Защита от компьютерных вирусов. Работа с антивирусной программой Dr.Web
Государственный
комитет России
по высшему образованию.
Рязанская Государственная
Радиотехническая Академия
Кафедра ЭВМ.
«Защита от
компьютерных вирусов. Работа с антивирусной программой DrWeb»
Выполнил
студент гр.343
Кондрахин А.В.
Проверил
Доц. Иопа Н.И.
Ст. пр. Гринченко Н.Н.
Рязань, 2007 г.
Цель работы
1.
Изучение компьютерных вирусов и методов борьбы с ними
2. Работа с антивирусной
программой Dr.Web
1.
Теоретическая
часть
Если Вы
имеете опыт продолжительной работы с ПК, то, возможно, уже сталкивались с
компьютерными вирусами или хотя бы слышали о них. Компьютерный вирус-это
программа, производящая в Вашем ПК действия, в которых Вы не нуждаетесь и о
которых не подозреваете. Главной ее особенностью является способность к
«размножению», т. е. к созданию множества готовых к дальнейшей работе
экземпляров вируса. Вирусы «цепляются» к обычным исполняемым файлам типа .ЕХЕ,
.СОМ или к загрузочным секторам физических носителей информации (дискет) и
таким образом перемещаются от одного ПК к другому.
Являвшиеся
первоначально вполне невинным развлечением скучающих программистов компьютерные
вирусы сегодня стали настоящим бедствием для пользователей ПК: количество и
типы таких программ растут с ужасающей скоростью, а сами вирусы в ряде случаев
приобрели весьма неприятные свойства-некоторые из них способны уничтожать файловую
структуру дисков со всеми катастрофическими для пользователя последствиями. В
литературе [14] описывается беспрецедентный случай, когда вирус на Три дня (с 2
по 4 ноября 1988 г.) вывел из строя фактически всю компьютерную сеть США. Были
парализованы компьютеры Агентства национальной безопасности, Стратегического
командования ВВС США, локальные сети всех крупных университетов и
исследовательских центров. Лишь в последний момент удалось спасти систему
управления полетом космических кораблей Шаттл.
Положение
было настолько серьезным, что к расследованию немедленно приступило ФБР.
Виновником катастрофы, причинившей ущерб более чем в 100 миллионов долларов,
оказался студент выпускного курса Корнеллского университета Р. Моррис,
придумавший достаточно хитрую разновидность вируса. Он был исключен из
университета с правом восстановления через год и приговорен судом к уплате
штрафа в 270 тысяч долларов и трем месяцам тюремного заключения. Трудно
объяснить, для чего программисты тратят силы и время на создание все более
изощренных типов вируса, поскольку их авторы почти всегда остаются или
надеются остаться анонимными, так что естественное для человека стремление к
известности здесь исключено.
Может быть
это неудачная шутка (этой версии придерживался Р. Моррис), возможно это связано
с патологическими отклонениями в психике, а может быть объяснение кроется в
стремлении заработать на создании антивирусных программ? Как бы там ни было,
нам нельзя не считаться с возможностью заражения ПК компьютерным вирусом.
Общие сведения о
вирусах.
А) Понятие о вирусах
и признаках заражения компьютера
Компьютерный вирус - это специально написанная
небольшая по размерам программа, которая может "приписывать" себя к
другим программам, т.е. "заражать" их, а также изменять или удалять
файлы, проигрывать мелодии, выводить на экран различные видеоэффекты. При
запуске такой программы управление получает вирус, который сначала выполняет
заложенные в него действия, а затем запускает саму программ).
Факты свидетельствующие о заражении компьютера
вирусом :
- воспроизведение
компьютером различных звуковых и видеоэффектов;
- свечение индикатора
дисковода, когда к нему нет обращения;
- увеличение размеров
исполняемых файлов (exe, com, sys, dll, ovl и и т.д.)
- наличие файлов с
некорректным временем создания (например, 10ч 25м 62с);
- неуместное появление
системных сообщений;
- появление на диске
зарегистрированных дефектных кластеров;
- постоянное увеличение
количества файлов на диске;
- неожиданное зависание
компьютера с невозможностью перегрузки;
-разрушение
файловой структуры.
Б)
Классификация вирусов. Характеристика классов.
