Căutați viruși similari celor cunoscuți

Euristică înseamnă „a găsi”. Analiza euristică se bazează pe presupunerea (foarte plauzibilă) că noile viruși se dovedesc adesea a fi similare cu unele cunoscute. Prin urmare, bazele de date antivirus conțin semnături pentru a detecta nu unul, ci mai mulți viruși simultan. Prin urmare, metoda euristică este de a căuta fișiere care nu se potrivesc pe deplin, dar foarte strâns, cu semnăturile virușilor cunoscuți.

Beneficii: Capacitatea de a detecta noi viruși chiar înainte de a le fi alocate semnăturile.

Defect:

• probabilitatea de a detecta în mod eronat prezența unui virus într-un fișier, atunci când de fapt fișierul este curat - astfel de evenimente sunt numite fals pozitive;
• Imposibilitatea tratamentului - atât din cauza unor posibile fals pozitive, cât și din cauza unei posibile determinări inexacte a tipului de virus, o încercare de tratare poate duce la o pierdere mai mare de informații decât virusul în sine, iar acest lucru este inacceptabil;
• • eficiență scăzută – împotriva virusurilor cu adevărat inovatoare care provoacă cele mai răspândite epidemii, acest tip de analiză euristică este de puțin folos.

Căutați viruși care efectuează activități suspecte

O altă metodă bazată pe euristică se bazează pe presupunerea că malwareîntr-un fel sau altul, ele caută să dăuneze computerului și se bazează pe identificarea principalelor acțiuni rău intenționate.

De exemplu:

• Ștergerea unui fișier
• scrierea într-un fișier;
• Înregistrare în anumite zone ale registrului de sistem;
• Deschiderea unui port de ascultare
• interceptarea datelor introduse de la tastatură;
• · trimiterea scrisorilor;

Efectuarea fiecărei astfel de acțiuni separat nu este un motiv pentru a considera programul rău intenționat. Cu toate acestea, atunci când programul efectuează mai multe astfel de acțiuni succesive, de exemplu, scrie lansarea lui însuși pe cheia de executare automată a registrului de sistem, interceptează datele introduse de la tastatură și trimite aceste date la o anumită adresă de pe Internet cu o anumită frecvență. , atunci acest program, cel puțin suspect. Un analizor euristic bazat pe acest principiu monitorizează constant acțiunile pe care programele le efectuează.

Avantaje: capacitatea de a detecta programe rău intenționate anterior necunoscute, chiar dacă acestea nu sunt foarte asemănătoare cu cele deja cunoscute (folosind o nouă vulnerabilitate pentru a pătrunde într-un computer, apoi efectuând acțiuni rău intenționate deja familiare). Un astfel de program poate fi omis de un analizor euristic de primul tip, dar poate fi detectat de un analizor de al doilea tip.

Dezavantaje:

• False pozitive
• imposibilitatea tratamentului;
• nu eficiență ridicată.

Scanare

Modalități de protecție împotriva virușilor

Cea mai simplă tehnică de scanare a virușilor este ca un program antivirus să scaneze secvenţial fișierele scanate pentru semnăturile virușilor cunoscuți. O semnătură este o secvență unică de octeți care aparține unui virus și nu se găsește în alte programe.

Determinarea semnăturii unui virus este o sarcină destul de dificilă. Semnătura nu trebuie să fie conținută în programele normale care nu sunt infectate cu acest virus. În caz contrar, sunt posibile rezultate false pozitive atunci când un virus este detectat într-un program complet normal, neinfectat.

Desigur, programele de scanare nu trebuie să stocheze semnăturile tuturor virușilor cunoscuți. Ele pot, de exemplu, să stocheze doar sume de control pentru semnături.

Scanerele antivirus care pot elimina virușii detectați sunt denumite în mod obișnuit polifagi. Cel mai faimos program de scanare este Aidstest-ul lui Dmitry Lozinsky. Aidstest caută viruși pe baza semnăturilor acestora. Prin urmare, detectează doar cei mai simpli virusuri polimorfe.

În primul capitol, am vorbit despre așa-numitele viruși de criptare și polimorfi. Virușii polimorfi își schimbă complet codul atunci când infectează un nou program sau sector de boot. Dacă izolați două instanțe ale aceluiași virus polimorf, este posibil să nu se potrivească în niciun octet. În consecință, este imposibil să se determine semnătura pentru astfel de viruși. Prin urmare, simplu programe antivirus-scanerele nu pot detecta viruși polimorfi.

Scanerele antivirus pot detecta doar viruși cunoscuți care au fost studiati anterior și pentru care a fost determinată o semnătură. Astfel, utilizarea programelor de scanare nu vă protejează computerul de pătrunderea de noi viruși.

Pentru a utiliza eficient programele antivirus care implementează metoda de scanare, trebuie să le actualizați constant, obținând cele mai recente versiuni.

Analiza euristică este o tehnică relativ nouă în detectarea virusului. Vă permite să detectați viruși necunoscuți anterior și pentru aceasta nu este nevoie să colectați mai întâi date despre sistemul de fișiere, așa cum este cerut de metoda de detectare a modificărilor.

Programele antivirus care implementează metoda analizei euristice scanează programele și sectoarele de pornire ale discurilor și dischetelor, încercând să detecteze codul specific virusului în acestea. De exemplu, un analizor euristic poate detecta că programul verificat conține cod care setează un modul rezident în memorie.

Programul antivirus Doctor Web, care face parte din kitul AO DialogScience, are un analizor euristic puternic care vă permite să detectați un numar mare de viruși noi.

Dacă analizorul euristic raportează că un fișier sau un sector de boot este posibil infectat cu un virus, ar trebui să o luați foarte în serios. Este recomandabil să examinați astfel de fișiere folosind cel mai mult ultimele versiuni programe antivirus sau trimiteți-le pentru studiu detaliat către DialogNauka JSC.

Kitul IBM AntiVirus include un modul special axat pe detectarea virușilor în sectoarele de boot. Acest modul folosește o tehnologie de rețea neuronală în curs de brevet din analiza euristică IBM și vă permite să determinați dacă sectorul de boot este infectat cu un virus.

Articolul se referă la Kaspersky Endpoint Security 10 pentru Windows:

• Service Pack 2 Maintenance Release 4 (versiunea 10.3.3.304);
• Service Pack 2 Maintenance Release 3 (versiunea 10.3.3.275);
• Service Pack 2 Maintenance Release 2 (versiunea 10.3.0.6294);
• Service Pack 2 Maintenance Release 1 (versiunea 10.3.0.6294);
• Service Pack 2 (versiunea 10.3.0.6294).

Ce este analiza euristică

Analiza euristică este o tehnologie pentru detectarea amenințărilor care nu pot fi detectate folosind versiunea curentă a bazelor de date Kaspersky Lab. Vă permite să găsiți fișiere care pot conține un virus necunoscut sau noua modificare virus cunoscut.

Analizorul euristic este un modul care funcționează pe baza tehnologiei de analiză euristică.

Analiza statica si dinamica

Analiza statica. Analizorul euristic scanează codul pentru comenzi suspecte, cum ar fi căutarea și modificarea fișierelor executabile. Dacă există comenzi sau fragmente suspecte, analizatorul euristic crește „contorul de suspiciune” al programului. Dacă, după scanarea întregului cod al aplicației, valoarea contorului depășește valoarea de prag specificată, atunci obiectul este considerat suspect.

Analiza dinamica. Analizorul euristic emulează rularea unui program într-un spațiu de adrese virtuale. Dacă analizorul euristic detectează acțiuni suspecte în timpul procesului de emulare, obiectul este recunoscut ca fiind rău intenționat și lansarea lui pe computerul utilizatorului este blocată.

Kaspersky Securitatea punctului final 10 pentru Windows utilizează analiza statică combinată cu analiza dinamică.

Ce componente de protecție folosesc analizorul euristic

• File Anti-Virus. Mai multe detalii in ajutor.
• Antivirus mail. Mai multe detalii in ajutor.
• Web Anti-Virus. Mai multe detalii in ajutor.
• Controlul activității aplicației. Mai multe detalii in ajutor.
• Verificarea sarcinilor. Mai multe detalii in ajutor.

Suport complet

Eliberarea bazei	da
A sustine	da
Eliberarea de patch-uri	da

Ultima versiune:

Data lansării comerciale:

Lansarea celei mai recente versiuni:

Ce înseamnă statut?

• Eliberarea bazei

  Eliberarea actualizărilor bazei de date necesare pentru a vă proteja computerul/serverul/dispozitivul mobil.

• A sustine

  Redare suport tehnic prin telefon și prin formular web.

• Eliberarea de patch-uri

  Lansarea pachetelor de actualizare pentru program (pentru a remedia erorile detectate).

Kaspersky Endpoint Security 10 pentru Windows (pentru stații de lucru și servere de fișiere)

• Microsoft Windows Server 2012 R2 Foundation / Essentials / Standard / Datacenter x64.
• Microsoft Windows Server 2012 Foundation / Essentials / Standard / Datacenter x64.
• Microsoft Small Business Server 2011 Essentials / Standard x64.
• Windows MultiPoint Server 2011 x64.
• Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter x64 SP1.
• Microsoft Windows Server 2008 Standard / Enterprise / Datacenter x64 SP2.
• Microsoft Small Business Server 2008 Standard / Premium x64.

Consultați articolul pentru alte limitări ale suportului pentru platforma serverului.

• VMWare ESXi 6.0.0 3620759.
• Microsoft Hyper-V 3.0.
• Citrix XenServer 7.0.
• Citrix XenDesktop 7.13.

articol.

• Microsoft Windows Server 2008 R2 Standard / Enterprise x64 SP1.
• Microsoft Windows Server 2008 Standard / Enterprise x64 SP2.

Limitări de suport pentru platforma serverului

• Sistemul de fișiere ReFS este acceptat cu limitări.
• Configurațiile Server Core și Cluster Mode nu sunt acceptate.
• Criptarea discului (Kaspersky FDE) și criptarea fișierelor activate platforme de server nu sunt suportate.

Platforme virtuale acceptate

• VMWare ESXi 6.0.0 3620759.
• Microsoft Hyper-V 3.0.
• Citrix XenServer 7.0.
• Citrix XenDesktop 7.13.
• Citrix Provisioning Services 7.13.

Caracteristici și limitări ale suportului pentru platforma virtuală

• Criptare completă a discului (FDE) activată mașini virtuale Hyper-V nu este acceptat.
• Criptarea completă a discului (FDE) și criptarea fișierelor și folderelor (FLE) sunt activate platforme virtuale ah Citrix nu este acceptat.
• Pentru a susține compatibilitatea Kaspersky Endpoint Security for Windows cu Citrix PVS, trebuie să instalați cu opțiunea activată Asigurați-vă compatibilitatea cu Citrix PVS. Puteți activa opțiunea în asistentul de instalare sau prin intermediul opțiunii Linie de comanda/pCITRIXCOMPATIBILITY=1. Pentru o instalare de la distanță, trebuie să editați fișierul KUD pentru a adăuga opțiunea /pCITRIXCOMPATIBILITY=1 la acesta.

Consultați articolul pentru alte caracteristici ale suportului pentru platforma virtuală.

Versiunea 10.2.6.3733: Cerințe hardware și software

Cerințe generale

• 1 GB de RAM.

Sisteme de operare

• Microsoft Windows 10 Pro / Enterprise x86 / x64.
  Microsoft Windows 8.1 Pro / Enterprise x86 / x64.
• Microsoft Windows 8 Pro / Enterprise x86 / x64.
• Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / x64 SP1 și versiuni ulterioare.
• Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / x64.
• Microsoft Windows Server 2016 Standard / Essentials x64.

• Microsoft Small Business Server 2011 Standard x64.

Platforme virtuale acceptate

• VMWare ESXi 5.5.0 2718055 Actualizare 2.
• Citrix XenServer 6.5.
• Citrix XenDesktop 7.8.

Limitări de suport pentru platforma serverului

• Sistemul de fișiere ReFS este acceptat cu limitări.
• Configurațiile Server Core și Cluster Mode nu sunt acceptate.
• Criptarea discurilor (Kaspersky FDE) și criptarea fișierelor nu sunt acceptate pe platformele de server.

Platforme virtuale acceptate

• Citrix XenServer 6.2.
• Citrix XenDesktop 7.5.

Caracteristici și limitări ale suportului pentru platforma virtuală

Versiunea 10.2.5.3201: Cerințe hardware și software

Pentru funcționarea normală a Kaspersky Endpoint Security 10 pentru computer windows trebuie să îndeplinească următoarele cerințe:

Cerințe generale

• Procesor Intel Pentium 1 GHz sau mai mare.
• 1 GB de RAM.
• 2 GB de spațiu liber pe hard disk.

