Спосіб виявлення евристичний аналіз. Основи роботи антивірусних програм. Яка Евристичний аналіз робота

Антивірусні програми - це програми, основним завданням яких є захист саме від вірусів, або точніше, від шкідливих програм.

Методи і принципи захисту теоретично не мають особливого значення, головне щоб вони були спрямовані на боротьбу зі шкідливими програмами. Але на практиці справа йде трохи інакше: практично будь-яка антивірусна програма об'єднує в різних пропорціях всі технології та методи захисту від вірусів, створені до сьогоднішнього дня.

З усіх методів антивірусного захисту можна виділити дві основні групи:

• сигнатурні методи - точні методи виявлення вірусів, засновані на порівнянні файлу з відомими зразками вірусів
• евристичні методи - приблизні методи виявлення, які дозволяють з певною ймовірністю припустити, що файл заражений

сигнатурний аналіз

Слово сигнатура в даному випадку є калькою на англійське signature, що означає "підпис" або ж в переносному сенсі "характерна риса, щось ідентифікує". Власне, цим все сказано. сигнатурний аналіз полягає у виявленні характерних ідентифікуючих рис кожного вірусу і пошуку вірусів шляхом порівняння файлів з виявленими рисами.

сигнатурою вірусу буде вважатися сукупність рис, що дозволяють однозначно ідентифікувати наявність вірусу у файлі (включаючи випадки, коли файл цілком є \u200b\u200bвірусом). Всі разом сигнатури відомих вірусів складають антивірусну базу.

Завдання виділення сигнатур, як правило, вирішують люди - експерти в області комп'ютерної вірусології, здатні виділити код вірусу з коду програми і сформулювати його характерні риси в формі, найбільш зручною для пошуку. Як правило - тому що в найбільш простих випадках можуть застосовуватися спеціальні автоматизовані засоби виділення сигнатур. Наприклад, в разі нескладних за структурою троянів або черв'яків, які не заражають інші програми, а цілком є \u200b\u200bшкідливими програмами.

Практично в кожній компанії, яка випускає антивіруси, є своя група експертів, яка виконує аналіз нових вірусів і поповнює антивірусну базу новими сигнатурами. З цієї причини антивірусні бази в різних антивирусах відрізняються. Проте, між антивірусними компаніями існує домовленість про обмін зразками вірусів, а значить рано чи пізно сигнатура нового вірусу потрапляє в антивірусні бази практично всіх антивірусів. Кращим же антивірусом буде той, для якого сигнатура нового вірусу була випущена раніше всіх.

Одна з поширених помилок щодо сигнатур полягає в тому, кожна сигнатура відповідає рівно одному вірусу або шкідливій програмі. І як наслідок, антивірусна база з великою кількістю сигнатур дозволяє виявляти більше вірусів. Насправді це не так. Дуже часто для виявлення сімейства схожих вірусів використовується одна сигнатура, і тому вважати, що кількість сигнатур дорівнює кількості виявлених вірусів, вже не можна.

Співвідношення кількості сигнатур і кількості відомих вірусів для кожної антивірусної бази своє і цілком може виявитися, що база з меншою кількістю сигнатур насправді містить інформацію про більшу кількість вірусів. Якщо ж згадати, що антивірусні компанії обмінюються зразками вірусів, можна з високою часткою впевненості вважати, що антивірусні бази найбільш відомих антивірусів еквівалентні.

Важлива додаткова властивість сигнатур - точне і гарантоване визначення типу вірусу. Це властивість дозволяє занести в базу не тільки самі сигнатури, але і способи лікування вірусу. Якби сигнатурний аналіз давав тільки відповідь на питання, є вірус чи ні, але не давав відповіді, що це за вірус, очевидно, лікування було б не можливо - надто великим був би ризик зробити не ті дії і замість лікування отримати додаткові втрати інформації.

Інша важлива, але вже негативна властивість - для отримання сигнатури необхідно мати зразок вірусу. отже, сигнатурний метод непридатний для захисту від нових вірусів, т. к. до тих пір, поки вірус не потрапив на аналіз до експертів, створити його сигнатуру неможливо. Саме тому всі найбільші епідемії викликаються новими вірусами. З моменту появи вірусу в мережі Інтернет до випуску перших сигнатур зазвичай проходить кілька годин, і весь цей час вірус здатний заражати комп'ютери майже безперешкодно. Майже - тому що в захисті від нових вірусів допомагають додаткові засоби захисту, розглянуті раніше, а також евристичні методи, використовувані в антивірусних програмах.

евристичний аналіз

Слово "евристика" походить від грецького дієслова "знаходити". Суть евристичних методів полягає в тому, що рішення проблеми грунтується на деяких правдоподібних припущеннях, а не на строгих висновках з наявних фактів і передумов. Оскільки таке визначення звучить досить складно і незрозуміло, простіше пояснити на прикладах різних евристичних методів

Якщо сигнатурний метод заснований на виділенні характерних ознак вірусу і пошуку цих ознак у файлах, то евристичний аналіз ґрунтується на (вельми правдоподібному) припущенні, що нові віруси часто виявляються схожі на будь-які з уже відомих. Постфактум таке припущення виправдовується наявністю в антивірусних базах сигнатур для визначення не одного, а відразу декількох вірусів. Заснований на такому припущенні евристичний метод полягає в пошуку файлів, які в повному обсязі, але дуже близько відповідають сигнатурам відомих вірусів.

Позитивним ефектом від використання цього методу є можливість виявити нові віруси ще до того, як для них будуть виділені сигнатури. Негативні сторони:

• Імовірність помилково визначити наявність у файлі вірусу, коли насправді файл чистий - такі події називаються помилкові спрацьовування
• Неможливість лікування - і через можливі помилкові спрацьовування, і в силу можливого неточного визначення типу вірусу, спроба лікування може призвести до великих втрат інформації, ніж сам вірус, а це неприпустимо
• Низька ефективність - проти дійсно новаторських вірусів, що викликають найбільш масштабні епідемії, цей вид евристичного аналізу малопридатний

Пошук вірусів, що виконують підозрілі дії

Інший метод, заснований на евристиці, виходить з припущення, що шкідливі програми так чи інакше прагнуть завдати шкоди комп'ютеру. Метод заснований на виділенні основних шкідливих дій, таких як, наприклад:

• видалення файлу
• Запис в файл
• Запис в певні області системного реєстру
• Відкриття порту на прослуховування
• Перехоплення даних що вводяться з клавіатури
• Розсилка листів
• Та ін.

