การจำแนกประเภทของไวรัสคอมพิวเตอร์

การบรรยายครั้งที่ 10 ไวรัสคอมพิวเตอร์และกลไกในการต่อสู้กับไวรัส

คำถามควบคุม

1. กำหนดการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต

2. เปรียบเทียบสองแนวทางในการจัดระเบียบการควบคุมการเข้าถึง

3. อธิบายหลักการทำงานและแนวคิดในการสร้างระบบควบคุมการเข้าออก

4. ยกตัวอย่างระบบป้องกันพีซีสมัยใหม่และความสามารถ

5. อธิบายสาระสำคัญของการปกป้องข้อมูลจากการคัดลอก

6. ใช้วิธีใดในการปกป้องซอฟต์แวร์จากการวิจัย?

10.1. การจำแนกประเภทของไวรัสคอมพิวเตอร์

10.2. วิธีการและวิธีการต่อสู้กับไวรัส

10.3 การป้องกันการติดไวรัสของระบบคอมพิวเตอร์

วรรณกรรม:

1. ซัฟโกรอดนี วี.ไอ. การปกป้องข้อมูลอย่างครอบคลุมในระบบคอมพิวเตอร์: หนังสือเรียน – โลโก้, 201. – หน้า 159-179.

โปรแกรมที่เป็นอันตรายและเหนือสิ่งอื่นใด ไวรัสก่อให้เกิดอันตรายร้ายแรงต่อข้อมูลใน CS การประเมินอันตรายนี้ต่ำเกินไปอาจส่งผลร้ายแรงต่อข้อมูลของผู้ใช้ การพูดเกินจริงถึงอันตรายของไวรัสยังเป็นอันตรายต่อการใช้ความสามารถทั้งหมดของระบบคอมพิวเตอร์ด้วย ความรู้เกี่ยวกับกลไกการออกฤทธิ์ของไวรัสวิธีการและวิธีการต่อสู้กับไวรัสช่วยให้คุณสามารถจัดระเบียบการต่อต้านไวรัสได้อย่างมีประสิทธิภาพลดพวกมันให้เหลือน้อยที่สุด

ความน่าจะเป็นของการติดเชื้อและการสูญเสียจากผลกระทบ

คำว่า "ไวรัสคอมพิวเตอร์" เปิดตัวค่อนข้างเร็ว ๆ นี้ - ในช่วงกลางทศวรรษที่ 80 ขนาดเล็กความสามารถในการแพร่กระจายเพิ่มจำนวนและแทรกซึมวัตถุได้อย่างรวดเร็ว (ติดเชื้อ) ผลกระทบด้านลบต่อระบบ - สัญญาณของไวรัสชีวภาพทั้งหมดเหล่านี้ก็มีอยู่ในโปรแกรมศัตรูพืชเช่นกัน ซึ่งด้วยเหตุผลนี้จึงเรียกว่า "ไวรัสคอมพิวเตอร์" นอกจากคำว่า "ไวรัส" แล้ว ยังมีการใช้คำศัพท์ทางการแพทย์อื่นๆ เมื่อทำงานกับไวรัสคอมพิวเตอร์ เช่น "การติดเชื้อ" "ที่อยู่อาศัย" "การป้องกัน" ฯลฯ

“ไวรัสคอมพิวเตอร์” เป็นโปรแกรมปฏิบัติการหรือตีความขนาดเล็กที่มีความสามารถในการแพร่กระจายและจำลองตัวเอง (จำลอง) ในระบบคอมพิวเตอร์ ไวรัสสามารถแก้ไขหรือทำลายซอฟต์แวร์หรือข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์ได้ ไวรัสสามารถปรับเปลี่ยนตัวเองได้เมื่อแพร่กระจาย

ปัจจุบันมีไวรัสคอมพิวเตอร์ที่ลงทะเบียนมากกว่า 40,000 รายการในโลก เนื่องจากโปรแกรมที่เป็นอันตรายสมัยใหม่ส่วนใหญ่มีความสามารถในการจำลองตัวเอง จึงมักถูกจัดว่าเป็นไวรัสคอมพิวเตอร์ ไวรัสคอมพิวเตอร์ทั้งหมดสามารถจำแนกตามเกณฑ์ต่อไปนี้:

ตามแหล่งที่อยู่อาศัย

ตามวิธีการติดเชื้อ

ตามระดับอันตรายของอิทธิพลทำลายล้าง (เป็นอันตราย)

ตามอัลกอริทึมการทำงาน

โดย ที่อยู่อาศัย

เครือข่าย;

ไฟล์;

บูต;

รวม.

ที่อยู่อาศัย เครือข่าย ไวรัสเป็นองค์ประกอบของเครือข่ายคอมพิวเตอร์ ไฟล์ ไวรัสอยู่ในไฟล์ปฏิบัติการ บูต ไวรัสอยู่ในบูตเซกเตอร์ (พื้นที่) ของอุปกรณ์จัดเก็บข้อมูลภายนอก (บูตเซกเตอร์) บางครั้งไวรัสสำหรับบูตเรียกว่าไวรัสสำหรับบูต รวม ไวรัสอาศัยอยู่ในแหล่งที่อยู่อาศัยหลายแห่ง ตัวอย่างของไวรัสดังกล่าว ได้แก่ ไวรัสไฟล์สำหรับบูต ไวรัสเหล่านี้สามารถอยู่ได้ทั้งในบูตเซกเตอร์ของดิสก์ไดรฟ์แบบแม่เหล็กและในส่วนของไฟล์สำหรับบูต

โดย วิธีการแพร่เชื้อสู่สิ่งแวดล้อมไวรัสคอมพิวเตอร์แบ่งออกเป็น:

ถิ่นที่อยู่;

ไม่ใช่ผู้มีถิ่นที่อยู่

ถิ่นที่อยู่หลังจากเปิดใช้งานไวรัส ไวรัสจะย้ายทั้งหมดหรือบางส่วนจากแหล่งอาศัย (เครือข่าย บูตเซกเตอร์ ไฟล์) ไปยัง RAM ของคอมพิวเตอร์ ตามกฎแล้วไวรัสเหล่านี้จะใช้โหมดการทำงานพิเศษที่อนุญาตเฉพาะกับระบบปฏิบัติการเท่านั้น ติดเชื้อต่อสิ่งแวดล้อม และเมื่อตรงตามเงื่อนไขบางประการ จะใช้ฟังก์ชันทำลายล้าง ไม่เหมือนถิ่นที่อยู่ ไม่มีถิ่นที่อยู่ ไวรัสเข้าสู่ RAM ของคอมพิวเตอร์เฉพาะในช่วงระยะเวลาของกิจกรรมเท่านั้นในระหว่างที่พวกมันทำหน้าที่ทำลายล้างและติดเชื้อ จากนั้นไวรัสจะออกจาก RAM โดยเหลืออยู่ในแหล่งที่อยู่อาศัยของพวกมัน หากไวรัสวางโปรแกรมไว้ใน RAM ที่ไม่แพร่เชื้อไปยังสภาพแวดล้อม ไวรัสดังกล่าวจะถือว่าไม่มีถิ่นที่อยู่

คลังแสงของความสามารถในการทำลายล้างหรือการก่อวินาศกรรมของไวรัสคอมพิวเตอร์นั้นกว้างขวางมาก ความสามารถในการทำลายล้างของไวรัสขึ้นอยู่กับเป้าหมายและคุณสมบัติของผู้สร้างไวรัส รวมถึงคุณลักษณะของระบบคอมพิวเตอร์ด้วย

โดย ระดับอันตรายต่อทรัพยากรสารสนเทศไวรัสคอมพิวเตอร์ของผู้ใช้แบ่งได้เป็น:

- ไวรัสที่ไม่เป็นอันตราย

- ไวรัสอันตราย

- ไวรัสที่อันตรายมาก

ไม่เป็นอันตรายไวรัสคอมพิวเตอร์ถูกสร้างขึ้นโดยผู้เขียนที่ไม่ได้ตั้งเป้าหมายในการก่อให้เกิดความเสียหายต่อทรัพยากรของระบบคอมพิวเตอร์ พวกเขามักจะขับเคลื่อนด้วยความปรารถนาที่จะแสดงความสามารถของโปรแกรมเมอร์ กล่าวอีกนัยหนึ่ง การสร้างไวรัสคอมพิวเตอร์สำหรับคนดังกล่าวถือเป็นความพยายามในการยืนยันตนเอง ผลกระทบด้านลบของไวรัสดังกล่าวเกิดขึ้นที่การแสดงข้อความและรูปภาพที่ไร้เดียงสาบนหน้าจอมอนิเตอร์ การเล่นชิ้นส่วนดนตรี ฯลฯ

อย่างไรก็ตาม แม้ว่าไวรัสดังกล่าวจะไม่เป็นอันตราย แต่ก็สร้างความเสียหายให้กับ CS ได้บ้าง ประการแรก ไวรัสดังกล่าวใช้ทรัพยากรของระบบคอมพิวเตอร์ ลดประสิทธิภาพการทำงานของระบบลงในระดับหนึ่งหรืออย่างอื่น ประการที่สอง ไวรัสคอมพิวเตอร์อาจมีข้อผิดพลาดที่ก่อให้เกิดผลที่เป็นอันตรายต่อทรัพยากรคอมพิวเตอร์ของระบบคอมพิวเตอร์ นอกจากนี้ เมื่ออัพเกรดระบบปฏิบัติการหรือฮาร์ดแวร์ CS ไวรัสที่สร้างขึ้นก่อนหน้านี้อาจทำให้อัลกอริธึมการทำงานมาตรฐานของระบบหยุดชะงักได้

ถึง อันตราย ซึ่งรวมถึงไวรัสที่ทำให้ประสิทธิภาพของคอมพิวเตอร์ลดลงอย่างมาก แต่ไม่นำไปสู่การละเมิดความสมบูรณ์และการรักษาความลับของข้อมูลที่เก็บไว้ในอุปกรณ์จัดเก็บข้อมูล ผลที่ตามมาของไวรัสดังกล่าวสามารถกำจัดได้โดยไม่ต้องใช้ทรัพยากรวัสดุและเวลามากนัก ตัวอย่างของไวรัสดังกล่าว ได้แก่ ไวรัสที่ใช้หน่วยความจำคอมพิวเตอร์และช่องทางการสื่อสาร แต่ไม่ปิดกั้นการทำงานของเครือข่าย ไวรัสที่ทำให้จำเป็นต้องรันโปรแกรมซ้ำ รีบูทระบบปฏิบัติการ หรือส่งข้อมูลซ้ำผ่านช่องทางการสื่อสาร เป็นต้น

อันตรายมากควรได้รับการพิจารณาว่าเป็นไวรัสที่ก่อให้เกิดการละเมิดการรักษาความลับ การทำลาย การปรับเปลี่ยนข้อมูลอย่างถาวร (รวมถึงการเข้ารหัส) ตลอดจนไวรัสที่บล็อกการเข้าถึงข้อมูล นำไปสู่ความล้มเหลวของฮาร์ดแวร์ และเป็นอันตรายต่อสุขภาพของผู้ใช้ ไวรัสดังกล่าวจะลบไฟล์แต่ละไฟล์ พื้นที่หน่วยความจำระบบ ฟอร์แมตดิสก์ เข้าถึงข้อมูลโดยไม่ได้รับอนุญาต เข้ารหัสข้อมูล ฯลฯ

มีสิ่งพิมพ์ที่กล่าวถึงไวรัสที่ทำให้ฮาร์ดแวร์ทำงานผิดปกติ สันนิษฐานว่าที่ความถี่เรโซแนนซ์ ชิ้นส่วนที่เคลื่อนไหวของอุปกรณ์เครื่องกลไฟฟ้า เช่น ในระบบการวางตำแหน่งของดิสก์ไดรฟ์แม่เหล็ก สามารถถูกทำลายได้ เป็นโหมดนี้อย่างแน่นอนที่อาจสร้างขึ้นด้วยความช่วยเหลือของโปรแกรมไวรัส ผู้เขียนคนอื่นแย้งว่าเป็นไปได้ที่จะกำหนดโหมดการใช้งานอย่างเข้มข้นของวงจรอิเล็กทรอนิกส์แต่ละตัว (เช่น วงจรรวมขนาดใหญ่) ซึ่งวงจรดังกล่าวมีความร้อนมากเกินไปและล้มเหลว

การใช้หน่วยความจำแบบอ่านอย่างเดียวที่เขียนซ้ำได้ในคอมพิวเตอร์ส่วนบุคคลสมัยใหม่ทำให้เกิดไวรัสที่ปรับเปลี่ยนโปรแกรม BIOS ซึ่งนำไปสู่ความจำเป็นในการเปลี่ยนอุปกรณ์จัดเก็บข้อมูลแบบอ่านอย่างเดียว

นอกจากนี้ยังเป็นไปได้ที่จะมีอิทธิพลต่อจิตใจของบุคคล - ผู้ปฏิบัติงานคอมพิวเตอร์ - โดยการเลือกภาพวิดีโอที่แสดงบนหน้าจอมอนิเตอร์ที่ความถี่ที่แน่นอน (ทุก ๆ ยี่สิบห้าเฟรม) เฟรมที่ฝังอยู่ในข้อมูลวิดีโอนี้จะถูกรับรู้โดยบุคคลในระดับจิตใต้สำนึก จากการสัมผัสดังกล่าว อาจเกิดความเสียหายร้ายแรงต่อจิตใจมนุษย์ได้ ในปี 1997 ชาวญี่ปุ่น 700 คนเข้ารับการรักษาในโรงพยาบาลด้วยอาการของโรคลมบ้าหมูหลังจากดูการ์ตูนคอมพิวเตอร์ทางโทรทัศน์ เชื่อกันว่านี่คือวิธีทดสอบความเป็นไปได้ในการมีอิทธิพลต่อบุคคลโดยการฝังเฟรมที่ 25