Вирусы можно разделить на классы по трем
признакам:
1) среде обитания и способу распространения:
-сетевые распространяются по компьютерным сетям, файлы и
диски не заражают;
-файловые внедряются в выполняемые файлы;
-загрузочные внедряются в область диска,
используемую при загрузке операционной системы;
-файлово-загрузочные комбинация предыдущих
двух видов;
-вирусы-компаньоны непосредственно файлы
не заражают, но для файлов с расширением "ехе" создают одноименные
файлы с расширением "com", содержащие тело вируса; таким образом,
если при запуске программы не указать расширение "ехе", то MS-DOS запустит com-файл с вирусом;
- макро-вирусы наиболее многочисленная
разновидность вирусов: внедряются в документы MS-Word, MS-ExceL MS-PowerPoint благодаря наличию в этих
программах встроенных языков VisualBasic и WordBasic.
2) способу заражения:
-
резидентные
постоянно
находятся в оперативной памяти и заражают запускаемые в это время программы;
-
нерезидентные
активны
только в момент запуска зараженной программы.
3)
деструктивным возможностям:
-безвредные приводят лишь к уменьшению свободной памяти на
диске;
-неопасные ограничиваются графическими, звуковыми и прочими
эффектами;
-опасные - могут привести к серьезным сбоям в работе
компьютера;
-очень
опасные - могут привести к потере программ, уничтожить данные, стереть
необходимую для работы компьютера информацию.
В) Профилактические меры:
Для предотвращения заражения вирусами используют
такие профилактические меры, как:
- создание архивных копий
всех важных материалов;
- проверка любых новых
программ и дискет при помощи антивирусов;
-ограничение
доступа по записи к внешним носителям;
- использование
лицензионных программ.
Антивирусные программы делят на:
программы-детекторы - проверяют файлы на
наличие в них уникальной последовательности байт (сигнатуры), принадлежащей
одному из известных ранее вирусов, а также проводят так называемый эвристический
анализ, т.е. поиск в теле программы действий, характерных для вирусов;
программы-доктора — лечат зараженные файлы, вырезая из них тело
вируса.
Часто антивирусные программы объединяют в себе
функции детектора и доктора;
программы-ревизоры - позволяют запомнить
сведения о всех файлах, а затем сравнивать их состояние с исходным и выдавать
пользователю сообщения о произошедших изменениях и появлении новых файлов;
программы-фильтры (мониторы) — работают непрерывно с
момента включения компьютера, отслеживают нестандартные действия программ и
сообщают об этом пользователю. Пользователь может разрешить или запретить
выполнение соответствующей операции;
программы-блокировщики — небольшие резидентные
программы, предназначенные для предотвращения распространения одного
конкретного вируса.
На сегодня самыми
распространенными антивирусными программами являются Norton AntiVirus, AVP и DrWeb, которые выполняют
функции детектора и доктора. Они могут находить и уничтожать десятки тысяч
различных вирусов. лечение зараженный файл компьютер антивирус
2.
Описание
программы Dr.Web
Отечественная программа DrWeb (автор И. Данилов, ЗАО
«ДИАЛОГ-НАУКА») обрела широкую известность в силу таких достоинств, как:
-
постоянная
обновляемость, т.е. наличие новых версий, способных находить и уничтожать
только что появившиеся вирусы;
-
наличие
эффективного эвристического анализатора, который позволяет выявлять вирусы, еще
не известные авторам программы;
-возможность
работы с программой как в режиме командной строки, так и вдиалоговом
режиме. При работе в диалоговом режиме появляется возможность получения
оперативной помощи, что значительно упрощает работу.
А) Работа в диалоговом режиме.
Программа DrWeb при запуске выводит на
экран следующие элементы:
- окно тестирования содержит отчет о ходе проверки памяти и
файлов на наличие вирусов.
