Analiza heurystyczna. Skanowanie w poszukiwaniu wirusów na dyskietkach

Szukaj wirusów podobnych do znanych

Heurystyka oznacza „znaleźć”. Analiza heurystyczna opiera się na (bardzo prawdopodobnym) założeniu, że nowe wirusy często okazują się podobne do niektórych znanych. Dlatego antywirusowe bazy danych zawierają sygnatury do wykrywania nie jednego, ale kilku wirusów jednocześnie. Dlatego metoda heurystyczna polega na wyszukiwaniu plików, które nie w pełni, ale bardzo dokładnie odpowiadają sygnaturom znanych wirusów.

Korzyści: Możliwość wykrywania nowych wirusów jeszcze przed przydzieleniem im sygnatur.

Wada:

  • prawdopodobieństwo błędnego wykrycia obecności wirusa w pliku, gdy w rzeczywistości plik jest czysty - takie zdarzenia nazywane są fałszywymi alarmami;
  • Niemożność leczenia – zarówno ze względu na możliwe wyniki fałszywie dodatnie, jak i ze względu na możliwe niedokładne określenie rodzaju wirusa, próba leczenia może prowadzić do większej utraty informacji niż sam wirus, a to jest niedopuszczalne;
  • · niska wydajność - przeciwko prawdziwie innowacyjnym wirusom, które powodują najbardziej rozpowszechnione epidemie, ten rodzaj analizy heurystycznej jest mało przydatny.

Szukaj wirusów, które wykonują podejrzane działania

Inna metoda oparta na heurystyce opiera się na założeniu, że: złośliwe oprogramowanie w taki czy inny sposób starają się wyrządzić szkodę komputerowi i opierają się na identyfikacji głównych szkodliwych działań.

Na przykład:

  • Usuwanie pliku
  • pisanie do pliku;
  • Zapis w określonych obszarach rejestru systemu;
  • Otwarcie portu nasłuchowego
  • przechwytywanie danych wprowadzanych z klawiatury;
  • · wysyłka listów;

Wykonywanie każdej takiej akcji z osobna nie jest powodem do uznania programu za złośliwy. Jednak, gdy program wykonuje kilka takich czynności pod rząd, na przykład zapisuje samo uruchomienie do klucza autorun rejestru systemowego, przechwytuje dane wprowadzane z klawiatury i z określoną częstotliwością wysyła te dane na jakiś adres w Internecie , to ten program, przynajmniej podejrzany. Analizator heurystyczny oparty na tej zasadzie stale monitoruje działania wykonywane przez programy.

Zalety: możliwość wykrycia nieznanego wcześniej złośliwego oprogramowania, nawet jeśli nie jest ono bardzo podobne do już znanych (wykorzystywanie nowej luki w zabezpieczeniach do infiltracji komputera, a następnie wykonywanie już znanych złośliwych działań). Taki program może zostać pominięty przez analizator heurystyczny pierwszego typu, ale może zostać wykryty przez analizator drugiego typu.

Niedogodności:

  • Fałszywe pozytywy
  • niemożność leczenia;
  • nie wysoka wydajność.

Łów

Sposoby ochrony przed wirusami

Najprostszą techniką skanowania antywirusowego jest sekwencyjne skanowanie przez program antywirusowy skanowanych plików w poszukiwaniu sygnatur znanych wirusów. Sygnatura to unikalna sekwencja bajtów należąca do wirusa, której nie można znaleźć w innych programach.

Ustalenie sygnatury wirusa jest dość trudnym zadaniem. Sygnatura nie może być zawarta w normalnych programach niezainfekowanych tym wirusem. W przeciwnym razie możliwe są fałszywe alarmy, gdy wirus zostanie wykryty w całkowicie normalnym, niezainfekowanym programie.

Oczywiście programy skanerów nie muszą przechowywać sygnatur wszystkich znanych wirusów. Mogą na przykład przechowywać tylko sumy kontrolne podpisów.

Skanery antywirusowe, które mogą usuwać wykryte wirusy, są powszechnie nazywane polifagami. Najsłynniejszym programem do skanowania jest Aidstest Dmitrija Łozińskiego. Aidstest wyszukuje wirusy na podstawie ich sygnatur. Dlatego wykrywa tylko najprostsze wirusy polimorficzne.

W pierwszym rozdziale omówiliśmy tzw. wirusy szyfrujące i polimorficzne. Wirusy polimorficzne całkowicie zmieniają swój kod, gdy infekują nowy program lub sektor startowy. Jeśli wyizolujesz dwie instancje tego samego wirusa polimorficznego, mogą one nie pasować w żadnym bajcie. W konsekwencji niemożliwe jest określenie sygnatury takich wirusów. Dlatego proste programy antywirusowe-scanners nie mogą wykryć wirusów polimorficznych.

Skanery antywirusowe mogą wykrywać tylko znane wirusy, które zostały wcześniej przebadane i dla których określono sygnaturę. Dzięki temu korzystanie ze skanerów nie chroni komputera przed wnikaniem nowych wirusów.

Aby efektywnie korzystać z programów antywirusowych, które implementują metodę skanowania, należy je stale aktualizować, pobierając najnowsze wersje.

Analiza heurystyczna to stosunkowo nowa technika wykrywania wirusów. Pozwala wykryć nieznane wcześniej wirusy, a do tego nie trzeba najpierw zbierać danych o systemie plików, czego wymaga metoda wykrywania zmian.

Programy antywirusowe, które implementują metodę analizy heurystycznej, skanują programy i sektory startowe dysków i dyskietek, próbując wykryć w nich kod specyficzny dla wirusa. Na przykład analizator heurystyczny może wykryć, że sprawdzany program zawiera kod, który ustawia moduł rezydentny w pamięci.

Program antywirusowy Doctor Web, który jest częścią zestawu AO DialogScience, posiada potężny analizator heurystyczny, który pozwala wykryć duża liczba nowe wirusy.

Jeśli analizator heurystyczny zgłasza, że ​​plik lub sektor rozruchowy może być zainfekowany wirusem, należy potraktować to bardzo poważnie. Wskazane jest, aby badać takie pliki przy użyciu najbardziej najnowsze wersje programów antywirusowych lub wyślij je w celu szczegółowego zbadania do DialogNauka JSC.

Zestaw IBM AntiVirus zawiera specjalny moduł skoncentrowany na wykrywaniu wirusów w sektorach rozruchowych. Ten moduł wykorzystuje zgłoszoną do opatentowania technologię sieci neuronowych z analizy heurystycznej IBM w celu określenia, czy sektor rozruchowy jest zainfekowany wirusem.

Artykuł odnosi się do Kaspersky Endpoint Bezpieczeństwo 10 dla Windows:

  • Service Pack 2 Maintenance Release 4 (wersja 10.3.3.304);
  • Service Pack 2 Maintenance Release 3 (wersja 10.3.3.275);
  • Service Pack 2 Maintenance Release 2 (wersja 10.3.0.6294);
  • Service Pack 2 Maintenance Release 1 (wersja 10.3.0.6294);
  • Service Pack 2 (wersja 10.3.0.6294).

Czym jest analiza heurystyczna

Analiza heurystyczna to technologia wykrywania zagrożeń, których nie można wykryć przy użyciu aktualnej wersji baz danych Kaspersky Lab. Pozwala znaleźć pliki, które mogą zawierać nieznanego wirusa lub nowa modyfikacja znany wirus.

Analizator heurystyczny to moduł działający w oparciu o technologię analizy heurystycznej.

Analiza statyczna i dynamiczna

Analiza statyczna. Analizator heurystyczny skanuje kod w poszukiwaniu podejrzanych poleceń, takich jak wyszukiwanie i modyfikowanie plików wykonywalnych. Jeśli istnieją podejrzane polecenia lub fragmenty, analizator heurystyczny zwiększa „licznik podejrzliwości” programu. Jeżeli po zeskanowaniu całego kodu aplikacji wartość licznika przekroczy określoną wartość progową, obiekt zostanie uznany za podejrzany.

Analiza dynamiczna. Analizator heurystyczny emuluje uruchamianie programu w wirtualnej przestrzeni adresowej. Jeżeli analizator heurystyczny wykryje podejrzane działania podczas procesu emulacji, obiekt zostanie rozpoznany jako złośliwy i jego uruchomienie na komputerze użytkownika zostanie zablokowane.

Kaspersky Bezpieczeństwo punktów końcowych 10 for Windows wykorzystuje analizę statyczną połączoną z analizą dynamiczną.

Które komponenty ochrony korzystają z analizatora heurystycznego

  • Ochrona plików. Więcej szczegółów w pomocy.
  • Ochrona poczty. Więcej szczegółów w pomocy.
  • Ochrona WWW. Więcej szczegółów w pomocy.
  • Kontrola aktywności aplikacji. Więcej szczegółów w pomocy.
  • Sprawdzanie zadań. Więcej szczegółów w pomocy.

Pełne wsparcie

Wersja podstawowaTAk
WsparcieTAk
Wydanie łatekTAk

Ostatnia wersja:

Data premiery handlowej:

Wydanie najnowszej wersji:

Co oznacza status?

  • Wersja podstawowa

    Wydanie aktualizacji baz danych niezbędnych do ochrony komputera/serwera/urządzenia mobilnego.

  • Wsparcie

    Wykonanie pomoc techniczna telefonicznie i za pośrednictwem formularza internetowego.

  • Wydanie łatek

    Wydanie pakietów aktualizacji programu (w celu naprawienia wykrytych błędów).

Kaspersky Endpoint Security 10 for Windows (dla stacji roboczych i serwerów plików)

  • Microsoft Serwer Windows 2012 R2 Foundation / Essentials / Standard / Datacenter x64.
  • Microsoft Windows Server 2012 Foundation / Essentials / Standard / Datacenter x64.
  • Microsoft Small Business Server 2011 Essentials / Standard x64.
  • Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter x64 SP1.
  • Microsoft Windows Server 2008 Standard / Enterprise / Datacenter x64 SP2.
  • Microsoft Small Business Server 2008 Standard / Premium x64.

Zobacz artykuł, aby zapoznać się z innymi ograniczeniami obsługi platform serwerowych.

  • VMWare ESXi 6.0.0 3620759.
  • Microsoft Hyper-V 3.0.
  • Citrix XenServer 7.0.
  • Citrix XenDesktop 7.13.

artykuł.

  • Microsoft Windows Server 2008 R2 Standard / Enterprise x64 SP1.
  • Microsoft Windows Server 2008 Standard / Enterprise x64 SP2.

Ograniczenia obsługi platform serwerowych

  • System plików ReFS jest obsługiwany z ograniczeniami.
  • Konfiguracje Server Core i Cluster Mode nie są obsługiwane.
  • Szyfrowanie dysku (Kaspersky FDE) i szyfrowanie plików włączone platformy serwerowe nie są obsługiwane.

Obsługiwane platformy wirtualne

  • VMWare ESXi 6.0.0 3620759.
  • Microsoft Hyper-V 3.0.
  • Citrix XenServer 7.0.
  • Citrix XenDesktop 7.13.
  • Usługi Citrix Provisioning 7.13.

Funkcje i ograniczenia obsługi platform wirtualnych

  • Pełne szyfrowanie dysku (FDE) włączone wirtualne maszyny Hyper-V nie jest obsługiwany.
  • Pełne szyfrowanie dysku (FDE) oraz szyfrowanie plików i folderów (FLE) włączone platformy wirtualne ah Citrix nie jest obsługiwany.
  • Aby zapewnić kompatybilność Kaspersky Endpoint Security for Windows z Citrix PVS, musisz zainstalować z włączoną opcją Zapewnij kompatybilność z Citrix PVS. Możesz włączyć tę opcję w kreatorze instalacji lub za pomocą opcji wiersz poleceń/pCITRIXKOMPATYBILNOŚĆ=1. W przypadku instalacji zdalnej należy edytować plik KUD, aby dodać do niego opcję /pCITRIXCOMPATIBILITY=1.

Zobacz artykuł, aby poznać inne funkcje obsługi platform wirtualnych.

Wersja 10.2.6.3733: Wymagania sprzętowe i programowe

Ogólne wymagania

  • 1 GB pamięci RAM.

System operacyjny

  • Microsoft Windows 10 Pro / Enterprise x86 / x64.
    Microsoft Windows 8.1 Pro / Enterprise x86 / x64.
  • Microsoft Windows 8 Pro / Enterprise x86 / x64.
  • Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / x64 SP1 i nowsze.
  • Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / x64.
  • Microsoft Windows Server 2016 Standard / Essentials x64.
  • Microsoft Small Business Server 2011 Standard x64.

Obsługiwane platformy wirtualne

  • VMWare ESXi 5.5.0 2718055 Aktualizacja 2.
  • Citrix XenServer 6.5.
  • Citrix XenDesktop 7.8.

Ograniczenia obsługi platform serwerowych

  • System plików ReFS jest obsługiwany z ograniczeniami.
  • Konfiguracje Server Core i Cluster Mode nie są obsługiwane.
  • Szyfrowanie dysku (Kaspersky FDE) i szyfrowanie plików nie są obsługiwane na platformach serwerowych.

Obsługiwane platformy wirtualne

  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.

Funkcje i ograniczenia obsługi platform wirtualnych

Wersja 10.2.5.3201: Wymagania sprzętowe i programowe

Do normalnego funkcjonowania Kaspersky Endpoint Security 10 for komputer z systemem Windows musi spełniać następujące wymagania:

Ogólne wymagania

  • Procesor Intel Pentium 1 GHz lub szybszy.
  • 1 GB pamięci RAM.
  • 2 GB wolnego miejsca na dysku twardym.