ตาม คุณสมบัติของอัลกอริทึมการทำงานของไวรัสแบ่งได้เป็น 2 ประเภท คือ

ไวรัสที่ไม่เปลี่ยนถิ่นที่อยู่ (ไฟล์และเซกเตอร์) เมื่อแพร่กระจาย

ไวรัสที่เปลี่ยนแปลงสภาพแวดล้อมเมื่อแพร่กระจาย

ในทางกลับกันไวรัส อย่าเปลี่ยนสภาพแวดล้อม สามารถแบ่งออกเป็นสองกลุ่ม:

- ไวรัส - "สหาย";

- ไวรัส - “เวิร์ม”

ไวรัส - "ดาวเทียม"อย่าเปลี่ยนไฟล์ กลไกการออกฤทธิ์คือการสร้างสำเนาของไฟล์ปฏิบัติการ ตัวอย่างเช่น ใน MS DOS ไวรัสดังกล่าวจะสร้างสำเนาของไฟล์ที่มีนามสกุล .EXE สำเนาจะได้รับชื่อเดียวกันกับไฟล์ปฏิบัติการ แต่นามสกุลจะเปลี่ยนเป็น .COM เมื่อคุณเรียกใช้ไฟล์ด้วยชื่อทั่วไป ระบบปฏิบัติการจะโหลดเพื่อเรียกใช้งานไฟล์ที่มีนามสกุล .COM ซึ่งเป็นโปรแกรมไวรัสก่อน จากนั้นไฟล์ไวรัสจะเปิดไฟล์ที่มีนามสกุล .EXE

ไวรัส - "เวิร์ม"เข้าสู่เวิร์กสเตชันจากเครือข่าย คำนวณที่อยู่การกระจายไวรัสไปยังสมาชิกเครือข่ายอื่นๆ และส่งไวรัส ไวรัสไม่เปลี่ยนไฟล์และไม่เขียนลงบูตเซกเตอร์ของดิสก์ ไวรัสเวิร์มบางตัวจะสร้างสำเนาของไวรัสที่ใช้งานได้บนดิสก์ ในขณะที่ไวรัสบางตัวจะอยู่ใน RAM ของคอมพิวเตอร์เท่านั้น

ในแง่ของความซับซ้อน ระดับความสมบูรณ์แบบ และคุณสมบัติของอัลกอริธึมการปกปิด ไวรัส การเปลี่ยนแปลงสภาพแวดล้อม แบ่งออกเป็น:

- นักเรียน;

- "ซ่อนตัว" - ไวรัส (ไวรัสที่มองไม่เห็น);

- โพลีมอร์ฟิก

ถึง นักเรียนรวมถึงไวรัสที่ผู้สร้างมีคุณสมบัติต่ำ ตามกฎแล้วไวรัสดังกล่าวไม่มีถิ่นที่อยู่ มักมีข้อผิดพลาด และตรวจจับและกำจัดได้ง่าย

"Stealth" - ไวรัสและไวรัสโพลีมอร์ฟิกถูกสร้างขึ้นโดยผู้เชี่ยวชาญที่มีคุณสมบัติซึ่งมีความรู้ที่ดีเกี่ยวกับหลักการทำงานของฮาร์ดแวร์และระบบปฏิบัติการตลอดจนทักษะในการทำงานกับระบบการเขียนโปรแกรมเชิงเครื่องจักร

"Stealth" - ไวรัสปกปิดการมีอยู่ในสภาพแวดล้อมโดยสกัดกั้นการโทรจากระบบปฏิบัติการไปยังไฟล์และเซกเตอร์ที่ติดไวรัสและเปลี่ยนเส้นทางระบบปฏิบัติการไปยังพื้นที่ข้อมูลที่ไม่ติดไวรัส ไวรัสอาศัยอยู่ ปลอมตัวเป็นโปรแกรมระบบปฏิบัติการ และสามารถเคลื่อนที่ไปมาในหน่วยความจำได้ ไวรัสดังกล่าวจะถูกเปิดใช้งานเมื่อมีการขัดจังหวะเกิดขึ้น และดำเนินการบางอย่าง รวมถึงการมาสก์ จากนั้นการควบคุมจะถูกถ่ายโอนไปยังโปรแกรม OS ที่ประมวลผลการขัดจังหวะเหล่านี้ ไวรัส "Stealth" มีความสามารถในการต่อต้านสารต้านไวรัสที่อาศัยอยู่ได้

โพลีมอร์ฟิกไวรัสไม่มีกลุ่มการระบุตัวตนแบบถาวร - ลายเซ็น เพื่อรับรู้ถึงความเป็นจริงของการติดเชื้อในสิ่งแวดล้อม ไวรัสทั่วไปจะวางลำดับไบนารีหรือลำดับอักขระพิเศษในการระบุตัวตนในวัตถุที่ติดไวรัส (ลายเซ็น) ซึ่งจะระบุการติดไวรัสของไฟล์หรือเซกเตอร์โดยไม่ซ้ำกัน ลายเซ็นจะถูกใช้ในขั้นตอนของการแพร่กระจายไวรัสเพื่อหลีกเลี่ยงการติดเชื้อซ้ำในวัตถุเดียวกัน เนื่องจากเมื่อวัตถุติดไวรัสซ้ำๆ ความน่าจะเป็นในการตรวจจับไวรัสจะเพิ่มขึ้นอย่างมาก เพื่อกำจัดคุณสมบัติการเปิดโปง ไวรัสโพลีมอร์ฟิกใช้การเข้ารหัสตัวไวรัสและการแก้ไขโปรแกรมเข้ารหัส เนื่องจากการเปลี่ยนแปลงนี้ ไวรัสโพลีมอร์ฟิกจึงไม่มีรหัสที่เหมือนกัน

ไวรัสใดๆ ก็ตาม ไม่ว่าจะอยู่ในคลาสใดคลาสหนึ่ง จะต้องมีบล็อกการทำงานสามบล็อก:

บล็อกการติดเชื้อ (การแพร่กระจาย)

มาสกิ้งบล็อคและ

บล็อกสำหรับการดำเนินการทำลายล้าง

การแบ่งบล็อกการทำงานหมายความว่าบล็อกเฉพาะจะรวมคำสั่งของโปรแกรมไวรัสที่ทำหน้าที่หนึ่งในสามฟังก์ชัน โดยไม่คำนึงถึงตำแหน่งของคำสั่งในร่างกายของไวรัส

หลังจากถ่ายโอนการควบคุมไปยังไวรัสแล้ว ตามกฎแล้ว ฟังก์ชั่นบางอย่างของชุดปิดบังจะถูกดำเนินการ ตัวอย่างเช่นร่างกายของไวรัสถูกถอดรหัส จากนั้นไวรัสจะทำหน้าที่แนะนำตัวเองในสภาพแวดล้อมที่ไม่ติดเชื้อ หากไวรัสต้องส่งผลในการทำลายล้าง ไวรัสจะดำเนินการโดยไม่มีเงื่อนไขหรือเมื่อตรงตามเงื่อนไขบางประการ

ไวรัสจะถูกกำจัดโดย Masking Block เสมอ ในกรณีนี้ จะดำเนินการดังต่อไปนี้: การเข้ารหัสไวรัส (หากใช้ฟังก์ชันการเข้ารหัส) การกู้คืนวันที่แก้ไขไฟล์เก่า การกู้คืนแอตทริบิวต์ของไฟล์ การปรับตาราง OS เป็นต้น

คำสั่งสุดท้ายของไวรัสคือคำสั่งให้เริ่มเรียกใช้งานไฟล์ที่ติดไวรัสหรือเรียกใช้โปรแกรมระบบปฏิบัติการ

เพื่อให้ทำงานกับไวรัสที่รู้จักได้ง่ายขึ้น จึงมีการใช้แค็ตตาล็อกไวรัส ข้อมูลต่อไปนี้เกี่ยวกับคุณสมบัติมาตรฐานของไวรัสจะถูกวางไว้ในไดเร็กทอรี: ชื่อ, ความยาว, ไฟล์ที่ติดไวรัส, ตำแหน่งที่ฉีดเข้าไปในไฟล์, วิธีการติดไวรัส, วิธีการฉีดเข้าไปใน OP สำหรับไวรัสประจำถิ่น, ผลกระทบที่เกิดขึ้น, การมีอยู่ (ขาด) ของฟังก์ชันการทำลายล้างและข้อผิดพลาด การมีอยู่ของไดเร็กทอรีช่วยให้คุณสามารถระบุเฉพาะคุณสมบัติพิเศษเมื่ออธิบายไวรัสโดยละเว้นคุณสมบัติและการดำเนินการมาตรฐาน

1. ไฟล์ไวรัส

โครงสร้างของไฟล์ไวรัสไวรัสไฟล์สามารถฝังอยู่ในไฟล์ปฏิบัติการเท่านั้น: ไฟล์แบตช์ (ไฟล์ที่ประกอบด้วยคำสั่งระบบปฏิบัติการ), ไฟล์ที่ขยายได้เอง, โปรแกรมผู้ใช้และระบบในรหัสเครื่อง รวมถึงในเอกสาร (ตาราง) ที่มีคำสั่งมาโคร มาโครหรือมาโครเป็นโปรแกรมปฏิบัติการสำหรับการทำงานกับเอกสาร (ตาราง) โดยอัตโนมัติ ดังนั้นเอกสาร (ตาราง) ดังกล่าวจึงถือเป็นไฟล์ปฏิบัติการได้

สำหรับพีซีที่เข้ากันได้กับ IBM ไวรัสสามารถฝังอยู่ในไฟล์ประเภทต่อไปนี้: ไฟล์แบตช์ (BAT), ไดรเวอร์ที่ดาวน์โหลดได้ (SYS), โปรแกรมในรหัสเครื่อง (ไบนารี) (EXE, COM), เอกสาร Word (DOC) จากเวอร์ชัน 6.0 และสูงกว่า ตาราง EXCEL (XLS) ไวรัสมาโครสามารถแทรกซึมเข้าไปในไฟล์อื่นที่มีคำสั่งแมโครได้

ไฟล์ไวรัสสามารถอยู่ที่จุดเริ่มต้น ตรงกลาง และจุดสิ้นสุดของไฟล์ที่ติดไวรัส (รูปที่ 10.1)

วิธีการตรวจจับและกำจัดไวรัสคอมพิวเตอร์

วิธีการต่อสู้กับไวรัสคอมพิวเตอร์สามารถแบ่งออกเป็นหลายกลุ่ม ได้แก่ การป้องกันการติดเชื้อไวรัส และลดความเสียหายที่คาดว่าจะได้รับจากการติดเชื้อดังกล่าว วิธีการใช้โปรแกรมป้องกันไวรัส รวมถึงการวางตัวเป็นกลางและการกำจัดไวรัสที่รู้จัก วิธีตรวจจับและลบไวรัสที่ไม่รู้จัก:

· การป้องกันการติดไวรัสคอมพิวเตอร์

· การฟื้นฟูวัตถุที่ได้รับผลกระทบ

· โปรแกรมป้องกันไวรัส

ป้องกันการติดไวรัสคอมพิวเตอร์

หนึ่งในวิธีการหลักในการต่อสู้กับไวรัสคือการป้องกันอย่างทันท่วงทีเช่นเดียวกับในทางการแพทย์ การป้องกันคอมพิวเตอร์เกี่ยวข้องกับการปฏิบัติตามกฎจำนวนเล็กน้อย ซึ่งสามารถลดโอกาสที่จะติดไวรัสและสูญเสียข้อมูลได้อย่างมาก

เพื่อกำหนดกฎพื้นฐานของสุขอนามัยคอมพิวเตอร์ จำเป็นต้องค้นหาวิธีหลักที่ไวรัสเจาะคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์

แหล่งที่มาหลักของไวรัสในปัจจุบันคืออินเทอร์เน็ตทั่วโลก การติดไวรัสจำนวนมากที่สุดเกิดขึ้นเมื่อแลกเปลี่ยนตัวอักษรในรูปแบบ Word/Office97 ผู้ใช้โปรแกรมแก้ไขที่ติดไวรัสมาโครโดยไม่รู้ตัว ส่งจดหมายที่ติดไวรัสไปยังผู้รับ ซึ่งจะส่งจดหมายที่ติดไวรัสใหม่ เป็นต้น บทสรุป - คุณควรหลีกเลี่ยงการติดต่อกับแหล่งข้อมูลที่น่าสงสัย และใช้เฉพาะผลิตภัณฑ์ซอฟต์แวร์ที่ถูกต้องตามกฎหมาย (มีลิขสิทธิ์) เท่านั้น น่าเสียดายที่ในประเทศของเราสิ่งนี้ไม่สามารถทำได้เสมอไป

การกู้คืนวัตถุที่ได้รับผลกระทบ

ในกรณีส่วนใหญ่ของการติดไวรัส ขั้นตอนในการกู้คืนไฟล์และดิสก์ที่ติดไวรัสจะขึ้นอยู่กับการเรียกใช้โปรแกรมป้องกันไวรัสที่เหมาะสมซึ่งสามารถทำให้ระบบเป็นกลางได้ หากโปรแกรมป้องกันไวรัสไม่รู้จักไวรัสก็เพียงพอที่จะส่งไฟล์ที่ติดไวรัสไปยังผู้ผลิตโปรแกรมป้องกันไวรัสและหลังจากนั้นครู่หนึ่ง (โดยปกติจะใช้เวลาหลายวันหรือหลายสัปดาห์) จะได้รับยา "อัปเดต" เพื่อป้องกันไวรัส หากเวลาไม่รอคุณ จะต้องต่อต้านไวรัสด้วยตัวเอง สำหรับผู้ใช้ส่วนใหญ่จำเป็นต้องมีการสำรองข้อมูลของคุณ

การจำแนกประเภทของโปรแกรมป้องกันไวรัส

โปรแกรมป้องกันไวรัสมีประสิทธิภาพสูงสุดในการต่อสู้กับไวรัสคอมพิวเตอร์ อย่างไรก็ตาม ฉันอยากจะทราบทันทีว่าไม่มีโปรแกรมป้องกันไวรัสใดที่รับประกันการป้องกันไวรัสได้ร้อยเปอร์เซ็นต์ และข้อความเกี่ยวกับการมีอยู่ของระบบดังกล่าวถือได้ว่าเป็นการโฆษณาที่ผิดพลาดหรือไม่เป็นมืออาชีพ ไม่มีระบบดังกล่าวเนื่องจากสำหรับอัลกอริธึมการป้องกันไวรัสใด ๆ เป็นไปได้ที่จะเสนออัลกอริธึมต่อต้านสำหรับไวรัสที่โปรแกรมป้องกันไวรัสนี้มองไม่เห็น (ในทางกลับกันโชคดีที่เป็นจริงเช่นกัน: สำหรับอัลกอริธึมไวรัสใด ๆ ก็สามารถสร้างได้เสมอ โปรแกรมป้องกันไวรัส)