Cerințe software și hardware pentru stațiile de lucru

• Microsoft Windows 10 Pro x86 / x64.
• Microsoft Windows 10 Enterprise x86 / x64.
• Microsoft Windows Vista x86 / x64 SP2 și mai sus.
• Microsoft Windows XP Professional x86 SP3 sau o versiune ulterioară.
• Microsoft Windows Server 2019 x64.
• Microsoft Windows Server 2016 Standard / Essentials x64.

• Microsoft Windows Server 2012 R2 Foundation / Standard / Essentials x64.
• Microsoft Windows Server 2012 Foundation / Standard / Essentials x64.
• Microsoft Small Business Server 2011 Standard x64.
• Microsoft Windows MultiPoint Server 2011 x64.
• Microsoft Small Business Server 2008 Standard / Premium x64.
• Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise x64 SP1 și mai sus.
• Microsoft Windows Server 2008 Foundation / Standard / Enterprise x86 / x64 SP2 și mai sus.
• Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 sau o versiune ulterioară.
• Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2.
• Microsoft
• Microsoft
• Microsoft Windows Embedded Standard 7* x86 / x64 SP1.
• Microsoft Windows Embedded POSReady 7* x86 / x64.

Caracteristici și limitări ale suportului pentru sistemele de operare încorporate

• Sistemele de operare Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) sau Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) sunt recomandate pentru utilizare pe dispozitive cu 2 GB sau mai mult RAM.
• Criptarea fișierelor (FLE) și hard disk-uri(FDE) nu este acceptat pe sistemele de operare încorporate.

Platforme virtuale acceptate

• VMWare ESXi 5.5.0 2718055 Actualizare 2.
• Actualizarea VMWare ESXi 5.5.0 3568722 3b.
• VMWare ESXi 5.5.0 2718055 Actualizare 2.
• Microsoft Hyper-V 3.0 (Windows Server 2012 R2).
• Citrix XenServer 6.5.
• Citrix XenDesktop 7.8.
• Citrix Provisioning Server 7.8.

Limitări de suport pentru platforma serverului

• Sistemul de fișiere ReFS este acceptat cu limitări.
• Configurațiile Server Core și Cluster Mode nu sunt acceptate.
• Criptarea discurilor (Kaspersky FDE) și criptarea fișierelor nu sunt acceptate pe platformele de server.

Limitări de asistență Microsoft Windows 8.1

• Nu sunt acceptate Windows Update 8 la 8.1.
• Suport limitat Sistemul de fișiere ReFS pentru tehnologia iSwift / iChecker.
• Funcția de a ascunde Kaspersky Endpoint Security 10 în meniul Start nu este acceptată.

Platforme virtuale acceptate

• VMWare ESXi 5.5.0 1623387 Actualizare 1.
• Actualizare 2 VMWare ESXi 5.5.0 2068190.
• Microsoft Hyper-V 3.0 (Windows Server 2012).
• Citrix XenServer 6.2.
• Citrix XenDesktop 7.5.
• Citrix Provisioning Server 7.1.

Caracteristici și limitări ale suportului pentru platforma virtuală

• Pentru a menține compatibilitatea Kaspersky Endpoint Security cu Citrix PVS, trebuie să instalați cu opțiunea „Asigurați compatibilitatea cu Citrix PVS” activată. Opțiunea poate fi activată în asistentul de instalare sau prin opțiunea de linie de comandă /pCITRIXCOMPATIBILITY=1. Pentru o instalare de la distanță, editați fișierul kud pentru a include opțiunea /pCITRIXCOMPATIBILITY=1.
• Instalarea pe un computer care rulează Microsoft Windows XP care rulează pe Citrix XenDesktop nu este acceptată.
• Nu este acceptată realizarea de imagini folosind dispozitivul țintă de pe computere care rulează Microsoft Windows XP și Microsoft Windows Vista. instalat de Kaspersky Endpoint Security 10 Service Pack 1.

Versiunea 10.2.4.674: Cerințe hardware și software

Pentru funcționarea normală a Kaspersky Endpoint Security 10 pentru Windows, computerul trebuie să îndeplinească următoarele cerințe:

Cerințe generale

• Procesor Intel Pentium 1 GHz sau mai mare.
• 2 GB de spațiu liber pe hard disk.
• Microsoft Internet Explorer 7.0 și mai sus.
• Microsoft Windows Installer 3.0 și mai sus.
• Conexiune la internet pentru activarea programului, actualizarea bazelor de date și modulelor programului.

Cerințe de software și hardware

• Microsoft Windows 10 TH2 Versiune Pro 1511 x86 / x64.
• Microsoft Windows 10 TH2 Enterprise versiunea 1511 x86 / x64.
• Microsoft Windows 8.1 Pro x86 / x64.
• Microsoft Windows 8.1 Enterprise x86 / x64.
• Microsoft Windows 8 Pro x86 / x64.
• Microsoft Windows 8 Enterprise x86 / x64.
• Microsoft Windows 7 Professional x86 / x64 SP1 și versiuni ulterioare.
• Microsoft Windows 7 Enterprise / Ultimate x86 / x64 SP1 și versiuni ulterioare.
• Microsoft Windows 7 Professional x86 / x64.
• Microsoft Windows 7 Enterprise / Ultimate x86 / x64.
• Microsoft Windows Vista x86 / x64 SP2 și mai sus.
• Microsoft Windows XP Professional x86 SP3 sau o versiune ulterioară.
• Microsoft Windows Server 2012 R2 Standard / Essentials / Enterprise x64.
• Microsoft Windows Server 2012 Foundation / Standard / Essentials x64.
• Microsoft Small Business Server 2011 Standard / Essentials x64.
• Microsoft Windows MultiPoint Server 2011 x64.
• Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation x64 SP1 și mai sus.
• Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation x64.
• Microsoft Windows Server 2008 Standard / Enterprise x86 / x64 SP2 și versiuni ulterioare.
• Microsoft Small Business Server 2008 Standard / Premium x64.
• Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 sau o versiune ulterioară.
• Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2 sau o versiune ulterioară.
• Microsoft Windows Embedded 8.0 Standard x64.
• Microsoft Windows Embedded 8.1 Industry Pro x64.
• Microsoft Windows Embedded Standard 7 x86 / x64 SP1.
• Microsoft Windows Embedded POSReady 7 x86 / x64.

Caracteristici și limitări ale suportului pentru sistemele de operare încorporate

• Sistemele de operare Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) sau Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) sunt recomandate pentru utilizare pe dispozitive cu 2 GB sau mai mult RAM.
• Criptarea fișierelor (FLE) și criptarea hard diskului (FDE) nu sunt acceptate pe sistemele de operare încorporate.

Limitări de suport pentru platforma serverului

• Sistemul de fișiere ReFS este acceptat cu limitări.
• Configurațiile Server Core și Cluster Mode nu sunt acceptate.
• Criptarea discurilor (Kaspersky FDE) și criptarea fișierelor nu sunt acceptate pe platformele de server.

Limitări de asistență Microsoft Windows 8.1

• Actualizarea Windows 8 la 8.1 nu este acceptată.
• Suport limitat ReFS pentru tehnologia iSwift / iChecker.
• Funcția de a ascunde Kaspersky Endpoint Security 10 în meniul Start nu este acceptată.

Platforme virtuale acceptate

• VMWare ESXi 5.5.0 1623387 Actualizare 1.
• Actualizare 2 VMWare ESXi 5.5.0 2068190.
• Microsoft Hyper-V 3.0 (Windows Server 2012).
• Citrix XenServer 6.2.
• Citrix XenDesktop 7.5.
• Citrix Provisioning Server 7.1.

Caracteristici și limitări ale suportului pentru platforma virtuală

• Pentru a menține compatibilitatea Kaspersky Endpoint Security cu Citrix PVS, trebuie să instalați cu opțiunea „Asigurați compatibilitatea cu Citrix PVS” activată. Opțiunea poate fi activată în asistentul de instalare sau prin opțiunea de linie de comandă /pCITRIXCOMPATIBILITY=1. Pentru o instalare de la distanță, editați fișierul kud pentru a include opțiunea /pCITRIXCOMPATIBILITY=1.
• Instalarea pe un computer care rulează Microsoft Windows XP care rulează pe Citrix XenDesktop nu este acceptată.
• Nu este acceptată crearea imaginilor utilizând dispozitivul țintă de pe computere care rulează Microsoft Windows XP și Microsoft Windows Vista cu Kaspersky Endpoint Security 10 Service Pack 1 instalat.

Versiunea 10.2.2.10535MR1: Cerințe hardware și software

Pentru funcționarea normală a Kaspersky Endpoint Security 10 pentru Windows, computerul trebuie să îndeplinească următoarele cerințe:

Cerințe generale

• Procesor Intel Pentium 1 GHz sau mai mare.
• 1 GB de RAM liber.
• 2 GB de spațiu liber pe hard disk.
• Microsoft Internet Explorer 7.0 și versiuni ulterioare.
• Microsoft Windows Installer 3.0 și versiuni ulterioare.
• Conexiune la internet pentru activarea programului, actualizarea bazelor de date și modulelor programului.

Sisteme de operare

• Microsoft Windows 8.1 Pro x86 / x64.
• Microsoft Windows 8.1 Enterprise x86 / x64.
• Microsoft Windows 8 Pro x86 / x64.
• Microsoft Windows 8 Enterprise x86 / x64.
• Microsoft Windows 7 Professional x86 / x64 SP1 și versiuni ulterioare.
• Microsoft Windows 7 Enterprise / Ultimate x86 / x64 SP1 și versiuni ulterioare.
• Microsoft Windows 7 Professional x86 / x64.
• Microsoft Windows 7 Enterprise / Ultimate x86 / x64.
• Microsoft Windows Vista x86 / x64 SP2 și mai sus.
• Microsoft Small Business Server 2011 Standard x64.
• Microsoft Windows Server 2012 R2 Standard x64.
• Microsoft Windows Server 2012 Foundation / Standard x64.
• Windows Embedded 8.0 Standard x64.
• Windows Embedded 8.1 Industry Pro x64.

Caracteristici și limitări ale suportului pentru sistemele de operare încorporate

• Sistemele de operare Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) sau Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) sunt recomandate pentru utilizare pe dispozitive cu 2 GB sau mai mult RAM.
• Criptarea fișierelor (FLE) și criptarea hard diskului (FDE) nu sunt acceptate pe sistemele de operare încorporate.

Limitări de suport pentru platforma serverului

• Sistemul de fișiere ReFS este acceptat cu limitări.
• Configurațiile Server Core și Cluster Mode nu sunt acceptate.

Limitări de asistență Microsoft Windows 8.1

• Actualizarea Windows 8 la 8.1 nu este acceptată.
• Suport limitat ReFS pentru tehnologia iSwift / iChecker.
• Funcția de a ascunde Kaspersky Endpoint Security 10 în meniul Start nu este acceptată.

Platforme virtuale acceptate

• VMWare ESXi 5.5.0 1623387 Actualizare 1.
• Actualizare 2 VMWare ESXi 5.5.0 2068190.
• Microsoft Hyper-V 3.0 (Windows Server 2012).
• Citrix XenServer 6.2.
• Citrix XenDesktop 7.5.
• Citrix Provisioning Server 7.1.

Caracteristici și limitări ale suportului pentru platforma virtuală

• Pentru a menține compatibilitatea Kaspersky Endpoint Security cu Citrix PVS, trebuie să instalați cu opțiunea „Asigurați compatibilitatea cu Citrix PVS” activată. Opțiunea poate fi activată în asistentul de instalare sau prin opțiunea de linie de comandă /pCITRIXCOMPATIBILITY=1. Pentru o instalare de la distanță, editați fișierul kud pentru a include opțiunea /pCITRIXCOMPATIBILITY=1.
• Instalarea pe un computer care rulează Microsoft Windows XP care rulează pe Citrix XenDesktop nu este acceptată.
• Nu este acceptată crearea imaginilor utilizând dispozitivul țintă de pe computere care rulează Microsoft Windows XP și Microsoft Windows Vista cu Kaspersky Endpoint Security 10 Service Pack 1 instalat.

Versiunea 10.2.2.10535: Cerințe hardware și software

Pentru funcționarea normală a Kaspersky Endpoint Security 10 pentru Windows, computerul trebuie să îndeplinească următoarele cerințe:

Cerințe generale

• Procesor Intel Pentium 1 GHz sau mai mare.
• 1 GB de RAM liber.
• 2 GB de spațiu liber pe hard disk.
• Microsoft Internet Explorer 7.0 și versiuni ulterioare.
• Microsoft Windows Installer 3.0 și versiuni ulterioare.
• Conexiune la internet pentru activarea programului, actualizarea bazelor de date și modulelor programului.

