コンピューター上のウイルスの種類。 コンピューター ウイルスの種類とその危険性。 コンピューター ウイルス - 種類と種類。 ウイルスを拡散する方法。 コンピューター予防の主な種類。 基本的なウイルス対策ソフトウェア パッケージ。 ウイルス対策プログラムの分類
特定のウイルスの各亜種は通常、1 つまたは 2 つのタイプのファイルに感染する可能性があります。 最も一般的なウイルスは、実行可能 (.exe) ファイルに感染するウイルスです。 一部のウイルスは、ファイルとディスクのブート領域の両方に感染します。 デバイス ドライバーに感染するウイルスは非常にまれですが、通常、このようなウイルスは実行可能ファイルに感染する可能性があります。
ディスク上のファイル システムを破壊するウイルスは、通常、DIR ウイルスと呼ばれます。 このようなウイルスは、その本体をディスクの一部 (通常はディスクの最後のクラスター) に隠し、ファイル アロケーション テーブル (FAT) 内でファイルの終わりとしてマークします。
検出を防ぐために、一部のウイルスは非常に狡猾なカモフラージュ技術を使用します。 たとえば、そのうちの 2 つは、「目に見えない」ウイルスと自己改変ウイルスです。
"見えない「ウイルス。多くの常駐ウイルス (ファイルとブートの両方) は、オペレーティング システム (およびアプリケーション プログラム) から感染したファイルとディスク領域への呼び出しを傍受し、それらを元の (感染していない) 形式で表示することによって検出を防ぎます。 もちろん、この効果はあります。感染したコンピュータでのみ観察されます。「クリーンな」コンピュータでは、ファイルおよびディスクのブート領域の変更は簡単に検出できます。
自己修正ウイルス。 ウイルスが検出を回避するために使用するもう 1 つの方法は、ウイルスの本体を改変することです。 多くのウイルスは本体の大部分をエンコードされた形式で保存するため、逆アセンブラを使用してウイルスの動作メカニズムを理解することはできません。 自己書き換え型ウイルスはこの手法を使用し、多くの場合、このエンコードのパラメータを変更します。さらに、他のウイルス コマンドを復号化するために使用される開始部分も変更します。 したがって、このようなウイルスの体内には、ウイルスを識別できる単一の定常的なバイト連鎖が存在しません。 これにより、当然のことながら、検出プログラムがそのようなウイルスを検出することが困難になります。
コンピュータウイルスに対する防御方法
どのようなウイルスであっても、ユーザーは基本的な防御方法を知っておく必要があります。
コンピューターウイルスから。 ウイルスから保護するには、以下を使用できます。
* 一般的な情報保護ツール。ディスクへの物理的な損傷、プログラムの誤動作、またはユーザーの誤った操作に対する保険としても役立ちます。
* ウイルスに感染する可能性を減らすための予防措置。
* ウイルス対策に特化したプログラム。
一般的な情報セキュリティ ツールは、ウイルス対策以外にも役立ちます。 これらのファンドには主に 2 つのタイプがあります。
* 情報のコピー - ファイルとディスクのシステム領域のコピーを作成します。
* アクセス制御は、情報の不正使用を防止し、特にウイルスによるプログラムやデータの変更、プログラムの誤動作、ユーザーの誤った操作から保護します。 一般的な情報セキュリティ対策はウイルスから身を守るために非常に重要ですが、それだけではまだ十分ではありません。 ウイルスから保護するために特別なプログラムを使用することも必要です。 これらのプログラムはいくつかのタイプに分類できます。 検出器、医師(ファージ)、監査人、医師検査員、フィルター、ワクチン(免疫付与者)。
検出器プログラム いくつかの既知のウイルスのいずれかに感染したファイルを検出できます。 これらのプログラムは、ユーザーが指定したドライブ上のファイルに、特定のウイルスに固有のバイトの組み合わせが含まれているかどうかを確認します。 いずれかのファイルで検出された場合、対応するメッセージが画面に表示されます。 多くの検出器には、感染したファイルを修復または破壊するためのモードがあります。 検出プログラムは「既知の」ウイルスのみを検出できることを強調しておく必要があります。 プログラム スキャン 企業 マカフィー アソシエイツ そして エイドテスト D.N.Lozinsky を使用すると、1,000 を超えるウイルスを検出できますが、合計では何千ものウイルスが存在します。 一部の検出プログラム、たとえば ノートン アンチウイルス または AVSP Dialog-MGU 企業は、新しいタイプのウイルスに合わせて構成できます。必要なのは、これらのウイルスに固有のバイトの組み合わせを示すことだけです。 しかし、これまで未知のウイルスを検出できるプログラムを開発することは不可能です。
したがって、プログラムが検出器によって感染していると認識されないという事実は、そのプログラムが正常であることを意味するわけではありません。プログラムには、検出器プログラムには知られていない、新しいウイルスまたは古いウイルスのわずかに変更されたバージョンが含まれている可能性があります。
多くの検出プログラム (以下を含む) エイドテスト )「目に見えない」ウイルスがコンピュータのメモリ内で活動している場合、そのウイルスによる感染を検出する方法がわかりません。 実際には、オペレーティング システムの機能を使用してディスクを読み取っているのですが、ウイルスによって傍受され、すべてが正常であると表示されます。 本当ですか、 エイドテスト およびその他の検出器
彼らは RAM を調べてウイルスを特定しようとしますが、これは一部の「狡猾な」ウイルスに対しては役に立ちません。 したがって、検出プログラムは、オペレーティング システムが「クリーンな」書き込み保護されたフロッピー ディスクからロードされた場合にのみ信頼性の高い診断を提供します。また、検出プログラムのコピーもこのフロッピー ディスクから起動する必要があります。
一部の探知機はこう言う ADinf ダイアログ サイエンス企業は、活動中であっても「目に見えない」ウイルスを捕捉できます。 これを行うには、を使用せずにディスクを読み取ります。
オペレーティング システムの呼び出し。 ただし、この方法はすべてのドライブで機能するわけではありません。
ほとんどの検出プログラムには「ドクター」機能があります。 彼らは、感染したファイルまたはディスク領域を元の状態に戻そうとします。 回復できなかったファイルは通常、動作不能になるか削除されます。
ほとんどの医師プログラムは、特定の固定セットのウイルスしか「治療」できないため、すぐに時代遅れになってしまいます。 ただし、プログラムによっては、
新しいウイルスを検出する方法だけでなく、治療する方法も学びます。
そのようなプログラムとしては、 AVSP 会社「ダイアログMSU」。
監査人プログラム 2つの段階の作業があります。 まず、プログラムの状態とディスクのシステム領域 (ブート セクターとハードディスク パーティション テーブルのあるセクター) に関する情報を記憶します。 現時点ではプログラムやシステムディスク領域は感染していないと想定されます。 その後、監査プログラムを使用すると、いつでもプログラムやシステムディスク領域の状態を元の状態と比較できます。 検出された不一致はすべてユーザーに報告されます。
オペレーティング システムが起動するたびにプログラムとディスクのステータスをチェックするには、監査プログラムを起動するコマンドを AUTOEXEC.BAT バッチ ファイルに含める必要があります。 これにより、まだ大きな被害を引き起こしていないコンピュータ ウイルス感染を検出できます。 さらに、同じ監査プログラムはウイルスによって損傷したファイルを見つけることができます。 多くの監査プログラムは非常に「インテリジェント」です。たとえば、プログラムの新しいバージョンへの移行によるファイルの変更とウイルスによる変更を区別でき、誤った警告を発しません。 実際、ウイルスは通常、非常に特殊な方法でファイルを変更し、異なるプログラム ファイルでも同じ変更を加えます。 通常の状況ではそのような変化がほとんど起こらないことは明らかであるため、監査プログラムはそのような変化の事実を記録していれば、それらがウイルスによって引き起こされたものであると自信を持って報告することができます。
多くの監査プログラムは、「目に見えない」ウイルスがコンピュータのメモリ内で活動している場合、その感染を検出できないことに注意してください。 しかし、Dialog-Nauka の ADinf などの一部の監査プログラムは、DOS 呼び出しを使用せずにディスクを読み取ることができます (ただし、すべてのドライブで機能するわけではありません)。他のプログラムでは、さまざまな中途半端な手段を使用することがよくあります。 RAM 内のウイルスを検出し、ファイルの最初の行からの呼び出しを要求する
AUTOEXEC.BAT、「クリーンな」コンピュータで動作することを期待するなど。 残念ながら、一部の「狡猾な」ウイルスに対してはこれらすべてが役に立ちません。
ファイルが変更されたかどうかを確認するために、一部の監査プログラムはファイルの長さをチェックします。 しかし、このチェックは十分ではありません。ウイルスによっては、感染したファイルの長さを変更しないものもあります。 より信頼性の高いチェックは、ファイル全体を読み取り、そのチェックサムを計算することです。 チェックサムが変わらないようにファイルを変更することはほとんど不可能です。
最近、監査人と医師の非常に有用なハイブリッドが登場しました。
医師監査役 , - ファイルやディスクのシステム領域の変更を検出するだけでなく、変更があった場合には自動的に元の状態に戻すプログラム。 このようなプログラムは、治療中にファイルとディスク領域の状態に関する事前に保存された情報を使用するため、医師のプログラムよりもはるかに汎用的です。 これにより、プログラムが作成された時点では作成されていないウイルスからもファイルを修復することができます。
ただし、すべてのウイルスを治療できるわけではなく、
プログラムが作成された時点で知られていた「標準的な」ファイル感染メカニズム。
もあります フィルタープログラム 、コンピュータの RAM に常駐し、ウイルスが複製して害を及ぼすために使用するオペレーティング システムへの呼び出しを傍受し、ユーザーに報告します。 ユーザーは、対応する操作を許可または拒否できます。
一部のフィルタ プログラムは、不審なアクションを「捕捉」するのではなく、実行のために呼び出されたプログラムにウイルスがないかチェックします。 これにより、コンピュータの速度が低下します。
ただし、フィルター プログラムを使用する利点は非常に重要です。フィルター プログラムを使用すると、ウイルスがまだ増殖して害を及ぼす時間がない非常に早い段階で多くのウイルスを検出できます。 こうすることで、ウイルスによる損失を最小限に抑えることができます。
ワクチンプログラム、 または 免疫剤 、プログラムの動作に影響を与えないようにプログラムやディスクを変更しますが、ワクチン接種の対象となるウイルスは、これらのプログラムやディスクがすでに感染しているものとみなします。 これらのプログラムは非常に非効率的です。
ウイルスに対して完全な保護を提供するウイルス対策プログラムは 1 種類だけではありません。 ウイルスから保護するための最良の戦略は、多層の「徹底した」防御です。 この防御の構造について説明します。
ウイルスに対する「防御」の偵察ツールは、新しく受信したソフトウェアにウイルスが存在するかどうかをチェックできる検出プログラムに相当します。 防御の最前線にあるのはフィルター プログラムです。 これらのプログラムは、ウイルスの動作を最初に報告し、プログラムやディスクの感染を防ぐことができます。 防衛の第 2 階層は、監査人プログラム、医師プログラム、医師監査人で構成されます。 防御の最も深い階層はアクセス制御手段です。 たとえウイルスや誤動作するプログラムがコンピュータに侵入したとしても、重要なデータが損なわれることはありません。 「戦略的備蓄」には、情報のアーカイブコピーが含まれています。 これにより、情報が破損した場合でも復元できます。 この非公式の説明により、抗ウイルス剤の使用方法をより深く理解できるようになります。
ウイルスプログラムコンピュータ
すでに述べたように、最も一般的なものは、トロイの木馬、ポリモーフィック ウイルス、非ポリモーフィック暗号化ウイルス、ステルス ウイルス、スロー ウイルス、レトロ ウイルス、複合ウイルス、兵器化ウイルス、ファージ ウイルス、マクロ ウイルスです。 それぞれがいくつかの特定のアクションを実行します。
1. トロイの木馬は、データ ファイル (圧縮ファイルやドキュメントなど) に潜むウイルスです。 検出を避けるために、一部の種類のトロイの木馬は実行可能ファイルにも隠されています。 したがって、このプログラムは、プログラム ファイルと圧縮形式で提供されたライブラリ ファイルの両方に配置できます。 ただし、トロイの木馬にはウイルス ルーチンのみが含まれていることがよくあります。 おそらくトロイの木馬の最も適切な定義は、元ハッカーで現在は NSA (国家安全保障局) のウイルス対策ソフトウェアを開発しているダン・エドワーズ氏によるものです。 Dan 氏によると、トロイの木馬とは「アーカイバ、ゲーム、または (1990 年に有名になった) ウイルス検出および破壊プログラムなど、無害なアプリケーションを装う安全でないプログラム」です。 新しいウイルス対策プログラムのほとんどは、ほぼすべてのトロイの木馬を検出します。
最も有名なトロイの木馬の 1 つは、Crackerjack プログラムです。 インターネット上で利用可能な他のすべてのパスワード クラッキング ツールと同様に、このプログラムは、選択したファイルにあるパスワードの相対的な強度をテストしました。 起動後、ハッキングされたパスワードのリストが表示され、ユーザーにこのファイルを削除するよう求められました。 プログラムの最初のバージョンは、パスワードを解読しただけでなく、それをトロイの木馬の作成者に送信しました。 あなた自身の目で見てわかるように、Crackerjack は非常に便利なツールであることがわかりました。 これを行うには、インターネットからプログラムをダウンロードするだけです。