Меню
программы DrWeb позволяет выполнять различные операции, а каждый пункт меню (Dr. Web, Тест, Настройки) дает пользователю доступ
к ряду команд, сгруппированных по функциональному назначению.
|
Команда
|
Выполняемая
операция
|
Dr.Web
|
Временный
выход
|
временный
выход в DOS
|
|
О
программе
|
вывод
информации об авторских правах, версии программы
|
|
Выход (Alt+X)
|
выход
из программы
|
Тест
|
Тест
памяти
|
проверка
памяти компьютера наличие вирусов
|
|
Тестирование (F5)
|
проверка
файлов на наличие вирусов
|
|
Лечение (Ctrl+F5)
|
проверка
файлов на наличие вирусов и лечение
|
|
Статистика
|
вывод
информации о количестве проверенных файлов, числе найденных вирусов, количестве
подозрений на наличие вирусов |
|
|
Файл
отчета
|
просмотр
отчета после выполнения проверка
|
Настройки
|
Интерфейс
|
настройка
параметров интерфейса: язык (русский или английский), цветовое оформление и др.
|
|
Параметры
(F9)
|
настройка
различных возможностей программы DrWeb для проверки памяти и
файлов на наличие
вирусов
|
|
Файлы
|
выбор файлов, подлежащих проверке на вирусы (все файлы, только
программы, файлы, выбранные пользователем)
|
При выборе в главном меню команды
"Параметры" DrWeb выводит диалоговое окно, в котором сосредоточены
наиболее важные для работы программы элементы настройки. Каждому элементу
настройки соответствует переключатель, представляющий собой две квадратные
скобки:
[ ] - выключен,
[х]- включен.
Все главные элементы настройки по функциональному
назначению разделены на три основные группы:
- общие установки;
-инфицированные
файлы;
-файлы.
2.
Практическая часть
Проверка
дискеты на наличие вирусов (работа с программой DrWeb)
1)
Регистрация.
-В главном меню выбрать
пункт Информатика;
-Выбрать номер группы
343;
2)
Запуск
программы DrWeb в диалоговом режиме;
-В командной
строке набрать drweb.exe;
-<Enter>;
3)
Настройка
программы DrWeb;
-В пункте
"Настройки" главного меню выбрать команду "Параметры";
-В
открывшемся диалоговом окне включить опции "Тест загрузочных
секторов", "Эвристический анализ", "Лечить",
"Запрос на лечение", "Проверка архивов" и "Проверка
упакованных" ;
-<Enter>.
4)
Тестирование
дискеты;
-В пункте
"Тест" главного меню выбрать команду "Тестирование";
-В
появившемся диалоговом окне указать имя диска, подлежащего проверке -
"а:", установить опцию «Включая подкаталоги»;
-Вставить
дискету;
-<Enter>;
После нажатия
<Enter> Dr.Web начинает проверку дискеты: сначала тестируется загрузочный
сектор, а затем все файлы.
Поиск вирусов и инфицированных программ на диске
А:
Boot Sector - Ok
A:\MODE.COM инфицирован Ambulance.796
A:\FORMAT.COM инфицирован Ambulance.796
A:\WATCOM\MAIN.CPP - Ok
A:\WATCOH\EFFECTS\GOURAUD.EXE - Ok
A:\WATCOM\EFFECTS\FRACTAL.EXE - Ok
Отчет для диска А: Проверено : файлов и
загрузочных секторов - 6
Обнаружено: вирусов и инфицированных программ - 2
Время
сканирования: 00:00:20
6)
Лечение
зараженных файлов
-В пункте
Тест главного меню выбрать команду "Лечение"
-В открывшемся
окне ввести через пробел полные пути к зараженным файлам "а:\mode.com a:\format. com";
-<Enter>.
Для
подтверждения необходимости лечения конкретного файла нажимать кнопку
"Да" каждый раз, когда DrWeb выводит диалоговое окно с вопросом о необходимости
лечения.
Поиск вирусов в a:\mode.com:
a:\MODE.COM инфицирован Ambulance.796 - исцелен!
a:\MODE.COM - Ok
Отчет для диска А:
Проверено : файлов и загрузочных секторов - 2
Обнаружено: вирусов и инфицированных программ - 1
Исцелено : файлов и загрузочных секторов - 1
Время сканирования: 00:00:10
Поиск вирусов в a:\format.com:
Boot Sector - Ok
a:\FORMAT.COM инфицирован Ambulance.796 - исцелен! a:\FORMAT.COM - Ok Отчет для диска А:
Проверено:
файлов и загрузочных секторов - 2
Обнаружено:
вирусов и инфицированных программ - 1
Исцелено:
файлов и загрузочных секторов - 1
Время
сканирования: 00:00:05