Wymagania programowe i sprzętowe dla stacji roboczych

  • Microsoft Windows 10 Pro x86 / x64.
  • Microsoft Windows 10 Enterprise x86 / x64.
  • Microsoft Windows Vista x86 / x64 SP2 i nowsze.
  • Microsoft Windows XP Professional x86 SP3 lub nowszy.
  • Microsoft Windows Server 2019 x64.
  • Microsoft Windows Server 2016 Standard / Essentials x64.
  • Microsoft Windows Server 2012 R2 Foundation / Standard / Essentials x64.
  • Microsoft Windows Server 2012 Foundation / Standard / Essentials x64.
  • Microsoft Small Business Server 2011 Standard x64.
  • Microsoft Windows MultiPoint Server 2011 x64.
  • Microsoft Small Business Server 2008 Standard / Premium x64.
  • Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise x64 SP1 i nowsze.
  • Microsoft Windows Server 2008 Foundation / Standard / Enterprise x86 / x64 SP2 i nowsze.
  • Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 lub nowszy.
  • Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2.
  • Microsoft
  • Microsoft
  • Microsoft Windows Embedded Standard 7* x86 / x64 SP1.
  • Microsoft Windows Embedded POSReady 7* x86 / x64.

Funkcje i ograniczenia wsparcia dla wbudowanych systemów operacyjnych

  • Systemy operacyjne Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) lub Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) są zalecane do użytku na urządzeniach z 2 GB lub więcej pamięci RAM.
  • Szyfrowanie plików (FLE) i dyski twarde(FDE) nie jest obsługiwany we wbudowanych systemach operacyjnych.

Obsługiwane platformy wirtualne

  • VMWare ESXi 5.5.0 2718055 Aktualizacja 2.
  • VMWare ESXi 5.5.0 3568722 Aktualizacja 3b.
  • VMWare ESXi 5.5.0 2718055 Aktualizacja 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012 R2).
  • Citrix XenServer 6.5.
  • Citrix XenDesktop 7.8.
  • Citrix Provisioning Server 7.8.

Ograniczenia obsługi platform serwerowych

  • System plików ReFS jest obsługiwany z ograniczeniami.
  • Konfiguracje Server Core i Cluster Mode nie są obsługiwane.
  • Szyfrowanie dysku (Kaspersky FDE) i szyfrowanie plików nie są obsługiwane na platformach serwerowych.

Ograniczenia obsługi systemu Microsoft Windows 8.1

  • Niewspierany Aktualizacja systemu Windows 8 do 8.1.
  • Ograniczone wsparcie system plików ReFS dla technologii iSwift / iChecker.
  • Funkcja ukrywania Kaspersky Endpoint Security 10 w menu startowym nie jest obsługiwana.

Obsługiwane platformy wirtualne

  • VMWare ESXi 5.5.0 1623387 Aktualizacja 1.
  • VMWare ESXi 5.5.0 2068190 Aktualizacja 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Funkcje i ograniczenia obsługi platform wirtualnych

  • Aby zachować zgodność Kaspersky Endpoint Security z Citrix PVS, należy zainstalować z włączoną opcją „Zapewnij zgodność z Citrix PVS”. Opcję tę można włączyć w kreatorze instalacji lub za pomocą opcji wiersza polecenia /pCITRIXCOMPATIBILITY=1. W przypadku instalacji zdalnej edytuj plik kud, aby uwzględnić opcję /pCITRIXCOMPATIBILITY=1.
  • Instalacja na komputerze z systemem Microsoft Windows XP działającym na Citrix XenDesktop nie jest obsługiwana.
  • Obrazowanie przy użyciu urządzenia docelowego z komputerów z systemem Microsoft Windows XP i Microsoft Windows Vista nie jest obsługiwane. zainstalowany przez Kaspersky Dodatek Service Pack 1 dla programu Endpoint Security 10

Wersja 10.2.4.674: Wymagania sprzętowe i programowe

Do normalnego działania Kaspersky Endpoint Security 10 for Windows komputer musi spełniać następujące wymagania:

Ogólne wymagania

  • Procesor Intel Pentium 1 GHz lub szybszy.
  • 2 GB wolnego miejsca na dysku twardym.
  • Microsoft Internet Explorer 7.0 i nowsze.
  • Microsoft instalator Windows 3.0 i nowsze.
  • Połączenie internetowe w celu aktywacji programu, aktualizacji baz danych i modułów programu.

Wymagania programowe i sprzętowe

  • Microsoft Windows 10 TH2 Wersja Pro 1511 x86 / x64.
  • Microsoft Windows 10 TH2 Enterprise wersja 1511 x86 / x64.
  • Microsoft Windows 8.1 Pro x86 / x64.
  • Microsoft Windows 8.1 Enterprise x86 / x64.
  • Microsoft Windows 8 Pro x86 / x64.
  • Microsoft Windows 8 Enterprise x86 / x64.
  • Microsoft Windows 7 Professional x86 / x64 SP1 i nowsze.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / x64 SP1 i nowsze.
  • Microsoft Windows 7 Professional x86 / x64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / x64.
  • Microsoft Windows Vista x86 / x64 SP2 i nowsze.
  • Microsoft Windows XP Professional x86 SP3 lub nowszy.
  • Microsoft Windows Server 2012 R2 Standard / Essentials / Enterprise x64.
  • Microsoft Windows Server 2012 Foundation / Standard / Essentials x64.
  • Microsoft Small Business Server 2011 Standard / Essentials x64.
  • Microsoft Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation x64 SP1 i nowsze.
  • Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation x64.
  • Microsoft Windows Server 2008 Standard / Enterprise x86 / x64 SP2 i nowsze.
  • Microsoft Small Business Server 2008 Standard / Premium x64.
  • Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 lub nowszy.
  • Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2 lub nowszy.
  • Microsoft Windows Embedded 8.0 Standard x64.
  • Microsoft Windows Embedded 8.1 Industry Pro x64.
  • Microsoft Windows Embedded Standard 7 x86 / x64 SP1.
  • Microsoft Windows Embedded POSReady 7 x86 / x64.

Funkcje i ograniczenia wsparcia dla wbudowanych systemów operacyjnych

  • Systemy operacyjne Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) lub Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) są zalecane do użytku na urządzeniach z 2 GB lub więcej pamięci RAM.
  • Szyfrowanie plików (FLE) i szyfrowanie dysku twardego (FDE) nie są obsługiwane we wbudowanych systemach operacyjnych.

Ograniczenia obsługi platform serwerowych

  • System plików ReFS jest obsługiwany z ograniczeniami.
  • Konfiguracje Server Core i Cluster Mode nie są obsługiwane.
  • Szyfrowanie dysku (Kaspersky FDE) i szyfrowanie plików nie są obsługiwane na platformach serwerowych.

Ograniczenia obsługi systemu Microsoft Windows 8.1

  • Aktualizacja systemu Windows 8 do 8.1 nie jest obsługiwana.
  • Ograniczona obsługa ReFS dla technologii iSwift / iChecker.
  • Funkcja ukrywania Kaspersky Endpoint Security 10 w menu startowym nie jest obsługiwana.

Obsługiwane platformy wirtualne

  • VMWare ESXi 5.5.0 1623387 Aktualizacja 1.
  • VMWare ESXi 5.5.0 2068190 Aktualizacja 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Funkcje i ograniczenia obsługi platform wirtualnych

  • Aby zachować zgodność Kaspersky Endpoint Security z Citrix PVS, należy zainstalować z włączoną opcją „Zapewnij zgodność z Citrix PVS”. Opcję tę można włączyć w kreatorze instalacji lub za pomocą opcji wiersza polecenia /pCITRIXCOMPATIBILITY=1. W przypadku instalacji zdalnej edytuj plik kud, aby uwzględnić opcję /pCITRIXCOMPATIBILITY=1.
  • Instalacja na komputerze z systemem Microsoft Windows XP działającym na Citrix XenDesktop nie jest obsługiwana.
  • Obrazowanie przy użyciu urządzenia docelowego z komputerów z systemem Microsoft Windows XP i Microsoft Windows Vista z zainstalowanym Kaspersky Endpoint Security 10 Service Pack 1 nie jest obsługiwane.

Wersja 10.2.2.10535MR1: Wymagania sprzętowe i programowe

Do normalnego działania Kaspersky Endpoint Security 10 for Windows komputer musi spełniać następujące wymagania:

Ogólne wymagania

  • Procesor Intel Pentium 1 GHz lub szybszy.
  • 1 GB wolnej pamięci RAM.
  • 2 GB wolnego miejsca na dysku twardym.
  • Microsoft Internet Explorer 7.0 lub nowszy.
  • Instalator Microsoft Windows 3.0 lub nowszy.
  • Połączenie internetowe w celu aktywacji programu, aktualizacji baz danych i modułów programu.

System operacyjny

  • Microsoft Windows 8.1 Pro x86 / x64.
  • Microsoft Windows 8.1 Enterprise x86 / x64.
  • Microsoft Windows 8 Pro x86 / x64.
  • Microsoft Windows 8 Enterprise x86 / x64.
  • Microsoft Windows 7 Professional x86 / x64 SP1 i nowsze.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / x64 SP1 i nowsze.
  • Microsoft Windows 7 Professional x86 / x64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / x64.
  • Microsoft Windows Vista x86 / x64 SP2 i nowsze.
  • Microsoft Small Business Server 2011 Standard x64.
  • Microsoft Windows Server 2012 R2 Standard x64.
  • Microsoft Windows Server 2012 Foundation / Standard x64.
  • Windows Embedded 8.0 Standard x64.
  • Windows Embedded 8.1 Industry Pro x64.

Funkcje i ograniczenia wsparcia dla wbudowanych systemów operacyjnych

  • Systemy operacyjne Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) lub Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) są zalecane do użytku na urządzeniach z 2 GB lub więcej pamięci RAM.
  • Szyfrowanie plików (FLE) i szyfrowanie dysku twardego (FDE) nie są obsługiwane we wbudowanych systemach operacyjnych.

Ograniczenia obsługi platform serwerowych

  • System plików ReFS jest obsługiwany z ograniczeniami.
  • Konfiguracje Server Core i Cluster Mode nie są obsługiwane.

Ograniczenia obsługi systemu Microsoft Windows 8.1

  • Aktualizacja systemu Windows 8 do 8.1 nie jest obsługiwana.
  • Ograniczona obsługa ReFS dla technologii iSwift / iChecker.
  • Funkcja ukrywania Kaspersky Endpoint Security 10 w menu startowym nie jest obsługiwana.

Obsługiwane platformy wirtualne

  • VMWare ESXi 5.5.0 1623387 Aktualizacja 1.
  • VMWare ESXi 5.5.0 2068190 Aktualizacja 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Funkcje i ograniczenia obsługi platform wirtualnych

  • Aby zachować zgodność Kaspersky Endpoint Security z Citrix PVS, należy zainstalować z włączoną opcją „Zapewnij zgodność z Citrix PVS”. Opcję tę można włączyć w kreatorze instalacji lub za pomocą opcji wiersza polecenia /pCITRIXCOMPATIBILITY=1. W przypadku instalacji zdalnej edytuj plik kud, aby uwzględnić opcję /pCITRIXCOMPATIBILITY=1.
  • Instalacja na komputerze z systemem Microsoft Windows XP działającym na Citrix XenDesktop nie jest obsługiwana.
  • Obrazowanie przy użyciu urządzenia docelowego z komputerów z systemem Microsoft Windows XP i Microsoft Windows Vista z zainstalowanym Kaspersky Endpoint Security 10 Service Pack 1 nie jest obsługiwane.

Wersja 10.2.2.10535: Wymagania sprzętowe i programowe

Do normalnego działania Kaspersky Endpoint Security 10 for Windows komputer musi spełniać następujące wymagania:

Ogólne wymagania

  • Procesor Intel Pentium 1 GHz lub szybszy.
  • 1 GB wolnej pamięci RAM.
  • 2 GB wolnego miejsca na dysku twardym.
  • Microsoft Internet Explorer 7.0 lub nowszy.
  • Instalator Microsoft Windows 3.0 lub nowszy.
  • Połączenie internetowe w celu aktywacji programu, aktualizacji baz danych i modułów programu.