2. 多型ウイルスは、本体を暗号化するウイルスであるため、ウイルスの署名をチェックすることで検出を回避できます。 このようなウイルスは、作業を開始する前に、特別な復号化手順を使用して自身を復号化します。 第 4 章で説明したように、復号化手順により、暗号化された情報が平文の情報に変換されます。 ウイルス本体を復号化するために、復号化手順がマシンの制御を奪います。 復号化後、コンピュータの制御は復号化されたウイルスに移ります。 最初の暗号化ウイルスは非多態性でした。 つまり、ウイルスの復号手順はコピーごとに変わりません。 したがって、ウイルス対策プログラムは、復号化手順に固有の署名によってウイルスを検出する可能性があります。 しかしすぐに状況は根本的に変わりました。 多型ウイルスは検出が非常に困難です。 実際のところ、それらは新たな感染のたびにまったく新しい復号化手順を生成します。 このため、ウイルスの署名はファイルごとに異なります。 暗号化手順を変更するには、突然変異ジェネレーターと呼ばれる、非常に単純なマシン コード ジェネレーターが使用されます。 乱数生成器と非常に単純なアルゴリズムを使用してウイルスの署名を変更します。 その助けを借りて、プログラマーはあらゆるウイルスを多態性ウイルスに変えることができます。 これを行うには、ウイルスのテキストを変更して、コピーを作成する前に変異ジェネレーターを呼び出すようにする必要があります。
ポリモーフィック ウイルスは、従来のスキャン方法 (コード行の比較など) では検出できないという事実にもかかわらず、特別なウイルス対策プログラムによっては検出されます。 したがって、多型ウイルスを検出できます。 ただし、このプロセスには膨大な時間がかかり、ウイルス対策プログラムの作成にはさらに多くの労力がかかります。 ウイルス対策ソフトウェアの最新の更新では、多態性ウイルスを検出する暗号化手順が検索されます。 多態性ウイルスは、別のコピーを作成するときにそのシグネチャを変更します。 ファイルからファイルへ。
- 3. ステルス ウイルスは、感染したファイルに加えられた変更を隠すウイルスです。 これを行うために、ストレージ メディア上のファイルまたはセクタを読み取るシステム機能を監視します。 このような関数が呼び出されると、ウイルスは受け取った結果を変更しようとします。実際の情報の代わりに、ウイルスは感染していないファイルのデータを関数に渡します。 したがって、ウイルス対策プログラムはファイル内の変更を検出できません。 ただし、システム コールを傍受するには、ウイルスがマシンのメモリ内に存在する必要があります。 適切なウイルス対策プログラムはすべて、感染したプログラムのダウンロード中にそのようなウイルスを検出できます。 ステルス ウイルスの良い例は、最初に文書化された DOS ウイルスの 1 つである Brain です。 このブート ウイルスは、すべてのディスク システムの I/O 操作を監視し、システムが感染したブート セクタを読み取ろうとするたびに呼び出しをリダイレクトしました。 この場合、システムはブート セクターからではなく、ウイルスがこのセクターのコピーを保存した場所から情報を読み取ります。 ステルス ウイルスは、Number、Beast、および Frodo ウイルスでもあります。 プログラマの用語では、これらはメイン DOS 割り込みである割り込み 21H をインターセプトします。 したがって、ウイルスの存在を検出できるユーザー コマンドはすべて、ウイルスによってメモリ内の特定の場所にリダイレクトされます。 このおかげで、ユーザーはウイルスに「気づく」ことができません。 一般に、ステルス ウイルスはサイズが目に見えないか、読み取ることができません。 目に見えないサイズのウイルスは、ファイルに感染するウイルスのサブタイプに属します。 このようなウイルスは、ファイル内に本体を挿入するため、ファイルのサイズが増加します。 ただし、ウイルスはファイル サイズ情報を変更するため、ユーザーはウイルスの存在を検出できません。 言い換えれば、システムは、感染したファイルの長さが通常の (感染していない) ファイルの長さと等しいことを示します。 読み取ることができないウイルス (Stoned.Monkey など) は、感染したブート レコードまたはファイルの読み取り要求を傍受し、ウイルスによって変更されていない元の情報を応答として提供します。 ここでも、ユーザーはウイルスの存在を検出できません。 ステルス ウイルスは非常に簡単に検出できます。 ほとんどの標準的なウイルス対策プログラムはステルスウイルスを捕捉します。 これを行うには、ウイルスがマシンのメモリに配置される前にウイルス対策プログラムを実行するだけで十分です。 クリーン ブート フロッピーからコンピュータを起動し、ウイルス対策プログラムを実行する必要があります。 すでに述べたように、ステルス ウイルスは、メモリ内にすでに配置されている場合にのみ自らを偽装できます。 そうでない場合、ウイルス対策プログラムはハード ドライブ上のそのようなウイルスの存在を簡単に検出します。
- 4. 遅いウイルスは、オペレーティング システムによって変更またはコピーされたファイルにのみ感染するため、検出が非常に困難です。 言い換えれば、遅いウイルスはあらゆる実行可能ファイルに感染し、ユーザーがこのファイルに対して何らかの操作を実行した瞬間に感染します。 たとえば、フロッピー ディスクのブート レコードを変更するシステム コマンド (FORMAT や SYS など) を実行すると、遅いウイルスがこのレコードに感染する可能性があります。 遅いウイルスは、ソース ファイルには感染せずに、ファイルのコピーに感染する可能性があります。 最も有名な遅いウイルスの 1 つは Darth_Vader で、COM ファイルの書き込み中にのみ感染します。
遅いウイルスの検出はかなり複雑なプロセスです。 Integrity Guardian は新しいファイルを検出し、ファイルにチェックサム値がないことをユーザーに通知する必要があります。 Integrity Guardian は、ハード ドライブの内容と、そこにある各ファイルのサイズとチェックサムを監視するウイルス対策プログラムです。 管理者がコンテンツまたはサイズの変更を検出した場合、直ちにユーザーに通知します。 ただし、ユーザー自身が新しいファイルを作成した場合にもメッセージが発行されます。 したがって、ユーザーは整合性保持者に新しい (感染した) ファイルの新しいチェックサムを計算するように指示する可能性が高くなります。
遅いウイルスに対する最も効果的な解決策は、整合性シェルです。 整合性シェルは、常駐する整合性ガーディアンです。 これらは常にコンピュータのメモリ内に存在し、新しいファイルの作成を監視するため、ウイルスが侵入する可能性は事実上ありません。 整合性をチェックするもう 1 つの方法は、トラップを作成することです。 ここでは、特別なウイルス対策プログラムが、特定の内容を含む複数の COM ファイルと EXE ファイルを作成します。 次に、プログラムはこれらのファイルの内容をチェックします。 遅いウイルスが感染した場合、ユーザーはすぐにそれを知ります。 たとえば、遅いウイルスがファイル コピー プログラムを監視している可能性があります。 DOS がコピー要求を満たした場合、ウイルスはその本体をファイルの新しいコピーに配置します。
- 5. レトロ ウイルスは、ウイルス対策プログラムを回避または妨害しようとするウイルスです。 言い換えれば、これらのウイルスはウイルス対策ソフトウェアを攻撃します。 コンピュータの専門家は、レトロ ウイルスをアンチウイルスと呼びます。 (アンチウイルスとアンチウイルス ウイルス、つまり他のウイルスを破壊するように設計されたウイルスを混同しないでください。) レトロ ウイルスの作成は比較的簡単な作業です。 結局のところ、ウイルス作成者はすべてのウイルス対策プログラムにアクセスできます。 このようなプログラムを購入することで、彼らはその動作を研究し、防御の隙間を見つけ、発見されたエラーに基づいてウイルスを作成します。 ほとんどのレトロ ウイルスは、ウイルス シグネチャ データを含むファイルを検索して削除します。 したがって、このファイルを使用していたウイルス対策プログラムは正常に機能できなくなります。 より複雑なレトロウイルスは、ファイルの整合性に関する情報を含むデータベースを検索して削除します。 このようなデータベースを削除すると、Integrity Guardian に対して、ウイルス対策プログラムでウイルス署名のあるファイルを削除するのと同じ影響があります。 多くのレトロ ウイルスは、ウイルス対策プログラムのアクティブ化を検出し、プログラムから隠れるか、その実行を停止します。 さらに、ウイルス対策プログラムがその存在を検出する前に、破壊手順を開始することができます。 一部のレトロウイルスはウイルス対策コンピューティング シェルを変更し、ウイルス対策プログラムの実行に影響を与えます。 さらに、ウイルス対策ソフトウェアの欠陥を利用して、プログラムの速度を低下させたり、プログラムの有効性を無効にしたりするレトロ ウイルスもあります。
- 6. 複合ウイルスは、実行可能ファイルとディスクのブート セクタの両方に感染します。 さらに、フロッピー ディスクのブート セクタにも感染する可能性があります。 さまざまな方法でコンピュータに感染するため、この名前が付けられました。 つまり、1 つのファイル タイプや特定のディスクの場所に限定されません。 感染したプログラムを実行すると、ウイルスがハード ドライブのブート レコードに感染します。 次回マシンの電源を入れると、ウイルスがアクティブになり、実行中のすべてのプログラムに感染します。 最も有名な複合ウイルスの 1 つは One-Half で、ステルス ウイルスと多型ウイルスの特徴を備えています。
- 7. 兵器化されたウイルスは特別なコードを使用して自らを保護するため、ウイルスの追跡と分解が非常に困難になります。 武装ウイルスは自分自身を守るために「ダミー」を使用することがあります。 これは、ウイルス対策プログラムの開発者を実際のウイルス コードからそらすことを可能にするコードです。 さらに、ウイルスには、実際にはそこには存在しないにもかかわらず、ウイルスが 1 つの場所に存在することを示す特別なフラグメントが含まれる場合があります。 最も有名な兵器化ウイルスの 1 つは Whale です。
- 8. ウイルスは仲間です。 これらのウイルスは、感染するファイルと並行して、同じ名前で拡張子が異なるファイルを作成することからその名前が付けられました。 たとえば、コンパニオン ウイルスはその本体をファイル winword.com に保存する場合があります。 このおかげで、winword.exe ファイルを起動する前に、オペレーティング システムは winword.com ファイルを起動し、このファイルはコンピュータのメモリ内に配置されます。 通常、コンパニオン ウイルスはファージ ウイルスによって生成されます。
- 9. 最後の古典的なタイプのウイルスはファージ ウイルスです。 ファージ ウイルスは、他のプログラムやデータベースを変更するプログラムです。 コンピューターの専門家は、これらのウイルスが生きた微生物のように動作するため、ファージと呼んでいます。 自然界では、ファージ ウイルスは、細胞の内容物をそれ自体のものに置き換える特に有害な微生物です。 通常、ファージはプログラム テキストを独自のコードに置き換えます。 ほとんどの場合、それらはコンパニオン ウイルスの生成者です。 ファージは最も危険な種類のウイルスです。 実際、彼らは増殖して他のプログラムに感染するだけでなく、感染したプログラムをすべて破壊しようとします。
- 10. ワーム。 このコースの最初の章で、80 年代後半に出現した有名なインターネット ワームについてすでに説明しました。 すでに述べたように、インターネット ワーム (Morris ワームとも呼ばれます) は、インターネットに感染した最初のウイルスでした。 このウイルスは、コンピュータのメモリ内に自分自身の膨大なコピーを作成することにより、コンピュータの動作を不可能にしました。 ワームは感染したコンピュータを停止させようとするため、ウイルスの作成者はワームにネットワークを介してあるマシンから別のマシンに移動する能力を与えなければなりません。 第 2 章で説明したプロトコルとシステムを使用して、ワームがどのように自分自身を他のコンピュータにコピーするかについてはすでに説明しました。 リモート再生が必要なのは、マシンを停止した後、ユーザーはハードドライブ上のすべてのウイルスを駆除しようとするためです。 ワームは拡散するためにホスト プログラムを変更する必要はありません。 ワームが適切に機能するには、リモート実行機能を提供し、受信したプログラムをコンピュータ上で実行できるようにするオペレーティング システムが必要です。 1988 年には、そのような機能を備えたオペレーティング システムは Unix だけでした。 最近まで、多くのパーソナル コンピュータはワームに感染できませんでした。DOS も Windows 95 もこれを許可していませんでしたが、Windows NT にはすでにリモート実行機能があるため、ワーム ウイルスの動作をサポートできます。
インターネット上で最も一般的なウイルスの 1 つは WINSTART です。 この名前は、通常、ウイルスの本体が存在するファイル名 winstart.bat に由来しています。 このワームは、他の多くのワームと同様に、オペレーティング システムが無効になるまでマシンのメモリに自分自身をコピーします。 この後、コンピュータは自動的にフリーズします。 ウイルスは実行中、同時に次の被害者を探します。 皮肉なことに、ワームは特定の種類のウイルスであるだけでなく、非常に便利なウイルス対策ツールでもあります。 ほとんどの標準的な監査ツールや整合性ガーディアンの欠点は、ウイルスの被害に遭う可能性があることです。 ただし、セキュリティ情報とプログラムを分離された不変のメディアに保存することは可能です。 WORM ディスクはこれらの目的に最適です。 (「Write-once, Read-Many」 - 1 つのレコード、複数の読み取り。英語の worm は虫と訳されます。 - 翻訳者注)。 通常、WORM ディスク ドライブは、複数の WORM ディスクを処理できる光ストレージ デバイスです。
オルジョニキゼ県教育局
コンピュータウイルス
コンピューターサイエンスに関する要約
執行者:
ノビコフ・アレクサンダー
9「B」クラス
監督者:
ナジモワ・エレナ・アナトリエフナ
IT教師
エカテリンブルク 1999
コンピュータウイルスとは何ですか?