Sisteme de operare

• Microsoft Windows 8.1 Update Pro x86 / x64.
• Actualizare Microsoft Windows 8.1 Enterprise x86 / x64.
• Microsoft Windows 8.1 Pro x86 / x64.
• Microsoft Windows 8.1 Enterprise x86 / x64.
• Microsoft Windows 8 Pro x86 / x64.
• Microsoft Windows 8 Enterprise x86 / x64.
• Microsoft Windows 7 Professional x86 / x64 SP1 și versiuni ulterioare.
• Microsoft Windows 7 Enterprise / Ultimate x86 / x64 SP1 și versiuni ulterioare.
• Microsoft Windows 7 Professional x86 / x64.
• Microsoft Windows 7 Enterprise / Ultimate x86 / x64.
• Microsoft Windows Vista x86 / x64 SP2 și mai sus.
• Microsoft Small Business Server 2011 Essentials x64.
• Microsoft Small Business Server 2011 Standard x64.
• Microsoft Small Business Server 2008 Standard x64.
• Microsoft Small Business Server 2008 Premium x64.
• Microsoft Windows Server 2012 R2 Standard x64.
• Microsoft Windows Server 2012 Foundation / Standard x64.
• Microsoft Windows MultiPoint Server 2011 x64.
• Microsoft Windows Server 2008 R2 Standard x64 SP1 și mai sus.
• Microsoft Windows Server 2008 R2 Standard x64.
• Microsoft Windows Server 2008 R2 Enterprise x64 SP1 și versiuni ulterioare.
• Microsoft Windows Server 2008 R2 Enterprise x64.
• Microsoft Windows Server 2008 R2 Foundation x64 SP1 sau o versiune ulterioară.
• Microsoft Windows Server 2008 R2 Foundation x64.
• Microsoft Windows Server 2008 Standard x86 / x64 SP2 și mai sus.
• Microsoft Windows Server 2008 Enterprise x86 / x64 SP2 și versiuni ulterioare.
• Microsoft Windows Server 2003 R2 Standard x86 / x64 SP2 sau o versiune ulterioară.
• Microsoft Windows Server 2003 R2 Enterprise x86 / x64 SP2 și versiuni ulterioare.
• Microsoft Windows Server 2003 Standard x86 / x64 SP2.
• Microsoft Windows Server 2003 Enterprise x86 / x64 SP2 sau o versiune ulterioară.
• Windows Embedded 8.0 Standard x64.
• Windows Embedded 8.1 Industry Pro x64.
• Windows Embedded Standard 7 cu SP1 x86 / x64.
• Windows Embedded POSReady 7 x86 / x64.

Caracteristici și limitări ale suportului pentru sistemele de operare încorporate

• Sistemele de operare Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) sau Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) sunt recomandate pentru utilizare pe dispozitive cu 2 GB sau mai mult RAM.
• Criptarea fișierelor (FLE) și criptarea hard diskului (FDE) nu sunt acceptate pe sistemele de operare încorporate.

Limitări de suport pentru platforma serverului

• Sistemul de fișiere ReFS este acceptat cu limitări.
• Configurațiile Server Core și Cluster Mode nu sunt acceptate.

Limitări de asistență Microsoft Windows 8.1

• Actualizarea Windows 8 la 8.1 nu este acceptată.
• Suport limitat ReFS pentru tehnologia iSwift / iChecker.
• Funcția de a ascunde Kaspersky Endpoint Security 10 în meniul Start nu este acceptată.

Platforme virtuale acceptate

• VMWare ESXi 5.5.0 1623387 Actualizare 1.
• Actualizare 2 VMWare ESXi 5.5.0 2068190.
• Microsoft Hyper-V 3.0 (Windows Server 2012).
• Citrix XenServer 6.2.
• Citrix XenDesktop 7.5.
• Citrix Provisioning Server 7.1.

Caracteristici și limitări ale suportului pentru platforma virtuală

• Pentru a menține compatibilitatea Kaspersky Endpoint Security cu Citrix PVS, trebuie să instalați cu opțiunea „Asigurați compatibilitatea cu Citrix PVS” activată. Opțiunea poate fi activată în asistentul de instalare sau prin opțiunea de linie de comandă /pCITRIXCOMPATIBILITY=1. Pentru o instalare de la distanță, editați fișierul kud pentru a include opțiunea /pCITRIXCOMPATIBILITY=1.
• Instalarea pe un computer care rulează Microsoft Windows XP care rulează pe Citrix XenDesktop nu este acceptată.
• Nu este acceptată crearea imaginilor utilizând dispozitivul țintă de pe computere care rulează Microsoft Windows XP și Microsoft Windows Vista cu Kaspersky Endpoint Security 10 Service Pack 1 instalat.

Puteți folosi software antivirus fără să știți cum funcționează. Cu toate acestea, există atât de multe programe antivirus în prezent, așa că va trebui să alegeți într-un fel sau altul. Pentru a face această alegere cât mai rezonabilă și programe instalate cu condiția gradului maxim de protecție împotriva virușilor, este necesar să se studieze tehnicile utilizate de aceste programe.

Există mai multe tehnici fundamentale pentru detectarea și protejarea împotriva virușilor. Software-ul antivirus poate implementa doar anumite tehnici sau combinații ale acestora.

Scanare

Detectarea modificărilor

Analiza euristică

monitoare rezidente

· Programe de vaccinare

Protecție hardware împotriva virușilor

În plus, majoritatea programelor antivirus asigură repararea automată a programelor infectate și a sectoarelor de boot.

Obiecte de infecție

În primul capitol, am vorbit deja despre diferitele tipuri de viruși și despre modul în care aceștia se răspândesc. Înainte de a trece la luarea în considerare a instrumentelor antivirus, listăm zonele sistemului de fișiere al computerului care sunt infectate cu viruși și care trebuie verificate:

Fișiere executabile de programe, drivere

Înregistrare master și sectoare de boot

· Fișiere de configurare AUTOEXEC.BAT și CONFIG.SYS

Documente în format de procesor de text Microsoft Word pentru Windows

Când un virus rezident devine activ, acesta își plasează modulul care rulează constant în memoria RAM a computerului. Prin urmare, programele antivirus trebuie să efectueze o verificare a memoriei RAM. Deoarece virușii pot folosi nu numai memoria standard, este de dorit să se efectueze o verificare a memoriei superioare. De exemplu, antivirusul Doctor Web verifică primii 1088 KB de RAM.

Scanare

Cea mai simplă tehnică de scanare a virușilor este ca un program antivirus să scaneze secvenţial fișierele scanate pentru semnăturile virușilor cunoscuți. O semnătură este o secvență unică de octeți care aparține unui virus și nu se găsește în alte programe.

Determinarea semnăturii unui virus este o sarcină destul de dificilă. Semnătura nu trebuie să fie conținută în programele normale care nu sunt infectate cu acest virus. În caz contrar, sunt posibile rezultate false pozitive atunci când un virus este detectat într-un program complet normal, neinfectat.

Desigur, programele de scanare nu trebuie să stocheze semnăturile tuturor virușilor cunoscuți. Ele pot, de exemplu, să stocheze doar sume de control pentru semnături.

Scanerele antivirus care pot elimina virușii detectați sunt denumite în mod obișnuit polifagi. Cel mai faimos program de scanare este Aidstest-ul lui Dmitry Lozinsky. Aidstest caută viruși pe baza semnăturilor acestora. Prin urmare, detectează doar cei mai simpli virusuri polimorfe.

În primul capitol, am vorbit despre așa-numitele viruși de criptare și polimorfi. Virușii polimorfi își schimbă complet codul atunci când infectează un nou program sau sector de boot. Dacă izolați două instanțe ale aceluiași virus polimorf, este posibil să nu se potrivească în niciun octet. În consecință, nu este posibil să se determine sinatura pentru astfel de viruși. Prin urmare, scanerele antivirus simple nu pot detecta viruși polimorfi.

Scanerele antivirus pot detecta doar viruși cunoscuți care au fost studiati anterior și pentru care a fost determinată o semnătură. Astfel, utilizarea programelor de scanare nu vă protejează computerul de pătrunderea de noi viruși.

Pentru a utiliza eficient programele antivirus care implementează metoda de scanare, trebuie să le actualizați constant, obținând cele mai recente versiuni.

Analiza euristica

Analiza euristică este o tehnică relativ nouă în detectarea virusului. Vă permite să detectați viruși necunoscuți anterior și, pentru aceasta, nu este necesar să colectați mai întâi date despre sistemul de fișiere, așa cum este cerut de metoda de detectare a modificărilor.

Programele antivirus care implementează metoda analizei euristice scanează programele și sectoarele de pornire ale discurilor și dischetelor, încercând să detecteze codul specific virusului în acestea. De exemplu, un analizor euristic poate detecta că programul verificat conține cod care setează un modul rezident în memorie.

Programul antivirus Doctor Web, care face parte din kitul DialogueScience JSC, are un analizor euristic puternic care vă permite să detectați un număr mare de viruși noi.

Dacă analizorul euristic raportează că un fișier sau un sector de boot este posibil infectat cu un virus, ar trebui să o luați foarte în serios. Este recomandabil să examinați astfel de fișiere folosind cele mai recente versiuni ale programelor antivirus sau să le trimiteți pentru studiu detaliat către DialogNauka JSC.

Kitul IBM AntiVirus include un modul special axat pe detectarea virușilor în sectoarele de boot. Acest modul folosește o tehnologie de rețea neuronală în curs de brevet din analiza euristică IBM și vă permite să determinați dacă sectorul de boot este infectat cu un virus.

Detectarea modificărilor

Când un virus infectează un computer, efectuează în mod necesar modificări pe hard disk, de exemplu, își adaugă codul la un fișier executabil, adaugă un apel la programul de virus la fișierul AUTOEXEC.BAT, schimbă sectorul de pornire și creează un însoțitor. fişier.

Programele antivirus pot pre-memora caracteristicile tuturor zonelor discului care sunt atacate de un virus, iar apoi le pot verifica periodic (de unde și numele lor, programe de audit). Dacă este detectată o modificare, atunci este posibil ca un virus să fi atacat computerul.

De obicei, programele de auditor stochează imagini ale înregistrării master de pornire, sectoare de pornire ale discurilor logice, parametrii tuturor fișierelor controlate, precum și informații despre structura directoarelor și numărul de clustere de discuri proaste în fișiere speciale. Pot fi verificate și alte caracteristici ale computerului - cantitatea de RAM instalată, numărul de discuri conectate la computer și parametrii acestora.

Programele de auditor pot detecta majoritatea virușilor, chiar și cei care nu erau cunoscuți anterior. De regulă, auditorii nu pot detecta virușii care infectează fișierele de program doar atunci când sunt copiate, deoarece nu cunosc parametrii fișierului care erau înainte de copiere.

Cu toate acestea, trebuie avut în vedere că nu toate schimbările sunt cauzate de invazia virușilor. De exemplu, înregistrarea de pornire se poate modifica atunci când versiunea sistemului de operare este actualizată, iar unele programe scriu date în fișierul lor executabil. fișiere batch schimbați și mai des, de exemplu, fișierul AUTOEXEC.BAT este de obicei schimbat în timpul instalării noului software.

Programele de auditor nu vă vor ajuta chiar dacă ați scris pe un computer fișier nou, infectat cu un virus. Adevărat, dacă virusul infectează alte programe luate deja în considerare de auditor, acesta va fi detectat.

Cel mai simplu program-auditor Microsoft Anti-Virus (MSAV) face parte din sistemul de operare MS-DOS. Principalul său avantaj, și poate singurul său avantaj este că nu trebuie să cheltuiți bani în plus pe el.

Mijloace de control mult mai avansate sunt oferite de programul de auditor Advanced Diskinfoscope (ADinf), care face parte din kitul antivirus al DialogNauka JSC. Ne vom uita la aceste caracteristici mai detaliat în secțiunea următoare, dar deocamdată rețineți că puteți utiliza modulul ADinf Cure (ADinfExt) cu ADinf. Modulul ADinf Cure folosește informațiile colectate anterior despre fișiere pentru a le recupera după ce au fost infectate cu viruși necunoscuți.