System operacyjny

  • Microsoft Windows 8.1 Update Pro x86 / x64.
  • Microsoft Windows 8.1 Aktualizacja Enterprise x86 / x64.
  • Microsoft Windows 8.1 Pro x86 / x64.
  • Microsoft Windows 8.1 Enterprise x86 / x64.
  • Microsoft Windows 8 Pro x86 / x64.
  • Microsoft Windows 8 Enterprise x86 / x64.
  • Microsoft Windows 7 Professional x86 / x64 SP1 i nowsze.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / x64 SP1 i nowsze.
  • Microsoft Windows 7 Professional x86 / x64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / x64.
  • Microsoft Windows Vista x86 / x64 SP2 i nowsze.
  • Microsoft Small Business Server 2011 Essentials x64.
  • Microsoft Small Business Server 2011 Standard x64.
  • Microsoft Small Business Server 2008 Standard x64.
  • Microsoft Small Business Server 2008 Premium x64.
  • Microsoft Windows Server 2012 R2 Standard x64.
  • Microsoft Windows Server 2012 Foundation / Standard x64.
  • Microsoft Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Standard x64 SP1 lub nowszy.
  • Microsoft Windows Server 2008 R2 Standard x64.
  • Microsoft Windows Server 2008 R2 Enterprise x64 SP1 lub nowszy.
  • Microsoft Windows Server 2008 R2 Enterprise x64.
  • Microsoft Windows Server 2008 R2 Foundation x64 SP1 lub nowszy.
  • Microsoft Windows Server 2008 R2 Foundation x64.
  • Microsoft Windows Server 2008 Standard x86 / x64 SP2 i nowsze.
  • Microsoft Windows Server 2008 Enterprise x86 / x64 SP2 lub nowszy.
  • Microsoft Windows Server 2003 R2 Standard x86 / x64 SP2 lub nowszy.
  • Microsoft Windows Server 2003 R2 Enterprise x86 / x64 SP2 lub nowszy.
  • Microsoft Windows Server 2003 Standard x86 / x64 SP2.
  • Microsoft Windows Server 2003 Enterprise x86 / x64 SP2 lub nowszy.
  • Windows Embedded 8.0 Standard x64.
  • Windows Embedded 8.1 Industry Pro x64.
  • Windows Embedded Standard 7 z dodatkiem SP1 x86 / x64.
  • Windows Embedded POSReady 7 x86 / x64.

Funkcje i ograniczenia wsparcia dla wbudowanych systemów operacyjnych

  • Systemy operacyjne Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) lub Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) są zalecane do użytku na urządzeniach z 2 GB lub więcej pamięci RAM.
  • Szyfrowanie plików (FLE) i szyfrowanie dysku twardego (FDE) nie są obsługiwane we wbudowanych systemach operacyjnych.

Ograniczenia obsługi platform serwerowych

  • System plików ReFS jest obsługiwany z ograniczeniami.
  • Konfiguracje Server Core i Cluster Mode nie są obsługiwane.

Ograniczenia obsługi systemu Microsoft Windows 8.1

  • Aktualizacja systemu Windows 8 do 8.1 nie jest obsługiwana.
  • Ograniczona obsługa ReFS dla technologii iSwift / iChecker.
  • Funkcja ukrywania Kaspersky Endpoint Security 10 w menu startowym nie jest obsługiwana.

Obsługiwane platformy wirtualne

  • VMWare ESXi 5.5.0 1623387 Aktualizacja 1.
  • VMWare ESXi 5.5.0 2068190 Aktualizacja 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Funkcje i ograniczenia obsługi platform wirtualnych

  • Aby zachować zgodność Kaspersky Endpoint Security z Citrix PVS, należy zainstalować z włączoną opcją „Zapewnij zgodność z Citrix PVS”. Opcję tę można włączyć w kreatorze instalacji lub za pomocą opcji wiersza polecenia /pCITRIXCOMPATIBILITY=1. W przypadku instalacji zdalnej edytuj plik kud, aby uwzględnić opcję /pCITRIXCOMPATIBILITY=1.
  • Instalacja na komputerze z systemem Microsoft Windows XP działającym na Citrix XenDesktop nie jest obsługiwana.
  • Obrazowanie przy użyciu urządzenia docelowego z komputerów z systemem Microsoft Windows XP i Microsoft Windows Vista z zainstalowanym Kaspersky Endpoint Security 10 Service Pack 1 nie jest obsługiwane.

Możesz korzystać z oprogramowania antywirusowego, nie wiedząc, jak to działa. Jednak w dzisiejszych czasach jest tak wiele programów antywirusowych, że będziesz musiał wybrać taki czy inny sposób. Aby ten wybór był jak najbardziej rozsądny i zainstalowane programy pod warunkiem maksymalnego stopnia ochrony przed wirusami, konieczne jest zbadanie technik stosowanych przez te programy.

Istnieje kilka podstawowych technik wykrywania i ochrony przed wirusami. Oprogramowanie antywirusowe może implementować tylko niektóre techniki lub ich kombinacje.

Łów

Wykrywanie zmian

Analiza heurystyczna

monitory rezydentów

· Programy szczepień

Ochrona sprzętu przed wirusami

Ponadto większość programów antywirusowych zapewnia automatyczną naprawę zainfekowanych programów i sektorów rozruchowych.

Obiekty infekcji

W pierwszym rozdziale omówiliśmy już różne typy wirusów i sposób ich rozprzestrzeniania się. Przed przystąpieniem do rozważania narzędzi antywirusowych, podajemy listę obszarów systemu plików komputera, które są zainfekowane wirusami i które należy sprawdzić:

Pliki wykonywalne programów, sterowników

Główny rekord rozruchowy i sektory rozruchowe

· Pliki konfiguracyjne AUTOEXEC.BAT i CONFIG.SYS

Dokumenty w formacie edytora tekstu Microsoft Word dla Windows

Kiedy wirus rezydentny staje się aktywny, umieszcza swój stale działający moduł w pamięci RAM komputera. Dlatego programy antywirusowe muszą sprawdzać pamięć RAM. Ponieważ wirusy mogą wykorzystywać nie tylko pamięć standardową, pożądane jest sprawdzenie pamięci górnej. Na przykład antywirus Doctor Web sprawdza pierwsze 1088 KB pamięci RAM.

Łów

Najprostszą techniką skanowania antywirusowego jest sekwencyjne skanowanie przez program antywirusowy skanowanych plików w poszukiwaniu sygnatur znanych wirusów. Sygnatura to unikalna sekwencja bajtów należąca do wirusa, której nie można znaleźć w innych programach.

Ustalenie sygnatury wirusa jest dość trudnym zadaniem. Sygnatura nie może być zawarta w normalnych programach niezainfekowanych tym wirusem. W przeciwnym razie możliwe są fałszywe alarmy, gdy wirus zostanie wykryty w całkowicie normalnym, niezainfekowanym programie.

Oczywiście programy skanerów nie muszą przechowywać sygnatur wszystkich znanych wirusów. Mogą na przykład przechowywać tylko sumy kontrolne podpisów.

Skanery antywirusowe, które mogą usuwać wykryte wirusy, są powszechnie nazywane polifagami. Najsłynniejszym programem do skanowania jest Aidstest Dmitrija Łozińskiego. Aidstest wyszukuje wirusy na podstawie ich sygnatur. Dlatego wykrywa tylko najprostsze wirusy polimorficzne.

W pierwszym rozdziale omówiliśmy tzw. wirusy szyfrujące i polimorficzne. Wirusy polimorficzne całkowicie zmieniają swój kod, gdy infekują nowy program lub sektor startowy. Jeśli wyizolujesz dwie instancje tego samego wirusa polimorficznego, mogą one nie pasować w żadnym bajcie. W konsekwencji nie jest możliwe określenie sinatury takich wirusów. Dlatego proste skanery antywirusowe nie mogą wykryć wirusów polimorficznych.

Skanery antywirusowe mogą wykrywać tylko znane wirusy, które zostały wcześniej przebadane i dla których określono sygnaturę. Dzięki temu korzystanie ze skanerów nie chroni komputera przed wnikaniem nowych wirusów.

Aby efektywnie korzystać z programów antywirusowych, które implementują metodę skanowania, należy je stale aktualizować, pobierając najnowsze wersje.

Analiza heurystyczna

Analiza heurystyczna to stosunkowo nowa technika wykrywania wirusów. Pozwala wykryć nieznane wcześniej wirusy, a do tego nie trzeba najpierw zbierać danych o systemie plików, czego wymaga metoda wykrywania zmian.

Programy antywirusowe, które implementują metodę analizy heurystycznej, skanują programy i sektory startowe dysków i dyskietek, próbując wykryć w nich kod specyficzny dla wirusa. Na przykład analizator heurystyczny może wykryć, że sprawdzany program zawiera kod, który ustawia moduł rezydentny w pamięci.

Program antywirusowy Doctor Web, który jest częścią zestawu DialogueScience JSC, posiada potężny analizator heurystyczny, który pozwala wykryć dużą liczbę nowych wirusów.

Jeśli analizator heurystyczny zgłasza, że ​​plik lub sektor rozruchowy może być zainfekowany wirusem, należy potraktować to bardzo poważnie. Wskazane jest zbadanie takich plików przy użyciu najnowszych wersji programów antywirusowych lub przesłanie ich do szczegółowej analizy do DialogNauka JSC.

Zestaw IBM AntiVirus zawiera specjalny moduł skoncentrowany na wykrywaniu wirusów w sektorach rozruchowych. Moduł ten wykorzystuje zgłoszoną do opatentowania technologię sieci neuronowych z analizy heurystycznej IBM i umożliwia określenie, czy sektor rozruchowy jest zainfekowany wirusem.

Wykrywanie zmian

Gdy wirus infekuje komputer, koniecznie wprowadza zmiany na dysku twardym, na przykład dołącza swój kod do pliku wykonywalnego, dodaje wywołanie programu wirusowego do pliku AUTOEXEC.BAT, zmienia sektor rozruchowy i tworzy plik towarzyszący plik.

Programy antywirusowe mogą wstępnie zapamiętać charakterystykę wszystkich obszarów dysku zaatakowanych przez wirusa, a następnie okresowo je sprawdzać (stąd ich nazwa, programy audytorskie). W przypadku wykrycia zmiany możliwe jest, że komputer zaatakował wirus.

Zazwyczaj programy audytorskie przechowują obrazy głównego rekordu rozruchowego, sektorów rozruchowych dysków logicznych, parametry wszystkich kontrolowanych plików, a także informacje o strukturze katalogów i numerach uszkodzonych klastrów dysków w plikach specjalnych. Można również sprawdzić inne cechy komputera - ilość zainstalowanej pamięci RAM, ilość podłączonych do komputera dysków oraz ich parametry.

Programy audytorskie potrafią wykryć większość wirusów, nawet tych, które nie były wcześniej znane. Z reguły audytorzy nie mogą wykryć wirusów, które infekują pliki programów tylko podczas ich kopiowania, ponieważ nie znają parametrów plików, które były przed kopiowaniem.

Należy jednak pamiętać, że nie wszystkie zmiany spowodowane są inwazją wirusów. Na przykład rekord rozruchowy może ulec zmianie po zaktualizowaniu wersji systemu operacyjnego, a niektóre programy zapisują dane w swoim pliku wykonywalnym. pliki wsadowe zmieniać się jeszcze częściej, na przykład plik AUTOEXEC.BAT jest zwykle zmieniany podczas instalacji nowego oprogramowania.

Programy audytorskie nie pomogą, nawet jeśli napisałeś do komputera nowy plik, zainfekowany wirusem. To prawda, że ​​jeśli wirus zainfekuje inne programy już uwzględnione przez audytora, zostanie wykryty.

Najprostszy audytor programu Microsoft Anti-Virus (MSAV) jest częścią systemu operacyjnego MS-DOS. Jego główną, a być może jedyną zaletą jest to, że nie trzeba na nią wydawać dodatkowych pieniędzy.

Znacznie bardziej zaawansowane środki kontroli zapewnia program audytorski Advanced Diskinfoscope (ADinf), który jest częścią zestawu antywirusowego DialogNauka JSC. Przyjrzymy się tym funkcjom bardziej szczegółowo w następnej sekcji, ale na razie zauważ, że możesz użyć modułu ADinf Cure (ADinfExt) z ADinf. Moduł ADinf Cure wykorzystuje wcześniej zebrane informacje o plikach, aby odzyskać je po zainfekowaniu nieznanymi wirusami.

Oczywiście nie wszystkie wirusy można usunąć za pomocą modułu ADinf Cure i innych. narzędzia programowe na podstawie kontroli i okresowej kontroli komputera. Na przykład, jeśli nowy wirus szyfruje dysk, tak jak robi to wirus OneHalf, a następnie usunięcie go bez odszyfrowania dysku najprawdopodobniej doprowadzi do utraty informacji. Wirusy tego typu można usunąć dopiero po dokładnym przestudiowaniu przez specjalistów i włączeniu modułów do ich zwalczania w zwykłych polifagach - Aidstest lub Doctor Web.

Znane nam w chwili pisania tego tekstu programy do inspekcji antywirusowej nie nadają się do wykrywania wirusów w plikach dokumentów, ponieważ z natury stale się zmieniają. Wiele programów przestaje działać po wprowadzeniu do nich kodu szczepionki. Dlatego do ich kontrolowania należy używać programów skanerowych lub analizy heurystycznej.

Monitory rezydentne

Istnieje również cała klasa programów antywirusowych, które stale znajdują się w pamięci RAM komputera i monitorują wszystkie podejrzane działania wykonywane przez inne programy. Takie programy nazywane są monitorami rezydentnymi lub strażnikami.

Monitor rezydentny powiadomi użytkownika, jeśli jakikolwiek program spróbuje zmienić sektor rozruchowy twardy dysk lub dyskietka, plik wykonywalny. Monitor rezydentny poinformuje cię, że program próbuje pozostawić moduł rezydentny w pamięci RAM itp.

Większość monitorów rezydentnych umożliwia automatyczne sprawdzanie wszystkich uruchomionych programów pod kątem infekcji znanymi wirusami, co oznacza, że ​​pełnią one funkcje skanera. Takie sprawdzenie zajmie trochę czasu, a proces ładowania programu zwolni, ale będziesz mieć pewność, że znane wirusy nie będą mogły aktywować się na Twoim komputerze.

Niestety, monitory rezydentne mają wiele wad, które sprawiają, że ta klasa oprogramowania nie nadaje się do użytku.