コンピュータ ウイルスは、他のプログラムに「帰属」し、コンピュータ上でさまざまな望ましくない動作を実行する、特別に作成された小さなプログラムです。 ウイルスを含むプログラムを「感染した」といいます。 このようなプログラムが動作し始めると、まずウイルスが制御を奪います。 このウイルスは他のプログラムを見つけて「感染」し、また、いくつかの有害な動作も実行します (たとえば、ディスク上のファイルやファイル アロケーション テーブルを破損したり、RAM を「詰まらせたり」します)。 ウイルスは、自己複製能力を持つプログラムです。 この能力は、あらゆる種類のウイルスに固有の唯一の特性です。 ウイルスは「完全に孤立」して存在することはできません。 これは、今日では、他のプログラムのコード、ファイル構造に関する情報、さらには他のプログラムの名前だけを何らかの形で使用しないウイルスを想像することは不可能であることを意味します。 この理由は非常に明らかです。ウイルスは何らかの方法で提供する必要があります。
自分自身にコントロールを移すこと。
コンピュータウイルスの主な種類
異なるウイルス対策ソフトウェア開発者の分類において、同じウイルスが認識できないほど異なる名前を持つという状況を避けるために、コンピューター ウイルスを分類し、それらに名前を付けるための完全に正式なシステムがあります。 とはいえ、ウイルスの名前や特徴はまだ完全に統一されているとは言えません。 これは主に、いくつかの「ゲームのルール」が策定された時点で、独自の表記システムで動作するウイルス対策ツールがすでに存在していたという事実によって決定されます。 一般的な統合には多大な労力と、プログラムやドキュメントの変更が必要になります。 多くの場合、これが行われました。 平均的なユーザーは、攻撃対象、感染方法、発現の特徴など、ウイルスの機能のすべての複雑さを掘り下げる必要はないという事実から話を進めます。ただし、ウイルスの種類を知っておくことをお勧めします。彼らの仕事の全体的なスキームを理解することです。
さまざまなウイルスの中で、次の主要なグループを区別できます。
– ブートウイルス; これは、フロッピー ディスクやハード ドライブのブート セクタに感染するウイルスに付けられた名前です。
– ファイルウイルス。最も単純なケースでは、このようなウイルスは実行可能ファイルに感染します。 ブート ウイルスに関してすべてが多かれ少なかれ明らかであるとすれば、ファイル ウイルスはそれほど明確ではない概念です。 たとえば、ファイル ウイルス (サテライト ウイルスや Dir-II ファミリーのウイルス) はファイルをまったく変更しない可能性があると言うだけで十分です。
– ブートファイルウイルス。このようなウイルスは、ブート セクター コードとファイル コードの両方に感染する能力を持っています。 このようなウイルスはそれほど多くはありませんが、その中には非常に邪悪な例があります (たとえば、有名な OneHalf ウイルス)。
いわゆるウイルスと書かれています。 マクロ言語、形式的にはファイルベースですが、実行可能ファイルには感染しません。 データファイルただし、感染できるように設計されています。これはすでにソフトウェア発行者の良心に従っています。
破損したファイルや感染したファイル
コンピュータウイルスは腐敗する可能性があります。 コンピュータ上で使用可能なディスク上のファイルを適切に変更します。 ただし、ファイルの種類によってはウイルスに感染する可能性があります。 これは、ウイルスがこれらのファイルに自分自身を「挿入」できることを意味します。 特定の状況下で機能し始めるウイルスが含まれるようにそれらを変更します。
プログラムやドキュメントのテキスト、データベース情報ファイル、テーブル プロセッサ テーブル、およびその他の同様のファイルはウイルスに感染することはなく、破壊されるだけであることに注意してください。
次の種類のファイルはウイルスに感染する可能性があります。
1. 実行可能ファイル、それらの。 名前拡張子が .COM および .EXE のファイル、および他のプログラムの実行時にロードされるオーバーレイ ファイル。 感染した実行可能ファイル内のウイルスは、そのウイルスが存在するプログラムが起動されると活動を開始します。 最も危険なのは、起動後にメモリ内に常駐するファイル ウイルスです。ファイルに感染し、コンピュータが次回再起動されるまで害を及ぼす可能性があります。 また、AUTOEXEC.BAT または CONFIG.SYS ファイルから起動されるプログラムに感染すると、ハード ドライブから再起動するとウイルスが再び動作し始めます。
2. オペレーティング システム ローダーとマスター ブート
ハードディスク録画。これらの領域はブート ウイルスの影響を受けます。
このようなウイルスは、コンピュータが起動して常駐するときに活動を開始します。 コンピュータのメモリに永久に保存されます。 配布メカニズムは、コンピュータに挿入されたフロッピー ディスクのブート レコードの感染です。 多くの場合、このようなウイルスは 2 つの部分で構成されます。これは、ブート レコードとマスター ブート レコードのサイズが小さく、ウイルス プログラム全体を収容することが難しいためです。 これらに収まらないウイルスの部分は、ディスクの別の部分、たとえば、ディスクのルート ディレクトリの末尾、またはディスクのデータ領域のクラスター (通常はそのような場所) にあります。データがディスクに書き込まれるときにウイルス プログラムが上書きされないように、クラスターには欠陥があると宣言されます。
3. デバイスドライバー、それらの。 CONFIG.SYS ファイルのデバイス アプリケーションで指定されたファイル。 これらに含まれるウイルスは、対応するデバイスがアクセスされるたびに活動を開始します。 ドライバーがあるコンピューターから別のコンピューターに書き換えられることはほとんどないため、デバイス ドライバーに感染するウイルスは非常にまれです。 同じことが DOS システム ファイルにも当てはまります。理論的には感染も可能ですが、配布には効果がありません。
原則として、特定の種類のウイルスはそれぞれ 1 種類または 2 種類のファイルにのみ感染します。 最も一般的なウイルスは、実行可能ファイルに感染するウイルスです。 一部のウイルスは .COM ファイルにのみ感染し、一部のウイルスは .EXE ファイルにのみ感染し、ほとんどは両方に感染します。 2 番目に一般的なウイルスはブート ウイルスです。 一部のウイルスは、ファイルとディスクのブート領域の両方に感染します。 デバイス ドライバーに感染するウイルスは非常にまれですが、通常、このようなウイルスは実行可能ファイルに感染する可能性があります。
ファイルシステムを変更するウイルス
最近、ディスク上のファイル システムを変更する新しいタイプのウイルスが蔓延しています。 これらのウイルスは通常、Dir と呼ばれます。 このようなウイルスは、その本体をディスクの一部 (通常はディスクの最後のクラスター) に隠し、ファイル アロケーション テーブル (FAT) 内でファイルの終わりとしてマークします。 すべての .COM および .EXE ファイルでは、対応するディレクトリ要素に含まれるファイルの最初のセクションへのポインタが、ウイルスが含まれるディスクのセクションへのリンクに置き換えられ、エンコードされた正しいポインタがファイル内に隠されます。ディレクトリ要素の未使用部分。 したがって、プログラムが起動されると、ウイルスがメモリにロードされ、その後メモリ内に常駐し、DOS プログラムに接続してディスク上のファイルを処理し、
ディレクトリ要素へのすべての呼び出しに正しいリンクを提供します。
したがって、ウイルスが実行されているとき、ディスク上のファイル システムは完全に正常に見えます。 「クリーンな」コンピュータ上で感染したディスクを表面的に観察しただけでは、何もおかしな点は見つかりません。 ただし、感染したフロッピー ディスクからプログラム ファイルを読み取ったりコピーしたりする場合は、ファイルがはるかに長い場合でも、読み取られるかコピーされるのは 512 バイトまたは 1024 バイトだけです。 そして、そのようなウイルスに感染したディスクから実行可能プログラムを実行すると、そのディスクはまるで魔法のように動作しているように見え始めます (コンピュータが感染するので当然のことですが)。
ChkDsk または NDD プログラムを使用して「クリーンな」コンピュータで分析すると、Dir ウイルスに感染したディスクのファイル システムは完全に破損しているように見えます。 したがって、ChkDsk プログラムは、ファイルの交差 (「... クラスター上で相互リンクされている...」) および失われたクラスターのチェーン (「... 失われたクラスターが ... チェーンで見つかりました」) に関する大量のメッセージを生成します。 これらのエラーを ChkDsk または NDD プログラムで修正しないでください。修正すると、ディスクが絶望的に損傷することになります。 これらのウイルスに感染したディスクを修復するには、特別なウイルス対策プログラム (Aidstest の最新バージョンなど) のみを使用する必要があります。
「目に見えないもの」と
自己改変ウイルス
検出を防ぐために、一部のウイルスは非常に狡猾なカモフラージュ技術を使用します。 そのうちの 2 つ、「目に見えない」ウイルスと自己改変ウイルスについて説明します。
「目に見えない」ウイルス。多くの常駐ウイルス (ファイル ウイルスとブート ウイルスの両方) は、感染したファイルやディスク領域への DOS (およびアプリケーション プログラム) の呼び出しを傍受し、それらを元の (感染していない) 形式で表示することで検出を防ぎます。 もちろん、この影響は感染したコンピュータでのみ観察されます。「クリーンな」コンピュータでは、ファイルおよびディスクのブート領域の変更は簡単に検出できます。
一部のウイルス対策プログラムは、感染したコンピュータ上でも「目に見えない」ウイルスを検出できる場合があることに注意してください。 したがって、Dialog-Nauka 社の ADinf プログラムは、DOS サービスを使用せずにこの目的でディスクを読み取り、Dialog-MGU 社の AVSP プログラムは、それをしばらく「無効」にします。
ウイルスチェック (最後の方法は常に機能するとは限りません)。
一部のウイルス対策プログラムは、ウイルスと戦うために、「目に見えない」ファイル ウイルスの機能を使用して、感染したファイルを「修復」します。 感染したファイルから (ウイルスの実行中に) 情報を読み取り、ファイルとしてディスクに書き込みます。この情報は歪みのない形式で保存されます。 次に、「クリーンな」フロッピー ディスクから起動した後、実行可能ファイルは元の形式に復元されます。
自己改変ウイルス。ウイルスが検出を回避するために使用するもう 1 つの方法は、ウイルスの本体を改変することです。 多くのウイルスは本体の大部分をエンコードされた形式で保存するため、逆アセンブラを使用してウイルスの動作メカニズムを理解することはできません。 自己改変ウイルスはこの技術を使用し、多くの場合、このエンコードのパラメータを変更します。さらに、ウイルスの残りのコマンドをデコードするために使用される開始部分も変更します。 したがって、このようなウイルスの体内には、ウイルスを識別できる単一の定常的なバイト連鎖が存在しません。 これにより、当然のことながら、検出プログラムがそのようなウイルスを検出することが困難になります。
ただし、検出プログラムは依然として「単純な」自己書き換えウイルスを検出する方法を学習しています。 これらのウイルスでは、ウイルスのエンコードされた部分を復号化するメカニズムのバリエーションは、特定のコンピューター レジスタ、暗号化定数、「重要ではない」コマンドの追加などの使用にのみ関係します。 また、検出プログラムは、マスクの変更にもかかわらず、ウイルスの開始部分のコマンドを検出するように適応しています。 しかし最近では、非常に複雑な自己改変機構を持ったウイルスが出現しています。 このウイルスでは、ウイルスの開始部分が非常に複雑なアルゴリズムを使用して自動的に生成されます。復号化プログラムの各重要な命令は、数十万の可能なオプションの 1 つによって送信され、すべての Intel-8088 コマンドの半分以上が使用されます。 このようなウイルスを認識する問題は非常に複雑であり、完全に信頼できる解決策はまだ得られていません。 ただし、一部のウイルス対策プログラムには、そのようなウイルスを検出するツールがあり、Dr. Web - 自己書き換えウイルスに典型的な、プログラム コードの「不審な」セクションを検出するためのヒューリスティックな方法でもあります。
コンピュータウイルスに対する基本的な防御方法
ウイルスから保護するには、以下を使用できます。
– 一般的な情報保護ツール。ディスクへの物理的な損傷、プログラムの誤動作、またはユーザーの誤った操作に対する保険としても役立ちます。
– ウイルスに感染する可能性を減らすための予防措置。
ウイルス対策に特化したプログラム。
一般的な情報セキュリティ ツールは、ウイルスからの保護だけではありません。 これらのファンドには主に 2 つのタイプがあります。
情報をコピーする – ファイルとシステムディスク領域のコピーを作成します。
アクセス制御 情報の不正使用を防止し、特にウイルスによるプログラムやデータの変更、プログラムの誤動作、ユーザーの誤った操作から保護します。
一般的な情報セキュリティ対策はウイルスから守るために非常に重要ですが、それだけではまだ十分ではありません。 ウイルスから保護するために特別なプログラムを使用することも必要です。 これらのプログラムは、ディテクター、ドクター (ファージ)、オーディター (ファイルおよびディスクのシステム領域の変更を監視するプログラム)、ドクターオーディター、フィルター (ウイルスから保護するための常駐プログラム)、およびワクチン (イムナイザー) のいくつかのタイプに分類できます。 これらの概念を簡単に定義してから、詳細に検討してみましょう。
検出器プログラム いくつかの既知のウイルスのいずれかに感染したファイルを検出できます。
医師プログラム 、 または ファージ 、感染したプログラムまたはディスクからウイルスの本体を「噛み出す」ことによって、感染したプログラムまたはディスクを「処理」します。 プログラムをウイルス感染前の状態に復元します。
監査員プログラム まず、プログラムの状態とディスクのシステム領域に関する情報を記憶し、その状態を元の状態と比較します。 不一致が検出された場合は、ユーザーに通知されます。
医師・検査官 – これらは監査人と医師のハイブリッドです。つまり、 ファイルやディスクのシステム領域の変更を検出するだけでなく、変更があった場合には自動的に元の状態に戻すプログラム。
フィルタープログラム これらはコンピュータの RAM に常駐し、ウイルスが複製して害を及ぼすために使用するオペレーティング システムへの呼び出しを傍受し、ユーザーに報告します。
ワクチンプログラム または 予防接種者 、プログラムの動作に影響を与えないようにプログラムやディスクを変更しますが、ワクチン接種の対象となるウイルスは、これらのプログラムやディスクがすでに感染しているものとみなします。 これらのプログラムは非常に非効果的であるため、これ以上検討されません。
探知プログラムと医師
ほとんどの場合、コンピュータに感染したウイルスを検出するために、すでに開発された検出プログラムを見つけることができます。 これらのプログラムは、ユーザーが指定したドライブ上のファイルに、特定のウイルスに固有のバイトの組み合わせが含まれているかどうかを確認します。 いずれかのファイルで検出された場合、対応するメッセージが画面に表示されます。 多くの検出器には、感染したファイルを修復または破壊するためのモードがあります。
検出プログラムは「既知の」ウイルスのみを検出できることを強調しておく必要があります。 McAfee Associates の Scan プログラムと D.N. Lozinsky の Aidstest を使用すると、約 1000 種類のウイルスを検出できますが、合計すると 5000 種類以上のウイルスが存在します。 Norton AntiVirus や Dialog-MGU の AVSP などの一部の検出プログラムは、新しいタイプのウイルス用に構成できます。これらのウイルスに固有のバイトの組み合わせを指定するだけで済みます。 しかし、これまで未知のウイルスを検出できるプログラムを開発することは不可能です。
したがって、プログラムが検出器によって感染していると認識されないという事実は、そのプログラムが正常であることを意味するわけではありません。プログラムには、検出器プログラムには知られていない、新しいウイルスまたは古いウイルスのわずかに変更されたバージョンが含まれている可能性があります。