Desigur, nu toți virușii pot fi eliminați de ADinf Cure Module și alții. instrumente software pe baza controlului si verificarii periodice a calculatorului. De exemplu, dacă virus nou criptează discul, așa cum face virusul OneHalf, apoi ștergerea acestuia fără a decripta discul va duce cel mai probabil la pierderea de informații. Virușii de acest tip pot fi îndepărtați numai după un studiu atent de către specialiști și includerea unor module pentru combaterea lor în polifage obișnuite - Aidstest sau Doctor Web.

Programele de inspecție antivirus cunoscute de noi la momentul scrierii acestui articol nu sunt potrivite pentru detectarea virușilor în fișierele documentelor, deoarece aceștia se schimbă în mod inerent în mod constant. O serie de programe încetează să funcționeze după introducerea codului de vaccin în ele. Prin urmare, pentru a le controla, ar trebui să utilizați programe de scanare sau analize euristice.

Monitoare rezidenți

Există, de asemenea, o întreagă clasă de programe antivirus care se află constant în memoria RAM a computerului și monitorizează toate acțiunile suspecte efectuate de alte programe. Astfel de programe se numesc monitoare rezidenți sau paznici.

Monitorul rezident va anunța utilizatorul dacă vreun program încearcă să schimbe sectorul de pornire hard disk sau dischetă, fișier executabil. Monitorul rezident vă va spune că programul încearcă să lase un modul rezident în RAM etc.

Majoritatea monitoarelor rezidente vă permit să verificați automat toate programele care rulează pentru infecția cu viruși cunoscuți, adică îndeplinesc funcțiile unui scaner. O astfel de verificare va dura ceva timp și procesul de încărcare a programului va încetini, dar veți fi sigur că virușii cunoscuți nu se vor putea activa pe computer.

Din păcate, monitoarele rezidente au o mulțime de dezavantaje care fac această clasă de software nepotrivită pentru utilizare.

Multe programe, chiar și cele care nu conțin viruși, pot efectua acțiuni la care monitoarele rezidente răspund. De exemplu, comanda obișnuită LABEL modifică datele din sectorul de boot și declanșează monitorul.

Prin urmare, munca utilizatorului va fi întreruptă constant de mesaje antivirus enervante. În plus, utilizatorul va trebui să decidă de fiecare dată dacă această operațiune este cauzată de un virus sau nu. După cum arată practica, mai devreme sau mai târziu utilizatorul oprește monitorul rezident.

Și, în sfârșit, cel mai mic dezavantaj al monitoarelor rezidente este că trebuie încărcate în mod constant Berbecși, prin urmare, reduce cantitatea de memorie disponibilă pentru alte programe.

Sistemul de operare MS-DOS include deja monitorul antivirus rezident VSafe.

Programe de vaccinare

Pentru ca o persoană să poată evita anumite boli, este vaccinată. Există o modalitate de a proteja programele de viruși, în care programului protejat este atașat un modul de control special, care monitorizează integritatea acestuia. În acest caz, suma de control a programului sau alte caracteristici pot fi verificate. Când un virus infectează un fișier vaccinat, modulul de control detectează o modificare a sumei de control a fișierului și informează utilizatorul despre aceasta.

Din păcate, spre deosebire de vaccinările pentru oameni, programele de vaccinare în multe cazuri nu îi salvează de infecție. Virușii ascunși păcăli ușor vaccinul. Fișierele infectate funcționează ca de obicei, vaccinul nu detectează infecția. Prin urmare, nu ne vom opri asupra vaccinurilor și vom continua să luăm în considerare și alte mijloace de protecție.

Protecție hardware împotriva virușilor

Până în prezent, una dintre cele mai fiabile modalități de a proteja computerele împotriva atacurilor de viruși este hardware și software. De obicei sunt un controler special care este introdus într-unul dintre sloturile de expansiune ale computerului și software, care controlează funcționarea acestui controler.

Datorită faptului că controlerul de protecție hardware este conectat la magistrala de sistem a computerului, acesta primește control deplin asupra tuturor acceselor la subsistemul de disc al computerului. Software-ul de protecție hardware vă permite să specificați zone ale sistemului de fișiere care nu pot fi modificate. Puteți proteja înregistrarea principală de boot, sectoarele de boot, executabilele, fișierele de configurare și multe altele.

Dacă complexul hardware-software detectează că orice program încearcă să încalce protecția stabilită, poate informa utilizatorul despre acest lucru și poate bloca funcționarea ulterioară a computerului.

Nivelul hardware de control asupra subsistemului de disc al computerului nu permite virușilor să se deghizeze. De îndată ce virusul se manifestă, acesta va fi imediat detectat. În același timp, este complet indiferent cum funcționează virusul și ce mijloace folosește pentru a accesa discuri și dischete.

Instrumentele de protecție hardware și software vă permit nu numai să vă protejați computerul de viruși, ci și să opriți activitatea troienilor care vizează distrugerea la timp a sistemului de fișiere al computerului. În plus, instrumentele hardware și software vă permit să vă protejați computerul de un utilizator necalificat și de un intrus, nu îi vor permite să ștergă informații importante, să formateze un disc, să schimbe fișierele de configurare.

În prezent, doar complexul hardware și software Sheriff este produs în serie în Rusia. Acesta va preveni în mod fiabil infecția computerului și va permite utilizatorului să petreacă mult mai puțin timp controlului antivirus al computerului folosind software-ul convențional.

Mult mai multe produse de protecție hardware și software sunt produse în străinătate, dar prețul lor este mult mai mare decât cel al Sheriff și se ridică la câteva sute de dolari SUA. Iată câteva nume ale unor astfel de complexe:

Denumirea complexului	Producător
	JAS Technologies of the Americas
	Leprechaum Software International
	Întreprinderi digitale
	Glynn International
	Swabian Electronics Reutlingen
	Telstar Electronics
	Bugovics & Partner

Pe lângă îndeplinirea funcției sale principale, hardware-ul și software-ul de securitate informatică pot oferi diverse servicii suplimentare. Aceștia pot gestiona diferențierea drepturilor de acces pentru diferiți utilizatori la resursele computerului - hard disk, unități de disc etc.

Protecție încorporată în BIOS-ul computerului

Multe companii producătoare plăci de bază calculatoarele au început să construiască în ele cele mai simple mijloace de protecție împotriva virușilor. Aceste instrumente vă permit să controlați toate apelurile către boot-ul principal inregistrand greu discurilor, precum și sectoarelor de pornire ale discurilor și dischetelor. Dacă vreun program încearcă să modifice conținutul sectoarelor de boot, protecția este declanșată și utilizatorul primește un avertisment corespunzător. În același timp, el poate permite sau interzice această schimbare.

Cu toate acestea, un astfel de control nu poate fi numit control adevărat la nivel hardware. Modulul software responsabil cu controlul accesului la sectoarele de boot se află în ROM-ul BIOS-ului și poate fi ocolit de viruși dacă înlocuiesc sectoarele de boot prin accesarea directă a porturilor I/O ale controlerului de hard și dischetă.

Există viruși care încearcă să dezactiveze controlul antivirus al BIOS prin schimbarea unor celule memorie non volatila(memoria CMOS) a computerului.

Virușii ceceni .1912 și 1914

Viruși criptați rezidenți foarte periculoși. Încercarea de a găsi șirurile de text Megatrends în ROM-ul BIOS și ADJUDECARE. Dacă căutarea are succes, ei presupun că computerul are instalat un BIOS AWARD sau AMI, dezactivează controlul sectorului de pornire și infectează înregistrarea principală de pornire a hard disk-ului. Aproximativ prin la o lună după infectare, virusul șterge informațiile din toate primul hard disk

Cel mai simplu mijloc de protecție hardware este de a deconecta de la computer toate canalele prin care un virus poate pătrunde în el. Dacă computerul nu este conectat la o rețea locală și nu este instalat un modem în el, atunci este suficient să opriți unitățile de dischetă și canalul principal pentru intrarea virușilor în computer va fi blocat.

Cu toate acestea, o astfel de oprire nu este întotdeauna posibilă. În cele mai multe cazuri, utilizatorul are nevoie de acces la unități de disc sau modemuri pentru funcționarea normală. În plus, programele infectate pot intra în computer prin retea locala sau CD-uri, iar dezactivarea acestora va restrânge semnificativ domeniul de aplicare al computerului.

Metode de eliminare a virușilor

Găsirea unui virus pe computer este doar jumătate din luptă. Acum trebuie eliminat. În cele mai multe cazuri, programele antivirus care detectează un virus îl pot elimina. Există două tehnici principale utilizate de programele antivirus pentru a elimina virușii.

Dacă detectați un virus în timp ce scanați fișiere executabile cu extensii de nume COM și EXE, ar trebui să scanați toate celelalte tipuri de fișiere care conțin cod executabil. În primul rând, acestea sunt fișiere cu extensia SYS, OVL, OVI, OVR, BIN, BAT, BIN, LIB, DRV, BAK, ZIP, ARJ, PAK, LZH, PIF, PGM, DLL, DOC

Puteți chiar să verificați toate fișierele de pe hard disk-urile computerului. Poate cineva a redenumit executabilul infectat schimbându-i extensia. De exemplu, fișierul EDITOR.EXE a fost redenumit în EDITOR.EX_. Un astfel de fișier nu va fi verificat. Dacă este redenumit ulterior, virusul se va putea reactiva și se va răspândi în computer

Prima, cea mai obișnuită tehnică este de a avea un program antivirus să elimine un virus deja cunoscut. Pentru ca virusul să fie înlăturat corect, este necesar ca acesta să fie studiat, dezvoltat un algoritm de tratare a acestuia, iar acest algoritm a fost implementat în noua versiune a antivirusului.

A doua tehnică vă permite să recuperați fișiere și sectoare de pornire infectate cu viruși necunoscuți anterior. Pentru a face acest lucru, programul antivirus în prealabil, înainte de apariția virușilor, trebuie să analizeze toate fișierele executabile și să salveze o mulțime de informații diverse despre acestea.

În timpul lansărilor ulterioare ale programului antivirus, acesta colectează din nou date despre fișierele executabile și le compară cu datele obținute anterior. Dacă se găsesc inconsecvențe, atunci fișierul este probabil infectat cu un virus.

În acest caz, antivirusul încearcă să restaureze fișierul infectat folosind informații despre principiile injectării virușilor în fișiere și informații despre acest fișier primite înainte de a fi infectat.

Unii viruși infectează fișierele și sectoarele de boot, înlocuind o parte a obiectului infectat cu codul lor, adică distrugând iremediabil obiectul infectat. Fișierele și sectoarele de boot infectate cu astfel de viruși nu pot fi dezinfectate folosind prima metodă, dar pot fi de obicei restaurate folosind a doua metodă. Dacă nu puteți recupera fișierele executabile infectate folosind programe antivirus, va trebui să le restaurați din kitul de distribuție sau din copia de rezervă sau pur și simplu să le ștergeți (dacă nu sunt necesare).

Cu înregistrarea de pornire principală și sectoarele de boot, lucrurile sunt puțin mai complicate. Dacă programul antivirus nu le poate restaura automat, va trebui să o faceți manual folosind comenzile FDISK, SYS, FORMAT. Recuperarea manuală a sectoarelor de boot va fi descrisă puțin mai târziu, în capitolul al șaselea.

Există un întreg grup de viruși care, infectând un computer, devin parte a sistemului său de operare. Dacă pur și simplu eliminați un astfel de virus, de exemplu prin restaurarea unui fișier infectat de pe o dischetă, sistemul poate deveni parțial sau complet inoperabil. Astfel de viruși ar trebui tratați folosind prima tehnică.

Exemple de astfel de viruși includ virușii de boot OneHalf și grupul de viruși VolGU.

Pe măsură ce computerul pornește, virusul OneHalf criptează treptat conținutul hard diskului. Dacă virusul este rezident în memorie, atunci interceptează toate apelurile către hard disk. În cazul în care orice program încearcă să citească un sector deja criptat, virusul îl decriptează. Dacă eliminați virusul OneHalf, informațiile de pe partea criptată a hard diskului vor deveni inaccesibile.

Virusul VolGU nu criptează datele, dar nu este mai puțin periculos decât OneHalf. Fiecare sector al hard disk-ului nu numai că stochează datele scrise în el, ci conține și informații suplimentare de verificare. Este o sumă de control a tuturor octeților din sector. Această sumă de control este utilizată pentru a verifica integritatea informațiilor.

De obicei, atunci când un program accesează subsistemul de disc al computerului, doar datele sunt citite și scrise, suma de control este corectată automat. Virusul VolGU interceptează accesul tuturor programelor pe hard disk și, atunci când scrie date pe disc, corupă sumele de control ale sectoarelor.

