Оқулық Қазақстан Республикасы Білім жəне ғылым министрлігі бекіткен Алматы, 2011 2
жүктеу/скачать 1,47 Mb. Pdf көрінісі
|
| тер мен мүмкіндіктердің болуы тұрады, өйткені бұл қызметтер
антивирустың пайдалылық деңгейіне ешқандай əсер етпейді. Бірақ, бұл қосымша қызметтер пайдаланушының жұмысын ба- рынша оңайлатады жəне антивирус жиі іске қосуға ниеттейді. Компьютерге вирус жұқса, оны табу маңызды. Ол үшін ви- рустардың пайда болуының негізгі белгілерін білу қажет. Оған: • бұрын ойдағыдай істеп тұрған бағдарлама жұмысының тоқ- тау немесе дұрыс істемеуін; • компьютер жұмысының шабандауын, • амалдық жүйені жүктеудің мүмкін еместігін; • файлдар мен каталогтардың жоғалуы немесе олардың маз- мұнының бұрмалануын; • файлдарды түрлендіру мезгілі мен уақытының өзгеруін; • файлдар мөлшерінің өзгеруін, • дискідегі файлдар санының кенеттен едəуір көбеюін; • жедел жадтың бос жерінің айтарлықтай азаюын; • экранға керек емес хабарлар мен кескіндердің шығуын; • қажет емес дыбыс сигналдарының берілуін; • компьютердің жиі тұрып қалуы жəне жұмыста жаңылысуын жатқызуға болады. Жоғарыда келтірілген құбылыстардың туындауы міндетті түрде вирустың орындалуынан емес, басқа себептерден болуы мүмкін. Сондықтан компьютердің күйін дұрыс диагностикалау ылғи қиындық келтіреді. Вирустардың жаппай таралуы жəне олардың коммуникация- лық жүйелер қорларына олардың тигізетін əсерлерінің елеулі бо- луы, арнайы антивирустық құралдарды əзірлеу мен пайдаланудың жəне оларды қолдану əдістерінің қажеттілігін туғызады. Анти- вирустық құралдар: • коммуникациялық жүйелердегі вирустарды анықтау; • бағдарлама-вирустардың жұмысын бұғаттау; 19–1525 282 • вирустардың əсер ету салдарларын жою міндеттерін шешу үшін қолданылады. Мүмкін болғанынша вирустарды оларды енгізу сатыларында анықтауды жүзеге асыру, тіпті болмағанда ви рус тардың деструктивті функцияларын жүзеге асырғанға дейін анықтау. Бүкіл мүмкін вирустарды анықтауға кепілдік беретін антивирустық құралдардың болмайтынын атап өту қажет. Вирустарды анықтау кезінде, оның жүйеге тигізетін зиянын азайту үшін, бағдарлама-вирус жұмысын бірден тоқтату қажет. Вирустар əсерінің салдарын жою: • вирустарды жою; • файлдарды, жад аймақтарын қалпына келтіру екі бағытында жүреді. Жүйені қалпына келтіру технологиясы вирустың түріне, сон- дай-ақ зиянды əрекеттер басталғандағы вирусты анықтау уақы- тының мезетіне қатысты болады. Егер вирустар енгізу кезінде ақпаратты сақтамайтын, оның орнына олар жадқа орналасатын, сондай-ақ егер зиянды əрекеттер осыған дейін басталып кет- кен жəне олар ақпараттардың өзгеруін қарастыратын болса, қо- сарланушы ақпараттарды пайдаланусыз ақпараттарды қалпына келтіруді орындауға болмайды,. Вирустармен күресу үшін, вирустарды анықтау əдістері мен вирустарды жою əдістеріне бөлінетін, вирустармен күрес əдіс- терін жасай отырып, белгілі бір тізбектілікте жəне комбинация- ларда қолданылатын, бағдарламалық жəне ақпараттық-бағдар- ламалық құралдар пайдаланылады. Вирустарды анықтаудың: • сканирлеу; • өзгерістерді анықтау; • эвристикалық талдау; • резиденттік