Зрозуміло, що виконання кожного такого дії окремо не є приводом вважати програму шкідливою. Але якщо програма послідовно виконує декілька таких дій, наприклад, записує запуск себе ж в ключ автозапуску системного реєстру, перехоплює дані вводяться з клавіатури і з певною частотою пересилає ці дані на якусь адресу в Інтернет, значить ця програма щонайменше підозріла. Заснований на цьому принципі евристичний аналізатор повинен постійно стежити за діями, які виконують програми.

Перевагою описаного методу є можливість виявляти невідомі раніше шкідливі програми, навіть якщо вони не дуже схожі на вже відомі. Наприклад, нова шкідлива програма може використовувати для проникнення на комп'ютер нову вразливість, але після цього починає виконувати вже звичні шкідливі дії. Таку програму може пропустити евристичний аналізатор першого типу, але цілком може виявити аналізатор другого типу.

Негативні риси ті ж, що і раніше:

• помилкові спрацьовування
• неможливість лікування
• невисока ефективність

Антивірусна програма здійснює пошук вірусів і шкідливих об'єктів на підставі порівняння досліджуваної програми зі своєю базою даних з описами вірусів. При виявленні відповідності антивірус може виробляти лікування знайденого вірусу, причому правила і методики лікування зазвичай зберігаються в тій же базі даних.

Однак ця база даних стає вразливим місцем антивіруса - він може виявляти тільки віруси, описані в його базі даних. Частково усунути цю проблему дозволяє евристичний аналізатор - спеціальна підсистема антивіруса, яка намагається виявити нові різновиди вірусів, не описані в базі даних. Крім вірусів евристичний аналізатор AVZ намагається виявити шпигунське ПЗ, Hijacker і троянські програми.

Робота евристичного аналізатора заснована на пошуку характерних для вірусів і шпигунських програм особливостей (фрагментів програмного коду, визначених ключів реєстру, файлів і процесів). Крім того, евристичний аналізатор намагається оцінити ступінь схожості досліджуваного об'єкта на відомі віруси.

Для пошуку шпигунського ПЗ, RootKit і Hijacker найбільш ефективний евристичний аналіз не окремо взятих файлів на диску, а всієї системи в цілому. При цьому аналізується сукупність даних в реєстрі, файлів на диску, процесів і бібліотек в пам'яті, що прослуховуються TCP і UDP портів, активних сервісів і завантажених драйверів.

Особливістю евристичного аналізу є досить високий відсоток помилок - евристик може повідомити про виявлення підозрілих об'єктів, але ця інформація потребує перевірки фахівцями-вірусологами. В результаті перевірки об'єкт визнається шкідливим і включається в бази або фіксується помилкове спрацьовування і в алгоритми евристичного аналізатора вводиться поправка.

У більшості антивірусів (в тому числі і в AVZ) є можливість регулювання чутливості евристичного аналізатора. При цьому завжди виникає протиріччя - чим вище чутливість, тим вище ймовірність виявлення евристикою невідомого шкідливого об'єкта. Але при збільшенні чутливості зростає ймовірність помилкових спрацьовувань, тому потрібно шукати якусь "золоту середину".

Евристичний аналізатор має кілька ступенів чутливості і два особливих режиму:

блокування роботи евристичного аналізатора. При цьому аналізатор повністю вимикається з роботи. У AVZ крім регулювання рівня чутливості евристичного аналізатора є можливість включати і вимикати евристичний аналіз системи;

"Параноїдальний" режим - в цьому режимі включається максимально можлива чутливість і попередження виводяться при найменшій підозрі. Цей режим природно неприйнятний через дуже високу кількість помилкових спрацьовувань, але він іноді корисний.

Основні повідомлення евристичного аналізатора AVZ наведені в наступному списку:

"Файл \u003e\u003e\u003e підозра на імя_віруса (короткі дані про об'єкт)"Подібне повідомлення видається при виявленні об'єкта, який на думку AVZ схожий на відомий шкідливий об'єкт. Дані в дужках дозволяють розробнику знайти в базі антивіруса запис, яка привела до видачі даного повідомлення;

"Файл \u003e\u003e\u003e PE файл з нестандартним розширенням"- це означає, що виявлений програмний файл, але замість типового розширення EXE, DLL, SYS він має інше, нестандартне розширення. Це не небезпечно, але багато вірусів маскують свої PE файли, даючи їм розширення PIF, COM. Дане повідомлення виводиться в будь-якому рівні евристики для PE файлів з розширенням PIF, COM, для інших - тільки при максимальному рівні евристики;

"Файл \u003e\u003e\u003e В імені файлу більше 5 прогалин"- безліч прогалин в імені файлу - це рідкість, проте багато вірусів застосовують прогалини для маскування реального розширення, створюючи файли з іменами типу" photo.jpeg .exe ";

"Файл \u003e\u003e\u003e Виявлена \u200b\u200bмаскування розширення"- аналогічно попередньому повідомленню, але видається при виявленні більше 15 прогалин в імені;

"Файл \u003e\u003e\u003e файл не має видимого імені"- видається для файлів, які не мають імені (тобто ім'я файлу має вигляд" .exe "або" .pif ");

"Процес Файл може працювати з мережею"- виводиться для процесів, які використовують бібліотеки типу wininet.dll, rasapi32.dll, ws2_32.dll - тобто системні бібліотеки, що містять функції для роботи з мережею або управління процесом набору номера і встановлення з'єднання. Дана перевірка проводиться тільки при максимальному рівні евристики. Факт використання мережевих бібліотек природно не є ознакою шкідливості програми, але звернути увагу на незрозумілі процеси в цьому списку стоїть;

Після повідомлення може виводитися цифра, яка представляє собою ступінь небезпеки в процентах. На файли, для яких видана ступінь небезпеки більше 30, слід звернути особливу увагу.

Що таке евристичний аналізатор?

1. Евристичний метод, на відміну від сигнатурного методу, націлений на виявлення не сигнатур шкідливого коду, а типових послідовностей операцій, що дозволяють зробити висновок про природу файлу з достатньою часткою ймовірності. Перевагою евристичного аналізу є те, що для його роботи не потрібна наявність попередньо складених баз. За рахунок цього нові загрози розпізнаються до того, як їх активність стає відома вірусним аналітикам.
2. прохання якщо дізнаєшся напиши мені
3. Евристичне сканування метод роботи антивірусної програми, заснований на сигнатурах і евристиці, покликаний поліпшити здатність сканерів застосовувати сигнатури і розпізнавати модифіковані версії вірусів в тих випадках, коли сигнатура збігається з тілом невідомої програми не на 100%, але в підозрілої програмі наявності більш загальні ознаки вірусу. Дана технологія, однак, застосовується в сучасних програмах дуже обережно, так як може підвищити кількість помилкових спрацьовувань.
4. Евристичний аналізатор (евристик) це антивірусний модуль, який аналізує код виконуваного файлу і визначає, чи інфікований об'єкт, що перевіряється.
   Під час евристичного аналізу не використовуються стандартні сигнатури. Навпаки, евристик приймає рішення на основі заздалегідь в нього закладених, іноді не зовсім чітких правил.

