Защита от компьютерных вирусов. Работа с антивирусной программой Dr.Web

Государственный комитет России

по высшему образованию.

Рязанская Государственная

Радиотехническая Академия

Кафедра ЭВМ.

«Защита от компьютерных вирусов. Работа с антивирусной программой DrWeb»

Выполнил

студент гр.343

Кондрахин А.В.

Проверил

Доц. Иопа Н.И.

Ст. пр. Гринченко Н.Н.

Рязань, 2007 г.

Цель работы

1. Изучение компьютерных вирусов и методов борьбы с ними

2. Работа с антивирусной программой Dr.Web

1. Теоретическая часть

Если Вы имеете опыт продолжительной работы с ПК, то, возможно, уже сталкивались с компьютерными вирусами или хотя бы слышали о них. Компьютерный вирус-это программа, производящая в Вашем ПК действия, в которых Вы не нуждаетесь и о которых не подозреваете. Главной ее особенностью является способность к «размножению», т. е. к созданию множества готовых к дальнейшей работе экземпляров вируса. Вирусы «цепляются» к обычным исполняемым файлам типа .ЕХЕ, .СОМ или к загрузочным секторам физических носителей информации (дискет) и таким образом перемещаются от одного ПК к другому.

Являвшиеся первоначально вполне невинным развлечением скучающих программистов компьютерные вирусы сегодня стали настоящим бедствием для пользователей ПК: количество и типы таких программ растут с ужасающей скоростью, а сами вирусы в ряде случаев приобрели весьма неприятные свойства-некоторые из них способны уничтожать файловую структуру дисков со всеми катастрофическими для пользователя последствиями. В литературе [14] описывается беспрецедентный случай, когда вирус на Три дня (с 2 по 4 ноября 1988 г.) вывел из строя фактически всю компьютерную сеть США. Были парализованы компьютеры Агентства национальной безопасности, Стратегического командования ВВС США, локальные сети всех крупных университетов и исследовательских центров. Лишь в последний момент удалось спасти систему управления полетом космических кораблей Шаттл.

Положение было настолько серьезным, что к расследованию немедленно приступило ФБР. Виновником катастрофы, причинившей ущерб более чем в 100 миллионов долларов, оказался студент выпускного курса Корнеллского университета Р. Моррис, придумавший достаточно хитрую разновидность вируса. Он был исключен из университета с правом восстановления через год и приговорен судом к уплате штрафа в 270 тысяч долларов и трем месяцам тюремного заключения. Трудно объяснить, для чего программисты тратят силы и время на создание все более изощренных типов вируса, поскольку их авторы почти всегда ос­таются или надеются остаться анонимными, так что естественное для человека стремление к известности здесь исключено.

Может быть это неудачная шутка (этой версии придерживался Р. Моррис), возможно это связано с патологическими отклонениями в психике, а может быть объяснение кроется в стремлении заработать на создании антивирусных программ? Как бы там ни было, нам нельзя не считаться с возможностью заражения ПК компьютерным вирусом.

Общие сведения о вирусах.

А)Понятие о вирусах и признаках заражения компьютера

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам, т.е. "заражать" их, а также изменять или удалять файлы, проигрывать мелодии, выводить на экран различные видеоэффекты. При запуске такой программы управление получает вирус, который сначала выполняет заложенные в него действия, а затемзапускает саму программ).

Факты свидетельствующие о заражении компьютера вирусом :

- воспроизведение компьютером различных звуковых и видеоэффектов;

- свечение индикатора дисковода, когда к нему нет обращения;

- увеличение размеров исполняемых файлов (exe, com, sys, dll, ovlи и т.д.)

- наличие файлов с некорректным временем создания (например, 10ч 25м 62с);

- неуместное появление системных сообщений;

- появление на диске зарегистрированных дефектных кластеров;

- постоянное увеличение количества файлов на диске;

- неожиданное зависание компьютера с невозможностью перегрузки;

-разрушение файловой структуры.

Б) Классификация вирусов. Характеристика классов.

Вирусы можно разделить на классы по трем признакам:

1) среде обитания и способу распространения:

-сетевые распространяются по компьютерным сетям, файлы и диски не заражают;

-файловые внедряются в выполняемые файлы;

-загрузочные внедряются в область диска, используемую при загрузке операционной системы;

-файлово-загрузочные комбинация предыдущих двух видов;

-вирусы-компаньоны непосредственно файлы не заражают, но для файлов с расширением "ехе" создают одноименные файлы с расширением "com", содержащие тело вируса; таким образом, если при запуске программы не указать расширение "ехе", то MS-DOS запустит com-файл с вирусом;

- макро-вирусы наиболее многочисленная разновидность вирусов: внедряются в документы MS-Word, MS-ExceLMS-PowerPoint благодаря наличию в этих программах встроенных языков VisualBasic и WordBasic.

2) способу заражения:

- резидентные постоянно находятся в оперативной памяти и заражают запускаемые в это время программы;

- нерезидентные активны только в момент запуска зараженной программы.

3) деструктивным возможностям:

-безвредные приводят лишь к уменьшению свободной памяти на диске;

-неопасные ограничиваются графическими, звуковыми и прочими эффектами;

-опасные - могут привести к серьезным сбоям в работе компьютера;

-очень опасные - могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию.

В) Профилактические меры:

Для предотвращения заражения вирусами используют такие профилактические меры, как:

- создание архивных копий всех важных материалов;

- проверка любых новых программ и дискет при помощи антивирусов;

-ограничение доступа по записи к внешним носителям;

- использование лицензионных программ.

