходит обмен информацией
между дисками и оперативной памятью, при этом наиболее
интенсивно происходит обмен с жестким диском. Несмотря на
высокое качество изготовления дисков и дисковых устройств,
в практике регулярной работы на компьютере нередко
возникают ситуации, когда не удается прочитать информацию
с дисков, происходят нарушения в работе файловой системы,
значительно сокращается свободное пространство на дисках
или диски оказываются переполненными. Нередко ошибочно
удаляются нужные файлы. Эти нарушения в работе дисков
могут возникать по следующим причинам:
при физическом повреждении диска
при загрязнении магнитной поверхности диска;
при аварийном отключении компьютера;
при несвоевременном извлечении дискет из дисководов;
при перезагрузке операционной системы после аварийного
завершения задания;
при воздействии программных вирусов.
Кроме того, при интенсивной эксплуатации компьютера на
дисках, главным образом на жестких, накапливаются такие
изменения в расположении файлов, которые, если не
принимать мер, могут привести к существенному замедлению
обмена с ними информацией. В данном подразделе
рассматриваются программные средства для восстановления
удаленных файлов, ремонта поврежденной файловой системы,
восстановления информации поврежденных файлов и
каталогов, профилактики файловой системы с целью
ускорения обмена с жестким диском. Основное внимание
уделено применению популярных програм-утилит из пакета
Norton Utilities версии 8.0. В процессе работы на компьютере
нередки случаи ошибочного или случайного удаления файлов
и каталогов, содержащих ценную для пользователя
информацию. Конечно, если сохранились точные копии
удаленных файлов, то особых проблем не возникает. Но, если
копий нет, то восстановить удаленную информацию могут
специально разработанные программы:
Undelete, входящая в состав операционной системы MS DOS;
UnErase, входящая в пакет сервисных программ Norton
Utilities.
Восстановление удаленных файлов и каталогов - это
воссоздание на диске файлов и каталогов точно в таком же
виде, какой они имели до удаления.
Для успешного восстановления стертых файлов и каталогов
очень важно выполнение условий, чтобы после удаления не
производилась запись какой-либо информации на тот диск, на
котором находились эти файлы, и чтобы файлы не были
фрагментированы. Панель удаленных файлов программы
UnErase. Чтобы загрузить программу, достаточно ввести ее
имя: UnErase и нажать клавишу <Enter>. На экране появится
панель удаленных файлов, а в верхней строке экрана - меню
утилиты.
Файловая панель содержит информацию только об удаленных
файлах и каталогах, расположенную в пяти колонках с
названиями: Name - полное ими файла или подкаталога; Size -
размер файла в байтах или пометка D1R для подкаталога; Date
- дата создания файла или подкаталога; Time - время создания
файла или подкаталога; Prognosis - прогноз на восстановление.
При эксплуатации магнитных дисков нередко приходится
сталкиваться с нарушениями в их работе, вызванными
логическими или физическими дефектами, в результате
которых информация не может быть правильно считана или
записана.
Для восстановления поврежденных файлов и дисков
используются специально разработанные программы,
такие, как CHKDSK, SCANDISK, входящие в состав
операционной системы MS DOS, и программа NDD (Norton
Disk Doctor), входящая в состав программ Norton Utilities.
Файл, который занимает на диске более одного непрерывного
участка, называется фрагментuрованным.
Для увеличения свободного пространства диска производят
его чистку, т.е. удаление неиспользуемых файлов. Однако
удаление файлов еще больше способствует фрагментации, так
как освободившиеся участки будут использоваться
операционной системой для размещения фрагментов новых
файлов. При этом может возникнуть ситуация, при которой
свободного пространства на диске много, но все оно состоит из
множества разбросанных по диску мелких участков для
размещения файлов целиком. Если в процессе длительной
эксплуатации диска, особенно жесткого, не принимать
специальных мер, то фрагментированной окажется большая
часть файлов и это может замедлить работу диска и
соответственно программ, взаимодействующих с ним, в
несколько раз. Кроме того, наличие фрагментации всегда
ухудшает прогноз восстановления удаленных файлов и
каталогов.
В настоящее время разработаны и широко применяются
специальные программы, устраняющие фрагментацию
дисков. К лучшей из них можно отнести программу-
утилиту Speed Disk из пакета сервисных программ Norton
Utilities, назначение н порядок работы с которой мы далее
рассмотрим. В несколько упрощенном виде эта программа по
лицензионному соглашению вошла в состав операционной
системы MS DOS под именем DEFRAG.EXE. Программа
Speed Disk выполняет дефрагментацию диска, т.е.
реорганизует физическое расположение всех файлов и
каталогов таким образом, чтобы минимизировать перемещение
магнитных головок дисководов.
Программа Speed Disk выполняет две процедуры:
объединяет все неиспользуемые участки диска и помещает их
в конец диска, образуя сплошное пространство;
объединяет фрагменты файлов, располагая все кластеры
каждого файла в виде одного сплошного участка.
Кроме устранения фрагментации диска программа Speed Disk
для ускорения доступа к файлам позволяет изменить
местоположения файлов и каталогов на диске. Все эти
операции, которые программа производит с дисковой
информацией, называют оптимизацией диска.