โปรแกรมป้องกันไวรัสที่ได้รับความนิยมและมีประสิทธิภาพมากที่สุดคือเครื่องสแกนไวรัส (ชื่ออื่น: phage, polyphage, โปรแกรมแพทย์) ตามมาในแง่ของประสิทธิภาพและความนิยมคือเครื่องสแกน CRC (เช่น: ผู้ตรวจสอบ, ผู้ตรวจสอบ, ผู้ตรวจสอบความสมบูรณ์) บ่อยครั้งที่ทั้งสองวิธีนี้รวมกันเป็นโปรแกรมป้องกันไวรัสสากลเดียวซึ่งเพิ่มพลังอย่างมาก นอกจากนี้ยังใช้ยาบล็อคเกอร์และสารสร้างภูมิคุ้มกันประเภทต่างๆ อีกด้วย

เครื่องสแกน

หลักการทำงานของโปรแกรมสแกนป้องกันไวรัสนั้นขึ้นอยู่กับการตรวจสอบไฟล์ เซกเตอร์ และหน่วยความจำระบบ และค้นหาไวรัสที่รู้จักและใหม่ (ที่สแกนเนอร์ไม่รู้จัก) ในการค้นหาไวรัสที่รู้จัก จะใช้สิ่งที่เรียกว่า "มาสก์" หน้ากากของไวรัสคือลำดับโค้ดคงที่สำหรับไวรัสนี้โดยเฉพาะ หากไวรัสไม่มีมาสก์คงที่ หรือความยาวของมาสก์นี้ไม่มี ใหญ่พอจึงใช้วิธีการอื่น ๆ ตัวอย่างของวิธีการดังกล่าวคือ ภาษาอัลกอริทึม อธิบายชุดรหัสที่เป็นไปได้ทั้งหมดที่อาจเกิดขึ้นเมื่อติดไวรัสประเภทเดียวกัน โปรแกรมป้องกันไวรัสบางตัวใช้แนวทางนี้เพื่อตรวจจับไวรัสโพลีมอร์ฟิก สามารถแบ่งออกเป็นสองประเภท - "สากล" และ "เฉพาะทาง" สแกนเนอร์อเนกประสงค์ได้รับการออกแบบมาเพื่อค้นหาและต่อต้านไวรัสทุกประเภท โดยไม่คำนึงถึงระบบปฏิบัติการที่สแกนเนอร์ได้รับการออกแบบให้ทำงาน เครื่องสแกนเฉพาะทางได้รับการออกแบบมาเพื่อต่อต้านไวรัสจำนวนจำกัดหรือไวรัสประเภทเดียว เช่น ไวรัสมาโคร สแกนเนอร์เฉพาะทางที่ออกแบบมาสำหรับไวรัสมาโครเท่านั้นมักจะกลายเป็นโซลูชันที่สะดวกและเชื่อถือได้ที่สุดในการปกป้องระบบการจัดการเอกสารใน MS Word และ MS Excel

เครื่องสแกนยังแบ่งออกเป็น “ผู้พักอาศัย” (จอภาพ ยาม) ซึ่งทำการสแกนทันที และ “ผู้ไม่มีถิ่นที่อยู่” ซึ่งสแกนระบบเมื่อมีการร้องขอเท่านั้น ตามกฎแล้ว สแกนเนอร์ "ประจำ" จะให้การป้องกันระบบที่เชื่อถือได้มากกว่า เนื่องจากจะตอบสนองต่อการปรากฏตัวของไวรัสในทันที ในขณะที่สแกนเนอร์ "ไม่มีถิ่นที่อยู่" จะสามารถระบุไวรัสได้เฉพาะในระหว่างการเปิดตัวครั้งถัดไปเท่านั้น ในทางกลับกัน เครื่องสแกนประจำอาจทำให้คอมพิวเตอร์ช้าลงบ้าง รวมถึงผลบวกลวงที่เป็นไปได้

ข้อดีของเครื่องสแกนทุกประเภทรวมถึงความสามารถรอบด้าน ข้อเสียคือ การสแกนไวรัสค่อนข้างเร็ว โปรแกรมที่พบบ่อยที่สุดในรัสเซีย ได้แก่: AVP - Kaspersky, Dr. Weber - Danilova, Norton Antivirus จาก Semantic

เครื่องสแกนซีอาร์ซี

หลักการทำงานของเครื่องสแกน CRC ขึ้นอยู่กับการคำนวณผลรวม CRC (เช็คซัม) สำหรับไฟล์/เซกเตอร์ระบบที่อยู่บนดิสก์ จากนั้นผลรวม CRC เหล่านี้จะถูกจัดเก็บไว้ในฐานข้อมูลแอนตี้ไวรัส เช่นเดียวกับข้อมูลอื่นๆ เช่น ความยาวไฟล์ วันที่แก้ไขครั้งล่าสุด เป็นต้น เมื่อเปิดตัวในภายหลัง เครื่องสแกน CRC จะเปรียบเทียบข้อมูลที่มีอยู่ในฐานข้อมูลกับค่าที่คำนวณได้จริง หากข้อมูลไฟล์ที่บันทึกในฐานข้อมูลไม่ตรงกับค่าจริง เครื่องสแกน CRC จะส่งสัญญาณว่าไฟล์ได้รับการแก้ไขหรือติดไวรัส เครื่องสแกน CRC ที่ใช้อัลกอริธึมป้องกันการซ่อนตัวเป็นอาวุธที่ทรงพลังในการต่อต้านไวรัส: ไวรัสเกือบ 100% ตรวจพบเกือบจะในทันทีหลังจากที่ปรากฏบนคอมพิวเตอร์ อย่างไรก็ตาม โปรแกรมป้องกันไวรัสประเภทนี้มีข้อบกพร่องโดยธรรมชาติซึ่งทำให้ประสิทธิภาพลดลงอย่างมาก ข้อเสียนี้คือเครื่องสแกน CRC ไม่สามารถตรวจจับไวรัสได้ในขณะที่ปรากฏในระบบ แต่จะทำสิ่งนี้ในภายหลังหลังจากที่ไวรัสแพร่กระจายไปทั่วคอมพิวเตอร์เท่านั้น เครื่องสแกน CRC ไม่สามารถตรวจพบไวรัสในไฟล์ใหม่ (ในอีเมล บนฟล็อปปี้ดิสก์ ในไฟล์ที่กู้คืนจากข้อมูลสำรอง หรือเมื่อแตกไฟล์จากไฟล์เก็บถาวร) เนื่องจากฐานข้อมูลไม่มีข้อมูลเกี่ยวกับไฟล์เหล่านี้ ยิ่งไปกว่านั้น ไวรัสจะปรากฏขึ้นเป็นระยะ ๆ ซึ่งใช้ประโยชน์จาก "จุดอ่อน" ของเครื่องสแกน CRC โดยจะแพร่เชื้อเฉพาะไฟล์ที่สร้างขึ้นใหม่เท่านั้นและจึงมองไม่เห็นโปรแกรมประเภทนี้ที่ใช้มากที่สุดในรัสเซียคือ ADINF และ AVP Inspector

บล็อคเกอร์

ตัวบล็อคป้องกันไวรัสเป็นโปรแกรมประจำถิ่นที่สกัดกั้นสถานการณ์ "อันตรายจากไวรัส" และแจ้งให้ผู้ใช้ทราบเกี่ยวกับเรื่องนี้ "อันตรายจากไวรัส" รวมถึงการเรียกให้เปิดเพื่อเขียนไฟล์ปฏิบัติการการเขียนลงในเซกเตอร์สำหรับบูตของดิสก์หรือ MBR ของฮาร์ดไดรฟ์ และความพยายามของโปรแกรมที่จะคงถิ่นที่อยู่ ฯลฯ กล่าวคือ การเรียกที่เป็นลักษณะของไวรัสในระหว่างการแพร่พันธุ์ บางครั้งฟังก์ชันตัวบล็อกบางอย่างจะถูกนำไปใช้ในเครื่องสแกนประจำบ้าน

ข้อดีของตัวบล็อคคือความสามารถในการตรวจจับและหยุดยั้งไวรัสในระยะแรกของการแพร่พันธุ์ ซึ่งจะมีประโยชน์มากในกรณีที่ไวรัสที่รู้จักกันมานาน "คืบคลานออกมาจากที่ไหนเลย" อย่างต่อเนื่อง ข้อเสีย ได้แก่ การมีอยู่ของวิธีการหลีกเลี่ยงการป้องกันตัวบล็อกและตัวปลอมจำนวนมาก การตรวจจับซึ่งเห็นได้ชัดว่าเป็นสาเหตุของการปฏิเสธผู้ใช้เกือบทั้งหมดจากโปรแกรมป้องกันไวรัสประเภทนี้ (เช่น ไม่ใช่ตัวบล็อกตัวเดียว สำหรับ Windows95/NT เป็นที่รู้จัก - ไม่มีอุปสงค์ ไม่มีอุปทาน)

นอกจากนี้ยังจำเป็นต้องสังเกตทิศทางของเครื่องมือป้องกันไวรัสเช่นตัวบล็อกไวรัสซึ่งสร้างขึ้นในรูปแบบของส่วนประกอบฮาร์ดแวร์คอมพิวเตอร์ (“ฮาร์ดแวร์”) ที่พบบ่อยที่สุดคือการป้องกันการเขียนที่สร้างไว้ใน BIOS ใน MBR ของ ฮาร์ดไดรฟ์ อย่างไรก็ตาม เช่นเดียวกับในกรณีของตัวบล็อกซอฟต์แวร์ การป้องกันดังกล่าวสามารถข้ามได้อย่างง่ายดายโดยการเขียนโดยตรงไปยังพอร์ตตัวควบคุมดิสก์ และการเรียกใช้ยูทิลิตี้ DOS FDISK จะทำให้เกิดการป้องกัน "ผลบวกลวง" ทันที

มีตัวบล็อคฮาร์ดแวร์ที่เป็นสากลอีกหลายตัว แต่นอกเหนือจากข้อเสียที่ระบุไว้ข้างต้นแล้วยังมีปัญหาเรื่องความเข้ากันได้กับการกำหนดค่าคอมพิวเตอร์มาตรฐานและความซับซ้อนในการติดตั้งและกำหนดค่าอีกด้วย ทั้งหมดนี้ทำให้ตัวบล็อคฮาร์ดแวร์ไม่ได้รับความนิยมอย่างมากเมื่อเทียบกับการป้องกันไวรัสประเภทอื่น

สารสร้างภูมิคุ้มกัน

โปรแกรมสร้างภูมิคุ้มกันคือโปรแกรมที่เขียนรหัสลงในโปรแกรมอื่นที่รายงานการติดเชื้อ โดยปกติแล้วพวกเขาจะเขียนโค้ดเหล่านี้ไว้ที่ส่วนท้ายของไฟล์ (คล้ายกับไฟล์ไวรัส) และตรวจสอบไฟล์เพื่อดูการเปลี่ยนแปลงทุกครั้งที่เรียกใช้ พวกเขามีข้อเสียเปรียบเพียงข้อเดียว แต่เป็นอันตรายถึงชีวิต: การไม่สามารถรายงานการติดเชื้อไวรัสล่องหนได้โดยสิ้นเชิง ดังนั้นจึงไม่มีการใช้สารสร้างภูมิคุ้มกันเช่นบล็อคเกอร์ในปัจจุบัน นอกจากนี้ หลายโปรแกรมที่พัฒนาขึ้นเมื่อเร็วๆ นี้ตรวจสอบตัวเองเพื่อความสมบูรณ์ และอาจเข้าใจผิดว่ารหัสที่ฝังอยู่ในโปรแกรมนั้นเป็นไวรัสและปฏิเสธที่จะทำงาน

การแพร่กระจายของไวรัสจำนวนมหาศาลและผลกระทบร้ายแรงจากผลกระทบต่อทรัพยากร CS ทำให้จำเป็นต้องมีการพัฒนาและการใช้สารป้องกันไวรัสพิเศษและวิธีการใช้งาน เครื่องมือป้องกันไวรัสใช้เพื่อแก้ไขปัญหาต่อไปนี้:

• - การตรวจหาไวรัสใน CS;
• - การปิดกั้นการทำงานของโปรแกรมไวรัส
• - กำจัดผลกระทบของไวรัส

ขอแนะนำให้ตรวจพบไวรัสในระยะที่เกิด

การแนะนำหรืออย่างน้อยก่อนที่จะเริ่มการทำงานของการทำลายล้างของไวรัส ต้องสังเกตว่าไม่มีเครื่องมือป้องกันไวรัสที่รับประกันการตรวจจับไวรัสที่เป็นไปได้ทั้งหมด

หากตรวจพบไวรัส คุณต้องหยุดโปรแกรมไวรัสทันทีเพื่อลดความเสียหายจากผลกระทบต่อระบบให้เหลือน้อยที่สุด

การกำจัดผลที่ตามมาจากไวรัสนั้นดำเนินการในสองทิศทาง:

• - การกำจัดไวรัส
• - การกู้คืนไฟล์ (หากจำเป็น) พื้นที่หน่วยความจำ

เทคโนโลยีการกู้คืนระบบขึ้นอยู่กับประเภทของไวรัส รวมถึงช่วงเวลาที่ตรวจพบไวรัสซึ่งสัมพันธ์กับการโจมตีที่เป็นอันตราย การกู้คืนข้อมูลโดยไม่ใช้ข้อมูลที่ซ้ำกันอาจเป็นไปไม่ได้หากไวรัสไม่ได้บันทึกข้อมูลในตำแหน่งที่ไวรัสนั้นถูกเก็บไว้ในหน่วยความจำ และหากการกระทำที่เป็นอันตรายได้เริ่มขึ้นแล้วและเกี่ยวข้องกับการเปลี่ยนแปลงข้อมูล