Când virusul este activ, permite citirea sectoarelor cu sume de control incorecte. Dacă pur și simplu eliminați un astfel de virus, atunci sectoarele cu o sumă de verificare incorectă nu vor fi citite. Sistemul de operare vă va informa despre o eroare de citire de pe hard disk (sectorul nu a fost găsit).

Pregătirea pentru un atac de virus

Utilizatorii de computere ar trebui să se pregătească din timp pentru un posibil atac de viruși și să nu aștepte până în ultimul moment când un virus a apărut deja. Datorită acestui lucru, veți putea detecta mai rapid virusul și îl veți elimina.

Care ar trebui să fie o astfel de pregătire?

¨ Pregătiți o dischetă de sistem în avans. Scrieți programe antivirus polifagi pe el, cum ar fi Aidstest și Doctor Web

¨ Actualizați constant versiunile programelor antivirus înregistrate pe discheta sistemului

¨ Verificați periodic computerul cu diverse instrumente antivirus. Controlați toate modificările de pe disc folosind un program de audit, cum ar fi ADinf. Verificați fișierele noi și modificate cu programele Aidstest și Doctor Web polyphage

¨ Verificați toate dischetele înainte de utilizare. Utilizați cele mai recente versiuni de programe antivirus pentru a verifica

¨ Verificați toate fișierele executabile scrise pe computer

¨ Dacă aveți nevoie de un nivel ridicat de protecție împotriva virușilor, instalați un controler de protecție hardware pe computer, cum ar fi Sheriff. Combinația dintre un controler hardware și instrumente antivirus tradiționale va maximiza securitatea sistemului dumneavoastră

Creați o dischetă de sistem

De obicei, un computer are două unități de dischetă instalate. discuri magnetice. Unul este pentru dischete de 5,25", iar celălalt este pentru dischete de 3,5". Sistemul de operare MS-DOS, precum și sistemele de operare Windows, Windows 95, Windows NT și OS/2 le atribuie numele A: și B:. Ce unitate se numește A: și care este B: depinde de hardware-ul computerului.

De obicei, utilizatorul poate schimba numele unităților. Pentru a face acest lucru, trebuie să deschideți carcasa computerului și să comutați mai mulți conectori. Dacă este posibil, această lucrare ar trebui să fie încredințată unui tehnician.

Unitățile de dischete de 5,25 inchi intră încet în uz, așa că computerele noi au o singură unitate de dischete care poate ține dischete de 3,5 inchi. În acest caz, se numește A:, unitatea B: lipsește.

Puteți porni computerul folosind discheta de sistem numai de pe unitatea A:. Astfel, pentru a face o dischetă de sistem pentru computerul dvs., trebuie să luați o dischetă de dimensiunea corespunzătoare.

Există multe programe care vă permit să pregătiți o dischetă de sistem. Astfel de programe sunt incluse în toate sistemele de operare - MS-DOS, Windows 3.1, Windows 95 și OS / 2 etc.

cu cel mai mult programe simple pentru pregătirea dischetelor de sistem sunt comenzile FORMAT sau SYS care fac parte din sistemele de operare MS-DOS și Windows 95 și de aceea le vom descrie în primul rând.

Folosind comanda FORMAT

Comanda FORMAT formatează o dischetă și poate scrie fișiere ale sistemului de operare pe aceasta. La formatarea dischetelor, FORMAT marchează piesele pe dischetă și formează zone de sistem - sectorul de pornire, tabelul de alocare a fișierelor și directorul rădăcină.

Când o dischetă este formatată, toate informațiile stocate pe aceasta sunt șterse. Deoarece FORMAT rescrie sectorul de boot pe dischetă, dacă anterior a fost infectat cu un virus de boot, virusul este eliminat. Putem spune că comanda FORMAT îndeplinește funcția principală a unui antivirus - elimină orice viruși de pe o dischetă.

Când apelați comanda FORMAT, puteți specifica un număr mare de opțiuni diferite. Descrierea lor o găsiți în volumul al patrulea al seriei „ Calculator personal- Pas cu pas” intitulat „Ce ar trebui să știi despre computerul tău”. În această carte, vom descrie doar câțiva dintre cei mai importanți parametri pentru noi:

FORMAT drive:

Ca parametru al unității, trebuie să specificați numele unității care va formata discheta. Opțiunea /S înseamnă că după formatarea dischetei, fișierele principale ale sistemului de operare sunt transferate pe acesta și discheta devine discheta de sistem. Această opțiune trebuie specificată pentru a pregăti o dischetă de sistem.

După cum am spus, comanda FORMAT șterge toate fișierele scrise pe ea de pe discheta formatată. De obicei, FORMAT scrie informații ascunse pe o dischetă, ceea ce permite, dacă este necesar, recuperarea fișierelor șterse de pe aceasta.

Pentru a recupera fișierele șterse în timpul formatării unei dischete, utilizați comanda UNFORMAT

Dacă sunteți sigur că nu va trebui să le restaurați, puteți accelera formatarea dischetei specificând parametru suplimentar/U. În acest caz, informațiile despre fișierele șterse nu sunt salvate și nu pot fi restaurate.

Puteți accelera foarte mult procesul de pregătire a dischetei sistemului dând comenzii FORMAT o opțiune suplimentară /Q. În acest caz, funcționează formatare rapidă dischete:

Să descriem mai detaliat procesul de pregătire a unei dischete de sistem. Introduceți următoarea comandă:

Ecranul vă va solicita să introduceți o dischetă în unitatea A: și apăsați tasta :

Introduceți o nouă dischetă pentru unitatea A:
și apăsați ENTER când sunteți gata...

Procesul de formatare va începe. Procentul de lucru efectuat va fi afișat pe ecran.

Formatare 1.2M
77% finalizate.

După finalizarea formatării, fișierele principale ale sistemului de operare sunt scrise pe dischetă. Apoi puteți introduce eticheta dischetei. Eticheta nu trebuie să conțină mai mult de unsprezece caractere. După introducerea etichetei, apăsați tasta . Dacă nu doriți să etichetați discheta, apăsați tasta pe loc:

format complet.
Sistem transferat

Etichetă de volum (11 caractere, ENTER pentru niciunul)?

Apoi pe ecran vor apărea diverse informații statistice: capacitatea totală a dischetei, cantitatea de spațiu ocupată de fișierele sistemului de operare, cantitatea de spațiu liber disponibil. Dacă pe dischetă se găsesc sectoare defecte care nu sunt disponibile pentru utilizare, este afișată dimensiunea totală a acestora în octeți. Următoarele arată dimensiunea sectorului în octeți, numărul de sectoare libere de pe dischetă și numărul său de serie:

1.213.952 de octeți spațiu total pe disc
198.656 octeți utilizați de sistem
1.015.296 de octeți disponibili pe disc

512 octeți în fiecare unitate de alocare.
1.983 de unități de alocare disponibile pe disc.

Numărul de serie al volumului este 2C74-14D4

Formatați altul (D/N)?

Aceasta completează pregătirea dischetei de sistem. Dacă nu intenționați să creați mai multe dischete de sistem simultan, apăsați tasta . Pentru a crea o altă dischetă de sistem, apăsați tasta și repetați procesul pe care l-am descris încă o dată.

Folosind comanda SYS

Dacă aveți o dischetă liberă, goală, formatată, cea mai rapidă modalitate de a o transforma într-o dischetă de sistem este să utilizați comanda SYS. Pentru a face acest lucru, introduceți discheta în unitatea computerului și introduceți următoarea comandă:

SYSdrive2:

Comanda SYS are un parametru necesar - drive2. Acest parametru trebuie să specifice numele unității în care este pregătită discheta de sistem. Ar trebui să specificați ca parametru drive2 numele A: sau B:.

Parametri opționali conduce 1și cale determinați locația fișierelor de sistem pe disc. Dacă nu specificați aceste opțiuni, comanda SYS va prelua fișiere de sistem din directorul rădăcină al unității curente.

Scrierea de programe antivirus pe o dischetă de sistem

Discheta de sistem conține fișierele principale ale sistemului de operare MS-DOS: IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN. Dacă discheta de sistem a fost realizată într-un sistem de operare compatibil MS-DOS, cum ar fi IBM PC-DOS, atunci numele acestor fișiere pot fi diferite.

Fișierele IO.SYS și MSDOS.SYS sunt nucleul sistemului de operare. Fișierul COMMAND.COM este denumit în mod obișnuit procesor de comandă. Acesta este același program care afișează promptul de sistem pe ecranul computerului și execută comenzile sistemului de operare. Ultimul fișier de pe discheta de sistem este DBLSPACE.BIN. Conține o extensie de sistem de operare care oferă acces la discurile comprimate ale sistemului DoubleSpace.

Fișierele principale ale sistemului de operare - IO.SYS, MSDOS.SYS au atributul „fișier ascuns” și nu sunt afișate de comanda DIR. Pentru a le vedea, adăugați opțiunea /A la comanda DIR.

După ce v-ați făcut sistemul de dischetă, mai rămâne mult spațiu liber pe el. Volumul total ocupat de fișierele principale ale sistemului de operare MS-DOS - IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN este de aproximativ 200 KB. Astfel, dacă ați folosit o dischetă de mare densitate, atunci aveți la dispoziție mai mult de un megaoctet de spațiu liber.

Scrieți pe discheta sistemului software-ul necesar pentru a testa și repara sistemul de operare corupt. În primul rând, trebuie să scrieți programe antivirus care scanează viruși și un program pentru verificarea integrității sistemului de fișiere. Este util să notați comenzile FORMAT și FDISK - acestea pot fi necesare pentru recuperarea manuală a sistemului. Pentru comoditate, puteți scrie în plus un shell, cum ar fi Norton Commander și orice editor de text pe discheta sistemului.

Următorul tabel listează programe care vă pot ajuta să vă reporniți computerul și să ruleze. Este recomandabil să le scrieți pe toate pe o dischetă de sistem. În cazul în care nu se potrivesc pe o dischetă de sistem, pregătiți o altă dischetă și scrieți programele rămase pe aceasta.

Program	Scop
	Program antivirus-polifag. Vă permite să detectați și să eliminați un număr mare de viruși. Virușii polimorfi pe care Aidstest nu îi poate detecta sunt detectați de Doctor Web
	Un program polifag antivirus care implementează un algoritm de căutare euristic a virusului. Permite detectarea virusurilor polimorfe complexe. Trebuie să-l utilizați împreună cu antivirusul Aidstest
ScanDisk sau Norton Disk Doctor	În multe cazuri, cauza unei defecțiuni și a comportamentului ciudat al unui computer nu sunt viruși, ci un sistem de fișiere corupt. ScanDisk și Norton Disk Doctor detectează și remediază automat erorile din sistemul de fișiere MS-DOS
	Un program pentru testarea tuturor subsistemelor computerizate. Vă permite să detectați defecțiunea hardware
Comandantul Norton	Shell pentru sistemul de operare MS-DOS. Ușurează mult lucrul cu un computer. Conține încorporat editor de text, vizualizatoare de fișiere în diverse formate
	Comanda MS-DOS. Proiectat pentru formatarea hard disk-urilor și dischetelor computerului
	Comanda MS-DOS. Proiectat pentru a crea și șterge unități logice. Comenzile FDISK și FORMAT pot fi necesare în cazul distrugerii complete a informațiilor de pe hard disk. Utilizarea lor este descrisă în capitolul „Restaurarea sistemului de fișiere”
	Editor de disc. Vă permite să vizualizați și să editați orice informație înregistrată pe disc, inclusiv zonele de sistem. Editorul de disc vă permite să editați sectorul de pornire principal, sectoarele de pornire, tabelele de alocare FAT, structurile de directoare și fișierele

În unele cazuri, pentru a accesa hard disk-urile computerului, puteți utiliza șoferi speciali sau programe de rezidențiat. Ele trebuie scrise pe discheta de sistem pregătită. Pentru ca acestea să fie conectate automat atunci când computerul este pornit de pe discheta sistemului, creați pe el fișierele CONFIG.SYS și AUTOEXEC.BAT, scriind comenzile pentru încărcarea driverelor necesare în ele.

Dacă aveți o unitate CD-ROM conectată la computer, scrieți software-ul necesar pentru ao utiliza pe discheta sistemului. Pentru MS-DOS, trebuie să scrieți driverul de citire și programul MSCDEX inclus în sistemul de operare. Accesul la cititor vă va permite să restaurați rapid software-ul înregistrat pe CD-uri.

sala de operatie sistem Windows 95 nu are nevoie de programul MSCDEX, cu toate acestea, dacă shell-ul grafic al acestui sistem nu pornește, MSCDEX trebuie totuși inclus

După ce ați pregătit complet discheta de sistem și ați scris toate programele necesare pe ea, instalați protecția la scriere pe ea. Pentru a face acest lucru, pe o dischetă de 5,25 inchi, trebuie să sigilați fanta de pe marginea dischetei, iar pe o dischetă de 3,5 inchi, deschideți fereastra de protecție. Protecția la scriere vă va asigura că nu deteriorați accidental conținutul dischetei și virușii nu pot pătrunde în el. Deoarece dischetele eșuează uneori, cel mai bine este să aveți mai multe dischete de sistem identice pentru acest caz.