Wiele programów, nawet tych, które nie zawierają wirusów, może wykonywać akcje, na które reagują monitory rezydentne. Na przykład zwykłe polecenie LABEL zmienia dane w sektorze rozruchowym i uruchamia monitor.

Dlatego praca użytkownika będzie stale przerywana przez irytujące wiadomości antywirusowe. Ponadto użytkownik za każdym razem będzie musiał decydować, czy ta operacja jest spowodowana przez wirusa, czy nie. Jak pokazuje praktyka, prędzej czy później użytkownik wyłącza monitor rezydenta.

I wreszcie, najmniejszą wadą monitorów rezydentnych jest to, że muszą być stale ładowane Baran a tym samym zmniejszyć ilość pamięci dostępnej dla innych programów.

System operacyjny MS-DOS zawiera już rezydentny monitor antywirusowy VSafe.

Programy szczepień

Aby dana osoba mogła uniknąć pewnych chorób, jest szczepiona. Istnieje sposób ochrony programów przed wirusami, w którym do chronionego programu dołączony jest specjalny moduł kontrolny, który monitoruje jego integralność. W takim przypadku można sprawdzić sumę kontrolną programu lub inne cechy. Kiedy wirus zainfekuje zaszczepiony plik, moduł kontrolny wykrywa zmianę sumy kontrolnej pliku i informuje o tym użytkownika.

Niestety, w przeciwieństwie do szczepień dla ludzi, programy szczepień w wielu przypadkach nie chronią ich przed infekcją. Wirusy stealth łatwo oszukać szczepionkę. Zainfekowane pliki działają normalnie, szczepionka nie wykrywa infekcji. Dlatego nie będziemy rozwodzić się nad szczepionkami i nadal będziemy rozważać inne sposoby ochrony.

Ochrona sprzętu przed wirusami

Obecnie jednym z najbardziej niezawodnych sposobów ochrony komputerów przed atakami wirusów jest sprzęt i oprogramowanie. Zwykle są to specjalne kontrolery, które wkłada się do jednego z gniazd rozszerzeń komputera i oprogramowanie, który steruje pracą tego kontrolera.

Dzięki temu, że kontroler ochrony sprzętu jest podłączony do magistrali systemowej komputera, otrzymuje pełną kontrolę nad wszystkimi dostępami do podsystemu dyskowego komputera. Oprogramowanie do ochrony sprzętu umożliwia określenie obszarów systemu plików, których nie można modyfikować. Możesz chronić główny rekord rozruchowy, sektory rozruchowe, pliki wykonywalne, pliki konfiguracyjne i nie tylko.

Jeśli kompleks sprzętowo-programowy wykryje, że jakikolwiek program próbuje naruszyć ustaloną ochronę, może poinformować o tym użytkownika i zablokować dalsze działanie komputera.

Sprzętowy poziom kontroli nad podsystemem dyskowym komputera nie pozwala na ukrywanie się wirusów. Jak tylko wirus się zamanifestuje, zostanie natychmiast wykryty. Jednocześnie zupełnie obojętne jest, jak wirus działa i jakie środki wykorzystuje w celu uzyskania dostępu do dysków i dyskietek.

Narzędzia do ochrony sprzętu i oprogramowania pozwalają nie tylko chronić komputer przed wirusami, ale także zatrzymać pracę trojanów mających na celu zniszczenie systemu plików komputera na czas. Ponadto narzędzia sprzętowe i programowe pozwalają chronić komputer przed niewykwalifikowanym użytkownikiem i intruzem, nie pozwolą mu na usunięcie ważnych informacji, sformatowanie dysku, zmianę plików konfiguracyjnych.

Obecnie w Rosji masowo produkowany jest tylko kompleks sprzętowo-programowy Sheriff. Niezawodnie zapobiegnie infekcjom komputera i pozwoli użytkownikowi poświęcić znacznie mniej czasu na kontrolę antywirusową komputera za pomocą konwencjonalnego oprogramowania.

Znacznie więcej produktów do ochrony sprzętu i oprogramowania jest produkowanych za granicą, ale ich cena jest znacznie wyższa niż cena Sheriffa i wynosi kilkaset dolarów. Oto kilka nazw takich kompleksów:

Nazwa kompleksu

Producent

JAS Technologie obu Ameryk

Leprechaum Software International

Przedsiębiorstwa Cyfrowe

Glynn Międzynarodowy

Szwabska elektronika Reutlingen

Elektronika Telstar

Bugovics & Partner

Oprócz pełnienia swojej głównej funkcji, sprzęt i oprogramowanie zabezpieczające komputer może świadczyć różne usługi dodatkowe. Mogą zarządzać różnicowaniem praw dostępu dla różnych użytkowników do zasobów komputera - dysków twardych, napędów dysków itp.

Ochrona wbudowana w BIOS komputera

Wiele firm produkujących płyty główne komputery zaczęły w nich budować najprostsze środki ochrony przed wirusami. Te narzędzia pozwalają kontrolować wszystkie połączenia do głównego rozruchu nagrywanie trudne dysków, a także do sektorów rozruchowych dysków i dyskietek. Jeśli jakikolwiek program spróbuje zmienić zawartość sektorów rozruchowych, zostanie uruchomiona ochrona, a użytkownik otrzyma odpowiednie ostrzeżenie. Jednocześnie może zezwolić na tę zmianę lub jej zabronić.

Jednak takiej kontroli nie można nazwać prawdziwą kontrolą na poziomie sprzętowym. Moduł oprogramowania odpowiedzialny za kontrolę dostępu do sektorów rozruchowych znajduje się w pamięci ROM systemu BIOS i może zostać ominięty przez wirusy, jeśli zastąpią sektory rozruchowe, uzyskując bezpośredni dostęp do portów we/wy kontrolera dysków twardych i dyskietek.

Istnieją wirusy, które próbują wyłączyć kontrolę antywirusową systemu BIOS, zmieniając niektóre komórki w pamięć nieulotna(pamięć CMOS) komputera.

Wirusy Czeczenii .1912 i 1914

Bardzo niebezpieczne, rezydentne zaszyfrowane wirusy. Próbuję znaleźć ciągi tekstowe Megatrends w BIOS ROM i NAGRODA. Jeśli wyszukiwanie się powiedzie, zakładają, że komputer ma zainstalowany BIOS AWARD lub AMI, wyłączają kontrolę sektora rozruchowego i infekują główny rekord rozruchowy dysku twardego. Około przez miesiąc po infekcji wirus usuwa informacje ze wszystkich pierwszy dysk twardy

Najprostszym sposobem ochrony sprzętu jest odłączenie od komputera wszystkich kanałów, przez które może do niego przedostać się wirus. Jeśli komputer nie jest podłączony do sieci lokalnej i nie jest w nim zainstalowany modem, wystarczy wyłączyć dyskietki, a główny kanał przedostawania się wirusów do komputera zostanie zablokowany.

Jednak takie zamknięcie nie zawsze jest możliwe. W większości przypadków do normalnej pracy użytkownik potrzebuje dostępu do dysków lub modemów. Ponadto zainfekowane programy mogą dostać się do komputera przez lokalna sieć lub CD, a ich wyłączenie znacznie zawęzi zakres komputera.

Metody usuwania wirusów

Znalezienie wirusa na komputerze to tylko połowa sukcesu. Teraz trzeba go usunąć. W większości przypadków programy antywirusowe wykrywające wirusa mogą go usunąć. Istnieją dwie główne techniki wykorzystywane przez programy antywirusowe do usuwania wirusów.

Jeśli wykryjesz wirusa podczas skanowania plików wykonywalnych z rozszerzeniami nazw COM i EXE, powinieneś przeskanować wszystkie inne typy plików, które zawierają kod wykonywalny. Przede wszystkim są to pliki z rozszerzeniem SYS, OVL, OVI, OVR, BIN, BAT, BIN, LIB, DRV, BAK, ZIP, ARJ, PAK, LZH, PIF, PGM, DLL, DOC

Możesz nawet sprawdzić wszystkie pliki na dyskach twardych komputera. Być może ktoś zmienił nazwę zainfekowanego pliku wykonywalnego, zmieniając jego rozszerzenie. Na przykład nazwa pliku EDITOR.EXE została zmieniona na EDITOR.EX_. Taki plik nie będzie sprawdzany. Jeśli później zmieni się jego nazwę, wirus będzie mógł ponownie aktywować się i rozprzestrzeniać na komputerze

Pierwsza, najczęstsza technika polega na tym, że program antywirusowy usuwa znanego już wirusa. Aby wirus został poprawnie usunięty, konieczne jest jego przestudiowanie, opracowanie algorytmu jego leczenia, który został zaimplementowany w nowej wersji programu antywirusowego.

Druga technika pozwala odzyskać pliki i sektory rozruchowe zainfekowane wcześniej nieznanymi wirusami. Aby to zrobić, program antywirusowy przed pojawieniem się wirusów musi przeanalizować wszystkie pliki wykonywalne i zapisać wiele różnych informacji na ich temat.

Podczas kolejnych uruchomień programu antywirusowego ponownie zbiera dane o plikach wykonywalnych i porównuje je z danymi uzyskanymi wcześniej. Jeśli zostaną znalezione niespójności, prawdopodobnie plik jest zainfekowany wirusem.

W tym przypadku antywirus próbuje przywrócić zainfekowany plik, korzystając z informacji o zasadach wstrzykiwania wirusów do plików oraz informacji o tym pliku uzyskanych przed zainfekowaniem.

Niektóre wirusy infekują pliki i sektory startowe, zastępując część zainfekowanego obiektu swoim kodem, czyli bezpowrotnie niszcząc zainfekowany obiekt. Plików i sektorów rozruchowych zainfekowanych takimi wirusami nie można wyleczyć przy użyciu pierwszej metody, ale zwykle można je przywrócić przy użyciu drugiej metody. Jeśli nie możesz odzyskać zainfekowanych plików wykonywalnych za pomocą programów antywirusowych, będziesz musiał przywrócić je z pakietu dystrybucyjnego lub kopii zapasowej albo po prostu je usunąć (jeśli nie są potrzebne).

Z głównym rekordem rozruchowym i sektorami rozruchowymi sprawy są nieco bardziej skomplikowane. Jeśli program antywirusowy nie jest w stanie przywrócić ich automatycznie, będziesz musiał zrobić to ręcznie za pomocą poleceń FDISK, SYS, FORMAT. Ręczne odzyskiwanie sektorów rozruchowych zostanie opisane nieco później, w szóstym rozdziale.

Istnieje cała grupa wirusów, które infekując komputer, stają się częścią jego systemu operacyjnego. Jeśli po prostu usuniesz takiego wirusa, na przykład przywracając zainfekowany plik z dyskietki, system może częściowo lub całkowicie przestać działać. Takie wirusy należy leczyć przy użyciu pierwszej techniki.

Przykłady takich wirusów obejmują wirusy rozruchowe OneHalf i grupę wirusów VolGU.

Podczas uruchamiania komputera wirus OneHalf stopniowo szyfruje zawartość dysku twardego. Jeśli wirus rezyduje w pamięci, przechwytuje wszystkie połączenia do twardy dysk. W przypadku, gdy jakikolwiek program próbuje odczytać już zaszyfrowany sektor, wirus go odszyfrowuje. Jeśli usuniesz wirusa OneHalf, informacje o zaszyfrowanej części dysku twardego staną się niedostępne.

Wirus VolGU nie szyfruje danych, ale jest nie mniej niebezpieczny niż OneHalf. Każdy sektor dysku twardego nie tylko przechowuje zapisane na nim dane, ale zawiera również dodatkowe informacje weryfikacyjne. Jest to suma kontrolna wszystkich bajtów sektora. Ta suma kontrolna służy do sprawdzania integralności informacji.

Zwykle, gdy program uzyskuje dostęp do podsystemu dysku komputera, tylko dane są odczytywane i zapisywane, suma kontrolna jest automatycznie korygowana. Wirus VolGU przechwytuje dostęp wszystkich programów do dysku twardego i podczas zapisywania danych na dysku uszkadza sumy kontrolne sektorów.

Gdy wirus jest aktywny, umożliwia odczytywanie sektorów z niepoprawnymi sumami kontrolnymi. Jeśli po prostu usuniesz takiego wirusa, sektory z nieprawidłową sumą kontrolną nie zostaną odczytane. System operacyjny poinformuje Cię o błędzie odczytu z dysku twardego (nie znaleziono sektora).

Przygotowanie do ataku wirusa

Użytkownicy komputerów powinni wcześniej przygotować się na możliwy atak wirusów i nie czekać do ostatniej chwili na pojawienie się wirusa. Dzięki temu będziesz mógł szybciej wykryć wirusa i go usunąć.

Jakie powinno być takie przygotowanie?