қарауылдарды пайдалану; • бағдарламаларды вакцинациялау; • вирустардан ақпараттық-бағдарламалық қорғау əдістері қол- данылады. Сканирлеу – вирустарды анықтаудың қарапайым əдістерінің бірі. Сканирлеу, вирустың танушылық бөлігі – сигнатуралар- ды іздегенде файлдарды қарайтын, бағдарламалық-сканермен жүзеге асырылады. Бағдарлама, əрбір ретте сигнатураны өзгерте 283 отырып, вирус денесін шифрлауды қолданатын полиморфтық ви- рустарды қоспағанда, осыған дейін белгілі вирустарды тіркейді. Бағдарламалар-сканерлер белгілі вирустардың сигнатураларын емес, олардың бақылау жиындарын сақтай алады. Бағдарлама- сканерлер анықталған вирустарды жиі жойып жіберіп отырады. Осындай бағдарламалар полиграфтар деп аталады. Сканерлеу əдісі, осыған дейін бөлінген жəне тұрақты болып саналатын вирустарды анықтау үшін қолдануға ыңғайлы. Əдісті тиімді пайдалану үшін жаңа вирустар туралы мəліметтерді үнемі жаңартып отыру қажет. Дмитрий Лозинскийдің AIDSTEST сканері Ресейдегі аса белгілі бағдарлама-сканер болып саналады. Өзгерістерді анықтау бағдарлама-ревизорларды (тексеру ші- лерді) пайдалануға негізделеді. Бұл бағдарламалар, əдетте виру- стар орналасатын, дискілердегі бүкіл аймақтардың сипаттамала- рын анықтайды жəне жадта сақтайды. Бағдарлама-ревизорлардың мерзімді орындауы кезінде сақталатын сипаттамалар мен дискілер аймақтарын бақылау кезінде алынатын сипаттамалар салыстыры- лады. Тексерулер нəтижелері бойынша бағдарлама вирустардың болжалды болуы туралы мəліметтер береді. Əдетте, бағдарлама-ревизорлар арнайы файлдарда басты жүк - теу жазуларының, логикалық дискілердің жүктеу сектор ла ры- ның бейнелерін, бүкіл бақыланатын файлдарды, каталогтар- ды жəне ақаулы кластерлердің нөмірін, белгіленген жедел жад көлемін, компьютерге қосылған дискілердің саны мен олардың параметрлерін жадта сақтайды. Вирустардың бүкіл түрлерін, сондай-ақ жаңа белгілі емес ви- рустарды анықтау мүмкіндігі əдістің басты артықшылығы болып саналады. Жетілдірілген бағдарлама-ревизорлар тіпті, «стелс» - вирустардың өзін анықтайды. Мысалы, Д.Ю. Мостов жасап шығарған ADINF бағдарлама-ревизор, дискімен тікелей се- кторлар бойынша BIOS арқылы жұмыс жасайды. Бұл, «Стелс» - вирустарға үзілулерді ұстап алу мүмкіндігін пайдалануға жəне бақылау үшін вирусқа қажет жад аймағын «жақындатуға» мүм- кіндік бермейді. Бұл əдістің кемшіліктері де бар. Бағдарлама-ревизорлардың көмегімен жүйеге осыған дейін жұқтырған күйде келіп түсетін 284 файлдарда вирусты анықтау мүмкін емес. Вирустар жүйеде кө- бейгеннен кейін ғана барып анықталады. Бағдарлама-ревизорлар макровирустармен жұқтыруды анық- тау үшін жарамсыз, өткені құжаттар мен кестелер өте тез өзгереді. Эвристикалық əдіс вирустарды анықтау үшін салыстырмалы түрде алып қарағанда, шамалы уақыт бұрын ғана пайдаланыла бастады. Өзгерістерді анықтау əдісі ретінде, аталған əдіс белгісіз вирустарды анықтауға мүмкіндік береді, бірақ файл жүйесінде ақпараттарды алдын ала жинауды, өңдеуді жəне сақтауды қажет етпейді. Вирустардың мекендейтін мүмкін ортасын тексеру жəне онда, вирустар үшін тəн