監査員プログラム
監査プログラムには 2 つの作業段階があります。 まず、プログラムの状態とディスクのシステム領域 (ブート セクターとハードディスク パーティション テーブルのあるセクター) に関する情報を記憶します。 現時点ではプログラムやシステムディスク領域は感染していないと想定されます。 その後、監査プログラムを使用すると、いつでもプログラムやシステムディスク領域の状態を元の状態と比較できます。 特定されたものについて
不一致はユーザーに報告されます。
多くのユーザーは、監査プログラムを実行するコマンドを AUTOEXEC.BAT バッチ ファイルに含めて、オペレーティング システムが起動するたびにプログラムとディスクのステータスがチェックされるようにしています。 これにより、まだ大きな被害を引き起こしていないコンピュータ ウイルス感染を検出できます。 さらに、同じ監査プログラムはウイルスによって損傷したファイルを見つけることができます。
フィルタープログラム
コンピュータ ウイルスのような現象が発生する可能性がある理由の 1 つは、MS DOS オペレーティング システムに不正アクセスから情報を保護する効果的な手段がなかったことです。 保護手段がないため、コンピュータ ウイルスは、気付かれずにプログラムを変更したり、ファイル アロケーション テーブルを破損したりする可能性があります。
この点に関して、さまざまな企業やプログラマーが、ウイルスから保護するためのフィルター プログラム、つまり常駐プログラムを開発してきました。これにより、DOS のこの欠点がある程度補われます。 これらのプログラムはコンピュータの RAM に常駐し、ウイルスが複製して害を及ぼすために使用するオペレーティング システムへの呼び出しを「傍受」します。 このような「疑わしい」アクションには、特に、.COM および .EXE ファイルの変更、ファイルからの「読み取り専用」属性の削除、ディスクへの直接書き込み (絶対アドレスへの書き込み)、ディスクのフォーマット、「常駐」のインストールなどがあります。 (RAM に永続的に配置される) プログラム。
不審ではないアクションが要求されるたびに、どのようなアクションが要求され、どのプログラムがそれを実行しようとしているのかを示すメッセージがコンピュータ画面に表示されます。 このアクションは許可することも無効にすることもできます (図 1)。
一部のフィルタ プログラムは、不審なアクションを「捕捉」しませんが、実行のために呼び出されるプログラムにウイルスがないかチェックします。 これにより、当然のことながら、コンピュータの速度が低下します。
フィルタ プログラムによって提供される保護の程度は過大評価すべきではありません。多くのウイルスは、割り込みを通じてこれらのプログラムを呼び出す標準的な方法を使用せずに、オペレーティング システム プログラムに直接アクセスして複製して害を及ぼし、常駐プログラムはこれらの割り込みのみを傍受して保護するからです。ウイルスに対して。 さらに、フィルタ プログラムは、ブート セクタを通じて広がるウイルスによるハード ドライブの感染に対しては役に立ちません。このような感染は DOS のロード時に発生するためです。 プログラムを実行したりドライバーをインストールしたりする前に。
ただし、フィルター プログラムを使用する利点は非常に重要です。フィルター プログラムを使用すると、ウイルスがまだ増殖して害を及ぼす時間がない非常に早い段階で多くのウイルスを検出できます。 こうすることで、ウイルスによる損失を最小限に抑えることができます。
できること、できないこと
コンピュータウイルス
コンピュータウイルスの動作メカニズムについての無知のために、またさまざまな噂や報道機関の無能な出版物の影響下で、いわゆるウイルスに対する独特の恐怖複合体が作られることがよくあります。 「ウイルス恐怖症」。 この複合体には 2 つの症状があります。
1. コンピュータ上のあらゆるデータ破損や異常な現象がウイルスのせいであると考える傾向。 たとえば、フロッピー ディスクをフォーマットできません。「ウイルス恐怖症」の場合、これはフロッピー ディスクまたはドライブの欠陥の可能性ではなく、ウイルスの影響です。 ハードドライブに不良ブロックが現れた場合、もちろんこれもウイルスのせいです。 実際、コンピュータ上の異常な現象は、ユーザー エラー、プログラム エラー、またはハードウェアの欠陥によって引き起こされることがほとんどです。
2. ウイルスの能力に関する誇張された考え。 たとえば、コンピュータがウイルスに感染するには、感染したフロッピー ディスクをドライブに挿入するだけで十分だと考える人もいます。 また、接続されたコンピュータについては、
ネットワークに接続したり、同じ部屋にいるだけで、1 台のコンピュータに感染すると、すぐに残りのコンピュータにも感染することになります。
ウイルス恐怖症の最善の治療法は、ウイルスがどのように機能するか、何ができて何ができないかを知ることです。 ウイルスは通常のプログラムであり、超自然的な動作を実行することはできません。
コンピュータがウイルスに感染するには、ウイルスを含むプログラムがそのコンピュータ上で少なくとも 1 回実行される必要があります。 したがって、コンピュータの最初のウイルス感染は、次のいずれかの場合に発生する可能性があります。
– .COM または .EXE タイプの感染したプログラム、または感染したオーバーレイ プログラム モジュールがコンピュータ上で実行された。
– コンピュータは、感染したブート セクタを含むフロッピー ディスクから起動されました。
感染したオペレーティング システムまたは感染したデバイス ドライバーがコンピューターにインストールされた。
したがって、次の場合にはコンピュータがウイルスに感染することを心配する必要はありません。
プログラムのテキスト、文書、データベースやテーブルプロセッサの情報ファイルなどをコンピュータ上にコピーします。 これらのファイルはプログラムではないため、ウイルスに感染することはありません。
感染していないコンピュータでは、ファイルはフロッピー ディスクから別のフロッピー ディスクにコピーされます。 コンピュータが「正常」であれば、コンピュータ自体も、コピーされるフロッピー ディスクもウイルスに感染することはありません。 この状況でウイルスを感染させる唯一の選択肢は、感染したファイルをコピーすることです。この場合、もちろんそのコピーも「感染」しますが、コンピュータも他のファイルも感染しません。
ワード プロセッサ、スプレッドシート プロセッサ、データベース管理システム、および感染していないコンピュータのハード ドライブ上で利用可能なその他のプログラムを使用して、フロッピー ディスクに含まれる情報ファイルが処理されます。
ウイルスに感染した場合の対処方法
コンピュータがウイルスに感染している場合 (またはウイルスの疑いがある場合)、4 つのルールに従うことが重要です。
まず第一に、急いで性急な決定を下す必要はありません。軽率な行動は、復元可能な一部のファイルを失うだけでなく、コンピュータの再感染につながる可能性があります。
2. すぐに実行する必要があるアクションが 1 つあります。ウイルスが破壊的な動作を継続しないように、コンピュータの電源を切る必要があります。
3. 感染の種類を検出してコンピュータを治療するすべてのアクションは、オペレーティング システムがインストールされた書き込み保護された「参照」フロッピー ディスクからコンピュータを起動する場合にのみ実行する必要があります。 この場合、書き込み保護されたフロッピー ディスクに保存されているプログラム (実行可能ファイル) のみを使用してください。 この規則に従わないと、非常に深刻な結果につながる可能性があります。DOS をロードしたり、感染したディスクからプログラムを実行したりするときに、コンピュータ内でウイルスが活性化する可能性があり、ウイルスが実行されている場合、コンピュータを治療しても意味がありません。 ディスクやプログラムのさらなる感染が伴います。
4. ウイルスから保護するために常駐フィルタ プログラムを使用すると、ウイルスが他のプログラムに感染してファイルを破損する前の非常に早い段階で、プログラム内のウイルスの存在を検出できます。 この場合、フロッピー ディスクから DOS を再起動し、感染したプログラムを削除してから、このプログラムを参照フロッピー ディスクから書き直すか、アーカイブから復元する必要があります。 ウイルスが他のファイルを破損していないかどうかを確認するには、できればスキャン対象のファイルの幅広いリストを使用して、監査プログラムを実行してファイルの変更をチェックする必要があります。 スキャン プロセス中にコンピュータが感染し続けるのを避けるには、フロッピー ディスクにある監査プログラムの実行可能ファイルを実行する必要があります。
コンピューター治療。すでにウイルスがコンピュータのディスク上の一部のファイルに感染または破損している場合は、次の手順を実行する必要があります。
事前に準備した参照フロッピー ディスクを使用して DOS オペレーティング システムを再起動します。 このフロッピー ディスクには、コンピュータ ウイルスの回復に使用される他のフロッピー ディスクと同様、ウイルスがフロッピー ディスク上のファイルに感染したり破損したりするのを防ぐために、書き込み禁止ラベルが貼られている必要があります。 再起動はキーボード ショートカットを使用して実行しないでください。 Ctrl+Alt+Del、 なぜなら 一部のウイルスは、このような再起動でもなんとか「生き残る」ことができます。
コンピュータに構成プログラム (コンピュータの起動時に特定のキーの組み合わせを押すと呼び出されます) がある場合は、このプログラムを実行して、コンピュータの構成設定が正しく設定されているかどうかを確認する必要があります。 ウイルスによって破損している可能性があります。 正しくインストールされていない場合は、再インストールする必要があります。
コンピュータに感染するウイルスを検出する検出プログラムがある場合は、これらのプログラムを実行してコンピュータのディスクをスキャンする必要があります。 必要なプログラムを見つけるには、既存の検出プログラムを 1 つずつ実行して感染ディスクをスキャンします (確認なしに感染ファイルを駆除または削除する検出プログラムのモードは使用しないことをお勧めします)。 まず、Scan や Aidstest など、複数のウイルスを同時に検出するプログラムを実行するのが合理的です。 いずれかの検出プログラムがウイルスを発見したと報告した場合は、以下で説明するように、コンピューターのウイルス感染による影響を排除するプロセスでそのプログラムを使用する必要があります。 ただし、コンピュータは一度に複数のウイルスに感染することが非常に多いため、1 つのウイルスを発見したとしても、コンピュータ内に 2 つ目、3 つ目のウイルスが存在する可能性があることに注意してください。
次に、以下で説明するように、ウイルスに感染している可能性のあるすべてのディスクを順番に無効化する必要があります。 コンピュータのハード ドライブが複数の論理ドライブに分割されている場合、フロッピー ディスクから起動するときにアクセスできるのは 1 つの論理ドライブ (DOS オペレーティング システムがロードされている論理ドライブ) のみであることに注意してください。 この場合、まず DOS が起動する論理ドライブを中立化し、次にハード ドライブから起動して他の論理ドライブを中立化する必要があります。
ディスク治療。必要なすべてのファイルのアーカイブされたコピーがディスクにある場合、最も簡単な方法は、ディスクを再フォーマットし、アーカイブされたコピーを使用してそのディスク上のすべてのファイルを復元することです。 ここで、ディスクに必要なファイルが含まれており、そのコピーがアーカイブに存在しないと仮定します。 明確にするために、このディスクはドライブ (B:) 上にあると仮定します。 次のことを行う必要があります。
コンピュータが感染しているウイルスを検出するディスクの検出プログラムを実行します (どの検出プログラムがウイルスを検出するかが不明な場合は、いずれかの検出プログラムがウイルスを検出するまで検出プログラムを 1 つずつ実行する必要があります)。 この場合、治療計画を立てない方が良いでしょう。
検出プログラムがブート ウイルスを検出した場合は、その治療モードを安全に使用してウイルスを除去できます。 Dir のようなウイルスが検出された場合は、何らかのウイルス対策プログラムを使用して削除する必要がありますが、NDD や ChkDsk などのプログラムを使用してはいけません。
ディスク上に Dir タイプのウイルスがないことがわかったので、ファイル システムと表面の整合性をチェックできます。
NDD プログラムを使用してディスクを作成します: NDD B: C。 ファイル システムへの損傷が重大な場合は、必要なすべてのファイルをディスクからフロッピー ディスクにコピーし、そのコピーがアーカイブに存在しないことをお勧めします。ディスク。 ディスクのファイル構造が複雑な場合は、Norton Utilites の DiskEdit プログラムを使用して修正を試みることができます。
監査プログラム用にディスク上のファイルに関する情報が保存されている場合は、監査プログラムを実行してファイルの変更を診断すると便利です。 これにより、どのファイルがウイルスに感染しているか破損しているかを判断できます。 監査プログラムが医師の機能も実行する場合は、破損したファイルを復元することを信頼できます。
ディスクから不要なファイルをすべて削除し、コピーがアーカイブ内にあるファイルも削除します。 ウイルスによって変更されていないファイル (これは監査プログラムを使用してインストールできます) は削除する必要はありません。
いかなる状況でも、監査プログラムによって変更されたことが報告される .COM および .EXE ファイルをディスク上に残さないでください。 ウイルスによって変更されたかどうか不明な .COM および .EXE ファイルは、どうしても必要な場合にのみディスク上に残しておく必要があります。
処理しているディスクがシステム ディスクである場合 (つまり、そこから DOS オペレーティング システムをブートできる場合)、ブート セクタとオペレーティング システム ファイルをそのディスクに再書き込みする必要があります。 これは SYS コマンドを使用して実行できます。
コンピュータがファイル ウイルスに感染し、医師検査官の助けを借りて治療を行っていない場合は、医師プログラムを実行してこのディスクを治療する必要があります。 ドクター プログラムが復元できなかった感染ファイルは破棄する必要があります。 もちろん、もし
関連する抄録。
コンピュータウイルス特別に書かれた小さなサイズのプログラム (つまり、特定の実行可能コードのセット) であり、自分自身を他のプログラムに「帰属」させ (「感染」)、自分自身のコピーを作成し、ファイルやコンピュータのシステム領域に挿入することができます。など .d. また、コンピュータ上でさまざまな望ましくないアクションも実行されます。
ネットワーク ウイルスという、ネットワーク上で独自に複製および拡散する悪意のあるソフトウェア製品があります。 これらは、ネットワーク情報、システム情報、およびユーザー情報の両方に影響を与える可能性があります。
コンピューター ウイルスは、次の点で「生物学的」ウイルスとの類似点にその名前が付けられています。
自己複製能力。
伝播速度が速い。
影響を受けるシステムの選択性 (各ウイルスは特定のシステムまたは同種のシステム グループにのみ影響を及ぼします)。
感染していないシステムに「感染」する能力。
ウイルスなどと戦うのが難しい。