   Для більшої наочності такий підхід можна порівняти з штучним інтелектом, самостійно проводять аналіз і приймають рішення. Проте така аналогія відображає суть лише частково, оскільки евристик не вміє вчитися і, на жаль, має низькою ефективністю. За оцінками антивірусних експертів, навіть найсучасніші аналізатори не здатні зупинити більше 30% шкідливих кодів. Ще одна проблема помилкові спрацьовування, коли легітимна програма визначається як інфікована.

   Однак, незважаючи на всі недоліки, евристичні методи, як і раніше використовуються в антивірусних продуктах. Справа в тому, що комбінація різних підходів дозволяє підвищити підсумкову ефективність сканера. Сьогодні евристиками забезпечені продукти всіх основних гравців на ринку: Symantec, Лабораторії Касперського, Panda, Trend Micro і McAfee.
   В процесі евристичного аналізу перевіряється структура файлу, його відповідність вірусним шаблонам. Найбільш популярною евристичної технологією є перевірка вмісту файлу на предмет наявності модифікацій уже відомих сигнатур вірусів і їх комбінацій. Це допомагає визначати гібриди і нові версії раніше відомих вірусів без додаткового оновлення антивірусної бази.
   Евристичний аналіз застосовується для виявлення невідомих вірусів, і, як наслідок, не передбачає лікування.
   Дана технологія не здатна на 100% визначити вірус перед нею чи ні, і як будь-який імовірнісний алгоритм грішить помилкові спрацьовування.

   Будь-які питання - будуть вирішені мною, звертайтеся, допоможемо, чим зможемо

5. Евристичний аналізатор суммітует тенденції програмного коду за зверненнями до системних переривань, екстраполюючи рівень можливої \u200b\u200bшкідливості. Тим самим здійснюється збалансована захист операційної системи.
   Ну все начебто пояснив, зрозуміло ?;))
6. це типу штучного інтелекту. в реалі ця технологія недоступна, якісь приблежения до неї є, як ніби антивірус сам аналізує прогу і вирішує вірус вона чи ні

Ви можете користуватися антивірусним програмним забезпеченням, не маючи уявлення про те, як вона влаштована. Однак, в даний час існує дуже багато антивірусних програм, так що вам так чи інакше доведеться на чомусь зупинити свій вибір. Щоб цей вибір був по можливості обгрунтований і встановлені програми забезпечували максимальний ступінь захисту від вірусів, необхідно вивчити методики, що застосовуються цими програмами.

Існує кілька засадничих методик виявлення та захисту від вірусів. Антивірусні програми можуть реалізовувати тільки деякі методики або їх комбінації.

· Сканування

· Виявлення змін

· Евристичний аналіз

· Резидентні монітори

· Вакцинація програм

· Апаратна захист від вірусів

Крім того, більшість антивірусних програм забезпечують автоматичне відновлення заражених програм і завантажувальних секторів.

об'єкти зараження

У першому розділі ми вже розповіли про різні типи вірусів і про способи їх поширення. Перед тим як приступити до розгляду антивірусних засобів, перерахуємо області файлової системи комп'ютера, які піддаються зараженню вірусами і які необхідно перевіряти:

· Виконувані файли програм, драйверів

· Головний завантажувальний запис і завантажувальні сектори

· Файли конфігурації AUTOEXEC.BAT і CONFIG.SYS

· Документи в форматі текстового процесора Microsoft Word for Windows

Коли резидентний вірус стає активним, він поміщає свій постійно діючий модуль в оперативній пам'яті комп'ютера. Тому антивірусні програми повинні виконувати перевірку оперативної пам'яті. Так як віруси можуть використовувати не тільки стандартну пам'ять, то бажано виконувати перевірку верхньої пам'яті. Наприклад, антивірус Doctor Web перевіряє перші 1088 Кбайт оперативної пам'яті.

сканування

Найпростіша методика пошуку вірусів, полягає в тому, що антивірусна програма послідовно переглядає перевіряються файли в пошуку сигнатур відомих вірусів. Під сигнатурою розуміється унікальна сукупність електронних даних, що належить вірусу, і не зустрічається в інших програмах.

Визначення сигнатури вірусу досить складне завдання. Сигнатура не повинна міститися в нормальних програмах, не заражених цим вірусом. В іншому випадку можливі помилкові спрацьовування, коли вірус виявляється в абсолютно нормальною, чи не зараженої програмі.

Звичайно, програмами-сканерів не обов'язково зберігати в собі сигнатури всіх відомих вірусів. Вони можуть, наприклад, зберігати тільки контрольні суми сигнатур.

Антивірусні програми-сканери, які можуть видалити виявлені віруси, зазвичай називаються полифагами. Найвідомішою програмою-сканером є Aidstest Дмитра Лозинського. Aidstest перевіряє наявність вірусів по їх сигнатурам. Тому він виявляє тільки найпростіші поліморфні віруси.

У першому розділі ми розповідали про так званих шифруються і поліморфних віруси. Поліморфні віруси повністю змінюють свій код при зараженні нової програми або завантажувального сектора. Якщо ви виділите два примірники одного і того ж поліморфного віріуса, то вони можуть не збігатися ні в одному байті. Як наслідок, для таких вірусів неможливо визначити сінатуру. Тому прості антивірусні програми-сканери не можуть виявити поліморфні віруси.

Антивірусні програми-сканери можуть виявити тільки вже відомі віруси, які були попередньо вивчені і для яких була визначена сигнатура. Таким чином, використання програм-сканерів не захищає ваш комп'ютер від проникнення нових вірусів.

Для ефективного використання антивірусних програм, що реалізують метод сканування, необхідно постійно оновлювати їх, отримуючи найостанніші версії.

евристичний аналіз

Евристичний аналіз є відносно новим методом у виявленні вірусів. Він дозволяє виявляти раніше невідомі віруси, причому для цього не треба попередньо збирати дані про файлову систему, як цього вимагає метод виявлення змін.

Антивірусні програми, що реалізують метод евристичного аналізу, перевіряють програми і завантажувальні сектори дисків і дискет, намагаючись виявити в них код, характерний для вірусів. Так наприклад, евристичний аналізатор може виявити, що у перевіреній програмі є код, який встановлює резидентний модуль в пам'яті.

Антивірусна програма Doctor Web, що входить до складу комплекту AO "ДиалогНаука", має потужний евристичний аналізатор, що дозволяє виявити велику кількість нових вірусів.