Porniți de pe discheta de sistem

Pentru a porni un computer de pe o dischetă de sistem, trebuie să setați prioritatea de pornire a sistemului de operare de pe dischete. Prioritatea de pornire a sistemului de operare este determinată în memoria CMOS. Pentru a-l schimba, trebuie să rulați programul de instalare. Puteți afla mai multe despre programul de instalare în volumul 4 din seria Computer personal - Pas cu pas, intitulat Ce ar trebui să știți despre computerul dvs.

Există viruși care modifică prioritatea de pornire a computerului. Pentru a face acest lucru, ei modifică datele înregistrate în memoria CMOS. Exemple de astfel de viruși sunt virușii Mammoth.6000 și ExeBug. Acești viruși dezactivează unitățile de disc din memoria CMOS, reactivându-le temporar dacă un program dorește să citească sau să scrie informații pe o dischetă. Când utilizatorul încearcă să pornească computerul de pe o dischetă, acesta va porni de pe hard disk deoarece unitatea de disc este dezactivată. Virusul va prelua controlul și apoi va porni computerul de pe dischetă.

În același timp, din punctul de vedere al utilizatorului, totul arată ca de obicei. El vede că sistemul de operare este încărcat de pe o dischetă, dar în acest moment virusul este deja în RAM și controlează computerul.

Prin urmare, chiar înainte de a porni MS-DOS de pe discheta de sistem, asigurați-vă că conținutul memoriei CMOS este setat corect. Pentru a face acest lucru, rulați programul de instalare setări BIOSși verificați tipul de unități enumerate acolo, precum și ordinea de pornire a computerului.

Introduceți o dischetă de sistem în unitatea A: și reporniți computerul. Dacă bănuiți prezența virușilor, pentru a reporni trebuie să opriți și să porniți computerul sau să apăsați butonul „Resetare” de pe carcasa computerului. Unii viruși urmăresc repornirile folosind comenzile rapide de la tastatură și poate rămâne în RAM chiar și după o astfel de pornire de pe discheta sistemului.

După testarea inițială a computerului, sistemul de operare va începe să se încarce de pe dischetă. LED-ul A: ar trebui să fie aprins. Procesul de pornire de pe o dischetă este ceva mai lent decât de pe un hard disk, așa că va trebui să așteptați puțin. Când sistemul de operare s-a terminat de încărcat, pe ecran va apărea un mesaj.

Sistemul de operare vă va solicita apoi data și ora curente. Data și ora sunt solicitate numai dacă discheta (disc) nu conține fișierul de configurare a sistemului AUTOEXEC.BAT.

Dacă nu doriți să schimbați data și ora, apăsați tasta de două ori . În acest caz, data și ora vor rămâne neschimbate, iar promptul de sistem MS-DOS va apărea pe ecran:

Puteți crea un fișier AUTOEXEC.BAT gol pe discheta de sistem, apoi data și ora nu vor fi solicitate, iar după pornirea sistemului de operare, va apărea imediat un prompt de sistem pe ecran.

Pot fi preveniți virușii?

Dacă nu efectuați periodic lucrări de prevenire și tratare a computerelor de viruși, posibilitatea de a pierde informațiile stocate și de a distruge mediul de operare devine mai mult decât reală.

Consecințele negative ale neglijenței dumneavoastră pot fi diferite, în funcție de virusul care intră în computer. Puteți pierde fie o parte a informațiilor din fișierele stocate pe computer, fie fișiere individuale, fie chiar toate fișierele de pe disc. Dar cel mai rău, dacă virusul face mici modificări în fișierele de date, care la început ar putea să nu fie observate, iar apoi să conducă la erori în documentele financiare sau științifice.

Lucrările privind prevenirea și tratarea computerelor împotriva virușilor pot include următoarele acțiuni:

w Instalați software-ul numai din distribuții

w Protejați-vă la scriere toate dischetele și scoateți-le numai atunci când este necesar.

w Limitați schimbul de programe și dischete, verificați astfel de programe și dischete pentru viruși

w Verificați periodic memoria RAM și discurile computerului dvs. pentru viruși folosind programe antivirus speciale

w Faceți o copie de rezervă a informațiilor despre utilizator

Nu întâlni străini

Nicio măsură de protecție nu vă poate ajuta să vă protejați computerul împotriva virușilor decât dacă scanați mai întâi toate fișierele executabile care sunt scrise pe acesta. Până în prezent, o astfel de verificare este fezabilă numai cu ajutorul programelor antivirus polifagi.

Apariția constantă a tot mai mulți viruși noi necesită utilizarea celor mai recente versiuni de programe antivirus. Este de dorit ca acestea să ofere o căutare nu numai pentru viruși cunoscuți, ci și o analiză euristică a programelor și sectoarelor de boot verificate. Vă va permite să detectați fișierele infectate cu viruși noi, dar necunoscuți și neexplorați.

Din păcate, programele antivirus nu pot oferi o garanție completă că software-ul verificat este lipsit de viruși, darămite troieni sau bombe logice. Scriind software de origine necunoscută pe computer, riscați întotdeauna să

În organizațiile mari, este logic să aloci un computer special pentru a instala software-ul dubios, cum ar fi jocurile pe calculator. Acest computer trebuie izolat de restul computerelor din organizație. În primul rând, este necesar să îl deconectați de la rețeaua locală și să interziceți utilizatorilor nu numai să copieze programe din ea, ci și să scrie fișiere pe el de pe dischetele lor de lucru care nu sunt protejate în prealabil la scriere.

În timp ce lucrați cu software suspect, utilizați programe de monitorizare, cum ar fi monitorul VSafe inclus cu MS-DOS. Dacă programul este într-adevăr infectat cu un virus sau conține o bombă logică, monitorul va raporta orice acțiuni neautorizate din partea sa. Din păcate, programele de monitorizare precum VSafe pot fi înșelate cu ușurință de viruși, așa că este mai fiabil să utilizați instrumente de protecție software și hardware.

Setul antivirus DialogScience include sistemul de protecție hardware și software Sheriff. Printre altele, îndeplinește toate funcțiile programelor de monitorizare, dar o face mult mai bine. Datorită faptului că controlul computerului este asigurat de un controler special de protecție la nivel hardware, virușii nu vor putea să-l înșele pe Sheriff.

Cum se protejează la scriere dischetele

Vă puteți proteja la scriere dischetele. Protecția funcționează la nivelul hardware al computerului și nu poate fi dezactivată de software. Prin urmare, virusul nu va putea infecta sectorul de boot și fișierele executabile scrise pe o dischetă cu protecție la scriere instalată.

Toate distribuțiile de software scrise pe dischete ar trebui să fie protejate la scriere. Majoritatea software-ului pot fi instalate de pe dischete care sunt protejate la scriere

Dacă încercați să scrieți date pe o dischetă protejată la scriere, sistemul de operare va afișa un mesaj de avertizare pe ecranul computerului. Poate avea alt fel, în funcție de mijloacele folosite pentru a scrie pe dischetă.

De exemplu, dacă utilizați comenzile MS-DOS COPY sau XCOPY și încercați să scrieți un fișier pe o dischetă securizată, pe ecran va apărea următorul mesaj:

Eroare de protecție la scriere citind unitatea A
Anulați, reîncercați, eșuați?

Utilizatorul trebuie să răspundă cum ar trebui să acționeze sistemul de operare în această situație. Puteți alege trei răspunsuri: Abort, Reîncercați sau Eșuează. Pentru a face acest lucru, trebuie doar să introduceți primul caracter al lead-ului selectat de la tastatură: Abort - , Reîncercați- , eșec- . Puteți folosi atât litere mari, cât și litere mici.

Alegerea Abort sau Fail înseamnă că sistemul de operare ar trebui să renunțe la încercarea de a scrie informații pe dischetă (Abort anulează pur și simplu operația, în timp ce Fail indică necesitatea returnării unui cod de eroare programului). Dacă trebuie să efectuați o operațiune de scriere, eliminați protecția la scriere de pe dischetă și selectați Reîncercați.

Este necesar să luați în considerare cu atenție mesajul despre o încercare de a scrie pe o dischetă protejată. Citirea fișierelor de pe o dischetă și rularea majorității programelor de pe aceasta nu ar trebui să provoace scrierea pe acesta. Dacă sunteți sigur că discheta nu ar trebui să fie scrisă, dar este, atunci există șanse mari ca computerul dumneavoastră să fie infectat cu un virus.

Unii viruși blochează afișarea mesajului de încercare de protecție la scriere atunci când infectează fișierele executabile sau sectorul de pornire a dischetei. Acest lucru le permite să treacă neobservate dacă discheta este protejată. Cu toate acestea, veți obține rezultatul dorit, discheta va rămâne neinfectată.

Virus Plague.2647

Un virus stealth rezident nepericulos. Când deschide fișierele infectate, își elimină codul din ele și apoi infectează din nou când fișierul este închis. Când infectează fișierele de pe dischete, verifică dacă protecția la scriere este activată. Dacă este setată protecția, virusul nu va încerca să infecteze fișierele de pe el. Conține șirul „PLAGUE”

Protecția la scriere poate fi instalată pe o dischetă de orice dimensiune - 3,5 inchi și 5,25 inci. Cel mai simplu mod de a face acest lucru este pe dischete de 3,5 inchi. Trebuie doar să închideți orificiul mic din colțul dischetei cu un capac special din plastic, așa cum se arată în fig. 2.1. Îndepărtarea protecției la scriere este, de asemenea, ușoară: doar deschideți orificiul de protecție.

Orez. 2.1. Protecție la scriere pe o dischetă de 3,5 inchi

Pentru a proteja o dischetă de 5,25” împotriva scrisului, trebuie să sigilați fanta din plicul pentru dischetă (Fig. 2.2). Pentru a face acest lucru, utilizați o mică bucată dreptunghiulară de hârtie adezivă. De obicei, o astfel de hârtie este vândută împreună cu dischetele. În cazuri extreme, puteți folosi banda electrică obișnuită. Puteți elimina protecția la scriere eliminând bucata de hârtie pe care ați lipit-o.

De multe ori este foarte dificil să eliminați și să instalați protecție pe o dischetă de 5,25”, mai devreme sau mai târziu va deveni plictisitor și virusul va putea pătrunde în dischetă. Prin urmare, dacă este posibil, renunțați la dischetele de 5,25" și înlocuiți-le cu dischetele mai convenabile de 3,5".

Orez. 2.2. Protecție la scriere pe o dischetă de 5,25 inchi

Selectați ordinea corectă de pornire pentru computerul dvs

Sistemul de operare poate fi încărcat fie de pe un hard disk, fie de pe o dischetă. În mod normal, computerul pornește de pe hard disk, dar dacă o dischetă este introdusă în unitatea A: (în mod accidental sau intenționat) atunci când computerul este pornit sau repornit, sistemul de operare va porni de pe acesta. Dacă o dischetă este infectată cu un virus de boot, aceasta va prelua controlul și va încerca imediat să infecteze HDD calculator.

Majoritatea computerelor vă permit să specificați prioritatea în care ar trebui să fie încărcat sistemul de operare. Această ordine este setată folosind programul de configurare BIOS. Pentru mai multe informații despre programul de configurare BIOS, consultați secțiunea „Restaurarea sistemului de fișiere”.

Pentru a vă proteja computerul de infectarea accidentală cu un virus de pornire, specificați că sistemul de operare trebuie încărcat mai întâi de pe unitatea C: și numai dacă eșuează, de pe unitatea A:.

Dacă trebuie să porniți computerul de pe o dischetă, asigurați-vă că nu conține viruși. Pentru a face acest lucru, mai întâi verificați-l cu mai multe programe antivirus, cum ar fi Doctor Web și Aidstest.

Cel mai bine este să pregătiți o dischetă de sistem în avans și, pentru a nu fi deteriorată accidental, setați protecția la scriere pe aceasta. Pe o dischetă de sistem, este util să scrieți programe pentru diagnosticarea unui computer - programe antivirus, programe pentru verificarea integrității sistemului de fișiere și a sănătății hardware-ului computerului. Cum să creați o dischetă de sistem, am descris în secțiunea „Crearea unei dischete de sistem”.