重大な結果をもたらしたインターネット コンピュータの大量感染の最も有名な事例は、1988 年 11 月 2 日の緊急事態です。この事件では、モリス ウイルス (WORM) の蔓延の結果、数千台のコンピュータが事実上使用不能になりました。 C言語で書かれた60キロバイトの複雑なプログラム。 このプログラムは、BSD-Unix、VAX、SunOS など、類似しているもののいくつかの異なるオペレーティング システムで動作しました。 1 台のコンピュータに「定着」したウイルスは、このコンピュータに接続されている他のすべてのコンピュータに感染しようとしました。 まず、Telnet、SMTP、または Rexec サービスを使用して接続を確立しようとすることで、次の被害者を発見しようとしました。 接続の相手側でコンピュータが検出された場合、ウイルスは 3 つの方法のいずれかで感染を試みます。 すでに感染しているコンピュータと新たな被害者との間に信頼関係がある場合、Bourne rch コマンド プロセッサの標準コマンドを使用して感染が発生します。 このような関係がない場合、fingerd または sendmail ユーティリティを使用して感染が発生しました。 Fingerd ユーティリティを使用した感染の場合、536 バイトのデータがこのユーティリティの入力バッファに書き込まれました。 バッファオーバーフローが発生した場合、ユーティリティからのリターンコードはウイルスコードの実行命令と同じであることが判明しました。 sendmail コマンドを使用した感染では、デバッグを目的としたこのコマンドの debug オプションが使用されました。 その助けを借りて、被害者のコンピュータにコマンドが入力され、PC へのウイルスのコピーにつながりました。 被害者のコンピュータに侵入した後、ウイルスは Unix パスワード ファイルを発見し、コンピュータの特権ユーザーのパスワードを推測しようとしました。 このウイルスには、いくつかのパスワード分割アルゴリズムが含まれていました。 そのうちの 1 つはユーザー名のさまざまな派生語を使用してパスワードを推測しようとし、もう 1 つは最も一般的なパスワード 432 個の組み込みテーブルを使用し、3 つ目はブルート フォース手法を使用してパスワードを推測しようとしました。 パスワード分割プロセスを高速化するために、ウイルスは複数の並列プロセスを起動しました。 すべてのユーザーのパスワードを受信したウイルスは、それを使用して次のコンピュータをキャプチャしようとしました。 存在してからわずか 1 日以内に、このウイルスは無制限に増殖し、インターネットに接続されている米国内のほとんどの大型コンピュータ システムをその動作により麻痺させました。
1999 年 10 月 16 日、W.COM ネットワーク ワームによる VAX/VMS システムの SPAN ネットワークへの攻撃に関するメッセージがインターネット上に表示されました。 このウイルスは DEC VMS オペレーティング システムにのみ影響し、DECnet ファミリ プロトコルを使用してネットワーク上に拡散しました。 TCP/IP ネットワークには感染の危険はありませんでしたが、カプセル化された DECnet パケットが TCP/IP ネットワーク上で送信された場合、ウイルスが拡散する転送媒体として機能する可能性があります。
W.COM ワームは、実行可能ファイルに独自のコードを追加して変更し、その結果、核兵器開発者に対する脅威が画面に表示されます。 ワームは再現するために、パスワードを持たないユーザー、またはユーザー名と一致するパスワードを持つユーザーをネットワークで検索しました。 そのようなユーザーが見つかると、ワームがそのユーザーに代わって起動され、新しいファイルが変更されました。 最悪の結果は、ワームが特権ユーザーとして実行されたときに発生しました。 この場合、彼は新しいユーザーを作成し、既存のユーザーのパスワードを変更しました。つまり、将来の初期化の条件を作成しました。 他のシステムへの侵入は、ネットワーク アドレスをランダムに検索し、アクティブなユーザーに代わってリモート システムにアクセスすることによって実行されました。
インターネット上のウイルスは、zip などの圧縮ファイルに偽装されることがよくあります。 1995 年に、pkz300B.exe または pkz300B.zip ファイルを消去することが可能だったという兆候が見られました。 起動または解凍すると、自己拡張型アーカイブがアクティブ化され、ハード ドライブが再フォーマットされます。
1999 年に、PGP 暗号化システムのキーを盗むマクロ ウイルスが出現しました。 これは一部の専門家がスパイウェア ウイルスと呼ぶクラスに属します。 これらのウイルスは、他人のコンピュータに保存されている情報を盗む目的で作成されます。 Caligula は、Microsoft Word 形式の感染ドキュメントとともに PC に届きます。 新しい PC にインストールされると、このマクロ ウイルスは PGP ソフトウェアのコピーがインストールされているかどうかを確認します。 このようなシステムが検出されると、そこで使用されている暗号の秘密鍵 (PGP アルゴリズムを使用して暗号化されたデータのセキュリティの観点から最も重要なコンポーネント) がインターネット上の FTP サーバーの 1 つにコピーされます。 。
スービッグ ウイルスは英語で「とても大きい」と訳され、2003 年 8 月 18 日に初めて発表されました。スービッグは新世代のスーパー ウイルスであり、驚異的な拡散力と自己複製能力を備えているため危険です。 彼のバージョンのスービッグは特に危険です - Eph. このウイルスの目的は、電子メールに感染することです。 その特徴は、電子メッセージのテキストの内容を変更し、数百もの異なるメッセージを電子メール経由で個々のコンピュータに攻撃できることです。
2005 年に活動していたウイルスの 1 つは W32.Codbot.AL ワームでした。 このウイルスは、SQL Server LSASS および RPC-DCOM プロセスの既知の脆弱性を悪用して拡散します。 自分自身をコンピュータにインストールするには、システムが起動するたびに実行されるシステム プロセスとして自分自身を登録します。 実行中、さまざまな IRC サーバーに接続し、コマンドを待機します。 このウイルスは、コンピュータ情報の収集、キーストロークの記録、FTP サービスのアクティブ化、さらには他の悪意のあるプログラムのダウンロードと実行など、あらゆる種類のコマンドを受信する可能性があります。
2 番目のワームである W32.Semapi.A は、さまざまなヘッダー、送信者、その他のプロパティを持つメッセージに、さまざまな名前と拡張子の添付ファイルとして電子メール経由で配布されます。 ワームがコンピュータにインストールされると、いくつかのファイルがハード ドライブにコピーされ、コンピュータの電源がオンになるたびにワームが実行されるように一連のレジストリ エントリが作成されます。 次に、影響を受けるコンピュータ上の特定の拡張子を持つすべてのファイルで電子メール アドレスを検索し、自分自身のコピーをそれらのファイルに送信します。
Banker.XP トロイの木馬は、感染したコンピュータ上のさまざまなサービスにアクセスするためのパスワードなどの機密データを取得しようとします。 受信すると、彼はそれらをコンパイルしてハッカーに送信します。
2005 年 6 月、Kaspersky Lab は、有名な自動化システム 1C: Enterprise に影響を与える最初の悪意のあるプログラムの登録を発表しました。 このウイルスはタンガと呼ばれます。
Tanga は、外部レポートを担当し、「ERT」拡張子を持つユーザー ファイルに感染することによって、1C: Enterprise 7.7 システムで拡散します。 Tanga を感染ファイルに配置する方法は、Microsoft Office ソフトウェア パッケージ内のドキュメントやテーブルに感染するマクロ ウイルスと多くの点で似ています。 悪意のあるモジュールは特別なデータ ブロックに配置されており、レポート ファイルが開かれるとアクティブになります。 このウイルスは動作するために特別なライブラリ「Compound.dll」を使用します。 このファイルがシステムに存在しない場合、ウイルスは実行されません。
Tanga のこのバージョンの作成者は、ウイルス対策専門家の仕事の複雑さを理解しており、コード分析の時間と配布による被害を最小限に抑えるためにあらゆる努力を払ったことに注意してください。 これを行うために、ウイルスの作成者はウイルスからあらゆる破壊的な機能を奪い、感染した場合でもプログラムを安全にしました。
コンピュータ ウイルスは次の基準に従って分類できます。
− ウイルスの生息地に応じて:
・ 通信網;
・ ファイル;
· ブーツ。
− 感染方法別:
・ 居住者;
・ 非居住者;
− 破壊能力に応じて:
· 無害。
・無害。
・ 危険な;
・ すごく危ない;
− ウイルスアルゴリズムの特徴による。
全文検索:
ホーム > テスト > 情報学
ロシア連邦教育科学省
ロシア貿易経済大学
カザン研究所(支部)
数学および高等数学学科
テストNo.1
学問分野:「情報学」
コンピュータウイルス
実行:
通信制1年生
特別な部門 学部
「金融と信用」グループ
チェック済み:
カザン、2007
プラン
導入
コンピュータウイルスの本質と発現
コンピュータウイルスの主な種類と種類
ウイルスはどのように広がるのでしょうか?
コンピュータウイルスの検出
5. ウイルス対策について
結論
参考文献
導入
コンピュータウイルス– コンピュータでの作業を妨げる特定のアクションを実行するように設計された特別に作成されたプログラム。 多くのウイルス プログラムは無害ですが、残念ながらすべてが完全に無害というわけではありません。 まず、RAM とディスクのスペースを占有します。 次に、エラーが含まれている可能性があり、システムのクラッシュや再起動につながる可能性があります。 したがって、ウイルスがまったく無害である場合でも、駆除する必要があります。
現在、ウイルスにはいくつかの種類と種類があります。 コンピュータ ウイルスの主な種類は、ソフトウェア ウイルス、ブート ウイルス、マクロ ウイルスです。 現在、5,000 種類を超えるソフトウェア ウイルスが知られており、次の基準に従って分類できます。 生息地の感染方法、アルゴリズムの特徴。
ウイルスがコンピュータに侵入する主な経路は、リムーバブル ディスク (フロッピーやレーザー)、およびコンピュータ ネットワークです。 ウイルスが含まれたフロッピー ディスクからコンピュータを起動すると、ハード ドライブがウイルスに感染する可能性があります。 このような感染は、フロッピー ディスクがシステムのフロッピー ディスクではない場合に、ドライブ A: からフロッピー ディスクが取り外されずにコンピュータが再起動された場合など、偶発的な感染である可能性もあります。 フロッピー ディスクは感染するのがはるかに簡単です。 フロッピー ディスクが感染したコンピュータのディスク ドライブに挿入され、たとえば目次が読み取られただけでも、ウイルスが侵入する可能性があります。 しかし、ウイルスを拡散させる最も一般的な方法は、コンピュータのネットワーク、特にインターネットを介して、ゲームなどの他のプログラムが書き換えられて起動されることです。 かなりまれですが、感染したコンピュータに別のハード ドライブが挿入される場合もあります。 これを回避するには、システムのフロッピー ディスクから起動し、特別なウイルス対策プログラムでハード ドライブをスキャンするか、さらに良い方法として、Fdisk および Format プログラムを使用してディスクのパーティションを作成し、フォーマットします。
ウイルスを識別するために、ウイルスを検出して破壊できる特別なウイルス対策プログラムがあります。 ウイルス対策プログラムにはかなり幅広い選択肢があります。 これらは、Aidstest (Lozinsky)、Dr Web、Norton antivirus for Windows、DSAV kit などです。
コンピュータウイルスの本質と発現
残念なことに、パーソナル コンピュータの普及は、コンピュータの通常の動作を妨害し、ディスクのファイル構造を破壊し、コンピュータに保存されている情報を損傷する自己複製ウイルス プログラムの出現と関連していることが判明しました。 コンピュータ ウイルスが 1 台のコンピュータに侵入すると、他のコンピュータにも広がる可能性があります。
コンピュータウイルスの出現と蔓延の理由は、一方では人間の性格の心理とその影の側面(妬み、復讐、認識されていない作成者の虚栄心)に隠されていますが、他方では、ハードウェアの保護とパーソナル コンピュータのオペレーティング システムからの対抗策。
多くの国でコンピュータ犯罪と闘う法律が制定され、特殊なウイルス対策ソフトウェアが開発されているにもかかわらず、新しいソフトウェア ウイルスの数は増え続けています。 このため、パーソナル コンピュータのユーザーは、ウイルスの性質、ウイルスによる感染方法、およびウイルスからの保護についての知識を持っている必要があります。
ウイルスがコンピュータに侵入する主な経路は、リムーバブル ディスク (フロッピーやレーザー)、およびコンピュータ ネットワークです。 ウイルスが含まれたフロッピー ディスクからコンピュータを起動すると、ハード ドライブがウイルスに感染する可能性があります。 このような感染は、フロッピー ディスクがシステムのフロッピー ディスクではない場合に、ドライブ A: からフロッピー ディスクが取り外されずにコンピュータが再起動された場合など、偶発的な感染である可能性もあります。 フロッピー ディスクは感染するのがはるかに簡単です。 フロッピー ディスクが感染したコンピュータのディスク ドライブに挿入され、たとえば目次が読み取られただけでも、ウイルスが侵入する可能性があります。
コンピュータがウイルスに感染した場合、迅速に検出することが非常に重要です。 そのためには、ウイルスの主な兆候について知っておく必要があります。 これらには次のものが含まれます。
操作の終了、または以前は正常に機能していたプログラムの誤った操作。
コンピューターの動作が遅い。
オペレーティング システムをロードできない。
ファイルやディレクトリの消失、またはその内容の破損。
ファイル変更の日時を変更する。
ファイルのサイズ変更;
ディスク上のファイル数が予期せず大幅に増加。
空き RAM のサイズが大幅に減少します。
予期しないメッセージや画像の表示4
予期せぬ音声信号を発する。
コンピューターが頻繁にフリーズしたりクラッシュしたりする。
ただし、これらすべての兆候に基づいて、ウイルスがコンピュータに侵入したと確信を持って言うことは不可能です。 システムの誤動作やデバッグ不足が原因で、他にも誤動作がある可能性があります。 たとえば、購入したコンピュータでは、起動すると、ロシア語の記号の代わりに、初めて見る理解できない記号が表示されます。 この原因は、ディスプレイのキリル文字ドライバーがインストールされていない可能性があります。 プリンターの奇妙な動作も、同じ理由 (プリンターのドライバーがないこと) で説明される可能性があります。 システム障害は、システムユニット内部またはコード接続の不良マイクロ回路によって引き起こされる可能性があります。
コンピュータウイルスの主な種類と種類
コンピュータ ウイルスの主な種類は次のとおりです。
ソフトウェアウイルス。
ブートウイルス。
マクロウイルス。
コンピュータ ウイルスには、いわゆる トロイの木馬
馬 (トロイの木馬プログラム、トロイの木馬)。
ソフトウェア ウイルス。
ソフトウェア ウイルスは、他のアプリケーション プログラム内に意図的に埋め込まれたプログラム コードのブロックです。 ウイルスを運ぶプログラムを実行すると、プログラムに埋め込まれたウイルス コードが起動されます。
このコードを操作すると、ハード ドライブのファイル システムや他のプログラムの内容に、ユーザーから隠された変更が生じます。 たとえば、ウイルス コードは他のプログラムの本体内で自身を複製することができます。このプロセスはと呼ばれます。 再生。一定時間が経過すると、ソフトウェア ウイルスは十分な数のコピーを作成すると、プログラムやオペレーティング システムの動作を妨害したり、ハード ドライブに保存されている情報を削除したりするなど、破壊的な動作を開始する可能性があります。 このプロセスはと呼ばれます ウイルス攻撃。
最も破壊的なウイルスは、ハードドライブのフォーマットを開始する可能性があります。 ディスクのフォーマットはかなり時間がかかるプロセスであり、ユーザーが気付かないはずがないため、多くの場合、ソフトウェア ウイルスはハードディスクのシステム セクタ内でのみデータを増殖することに限定されており、これはファイル システム テーブルの損失に相当します。 この場合、ハードドライブ上のデータはそのまま残りますが、ディスクのどのセクタがどのファイルに属しているかが不明なため、特別なツールを使用しないと使用できません。 この場合、理論的にはデータを復元することは可能ですが、この作業には非常に多くの労働力がかかる可能性があります。
コンピューターのハードウェアに損害を与えるウイルスは存在しないと考えられています。 ただし、ハードウェアとソフトウェアが相互接続されているため、ハードウェアを交換することでソフトウェアの破損を解決しなければならない場合があります。 たとえば、最新のマザーボードのほとんどでは、基本入出力システム (BIOS) が書き換え可能な読み取り専用メモリ デバイス (いわゆる フラッシュメモリー).