Якщо евристичний аналізатор повідомляє, що файл або завантажувальний сектор можливо заражений вірусом, ви повинні поставитися до цього з великою увагою. Бажано досліджувати такі файли за допомогою самих останніх версій антивірусних програм або направити їх для детального вивчення в АТ "ДиалогНаука".

У комплект IBM AntiVirus входить спеціальний модуль, орієнтований на виявлення вірусів в завантажувальних секторах. Цей модуль використовує запатентовану технологію (patent-pending neural network technology from IBM) евристичного аналізу і дозволяє визначити, чи заражений завантажувальний сектор вірусом.

виявлення змін

Коли вірус заражає комп'ютер, він обов'язково робить зміни на жорсткому диску, наприклад, дописує свій код в здійсненний файл, додає виклик програми-вірусу в файл AUTOEXEC.BAT, змінює завантажувальний сектор, створює файл-супутник.

Антивірусні програми можуть попередньо запам'ятати характеристики всіх областей диска, які піддаються нападу вірусу, а потім періодично перевіряти їх (звідси походить їх назва програми-ревізори). Якщо буде виявлено зміна, тоді можливо що на комп'ютер напав вірус.

Зазвичай програми-ревізори запам'ятовують в спеціальних файлах образи головного завантажувального запису, завантажувальних секторів логічних дисків, параметри всіх контрольованих файлів, а також інформацію про структуру каталогів і номера поганих кластерів диска. Можуть перевірятися і інші характеристики комп'ютера - обсяг встановленої оперативної пам'яті, кількість підключених до комп'ютера дисків і їх параметри.

Програми-ревізори можуть виявити більшість вірусів, діжі тих, які раніше не були відомі. Віруси, що заражають файли програм тільки при їх копіюванні, ревізори як правило виявити не можуть, так як вони не знають параметрів файлу, які були до копіювання.

Однак слід враховувати, що не всі зміни викликані вторгненням вірусів. Так, завантажувальний запис може зміниться при оновленні версії операційної системи, а деякі програми записують всередині свого здійсненного файлу дані. Командні файли змінюються ще частіше, наприклад, файл AUTOEXEC.BAT зазвичай змінюється під час установки нового програмного забезпечення.

Програми-ревізори не допоможуть і в тому випадку, коли ви записали в комп'ютер новий файл, заражений вірусом. Правда, якщо вірус заразить інші програми, уже враховані ревізором, він буде виявлений.

Найпростіша програма-ревізор Microsoft Anti-Virus (MSAV) входить до складу операційної системи MS-DOS. Основним, і можливо єдиним її перевагою є те, що на неї не потрібно додатково витрачати гроші.

Значно більш розвинені засоби контролю надає програма-ревізор Advanced Diskinfoscope (ADinf), що входить до складу антивірусного комплекту АТ "ДиалогНаука". Більш детально ми розглянемо ці кошти в наступному розділі, а зараз тільки зауважимо, що разом з ADinf ви можете використовувати лікуючий модуль ADinf Cure Module (ADinfExt). ADinf Cure Module використовує зібрану раніше інформацію про файлах для відновлення їх після поразки невідомими вірусами.

Звичайно, не всі віруси можуть бути видалені ADinf Cure Module і іншими програмними засобами, заснованими на контролі і періодичної перевірки комп'ютера. Наприклад, якщо новий вірус шифрує диск, як це робить вірус OneHalf, тоді його видалення без розшифровки диска швидше за все призведе до втрати інформації. Віруси такого типу можуть бути видалені тільки після уважного вивчення фахівцями і включення модулів для боротьби з ними в звичайні полифаги - Aidstest або Doctor Web.

Відомі нам на момент написання книги антивірусні програми-ревізори непридатні для виявлення вірусів у файлах документів, так як вони за своєю суттю постійно змінюються. Ряд програм після впровадження в них коду вакцини перестають працювати. Тому для контролю за ними слід використовувати програми-сканери або евристичний аналіз.

резидентні монітори

Існує ще цілий клас антивірусних програм, які постійно перебувають в оперативній пам'яті комп'ютера, і відстежують всі підозрілі дії, що виконуються іншими програмами. Такі програми носять назву резидентних моніторів або сторожів.

Резидентний монітор повідомить користувачеві, якщо будь-яка програма спробує змінити завантажувальний сектор жорсткого диска або дискети, здійсненний файл. Резидентний монітор повідомить вам, що програма намагається залишити в оперативній пам'яті резидентний модуль і т. Д.

Більшість резидентних моніторів дозволяють автоматично перевіряти всі запускаються програми на зараження відомими вірусами, тобто виконують функції сканера. Така перевірка буде займати некториє час і процес завантаження програми сповільниться, але зате ви будете впевнені, що відомі віруси не зможуть активізуватися на вашому комп'ютері.

На жаль, резидентні монітори мають дуже багато недоліків, які роблять цей клас програм малопридатними для використання.

Багато програм, навіть не містять вірусів, можуть виконувати дії, на які реагують резидентні монітори. Наприклад, звичайна команда LABEL змінює дані в завантажувального сектору та викликає спрацьовування монітора.

Тому робота користувача буде постійно перериватися дратівливими повідомленнями антивіруса. Крім того, користувач повинен буде кожен раз вирішувати, чи викликано це спрацьовування вірусом чи ні. Як показує практика, рано чи пізно користувач відключає резидентний монітор.

І нарешті, найменший недолік резидентних моніторів полягає в тому, що вони повинні бути постійно завантажені в оперативну пам'ять і, отже, зменшують обсяг пам'яті, доступної іншим програмам.

У складі операційної системи MS-DOS вже є резидентний антивірусний монітор VSafe.

вакцинація програм

Для того, щоб людина змогла уникнути деяких захворювань, йому роблять щеплення. Існує спосіб захисту програм від вірусів, при якому до захищається програмі приєднується спеціальний модуль контролю, що стежить за її цілісністю. При цьому може перевірятися контрольна сума програми або будь-які інші характеристики. Коли вірус заражає вакцинована файл, модуль контролю виявляє зміна контрольної суми файлу і повідомляє про це користувачеві.

На жаль, на відміну від щеплень людині, вакцинування програм у багатьох випадках не рятує їх від зараження. Стелс-віруси легко обманюють вакцину. Заражені файли працюють також як зазвичай, вакцина не виявляє зараження. Тому ми не станемо зупинятися на вакцинах і продовжимо розгляд інших засобів захисту.

Апаратна захист від вірусів

На сьогоднішній день одним з найбільш надійних спсобов захисту комп'ютерів від нападів вірусів є апаратно-програмні засоби. Зазвичай вони представляють собою спеціальний контроллер, що вставляється в один з роз'ємів розширення комп'ютера і програмне забезпечення, що керує роботою цього контролера.