Măsuri nepopulare

În organizații, măsurile stricte de protecție pot fi foarte eficiente, legate de deconectarea canalelor posibililor viruși de la computere. Acest lucru se aplică în primul rând unităților de dischete. Unitățile pot fi dezactivate fizic și eliminate de pe computer sau pot fi dezactivate numai în memoria CMOS, în timp ce sunt pornite program BIOS Configurarea ar trebui să pună o parolă.

În mod ideal, toate unitățile de disc, unitățile CD-ROM, modemurile, porturile seriale și paralele, adaptoare de rețea. Desigur, acest lucru este nerealist, dar nu ar trebui să renunți complet la o astfel de idee.

Backup

Este foarte important să organizați o copie de rezervă a informațiilor stocate în computer. În funcție de instrumentele pe care le aveți la dispoziție, puteți efectua o copie completă a hard disk-urilor computerului sau o copie doar a computerului în sine. Informații importante, care nu poate fi restaurat în niciun alt mod.

Pentru Rezervă copie de obicei se folosesc benzi magnetice. Înregistrarea pe ele este efectuată de casetofone digitale speciale, numite streamere. Volumul casetelor magnetice variază de la 200 MB la 4 GB. Recent, au devenit disponibile dispozitive de stocare pe disc magneto-optice. În ceea ce privește fiabilitatea și ușurința în utilizare, acestea sunt semnificativ superioare benzii magnetice. Volumul discurilor magneto-optice variază foarte mult și variază de la zeci de megaocteți la câțiva gigaocteți.

Dacă nu aveți la dispoziție o unitate de bandă sau un disc magneto-optic, în multe cazuri simple dischete vor fi suficiente. Desigur, scrierea pe dischete este cea mai proastă metodă de backup. În primul rând, dischetele sunt foarte mici - puțin mai mult de un megaoctet. În al doilea rând, dischetele sunt foarte nesigure. Uneori nu este posibil să citiți informațiile înregistrate anterior de la ei.

O singură rezervă nu este suficientă. Trebuie să aveți mai multe copii de rezervă. Iată un mic exemplu. Faceți o altă copie și brusc apare o pană de curent sau un atac de virus. Calculatorul se blochează, datele înregistrate în computer și copia acesteia sunt corupte

Când faceți backup, trebuie să fiți extrem de atenți. Înainte de a copia, verificați întotdeauna integritatea informațiilor copiate. Efectuați scanări de viruși și scanări ale sistemului de fișiere. Pentru a face acest lucru, utilizați cele mai recente versiuni de antivirusuri și programe precum ScanDisk. Dacă nu respectați această regulă, toate copiile de rezervă vor fi mai devreme sau mai târziu corupte.

În cazuri deosebit de critice, efectuați copierea ciclică a datelor. De exemplu, actualizați o copie în fiecare zi, a doua în fiecare săptămână, a treia în fiecare lună.

Arhivarea fișierelor

Dacă dischetele obișnuite sunt folosite pentru backup, atunci înainte de a scrie fișiere pe ele, acestea ar trebui să fie comprimate cu un fel de program de arhivare. Programele de arhivare vă permit să reduceți cantitatea de spațiu pe disc ocupată de fișiere. Face acest lucru eliminând redundanța informațiilor stocate în fișierele comprimate.

Fișierele comprimate pot ocupa mult mai puțin spațiu pe disc decât cele originale. Deci, fișierele text pregătite, de exemplu, în procesorul de text Microsoft Word pentru Windows sunt de obicei reduse la jumătate. Desigur, este imposibil să lucrezi cu un astfel de fișier. Înainte de lucru, acesta trebuie restaurat folosind același program de arhivare.

În prezent, cele mai populare arhivare sunt ARJ, PKZIP, RAR. Toate îndeplinesc aproximativ aceleași funcții și pot fi folosite pentru a crea copii de rezervă ale documentelor.

Mai multe detalii despre arhivarea datelor sunt discutate în al zecelea volum al seriei System Programmer's Library, care se numește IBM PC/AT Computer, MS-DOS și Windows. Intrebari si raspunsuri". Deocamdată, vom oferi doar un exemplu de utilizare a arhivatorului ARJ pentru a pregăti copii de siguranță ale fișierelor. Formatul pentru apelarea arhivatorului ARJ este destul de complicat:

ARJ<команда> [-<ключ> [-<ключ>...]] <имя архива>
[<имена файлов>...]

Primul parametru este echipa - determină modul de funcționare al arhivatorului:

	Mod de operare arhivator
	Adăugarea de noi fișiere în arhivă
	Ștergerea fișierelor dintr-o arhivă
	Extragerea fișierelor dintr-o arhivă
	Vizualizarea conținutului unei arhive
	Transferarea fișierelor în arhivă. Fișierele sunt scrise în arhivă și apoi fișierele originale sunt eliminate de pe disc
	Restaurarea fișierelor împreună cu directorul și structura subdirectoarelor în care se aflau aceste fișiere în timpul copiei de rezervă
	Restaurarea fișierelor de arhivă. Structura directoarelor și subdirectoarelor nu este restaurată, toate fișierele din arhivă sunt plasate într-un singur director
	Actualizați fișierele arhivate. Doar fișierele modificate și noi sunt scrise în arhivă. Fișierele care rămân neschimbate nu sunt arhivate din nou. Acest lucru economisește mult timp

Una dintre comenzile de mai sus poate fi urmată de unul sau mai mulți parametri suplimentari opționali. cheie. Parametrii suplimentari trebuie separați printr-un simbol „-”. Iată un tabel cu cei mai importanți parametri suplimentari și scopul lor:

Parametru suplimentar	Scop
	Protejarea arhivei create cu o parolă
	Folosit cu comenzile „a” sau „m” pentru a specifica faptul că arhiva trebuie să includă fișiere din directorul curent și toate subdirectoarele acestuia
	Crearea și restaurarea arhivelor cu mai multe volume aflate pe mai multe dischete. Fiecare dischetă conține un volum de arhivă (fișier). Există mai multe modificări la opțiunea -v: VV - problema semnal sonorîntre procesarea volumelor individuale de arhivă; VA - determină automat cantitatea de spațiu liber pe o dischetă (dimensiunea următorului volum de arhivă); Vnnnnn - dimensiunea volumelor individuale de arhivă, de exemplu V20000 - creați o arhivă din volume de 20 KB; V360, V720, V1200, V1440 - creați volume, marime fixa 360 KB, 720 KB, 1,2 MB, 1,44 MB fiecare
	Restaurați fișierele din arhiva deteriorată. Utilizați această opțiune dacă restaurarea fișierelor dintr-o arhivă a fost întreruptă de un mesaj de la arhivator despre încălcări ale structurii fișierului de arhivă
X
	Arhivatorul nu va cere utilizatorului permisiunea de a efectua diverse acțiuni, de exemplu, pentru a crea un fișier nou într-o arhivă cu mai multe volume, pentru a crea directoare

Opțiunile opționale sunt urmate de numele fișierului arhivă, urmat de o listă de nume de fișiere de extras, adăugat sau eliminat. Când specificați numele acestor fișiere, puteți utiliza caracterele „?” și "*". Dacă nu specificați lista file_names, atunci toate fișierele aflate în directorul sau arhiva curentă vor fi luate în considerare.

Programele de arhivare sunt foarte convenabile pentru a crea copii de rezervă pe dischete. Dacă fișierul de arhivă nu se potrivește pe o singură dischetă, arhivatorul vă permite să creați arhiva multivolum, constând din mai multe fișiere. Pentru a face acest lucru, trebuie să specificați un parametru suplimentar V. Fișiere separate O arhivă cu mai multe volume poate fi scrisă pe mai multe dischete.

Următoarea comandă creează o arhivă cu mai multe volume, din toate fișierele aflate în directorul curent și toate subdirectoarele acestuia, cu excepția fișierelor cu numele .tmp sau extensia .bak. Fișierele de arhivă cu mai multe volume vor fi puțin mai mari decât 1,44 MB. Le puteți scrie pe dischete de 3 inchi.

ARJ A -R -X*.BAK -XTMP.* -V1440 !Reduceți

Fișierele arhivei create vor avea numele! COLLAPS și diverse extensii:

Prăbușire.ARJ
!Răstrânge.A01
!Răstrânge.A02
!Răstrânge.A03
....

Puteți restaura fișierele înregistrate în această arhivă cu mai multe volume fie prin copierea lor mai întâi pe hard disk-ul computerului, fie direct de pe dischete. De exemplu, pentru a restaura de pe dischete, utilizați următoarea comandă:

ARJ X -V A:\!RETRACTĂ

După ce fișierul de arhivă este restaurat, utilizatorului i se va solicita procesare următorul fișier Arhiva. Introduceți următoarea dischetă în unitate și apăsați butonul .

Copiere de rezervă a documentelor în Windows 95

Sistemul de operare Windows 95 oferă o modalitate convenabilă de a face copii de rezervă pentru documente individuale și directoare întregi pe dischete. Pentru a face acest lucru, deschideți pictograma My Computer și mergeți la directorul din care doriți să scrieți fișiere pe dischete.

Apoi mutați cursorul mouse-ului peste pictograma fișierului sau directorului de copiat și faceți clic butonul corect soareci. Pe ecran va apărea un mic meniu.

Orez. 2.3. Scrierea directorului Bibliotecă pe dischete

Selectați linia Trimitere către din acest meniu, apoi în meniul temporar care se deschide, specificați unitatea pe care va avea loc copierea. În Figura 2.3, am arătat cum să copiați directorul Bibliotecă pe dischete de 3,5 inchi.

După ce specificați unitatea, va începe procesul de copiere. Dacă o dischetă nu este suficientă pentru a copia toate fișierele din director, sistemul de operare vă va cere să introduceți următoarea dischetă.

Din păcate, metoda de descărcare pe care am demonstrat-o nu vă permite să copiați fișiere pe dischete care sunt mai mari decât dimensiunea dischetei în sine. Prin urmare, documentele foarte mari nu pot fi copiate în acest mod.

Verificați dacă există viruși

Pentru a verifica dacă există programe noi pe care le scrieți pe computer, trebuie să utilizați cele mai recente programe antivirus polyphage. Ei vor putea detecta orice viruși cunoscuți la momentul creării programului antivirus. Este de dorit ca antivirusurile pe care le utilizați să efectueze o analiză euristică a programelor. Poate că acest lucru ne va permite să detectăm viruși noi, încă necunoscuti.

Popularitatea programelor antivirus Aidstest și Doctor Web este atât de mare încât sunt instalate pe aproape fiecare computer. Prin urmare, acum vă vom scana computerul cu aceste programe și vom vedea dacă conține viruși.

Dacă nu aveți cele mai recente versiuni de antivirus, utilizați programele pe care le aveți. Deși o astfel de scanare va fi incompletă, va detecta totuși un număr mare de viruși.

Scanarea pentru viruși pe hard diskul computerului dvs

Mai întâi, să verificăm toate hard disk-urile computerului cu programul Aidstest. Introduceți următoarea comandă la promptul DOS.

Acordați o atenție deosebită mesajelor afișate de program în timpul unei scanări a computerului. Dacă este găsit un virus, Aidstest vă va anunța.

Mulți viruși pe care Aidstest nu îi detectează pot fi capturați de Doctor Web. În plus, Doctor Web vă permite să efectuați analize euristice ale programelor și sectoarelor de boot. Prin urmare, repetați verificarea utilizând Doctor Web.

DRWEB * /CL /HI /AR /HA1 /RV /UP

Antivirusul Doctor Web va scana toate hard disk-urile computerului, în timp ce va scana pentru viruși nu numai direct în fișierele executabile, ci și în fișierele de arhivă, precum și în fișierele executabile comprimate. Dacă sunt detectați viruși, programul va afișa un mesaj corespunzător pe ecran.

Toate exemplele din această secțiune scanează doar viruși, niciunul dintre virușii detectați nu va fi șters. Pentru a face acest lucru, trebuie să rulați programul antivirus încă o dată, pornind de pe discheta sistemului.

Scanarea pentru viruși pe dischete

Toate dischetele noi, precum și dischetele pe care le-ați dat cuiva, trebuie verificate pentru infecția cu virus. Pentru a face acest lucru, utilizați antivirusurile polifagi Aidstest și Doctor Web. Apelați secvențial mai întâi unul și apoi un alt program. Următorul exemplu arată cum se testează o dischetă introdusă în unitatea A:.