フラッシュ メモリ チップ内の情報を上書きする機能は、一部のソフトウェア ウイルスによって BIOS データを破壊するために使用されます。
この場合、コンピュータの機能を復元するには、BIOS を保存しているチップを交換するか、特別なソフトウェアを使用して再プログラムする必要があります。
ソフトウェア ウイルスは、外部メディア (フロッピー ディスク、CD など) またはインターネットから受け取った未検証のプログラムを実行すると、コンピュータに侵入します。 言葉には特に注意が必要です 起動時。感染ファイルをコピーするだけでは、コンピュータが感染することはありません。 この点に関して、インターネットから受信したすべてのデータは必須の検証を受ける必要があります
セキュリティのため、未知のソースから一方的なデータを受信した場合は、検査せずに破棄する必要があります。 トロイの木馬プログラムを配布する一般的な方法は、有用と思われるプログラムを抽出して実行するための「推奨事項」を電子メールに添付することです。
ウイルスを起動します。
ブート ウイルスは、感染の広がり方がソフトウェア ウイルスとは異なります。 これらはプログラム ファイルではなく、磁気メディア (フロッピーやハード ドライブ) の特定のシステム領域を攻撃します。 さらに、コンピュータの電源が入っているときに、それらを RAM に一時的に配置することができます。
通常、感染は、システム領域にブート ウイルスが含まれている磁気媒体からコンピュータを起動するときに発生します。 たとえば、フロッピー ディスクからコンピュータを起動しようとすると、ウイルスはまず RAM に侵入し、次にハード ドライブのブート セクタに侵入します。 そうなると、このコンピュータ自体がブート ウイルスの配布元になります。
マクロウイルス。
この特殊なタイプのウイルスは、特定のアプリケーション プログラムで実行されるドキュメントに感染します。 いわゆるを実行する手段を持っている マクロコマンド特に、このような文書には Microsoft Word ワードプロセッサ文書が含まれます (拡張子は
博士)。 プログラムでマクロ コマンドを実行する機能が無効になっていない限り、ドキュメント ファイルをプログラム ウィンドウで開くと感染が発生します。
他の種類のウイルスと同様、攻撃の結果は、比較的無害なものから破壊的なものまで多岐にわたります。
コンピュータウイルスの主な種類。
現在、5,000 を超えるソフトウェア ウイルスが知られており、次の基準に従って分類できます (図 1)。
生息地;
生息地の汚染方法。
影響;
アルゴリズムの特徴。
図1コンピュータウイルスの分類:
a – 生息地による。 b – 感染方法による。
c – 影響の程度に応じて。 d – アルゴリズムの機能による。
状況に応じて、 生息地ウイルスは、ネットワーク ウイルス、ファイル ウイルス、ブート ウイルス、およびファイル ブート ウイルスに分類できます。
ネットワークウイルスさまざまなコンピュータネットワーク上に分散されます。
ファイルウイルス主に実行可能モジュールに埋め込まれます。 拡張子が COM および EXE のファイルに。 ファイル ウイルスは他の種類のファイルに埋め込まれる可能性がありますが、原則として、一度そのようなファイルに書き込まれると制御を取得できなくなり、したがって複製する能力を失います。
ブートウイルスディスクのブート セクタ (ブート)、またはシステム ディスク ブート プログラムを含むセクタ (マスター ブート レコード) に埋め込まれています。
ファイルブートウイルスファイルとディスクのブート セクタの両方に感染します。
感染方法別ウイルスは常駐型と非常駐型に分けられます。
常在ウイルスコンピュータに感染すると、その常駐部分が RAM に残り、オペレーティング システムによる感染オブジェクト (ファイル、ブート セクタなど) へのアクセスを傍受し、感染オブジェクトに自身を注入します。 常駐ウイルスはメモリ内に常駐し、コンピュータの電源を切るか再起動するまで活動します。
非常在ウイルスコンピュータのメモリには感染せず、有効期間は限られています。
影響度別ウイルスは次の種類に分類できます。
無害な、コンピュータの動作には干渉しませんが、空き RAM とディスク メモリの量が減少するため、このようなウイルスの動作はグラフィックやサウンド効果として現れます。
危険なコンピュータにさまざまな問題を引き起こす可能性のあるウイルス。
すごく危ないその影響により、プログラムの損失、データの破壊、ディスクのシステム領域の情報の消去が発生する可能性があります。
ウイルスはどのように広がるのでしょうか?
いくつかの方法がありますが、主にフロッピー ディスクを使用します。 コンピュータにウイルスが感染している友人からフロッピー ディスクを受け取った場合、そのフロッピー ディスクも感染している可能性が高くなります。 ここで考えられるオプションは 2 つあります。 1 つ目は、ウイルスがディスクのシステム領域に存在すること、2 つ目は、感染したファイルが 1 つ以上存在することです。 すでに述べたように、ウイルスは制御を取得する必要があるため、システム フロッピー ディスクの場合は、そこから起動するときにコンピュータに感染する可能性があります。 これがシステム フロッピー ディスクであり、そこからコンピュータを起動しようとして次のメッセージが画面に表示された場合、この場合、どのディスケットにもフロッピー ディスクが含まれているため、コンピュータが感染する可能性があります。オペレーティング システム ローダーをオンにすると、制御が得られます。
2 番目のオプションは感染ファイルです。 すべてのファイルが感染するわけではありません。 したがって、たとえば、ノートン コマンダー エディタを使用して入力された手紙やその他の文書のテキストが存在する場合、そこにはウイルスは存在しません。 たとえそれが偶然そこにあったとしても、同じエディタまたは同様のエディタを使用してファイルを表示すると、そのようなファイルの最初または最後に理解できない文字が表示されることがあります。これらは破棄した方がよいでしょう。 他のエディタは、フォントのサイズや種類、インデント、さまざまな変換テーブルなどの制御情報を含むファイルを作成します。通常、そのようなファイルを通じて感染することはほぼ不可能です。 ただし、Word エディタのバージョン 6.0 および 7.0 には、制御が移される文書の先頭にマクロ コマンドを含める機能があるため、ウイルスが文書を通じて拡散する可能性があります。
ウイルスを拡散させる他の方法としては、CD-ROM ドライブなどの他の記憶媒体に転送することもありますが、これは非常にまれです。 ライセンスソフトウェアを購入した際にウイルスに感染していたことが判明することがありますが、そのようなケースは非常にまれです。
CD-ROM ディスクの特徴は、情報が書き込まれないことです。 ウイルスに感染していない CD-ROM ディスクが感染したコンピュータにある場合、感染することはありません。 ただし、ウイルスに感染した情報が含まれている場合、ウイルス対策プログラムはディスクからウイルスを駆除できません。
ウイルスを拡散する最も一般的な方法は、コンピュータのネットワーク、特にインターネットを介して、ゲームなどの他のプログラムが書き換えられて起動されることです。 かなりまれですが、感染したコンピュータに別のハード ドライブが挿入される場合もあります。 これを回避するには、システムのフロッピー ディスクから起動し、特別なウイルス対策プログラムでハード ドライブをスキャンするか、さらに良い方法として、Fdisk および Format プログラムを使用してディスクのパーティションを作成し、フォーマットします。
コンピュータウイルスの検出
ウイルスを識別するために、ウイルスを検出して破壊できる特別なウイルス対策プログラムがあります。 ただし、新しい形態がどんどん出現しているため、すべてのウイルスを検出できるわけではありません。
ウイルス対策プログラムは薬と似ており、一部のウイルスに選択的に作用し、他のウイルスには作用しません。 したがって、コンピュータ上でウイルス対策プログラムを毎日 (週、月) 起動したとしても、ウイルスを検出するという 100% の確実性はまだありません。
ウイルス対策プログラムにはかなり幅広い選択肢があります。 これらは、Aidstest (Lozinsky)、Dr Web、Norton antivirus for Windows、DSAV kit などです。 動作方法に応じて、次の 3 つのタイプに分類できます。
1) 検出器、生産 走査。 これは最も単純で一般的な形式で、ファイルとブート レコードを表示してその内容を確認し、シグネチャ (シグネチャはウイルス プログラムのコードです) を検出します。 シグネチャのスキャンに加えて、ヒューリスティック分析手法を使用することもできます。つまり、コードをチェックしてウイルスに特徴的なコードを特定することにより、検出器はポリファージと呼ばれる検出されたウイルスを除去します。 このようなプログラムはヒューリスティック分析を実行し、新しいウイルスを検出できます。
2) 監査役– 多くの場合、チェックサムやファイル サイズを計算することによって、ファイルとシステム領域の状態を記憶するプログラム。
3) プログラム - フィルター、または 常駐の監視員、コンピュータの RAM に永続的に配置され、起動されたファイルと挿入されたフロッピー ディスクを分析します。 これらは、ブート セクターの変更の試み、常駐プログラムの出現、ディスクへの書き込み機能などについてユーザーに通知します。
4) ハードウェア保護は、拡張コネクタに挿入され、フロッピー ドライブやハード ドライブへのアクセスを監視するコントローラです。 ブート レコード、実行可能ファイル、構成ファイルなどの特定の部分を保護できます。これまでの方法とは異なり、コンピューターが感染している場合にも機能します。
5) にインストールされているプログラムもあります。 BIOS コンピュータのブート セクタに書き込もうとすると、これに関するメッセージが画面に表示されます。
ウイルスの予防対策
予防するには次のものが必要です。
1. アーカイブデータ。 アーカイブとは、リムーバブル メディアにファイルを記録することです。 ほとんどの場合、この役割は、特殊なデバイス (ストリーマ) で使用されるフロッピー ディスクまたは磁気テープによって行われます。 たとえば、システムを再起動してファイルを復元できるインストール ディスケットがある場合、Windows ファイルを覚えておく必要はありません。 したがって、コンピュータにリムーバブル デバイスがフロッピー ディスクしかない場合は、回復が困難な情報を覚えておく必要があります。
アーカイブ。 原則として、情報は複数のディスクに記録されます。 情報が 1 枚のフロッピー ディスクに置かれ、コピーが週に 1 回行われるとします。 まず、8 月 4 日に情報が記録され、次回は 8 月 11 日に同じディレクトリから別のフロッピー ディスクに記録されます。 8 月 18 日に最初のフロッピー ディスクに再び記録が行われ、8 月 25 日に 2 番目のフロッピー ディスクに記録され、その後再び 1 番目のフロッピー ディスクに記録されます。このためには、少なくとも 2 枚のフロッピー ディスクが必要です。 実際、フロッピー ディスクに書き込むときに障害が発生し、ほとんどの情報が失われる可能性があります。 自宅のコンピュータでは、時々コピーを作成する必要がありますが、その頻度はユーザーが決定します。
2. すべてがそうなるように 情報、他のコンピュータから受信した、 チェック済みウイルス対策プログラム。 たとえばグラフィック情報を含む一部のファイルは、ウイルス感染の観点からは非常に安全であることは、すでに述べました。 したがって、フロッピーディスクにこのような情報だけがあれば、その情報は危険ではありません。 ウイルスが検出された場合は、感染したコンピュータにフロッピー ディスクまたはネットワーク経由で接続されているすべてのコンピュータをチェックする必要があります。 ハードディスクだけでなく、フロッピー ディスクやアーカイブ ファイルからもウイルスを削除する必要があります。 コンピュータにウイルスが存在する疑いがある場合、またはフロッピー ディスクやインターネットを使用して情報がコンピュータに転送されている場合は、次のことを行うことができます。 ウイルス対策プログラムをインストールする自動実行。 でで、コンピュータの電源を入れると動作を開始します。
3. 不明なフロッピー ディスクから起動しないでください。 ハードドライブから起動する場合、特に他のマシンからの場合は、ドライブ A: または B: にフロッピー ディスクがないことを確認してください。
結論
残念なことに、パーソナル コンピュータの普及は、コンピュータの通常の動作を妨害し、ディスクのファイル構造を破壊し、コンピュータに保存されている情報を損傷する自己複製ウイルス プログラムの出現と関連していることが判明しました。
コンピュータウイルス– コンピュータでの作業を妨げる特定のアクションを実行するように設計された特別に作成されたプログラム。
コンピュータ ウイルスが 1 台のコンピュータに侵入すると、他のコンピュータにも広がる可能性があります。
ウイルスプログラムは、C言語やPascalなどの言語で書かれたプログラムもありますが、サイズの小型化と高速実行を目的としてアセンブリ言語で書かれています。 多くの常駐ウイルス プログラムは、ドライバーで開発された原則を使用します。つまり、ウイルス プログラムのアドレスを割り込みテーブルに設定し、ウイルスの動作が終了した後、アドレスが以前に設定されていた通常のプログラムに制御を移します。割り込みテーブル。 これを制御の傍受といいます。
新しいウイルスを作成するための自動プログラムがあり、ウイルスのソース テキストをアセンブリ言語で対話的に作成できます。 パッケージに入るときに、ウイルスが実行する破壊的なアクション、マシンコードテキストを暗号化するかどうか、ディスク上のファイルに感染する速度などを指定できるオプションを設定できます。
ウイルスが最も必要とするのは、活動を開始するために制御を獲得することです。 ウイルスがウイルスに固有のアクションをすぐに実行し始めた場合、ウイルスを特定してコンピューターからウイルスを駆除するのが簡単になります。 難しいのは、ウイルスがコンピュータに出現するとすぐに出現するのではなく、特定の日など、一定時間後に出現する可能性があることです。
現代世界では、ウイルスを検出して破壊できるウイルス対策プログラムが数多くあります。 ただし、新しい形態がどんどん出現しているため、すべてのウイルスを検出できるわけではありません。
ウイルス プログラムがウイルス対策プログラムを台無しにするのを防ぐには、システムのフロッピー ディスクからウイルス プログラムをロードし、システム ディスクからコンピュータを起動してウイルス対策プログラムを起動する必要があります。
新しいバージョンではより多くの種類のウイルスが検出される可能性があるため、ウイルス対策ソフトウェアを常に最新の状態に保ってください。 最新バージョンのウイルス対策プログラムを更新するには、モデム経由でプログラムを受け取るか、ウイルス対策会社の専門家に電話してください。
参考文献
A.コストツォフ、V.コストツォフ。 素晴らしい百科事典。 パーソナルコンピュータに関するすべて。 – M.: 「マーティン」、2003年 – 720 p.