¨ Przygotuj wcześniej dyskietkę systemową. Napisz na nim polifagowe programy antywirusowe, takie jak Aidstest i Doctor Web

¨ Stale aktualizuj wersje programów antywirusowych zapisanych na dyskietce systemowej

¨ Okresowo sprawdzaj komputer za pomocą różnych narzędzi antywirusowych. Kontroluj wszystkie zmiany na dysku za pomocą programu audytorskiego, takiego jak ADinf. Sprawdź nowe i zmienione pliki za pomocą programów polifagowych Aidstest i Doctor Web

¨ Przed użyciem sprawdź wszystkie dyskietki. Użyj najnowszych wersji programów antywirusowych, aby to sprawdzić

¨ Sprawdź wszystkie pliki wykonywalne zapisane na komputerze

¨ Jeśli potrzebujesz wysokiego poziomu ochrony przed wirusami, zainstaluj na swoim komputerze kontroler ochrony sprzętu, taki jak Sheriff. Współdzielenie kontrolera sprzętowego i tradycyjnych narzędzi antywirusowych pozwoli Ci maksymalnie zabezpieczyć swój system

Utwórz dyskietkę systemową

Zazwyczaj komputer ma zainstalowane dwa napędy dyskietek. dyski magnetyczne. Jedna jest przeznaczona na dyskietki 5,25", a druga na dyskietki 3,5". System operacyjny MS-DOS, a także systemy operacyjne Windows, Windows 95, Windows NT i OS/2 przypisują im nazwy A: i B:. Który dysk nosi nazwę A:, ​​a który B: zależy od sprzętu komputerowego.

Zazwyczaj użytkownik może zmienić nazwy dysków. Aby to zrobić, musisz otworzyć obudowę komputera i przełączyć kilka złączy. Jeśli to możliwe, tę pracę należy powierzyć technikowi.

5,25-calowe dyskietki powoli wychodzą z użycia, więc nowe komputery mają tylko jedną dyskietkę, która może pomieścić 3,5-calowe dyskietki. W tym przypadku nosi nazwę A:, ​​brakuje dysku B:.

Możesz uruchomić komputer za pomocą dyskietki systemowej tylko z napędu A:. Tak więc, aby stworzyć systemową dyskietkę dla swojego komputera, musisz wziąć dyskietkę o odpowiednim rozmiarze.

Istnieje wiele programów pozwalających na przygotowanie dyskietki systemowej. Takie programy są zawarte we wszystkich systemach operacyjnych - MS-DOS, Windows 3.1, Windows 95 i OS / 2 itp.

przez większość proste programy do przygotowania dyskietek systemowych służą komendy FORMAT lub SYS, które są częścią systemów operacyjnych MS-DOS i Windows 95, dlatego opiszemy je najpierw.

Korzystanie z polecenia FORMAT

Polecenie FORMAT formatuje dyskietkę i może zapisywać na niej pliki systemu operacyjnego. Podczas formatowania dyskietek FORMAT zaznacza ścieżki na dyskietce i tworzy obszary systemowe - sektor startowy, tablicę alokacji plików i katalog główny.

Po sformatowaniu dyskietki wszystkie zapisane na niej informacje są usuwane. Ponieważ FORMAT przepisuje sektor rozruchowy na dyskietkę, jeśli wcześniej był on zainfekowany wirusem rozruchowym, wirus jest usuwany. Można powiedzieć, że polecenie FORMAT spełnia główną funkcję programu antywirusowego - usuwa wszelkie wirusy z dyskietki.

Wywołując polecenie FORMAT, możesz określić dużą liczbę różnych opcji. Ich opis można znaleźć w czwartym tomie serii „ Komputer osobisty- Krok po kroku” zatytułowany „Co powinieneś wiedzieć o swoim komputerze”. W tej książce opiszemy tylko kilka najważniejszych dla nas parametrów:

FORMAT dysku:

Jako parametr napędu musisz podać nazwę napędu, który sformatuje dyskietkę. Opcja /S oznacza, że ​​po sformatowaniu dyskietki przenoszone są na nią główne pliki systemu operacyjnego, a dyskietka staje się dyskietką systemową. Tę opcję należy określić, aby przygotować dyskietkę systemową.

Jak powiedzieliśmy, polecenie FORMAT usuwa wszystkie zapisane na nim pliki ze sformatowanej dyskietki. Zwykle FORMAT zapisuje ukryte informacje na dyskietce, co w razie potrzeby umożliwia odzyskanie usuniętych z niej plików.

Aby odzyskać pliki usunięte podczas formatowania dyskietki, użyj polecenia UNFORMAT

Jeśli masz pewność, że nie będziesz musiał ich przywracać, możesz przyspieszyć formatowanie dyskietki, określając dodatkowy parametr/U. W takim przypadku informacje o usuniętych plikach nie są zapisywane i nie można ich przywrócić.

Możesz znacznie przyspieszyć proces przygotowania dyskietki systemowej, nadając poleceniu FORMAT dodatkową opcję /Q. W tym przypadku wykonuje szybkie formatowanie dyskietki:

Opiszmy dokładniej proces przygotowania dyskietki systemowej. Wpisz następujące polecenie:

Na ekranie pojawi się monit o włożenie dyskietki do napędu A: i naciśnięcie klawisza :

Włóż nową dyskietkę do napędu A:
i naciśnij ENTER, gdy będziesz gotowy...

Rozpocznie się proces formatowania. Procent wykonanej pracy zostanie wyświetlony na ekranie.

Formatowanie 1.2M
77% ukończone.

Po zakończeniu formatowania główne pliki systemu operacyjnego są zapisywane na dyskietce. Następnie możesz wprowadzić etykietę dyskietki. Etykieta nie może zawierać więcej niż jedenaście znaków. Po wprowadzeniu etykiety naciśnij klawisz . Jeśli nie chcesz opisywać dyskietki, naciśnij przycisk od razu:

formatowanie zakończone.
System przeniesiony

Etykieta woluminu (11 znaków, ENTER — brak)?

Następnie na ekranie pojawią się różne informacje statystyczne: całkowita pojemność dyskietki, ilość miejsca zajmowanego przez pliki systemu operacyjnego, ilość dostępnego wolnego miejsca. Jeśli na dyskietce zostaną znalezione uszkodzone sektory, które nie są dostępne do użytku, wyświetlany jest ich całkowity rozmiar w bajtach. Poniżej przedstawiono rozmiar sektora w bajtach, liczbę wolnych sektorów na dyskietce oraz jej numer seryjny:

1,213,952 bajtów całkowitej przestrzeni dyskowej
198 656 bajtów używanych przez system
1 015 296 bajtów dostępnych na dysku

512 bajtów w każdej jednostce alokacji.
1983 jednostek alokacji dostępnych na dysku.

Numer seryjny woluminu to 2C74-14D4

Sformatować inny (T/N)?

To kończy przygotowanie dyskietki systemowej. Jeśli nie planujesz tworzyć kilku dyskietek systemowych naraz, naciśnij klawisz . Aby utworzyć kolejną dyskietkę systemową, naciśnij klawisz i powtórz proces, który opisaliśmy jeszcze raz.

Korzystanie z polecenia SYS

Jeśli masz wolną, pustą, sformatowaną dyskietkę, najszybszym sposobem uczynienia z niej dyskietki systemowej jest użycie polecenia SYS. Aby to zrobić, włóż dyskietkę do napędu komputera i wprowadź następujące polecenie:

SYSdrive2:

Polecenie SYS ma jeden wymagany parametr - napęd2. Ten parametr musi określać nazwę napędu, w którym przygotowywana jest dyskietka systemowa. Powinieneś określić jako parametr napęd2 nazwa A: lub B:.

Parametry opcjonalne napęd1 I ścieżka określić lokalizację plików systemowych na dysku. Jeśli nie określisz tych opcji, polecenie SYS zajmie pliki systemowe z katalogu głównego bieżącego dysku.

Zapisywanie programów antywirusowych na dyskietce systemowej

Dyskietka systemowa zawiera główne pliki systemu operacyjnego MS-DOS: IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN. Jeśli dyskietka systemowa została wykonana w systemie operacyjnym zgodnym z MS-DOS, takim jak IBM PC-DOS, to nazwy tych plików mogą się różnić.

Pliki IO.SYS i MSDOS.SYS stanowią jądro systemu operacyjnego. Plik COMMAND.COM jest powszechnie nazywany procesorem poleceń. Jest to ten sam program, który wyświetla monit systemu na ekranie komputera i wykonuje polecenia systemu operacyjnego. Ostatnim plikiem na dyskietce systemowej jest DBLSPACE.BIN. Zawiera rozszerzenie systemu operacyjnego, które zapewnia dostęp do skompresowanych dysków systemu DoubleSpace.

Główne pliki systemu operacyjnego - IO.SYS, MSDOS.SYS mają atrybut "ukryty plik" i nie są pokazywane przez polecenie DIR. Aby je zobaczyć, dodaj opcję /A do polecenia DIR.

Po utworzeniu dyskietki nadal pozostaje na niej dużo wolnego miejsca. Całkowita objętość zajmowana przez główne pliki systemu operacyjnego MS-DOS - IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN to około 200 KB. Tak więc, jeśli używasz dyskietki o dużej gęstości, masz do dyspozycji ponad megabajt wolnego miejsca.

Zapisz na dyskietce systemowej oprogramowanie potrzebne do przetestowania i naprawy uszkodzonego systemu operacyjnego. Przede wszystkim musisz napisać programy antywirusowe, które skanują w poszukiwaniu wirusów oraz program do sprawdzania integralności systemu plików. Przydatne jest zapisanie poleceń FORMAT i FDISK — mogą być potrzebne do ręcznego odzyskiwania systemu. Dla wygody można dodatkowo napisać na systemową dyskietkę powłokę, taką jak Norton Commander, oraz dowolny edytor tekstu.

W poniższej tabeli wymieniono programy, które mogą pomóc w ponownym uruchomieniu komputera. Wskazane jest zapisanie ich wszystkich na dyskietce systemowej. Jeśli nie mieszczą się na jednej dyskietce systemowej, przygotuj inną dyskietkę i zapisz na niej pozostałe programy.

Program

Cel, powód

Polifag programu antywirusowego. Umożliwia wykrywanie i usuwanie dużej liczby wirusów. Wirusy polimorficzne, których Aidstest nie może wykryć, są wykrywane przez Doctor Web

Polifagowy program antywirusowy, który implementuje heurystyczny algorytm wyszukiwania wirusów. Umożliwia wykrywanie złożonych wirusów polimorficznych. Musisz go używać razem z programem antywirusowym Aidstest

ScanDisk lub
Norton Disk Doctor

W wielu przypadkach przyczyną nieprawidłowego działania i dziwnego zachowania komputera nie są wirusy, ale uszkodzony system plików. ScanDisk i Norton Disk Doctor wykrywają i automatycznie naprawiają błędy w systemie plików MS-DOS

Program do testowania wszystkich podsystemów komputerowych. Pozwala wykryć awarię sprzętu

Norton dowódca

Powłoka dla systemu operacyjnego MS-DOS. Znacznie ułatwia pracę z komputerem. Zawiera wbudowane Edytor tekstu, przeglądarki plików w różne formaty

Polecenie MS-DOS. Przeznaczony do formatowania dysków twardych i dyskietek komputerowych

Polecenie MS-DOS. Zaprojektowany do tworzenia i usuwania dysków logicznych. Polecenia FDISK i FORMAT mogą być potrzebne w przypadku całkowitego zniszczenia informacji na dysku twardym. Ich użycie zostało opisane w rozdziale „Przywracanie systemu plików”

Edytor dysków. Umożliwia przeglądanie i edycję wszelkich informacji zapisanych na dysku, w tym obszarów systemowych. Disk Editor umożliwia edycję głównego sektora rozruchowego, sektorów rozruchowych, tabel alokacji FAT, struktur katalogów i plików

W niektórych przypadkach, aby uzyskać dostęp do dysków twardych komputera, możesz użyć specjalne sterowniki lub programy rezydencyjne. Muszą być zapisane na przygotowanej dyskietce systemowej. Aby były one automatycznie połączone, gdy komputer jest uruchamiany z dyskietki systemowej, utwórz na nim pliki CONFIG.SYS i AUTOEXEC.BAT, pisząc do nich polecenia ładowania niezbędnych sterowników.

Jeśli do komputera jest podłączony napęd CD-ROM, na dyskietce systemowej zapisz oprogramowanie wymagane do jego używania. W przypadku MS-DOS należy napisać sterownik czytnika i program MSCDEX dołączony do systemu operacyjnego. Dostęp do czytnika pozwoli na szybkie odtworzenie oprogramowania zapisanego na płytach CD.

sala operacyjna system Windows 95 nie wymaga programu MSCDEX, jednak jeśli powłoka graficzna tego systemu nie uruchamia się, MSCDEX nadal musi być dołączony

Po całkowitym przygotowaniu dyskietki systemowej i zapisaniu na niej wszystkich niezbędnych programów zainstaluj na niej ochronę przed zapisem. Aby to zrobić, na dyskietce 5,25" należy zakleić szczelinę na krawędzi dyskietki, a na dyskietce 3,5" otworzyć okienko ochronne. Ochrona przed zapisem gwarantuje, że przypadkowo nie uszkodzisz zawartości dyskietki i nie przenikną do niej wirusy. Ponieważ dyskietki czasami zawodzą, najlepiej jest mieć kilka identycznych dyskietek systemowych w tym przypadku.

Uruchom z dyskietki systemowej

Aby uruchomić komputer z dyskietki systemowej, należy ustawić priorytet uruchamiania systemu operacyjnego z dyskietek. Priorytet rozruchu systemu operacyjnego jest określany w pamięci CMOS. Aby to zmienić, musisz uruchomić program instalacyjny. Więcej informacji o programie instalacyjnym można znaleźć w tomie 4 serii Komputer osobisty — krok po kroku, zatytułowanej Co powinieneś wiedzieć o swoim komputerze.