Завдяки тому, що контролер апаратної захисту підключений до системної шини комп'ютера, він отримує повний контроль над усіма зверненнями до дискової підсистеми комп'ютера. Програмне забезпечення апаратної захисту дозволяє вказати області файлової системи, які не можна змінювати. Ви можете захистити головний завантажувальний запис, завантажувальні сектора, виконувані файли, файли конфігурації і т. Д.

Якщо апаратно-програмний комплекс виявить, що будь-яка програма намагається порушити встановлену захист, він може повідомити про це користувачеві і заблокувати подальшу роботу комп'ютера.

Апаратний рівень контролю за дисковою підсистемою комп'ютера не дозволяє вірусам замаскувати себе. Як тільки вірус проявить себе, він відразу буде виявлений. При цьому абсолютно байдуже, як працює вірус і які кошти він використовує для доступу до дисків і дискет.

Апаратно-програмні засоби захисту дозволяють не тільки захистити комп'ютер від вірусів, але також вчасно припинити роботу троянських програм, націлених на руйнування файлової системи комп'ютера. Крім того апаратно-програмні засоби дозволяють захистити комп'ютер від некваліфікованого користувача і зловмисника, вони не дадуть йому видалити важливу інформацію, отформатівать диск, змінити файли конфігурації.

В даний час в Росії серійно виробляється тільки апаратно-програмний комплекс Sheriff. Він надійно зараження комп'ютера, дозволить користувачеві витрачати значно менше часу на антивірусний контроль комп'ютера звичайними програмними засобами.

За кордоном проводиться набагато більше коштів апаратно-програмного захисту, але їх ціна занчительно вище, ніж у Sheriff і становить кілька сотень американських доларів. Ось кілька назв таких комплексів:

Крім виконання своєї основної функції, апаратно-програмні засоби захисту комп'ютера можуть забезпечувати різний додатковий сервіс. Вони можуть керувати розмежуванням прав доступу різних користувачів до ресурсів комп'ютера - жорстких дисків, дисководів і т. Д.

Захист, вбудована в BIOS комп'ютера

Багато фірм, що випускають системні плати комп'ютерів, стали вбудовувати в них найпростіші засоби захисту від вірусів. Ці засоби дозволяють контролювати всі звернення до головного завантажувального запису жорстких дисків, а також до завантажувальнимсекторів дисків і дискет. У разі, якщо будь-яка програма спробує змінити вміст завантажувальних секторів, спрацьовує захист і користувач отримує відповідне попередження. При цьому він може дозволити це зміна або заборонити його.

Однак, такий контроль не можна назвати справжнім контролем на апаратному рівні. Програмний модуль, що відповідає за контроль доступу до завантажувальнимсекторів, знаходиться в ПЗУ BIOS і може бути обійдений вірусами, якщо вони замінюють завантажувальні сектори, звертаючись безпосередньо до портів введення / виводу контролера жорстких і гнучких дисків.

Існують віруси, які намагаються відключити антивірусний контроль BIOS, змінюючи деякі осередки в незалежній пам'яті (CMOS-пам'яті) комп'ютера.

Віруси Tchechen .1912 і 1914

Дуже небезпечні резидентні шифровані віруси. Намагаються знайти в ПЗУ BIOS текстові рядки Megatrends і AWARD. Якщо пошук закінчився успішно, вони вважають, що в комп'ютері встановлено BIOS фірм AWARD або AMI, відключають контроль за завантажувальними секторами і заражають головний завантажувальний запис жорсткого диска. приблизно через місяць після зараження вірус видаляє інформацію з усього першого жорсткого диска

Найпростіший засіб апаратного захисту - відключити від комп'ютера всі канали, через які в нього може проникнути вірус. Якщо комп'ютер не підключений до локальної мережі і в ньому не встановлено модем, то досить відключити накопичувачі на гнучких дисках і основний канал надходження вірусів в комп'ютер буде перекритий.

Однак таке відключення далеко не завжди можливо. У більшості випадків користувачеві для нормальної роботи потрібен доступ до дисководів або модемів. Крім того, заражені програми можуть проникнути в комп'ютер через локальну мережу або компакт-диски, а їх відключення значно звузить сферу застосування комп'ютера.

Методи видалення вірусів

Виявити вірус на комп'ютері - це тільки половина справи. Тепер його необхідно видалити. У більшості випадків антивірусні програми, які виявляють вірус, можуть його видалити. Існують дві основні методики, що використовуються антивірусними програмами для видалення вірусів.

Якщо ви виявили вірус, перевіряючи виконувані файли з розширенням імені COM і EXE, слід перевірити всі інші типи файлів, в яких міститься виконуваний код. В першу чергу це файли з розширенням SYS, OVL, OVI, OVR, BIN, BAT, BIN, LIB, DRV, BAK, ZIP, ARJ, PAK, LZH, PIF, PGM, DLL, DOC

Ви навіть можете перевірити взагалі всі файли на жорстких дисках комп'ютера. Можливо хтось перейменував заражений здійсненний файл, змінивши його розширення. Наприклад, файл EDITOR.EXE перейменували в EDITOR.EX_. Такий файл перевірений не буде. Якщо згодом його перейменують назад, вірус знову зможе активізуватися і поширитися в комп'ютері

Перша, найбільш поширена методика передбачає, що антивірусна програма видаляє вже відомий вірус. Щоб вірус міг бути правильно видалений, необхідно щоб він був вивчений, розроблений алгоритм його лікування і цей алгоритм був реалізований у новій версії антивірусу.

Друга методика дозволяє відновлювати файли і завантажувальні сектори, заражені раніше невідомими вірусами. Для цього антивірусна програма заздалегідь, до появи вірусів, повинна проаналізувати всі виконувані файли і зберегти про них багато різноманітної інформації.

При наступних запусках антивірусної програми вона повторно збирає дані про виконувані файли і звіряє її з даними, отриманими раніше. Якщо виявляються невідповідності, то можливо файл заражений вірусом.

В цьому випадку антивірус намагається відновити заражений файл, використовуючи для цього відомості про принципи впровадження вірусів в файли і інформацію про даному файлі, отриману до його зараження.

Деякі віруси заражають файли і завантажувальні сектори, заміщаючи своїм кодом частина заражаемого об'єкта, тобто безповоротно знищуючи заражає об'єкт. Файли і завантажувальні сектори, заражені такими вірусами, не можуть бути вилікувані за першої методиці, але як правило можуть бути відновлені за другою методикою. Якщо відновити заражені виконувані файли за допомогою антивірусних програм не виходить, ви повинні будете відновити їх з дистрибутива або повна резервна копія або просто видалити (якщо вони не потрібні).