コンピューターサイエンス: 教科書。 – 3 回目の改訂 編 /編 N.V.マカロワ。 – M.: Finance and Statistics、2005. – 768 p.: 病気。
弁護士と経済学者のためのコンピューター サイエンス。 / S. V. Simovich およびその他による編集 - サンクトペテルブルク: サンクトペテルブルク、2001。 - 688 ページ 6 病気。
はじめに………………………….…………………………………………………………3
1. コンピュータウイルス。 分類…………………………………….4
2. マルウェアの作成者……………………………………………………5
3. マルウェアの説明…………………………………………………………6
3.1. 多型ウイルス………………………………………………………………7
3.2. ステルスウイルス…………………………………………………………………………7
3.3 トロイの木馬ウイルス…………………………………………………….7
3.4 ワーム…………………………………………………………………………..8
4. ウイルスの兆候……………………………………………………8
5. ウイルス対策との戦い……………………………………………………..9
結論…………………………………………………………………………………………10
参考文献リスト…………………………………………………………..11
導入
コンピュータは真の人間のアシスタントとなり、営利企業も政府機関もコンピュータなしでは成り立ちません。 しかし、この点において、情報セキュリティの問題は特に深刻になっています。
コンピューター技術の中で蔓延したウイルスは全世界を興奮させています。 多くのコンピュータ ユーザーは、サイバー犯罪者がコンピュータ ウイルスを使用してネットワークへのハッキング、銀行強盗、知的財産の窃盗を行っているという噂を懸念しています。
今日、残念なことに、パーソナル コンピュータの普及は、コンピュータの通常の動作を妨げ、ディスクのファイル構造を破壊し、コンピュータに保存されている情報を損傷する自己複製ウイルス プログラムの出現と関連していることが判明しました。 。
メディアでは、コンピュータフーリガンによるさまざまな種類の海賊行為や、ますます高度な自己複製プログラムの出現に関する報道が増えています。 最近では、テキスト ファイルをウイルスに感染させることはばかげていると考えられていましたが、今では誰も驚かないでしょう。 多くの国でコンピュータ犯罪と闘う法律が制定され、特殊なウイルス対策ソフトウェアが開発されているにもかかわらず、新しいソフトウェア ウイルスの数は増え続けています。 このため、パーソナル コンピュータのユーザーは、ウイルスの性質、ウイルスによる感染方法、およびウイルスからの保護についての知識を持っている必要があります。
1. コンピュータウイルス
コンピュータウイルスそれ自体のコピー (必ずしもオリジナルと完全に同一である必要はない) を作成し、それらをコンピューター システム、ネットワークなどのさまざまなオブジェクト/リソースに実装できるプログラム (実行可能なコード/命令の特定のセット) です。 ユーザーの知らないうちに。 同時に、コピーはさらに配布される可能性を保持します。
ウイルスの分類:
1) ウイルスの生息地に応じて
ファイルウイルスほとんどの場合、これらは拡張子 .exe および .com を持つ実行可能ファイル (最も一般的なウイルス) に埋め込まれますが、オペレーティング システム コンポーネント、外部デバイス ドライバー、オブジェクト ファイルとライブラリ、コマンド バッチ ファイル、プログラムを含むファイルに埋め込まれることもあります。手続き型言語プログラミングのファイル (翻訳中に実行可能ファイルに感染します)。
ブートウイルスフロッピー ディスクのブート セクタ (ブート セクタ)、またはシステム ディスク ブート プログラムを含むセクタ (マスター ブート レコード) に埋め込まれています。 このようなウイルスは、感染したディスクから DOS をロードするときに、ブート プログラムを変更したり、ディスク上のファイル アロケーション テーブルを変更したりして、コンピュータの動作に困難を引き起こしたり、オペレーティング システムを起動できなくなったりすることがあります。
ファイルブートウイルスは、前の 2 つのグループの機能を統合し、感染の「効率」が最も優れています。
ネットワークウイルス配布には通信システム (電子メール、コンピュータ ネットワーク) のコマンドとプロトコルが使用されます。
ドキュメントウイルス(マクロ ウイルスと呼ばれることが多い) は、一部の一般的なエディタのテキスト ファイル (.doc) やスプレッドシート ファイルに感染し、破損します。
複合ネットワークマクロウイルス作成したドキュメントに感染するだけでなく、これらのドキュメントのコピーを電子メールで送信します。
2) 生息地の汚染方法による。
居住者 ウイルスコンピュータが感染すると、その常駐部分が RAM に残り、オペレーティング システムによる感染オブジェクトへのアクセスを傍受し、感染オブジェクトに自身を注入します。 非常在ウイルスコンピュータのメモリには感染せず、有効期間は限られています。
3) 破壊能力に応じて
無害、それらの。 コンピュータの動作にいかなる影響も与えないもの (配布の結果としてディスク上の空きメモリが減少する場合を除く)。
無害 , その影響は、空きディスク メモリとグラフィック、サウンドなどの効果の減少によって制限されます。
4) ウイルスアルゴリズムの特徴による .
コンパニオンウイルス- ファイルを変更しないウイルスです。
ウイルス - 「ワーム」 (ワーム)- コンピュータ ネットワーク上で拡散し、コンパニオン ウイルスと同様に、ディスク上のファイルやセクタを変更しないウイルス。 彼らはコンピュータ ネットワークからコンピュータのメモリに侵入し、他のコンピュータのネットワーク アドレスを計算し、それらのアドレスに自分自身のコピーを送信します。 このようなウイルスは、システム ディスク上に作業ファイルを作成することがありますが、コンピュータ リソース (RAM を除く) にはまったくアクセスしない場合があります。
2. マルウェア作成者
これまでのウイルスやトロイの木馬プログラムの大部分は、プログラミング言語を学んだばかりで、実際に使ってみたかったものの、これ以上価値のある用途が見つからなかった学生や学童によって作成されました。 このようなウイルスは、作成者の自己肯定のためだけに作成され、今日に至るまで作成され続けています。
ウイルス作成者の 2 番目のグループも、プログラミング技術をまだ完全に習得していない若者 (通常は学生) で構成されています。 このような「職人」のペンからは、非常に原始的で多数のエラーを含むウイルス (「学生」ウイルス) が出現することがよくあります。 インターネットの発展と、コンピュータ ウイルスの作成方法を教えることを目的とした多数の Web サイトの出現により、このようなウイルス作成者の生活は著しく容易になりました。 多くの場合、ここには既製のソース テキストがあり、「作成者」による最小限の変更を加えて、推奨される方法でコンパイルするだけで済みます。
3 番目の最も危険なグループは、「プロの」ウイルスを作成して世界に放出します。 これらの注意深く考え抜かれ、デバッグされたプログラムは、プロの、多くの場合非常に才能のあるプログラマーによって作成されます。 このようなウイルスは、システム データ領域への侵入、オペレーティング環境のセキュリティ システムのエラー、ソーシャル エンジニアリング、その他のトリックのために、非常に独自のアルゴリズムを使用することがよくあります。
ウイルス作成者には別の 4 番目のグループがあり、根本的に新しい感染方法、ウイルスの隠蔽、ウイルス対策などの発明に従事する「研究者」です。多くの場合、このようなウイルスの作成者は自分の作成物を配布せず、自分のアイデアを積極的に宣伝します。ウイルス作成専用の多数のインターネット リソースを通じて。 同時に、そのような「研究」ウイルスによってもたらされる危険も非常に大きく、前のグループの「専門家」の手に渡ったため、これらのアイデアはすぐに新しいウイルスに現れます。
3. マルウェアの説明
悪意のあるソフトウェアには、ネットワーク ワーム、従来のファイル ウイルス、トロイの木馬、ハッカー ユーティリティ、および実行されるコンピュータやネットワーク上の他のコンピュータに意図的に害を及ぼすその他のプログラムが含まれます。
3.1 多型ウイルス
多型ウイルス- 同じウイルスの 2 つのコピーが 1 ビットも一致しないように、感染したプログラムのコードを変更するウイルス。 このタイプのコンピュータ ウイルスは現在最も危険であると思われます。 このようなウイルスは、異なる暗号化パスを使用してコードを暗号化するだけでなく、暗号化コードと復号化コードの生成コードも含まれているため、通常の暗号化ウイルスとは区別されます。通常の暗号化ウイルスは、コードの一部を暗号化することもできますが、同時に一定の暗号化コードと復号化コードを持ちます。 。
3.2 ステルスウイルス
ステルスウイルスウイルス対策プログラムを欺き、その結果、検出されないままになります。 ただし、ステルス ウイルスのカモフラージュ メカニズムを無効にする簡単な方法があります。 感染していないシステム フロッピー ディスクからコンピュータを起動し、コンピュータ ディスク (感染している可能性もあります) から他のプログラムを起動せずに、すぐにウイルス対策プログラムでコンピュータをスキャンするだけで十分です。 システムのフロッピー ディスクからロードされると、ウイルスは制御を獲得できず、ステルス メカニズムを実装する常駐モジュールを RAM にインストールできません。 ウイルス対策プログラムは、ディスクに実際に書き込まれた情報を読み取ることができ、ウイルスを簡単に検出できます。
3.3 トロイの木馬ウイルス
トロイの木馬- これは、特定のトリガー条件が発生したときにアクティブ化される、何らかの破壊的な機能を含むプログラムです。 通常、このようなプログラムは便利なユーティリティとして偽装されています。 「トロイの木馬」は、ドキュメントで説明されている機能に加えて、セキュリティ違反や破壊的なアクションに関連する他の機能も実装するプログラムです。 ウイルスの拡散を促進するためにそのようなプログラムが作成されたケースもあります。 そのようなプログラムのリストは外国の報道機関に広く掲載されています。 これらは通常、ゲームやエンターテイメント プログラムを装っており、美しい画像や音楽とともに害を及ぼします。
ソフトウェアのブックマークには、航空機に有害な機能も含まれていますが、この機能は逆に、できるだけ目立たないように努めています。 プログラムが疑惑を引き起こさない期間が長ければ長いほど、ブックマークはより長く機能することができます。
3.4ワーム
ワームグローバル ネットワーク全体に広がり、個々のプログラムではなくシステム全体に感染するウイルスと呼ばれます。 この場合、国家規模の情報システムが攻撃対象となるため、最も危険なタイプのウイルスです。 グローバル インターネットの出現により、このネットワークに接続されている 4,000 万台のコンピュータがいつでもインターネットにさらされる可能性があるため、この種のセキュリティ侵害は最大の脅威となります。
4. ウイルスの兆候
コンピュータがウイルスに感染した場合、それを検出することが重要です。 そのためには、ウイルスの主な兆候について知っておく必要があります。 これらには次のものが含まれます。
1. 動作の停止、または以前は正常に機能していたプログラムの誤動作
2.コンピュータが遅い
3. オペレーティング システムをロードできない
4. ファイルやディレクトリの消失、またはその内容の破損
5. ファイル変更日時の変更
6. ファイルのサイズ変更
7. ディスク上のファイル数が予期せず大幅に増加
8. 空きRAMサイズの大幅な削減
9. 予期しないメッセージや画像が表示される
10. 予期せぬ音声信号を発する
11. 頻繁なフリーズとコンピューターのクラッシュ
上記の現象は、必ずしもウイルスの存在によって引き起こされるわけではなく、他の理由の結果である可能性があることに注意してください。 したがって、コンピュータの状態を正確に診断することは常に困難です。
5. ウイルス対策との戦い
常に、非常に積極的に自分自身を保護する悪意のあるプログラムが存在します。 このような保護には次のものが含まれる場合があります。
意図的にシステム内でウイルス対策、ファイアウォール、またはその他のセキュリティ ユーティリティを検索し、その動作を中断する。 例としては、プロセスのリストで特定のウイルス対策の名前を検索し、そのウイルス対策のアンロードを試みるマルウェアが挙げられます。
ファイルのウイルス対策対策としてファイルをブロックし、排他的アクセスで開く。
ウイルス対策更新サイトへのアクセスをブロックするためのホスト ファイルの変更。
セキュリティ プロンプト ウィンドウを検出し、[許可] ボタンのクリックをシミュレートします。
実際、防御施設に対する標的型攻撃は、積極的な攻撃というよりも、壁に押し込まれた人を守る「強制措置」に近いものです。 現代の状況では、ウイルス対策が悪意のあるプログラムのコードだけでなくその動作も分析すると、後者は多かれ少なかれ無防備であることがわかります。ポリモーフィズムもパッケージングも、システム内の隠蔽テクノロジーさえも完全な保護を提供しません。 したがって、マルウェアは「敵」の個々の症状や機能のみを標的にすることができます。 やむを得ない場合を除いて、この護身方法はあまり普及しないでしょう。なぜなら、可能な限り広範囲の保護の観点からはあまりにも不利だからです。
結論
上記のすべてから、コンピュータ ウイルスは、他のプログラムに「帰属」し、コンピュータ上でさまざまな望ましくない動作を実行できる、特別に作成された小さなプログラムであると結論付けることができます。 ウイルスを含むプログラムを「感染した」といいます。 このようなプログラムが動作し始めると、まずウイルスが制御を奪います。 このウイルスは他のプログラムを見つけて「感染」し、また、いくつかの有害な動作も実行します (たとえば、ディスク上のファイルやファイル アロケーション テーブルを破損したり、RAM を「詰まらせたり」します)。 ウイルスは、自己複製能力を持つプログラムです。 この能力は、あらゆる種類のウイルスに固有の唯一の特性です。 ウイルスは「完全に孤立」して存在することはできません。 これは、今日では、他のプログラムのコード、ファイル構造に関する情報、さらには他のプログラムの名前だけを何らかの形で使用しないウイルスを想像することは不可能であることを意味します。 この理由は非常に明白です。ウイルスは何らかの方法で確実に制御を自分自身に移さなければなりません。