Istnieją wirusy zmieniające priorytet rozruchu komputera. W tym celu zmieniają dane zapisane w pamięci CMOS. Przykładami takich wirusów są wirusy Mammoth.6000 i ExeBug. Wirusy te wyłączają napędy dysków w pamięci CMOS, tymczasowo włączając je ponownie, jeśli program chce odczytywać lub zapisywać informacje na dyskietce. Gdy użytkownik spróbuje uruchomić komputer z dyskietki, uruchomi się on z dysku twardego, ponieważ napęd dyskowy jest wyłączony. Wirus przejmie kontrolę, a następnie uruchomi komputer z dyskietki.

Jednocześnie z punktu widzenia użytkownika wszystko wygląda jak zwykle. Widzi, że system operacyjny jest ładowany z dyskietki, ale do tego czasu wirus jest już w pamięci RAM i kontroluje komputer.

Dlatego tuż przed uruchomieniem MS-DOS z dyskietki systemowej upewnij się, że zawartość pamięci CMOS jest ustawiona poprawnie. Aby to zrobić, uruchom instalator Ustawienia BIOS i sprawdź wymienione tam typy dysków, a także kolejność rozruchu komputera.

Włóż dyskietkę systemową do napędu A: i uruchom ponownie komputer. Jeśli podejrzewasz obecność wirusów, aby ponownie uruchomić komputer, musisz wyłączyć i włączyć zasilanie komputera lub nacisnąć przycisk „Resetuj” na obudowie komputera. Niektóre wirusy śledzą ponowne uruchamianie za pomocą skrótów klawiaturowych i może pozostać w pamięci RAM nawet po takim uruchomieniu z dyskietki systemowej.

Po wstępnym przetestowaniu komputera system operacyjny rozpocznie ładowanie z dyskietki. Dioda napędu A: powinna się świecić. Proces uruchamiania z dyskietki jest nieco wolniejszy niż z dysku twardego, więc będziesz musiał trochę poczekać. Po zakończeniu ładowania systemu operacyjnego na ekranie pojawi się komunikat.

System operacyjny wyświetli monit o podanie aktualnej daty i godziny. Data i godzina są wymagane tylko wtedy, gdy dyskietka (dysk) nie zawiera pliku konfiguracyjnego systemu AUTOEXEC.BAT.

Jeśli nie chcesz zmieniać daty i godziny, naciśnij dwukrotnie klawisz . W takim przypadku data i godzina pozostaną niezmienione, a na ekranie pojawi się monit systemu MS-DOS:

Możesz utworzyć pusty plik AUTOEXEC.BAT na dyskietce systemowej, wtedy data i godzina nie będą żądane, a po załadowaniu systemu operacyjnego na ekranie natychmiast pojawi się monit systemowy.

Czy można zapobiegać wirusom?

Jeśli nie wykonujesz okresowo prac mających na celu zapobieganie i leczenie komputerów przed wirusami, możliwość utraty przechowywanych informacji i zniszczenia środowiska operacyjnego staje się bardziej niż realna.

Negatywne konsekwencje twojego zaniedbania mogą być różne, w zależności od tego, który wirus dostanie się do komputera. Możesz utracić część informacji z plików przechowywanych na komputerze lub pojedyncze pliki, a nawet wszystkie pliki na dysku. Ale najgorsze jest to, że wirus dokonuje niewielkich zmian w plikach danych, które początkowo mogą nie zostać zauważone, a następnie prowadzić do błędów w dokumentach finansowych lub naukowych.

Prace nad zapobieganiem i leczeniem komputerów przed wirusami mogą obejmować następujące działania:

w Instaluj oprogramowanie tylko z dystrybucji

w Zabezpiecz wszystkie dyskietki przed zapisem i wyjmuj je tylko wtedy, gdy jest to konieczne.

w Ogranicz wymianę programów i dyskietek, sprawdź takie programy i dyskietki pod kątem wirusów

w Okresowo sprawdzaj pamięć RAM i dyski komputera pod kątem obecności wirusów za pomocą specjalnych programów antywirusowych

w Utwórz kopię zapasową informacji o użytkowniku

Nie spotykaj obcych

Żadne środki ochrony nie mogą pomóc w ochronie komputera przed wirusami, chyba że najpierw przeskanujesz wszystkie zapisane na nim pliki wykonywalne. Do tej pory taka kontrola jest możliwa tylko za pomocą programów antywirusowych polifagów.

Ciągłe pojawianie się coraz to nowych wirusów wymaga korzystania z najnowszych wersji programów antywirusowych. Pożądane jest, aby umożliwiały one wyszukiwanie nie tylko znanych wirusów, ale także analizę heurystyczną sprawdzanych programów i sektorów rozruchowych. Umożliwi wykrywanie plików zainfekowanych nowymi, jeszcze nieznanymi i niezbadanymi wirusami.

Niestety programy antywirusowe nie mogą dać pełnej gwarancji, że sprawdzane oprogramowanie jest wolne od wirusów, nie mówiąc już o trojanach czy bombach logicznych. Pisząc na swoim komputerze oprogramowanie niewiadomego pochodzenia, zawsze narażasz się na ryzyko

W dużych organizacjach sensowne jest przydzielenie specjalnego komputera do zainstalowania podejrzanego oprogramowania, takiego jak gry komputerowe. Ten komputer musi być odizolowany od pozostałych komputerów w organizacji. Przede wszystkim konieczne jest odłączenie go od sieci lokalnej i uniemożliwienie użytkownikom nie tylko kopiowania z niego programów, ale także zapisywania do niego plików z dyskietek roboczych, które nie są wcześniej zabezpieczone przed zapisem.

Podczas pracy z podejrzanym oprogramowaniem używaj programów monitorujących, takich jak monitor VSafe dołączony do systemu MS-DOS. Jeśli program jest rzeczywiście zainfekowany wirusem lub zawiera bombę logiczną, monitor zgłosi wszelkie nieautoryzowane działania z jego strony. Niestety programy monitorujące, takie jak VSafe, mogą być łatwo oszukane przez wirusy, więc bardziej niezawodne jest korzystanie z narzędzi ochrony oprogramowania i sprzętu.

Zestaw antywirusowy DialogScience zawiera system ochrony sprzętu i oprogramowania firmy Sheriff. Między innymi spełnia wszystkie funkcje programów monitorujących, ale robi to znacznie lepiej. W związku z tym, że kontrolę nad komputerem zapewnia specjalny kontroler ochrony na poziomie sprzętowym, wirusy nie będą w stanie oszukać Szeryfa.

Jak chronić dyskietki przed zapisem

Możesz zabezpieczyć swoje dyskietki przed zapisem. Ochrona działa na poziomie sprzętu komputerowego i nie można jej wyłączyć programowo. Dlatego wirus nie będzie w stanie zainfekować sektora startowego i plików wykonywalnych zapisanych na dyskietce z zainstalowaną ochroną przed zapisem.

Wszystkie dystrybucje oprogramowania zapisane na dyskietkach powinny być zabezpieczone przed zapisem. Większość oprogramowania można zainstalować z dyskietek chronionych przed zapisem

Jeśli spróbujesz zapisać dane na dyskietce zabezpieczonej przed zapisem, system operacyjny wyświetli komunikat ostrzegawczy na ekranie komputera. Może mieć różnego rodzaju, w zależności od sposobu zapisu na dyskietce.

Na przykład, jeśli użyjesz poleceń MS-DOS COPY lub XCOPY i spróbujesz zapisać plik na bezpiecznej dyskietce, na ekranie pojawi się następujący komunikat:

Przed zapisem chroń błąd odczytu dysku A
Przerwać, ponowić, nie powieść?

Użytkownik musi odpowiedzieć, jak system operacyjny powinien zachowywać się w tej sytuacji. Możesz wybrać trzy odpowiedzi: Przerwij, Ponów lub Niepowodzenie. W tym celu wystarczy wpisać z klawiatury pierwszy znak wybranego tropu: Przerwij - , Spróbować ponownie- , Ponieść porażkę- . Możesz używać zarówno wielkich, jak i małych liter.

Wybranie opcji Abort lub Fail oznacza, że ​​system operacyjny powinien zrezygnować z próby zapisania informacji na dyskietce (Abort po prostu przerywa operację, natomiast Fail wskazuje na konieczność zwrócenia do programu kodu błędu). Jeśli chcesz wykonać operację zapisu, usuń ochronę przed zapisem z dyskietki i wybierz opcję Ponów.

Należy dokładnie przemyśleć komunikat o próbie zapisu na chronioną dyskietkę. Odczytywanie plików z dyskietki i uruchamianie z niej większości programów nie powinno powodować zapisu na niej. Jeśli masz pewność, że dyskietka nie powinna być zapisywana, ale jest, to istnieje duża szansa, że ​​Twój komputer jest zainfekowany wirusem.

Niektóre wirusy blokują wyświetlanie komunikatu o próbie ochrony przed zapisem, gdy infekują pliki wykonywalne lub sektor startowy dyskietki. Dzięki temu mogą pozostać niezauważeni, jeśli dyskietka jest chroniona. Jednak osiągniesz pożądany rezultat, dyskietka pozostanie niezainfekowana.

Plaga wirusa.2647

Niegroźny, rezydentny wirus ukrywający się. Podczas otwierania zainfekowanych plików usuwa z nich swój kod, a następnie infekuje ponownie po zamknięciu pliku. Podczas infekowania plików na dyskietkach sprawdza, czy włączona jest ochrona przed zapisem. Jeśli ochrona jest ustawiona, wirus nie będzie próbował infekować znajdujących się na nim plików. Zawiera napis „PLAGUE”

Ochronę przed zapisem można zainstalować na dyskietce o dowolnym rozmiarze - 3,5 cala i 5,25 cala. Najłatwiej to zrobić na dyskietkach 3,5 cala. Wystarczy zamknąć mały otwór w rogu dyskietki specjalną plastikową osłoną, jak pokazano na ryc. 2.1. Usunięcie zabezpieczenia przed zapisem jest również łatwe: wystarczy otworzyć otwór ochronny.

Ryż. 2.1. Ochrona przed zapisem na dyskietce 3,5 cala

Aby zabezpieczyć dyskietkę 5,25” przed zapisem, należy zakleić szczelinę w kopercie (rys. 2.2). Aby to zrobić, użyj małego prostokątnego kawałka papieru samoprzylepnego. Zwykle taki papier sprzedawany jest razem z dyskietkami. W skrajnych przypadkach możesz użyć zwykłej taśmy elektrycznej. Możesz usunąć ochronę przed zapisem, usuwając wklejoną kartkę papieru.

Często bardzo trudno jest usunąć i zainstalować ochronę na dyskietce 5,25”, prędzej czy później zrobi się nudna i wirus będzie w stanie przeniknąć przez dyskietkę. Dlatego, jeśli to możliwe, porzuć dyskietki 5,25" i zastąp je wygodniejszymi dyskietkami 3,5".


Ryż. 2.2. Ochrona przed zapisem na dyskietce 5,25"

Wybór właściwej kolejności rozruchu dla twojego komputera

System operacyjny można załadować z dysku twardego lub dyskietki. Zwykle komputer jest uruchamiany z dysku twardego, ale jeśli dyskietka zostanie włożona do napędu A: (przypadkowo lub celowo) podczas włączania lub ponownego uruchamiania komputera, system operacyjny zostanie uruchomiony z niego. Jeśli dyskietka zostanie zainfekowana wirusem rozruchowym, przejmie kontrolę i natychmiast spróbuje zainfekować dysk twardy komputer.

Większość komputerów umożliwia określenie priorytetu, w jakim system operacyjny powinien zostać załadowany. Ta kolejność jest ustawiana za pomocą programu BIOS Setup. Aby uzyskać więcej informacji na temat programu konfiguracji systemu BIOS, zobacz sekcję „Przywracanie systemu plików”.

Aby chronić komputer przed przypadkową infekcją wirusem rozruchowym, określ, że system operacyjny powinien być najpierw ładowany z dysku C:, a dopiero w przypadku niepowodzenia z dysku A:.

Jeśli potrzebujesz uruchomić komputer z dyskietki, upewnij się, że nie ma na nim wirusów. Aby to zrobić, najpierw sprawdź to za pomocą kilku programów antywirusowych, takich jak Doctor Web i Aidstest.

Najlepiej, jeśli wcześniej przygotujesz dyskietkę systemową i aby nie została przypadkowo uszkodzona, ustaw na niej ochronę przed zapisem. Na dyskietce systemowej przydatne jest pisanie programów do diagnozowania komputera - programów antywirusowych, programów do sprawdzania integralności systemu plików i stanu sprzętu komputerowego. Jak utworzyć dyskietkę systemową, opisaliśmy w rozdziale „Tworzenie dyskietki systemowej”.

Niepopularne środki

W organizacjach bardzo skuteczne mogą być środki ścisłej ochrony, związane z odłączaniem kanałów ewentualnych wirusów od komputerów. Dotyczy to przede wszystkim stacji dyskietek. Dyski można wyłączyć fizycznie i usunąć z komputera lub można je wyłączyć tylko w pamięci CMOS, gdy są włączone Program BIOS Instalator powinien wprowadzić hasło.

Idealnie wszystkie dyski, napędy CD-ROM, modemy, porty szeregowe i równoległe, karty sieciowe. Oczywiście jest to nierealne, ale nie należy całkowicie rezygnować z takiego pomysłu.

Utworzyć kopię zapasową

Bardzo ważne jest zorganizowanie kopii zapasowej informacji przechowywanych na komputerze. W zależności od narzędzi, którymi dysponujesz, możesz wykonać pełną kopię dysków twardych komputera lub kopię samego komputera. ważna informacja, którego nie można przywrócić w żaden inny sposób.