З головного завантажувального блоку і завантажувальними секторами справа дещо складніша. Якщо антивірусна програма не в змозі відновити їх в автоматичному режимі, ви повинні будете зробити це вручну, скориставшись командами FDISK, SYS, FORMAT. Ручне відновлення завантажувальних секторів буде описано трохи пізніше, в шостому розділі.

Існує ціла група вірусів, які, заражаючи комп'ютер, стають частиною його операційної системи. Якщо ви просто видаліть такий вірус, наприклад відновивши заражений файл з дискети, то система може стати частково або повністю непрацездатною. Такі віруси треба лікувати користуючись першої методикою.

Як приклад таких вірусів можна привести завантажувальні віруси OneHalf і групу вірусів VolGU.

Під час завантаження комп'ютера вірус OneHalf поступово шифрує вміст жорсткого дісска. Якщо вірус знаходиться саморозміщувані в пам'яті, то він перехоплює всі звернення до жорсткого диска. У разі, коли будь-яка програма намагається вважати вже зашифрований сектор, вірус розшифровує його. Якщо ви видалите вірус OneHalf, інформація на зашифрованої частини жорсткого диска стане недоступною.

Вірус VolGU не шифрується дані, але він не менш небезпечний, ніж OneHalf. Кожен сектор жорсткого диска зберігає не тільки дані, записані в ньому, він також містить додаткову перевірочну інформацію. Вона являє собою контрольну суму всіх байт сектора. Ця контрольна сума використовується для перевірки соохранності інформацціі.

Зазвичай, коли програма звертається до дискової підсистеми комп'ютера, зчитуються і записуються тільки дані, контрольна сума коректується автоматично. Вірус VolGU, перехоплює звернення всіх програм до жорсткого диска і при запису даних на диск псує контрольні суми секторів.

Коли вірус активний, він дозволяє зчитувати сектори з неправильною контрольною сумою. Якщо просто видалити такий вірус, тоді сектори з неправильною контрольною сумою читатися не будуть. Операційна система повідомить вам про помилку читання з жорсткого диска (сектор не знайдене).

Підготовка до вірусній атаці

Користувачі комп'ютерів повинні завчасно підготуватися до можливої \u200b\u200bатаки вірусів, а не чекати до останньої хвилини, коли вірус вже з'явиться. Завдяки цьому ви зможете швидше виявити вірус і видалити його.

У чому ж має полягати така підготовка?

¨ Заздалегідь підготуйте системну дискету. Запишіть на неї антивірусні програми-полифаги, наприклад Aidstest і Doctor Web

¨ Постійно оновлюйте версії антивірусних програм, записаних на системній дискеті

¨ Періодично перевіряйте комп'ютер за допомогою різних антивірусних засобів. Контролюйте всі зміни на диску за допомогою програми-ревізора, наприклад ADinf. Нові та змінені файли перевіряйте програмами-полифагами Aidstest і Doctor Web

¨ Перевіряйте все дискети перед використанням. Для перевірки застосовуйте якомога більш пізні версії антивірусних програм

¨ Перевіряйте все виконувані файли, що записуються на комп'ютер

¨ Якщо вам потрібен високий рівень захисту від вірусів, встановіть в комп'ютері апаратний контролер захисту, наприклад Sheriff. Спільне використання апаратного контролера і традиційних антивірусних засобів дозволять максимально убезпечити вашу систему

Створення системної дискети

Зазвичай в комп'ютері встановлено два накопичувача на гнучких магнітних дисках. Один - для дискет розміром 5.25 дюйма, а другий для дискет розміром 3.5 дюйма. Операційна система MS-DOS, а також операційні системи Windows, Windows 95, Windows NT і OS / 2 привласнюють їм імена A: і B :. Який з дисководів має ім'я A :, а який B :, залежить від апаратури комп'ютера.

Як правило, користувач може змінити імена дисководів. Для цього необхідно відкрити корпус комп'ютера і перемкнути кілька роз'ємів. Якщо є така можливість, то цю роботу слід довірити технічного фахівця.

Накопичувачі на магнітних дисках розміром 5.25 дюйма поступово виходять з ужитку, тому в нових комп'ютерах встановлюють тільки один накопичувач на гнучких магнітних дисках, розрахований на дискети розміру 3.5 дюйма. У цьому випадку він має ім'я A :, диск B: відсутній.

Завантажити комп'ютер за допомогою системної дискети можна тільки з дисковода A :. Таким чином, для виготовлення системної дискети до свого комп'ютера ви повинні взяти дискету відповідного розміру.

Існує безліч програм, що дозволяють підготувати системну дискету. Такі програми входять до складу всіх операційних систем - MS-DOS, Windows 3.1, Windows 95 і OS / 2 та ін.

Найпростішими програмами для підготовки системних дискет є команди FORMAT або SYS, що входять до складу операційних систем MS-DOS і Windows 95 і тому в першу чергу ми опишемо саме їх.

Використання команди FORMAT

Команда FORMAT виконує форматування дискети і може записати на неї файли операційної системи. При форматуванні гнучких дисків FORMAT виконує розмітку доріжок на дискеті, і формує системні області - завантажувальний сектор, таблицю розміщення файлів і кореневої каталог.

Під час форматування дискети вся інформація, записана на ній, стирається. Так як FORMAT заново записує на дискету завантажувальний сектор, то якщо вона раніше була заражена завантажувальним вірусом, вірус видаляється. Можна сказати, що команда FORMAT виконує основну функцію антивіруса - видаляє з дискети шкідливі віруси.

При виклику команди FORMAT можна задати велику кількість різних параметрів. Їх опис ви можете знайти в четвертому томі серії "Персональний комп'ютер - крок за кроком", який називається "Що ви повинні знати про своєму комп'ютері". У цій книзі ми опишемо тільки кілька найнеобхідніших нам параметрів:

FORMAT drive:

Як параметр drive ви повинні задати ім'я дисковода, який буде форматуватидискету. Параметр / S означає, що після форматування дискети на неї переносяться основні файли операційної системи і дискета стає системною. Для підготовки системної дискети слід обов'язково вказати цей параметр.

Як ми говорили, команда FORMAT видаляє з форматується дискети всі записані на ній файли. Зазвичай FORMAT записує на дискеті приховану інформацію, що дозволяє в разі потреби відновити вилучені з неї файли.

Для відновлення файлів, видалених під час виконання форматування дискети, використовуйте команду UNFORMAT

Якщо ви твердо впевнені, що воосстанавлівать їх не доведеться, можна прискорити форматування дискети, вказавши додатковий параметр / U. У цьому випадку інформація про видаляються файлах не зберігається і їх не можна буде відновити.

