Компьютерные вирусы и методы защиты от вирусов

Министерство образования и  науки РФ

Филиал федерального государственного бюджетного образовательного учреждения высшего профессионального образования

 «Московский государственный индустриальный университет»

 в г. Вязьме Смоленской  области 

(филиал ФГБОУ ВПО «МГИУ» в г. Вязьме) 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

КУРСОВАЯ РАБОТА

 

по Информатике

 

 

 

На тему:   «Компьютерные вирусы и методы защиты от вирусов»

Студент: Юхарева Кристина Игоревна

Группа: 10Мд11

Вариант: 12

Преподаватель: Злобина Анастасия Викторовна

 

 

 

 

 

 

 

 

 

 

2011г.

 

Содержание

 

 

ВВЕДЕНИЕ

 

При работе с современным персональным компьютером пользователя (а особенно начинающего) может подстерегать множество неприятностей: потеря данных, зависание системы, выход из строя отдельных частей компьютера и другие. Одной из причин этих проблем наряду с ошибками в программном обеспечении и неумелыми действиями самого оператора ПК могут быть проникшие в систему компьютерные вирусы.

Данная тема является актуальной на сегодняшний  день, так как проблема вирусов, а  вместе с тем и работа антивирусных программ волнует всех, кто каким-либо образом связан с информационными технологиями.

Путей распространения  вирусов существует множество. Вирус может

 попасть на компьютер пользователя вместе с дискетой, пиратским компакт-диском или с сообщением электронной почты. Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов. Ведь нет никакой надежды на то, что с приходом нового тысячелетия вирусы исчезнут. Так же как и нет надежды справиться с ними окончательно в какие-то обозримые сроки, так как таланту авторов антивирусных программ противостоит фантазия компьютерных графоманов.

Главной целью курсовой работы является изучение свойств, характеристик и классов вирусных программ. Для решения данной задачи необходимо изучить материал по данной теме ознакомиться с антивирусными программами. При создании курсовой работы использовались современные средства разработки Microsoft Office 2007, антивирусные программы Dr.web, антивирус Касперского 2011, Norton antivirus.

Глава 1 Теоретическая  часть

1.1 Вирусы

 

Компьютерный  вирус - это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может "приписывать" себя  к другим  программам ("заражать" их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д.,  а  также  выполнять различные  нежелательные действия  на компьютере. Программа,  внутри  которой находится  вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление  получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения  файлов на диске, "засоряет"  оперативную память и т.д.). Для маскировки  вируса действия  по заражению других программ и нанесению вреда могут выполняться не  всегда, а, скажем, при выполнении  определенных условий. Например, вирус Anti-MIT ежегодно 1 декабря разрушает всю информацию на жестком диске, вирус Tea Time мешает вводить информацию с клавиатуры с 15:10 до 15:13, а знаменитый One Half, в течение всего прошлого года «гулявший» и по нашему городу, незаметно шифрует данные на жестком диске. В 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США.

1.2 Классификация вирусов

 

• по среде обитания вируса
• по способу заражения среды обитания
• по деструктивным возможностям
• по особенностям алгоритма вируса.

 

Таблица 1.2.1 Классификация  вирусов

Среда обитания:	сетевые	распространяются  по компьютерной сети
	файловые	внедряются  в выполняемые файлы
	загрузочные	внедряются  в загрузочный сектор диска (Boot-сектор)
Способы заражения:	резидентные	находятся в  памяти, активны до выключения компьютера
	нерезидентные	не заражают память, являются активными ограниченное время
	безвредные	практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения
Деструктивные возможности:	неопасные	уменьшают свободную  память, создают звуковые, графические  и прочие эффекты
	опасные	могут привести к серьезным сбоям в работе
	очень опасные	могут привести к потере программ или  системных данных
	вирусы-«спутники»	вирусы, не изменяющие файлы, создают для ЕХЕ-файлов файлы-спутники с расширением ,СОМ
	вирусы-«черви»	распространяются  по сети, рассылают свои копии, вычисляя сетевые адреса
Особенности алгоритма вируса:	«паразитические»	изменяют содержимое дисковых секторов или файлов
	«студенческие»	примитив, содержат большое количество ошибок
	«стелс»-вирусы (невидимки)	перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки
	вирусы-призраки	не имеют  ни одного постоянного участка кода, труднообнаружи- ваемы, основное тело вируса зашифровано
	макровирусы	пишутся не в  машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal.dot

 

1.3 Как работает вирус

Рассмотрим  схему функционирования очень простого загрузочного вируса, заражающего дискеты.

Что  происходит, когда вы включаете компьютер? Первым делом управление передается программе  начальной загрузки, которая хранится в постоянно запоминающем устройстве.

Эта программа  тестирует оборудование и при  успешном завершении проверок пытается найти дискету в дисководе  А:

Всякая дискета  размечена на т.н. секторы и дорожки. Секторы объединяются в кластеры, но это для нас несущественно.

Среди секторов есть несколько служебных, используемых операционной системой для собственных  нужд (в этих секторах  не могут  размещаться ваши данные). Среди  служебных секторов нас пока интересует один - т.н. сектор начальной загрузки (boot-sector).

В секторе начальной  загрузки хранится информация о дискете - количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта  информация, а небольшая программа  начальной загрузки (ПНЗ), которая  должна загрузить саму операционную систему и передать ей управление.

Теперь рассмотрим вирус. В загрузочных вирусах  выделяют две части - т.н. голову и т.н. хвост. Хвост, вообще говоря, может быть пустым.

Пусть у вас  имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:

• выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные
• копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор
• замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой
• организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору.

Мы рассмотрели  схему функционирования простого вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы  дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record - главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие  загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки boot-секторе загрузочного диска.

1.4 Признаки проявления вируса

 

При заражении  компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

• прекращение работы или неправильная работа ранее успешно функционировавших программ
• медленная работа компьютера
• невозможность загрузки операционной системы
• исчезновение файлов и каталогов или искажение их содержимого
• изменение даты и времени модификации файлов
• изменение размеров файлов
• неожиданное значительное увеличение количества файлов на диске
• существенное уменьшение размера свободной оперативной памяти
• вывод на экран непредусмотренных сообщений или изображений
• подача непредусмотренных звуковых сигналов
• частые зависания и сбои в работе компьютера

Следует отметить, что вышеперечисленные явления  необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

1.5 Антивирусные программы

 

Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна  отвечать некоторым параметрам.

Стабильность  и надежность работы.

Этот параметр, без сомнения, является определяющим — даже самый лучший антивирус  окажется совершенно бесполезным, если он не сможет нормально функционировать  на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.

Размеры вирусной базы программы (количество вирусов,

которые правильно  определяются программой).

С учетом постоянного  появления новых вирусов база данных должна регулярно обновляться  — что толку от программы, не видящей  половину новых вирусов и, как  следствие, создающей ошибочное  ощущение “чистоты” компьютера. Сюда же следует отнести и возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы). Немаловажным также является наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск).

Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование). Сюда же следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является также процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).

Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.

1.6 Классификация антивирусных программ

Антивирусные  программы делятся на:

• программы-детекторы,
• программы-доктора,
• программы-ревизоры,
• программы-фильтры,
• программы-вакцины.

Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.

Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

Специализированные  детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.

Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.

 Недостатком  таких антивирусных программ  является то, что они могут  находить только те вирусы, которые  известны разработчикам таких  программ.

Программы-доктора (фаги), не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.