Антивирусные программы делят на:

программы-детекторы - проверяют файлы на наличие в них уникальной последовательности байт (сигнатуры), принадлежащей одному из известных ранее вирусов, а также проводят так называемый эвристический анализ, т.е. поиск в теле программы действий, характерных для вирусов;

программы-доктора — лечат зараженные файлы, вырезая из них тело вируса.

Часто антивирусные программы объединяют в себе функции детектора и доктора;

программы-ревизоры - позволяют запомнить сведения о всех файлах, а затем сравнивать их состояние с исходным и выдавать пользователю сообщения о произошедших изменениях и появлении новых файлов;

программы-фильтры (мониторы) — работают непрерывно с момента включения компьютера, отслеживают нестандартные действия программ и сообщают об этом пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции;

программы-блокировщики — небольшие резидентные программы, предназначенные для предотвращения распространения одного конкретного вируса.

На сегодня самыми распространенными антивирусными программами являются NortonAntiVirus, AVP и DrWeb, которые выполняют функции детектора и доктора. Они могут находить и уничтожать десятки тысяч различных вирусов. лечение зараженный файл компьютер антивирус

2. Описание программы Dr.Web

Отечественная программа DrWeb (автор И. Данилов, ЗАО «ДИАЛОГ-НАУКА») обрела широкую известность в силу таких достоинств, как:

- постоянная обновляемость, т.е. наличие новых версий, способных находить и уничтожать только что появившиеся вирусы;

- наличие эффективного эвристического анализатора, который позволяет выявлять вирусы, еще не известные авторам программы;

-возможность работы с программой как в режиме командной строки, так ивдиалоговом режиме. При работе в диалоговом режиме появляется возможность получения оперативной помощи, что значительно упрощает работу.

А) Работа в диалоговом режиме.

Программа DrWeb при запуске выводит на экран следующие элементы:

- главное меню - позволяет пользователю задать необходимые опции, выбрать команду на выполнение нужной операции: проверки памяти, проверки файлов, лечения файлов;

- окно тестирования содержит отчет о ходе проверки памяти и файлов на наличие вирусов.

Меню программы DrWeb позволяет выполнять различные операции, а каждый пункт меню (Dr. Web, Тест, Настройки) дает пользователю доступ к ряду команд, сгруппированных по функциональному назначению.

При выборе в главном меню команды "Параметры"DrWeb выводит диалоговое окно, в котором сосредоточены наиболее важные для работы программы элементы настройки. Каждому элементу настройки соответствует переключатель, представляющий собой две квадратные скобки:

[ ] - выключен,

[х]- включен.

Все главные элементы настройки по функциональному назначению разделены на три основные группы:

- общие установки;

-инфицированные файлы;

-файлы.

2. Практическая часть

Проверка дискеты на наличие вирусов (работа с программой DrWeb)

1) Регистрация.

-В главном меню выбрать пункт Информатика;

-Выбрать номер группы 343;

2) Запуск программы DrWeb в диалоговом режиме;

-В командной строке набрать drweb.exe;

-<Enter>;

3) Настройка программы DrWeb;

-В пункте "Настройки" главного меню выбрать команду "Параметры";

-В открывшемся диалоговом окне включить опции "Тест загрузочных секторов", "Эвристический анализ", "Лечить", "Запрос на лечение", "Проверка архивов" и "Проверка упакованных" ;

-<Enter>.

4) Тестирование дискеты;

-В пункте "Тест" главного меню выбрать команду "Тестирование";

-В появившемся диалоговом окне указать имя диска, подлежащего проверке - "а:", установить опцию «Включая подкаталоги»;

-Вставить дискету;

-<Enter>;

После нажатия <Enter> Dr.Web начинает проверку дискеты: сначала тестируется загрузочный сектор, а затем все файлы.

Поиск вирусов и инфицированных программ на диске А:

Boot Sector - Ok

A:MODE.COM инфицирован Ambulance.796

A:FORMAT.COM инфицирован Ambulance.796

A:WATCOMMAIN.CPP - Ok

A:WATCOHEFFECTSGOURAUD.EXE - Ok

A:WATCOMEFFECTSFRACTAL.EXE - Ok

Отчет для диска А: Проверено : файлов и загрузочных секторов - 6

Обнаружено: вирусов и инфицированных программ - 2

Время сканирования: 00:00:20

6) Лечение зараженных файлов

-В пункте Тест главного меню выбрать команду "Лечение"

-В открывшемся окне ввести через пробел полные пути к зараженным файлам "а:mode.coma:format. com";

-<Enter>.

Для подтверждения необходимости лечения конкретного файла нажимать кнопку "Да" каждый раз, когда DrWeb выводит диалоговое окно с вопросом о необходимости лечения.

Поиск вирусов в a:mode.com:

Boot Sector - Ok

a:MODE.COM инфицирован Ambulance.796 - исцелен!

a:MODE.COM - Ok

Отчет для диска А:

Проверено : файлов и загрузочных секторов - 2

Обнаружено: вирусов и инфицированных программ - 1

Исцелено : файлов и загрузочных секторов - 1

Время сканирования: 00:00:10

Поиск вирусов в a:format.com:

BootSector - Ok

a:FORMAT.COM инфицирован Ambulance.796 - исцелен! a:FORMAT.COM - Ok Отчет для диска А:

Проверено: файлов и загрузочных секторов - 2

Обнаружено: вирусов и инфицированных программ - 1

Исцелено: файлов и загрузочных секторов - 1

Время сканирования: 00:00:05