Ви можете значно прискорити процес підготовки системної дискети, якщо вкажіть команді FORMAT додатковий параметр / Q. В цьому випадку виконується швидке форматування дискети:

Опишемо процес підготовки системної дискети більш докладно. Введіть наступну команду:

На екрані з'явиться пропозиція вставити дискету в дисковод A: і натиснути клавішу :

Insert new diskette for drive A:
and press ENTER when ready ...

Почнеться процес форматування. На екрані в процентах буде відображатися обсяг виконаної роботи.

Formatting 1.2M
77 percent completed.

Після закінчення форматування на дискету записуються основні файли операційної системи. Потім ви можете ввести мітку дискети. Мітка повинна містити не більше одинадцяти символів. Після введення мітки натисніть клавішу . Якщо ви не бажаєте привласнювати дискеті мітку, натисніть клавішу відразу:

Format complete.
System transferred

Volume label (11 characters, ENTER for none)?

Потім на екрані з'явиться різна статистична інформація: загальна ємність дискети, обсяг простору, зайнятий файлами операційної системи, обсяг доступного вільного простору. Якщо на дискеті виявлені погані сектори, недоступні для використання, відображається їх сумарний обсяг в байтах. Нижче виводиться розмір сектора в байтах, кількість вільних секторів на дискеті і її серійний номер:

1,213,952 bytes total disk space
198,656 bytes used by system
1,015,296 bytes available on disk

512 bytes in each allocation unit.
1,983 allocation units available on disk.

Volume Serial Number is 2C74-14D4

Format another (Y / N)?

На цьому підготовку системної дискети можна вважати завершеною. Якщо ви не плануєте відразу створити декілька системних дискет, натисніть клавішу . Щоб створити ще одну системну дискету, натисніть клавішу і повторіть описаний нами процес ще раз.

Використання команди SYS

Якщо у вас є вільна чиста відформатована дискета, швидше за все можна зробити її системною за допомогою команди SYS. Для цього вставте дискету в дисковод комп'ютера і введіть наступну команду:

SYS drive2:

Команда SYS має один обов'язковий параметр - drive2. Цей параметр повинен задавати ім'я дисковода, в якому готується системна дискета. Вам слід вказати як параметр drive2 ім'я A: чи B :.

необов'язкові параметри drive1 і path визначають розташування системних файлів на диску. Якщо ви не вкажете ці параметри, команда SYS буде брати системні файли з кореневого каталогу поточного диска.

Запис антивірусних програм на системну дискету

На системній дискеті розташовуються основні файли операційної системи MS-DOS: IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN. Якщо системна дискета виготовлена \u200b\u200bв операційній системі сумісної з MS-DOS, наприклад IBM PC -DOS, то імена цих файлів можуть бути інші.

Файли IO.SYS і MSDOS.SYS є ядро \u200b\u200bопераційної системи. Файл COMMAND.COM зазвичай називають командним процесором. Це та сама програма, яка виводить на екран комп'ютера системне запрошення і виконує команди операційної системи. Останній файл на системній дискеті - DBLSPACE.BIN. Він містить розширення операційної системи, яке забезпечує доступ до ущільненим дискам системи DoubleSpace.

Основні файли операційної системи - IO.SYS, MSDOS.SYS мають атрибут "прихований файл" і не показуються командою DIR. Щоб побачити їх, додайте до команди DIR параметр / A.

Після того як ви виготовили системну дискету, на ній залишилося ще багато вільного місця. Сумарний обсяг, яку він обіймав основними файлами операційної системи MS-DOS - IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN становить близько 200 Кбайт. Таким чином, якщо ви використовували дискету з високою щільністю запсісі, то у вашому розпорядженні виявляється більше мегабайта вільного простору.

Запишіть на системну дискету програмне забезпечення, необхідне для тестування і відновлення пошкодженої операційної системи. В першу чергу необхідно записати антивірусні програми, що виконують пошук вірусів і програму для перевірки цілісності файлової системи. Корисно записати команди FORMAT і FDISK - вони можуть знадобитися для ручного відновлення системи. Для зручності можна додатково записати на системну дискету оболонку, наприклад Norton Commander, і будь-який текстовий редактор.

У цій таблиці наведено програми, які допоможуть вам при відновленні працездатності комп'ютера. Бажано все їх записати на системну дискету. У разі, якщо вони не помістяться на одну системну дискету, підготуйте ще одну дискету і запишіть залишилися програми на неї.

У деяких випадках для доступу до жорстких дисків комп'ютера можуть використовуватися спеціальні драйвери або скільки-небудь програми. Їх обов'язково потрібно записати на підготовлену системну дискету. Щоб вони автоматично підключалися при завантаженні комп'ютера з системної дискети, створіть на ній файли CONFIG.SYS та AUTOEXEC.BAT, записавши в них команди завантаження необхідних драйверів.

Якщо до комп'ютера підключено пристрій читання компакт-дисків, запишіть на системну дискету програмне забезпечення, необхідне для його використання. Для MS-DOS вам треба записати драйвер пристрою читання і програму MSCDEX, що входить до складу операційної системи. Доступ до пристрою читання дозволить оперативно відновити програмне забезпечення, записане на компакт-дисках.

Операційна система Windows 95 не потребує програми MSCDEX, однак якщо графічна оболонка цієї системи на завантажується, MSCDEX все ж треба підключити

Після того як ви повністю підготували системну дискету і записали на неї всі необхідні програми, встановіть на неї захист від запису. Для цього на дискеті розміром 5,25 "необхідно заклеїти проріз на краю дискети, а на дискеті розміром 3,5" відкрити вікно захисту. Захист від запису дасть гарантію того, що ви часом не зіпсуєте вміст дискети і віруси не зможуть на неї проникнути. Так як дискети іноді виходять з ладу, то на цей випадок краще всього мати декілька ідентичних системних дискет.

Завантаження з системної дискети

Щоб завантажити комп'ютер з системної дискети, треба встановити пріоритетну завантаження операційної системи з гнучких магнітних дисків. Пріоритет завантаження операційної системи визначається в CMOS-пам'яті. Щоб змінити його, слід запустити програму Setup. Детальніше про програму Setup ви можете дізнатися з четвертого тому серії "Персональний комп'ютер - крок за кроком", який називається "Що ви повинні знати про своєму комп'ютері".

Існують віруси, що змінюють пріоритет завантаження комп'ютера. Для цього вони змінюють дані, записані в CMOS-пам'яті. Прикладом таких вірусів можуть бути віруси Mammoth.6000 і ExeBug. Ці віруси відключають в CMOS-пам'яті дисководи, тимчасово підключаючи їх, якщо будь-яка програма бажає прочитати або записати інформацію на дискету. Коли користувач намагається завантажити комп'ютер з дискети, завантаження буде виконуватися з жорсткого диска, так як дисковод відключений. Вірус отримає управління, а потім виконає завантаження комп'ютера з дискети.