болып саналатын бұйрықтарды (бұйрықтар тобын) анықтау эвристикалық талдау мəні болып табылады. Же- дел жадта резиденттік модульдер жасау бұйрығы, операциялық жүйеге соқпай, дискілерге тікелей өтініш жасау бұйрығы осындай бұйрықтар болуы мүмкін. Эвристикалық анализаторлар файлдар- да немесе жүктеу секторларында күдікті бұйрықтарды анықтау кезінде мүмкін жұқтырулар туралы хабар береді. Осындай ха- барларды алғаннан кейін жұқтырған файлдарды жəне жүктеу секторын қолда бар бүкіл антивирустық құралдармен мұқият тек- серу қажет. Эвристикалық анализатор, мысалы, DOCTOR WEB антивирустық бағдарламада болады. Резиденттік қарауылдарды пайдалану ЭЕМ-нің операциялық жүйелерінде үнемі болатын бағдарламаларды қолдануға негіз- делген жəне қалған бағдарламалардың бүкіл əрекетін қадаға- лайды. Резиденттік қарауылдарды қолданудың техноло гиялық үдерісі мына тізбекпен жүзеге асырылады: қандай да бір бағдар- ламамен күдікті əрекеттерді орындау жағдайында резиденттік қарауыл хабарды пайдаланушыға береді. Бағдарлама-қарауыл, күдікті бағдарламаларды тексеру үшін, сондай-ақ бүкіл сырт- тан түсетін (ауысым дискілерінен, желілердегі) орындауға өзге антивирустық бағдарламаларды жүктеуі мүмкін. Жалған дабылдардың пайыздар үлесінің жоғары болуы, атал- ған əдістің елеулі кемшілігі болып саналады, бұл пайдаланушы- ның жұмысына кедергі келтіреді, резиденттік қарауылдарды пай- даланудан бас тарту ниеті мен тітіркенуді туғызады. 285 MS DOS құрамына кіретін VSAFE бағдарламасы, резиденттік қарауылдың мысалы болып пайдаланылуы мүмкін. Оның тұтастығын бақылау үшін арнайы модуль жасау бағ- дарламалар вакцинациясы болып түсіндіріледі. Бақылау жиыны, əдетте, файлдың тұтастық сипаттамасы болып пайдаланыла- ды. Вакцинацияланған файлға вирустың жұғуы кезінде бақылау модулі бақылау жиынының өзгеруін анықтайды жəне бұл тура- лы пайдаланушыға хабарлайды. Əдіс бүкіл вирустарды, оның ішінде, «стелс»-вирустарды қоспағанда, таныс емес вирустарды анықтауға мүмкіндік береді. Вирустардан ақпараттық-бағдарламалық қорғау бағдарла ма- лық-вирустардың жұмысын бұғаттайды. Қазіргі уақытта БЭЕМ- ді қорғау үшін арнайы бақылаушылар мен олардың бағдарлама- лық қамтамасыздандырылуы пайдаланылады. Бақылаушы жалпы шинаға қатынау мүмкіндігіне ие. Бақылаушыны бағдарламалық қамтамасыздандыруда, əдеттегі жұмыс режимдерінде өзгеріске жол берілмейтін дискілердегі аймақтар жадта сақталады. Осы- лай, басты жүктеу жазуларының, жүктеу секторларының, конфи- гурациялар файлдарының, орындалатын файлдардың өзгеруіне қорғауды орнатуға болады. Кез келген бағдарламамен тыйым салынған əрекеттерді орын- дау кезінде бақылаушы тиісті хабарды пайдаланушыға береді жəне БЭЕМ жұмысын бұғаттайды. Ақпараттық-бағдарламалық антивирустық құралдар бағдарла- малыққа қарағанда бірқатар артықшылықтарға ие: • тұрақты жұмыс істейді; • олардың əрекет ету тетігіне қатыссыз, бүкіл вирустарды анық тайды; • вирус жұмысының немесе білікті емес пайдаланушы жұ- мысының нəтижесі болып саналатын, рұқсат етілмеген əре кет- терді бұғаттайды. Бұл құралдардың кемшілігі біреу – БЭЕМ аппараттық құ- ралдарына тəуелділігі. Соңғының өзгеруі бақылаушыны ауысты- ру қажеттілігіне əкеледі. SHERIFF кешені вирустардан қорғау мысалы болып пайдаланылуы мүмкін. Вирустарды жою əдістері вирустарды жою үшін, сондай-ақ вирустар болған файлдармен жад аймақтарын қалпына келтіру 286 үшін пайдаланылады. Вирустар əсерінің салдарын антивирустық бағдарламалармен жоюдың екі əдісі қолданылады. Бірінші əдіс белгілі вирустардың əсерінен кейін жүйені қал- пына келтіруді ұйғарады. Вирусты жоятын, бағдарлама-фаганы жасаушы, вирустың құрылымы мен мекендейтін ортаға оның ор- наласу сипаттамасын білуі тиіс. Екінші əдіс, белгілі емес вирустар жұқтырған файлдар- ды жəне жүктеу секторын қалпына келтіруге мүмкіндік береді. Файл дарды қалпына келтіру үшін қалпына келтіру бағдарламасы, вирус тардың жоқ болған жағдайларында алынған файлдар ту- ралы ақпаратты дер кезінде жасауы жəне сақтауы тиіс. Вирус жұқтырмаған файл туралы ақпаратқа ие болып, вирустар жұ- мысының жалпы принциптері туралы мəліметті пайдаланып, файлдарды қалпына келтіру жүзеге асырылады. Егер вирус файл- ды аса қиын өзгерістерге ұшыратса, онда оны қалпына келтіру резервтік көшірмелерді немесе дистрибутивті пайдалану жолы- мен ғана мүмкін болады. Олар болмаған жағдайда, оның бір ғана жолы бар – файлды жою жəне оны қолмен қалпына келтіру. Егер антивирустық бағдарлама басты жүктеу жазуын неме- се жүктеу секторын қалпына келтіре алмаса, онда оны қолмен қалыпқа келтіруге тырысып көруге болады. Бұл сəтсіз болған жағдайда дискіні форматтап (пішімдеп), оны операциялық жүйеге орнату керек. ЭЕМ-ге түскеннен кейін, оның операциялық жүйесінің бө- лігіне айналатын, вирустар бар. Егер ондай вирусты жай ғана жо- ятын болсақ, онда жүйе жұмысқа қабілетсіз келеді. One Half ви- русы осындай вирустардың бірі болып саналады. ЭЕМ-ді жүктеу кезінде вирус ақырын-ақырын қатты дискіні шифрлайды. Осыған дейін шифрланған секторларға өтініш жасау кезінде One Half өтініш жасауды ұстап алады жəне ақпараттың мағынасын аша- ды. Вирусты жою дискінің шифрланған бөлігін пайдаланудың мүмкін еместігіне əкеледі. Осындай вирусты жою кезінде ал- дымен, дискідегі ақпараттың мағынасын ашу қажет, бұл үшін вирустың əрекет ету тетігін білу керек болады. Антивирустық бағдарламалар: • детектор-бағдарламалар; • доктор-бағдарламалар немесе фаги-бағдарламалар; 287 • тексеруші-бағдарламалар; • сүзгі-бағдарламалар; • вакцин-бағдарламалар немесе иммундаушылар сияқты түр- лерге бөлінеді. Вирустан қорғаудың қарапайым құралына вирус жұқтырған бағдарламалар тізімін құруға мүмкіндік беретін бағдарлама жа тады. Мұндай бағдарламаны детектор деп атайды. Детек- тор ретінде файлда жолды немесе берілген дискіде не каталог- та файлдарды іздеуге қабілетті қолданыстағы бағдарламаларды пайдалануға болады. Детектор резидентті болуы да мүмкін. Бұл кезде бағдарлама жүктелгеннен кейін оның жұқтырылғандығын тексереді жəне тек вирус табылмаған жағдайда оған басқаруды береді. Екінші жəне ең көп тараған вирустардан қорғау құралдарына жүктеу/скачать 1,47 Mb. Достарыңызбен бөлісу:
|