Do Zarezerwuj kopię zwykle stosuje się taśmy magnetyczne. Nagrywanie na nich odbywa się za pomocą specjalnych magnetofonów cyfrowych, zwanych streamerami. Pojemność kaset magnetycznych waha się od 200 MB do 4 GB. Ostatnio dostępne stały się magnetooptyczne urządzenia pamięci masowej. Pod względem niezawodności i łatwości użytkowania znacznie przewyższają taśmę magnetyczną. Objętość dysków magnetooptycznych jest bardzo zróżnicowana i waha się od kilkudziesięciu megabajtów do kilku gigabajtów.

Jeśli nie masz do dyspozycji napędu taśmowego lub dysku magneto-optycznego, w wielu przypadkach wystarczą zwykłe dyskietki. Oczywiście najgorszą metodą tworzenia kopii zapasowych jest zapis na dyskietki. Po pierwsze, dyskietki są bardzo małe - nieco ponad jeden megabajt. Po drugie, dyskietki są bardzo zawodne. Czasami nie jest możliwe odczytanie z nich wcześniej zarejestrowanych informacji.

Jedna kopia zapasowa to za mało. Musisz mieć wiele kopii zapasowych. Oto mały przykład. Robisz kolejną kopię i nagle następuje awaria zasilania lub atak wirusa. Komputer zawiesza się, dane zapisane w komputerze i jego kopia są uszkodzone

Podczas tworzenia kopii zapasowej musisz być bardzo ostrożny. Przed kopiowaniem zawsze sprawdź integralność skopiowanych informacji. Wykonuj skanowanie w poszukiwaniu wirusów i skanowanie systemu plików. Aby to zrobić, użyj najnowszych wersji programów antywirusowych i programów, takich jak ScanDisk. Jeśli nie zastosujesz się do tej reguły, wszystkie kopie zapasowe prędzej czy później zostaną uszkodzone.

W szczególnie krytycznych przypadkach wykonuj cykliczne kopiowanie danych. Na przykład aktualizuj jedną kopię codziennie, drugą co tydzień, trzecią co miesiąc.

Archiwizacja plików

Jeżeli do backupu używane są zwykłe dyskietki, to przed zapisaniem na nich plików należy je skompresować jakimś programem do archiwizacji. Programy archiwizujące pozwalają zmniejszyć ilość miejsca na dysku zajmowanego przez pliki. Czyni to, eliminując nadmiarowość informacji przechowywanych w skompresowanych plikach.

Skompresowane pliki mogą zajmować znacznie mniej miejsca na dysku niż ich oryginały. Czyli pliki tekstowe przygotowane np. w edytorze tekstu Microsoft Word dla Windowsa są zwykle o połowę mniejsze. Oczywiście praca z takim plikiem jest niemożliwa. Przed rozpoczęciem pracy należy go przywrócić przy użyciu tego samego programu do archiwizacji.

Obecnie najpopularniejsze archiwizatory to ARJ, PKZIP, RAR. Wszystkie pełnią w przybliżeniu te same funkcje i mogą służyć do tworzenia kopii zapasowych dokumentów.

Więcej szczegółów na temat archiwizacji danych omówiono w dziesiątym tomie serii System Programmer's Library, który nosi nazwę IBM PC/AT, MS-DOS i Windows. Pytania i odpowiedzi". Na razie podamy tylko przykład wykorzystania archiwizatora ARJ do przygotowania kopii zapasowych plików. Format wywoływania archiwizatora ARJ jest dość skomplikowany:

ARJ<команда> [-<ключ> [-<ключ>...]] <имя архива>
[<имена файлов>...]

Pierwszy parametr to Komenda - określa tryb pracy archiwizatora:

Tryb pracy archiwizatora

Dodawanie nowych plików do archiwum

Usuwanie plików z archiwum

Wyodrębnianie plików z archiwum

Przeglądanie zawartości archiwum

Przenoszenie plików do archiwum. Pliki są zapisywane do archiwum, a następnie oryginalne pliki są usuwane z dysku

Przywracanie plików wraz ze strukturą katalogów i podkatalogów, w których te pliki znajdowały się podczas tworzenia kopii zapasowej

Przywracanie plików archiwalnych. Struktura katalogów i podkatalogów nie zostaje przywrócona, wszystkie pliki z archiwum znajdują się w jednym katalogu

Zaktualizuj zarchiwizowane pliki. Do archiwum zapisywane są tylko zmienione i nowe pliki. Pliki, które pozostają niezmienione, nie są ponownie archiwizowane. Oszczędza to dużo czasu

Po jednym z powyższych poleceń może następować jeden lub więcej opcjonalnych parametrów dodatkowych. klucz. Dodatkowe parametry muszą być oddzielone symbolem „-”. Oto tabela z najważniejszymi parametrami dodatkowymi i ich przeznaczeniem:

Dodatkowy parametr

Cel, powód

Ochrona utworzonego archiwum hasłem

Używane z poleceniami "a" lub "m" w celu określenia, że ​​archiwum powinno zawierać pliki z bieżącego katalogu i wszystkich jego podkatalogów

Tworzenie i przywracanie archiwów wielowoluminowych znajdujących się na kilku dyskietkach. Każda dyskietka zawiera jeden wolumin (plik) archiwum. Istnieje kilka modyfikacji opcji -v:

VV - wydanie sygnał dźwiękowy między przetwarzaniem poszczególnych tomów archiwum;

VA - automatycznie określa ilość wolnego miejsca na dyskietce (rozmiar następnego woluminu archiwum);

Vnnnnn - rozmiar poszczególnych woluminów archiwum, np. V20000 - utwórz archiwum z woluminów 20 KB;

V360, V720, V1200, V1440 - tworzenie woluminów, stały rozmiar 360 KB, 720 KB, 1,2 MB, 1,44 MB każdy

Przywróć pliki z uszkodzonego archiwum. Użyj tej opcji, jeśli przywracanie plików z archiwum zostało przerwane przez komunikat od archiwizatora o naruszeniach w strukturze pliku archiwum

x

Archiwizator nie będzie pytał użytkownika o zgodę na wykonywanie różnych czynności, na przykład utworzenie nowego pliku w archiwum wielotomowym, tworzenie katalogów

Po opcjach opcjonalnych następuje nazwa pliku archiwum, po której następuje lista nazw plików do wyodrębnienia, dodania lub usunięcia. Podczas określania nazw tych plików możesz użyć znaków „?” I "*". Jeśli nie określisz listy nazwy_plików, to zostaną przyjęte wszystkie pliki znajdujące się w bieżącym katalogu lub archiwum.

Programy archiwizujące są bardzo wygodne do tworzenia kopii zapasowych na dyskietkach. Jeśli plik archiwum nie mieści się na jednej dyskietce, archiwizator umożliwia tworzenie archiwum wielotomowe, składający się z wielu plików. Aby to zrobić, musisz określić dodatkowy parametr V. Oddzielne pliki Archiwum wielowoluminowe można zapisać na wielu dyskietkach.

Poniższe polecenie tworzy archiwum wielowoluminowe ze wszystkich plików znajdujących się w bieżącym katalogu i wszystkich jego podkatalogach, z wyjątkiem plików o nazwie .tmp lub .bak. Pliki archiwum wieloczęściowego będą nieco większe niż 1,44 MB. Możesz je zapisać na 3-calowych dyskietkach.

ARJ A -R -X*.BAK -XTMP.* -V1440 !ZWIJANIE

Pliki utworzonego archiwum będą miały nazwę COLLAPS i różne rozszerzenia:

COLLAPS.ARJ
!ZAWIJANIE.A01
!ZAWIJANIE.A02
!ZAWIJANIE.A03
....

Pliki zapisane w tym wielowoluminowym archiwum można przywrócić, kopiując je najpierw na dysk twardy komputera lub bezpośrednio z dyskietek. Na przykład, aby przywrócić dane z dyskietek, użyj następującego polecenia:

ARJ X -V A:\!ZWIJANIE

Po przywróceniu pliku archiwum użytkownik zostanie poproszony o przetworzenie następny plik archiwum. Włóż następującą dyskietkę do napędu i naciśnij przycisk .

Tworzenie kopii zapasowych dokumentów w systemie Windows 95

System operacyjny Windows 95 zapewnia wygodny sposób tworzenia kopii zapasowych pojedynczych dokumentów i całych katalogów na dyskietkach. Aby to zrobić, wystarczy otworzyć ikonę Mój komputer i przejść do katalogu, z którego chcesz zapisywać pliki na dyskietki.

Następnie przesuń wskaźnik myszy na ikonę pliku lub katalogu do skopiowania i kliknij prawy przycisk myszy. Na ekranie pojawi się małe menu.


Ryż. 2.3. Zapisywanie katalogu Biblioteki na dyskietkach

Wybierz wiersz Wyślij do z tego menu, a następnie w otwartym menu tymczasowym określ dysk, na którym zostanie wykonana kopia. Na rysunku 2.3 pokazaliśmy, jak skopiować katalog Library na dyskietki 3,5 cala.

Po określeniu napędu rozpocznie się proces kopiowania. Jeśli jedna dyskietka nie wystarczy do skopiowania wszystkich plików w katalogu, system operacyjny poprosi o włożenie następnej dyskietki.

Niestety, pokazana przez nas metoda rozładowywania nie pozwala na kopiowanie plików na dyskietki, które są większe niż rozmiar samej dyskietki. Dlatego nie można w ten sposób kopiować bardzo dużych dokumentów.

Sprawdź, czy nie ma wirusów

Aby sprawdzić nowe programy, które piszesz na swoim komputerze, musisz użyć najnowszych polifagowych programów antywirusowych. Będą w stanie wykryć wszelkie wirusy znane w czasie tworzenia programu antywirusowego. Pożądane jest, aby używane programy antywirusowe przeprowadzały analizę heurystyczną programów. Być może pozwoli nam to wykryć nowe, jeszcze nieznane wirusy.

Popularność programów antywirusowych Aidstest i Doctor Web jest tak duża, że ​​są instalowane na prawie każdym komputerze. Dlatego teraz przeskanujemy Twój komputer tymi programami i sprawdzimy, czy nie zawiera wirusów.

Jeśli nie masz najnowszych wersji programów antywirusowych, skorzystaj z posiadanych programów. Chociaż takie skanowanie będzie niekompletne, nadal wykryje dużą liczbę wirusów.

Skanowanie w poszukiwaniu wirusów na dysku twardym komputera

Najpierw sprawdźmy wszystkie dyski twarde komputera za pomocą programu Aidstest. Wprowadź następujące polecenie w wierszu poleceń DOS.

Zwróć szczególną uwagę na komunikaty wyświetlane przez program podczas skanowania komputera. Jeśli zostanie znaleziony wirus, Aidstest poinformuje Cię o tym.

Wiele wirusów, których Aidstest nie wykrywa, może zostać przechwyconych przez Doctor Web. Ponadto Doctor Web umożliwia przeprowadzanie heurystycznej analizy programów i sektorów rozruchowych. Dlatego powtórz kontrolę za pomocą Doctor Web.

DRWEB * /CL /HI /AR /HA1 /RV /UP

Antywirus Doctor Web będzie skanował wszystkie dyski twarde komputera, podczas gdy będzie skanował w poszukiwaniu wirusów nie tylko bezpośrednio w plikach wykonywalnych, ale także w plikach archiwalnych, a także w skompresowanych plikach wykonywalnych. W przypadku wykrycia wirusów program wyświetli odpowiedni komunikat na ekranie.

Wszystkie przykłady w tej sekcji skanują tylko w poszukiwaniu wirusów, żaden z wykrytych wirusów nie zostanie usunięty. Aby to zrobić, musisz jeszcze raz uruchomić program antywirusowy, uruchamiając system z dyskietki systemowej.

Skanowanie w poszukiwaniu wirusów na dyskietkach

Wszystkie nowe dyskietki, a także dyskietki, które komuś przekazałeś, muszą być sprawdzone pod kątem infekcji wirusowej. Aby to zrobić, użyj antywirusów polifagowych Aidstest i Doctor Web. Kolejno wywołuj najpierw jeden, a potem inny program. Poniższy przykład pokazuje, jak przetestować dyskietkę włożoną do napędu A:.

TEST POMOCNICZY A: /B
DRWEB A: /CL /AR /HA1 /UP /NM /OF

Wirusy w plikach archiwum

Aby zwiększyć ilość wolnego miejsca na dysku twardym i dyskietkach, wielu użytkowników archiwizuje rzadko używane pliki. W tym celu można użyć specjalnych programów archiwizujących, które zmniejszają rozmiar plików, eliminując nadmiarowość danych zapisanych w pliku. Gdy użytkownik ponownie potrzebuje pliku z archiwum, ponownie korzysta z programu archiwizującego.

Pliki wewnątrz archiwum są przechowywane w postaci skompresowanej, co uniemożliwia wyszukiwanie wirusa po ich sygnaturach. Dlatego też, jeśli zarchiwizowałeś zainfekowany program, może on pozostać niewidoczny dla wielu programów antywirusowych.

Niektóre programy antywirusowe, takie jak Doctor Web, umożliwiają skanowanie plików przechowywanych w archiwach. Skanując archiwa, Doctor Web tymczasowo przywraca zapisane w nich pliki i skanuje je sekwencyjnie.