При цьому з точки зору користувача все виглядає як зазвичай. Він бачить, що операційна система завантажується з дискети, але до цього часу вірус вже знаходиться в оперативній пам'яті і контролює роботу комп'ютера.

Тому безпосередньо перед тим як виконувати завантаження MS-DOS з системної дискети, переконайтеся, що вміст CMOS-пам'яті встановлено правильно. Для цього запустіть програму установки параметрів BIOS і перевірте вказаний там тип дисководів, а також порядок завантаження комп'ютера.

Вставте системну дискету в дисковод A: і перезапустіть комп'ютер. Якщо ви підозрюєте наявність вірусів, для перезавантаження необхідно вимкнути і включити живлення комп'ютера або натиснути кнопку "Reset" на корпусі комп'ютера. Деякі віруси відстежують перезавантаження за допомогою клавіш і можуть залишитися в оперативній пам'яті навіть після такого завантаження з системної дискети.

Після початкового тестування комп'ютера почнеться завантаження операційної системи з дискети. При цьому повинен горіти світлодіод дисковода A :. Процес завантаження з дискети проходить трохи повільніше, ніж з жорсткого диска, тому вам доведеться трохи почекати. Коли завантаження операційної системи завершиться, на екрані з'явитися відповідне повідомлення.

Потім операційна система запросить у вас поточну дату і час. Дата і час запитуються лише в тому випадку, якщо на дискеті (диску) відсутній системний конфігураційний файл AUTOEXEC.BAT.

Якщо ви не хочете змінювати дату і час, натисніть двічі клавішу . У цьому випадку дата і час залишаться без зміни, і на екрані з'явиться системне запрошення MS-DOS:

Ви можете створити на системній дискеті порожній файл AUTOEXEC.BAT, тоді дата і час запитуватися не будуть і після завантаження операційної системи на екрані відразу з'явиться системне запрошення.

Чи можна запобігти проникненню вірусів

Якщо періодично не проводити роботу з профілактики та лікування комп'ютерів від вірусів, можливість втрати інформації, що зберігається і руйнування операційної середовища стає більш ніж реальною.

Негативні наслідки вашої недбалості можуть бути різними, в залежності від того, який вірус потрапить в комп'ютер. Ви можете втратити або частина інформації з файлів, що зберігаються в комп'ютері, або окремі файли, або навіть всі файли на диску. Але найгірше, якщо вірус внесе невеликі зміни в файли даних, які спочатку можуть бути не помічені, а потім приведуть до помилок в фінансових або наукових документах.

Роботи з профілактики та лікування комп'ютерів від вірусів можуть включати наступні дії:

w Встановлювати програмне забезпечення слід тільки з дистрибутивів

w Встановіть на всіх ваших дискетах захист від запису і знімайте її тільки в разі потреби

w Обмежте обмін програмами і дискетами, перевіряйте такі програми і дискети на наявність вірусів

w Періодично перевіряйте оперативну пам'ять і диски комп'ютера на наявність вірусів за допомогою спеціальних антивірусних програм

w Виконуйте резервне копіювання інформації користувача

Чи не знайомтеся з незнайомими людьми

Ніякі заходи захисту не допоможуть захистити комп'ютер від проникнення вірусів, якщо ви не будете попередньо перевіряти всі записуються в нього виконувані файли. На сьогоднішній день така перевірка може здійснитися тільки за допомогою антивірусних програм-полифагов.

Постійна поява все нових і нових вірусів вимагає використання найновіших версій антивірусних програм. Бажано, щоб ними забезпечувався пошук не тільки відомих вірусів, але також і евристичний аналіз перевірених програм і завантажувальних секторів. Він дозволить виявити файли, заражені новими, ще невідомими і невивченими вірусами.

На жаль, антивірусні програми не можуть дати повної гарантії відсутності в перевіряється програмному забезпеченні вірусів і тим більше троянських програм або логічних бомб. Записуючи на свій комп'ютер програмне забезпечення невідомого походження, ви завжди ризикуєте

У великих організаціях має сенс виділити спеціальний комп'ютер для установки в нього сумнівного програмного забезпечення, наприклад комп'ютерних ігор. Цей комп'ютер повинен бути ізольований від інших комп'ютерів організації. В першу чергу необхідно відключити його від локальної мережі і заборонити користувачам не тільки копіювати з нього програми, але і записувати на нього файли зі своїх робочих дискет, заздалегідь не захищених від записи.

На час роботи з підозрілим програмним забезпеченням використовуйте програми-монітори, наприклад монітор VSafe, що входить до складу MS-DOS. Якщо програма дійсно виявиться заражена вірусом або вона містить логічну бомбу, монітор повідомить про будь-яких несанкціонованих діях з її боку. На жаль програми-монітори типу VSafe легко можуть бути обмануті вірусами, тому надійніше використовувати програмно-апаратні засоби захисту.

До складу антивірусного комплекту "ДиалогНаука" входить програмно-апаратний комплекс захисту Sheriff. Крім усього іншого, він виконує всі функції програм моніторів, але робить це значно краще. За рахунок того що контроль комп'ютера забезпечується спеціальним контролером захисту на апаратному рівні, віруси не зможуть обдурити Sheriff.

Як захистити дискети від запису

Ви можете захистити свої дискети від запису. Захист працює на рівні апаратури комп'ютера і її не можна відключити програмними методами. Тому вірус не зможе заразити завантажувальний сектор і виконувані файли, записані на дискеті з встановленою захистом від запису.

Всі дистрибутиви програмного забезпечення, записані на дискетах, повинна бути захищена від запису. Більшість програмного забезпечення можна встановлювати з дискет, на яких встановлено захист від запису

Якщо ви спробуєте записати дані на дискету з встановленою захистом від запису, операційна система виведе на екран комп'ютера попередження. Воно може мати різний вигляд, залежно від того, які кошти використовуються для запису на дискету.

Наприклад, якщо ви використовуєте команди COPY або XCOPY операційної системи MS-DOS, і намагаєтеся записати файл на захищену дискету, тоді на екрані з'явиться наступне повідомлення:

Write protect error reading drive A
Abort, Retry, Fail?

Користувач повинен відповісти, як операційна система повинна надійти в цій ситуації. Ви можете вибрати три відповіді: Abort, Retry або Fail. Для цього достатньо ввести з клавіатури перший символ обраного відвести: Abort - , Retry - , Fail - . Можна використовувати як заголовні так і малі літери.