เพื่อต่อสู้กับไวรัส มีการใช้ซอฟต์แวร์และฮาร์ดแวร์ซึ่งใช้ในลำดับและการรวมกันที่แน่นอน ก่อให้เกิดวิธีการต่อสู้กับไวรัส ซึ่งแบ่งออกเป็นวิธีการตรวจจับและกำจัดไวรัส

วิธีการตรวจหาไวรัสได้แก่:

• - การสแกน;
• - การตรวจจับการเปลี่ยนแปลง
• - การวิเคราะห์เชิงแสง
• - การใช้เจ้าหน้าที่รักษาความปลอดภัยประจำถิ่น
• - โปรแกรมการฉีดวัคซีน
• - การป้องกันไวรัสทั้งฮาร์ดแวร์และซอฟต์แวร์

กำลังสแกน- หนึ่งในวิธีการตรวจจับที่ง่ายที่สุด

ไวรัส การสแกนดำเนินการโดยโปรแกรมสแกนเนอร์ที่จะค้นหาไฟล์เพื่อค้นหาส่วนที่ระบุของไวรัส - ลายเซ็น โปรแกรมตรวจจับการมีอยู่ของไวรัสที่รู้จักอยู่แล้ว ยกเว้นไวรัสโพลีมอร์ฟิกที่ใช้การเข้ารหัสเนื้อความของไวรัส โดยเปลี่ยนลายเซ็นในแต่ละครั้ง โปรแกรมสแกนเนอร์ไม่สามารถจัดเก็บลายเซ็นของไวรัสที่รู้จักได้ แต่จะเก็บผลรวมตรวจสอบ โปรแกรมสแกนเนอร์มักจะสามารถกำจัดไวรัสที่ตรวจพบได้ โปรแกรมดังกล่าวเรียกว่าโพลีฟาจ

วิธีการสแกนใช้ในการตรวจจับไวรัสซึ่งมีการระบุลายเซ็นแล้วและเป็นแบบถาวร เพื่อให้ใช้วิธีการนี้ได้อย่างมีประสิทธิภาพ จำเป็นต้องอัปเดตข้อมูลเกี่ยวกับไวรัสใหม่ๆ เป็นประจำ

โปรแกรมสแกนเนอร์ที่มีชื่อเสียงที่สุดในรัสเซียคือ Dmitry Lozinsky's Aidstest

วิธีการตรวจจับการเปลี่ยนแปลงจะขึ้นอยู่กับการใช้โปรแกรมแสดง โปรแกรมเหล่านี้จะระบุและจดจำลักษณะของพื้นที่ทั้งหมดบนดิสก์ที่มักพบไวรัส เมื่อรันโปรแกรมวิวเวอร์เป็นระยะ จะมีการเปรียบเทียบคุณสมบัติที่เก็บไว้และคุณสมบัติที่ได้รับจากการตรวจสอบพื้นที่ดิสก์ จากผลการตรวจสอบ โปรแกรมจะให้ข้อมูลเกี่ยวกับการมีอยู่ของไวรัสที่ต้องสงสัย

โดยทั่วไปแล้ว โปรแกรมตรวจสอบจะจัดเก็บไว้ในอิมเมจไฟล์พิเศษของมาสเตอร์บูตเรคคอร์ด, บูตเซกเตอร์ของดิสก์ลอจิคัล, ลักษณะของไฟล์ที่ถูกตรวจสอบทั้งหมด, ไดเร็กทอรีและจำนวนคลัสเตอร์ที่ชำรุด, จำนวน RAM ที่ติดตั้ง, จำนวนดิสก์ที่เชื่อมต่อกับคอมพิวเตอร์และ พารามิเตอร์

ข้อได้เปรียบหลักของวิธีนี้คือความสามารถในการตรวจจับไวรัสทุกประเภทรวมถึงไวรัสใหม่ที่ไม่รู้จัก โปรแกรมการตรวจสอบขั้นสูงสามารถตรวจจับไวรัสที่ซ่อนอยู่ได้ ตัวอย่างเช่น โปรแกรมตรวจสอบ Adinf ที่พัฒนาโดย D.Yu. Mostovy ทำงานร่วมกับดิสก์โดยตรงตามเซกเตอร์ผ่าน BIOS สิ่งนี้ไม่อนุญาตให้ไวรัส "ซ่อนตัว" ใช้ความสามารถในการสกัดกั้นการขัดจังหวะและ "ยืนหยัด" เพื่อควบคุมพื้นที่หน่วยความจำที่ไวรัสต้องการ

วิธีนี้มีข้อเสียเช่นกัน การใช้โปรแกรมตรวจสอบจะไม่สามารถตรวจพบไวรัสในไฟล์ที่เข้าสู่ระบบที่ติดไวรัสแล้วได้ ไวรัสจะถูกตรวจพบหลังจากที่มีการแพร่กระจายในระบบเท่านั้น

โปรแกรมตรวจสอบไม่เหมาะสำหรับการตรวจหาการติดไวรัสมาโคร เนื่องจากเอกสารและตารางมีการเปลี่ยนแปลงบ่อยมาก

การวิเคราะห์แบบฮิวริสติก ค่อนข้างเร็ว ๆ นี้เริ่มถูกนำมาใช้เพื่อตรวจจับไวรัส เช่นเดียวกับวิธีการตรวจจับการเปลี่ยนแปลง วิธีนี้ช่วยให้คุณตรวจจับไวรัสที่ไม่รู้จัก แต่ไม่จำเป็นต้องรวบรวม ประมวลผล และจัดเก็บข้อมูลเบื้องต้นในระบบไฟล์

สาระสำคัญของการวิเคราะห์ฮิวริสติกคือการตรวจสอบแหล่งที่อยู่อาศัยที่เป็นไปได้ของไวรัสและระบุลักษณะคำสั่ง (กลุ่มคำสั่ง) ของไวรัสในไวรัสเหล่านั้น คำสั่งดังกล่าวอาจเป็นคำสั่งสำหรับสร้างโมดูลที่อาศัยอยู่ใน RAM คำสั่งสำหรับการเข้าถึงดิสก์โดยตรง ข้ามระบบปฏิบัติการ เมื่อเครื่องวิเคราะห์การศึกษาพฤติกรรมตรวจพบคำสั่ง “น่าสงสัย” ในไฟล์หรือเซกเตอร์สำหรับบูต พวกเขาจะส่งข้อความเกี่ยวกับการติดไวรัสที่อาจเกิดขึ้น หลังจากได้รับข้อความดังกล่าว คุณจะต้องสแกนไฟล์และเซกเตอร์สำหรับบูตที่อาจติดไวรัสอย่างระมัดระวังด้วยเครื่องมือป้องกันไวรัสที่มีอยู่ทั้งหมด ตัววิเคราะห์การวิเคราะห์พฤติกรรมมีให้ใช้งาน เช่น ในโปรแกรมป้องกันไวรัส Doctor Web

วิธีการใช้งาน ยามประจำถิ่นขึ้นอยู่กับการใช้งานโปรแกรมที่อยู่ในเมนเฟรมของคอมพิวเตอร์อย่างต่อเนื่องและติดตามการทำงานทั้งหมดของโปรแกรมอื่น กระบวนการทางเทคโนโลยีของการใช้ Resident Guards ดำเนินการตามลำดับต่อไปนี้: หากโปรแกรมใดดำเนินการที่น่าสงสัย (การเข้าถึงเพื่อเขียนไปยังบูตเซกเตอร์ วางโมดูล Resident ใน OP พยายามสกัดกั้นการขัดจังหวะ ฯลฯ) เจ้าหน้าที่รักษาความปลอดภัยจะออก ข้อความถึงผู้ใช้ โปรแกรมเฝ้าระวังสามารถโหลดโปรแกรมป้องกันไวรัสอื่น ๆ เพื่อดำเนินการเพื่อตรวจสอบโปรแกรมที่ "น่าสงสัย" รวมถึงตรวจสอบไฟล์ทั้งหมดที่มาจากภายนอก (จากดิสก์แบบถอดได้บนเครือข่าย)

ข้อเสียที่สำคัญของวิธีนี้คือเปอร์เซ็นต์สำคัญของการเตือนที่ผิดพลาดซึ่งรบกวนการทำงานของผู้ใช้ทำให้เกิดการระคายเคืองและความปรารถนาที่จะละทิ้งการใช้เจ้าหน้าที่รักษาความปลอดภัยประจำถิ่น ตัวอย่างของผู้ดูแลประจำบ้านคือโปรแกรม Vsafe ซึ่งเป็นส่วนหนึ่งของ MS DOS

ภายใต้ โปรแกรมการฉีดวัคซีนหมายถึงการสร้างโมดูลพิเศษเพื่อควบคุมความสมบูรณ์ของโมดูล โดยปกติแล้วเช็คซัมจะใช้เพื่อระบุลักษณะความสมบูรณ์ของไฟล์ เมื่อไฟล์ที่ได้รับการฉีดวัคซีนติดไวรัส โมดูลควบคุมจะตรวจพบการเปลี่ยนแปลงในผลรวมตรวจสอบและแจ้งให้ผู้ใช้ทราบ วิธีนี้ช่วยให้คุณตรวจจับไวรัสทั้งหมด รวมถึงไวรัสที่ไม่คุ้นเคย ยกเว้นไวรัส "ซ่อนตัว"

การบล็อกการทำงานของโปรแกรมไวรัสนั้นดำเนินการโดยใช้ เครื่องมือป้องกันไวรัสฮาร์ดแวร์และซอฟต์แวร์ปัจจุบันมีการใช้คอนโทรลเลอร์พิเศษและซอฟต์แวร์เพื่อปกป้องพีซี คอนโทรลเลอร์ได้รับการติดตั้งในช่องขยายและสามารถเข้าถึงบัสทั่วไปได้ สิ่งนี้ทำให้เขาสามารถควบคุมการเข้าถึงระบบดิสก์ทั้งหมดได้ ซอฟต์แวร์คอนโทรลเลอร์จะจดจำพื้นที่บนดิสก์ที่ไม่สามารถเปลี่ยนแปลงได้ในโหมดการทำงานปกติ ดังนั้นคุณสามารถติดตั้งการป้องกันการเปลี่ยนแปลงในมาสเตอร์บูตเรคคอร์ด เซกเตอร์สำหรับบูต ไฟล์การกำหนดค่า ไฟล์ปฏิบัติการ ฯลฯ

เมื่อโปรแกรมใด ๆ ดำเนินการต้องห้ามตัวควบคุมจะส่งข้อความที่เกี่ยวข้องไปยังผู้ใช้และบล็อกการทำงานของพีซี

เครื่องมือป้องกันไวรัสฮาร์ดแวร์และซอฟต์แวร์มีข้อดีมากกว่าซอฟต์แวร์หลายประการ:

• - ทำงานอย่างต่อเนื่อง
• - ตรวจจับไวรัสทั้งหมดโดยไม่คำนึงถึงกลไกการออกฤทธิ์
• - บล็อกการกระทำที่ไม่ได้รับอนุญาตซึ่งเป็นผลมาจากไวรัสหรือผู้ใช้ที่ไม่มีคุณสมบัติเหมาะสม

เครื่องมือเหล่านี้มีข้อเสียเปรียบประการหนึ่ง - ขึ้นอยู่กับฮาร์ดแวร์พีซี การเปลี่ยนอันหลังทำให้จำเป็นต้องเปลี่ยนคอนโทรลเลอร์

ตัวอย่างของระบบป้องกันไวรัสที่ใช้ซอฟต์แวร์คือ Sheriff complex

กระบวนการลบผลที่ตามมาจากการติดไวรัสจะกำจัดไวรัส รวมถึงกู้คืนไฟล์และพื้นที่หน่วยความจำที่มีไวรัสอยู่ มีสองวิธีในการลบผลกระทบของไวรัสโดยใช้โปรแกรมป้องกันไวรัส

วิธีแรกเกี่ยวข้องกับการกู้คืนระบบหลังจากได้รับไวรัสที่รู้จัก ผู้พัฒนาโปรแกรมฟาจที่กำจัดไวรัสจะต้องทราบโครงสร้างของไวรัสและลักษณะของไวรัสในการวางตำแหน่งในสภาพแวดล้อม

วิธีที่สองช่วยให้คุณสามารถกู้คืนไฟล์และเซกเตอร์สำหรับบูตที่ติดไวรัสที่ไม่รู้จัก ในการกู้คืนไฟล์ โปรแกรมกู้คืนจะต้องสร้างและจัดเก็บข้อมูลไฟล์ที่ได้รับในสภาพแวดล้อมที่ปราศจากไวรัสในเชิงรุก การมีข้อมูลเกี่ยวกับไฟล์ที่ไม่ติดไวรัสและใช้ข้อมูลเกี่ยวกับหลักการทั่วไปของการทำงานของไวรัส จึงมีการดำเนินการกู้คืนไฟล์ หากไวรัสทำให้ไฟล์มีการเปลี่ยนแปลงแบบถาวร การกู้คืนจะทำได้โดยใช้สำเนาสำรองหรือจากชุดการแจกจ่ายเท่านั้น หากไม่มีอยู่มีทางเดียวเท่านั้นคือทำลายไฟล์และกู้คืนด้วยตนเอง

หากโปรแกรมป้องกันไวรัสของคุณไม่สามารถกู้คืนมาสเตอร์บูตเรกคอร์ดหรือเซกเตอร์สำหรับบูตได้ คุณสามารถลองทำด้วยตนเองได้ หากไม่สำเร็จ คุณควรฟอร์แมตดิสก์และติดตั้งลงในระบบปฏิบัติการ

มีไวรัสหลายตัวที่เมื่อเข้าสู่คอมพิวเตอร์ จะกลายเป็นส่วนหนึ่งของระบบปฏิบัติการ หากคุณเพียงแค่ลบไวรัสดังกล่าว ระบบก็จะใช้งานไม่ได้