コンピュータウイルスを防ぐ最も効果的な方法は、外部からコンピュータに情報を入力しないことです。 しかし、残念ながら、ウイルスから 100% 身を守ることはほぼ不可能です (これは、ユーザーが友人とフロッピー ディスクを交換したり、ゲームをしたり、他の人から情報を受け取ったりすることを意味します)。
参考文献
1. レオンチェフ副大統領 最新パソコン百科事典 2003年版 - 第5版、改訂。 そして追加の - M.: OLMA-PRESS、2003
2. レビン A.Sh. コンピューターで作業するための自己取扱説明書 - 第 9 版、サンクトペテルブルク: Peter、2006 年。
3.www.yandex。 る
4. www.google. る
4. CD-ROM。 最高の中の最高: エッセイ、コースワーク、卒業証書、2007
家庭用ブートストラップセクターウイルス。 ドライブ C: のブート プログラムの末尾に書き込まれるか、それを置き換えるプログラムで、感染した瞬間からそのプログラムと独自の機能の両方を実行します。 これらのウイルスは、感染したフロッピー ディスクから起動するときにマシンに侵入します。 ブート プログラムが読み取られて実行されると、ウイルスがメモリにロードされ、「設計された」あらゆるものに感染します。
マスターブートレコードのブートウイルス。 これらは、ハード ドライブ上のシステムのマスター ブート レコードとフロッピー ディスク上のブート セクタに感染します。 このタイプのウイルスは、コンピュータのハードウェアとオペレーティング システムの間の命令を傍受することにより、システムを最下位レベルで制御します。
- · マクロ ウイルス: 一部のコンピューター プログラムはマクロ言語を使用して、頻繁に実行される手順を自動化します。 コンピューターがより強力になるにつれて、コンピューターが解決する問題はより複雑になってきました。 一部のマクロ言語は、元のドキュメント以外の形式でファイルを書き込む機能を提供します。 ウイルス作成者はこの機能を使用して、ドキュメントに感染するマクロを作成することができます。 マクロ ウイルスは通常、Microsoft Word および Excel ファイルを通じて配布されます。
- · 組み合わせウイルス: 上記の特性の組み合わせを示すウイルス。 ファイル、ブート セクター、マスター ブート レコードに感染する可能性があります。
- · ファイル ウイルス: 次に、単純なファイル ウイルスがどのように機能するかを見てみましょう。 ほとんどの場合常駐するブート ウイルスとは異なり、ファイル ウイルスは必ずしも常駐するわけではありません。 非常駐ファイルウイルスの機能スキームを考えてみましょう。 感染した実行可能ファイルがあるとします。 このようなファイルが起動されると、ウイルスが制御を獲得し、いくつかのアクションを実行し、制御を「ホスト」に移します。
ウイルスはどのようなアクションを実行しますか? 感染する新しいオブジェクト、つまりまだ感染していない適切なタイプのファイルを探します。 ファイルに感染すると、ウイルスはそのファイルの実行時に制御を得るために自分自身をコードに挿入します。 ウイルスは、その主な機能である繁殖に加えて、何か複雑なこと (たとえば、尋ねたり、遊んだり) を実行する可能性があります。これは、ウイルスの作成者の想像力に依存しています。 ファイル ウイルスが常駐している場合、ウイルスは自身をメモリにインストールし、感染したファイルの実行中だけでなく、ファイルに感染したり、他の能力を発揮したりすることができます。 実行可能ファイルに感染すると、ウイルスは常にコードを変更するため、実行可能ファイルの感染は常に検出できます。 ただし、ファイル コードを変更しても、ウイルスが他の変更を行うとは限りません。
- · ファイルの長さを変更する義務はありません
- · 未使用のコードセクション
- · ファイルの先頭を変更する必要はありません
最後に、ファイル ウイルスには、「ファイルに何らかの関係がある」ものの、コードに埋め込む必要はないウイルスが含まれることがよくあります。
したがって、ファイルが起動されると、ウイルスは制御を獲得し (オペレーティング システムがウイルス自体を起動し)、自身をメモリに常駐させ、呼び出したファイルに制御を移します。
- · ブート ファイル ウイルス: 新しい情報が得られないため、ブート ファイル ウイルス モデルは考慮しません。 しかし、ここでは、マスター ブート セクター (MBR) と実行可能ファイルに感染する、最近非常に「人気のある」ブート ファイル ウイルス OneHalf について簡単に説明する良い機会です。 主な破壊的な影響は、ハード ドライブ セクターの暗号化です。 ウイルスは起動されるたびにセクタの別の部分を暗号化し、ハードドライブの半分を暗号化すると喜んでこれを報告します。 このウイルスに対処する際の主な問題は、MBR やファイルからウイルスを削除するだけでは十分ではなく、ウイルスによって暗号化された情報を復号化する必要があることです。
- · 多型ウイルス: ほとんどの質問は「多型ウイルス」という用語に関連しています。 このタイプのコンピュータ ウイルスは現在最も危険であると思われます。 それが何なのか説明しましょう。
ポリモーフィック ウイルスは、同じウイルスの 2 つのコピーが 1 ビットも一致しないように、感染したプログラムのコードを変更するウイルスです。
このようなウイルスは、異なる暗号化パスを使用してコードを暗号化するだけでなく、暗号化コードと復号化コードの生成コードも含まれているため、通常の暗号化ウイルスとは区別されます。通常の暗号化ウイルスは、コードの一部を暗号化することもできますが、同時に一定の暗号化コードと復号化コードを持ちます。 。
ポリモーフィック ウイルスは、自己改変型の復号化機能を備えたウイルスです。 このような暗号化の目的: 感染したオリジナルのファイルがある場合でも、通常の逆アセンブリを使用してそのコードを分析することはできません。 このコードは暗号化されており、無意味なコマンドのセットです。 復号化は、実行中にウイルス自体によって実行されます。 この場合、オプションが可能です。自分自身を一度に復号化することも、「その場で」そのような復号化を実行することもでき、すでに使用されたセクションを再暗号化することもできます。 これはすべて、ウイルス コードの分析を困難にするために行われます。
· ステルス ウイルス: コンピュータをスキャンするとき、ウイルス対策プログラムは、オペレーティング システムと BIOS の基本入出力システムを使用して、ハード ドライブやフロッピー ディスクからファイルやシステム領域などのデータを読み取ります。 多くのウイルスは、起動後、コンピュータのディスク サブシステムにアクセスするプログラムを傍受する特別なモジュールをコンピュータの RAM に残します。 このようなモジュールは、プログラムが感染したファイルまたはディスクのシステム領域を読み取ろうとしていることを検出すると、ディスク上にウイルスが存在していないかのように、読み取られているデータをその場で置き換えます。
ステルス ウイルスはウイルス対策プログラムを騙し、その結果、検出されないままになります。 ただし、ステルス ウイルスのカモフラージュ メカニズムを無効にする簡単な方法があります。 感染していないシステム フロッピー ディスクからコンピュータを起動し、コンピュータ ディスク (感染している可能性もあります) から他のプログラムを起動せずに、すぐにウイルス対策プログラムでコンピュータをスキャンするだけで十分です。
システムのフロッピー ディスクからロードされると、ウイルスは制御を獲得できず、ステルス メカニズムを実装する常駐モジュールを RAM にインストールできません。 ウイルス対策プログラムは、ディスクに実際に書き込まれた情報を読み取ることができ、ウイルスを簡単に検出できます。
· トロイの木馬、ソフトウェア ブックマーク、およびネットワーク ワーム: トロイの木馬 (付録 2、図 2 を参照) は、特定のトリガー条件が発生したときにアクティブ化される、何らかの破壊的な機能を含むプログラムです。 通常、このようなプログラムは便利なユーティリティとして偽装されています。 ウイルスは、トロイの木馬を運び込んだり、他のプログラムを「トロイの木馬化」して、破壊的な機能をプログラムに導入したりすることがあります。
「トロイの木馬」は、ドキュメントで説明されている機能に加えて、セキュリティ違反や破壊的なアクションに関連する他の機能も実装するプログラムです。 ウイルスの拡散を促進するためにそのようなプログラムが作成されたケースもあります。 そのようなプログラムのリストは外国の報道機関に広く掲載されています。 これらは通常、ゲームやエンターテイメント プログラムを装っており、美しい画像や音楽とともに害を及ぼします。
・ソフトウェアブックマークには機体に有害な機能も含まれておりますが、この機能は逆にできるだけ目立たないように努めております。 プログラムが疑惑を引き起こさない期間が長ければ長いほど、ブックマークはより長く機能することができます。
ウイルスやトロイの木馬が雪崩のような自己増殖や完全な破壊を通じて損害を引き起こす場合、コンピュータ ネットワーク内で動作するワーム型ウイルスの主な機能は、攻撃されたシステムをハッキングすることです。 保護を克服してセキュリティと整合性を侵害します。
FBI が捜査するコンピュータ犯罪の 80% 以上では、「クラッカー」がインターネットを通じて攻撃対象のシステムに侵入します。 このような試みが成功すると、何年もかけて築き上げた会社の将来がほんの数秒で危険にさらされる可能性があります。
このプロセスは、ネットワーク ワームと呼ばれるウイルスを使用して自動化できます。
· ワームは、グローバル ネットワーク全体に広がり、個々のプログラムではなくシステム全体に感染するウイルスです。 この場合、国家規模の情報システムが攻撃対象となるため、最も危険なタイプのウイルスです。 グローバル インターネットの出現により、このネットワークに接続されている 4,000 万台のコンピュータがいつでもインターネットにさらされる可能性があるため、この種のセキュリティ侵害は最大の脅威となります。
33. コンピュータウイルス - 種類と種類。 ウイルスを拡散する方法。 コンピューター予防の主な種類。 基本的なウイルス対策ソフトウェア パッケージ。 ウイルス対策プログラムの分類。
コンピュータウイルス- コンピュータプログラムの一種で、その際立った特徴は複製(自己複製)能力です。 これに加えて、ウイルスはユーザーやコンピュータに損害を与える行為など、ユーザーの知らないうちに他の任意の動作を実行する可能性があります。 このため、ウイルスはマルウェアに分類されます。ウイルスにはさまざまな種類があります。 従来、それらは次のように分類できます。
生息地別
ネットワーク - コンピュータネットワーク上に広がる
ファイル ウイルスは、実行可能ファイルに埋め込まれたウイルスです。
ブート - ディスクのブート セクターに埋め込まれています。
マクロ ウイルス - WORD および EXCEL 文書ファイルに感染します。ダウンロード後、マクロ ウイルスはコンピュータのメモリに残り、他の文書に感染する可能性があります。
感染方法別:
常駐ウイルスとは、害を及ぼし続ける常駐部分を残したウイルスのことです。
非居住者 - プログラムに感染しないでください。その行為は時間内に制限されます。
弊害の規模に応じて。
無害 - コンピュータの動作に影響を与えますが、ほとんどの場合、ディスク領域を占有するだけです。
危険ではありません - グラフィックまたはサウンド現象によって空きディスク容量が減少するため、そのアクションは制限されます。
危険 - コンピュータに重大な誤動作を引き起こす可能性があります。
非常に危険です - 彼らの行為はデータ、プログラムの損失、およびハードドライブのヘッドの損傷につながる可能性があります。
ウイルスはどこから来たのか:
グローバルネットワーク - 電子メール
電子会議、ftp、BBSファイルサーバー
ローカルネットワーク
海賊版ソフトウェア
「公共使用」のためのパーソナルコンピュータ
- 「ランダムな」コンピュータ ユーザー
コンピューター予防の主な種類。
ソフトウェアは正規販売者から購入してください。
書き込み保護されたフロッピー ディスクにコピーを保存します。
作業しているファイルのコピーを定期的に作成します。
コンピュータ ネットワークから受信したファイルなど、未検証のファイルを実行しないでください。
PCを操作できる人数を制限する
ウイルス対策プログラムを時々実行してください。
ウイルス対策コンピュータウイルスを検出して無力化するプログラムです。 ウイルス対策プログラム (ウイルス対策)- コンピュータ ウイルス、および望ましくない (悪意があると考えられる) プログラム一般を検出し、そのようなプログラムに感染 (変更) されたファイルを復元するためのプログラム、および予防のためのプログラム - 悪意のあるコードによるファイルまたはオペレーティング システムの感染 (変更) を防止するためのプログラム。
3 つのクラスのウイルス対策プログラム:
ポリファージ。その動作原理は、ファイル、ディスクのブート セクタのチェック、および既知および新規 (ポリファージにとって未知の) ウイルスの検索に基づいています。 マスクはウイルスの検索に使用されます。 ウイルスのマスクはこう呼ばれますこのウイルスに特有のプログラム コードの一定のシーケンス。 ウイルス対策ソフトウェアがファイル内でそのようなシーケンスを検出した場合、そのファイルは感染していると見なされ、駆除する必要があります。 ポリファージは、ファイルが RAM にロードされるときにファイルを検証できます。 このようなプログラムはウイルス対策モニターと呼ばれます 。 尊厳:ポリファージの多用途性。 欠陥:サイズが大きいウイルス対策データベース、定期的な更新、ウイルス スキャンの速度の遅さ。
監査役。動作原理は、ディスク ファイルのチェックサムの計算に基づいています。 これらのチェックサムは、ファイルの長さ、最終変更日などとともにウイルス対策データベースに保存されます。 その後監査プログラムが起動されると、実際に計算された値を使用してデータベース内のデータがチェックされます。 ファイル情報が一致しない場合、監査人はファイルが変更されているか、ウイルスに感染していると報告します。 欠点: 監査人は新しいファイル内のウイルスを検出できません。 データベースにはまだそれらに関する情報がありません。
ブロッカー。これらは、ウイルスの危険な状況 (ディスクのブート セクターへの書き込みなど) を傍受し、そのことをユーザーに通知するプログラムです。 利点: ウイルスの繁殖の初期段階でウイルスを検出して阻止することができます。
| " |