AIDSTEST A: /B
DRWEB A: /CL /AR /HA1 /UP /NM /OF

Viruși în fișierele de arhivă

Pentru a crește spațiul liber pe hard disk și pe dischete, mulți utilizatori arhivează fișierele rar utilizate. Pentru aceasta se pot folosi programe speciale de arhivare care reduc dimensiunea fișierelor prin eliminarea redundanței datelor înregistrate în fișier. Când utilizatorul are nevoie din nou de un fișier din arhivă, el folosește din nou programul de arhivare.

Fișierele din arhivă sunt stocate într-o formă comprimată, ceea ce face imposibilă căutarea unui virus după semnăturile lor. Prin urmare, dacă ați arhivat un program infectat, acesta poate rămâne invizibil pentru mulți antiviruși.

Unele programe antivirus, cum ar fi Doctor Web, vă permit să scanați fișiere stocate în arhive. Scanând arhivele, Doctor Web restaurează temporar fișierele stocate în acestea și le scanează secvenţial.

Dacă găsiți viruși pe computer, asigurați-vă că verificați toate fișierele de arhivă, chiar dacă programul antivirus nu știe cum să lucreze cu arhivele. Restaurați singur fișierele din toate arhivele de pe disc și apoi verificați-le cu programul antivirus

De obicei, atunci când mai multe persoane lucrează pe același computer, folosesc mijloace diferite de diferențiere a accesului la hard disk. De exemplu, Diskreet din pachetul Norton Utilities vă permite să creați mai multe unități logice. Fiecare utilizator poate avea acces doar la unele discuri, restul îi va fi complet inaccesibil.

Virusul ArjVirus

Virus non-rezident nepericulos. Caută în directorul curent și subdirectoarele acestuia fișierele de arhivă create de arhivatorul ARJ. Virusul distinge fișierele de arhivă numai prin extensia lor - ARJ.

Dacă fișierul de arhivă este detectat, virusul creează un fișier cu un nume aleatoriu format din patru caractere de la „A” la „V”, cu extensia COM. Virusul scrie 5 KB din codul său în acest fișier și la sfârșit îl adaugă cu un număr arbitrar de octeți.

Virusul apelează apoi programul de arhivare ARJ, crezând că acesta se află într-unul dintre directoarele enumerate în variabila PATH. Pentru a face acest lucru, utilizați procesorul de comenzi:

C:\COMMAND.COM /C ARJ A

Parametrul ArjFile specifică numele fișierului arhivă găsit de virus. Parametrul ComFile conține numele fișierului executabil de virus nou creat. Această comandă adaugă un nou fișier de virus executabil la fișierul arhivă detectat de virus. Fișierul original de virus este apoi șters.

Pentru a împiedica utilizatorul să vadă pe ecran informații care sunt de obicei afișate de programul de arhivare ARJ, virusul dezactivează temporar toate ieșirile pe ecranul monitorului.

Ideea principală a virusului este că un utilizator care a restaurat fișiere dintr-o arhivă infectată va găsi în ea un fișier executabil necunoscut și îl va rula din curiozitate.

Este necesar să scanați viruși pe toate discurile. Cel mai bine este ca acest lucru să fie făcut de un utilizator care are acces la toate discurile de pe computer. În caz contrar, fiecare utilizator va trebui să verifice discurile disponibile pentru el. Dacă vreunul dintre utilizatori descoperă că există un virus pe disc accesibil lui, el trebuie să informeze toți ceilalți utilizatori ai computerului despre acesta.

Dacă găsești un virus

Cea mai mare valoare sunt datele dvs. stocate în computer. Poate fi documente text, fișiere foi de calcul, baze de date, coduri sursă de programe etc. Costul acestora poate fi de multe ori mai mare decât costul computerului în sine și al software-ului instalat în acesta.

Orice software distrus de viruși poate fi restaurat din distribuții sau copii de rezervă. Dar cu date, situația este mult mai gravă. Dacă datele nu sunt salvate permanent, acestea se pot pierde iremediabil.

Prin urmare, după ce ați descoperit un virus, primul lucru de făcut este să reporniți de pe o dischetă goală și să vă copiați datele de pe hard disk-ul computerului pe dischete, benzi magnetice sau orice alte dispozitive de stocare a informațiilor. Abia după aceea poți începe să tratezi computerul.

Dacă este detectat un virus, este posibil să fi distrus deja informațiile stocate pe computer. Distrugerea poate fi de altă natură. Poate că fișierele de date vor fi complet distruse și nici nu le veți putea citi, sau poate că vor fi modificate ușor și nu veți putea observa imediat.

Virus Rogue.1208

Virus rezident periculos. Distruge fișierele cu extensia DBF scriind în ele primul octet „R” și efectuând operația logică EXCLUSIVE SAU cu numărul 13 pe restul conținutului fișierului, până la primul caracter, care are codul 13. Distruge fișiere CHKLIST ???. Într-o lună în care suma valorii anului și valoarea lunii este 2000, virusul scoate textul: „Acum ai un virus adevărat! Eu "sunt necinstitul...!"

Încercați să aflați ce fel de virus a intrat în computerul dvs. și ce face acesta. Puteți obține aceste informații din definițiile virușilor furnizate împreună cu software-ul dumneavoastră antivirus. Practic, toate programele antivirus au astfel de liste. Ele pot fi implementate ca simple fișiere text sau ca baze de date speciale hipertext.

Dacă găsiți un virus pe computer, este posibil să se fi răspândit deja pe alte computere din organizația dvs. Acestea trebuie verificate fără greșeală. Mulți utilizatori de astăzi au computere acasă. De asemenea, se pot infecta.

Este necesar să verificați toate dischetele folosite pentru a lucra cu computerele infectate. Acestea pot fi infectate cu viruși de boot și fișiere. Virusul poate persista pe ele și apoi poate reinfecta computerul. Dischetele infectate cu viruși trebuie să fie vindecate sau formatate.

Cum să repari un computer

După ce ați încercat să vă copiați toate datele (documente, texte sursă, fișiere baze de date) de pe computer, este timpul să începeți să dezinfectați computerul și să eliminați virușii care l-au infectat. Există cel puțin trei moduri prin care puteți elimina virușii de pe computer.

Cel mai simplu dintre ele este să schimbi complet tot software-ul instalat pe computer. Va trebui să reinstalați sistem de operareși toate celelalte programe din nou. Dacă un virus a infectat înregistrarea de pornire, atunci aceasta poate fi actualizată prin formatarea unităților logice ale computerului folosind comanda FORMAT. Cu toate acestea, nici măcar formatarea nu va elimina virusul din înregistrarea principală de pornire a hard diskului. Pentru a face acest lucru, utilizați comanda FDISK cu opțiunea /MBR nedocumentată, apoi recreați partițiile și unitățile logice de pe hard disk.

Operațiuni precum formatarea unei unități logice, ștergerea unei partiții sau a unei unități logice cu comanda FDISK distrug complet toate fișierele de pe acest disc. Prin urmare, nu este nevoie să ștergeți mai întâi fișierele.

După ce recreați partițiile și unitățile logice de pe hard disk și le formatați, puteți continua să instalați sistemul de operare și alte programe. Instalare completă software-ul de calculator este consumator de timp. Pentru a accelera acest proces, dacă este posibil, instalați produse software Nu de pe dischete, ci de pe CD-uri.

Puteți facilita foarte mult recuperarea computerului dvs. dacă faceți în prealabil o copie de rezervă a tuturor informațiilor înregistrate pe computer. În acest caz, după crearea și formatarea unităților logice, puteți restaura software-ul din aceste copii de rezervă. Modul în care se întâmplă această recuperare depinde de instrumentele pe care le utilizați pentru a vă crea copii de rezervă.

A doua posibilitate implică eliminarea manuală a virușilor și recuperarea sectoarelor și fișierelor de boot deteriorate. Această metodă este cea mai complexă și necesită o calificare înaltă. Vom vorbi despre restaurarea manuală a computerului dvs. puțin mai târziu, în capitolul „Restaurarea manuală a sistemului de operare”.

Și, în sfârșit, ultima posibilitate presupune utilizarea unor programe speciale antivirus. Programele antivirus în sine vor detecta și elimina virușii, restabilind performanța computerului. Din păcate, o astfel de recuperare nu este întotdeauna posibilă, deoarece o categorie mare de viruși deteriorează ireversibil programele și datele stocate pe discurile computerelor. În acest caz, trebuie să reinstalați software-ul.

Acum vom lua în considerare foarte pe scurt tratamentul unui computer cu programe polifagi antivirus Aidstest și Doctor Web. Pentru mai multe informații despre acestea și alte programe care vă permit să eliminați virușii de pe computer, citiți următorul capitol, care se numește „Cel mai bun instrument”.

Tratarea unui computer cu programe antivirus

O serie de viruși rezidenți, care se află în memoria computerului, împiedică dezinfectarea cu succes a programelor infectate și a sectoarelor de pornire. Prin urmare, este recomandabil să efectuați dezinfecția numai după pornirea computerului de pe o dischetă de sistem fără viruși. Pe această dischetă, trebuie mai întâi să scrieți programe antivirus polifagi, cum ar fi Aidstest și Doctor Web.

Programul Aidstest vă permite să eliminați virușii pe care îi detectează. Pentru a face acest lucru, rulați Aidstest cu opțiunea /F:

Unii viruși nu pot fi detectați și eliminați de Aidstest, așa că trebuie să fie utilizați împreună cu antivirusul Doctor Web:

DRWEB * /CL /UP /CU

Programele Aidstest și Doctor Web pot trata nu numai hard disk-uri, ci și dischete. Pentru a face acest lucru, în loc de parametrul *, care înseamnă lucrul cu toți hard disk-uri computer, trebuie să specificați numele unității:

AIDSTEST A: /F
DRWEB A: /CL /UP /CU

Înainte de a începe să luăm în considerare conceptul de „analiza euristică”, este necesar să înțelegem ce înseamnă însuși cuvântul „euristică”. Pentru a face acest lucru, trebuie să ne întoarcem la istorie, și anume la Grecia Antică. Cuvântul „euristic” provine de la cuvântul „găsi”, tradus din limba greacă. Ideea principală este că toate soluțiile la orice problemă, conform acestor metode, se bazează pe presupuneri care pot fi adevărate.

Ele nu sunt caracterizate prin utilizarea unor fapte sau presupuneri stricte.

Cele de mai sus sună destul de vag și, poate, de neînțeles. Prin urmare, vom încerca să înțelegem ce este analiza euristică pe exemple specifice. Asa de.

Există un număr mare de viruși pe Internet care au proprietăți foarte asemănătoare. Astfel, programele antivirus moderne caută fișiere ale căror semnături sunt foarte asemănătoare cu codul malware. Acest lucru vă permite să reduceți semnificativ cantitatea de baze de date utilizate pentru a căuta viruși. Prin utilizarea analizei euristice, furnizorii de antivirus economisesc semnificativ resursele computerelor pe care este instalat software-ul lor. De asemenea, face posibilă detectarea de noi viruși chiar înainte ca semnăturile să fie actualizate.

Următorul exemplu este legat și de lupta împotriva virușilor. Logica sa constă în chiar numele „programe rău intenționate”. Cu această abordare, se presupune că toți virușii provoacă într-un fel sau altul Există o listă aproximativă de acțiuni pe care analiza euristică le verifică înainte de a lua o decizie. Este scrie, șterge, scrie la registru de sistem, citirea clicurilor, deschiderea porturilor, trimiterea de spam. Desigur, atunci când se efectuează o acțiune, atunci acesta nu este un motiv de panică, dar atunci când au loc simultan și într-un ritm deosebit de rapid, atunci există motive de gândire. Principalul avantaj al acestui proces este capacitatea de a detecta viruși chiar dacă nu se potrivesc cu semnăturile deja din baza de date.

O altă industrie în care se aplică analiza euristică este cea economică. În plus, aplicarea sa este foarte largă. Analiza economică este unul dintre multele subsectoare în care aplicarea metodelor discutate este de mare ajutor. În esență, este un studiu detaliat și cuprinzător. Se bazează pe informații din diverse surse disponibile. Multe sunt de asemenea evaluate aspecte interne funcţionarea unei anumite organizaţii. Realizarea acestor acțiuni are ca scop îmbunătățirea muncii, care se realizează prin introducerea și dezvoltarea de noi soluții optime de management.

Utilizarea pe scară largă a metodelor euristice poate simplifica semnificativ procesele de luare a deciziilor, precum și poate elimina o varietate de probleme care pot fi înlăturate prin utilizarea datelor statistice. Acest lucru economisește o mulțime de resurse și timp. Experiența acumulată anterior poate fi folosită în siguranță în activitățile de zi cu zi ale organizației.