ไวรัสชนิดหนึ่งคือไวรัส One Half เมื่อคอมพิวเตอร์บูท ไวรัสจะค่อยๆ เข้ารหัสฮาร์ดไดรฟ์ เมื่อเข้าถึงเซกเตอร์ที่เข้ารหัสแล้ว ไวรัส One Half ประจำถิ่นจะดักการเข้าถึงและถอดรหัสข้อมูล การลบไวรัสจะทำให้ไม่สามารถใช้ส่วนที่เข้ารหัสของดิสก์ได้ เมื่อลบไวรัสดังกล่าว คุณต้องถอดรหัสข้อมูลบนดิสก์ก่อน ในการทำเช่นนี้คุณต้องรู้กลไกการออกฤทธิ์ของไวรัส

ไม่มีการป้องกันไวรัสที่สมบูรณ์แบบ แต่คุณจะป้องกันตัวเองจากการโจมตีของไวรัสได้อย่างไร? เช่นเดียวกับในกรณีของการต่อสู้กับ "พี่น้องที่มีชีวิต" มีสองวิธีหลักในการป้องกันและรักษาโรค - การป้องกันและการรักษา ก่อนจะถึงเป้าหมาย ไวรัสต้องถึงก่อน ส่วนใหญ่มักจะย้ายจากเครื่องหนึ่งไปอีกเครื่องหนึ่งโดยแอบบันทึกไว้ในฟล็อปปี้ดิสก์ เพื่อป้องกันสิ่งนี้ จึงมีช่องพิเศษบนฟล็อปปี้ดิสก์ โดยการเปิดหรือปิดซึ่งคุณสามารถอนุญาตหรือปิดการเขียนลงในฟล็อปปี้ดิสก์ได้ สำหรับสิ่งที่เรียกว่า “แฟลชไดรฟ์” และฮาร์ดไดรฟ์แบบพกพา มีวิธีซอฟต์แวร์ที่ห้ามไม่ให้โหลดอัตโนมัติและ/หรือบันทึก ไวรัสอินเทอร์เน็ต โปรแกรมป้องกันไวรัสคอมพิวเตอร์

หากต้องการทราบว่าคอมพิวเตอร์ของคุณติดไวรัสหรือไม่ คุณต้องตรวจหาไวรัสอย่างน้อยหนึ่งครั้งทุกๆ สองเดือนด้วยโปรแกรมพิเศษ - โปรแกรมป้องกันไวรัส

แอนติไวรัส- เครื่องมือซอฟต์แวร์ที่ออกแบบมาเพื่อต่อสู้กับไวรัส

จากคำจำกัดความ งานหลักของโปรแกรมป้องกันไวรัสมีดังนี้:

• การป้องกันไวรัสไม่ให้เข้าสู่ระบบคอมพิวเตอร์ของคุณ
• การตรวจจับว่ามีไวรัสอยู่ในระบบคอมพิวเตอร์
• · กำจัดไวรัสออกจากระบบคอมพิวเตอร์โดยไม่สร้างความเสียหายให้กับวัตถุระบบอื่น ๆ
• · ลดความเสียหายจากไวรัสให้เหลือน้อยที่สุด

โปรแกรมป้องกันไวรัสแบ่งออกเป็นประเภทต่อไปนี้:

หากเครื่องของคุณหรือไดรฟ์แยกจำหน่ายยังคงติดไวรัส คุณต้องดำเนินการดังต่อไปนี้:

• 1. รีสตาร์ทคอมพิวเตอร์จากดิสก์ระบบที่มีการป้องกันการเขียน (คุณต้องมี)
• 2. เรียกใช้โปรแกรมป้องกันไวรัส (ควรเป็นโพลีฟาจและจากฟล็อปปี้ดิสก์ด้วย)
• 3. ติดตั้งระบบใหม่ ฟอร์แมตดิสก์

ตัวอย่างโปรแกรมป้องกันไวรัสยอดนิยม: Doctor Web, NOD32, AVP E.V. แคสเปอร์สกี้.

โซโคลอฟ โรมัน

บทคัดย่อวิทยาการคอมพิวเตอร์ "ไวรัสคอมพิวเตอร์และการต่อสู้กับพวกมัน"

ดาวน์โหลด:

ดูตัวอย่าง:

MU กรมสามัญศึกษาของการบริหารเขต Zyryansky

สถาบันการศึกษาเทศบาล Tsyganovskaya โรงเรียนมัธยมขั้นพื้นฐาน

การประชุมทางวิทยาศาสตร์และการปฏิบัติระดับภูมิภาค

เด็กนักเรียน "ดาวเคราะห์ - 3000"

(บทคัดย่อวิทยาการคอมพิวเตอร์)

เสร็จสิ้นโดย: Sokolov Roman Yuryevichนักเรียน

MOU TsOOSH ชั้นประถมศึกษาปีที่ 9

หัวหน้า: Nadezhda Ivanovna Sokolova

ครูสอนวิทยาการคอมพิวเตอร์ โรงเรียนมัธยม Tsyganovskaya

ส. ทซีกาโนโว

หน้าหนังสือ

1. บทนำ ………………………………………………………………………………………….. 1

2. ไวรัสคืออะไร?................................................ ..... ........................................... .......... ... 2 – 4

3. ไวรัสคอมพิวเตอร์มาจากไหน? ……………………………… 5

4. อาชญากรรมในด้านเทคโนโลยีคอมพิวเตอร์ ………………………. 5 – 6

5. สัญญาณของไวรัส………………………………… 6

6. ประวัติเล็กน้อย ………………………………………………………… 6

7. การจำแนกประเภทของไวรัส …………………………………………… 7 – 9

8. การป้องกัน…………………………………………………………… 9

9. โปรแกรมป้องกันไวรัส …………………………………………………. 10 – 11

10. บทสรุป………………………………………………………………………………….. 11

11. วัสดุที่ใช้………………………………………………………12

เป้า:

สำรวจ “กลไกการทำงาน” ของไวรัสคอมพิวเตอร์

งาน:

• เจาะลึกความรู้เกี่ยวกับไวรัสคอมพิวเตอร์
• ระบุสัญญาณของการปรากฏตัวของไวรัสการจำแนกประเภท
• เรียนรู้การจัดระบบและใช้ข้อมูลที่ได้รับอย่างถูกต้อง
• พัฒนาทักษะของคุณในการทำงานกับโปรแกรมป้องกันไวรัส

1. บทนำ

สำหรับงานวิทยาการคอมพิวเตอร์ของฉัน ฉันเลือกหัวข้อ “ไวรัสคอมพิวเตอร์และการต่อสู้กับพวกมัน” เพราะในฐานะมือใหม่ ฉันต้องต่อสู้กับไวรัสบนพีซีของฉันมากกว่าหนึ่งครั้ง หัวข้อนี้ปิดอย่างเจ็บปวด - ฉันต้องการอุทิศงานให้กับหัวข้อนี้
ไวรัสคอมพิวเตอร์ นี่คืออะไรและจะจัดการกับมันอย่างไร? มีการเขียนหนังสือหลายสิบเล่มและบทความหลายร้อยบทความในหัวข้อนี้แล้ว ผู้เชี่ยวชาญหลายร้อย (หรือหลายพันคน) ในบริษัทหลายสิบแห่ง (หรืออาจเป็นหลายร้อย) มีส่วนร่วมอย่างมืออาชีพในการต่อสู้กับไวรัสคอมพิวเตอร์ ดูเหมือนว่าหัวข้อนี้ไม่ซับซ้อนและเกี่ยวข้องมากนักจนเป็นเป้าหมายของความสนใจอย่างใกล้ชิด อย่างไรก็ตามมันไม่ใช่ ไวรัสคอมพิวเตอร์เป็นสาเหตุหนึ่งที่ทำให้ข้อมูลสูญหายและยังคงเป็นสาเหตุที่พบบ่อยที่สุด มีหลายกรณีที่ไวรัสขัดขวางการทำงานขององค์กรและองค์กรต่างๆ ยิ่งไปกว่านั้น เมื่อหลายปีก่อน มีการบันทึกกรณีไวรัสคอมพิวเตอร์ทำให้บุคคลเสียชีวิต - ในโรงพยาบาลแห่งหนึ่งในประเทศเนเธอร์แลนด์ ผู้ป่วยได้รับมอร์ฟีนในปริมาณที่อันตรายถึงชีวิตเนื่องจากคอมพิวเตอร์ติดไวรัสและผลิตไม่ถูกต้อง ข้อมูล.
เช่นเดียวกับโรคหวัด คอมพิวเตอร์ที่ถูกไวรัสโจมตีจะเริ่มแสดงอาการเจ็บปวด การติดเชื้อไวรัสจะทำให้ปฏิกิริยาช้าลง น้ำหนักตัวเปลี่ยนแปลง ความอ่อนแอทั่วไป ความเจ็บปวด ความจำเสื่อมบางส่วนหรือทั้งหมด และถึงขั้นเสียชีวิตได้ เมื่อติดไวรัส คอมพิวเตอร์จะแสดงอาการคล้ายกัน: โปรแกรมทำงานช้ากว่าปกติ ขนาดไฟล์เปลี่ยนแปลงโดยไม่ทราบสาเหตุ ข้อความแสดงข้อผิดพลาดที่ผิดปกติและเกิดขึ้นบ่อยครั้ง ข้อมูลสูญหายหรือเปลี่ยนแปลง และระบบขัดข้องโดยสมบูรณ์ ไวรัสคอมพิวเตอร์ที่ค่อนข้างไม่เป็นอันตรายบางตัวทำซ้ำแต่ไม่ได้ทำอะไรแย่ๆ ไวรัสเหล่านี้อาจแสดงข้อความผิดพลาดบนหน้าจอ อย่างไรก็ตาม ในบางกรณี การโจมตีของไวรัส เช่น ระบบช่วยชีวิตในโรงพยาบาล และการสร้างข้อความที่ไม่ถูกต้องอาจส่งผลร้ายแรงได้ นอกจากนี้ ไวรัสยังสามารถสร้างความเสียหายร้ายแรงต่อระบบได้ เช่น การลบข้อมูลทั้งหมดออกจากฮาร์ดไดรฟ์

2. ไวรัสคืออะไร?

D.N. Lozinsky หนึ่งใน “แพทย์” ผู้โด่งดัง ให้คำจำกัดความของไวรัสโดยใช้ตัวอย่างเสมียน
ลองนึกภาพเลขานุการผู้เรียบร้อยที่มาทำงานในสำนักงานของเขาและทุกวันพบกระดาษกองหนึ่งบนโต๊ะพร้อมรายการงานที่เขาต้องทำในระหว่างวันทำงาน เขาหยิบแผ่นบนสุด อ่านคำแนะนำจากผู้บังคับบัญชา ปฏิบัติตามตรงต่อเวลา โยนแผ่น "ใช้แล้ว" ลงถังขยะ แล้วย้ายไปยังแผ่นถัดไป สมมติว่ามีผู้บุกรุกแอบเข้าไปในสำนักงานและวางกระดาษแผ่นหนึ่งลงในปึกกระดาษที่มีข้อความเขียนว่า “เขียนเอกสารนี้ใหม่สองครั้งและใส่สำเนาลงในปึกงานมอบหมายของเพื่อนบ้าน” เลขานุการจะทำอะไร เขาจะเขียนแผ่นงานใหม่สองครั้ง วางไว้บนโต๊ะของเพื่อนบ้าน ทำลายต้นฉบับและย้ายไปยังแผ่นงานที่สองจากปึก เช่น จะทำงานที่แท้จริงของเขาต่อไป เพื่อนบ้านที่เป็นคนงานเรียบร้อยเหมือนเดิมจะทำอย่างไรเมื่อพบงานใหม่? เช่นเดียวกับอันแรก: พวกเขาจะเขียนซ้ำสองครั้งและแจกจ่ายให้ผู้อื่น โดยรวมแล้วมีเอกสารต้นฉบับอยู่สี่ชุดที่เดินไปรอบๆ สำนักงาน ซึ่งจะถูกคัดลอกและแจกจ่ายไปยังโต๊ะอื่นๆ ต่อไป
ไวรัสคอมพิวเตอร์ทำงานในลักษณะเดียวกัน มีเพียงคำสั่งกระดาษเท่านั้นที่เป็นโปรแกรม และเลขานุการก็คือคอมพิวเตอร์ เช่นเดียวกับเลขานุการ คอมพิวเตอร์จะรันคำสั่งโปรแกรมทั้งหมดอย่างระมัดระวัง (แผ่นงาน) โดยเริ่มจากคำสั่งแรก หากคำสั่งแรกฟังดูเหมือน “คัดลอกฉันลงในโปรแกรมอื่นสองโปรแกรม” คอมพิวเตอร์ก็จะทำเช่นนั้น และคำสั่งไวรัสจะไปสิ้นสุดในอีกสองโปรแกรมที่เหลือ เมื่อคอมพิวเตอร์ก้าวต่อไปเพื่อรันโปรแกรมที่ “ติดไวรัส” อื่นๆ ไวรัสจะแพร่กระจายไปทั่วคอมพิวเตอร์ในลักษณะเดียวกัน ในตัวอย่างข้างต้นเกี่ยวกับเลขานุการและสำนักงาน ชีตไวรัสไม่ได้ตรวจสอบว่าโฟลเดอร์งานถัดไปติดไวรัสหรือไม่ ในกรณีนี้เมื่อสิ้นสุดวันทำงานสำนักงานจะเต็มไปด้วยสำเนาดังกล่าวและเลขานุการจะเขียนข้อความเดียวกันใหม่และแจกจ่ายให้เพื่อนบ้านเท่านั้น - หลังจากนั้นคนแรกจะทำสำเนาสองชุดเหยื่อรายต่อไป ของไวรัสจะเป็นสี่จากนั้น 8, 16, 32, 64 เป็นต้นเช่น จำนวนสำเนาจะเพิ่มขึ้นเป็นสองเท่าในแต่ละครั้ง หากพนักงานใช้เวลา 30 วินาทีในการเขียนกระดาษหนึ่งแผ่นใหม่และอีก 30 วินาทีเพื่อแจกจ่ายสำเนา จากนั้นในหนึ่งชั่วโมง สำเนาของไวรัสมากกว่า 1,000,000,000,000,000,000 ชุดก็จะ "หลงทาง" ไปทั่วทั้งสำนักงาน! เป็นไปได้มากว่ากระดาษจะไม่เพียงพอ และการแพร่กระจายของไวรัสจะหยุดลงด้วยเหตุผลซ้ำซากเช่นนี้ แม้จะดูตลกดี (แม้ว่าผู้เข้าร่วมในเหตุการณ์นี้จะไม่ตลกเลยก็ตาม) เหตุการณ์ดังกล่าวเกิดขึ้นในปี 1988 ในอเมริกา - เครือข่ายการรับส่งข้อมูลทั่วโลกหลายแห่งกลับเต็มไปด้วยสำเนาของไวรัสเครือข่าย (ไวรัสมอร์ริส) ซึ่งส่งตัวเองจากคอมพิวเตอร์ไปยังคอมพิวเตอร์ ดังนั้นไวรัสที่ “ถูกต้อง” ทำเช่นนี้: เขียนเอกสารนี้ซ้ำสองครั้งและใส่สำเนาลงในกองงานของเพื่อนบ้านหากพวกเขายังไม่มีเอกสารนี้” ปัญหาได้รับการแก้ไขแล้ว - ไม่มี "จำนวนประชากรมากเกินไป" แต่แต่ละสแต็กมีสำเนาของไวรัส ในขณะที่เลขายังมีเวลารับมือกับงานปกติ “แล้วการทำลายข้อมูลล่ะ?” - คุณถาม. ทุกอย่างง่ายมาก - เพียงเพิ่มสิ่งต่อไปนี้ลงในชีต: “1. คัดลอกเอกสารนี้สองครั้งและใส่สำเนาลงในกองการมอบหมายของเพื่อนบ้านหากพวกเขายังไม่มีเอกสารนี้ 2. ดูปฏิทิน ถ้าวันนี้เป็นวันศุกร์ซึ่งตรงกับวันที่ 13 ให้ทิ้งเอกสารทั้งหมดลงถังขยะ” นี่คือสิ่งที่ไวรัสที่รู้จักกันดีทำโดยประมาณ"กรุงเยรูซาเล็ม" (ชื่ออื่น ๆ -เวลา"). อย่างไรก็ตาม ตัวอย่างนี้แสดงให้เห็นอย่างชัดเจนว่าเหตุใดในกรณีส่วนใหญ่จึงเป็นไปไม่ได้ที่จะระบุได้อย่างแน่ชัดว่าไวรัสมาจากที่ใดในคอมพิวเตอร์ พนักงานทุกคนมีสำเนาเหมือนกัน (ขึ้นอยู่กับลายมือ) แต่ต้นฉบับที่มีลายมือของผู้โจมตีกลับถูกทิ้งในถังขยะมานานแล้ว