Jeśli znajdziesz wirusy na swoim komputerze, sprawdź wszystkie pliki archiwów, nawet jeśli Twój program antywirusowy nie wie, jak pracować z archiwami. Przywróć pliki ze wszystkich archiwów na dysku samodzielnie, a następnie sprawdź je swoim programem antywirusowym

Zwykle, gdy kilka osób pracuje na tym samym komputerze, używają różnych sposobów różnicowania dostępu do dysków twardych. Na przykład Diskreet z pakietu Norton Utilities umożliwia tworzenie wielu dysków logicznych. Każdy użytkownik może mieć dostęp tylko do niektórych dysków, reszta będzie dla niego całkowicie niedostępna.

Wirus ArjVirus

Nie-niebezpieczny wirus nierezydentny. Przeszukuje bieżący katalog i jego podkatalogi w poszukiwaniu plików archiwów utworzonych przez archiwizator ARJ. Wirus rozróżnia pliki archiwów jedynie po ich rozszerzeniu - ARJ.

Jeśli plik archiwum zostanie wykryty, wirus tworzy plik o losowej nazwie składającej się z czterech znaków od „A” do „V”, z Rozszerzenie COM. Wirus zapisuje do tego pliku 5 KB swojego kodu, a na końcu dołącza do niego dowolną liczbę bajtów.

Następnie wirus wywołuje program archiwizujący ARJ, wierząc, że znajduje się on w jednym z katalogów wymienionych w zmiennej PATH. Aby to zrobić, użyj procesora poleceń:

C:\COMMAND.COM /C ARJ A

Parametr ArjFile określa nazwę pliku archiwum znalezionego przez wirusa. Parametr ComFile zawiera nazwę nowo utworzonego pliku wykonywalnego wirusa. To polecenie dodaje nowy plik wykonywalny wirusa do pliku archiwum wykrytego przez wirusa. Oryginalny plik wirusa jest następnie usuwany.

Aby uniemożliwić użytkownikowi zobaczenie informacji na ekranie, które są zwykle wyświetlane przez program archiwizujący ARJ, wirus tymczasowo wyłącza wszystkie dane wyjściowe na ekranie monitora.

Główną ideą wirusa jest to, że użytkownik, który przywrócił pliki z zainfekowanego archiwum, znajdzie w nim nieznany plik wykonywalny i uruchomi go z ciekawości.

Konieczne jest skanowanie w poszukiwaniu wirusów na wszystkich dyskach. Najlepiej, jeśli robi to użytkownik, który ma dostęp do wszystkich dysków na komputerze. W przeciwnym razie każdy użytkownik będzie musiał sprawdzić dostępne dla niego dyski. Jeżeli któryś z użytkowników odkryje, że na dysku jest dostępny dla niego wirus, musi poinformować o tym wszystkich pozostałych użytkowników komputera.

Jeśli znajdziesz wirusa

Największą wartością są Twoje dane przechowywane w komputerze. To może być dokumenty tekstowe, pliki arkuszy kalkulacyjnych, bazy danych, kody źródłowe programów itp. Ich koszt może być wielokrotnie, wielokrotnie wyższy niż koszt samego komputera i zainstalowanego na nim oprogramowania.

Każde oprogramowanie zniszczone przez wirusy można przywrócić z dystrybucji lub kopii zapasowych. Ale z danymi sytuacja jest znacznie gorsza. Jeśli dane nie są objęte trwałą kopią zapasową, mogą zostać bezpowrotnie utracone.

Dlatego po wykryciu wirusa pierwszą rzeczą do zrobienia jest ponowne uruchomienie komputera z czystej dyskietki i skopiowanie danych z dysku twardego komputera na dyskietki, taśmy magnetyczne lub inne urządzenia do przechowywania informacji. Dopiero potem możesz zacząć leczyć komputer.

W przypadku wykrycia wirusa mógł już zniszczyć informacje przechowywane na komputerze. Zniszczenie może mieć inny charakter. Być może pliki danych zostaną całkowicie zniszczone i nawet nie będziesz mógł ich odczytać, a może zostaną nieznacznie zmienione i nie będziesz w stanie od razu to zauważyć.

Wirus Rogue.1208

Niebezpieczny wirus rezydentny. Niszczy pliki z rozszerzeniem DBF poprzez wpisanie do nich pierwszego bajtu „R” i wykonanie logicznej operacji EXCLUSIVE OR z liczbą 13 na pozostałej zawartości pliku, aż do pierwszego znaku, który ma kod 13. Niszczy pliki CHKLIST ???. W miesiącu, w którym suma wartości roku i miesiąca wynosi 2000, wirus wyświetla tekst: „Teraz masz prawdziwego wirusa! Jestem ROGUE...!

Spróbuj dowiedzieć się, jaki rodzaj wirusa dostał się do twojego komputera i co robi. Możesz uzyskać te informacje z definicji wirusów dostarczonych z oprogramowaniem antywirusowym. Praktycznie wszystkie programy antywirusowe posiadają takie listy. Mogą być zaimplementowane jako proste pliki tekstowe lub jako specjalne bazy hipertekstowe.

Jeśli znajdziesz wirusa na swoim komputerze, mógł on już rozprzestrzenić się na inne komputery w Twojej organizacji. Muszą być sprawdzone bezbłędnie. Wielu użytkowników ma dziś komputery w domu. Mogą się również zarazić.

Konieczne jest sprawdzenie wszystkich dyskietek używanych do pracy z zainfekowanymi komputerami. Mogą być zainfekowane wirusami rozruchowymi i plikowymi. Wirus może się na nich utrzymywać, a następnie ponownie infekować komputer. Dyskietki zainfekowane wirusami muszą zostać wyleczone lub sformatowane.

Jak naprawić komputer

Po próbie skopiowania wszystkich danych (dokumentów, tekstów źródłowych, plików baz danych) z komputera, nadszedł czas na rozpoczęcie leczenia komputera i usuwania wirusów, które go zainfekowały. Istnieją co najmniej trzy sposoby na usunięcie wirusów z komputera.

Najprostszym z nich jest całkowita zmiana całego oprogramowania zainstalowanego na komputerze. Będziesz musiał ponownie zainstalować system operacyjny i wszystkie inne programy ponownie. Jeśli wirus zainfekował rekord rozruchowy, można go zaktualizować, formatując dyski logiczne komputera za pomocą polecenia FORMAT. Jednak nawet formatowanie nie usunie wirusa z głównego rekordu rozruchowego dysku twardego. Aby to zrobić, użyj polecenia FDISK z opcją nieudokumentowane /MBR, a następnie ponownie utwórz partycje i dyski logiczne na dysku twardym.

Operacje takie jak formatowanie dysku logicznego, usuwanie partycji lub dysku logicznego za pomocą polecenia FDISK całkowicie niszczą wszystkie pliki na ten dysk. Dlatego nie ma potrzeby wcześniejszego usuwania plików.

Po ponownym utworzeniu partycji i dysków logicznych na dysku twardym oraz ich sformatowaniu można przystąpić do instalacji systemu operacyjnego i innych programów. Pełna instalacja oprogramowanie komputerowe jest czasochłonne. Aby przyspieszyć ten proces, jeśli to możliwe, zainstaluj produkty oprogramowania Nie z dyskietek, ale z płyt CD.

Możesz znacznie ułatwić odzyskiwanie komputera, jeśli wcześniej wykonasz kopię zapasową wszystkich informacji zapisanych na komputerze. W takim przypadku po utworzeniu i sformatowaniu dysków logicznych można przywrócić oprogramowanie z tych kopii zapasowych. Sposób, w jaki przebiega to odzyskiwanie, zależy od narzędzi używanych do tworzenia kopii zapasowych.

Druga możliwość polega na ręcznym usuwaniu wirusów oraz odzyskiwaniu uszkodzonych sektorów rozruchowych i plików. Ta metoda jest najbardziej złożona i wymaga wysokich kwalifikacji. Nieco później omówimy ręczne przywracanie komputera w rozdziale „Ręczne przywracanie systemu operacyjnego”.

I wreszcie ostatnia możliwość wiąże się z użyciem specjalnych programów antywirusowych. Same programy antywirusowe wykryją i usuną wirusy, przywracając wydajność komputera. Niestety, takie odzyskanie nie zawsze jest możliwe, ponieważ duża kategoria wirusów nieodwracalnie uszkadza programy i dane przechowywane na dyskach komputera. W takim przypadku musisz ponownie zainstalować oprogramowanie.

Teraz bardzo krótko rozważymy traktowanie komputera programami antywirusowymi Aidstest i Doctor Web. Aby uzyskać więcej informacji o tych i innych programach, które umożliwiają usuwanie wirusów z komputera, przeczytaj następny rozdział, zatytułowany „Najlepsze narzędzie”.

Traktowanie komputera programami antywirusowymi

Szereg wirusów rezydentnych, rezydujących w pamięci komputera, uniemożliwia skuteczne leczenie zainfekowanych programów i sektorów rozruchowych. Dlatego zaleca się wykonanie leczenia dopiero po uruchomieniu komputera z dyskietki systemowej wolnej od wirusów. Na tej dyskietce musisz najpierw napisać polifagowe programy antywirusowe, takie jak Aidstest i Doctor Web.

Program Aidstest umożliwia usuwanie wykrytych wirusów. Aby to zrobić, uruchom Aidstest z opcją /F:

Niektóre wirusy nie mogą zostać wykryte i usunięte przez Aidstest, więc musi być używany w połączeniu z antywirusem Doctor Web:

DRWEB * /CL /UP /CU

Programy Aidstest i Doctor Web mogą leczyć nie tylko dyski twarde, ale także dyskietki. Aby to zrobić, zamiast parametru *, co oznacza pracę ze wszystkimi dyski twarde komputer, musisz podać nazwę dysku:

TEST POMOCNICZY A: /F
DRWEB A: /CL /UP /CU

Zanim zaczniemy rozważać pojęcie „analizy heurystycznej”, konieczne jest zrozumienie, co oznacza samo słowo „heurystyka”. Aby to zrobić, musimy cofnąć się do historii, a konkretnie do starożytnej Grecji. Słowo „heurystyka” pochodzi od słowa „znaleźć”, przetłumaczonego z języka greckiego. Najważniejsze jest to, że wszystkie rozwiązania wszelkich problemów, zgodnie z tymi metodami, opierają się na założeniach, które mogą być prawdziwe.

Nie charakteryzują się one wykorzystaniem ścisłych faktów czy założeń.

Powyższe brzmi dość niejasno i być może niezrozumiałe. Dlatego postaramy się zrozumieć, czym jest analiza heurystyczna na konkretnych przykładach. Więc.

W Internecie istnieje duża liczba wirusów o bardzo podobnych właściwościach. Dlatego nowoczesne programy antywirusowe wyszukują pliki, których sygnatury są bardzo podobne do kodu złośliwego oprogramowania. Pozwala to znacznie zmniejszyć ilość baz danych wykorzystywanych do wyszukiwania wirusów. Wykorzystując analizę heurystyczną, producenci oprogramowania antywirusowego znacznie oszczędzają zasoby komputerów, na których jest zainstalowane ich oprogramowanie. Umożliwia także wykrywanie nowych wirusów jeszcze przed aktualizacją sygnatur.

Kolejny przykład dotyczy również walki z wirusami. Jego logika tkwi w samej nazwie „złośliwe programy”. Przy takim podejściu zakłada się, że wszystkie wirusy wywołują taki czy inny sposób.Istnieje przybliżona lista działań, które analiza heurystyczna sprawdza przed podjęciem decyzji. To pisz, usuwaj, pisz do rejestr systemowy, odczytywanie kliknięć, otwieranie portów, wysyłanie spamu. Oczywiście, gdy wykonuje się jedną czynność, to nie jest to powód do paniki, ale gdy odbywają się one jednocześnie iw szczególnie szybkim tempie, to są powody do myślenia. Główną zaletą tego procesu jest możliwość wykrywania wirusów, nawet jeśli nie pasują do sygnatur znajdujących się już w bazie danych.

Inną branżą, w której stosuje się analizę heurystyczną, jest ekonomia. Co więcej, jego zastosowanie jest bardzo szerokie. Analiza ekonomiczna jest jednym z wielu podsektorów, w których zastosowanie omawianych metod jest bardzo pomocne. W swej istocie jest to szczegółowe i kompleksowe studium. Opiera się na informacjach z różnych dostępnych źródeł. Wiele jest również ocenianych aspekty wewnętrzne funkcjonowanie określonej organizacji. Prowadzenie tych działań ma na celu usprawnienie pracy, co osiąga się poprzez wprowadzanie i rozwój nowych optymalnych rozwiązań zarządczych.

Powszechne stosowanie metod heurystycznych może znacznie uprościć procesy decyzyjne, a także wyeliminować różnorodne problemy, które można usunąć dzięki wykorzystaniu danych statystycznych. Oszczędza to wiele zasobów i czasu. Zdobyte wcześniej doświadczenie można bezpiecznie wykorzystać w codziennej działalności organizacji.

Powiązana zawartość:

  1. Jak utworzyć serwer FTP i otworzyć do niego dostęp z Internetu Instalacja systemu Windows 7 Filezilla?
  2. Jak sprawdzić wersję BIOS komputera lub laptopa?
  3. Konfigurowanie routera zte f660 mgts: instrukcje krok po kroku
  4. Oprogramowanie układowe OpenWRT krok po kroku dla routera TP-LINK TL-WR741ND z systemu Windows