ไวรัสคอมพิวเตอร์คือโปรแกรมที่สามารถแพร่พันธุ์ได้หลายชุด อาจติดเข้ากับโปรแกรมอื่น และอาจก่อให้เกิดผลข้างเคียงบางอย่าง คำจำกัดความนี้ให้ไว้ในระดับที่เข้าใจง่าย เนื่องจากยังไม่มีคำจำกัดความที่เข้มงวดของไวรัสคอมพิวเตอร์
*เหตุผลประการแรกที่ทำให้เราไม่สามารถให้คำจำกัดความที่ถูกต้องของไวรัสได้ก็คือการไม่สามารถระบุคุณลักษณะเฉพาะที่จะสอดคล้องกับไวรัสได้อย่างชัดเจน

*ปัญหาประการที่สองที่เกิดขึ้นเมื่อกำหนดคำจำกัดความของไวรัสคอมพิวเตอร์คือ คำจำกัดความนี้จะต้องเชื่อมโยงกับระบบปฏิบัติการเฉพาะที่มีการเผยแพร่ไวรัส ตัวอย่างเช่น ตามทฤษฎีแล้ว อาจมีระบบปฏิบัติการที่การมีอยู่ของไวรัสเป็นไปไม่ได้เลย ตัวอย่างดังกล่าวจะเป็นระบบที่ห้ามสร้างและเปลี่ยนแปลงพื้นที่ของโค้ดที่ปฏิบัติการได้เช่น ห้ามมิให้แก้ไขออบเจ็กต์ที่กำลังดำเนินการอยู่แล้วหรืออาจดำเนินการโดยระบบภายใต้เงื่อนไขใดๆ
ดังนั้นจึงดูเหมือนว่าจะเป็นไปได้ที่จะกำหนดเฉพาะเงื่อนไขที่จำเป็นสำหรับลำดับที่แน่นอนที่จะเป็นไวรัส คุณสมบัติบังคับของไวรัสคอมพิวเตอร์คือความสามารถในการสร้างสำเนาของตัวเอง (ไม่จำเป็นต้องเหมือนกันกับต้นฉบับ) และนำไปใช้กับเครือข่ายคอมพิวเตอร์และ/หรือไฟล์ พื้นที่ระบบของคอมพิวเตอร์ และวัตถุปฏิบัติการอื่น ๆ ในเวลาเดียวกัน ข้อมูลซ้ำยังคงสามารถแพร่กระจายต่อไปได้ ควรสังเกตว่าเงื่อนไขนี้ไม่เพียงพอ (เช่น ขั้นสุดท้าย) เนื่องจาก ตัวอย่างเช่น ระบบปฏิบัติการ MS-DOS มีคุณสมบัติตรงตามคุณสมบัตินี้ แต่ไม่ใช่ไวรัส ด้วยเหตุนี้จึงยังไม่มีคำจำกัดความที่ชัดเจนของไวรัส และไม่น่าจะปรากฏขึ้นในอนาคตอันใกล้ ดังนั้นจึงไม่มีกฎหมายกำหนดไว้อย่างชัดเจนว่าไฟล์ “ดี” สามารถแยกความแตกต่างจาก “ไวรัส” ได้ ยิ่งไปกว่านั้น บางครั้งแม้แต่ไฟล์บางไฟล์ก็ค่อนข้างยากที่จะตัดสินว่าเป็นไวรัสหรือไม่

3. ไวรัสคอมพิวเตอร์มาจากไหน?

ฉันขอเตือนคุณว่า ไวรัสคอมพิวเตอร์นั้นแตกต่างจากไวรัสทางชีววิทยาตรงที่มนุษย์สร้างขึ้น ผู้เขียนไวรัสที่มี "ผลงาน" ของพวกเขาสร้างความเสียหายมากมายให้กับผู้ใช้คอมพิวเตอร์ สิ่งเหล่านี้อาจทำให้คอมพิวเตอร์ทำงานผิดปกติหรือสูญเสียข้อมูลในฮาร์ดไดรฟ์ของคุณโดยสิ้นเชิง ไวรัสสามารถเข้าสู่ระบบด้วยวิธีใดวิธีหนึ่งที่เป็นไปได้ ได้แก่ ฟล็อปปี้ดิสก์ ซีดีรอมของผู้ผลิตซอฟต์แวร์ อินเทอร์เฟซเครือข่ายหรือการเชื่อมต่อโมเด็ม หรืออินเทอร์เน็ตเมื่อได้รับอีเมล
ไวรัสเข้าสู่คอมพิวเตอร์จากฟล็อปปี้ดิสก์ ผ่านโมเด็มและการเชื่อมต่อเครือข่าย
ในอดีต ฟล็อปปี้ดิสก์เป็นสื่อกลางสำหรับไวรัสที่พบบ่อยที่สุด สาเหตุหลักมาจากฟลอปปีดิสก์ถูกใช้เพื่อถ่ายโอนข้อมูลจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่ง การติดฟลอปปีดิสก์ทำได้ง่ายกว่ามาก ไวรัสสามารถเข้าไปได้หากคุณเพียงแค่ใส่ฟล็อปปี้ดิสก์ลงในไดรฟ์ของคอมพิวเตอร์ที่ติดไวรัสและอ่านสารบัญของมัน สถานการณ์ที่นี่เหมือนกับไวรัสเอดส์ - ยิ่งมีพันธมิตรที่คุณแลกเปลี่ยนโปรแกรม (ฟลอปปีดิสก์) มากเท่าไรก็ยิ่งมีโอกาสติดเชื้อมากขึ้นเท่านั้น อย่างไรก็ตาม สิ่งเหล่านี้ยังห่างไกลจากวิธีเดียวที่ไวรัสสามารถเจาะระบบได้ ความสะดวกในการที่อินเทอร์เน็ตอนุญาตให้มีการแลกเปลี่ยนข้อมูลมีข้อเสีย: ทำให้อินเทอร์เน็ตเป็นสภาพแวดล้อมที่เอื้ออำนวยต่อการแพร่กระจายของไวรัสคอมพิวเตอร์และมัลแวร์อื่น ๆ แน่นอนว่าไม่ใช่ทุกโปรแกรมหรือเอกสารที่ดาวน์โหลดจากอินเทอร์เน็ตหรือส่งถึงคุณทางอีเมลจะมีไวรัส ผู้ดำเนินการกระดานข้อความที่มีชื่อเสียงและผู้ดำเนินการระบบของบริการแบบโต้ตอบจะสแกนไฟล์ใหม่เพื่อหาไวรัสก่อนที่จะเผยแพร่สู่สาธารณะ แต่คุณไม่สามารถแน่ใจได้ว่าไฟล์ผลลัพธ์จะถูกสแกนแล้ว ใครก็ตามที่ทำงานบนอินเทอร์เน็ตจำเป็นต้องมีการป้องกันไวรัสที่ดีอย่างแน่นอน
แต่ก่อนอื่น สิ่งนี้เกี่ยวข้องกับแนวโน้มที่ไวรัสจะได้รับหน้าที่ในการแพร่กระจายทางอีเมล ตามสถิติการสนับสนุนทางเทคนิค“แคสเปอร์สกี้ แลป”ประมาณ 85% ของกรณีการติดเชื้อที่บันทึกไว้ทั้งหมดเกิดจากการแทรกซึมของไวรัสผ่านแหล่งนี้ ดังนั้นเมื่อเทียบกับปี 2542 จำนวนเหตุการณ์ดังกล่าวเพิ่มขึ้นประมาณ 70% ในเรื่องนี้ Kaspersky Lab ได้กล่าวถึงความสำคัญของการติดตั้งระบบป้องกันไวรัสที่เชื่อถือได้สำหรับอีเมลอีกครั้ง
เป็นเรื่องปกติที่ผู้สร้างไวรัสจะเปลี่ยนความสนใจไปที่อีเมล ตามแนวทางปฏิบัติแสดงให้เห็นว่า มัลแวร์ส่วนใหญ่ถูกสร้างขึ้นสำหรับระบบปฏิบัติการ แอปพลิเคชัน และเทคโนโลยีการถ่ายโอนข้อมูลซึ่งเป็นที่นิยมมากที่สุด ปัจจุบัน อีเมลถือเป็นมาตรฐานสำหรับทั้งการสื่อสารทางธุรกิจและไม่เป็นทางการ ผู้คนหลายร้อยล้านคนทั่วโลกไม่สามารถจินตนาการถึงธุรกิจปกติได้หากไม่มีวิธีการสื่อสารกับพันธมิตรแบบนี้ สิ่งนี้ได้กำหนดจุดมุ่งเน้นของผู้สร้างไวรัสไว้ล่วงหน้าทางอีเมล

4. อาชญากรรมในด้านเทคโนโลยีคอมพิวเตอร์

หลายประเทศมีมาตรการทางกฎหมายเพื่อต่อสู้กับอาชญากรรมคอมพิวเตอร์และกิจกรรมที่เป็นอันตราย และซอฟต์แวร์ป้องกันไวรัสกำลังได้รับการพัฒนา แต่ไวรัสซอฟต์แวร์ใหม่มีจำนวนเพิ่มขึ้น บุคคลที่ใช้ความรู้และประสบการณ์เพื่อเข้าถึงข้อมูลและทรัพยากรคอมพิวเตอร์โดยไม่ได้รับอนุญาต เพื่อรับข้อมูลที่เป็นความลับและเป็นความลับ และกระทำการที่เป็นอันตราย เรียกว่าแฮกเกอร์และแครกเกอร์ในวรรณกรรม การกระทำของแฮกเกอร์หรือนักเลงคอมพิวเตอร์สามารถก่อให้เกิดอันตรายร้ายแรงต่อเจ้าของคอมพิวเตอร์และเจ้าของ (ผู้สร้าง) ทรัพยากรข้อมูล เนื่องจากการกระทำดังกล่าวส่งผลให้คอมพิวเตอร์หยุดทำงาน ความจำเป็นในการกู้คืนข้อมูลที่เสียหาย หรือทำลายชื่อเสียงของนิติบุคคลหรือบุคคล เช่น โดยการบิดเบือนข้อมูลบนกระดานข่าวอิเล็กทรอนิกส์หรือบนเว็บเซิร์ฟเวอร์บนอินเทอร์เน็ต แรงจูงใจในการกระทำของผู้โจมตีคอมพิวเตอร์นั้นแตกต่างกันมาก: ความปรารถนาที่จะได้รับผลประโยชน์ทางการเงิน ความปรารถนาที่จะทำร้ายและแก้แค้นหัวหน้าองค์กรที่พนักงานจากไปด้วยเหตุผลใดก็ตาม ลักษณะทางจิตวิทยาของบุคคล (ความอิจฉา ความไร้สาระ ความปรารถนาที่จะแสดงตัวตน การทำลายล้าง ฯลฯ )

5. สัญญาณของไวรัส

เมื่อคอมพิวเตอร์ของคุณติดไวรัส สิ่งสำคัญคือต้องตรวจพบไวรัส ในการทำเช่นนี้คุณควรรู้เกี่ยวกับสัญญาณหลักของไวรัส ซึ่งรวมถึงสิ่งต่อไปนี้:

• การหยุดดำเนินการหรือการดำเนินการที่ไม่ถูกต้องของโปรแกรมที่ทำงานก่อนหน้านี้สำเร็จ
• ประสิทธิภาพของคอมพิวเตอร์ช้า
• ไม่สามารถโหลดระบบปฏิบัติการได้
• การหายไปของไฟล์และไดเร็กทอรีหรือความเสียหายของเนื้อหา
• การเปลี่ยนวันที่และเวลาของการแก้ไขไฟล์
• ปรับขนาดไฟล์
• จำนวนไฟล์บนดิสก์เพิ่มขึ้นอย่างมากโดยไม่คาดคิด
• การลดขนาด RAM ว่างลงอย่างมาก
• การแสดงข้อความหรือภาพที่ไม่คาดคิดบนหน้าจอ
• ให้สัญญาณเสียงที่ไม่คาดคิด
• ค้างและขัดข้องในคอมพิวเตอร์บ่อยครั้ง

ควรสังเกตว่าปรากฏการณ์ข้างต้นไม่ได้เกิดจากการมีไวรัสเสมอไป แต่อาจเป็นผลมาจากสาเหตุอื่น ดังนั้นจึงเป็นเรื่องยากเสมอที่จะวินิจฉัยสภาพของคอมพิวเตอร์ได้อย่างถูกต้อง

6. ประวัติเล็กน้อย

พูดคุยเกี่ยวกับประวัติศาสตร์ล่าสุด: "สมอง", "เวียนนา", "น้ำตก" และอื่น ๆ ผู้ที่เริ่มทำงานกับ IBM-PC ในช่วงกลางทศวรรษที่ 80 ยังไม่ลืมการแพร่ระบาดของไวรัสเหล่านี้ในปี 1987-89 จดหมายตกลงมาบนหน้าจอ และผู้ใช้จำนวนมากรีบไปแสดงผู้เชี่ยวชาญด้านการซ่อมแซม (ตอนนี้กลับกลายเป็นตรงกันข้าม: ฮาร์ดไดรฟ์เสียชีวิตเนื่องจากอายุมาก และไวรัสที่วิทยาศาสตร์ขั้นสูงไม่รู้จักกำลังถูกตำหนิ) จากนั้นคอมพิวเตอร์ก็เริ่มเล่นเพลงต่างประเทศ "Yankee Doodle" แต่ไม่มีใครรีบซ่อมลำโพง - พวกเขารู้อย่างรวดเร็วว่าเป็นไวรัส ไม่ใช่แค่ตัวเดียว แต่เป็นโหล
นี่คือวิธีที่ไวรัสเริ่มติดไฟล์ ไวรัส “สมอง” และลูกบอลไวรัส “ปิงปอง” กระโดดข้ามหน้าจอ ถือเป็นชัยชนะของไวรัสเหนือบูตเซกเตอร์ ผู้ใช้ IBM-PC ไม่ชอบสิ่งเหล่านี้มากนักและมียาแก้พิษปรากฏขึ้น หนึ่งในโปรแกรมป้องกันไวรัสแรก ๆ คือ ANTI-KOT ในประเทศ: Oleg Kotik ในตำนานเปิดตัวโปรแกรมเวอร์ชันแรกของเขาซึ่งทำลายไวรัสได้มากถึง 4 (สี่) ตัว (American SCAN ปรากฏในประเทศของเราในภายหลังเล็กน้อย) น่าเสียดายที่ ANTI-KOT ตรวจพบไวรัส “Time” (“Jerusalem”) โดยการรวมกัน “MsDos” ที่ท้ายไฟล์ และโปรแกรมป้องกันไวรัสอื่นๆ บางตัวจะแนบตัวอักษรเดียวกันเหล่านี้อย่างระมัดระวังกับไฟล์ทั้งหมดที่มีนามสกุล COM หรือ EXE ควรสังเกตว่าเรื่องราวของการพิชิตรัสเซียและตะวันตกด้วยไวรัสนั้นแตกต่างกัน ไวรัสตัวแรกที่แพร่กระจายอย่างรวดเร็วในตะวันตกคือไวรัสบูต "สมอง" และหลังจากนั้นไวรัสไฟล์ "เวียนนา" และ "คาสเคด" ก็ปรากฏขึ้น ในทางกลับกันในรัสเซียไฟล์ไวรัสปรากฏขึ้นก่อนและอีกหนึ่งปีต่อมา - ไวรัสสำหรับบูต เวลาผ่านไปไวรัสก็ทวีคูณ พวกเขาทั้งหมดค่อนข้างคล้ายกัน พวกเขาปีนเข้าไปในหน่วยความจำ ยึดติดกับไฟล์และเซกเตอร์ และฆ่าไฟล์ ฟล็อปปี้ดิสก์ และฮาร์ดไดรฟ์เป็นระยะ หนึ่งใน “การเปิดเผย” แรกๆ คือไวรัส “Frodo.4096” ซึ่งเป็นหนึ่งในไวรัสไฟล์ซ่อนตัวกลุ่มแรกที่รู้จัก ไวรัสนี้ดักจับ INT 21h และเมื่อเข้าถึงไฟล์ที่ติดไวรัสผ่าน DOS ก็ได้เปลี่ยนแปลงข้อมูลในลักษณะที่ไฟล์ปรากฏต่อหน้าผู้ใช้ในรูปแบบที่ไม่ติดไวรัส แต่นี่เป็นไวรัสบน MS-DOS ไม่ถึงหนึ่งปีต่อมา แมลงสาบอิเล็กทรอนิกส์ก็คลานเข้าไปในเคอร์เนล DOS (ไวรัสที่มองไม่เห็น “Beast.512”) แนวคิดเรื่องการมองไม่เห็นยังคงเกิดผล: ในฤดูร้อนปี 2534 ไวรัส "Dir_P" แพร่กระจายผ่านคอมพิวเตอร์เช่นกาฬโรค แต่การจัดการกับสิ่งที่มองไม่เห็นนั้นค่อนข้างง่าย: ทำความสะอาด RAM - และใจเย็น ๆ มองหาสัตว์เลื้อยคลานและรักษาสุขภาพของมัน แต่ปัญหาที่มากขึ้นนั้นเกิดจากไวรัสที่เข้ารหัสตัวเอง ซึ่งบางครั้งพบในส่วนเพิ่มเติมของคอลเลกชันในภายหลัง ท้ายที่สุดเพื่อระบุและลบออกจำเป็นต้องเขียนรูทีนย่อยพิเศษและแก้ไขข้อบกพร่องเหล่านั้น แต่ตอนนั้นไม่มีใครสนใจเรื่องนี้ จนกระทั่ง... จนกระทั่งมีไวรัสรุ่นใหม่ปรากฏขึ้น ที่เรียกว่าไวรัสโพลีมอร์ฟิก ไวรัสเหล่านี้ใช้แนวทางที่แตกต่างออกไปในการล่องหน: ไวรัสเหล่านี้ได้รับการเข้ารหัส (ในกรณีส่วนใหญ่) และผู้ถอดรหัสจะใช้คำสั่งที่อาจไม่สามารถทำซ้ำในไฟล์ต่างๆ

7. การจำแนกประเภทของไวรัส

ปัจจุบันมีการรู้จักไวรัสซอฟต์แวร์มากกว่า 5,000 ตัว โดยสามารถจำแนกตามเกณฑ์ต่อไปนี้:

• ที่อยู่อาศัย;
• วิธีการปนเปื้อนแหล่งที่อยู่อาศัย
• อิทธิพล;
• คุณสมบัติของอัลกอริทึม

ไวรัสสามารถแบ่งออกได้เป็น:

• เครือข่าย;
• ไฟล์;
• บูต;
• ไฟล์บูต

ไวรัสเครือข่ายแพร่กระจายไปทั่วเครือข่ายคอมพิวเตอร์ต่างๆ ไวรัสไฟล์ส่วนใหญ่ฝังอยู่ในโมดูลปฏิบัติการ เช่น ในไฟล์ที่มีนามสกุล COM และ EXE ไวรัสไฟล์สามารถฝังอยู่ในไฟล์ประเภทอื่นได้ แต่ตามกฎแล้ว เมื่อเขียนในไฟล์ดังกล่าว ไวรัสเหล่านั้นจะไม่ได้รับการควบคุม ดังนั้นจึงสูญเสียความสามารถในการทำซ้ำ ไวรัสสำหรับบู๊ตจะฝังอยู่ในเซกเตอร์สำหรับบู๊ตของดิสก์ (เซกเตอร์สำหรับบู๊ต) หรือในเซกเตอร์ที่มีโปรแกรมบู๊ตดิสก์ระบบ (Master Boot Re-cord) ไวรัสไฟล์บูตติดทั้งไฟล์และเซกเตอร์สำหรับบูตของดิสก์ ตามวิธีการติดเชื้อไวรัสแบ่งออกเป็น:

• ถิ่นที่อยู่;
• ไม่มีถิ่นที่อยู่

เมื่อไวรัสประจำถิ่นแพร่ระบาด (แพร่เชื้อ) คอมพิวเตอร์ มันจะปล่อยส่วนที่อาศัยอยู่นั้นไว้ใน RAM ซึ่งจะขัดขวางการเข้าถึงของระบบปฏิบัติการไปยังออบเจ็กต์ของการติดไวรัส (ไฟล์ บูตเซกเตอร์ของดิสก์ ฯลฯ) และแทรกตัวเข้าไปในไวรัสเหล่านั้น ไวรัสประจำถิ่นจะอยู่ในหน่วยความจำและทำงานจนกว่าคอมพิวเตอร์จะปิดหรือรีบูต ไวรัสที่ไม่มีถิ่นที่อยู่จะไม่แพร่ระบาดในหน่วยความจำคอมพิวเตอร์และจะทำงานได้ในระยะเวลาที่จำกัด ขึ้นอยู่กับระดับของผลกระทบ ไวรัสสามารถแบ่งออกเป็นประเภทต่อไปนี้:

• ไม่เป็นอันตรายไม่รบกวนการทำงานของคอมพิวเตอร์ แต่ลดจำนวน RAM และหน่วยความจำดิสก์ที่ว่าง การกระทำของไวรัสดังกล่าวจะปรากฏในเอฟเฟกต์กราฟิกหรือเสียง
• ไวรัสอันตรายที่อาจนำไปสู่ความผิดปกติต่าง ๆ ในการทำงานของคอมพิวเตอร์ ไวรัสที่อันตรายมากผลกระทบที่อาจทำให้โปรแกรมสูญหายการทำลายข้อมูลการลบข้อมูลในพื้นที่ระบบของดิสก์

ขึ้นอยู่กับลักษณะของอัลกอริธึมกลุ่มไวรัสต่อไปนี้มีความโดดเด่น:

8. การป้องกัน

เพื่อหลีกเลี่ยงไม่ให้คอมพิวเตอร์ของคุณถูกไวรัสและเพื่อให้มั่นใจว่ามีการจัดเก็บข้อมูลบนดิสก์ที่เชื่อถือได้ คุณต้องปฏิบัติตามกฎต่อไปนี้:

• ติดตั้งโปรแกรมป้องกันไวรัสสมัยใหม่ให้กับคอมพิวเตอร์ของคุณ เช่น AntiViral Toolkit Pro, Doctor Web และอัปเดตเวอร์ชันอยู่ตลอดเวลา
• ก่อนที่จะอ่านข้อมูลที่เก็บไว้ในคอมพิวเตอร์เครื่องอื่นจากฟล็อปปี้ดิสก์ ให้ตรวจสอบไวรัสในฟล็อปปี้ดิสก์เหล่านี้ทุกครั้งโดยเรียกใช้โปรแกรมป้องกันไวรัสในคอมพิวเตอร์ของคุณ
• เมื่อถ่ายโอนไฟล์ในรูปแบบที่เก็บถาวรไปยังคอมพิวเตอร์ของคุณ ให้สแกนทันทีหลังจากคลายซิปลงในฮาร์ดไดรฟ์ของคุณ โดยจำกัดพื้นที่สแกนให้เหลือเพียงไฟล์ที่บันทึกใหม่เท่านั้น
• ตรวจสอบไวรัสในฮาร์ดไดรฟ์คอมพิวเตอร์ของคุณเป็นระยะโดยการเรียกใช้โปรแกรมป้องกันไวรัสเพื่อทดสอบไฟล์ หน่วยความจำ และพื้นที่ระบบของดิสก์จากฟล็อปปี้ดิสก์ที่ป้องกันการเขียน หลังจากโหลดระบบปฏิบัติการจากฟล็อปปี้ดิสก์ระบบที่ป้องกันการเขียน
• ป้องกันการเขียนฟล็อปปี้ดิสก์ของคุณเสมอเมื่อทำงานกับคอมพิวเตอร์เครื่องอื่น เว้นแต่จะมีการเขียนข้อมูลไปยังคอมพิวเตอร์เครื่องนั้น
• อย่าลืมทำสำเนาสำรองข้อมูลบนฟล็อปปี้ดิสก์ของข้อมูลที่มีค่าสำหรับคุณ
• อย่าทิ้งฟล็อปปี้ดิสก์ไว้ในไดรฟ์ กระเป๋าเมื่อคุณเปิดหรือรีสตาร์ทระบบปฏิบัติการ เพื่อป้องกันไม่ให้คอมพิวเตอร์ของคุณติดไวรัสสำหรับบูต
• ใช้โปรแกรมป้องกันไวรัสเพื่อควบคุมอินพุตของไฟล์ปฏิบัติการทั้งหมดที่ได้รับจากเครือข่ายคอมพิวเตอร์
• ตรวจสอบอีเมลของคุณแม้ว่าจดหมายจะมาจากบุคคลที่รู้จักคุณเป็นอย่างดี (นี่ไม่ใช่เพราะเขาต้องการทำร้ายคุณ แต่เป็นเพราะเขาเป็น Lamer ที่สมบูรณ์และคอมพิวเตอร์ของเขาติดไวรัส)

คุณควรตรวจสอบการโหลดอัตโนมัติในบางครั้ง เนื่องจาก... นี่คือจุดที่ไวรัสสำหรับบูตมักจะหลุดออกไป แต่วิธีนี้เป็นวิธีที่ใช้กันทั่วไป ดังนั้นคุณควรตรวจสอบโฟลเดอร์ต่อไปนี้ในรีจิสทรี:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

9. โปรแกรมป้องกันไวรัส

เพื่อตรวจจับ ลบ และป้องกันไวรัสคอมพิวเตอร์ จึงได้มีการพัฒนาโปรแกรมพิเศษหลายประเภทที่ช่วยให้คุณสามารถตรวจจับและทำลายไวรัสได้ โปรแกรมดังกล่าวเรียกว่าโปรแกรมป้องกันไวรัส . มีโปรแกรมป้องกันไวรัสประเภทต่อไปนี้:

• โปรแกรมตรวจจับ
• โปรแกรมหรือฟาจของแพทย์
• โปรแกรมการตรวจสอบ โปรแกรมกรอง
• โปรแกรมวัคซีนหรือภูมิคุ้มกัน

โปรแกรมตรวจจับจะค้นหาคุณลักษณะลายเซ็นของไวรัสเฉพาะใน RAM และไฟล์ และเมื่อตรวจพบ ก็จะส่งข้อความที่เกี่ยวข้องออกมา ข้อเสียของโปรแกรมป้องกันไวรัสคือสามารถค้นหาได้เฉพาะไวรัสที่ผู้พัฒนาโปรแกรมดังกล่าวรู้จักเท่านั้น
โปรแกรมแพทย์หรือฟาจ รวมถึงโปรแกรมวัคซีน ไม่เพียงแต่ค้นหาไฟล์ที่ติดไวรัสเท่านั้น แต่ยัง “รักษา” ไฟล์เหล่านั้นด้วย เช่น ลบเนื้อความของโปรแกรมไวรัสออกจากไฟล์ ทำให้ไฟล์กลับสู่สถานะดั้งเดิม ในช่วงเริ่มต้นของการทำงาน ฟาจจะค้นหาไวรัสใน RAM ทำลายไวรัส จากนั้นจึงดำเนินการ "ล้าง" ไฟล์ต่อไป ในบรรดาฟาจนั้น โพลีฟาจมีความโดดเด่น เช่น โปรแกรมแพทย์ที่ออกแบบมาเพื่อค้นหาและทำลายไวรัสจำนวนมาก ที่มีชื่อเสียงที่สุด ได้แก่ AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web,โปรแกรมแคสเปอร์สกี้ เอวีพี. เมื่อพิจารณาว่าไวรัสใหม่ๆ ปรากฏขึ้นอย่างต่อเนื่อง โปรแกรมตรวจจับและโปรแกรมแพทย์จึงล้าสมัยอย่างรวดเร็ว และจำเป็นต้องมีการอัปเดตเวอร์ชันปกติ โปรแกรมตรวจสอบเป็นหนึ่งในวิธีการป้องกันไวรัสที่น่าเชื่อถือที่สุด ผู้ตรวจสอบจะจดจำสถานะเริ่มต้นของโปรแกรม ไดเร็กทอรี และพื้นที่ระบบของดิสก์เมื่อคอมพิวเตอร์ไม่ติดไวรัส จากนั้นจะเปรียบเทียบสถานะปัจจุบันกับสถานะดั้งเดิมเป็นระยะหรือตามคำขอของผู้ใช้ การเปลี่ยนแปลงที่ตรวจพบจะแสดงบนหน้าจอมอนิเตอร์ ตามกฎแล้ว การเปรียบเทียบสถานะจะดำเนินการทันทีหลังจากโหลดระบบปฏิบัติการ เมื่อทำการเปรียบเทียบ ความยาวไฟล์ รหัสควบคุมแบบวน (การตรวจสอบไฟล์) วันที่และเวลาในการแก้ไข และพารามิเตอร์อื่นๆ จะถูกตรวจสอบ โปรแกรมตรวจสอบมีอัลกอริธึมที่พัฒนาขึ้นพอสมควร ตรวจจับไวรัส และยังสามารถล้างการเปลี่ยนแปลงในเวอร์ชันของโปรแกรมที่กำลังตรวจสอบจากการเปลี่ยนแปลงที่เกิดจากไวรัส ในบรรดาโปรแกรมการตรวจสอบคือโปรแกรม Adinf ซึ่งใช้กันอย่างแพร่หลายในรัสเซีย โปรแกรมกรองหรือ "ยาม" เป็นโปรแกรมขนาดเล็กที่ออกแบบมาเพื่อตรวจจับการกระทำที่น่าสงสัยระหว่างการทำงานของคอมพิวเตอร์ซึ่งเป็นลักษณะของไวรัส การกระทำดังกล่าวอาจเป็น: ความพยายามที่จะแก้ไขไฟล์ที่มีนามสกุล COM, EXE; การเปลี่ยนคุณสมบัติของไฟล์ การเขียนโดยตรงไปยังดิสก์ตามที่อยู่ที่แน่นอน การเขียนไปยังเซกเตอร์สำหรับบูตดิสก์ กำลังโหลดโปรแกรมถิ่นที่อยู่ เมื่อโปรแกรมใด ๆ พยายามดำเนินการตามที่ระบุ "ยาม" จะส่งข้อความถึงผู้ใช้และเสนอให้ห้ามหรืออนุญาตการดำเนินการที่เกี่ยวข้อง โปรแกรมตัวกรองมีประโยชน์มากเนื่องจากสามารถตรวจจับไวรัสได้ตั้งแต่ระยะแรกสุดก่อนที่จะมีการจำลองแบบ อย่างไรก็ตาม พวกเขาไม่ได้ "ล้าง" ไฟล์และดิสก์ หากต้องการทำลายไวรัส คุณต้องใช้โปรแกรมอื่น เช่น ฟาจ วัคซีนหรือสารสร้างภูมิคุ้มกันเป็นโปรแกรมประจำที่ป้องกันไม่ให้ไฟล์ติดไวรัส วัคซีนจะใช้หากไม่มีโปรแกรมของแพทย์ที่จะ "รักษา" ไวรัสนี้ การฉีดวัคซีนสามารถทำได้เฉพาะกับไวรัสที่รู้จักเท่านั้น วัคซีนจะปรับเปลี่ยนโปรแกรมหรือดิสก์ในลักษณะที่ไม่ส่งผลกระทบต่อการทำงานของมัน และไวรัสจะรับรู้ว่าติดเชื้อและจะไม่หยั่งราก ปัจจุบันโปรแกรมวัคซีนมีการใช้งานอย่างจำกัด การตรวจหาไฟล์และดิสก์ที่ติดไวรัสอย่างทันท่วงทีและการทำลายไวรัสที่ตรวจพบอย่างสมบูรณ์ในคอมพิวเตอร์แต่ละเครื่องจะช่วยหลีกเลี่ยงการแพร่กระจายของไวรัสไปยังคอมพิวเตอร์เครื่องอื่น
อาวุธหลักในการต่อสู้กับไวรัสคือโปรแกรมป้องกันไวรัส สิ่งเหล่านี้ช่วยให้คุณไม่เพียงตรวจจับไวรัสเท่านั้น รวมถึงไวรัสที่ใช้วิธีการปลอมแปลงต่างๆ แต่ยังช่วยลบไวรัสออกจากคอมพิวเตอร์ของคุณด้วย การดำเนินการหลังอาจค่อนข้างซับซ้อนและใช้เวลาพอสมควร มีวิธีตรวจจับไวรัสพื้นฐานหลายวิธีที่ใช้โดยโปรแกรมป้องกันไวรัสควรสังเกตว่าโปรแกรมตรวจจับสามารถตรวจจับได้เฉพาะไวรัสที่รู้จักเท่านั้น (เช่น ไวรัสที่รวมอยู่ในฐานข้อมูลต่อต้านไวรัสของโปรแกรมนี้) ยกตัวอย่างโปรแกรมแคสเปอร์สกี้ เอวีพี สามารถตรวจจับไวรัสได้ 33,556 ตัว ณ วันที่ 10 กุมภาพันธ์ 2543 ด้านล่างนี้เป็นกล่องโต้ตอบของโปรแกรมป้องกันไวรัสนี้ ทุกอย่างเกี่ยวกับมันมีอินเทอร์เฟซที่สะดวกและใช้งานง่าย โปรแกรมนี้ออกแบบมาสำหรับระบบปฏิบัติการ Windows "95/"98/NT/3.11 ซึ่งช่วยให้สามารถทำงานคู่ขนานกับแอพพลิเคชั่นอื่นได้ บางโปรแกรมเช่นดร.เว็บ สามารถใช้การวิเคราะห์ฮิวริสติกเพื่อค้นหาไวรัสที่ถูกดัดแปลง ด้านล่างนี้เป็นกล่องโต้ตอบของโปรแกรมป้องกันไวรัส Dr.Web โปรแกรมนี้เขียนขึ้นสำหรับระบบปฏิบัติการ MS DOS อย่างไรก็ตาม เป็นไปไม่ได้ที่จะพัฒนาโปรแกรมที่สามารถตรวจจับไวรัสที่ไม่รู้จักมาก่อนได้

วิธีดั้งเดิมที่สุดในการค้นหาไวรัสคือการสแกน ประกอบด้วยการค้นหาลายเซ็นที่แยกได้จากไวรัสที่ตรวจพบก่อนหน้านี้ โปรแกรมสแกนไวรัสที่สามารถลบไวรัสที่ตรวจพบได้มักเรียกว่าโพลีฟาจ ข้อเสียของเครื่องสแกนแบบธรรมดาคือการไม่สามารถตรวจจับไวรัส polymorphic ที่เปลี่ยนรหัสได้อย่างสมบูรณ์ ในการดำเนินการนี้ จำเป็นต้องใช้อัลกอริธึมการค้นหาที่ซับซ้อนมากขึ้น รวมถึงการวิเคราะห์พฤติกรรมของโปรแกรมที่กำลังตรวจสอบ นอกจากนี้ เครื่องสแกนยังสามารถตรวจจับเฉพาะไวรัสที่รู้จักและศึกษาก่อนหน้านี้ซึ่งมีการกำหนดลายเซ็นไว้แล้วเท่านั้น ดังนั้นโปรแกรมสแกนเนอร์จะไม่ปกป้องคอมพิวเตอร์ของคุณจากการรุกของไวรัสใหม่ซึ่งมักปรากฏหลายครั้งต่อวัน ส่งผลให้สแกนเนอร์ล้าสมัยทันทีที่มีการเปิดตัวเวอร์ชันใหม่

10. บทสรุป

ไวรัสคอมพิวเตอร์เป็นโปรแกรมที่เขียนขึ้นเป็นพิเศษซึ่งสามารถแนบไปกับโปรแกรมอื่นได้เอง สร้างสำเนาของตัวเองและแนะนำลงในไฟล์ พื้นที่ระบบของคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ เพื่อขัดขวางการทำงานของโปรแกรม ไฟล์และไดเร็กทอรีที่เสียหาย และรบกวนการทำงานของคอมพิวเตอร์ทุกรูปแบบ
ปัจจุบันมีการรู้จักไวรัสซอฟต์แวร์มากกว่า 50,000 ตัว ซึ่งมีจำนวนเพิ่มขึ้นอย่างต่อเนื่อง มีหลายกรณีที่ทราบกันว่ามีการสร้างบทช่วยสอนเพื่อช่วยในการเขียนไวรัส ไวรัสประเภทหลัก: บูต, ไฟล์, บูตไฟล์ ไวรัสประเภทที่อันตรายที่สุดคือโพลีมอร์ฟิก จากประวัติของไวรัสวิทยาคอมพิวเตอร์เป็นที่ชัดเจนว่าการพัฒนาคอมพิวเตอร์ดั้งเดิมใดๆ ก็ตามบังคับให้ผู้สร้างโปรแกรมป้องกันไวรัสต้องปรับตัวเข้ากับเทคโนโลยีใหม่ ๆ และปรับปรุงโปรแกรมป้องกันไวรัสอย่างต่อเนื่อง สาเหตุของการปรากฏตัวและการแพร่กระจายของไวรัสนั้นถูกซ่อนอยู่ในด้านหนึ่งในด้านจิตวิทยามนุษย์และอีกด้านหนึ่งเนื่องจากขาดมาตรการป้องกันในระบบปฏิบัติการ เส้นทางหลักที่ไวรัสจะเจาะเข้าไปได้คือดิสก์แบบถอดได้และเครือข่ายคอมพิวเตอร์ เพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น ให้ปฏิบัติตามมาตรการป้องกัน นอกจากนี้ ยังมีการพัฒนาโปรแกรมพิเศษหลายประเภทที่เรียกว่าโปรแกรมป้องกันไวรัสเพื่อตรวจจับ ลบ และป้องกันไวรัสคอมพิวเตอร์
แต่คุณสมบัติบางอย่างของไวรัสยังทำให้ผู้เชี่ยวชาญสับสนอีกด้วย เมื่อไม่นานมานี้ เป็นเรื่องยากที่จะจินตนาการว่าไวรัสสามารถอยู่รอดได้จากโคลด์บูตหรือแพร่กระจายผ่านไฟล์เอกสาร ในสภาวะดังกล่าว เป็นไปไม่ได้ที่จะไม่ให้ความสำคัญกับการให้ความรู้เกี่ยวกับการป้องกันไวรัสเบื้องต้นแก่ผู้ใช้เป็นอย่างน้อย แม้ว่าปัญหาจะร้ายแรง แต่ไม่มีไวรัสใดที่สามารถก่อให้เกิดอันตรายได้มากเท่ากับผู้ใช้คอมพิวเตอร์มือใหม่

11. วัสดุที่ใช้:

1. หนังสือเรียน "สารสนเทศ", A.P. Alekseev, Moscow "Solon-r", 2545
2. คู่มือ “Microsoft Office”, E.M. Berliner, Moscow ABF, 1997
3. สื่อจากอินเทอร์เน็ต
4. Levin A. คู่มือการใช้งานด้วยตนเองสำหรับการทำงานกับคอมพิวเตอร์ M,: "NOLIDGE" 2000

ดูตัวอย่าง:

หากต้องการใช้การแสดงตัวอย่างการนำเสนอ ให้สร้างบัญชี Google และลงชื่อเข้าใช้: