Здравствуйте! Вы попали на информационно-образовательный сайт посвященный разработке компьютерных игр. Здесь Вы найдете информацию о том, как создать графику, музыку, звук, написать программный код и сюжет и создать полноценную компьютерную игру. Подробнее о целях и задачах сайта в разделе Главная.
Меня уже, честно говоря достали эти компьютерные вирусы...
(сказал кто-то однажды)
Однажды...
Что умеют компьютерные вирусы или как сделать антивирус своими
руками
Начнём с того, что собой представляет вирус.
Компьютерный
вирус - это, как правило,
достаточно небольшая компьютерная программа,
основное назначение которой - самораспространение себя
и выполнение каких-либо еще действий.
Размер файлов вирусов также как правило небольшой - ведь их задача - оставаться скрытными, а чем меньше файл, тем ему легче спрятаться. Я не удивлюсь, если уже есть вирусы, которые вообще маскируются под пустое пространство на жестком диске или других носителях.
Вирусы могут попадать к нам из самых разных источников. Главный из них - конечно же интернет. Там полно всякого бесплатного и псевдобесплатного софта, но есть программы которые действительно бесплатны и честно выполняют свою задачу, а есть и такие, которые несут в себе вредоносный код, заражены вирусом или вообще непосредственно представляют из себя вирус.
Такие вирусы мне часто попадаются на флешках пользователей. Часто можно увидеть файлы, скрытые, имеющие иконку в виде корзины, какое-нибудь внушительное название, вплодь до Microsoft.exe и в сочетании с autorun.inf
Вирусы
бывают самые разные - начиная от
безобидных и маленьких программ-шуток и
рекламы, до мощных и убийственных блокировщиков
и троянов.
В
любом случае - малоприятно, когда знаешь, что
твой компьютер находится под влиянием чего-то
неизвестного и неконтролируемого.
Как
же оградить себя от этих маленьких
и больших вездесущих монстриков ?
Самый
распространенный на сегодня способ -
использование специальных антивирусных
программ.
Беда
в том, что универсальной защиты от
вирусов не существует, т. к. механизм
работы каждого вируса уникален и поэтому требует
соответствующей уникальной методики для
обезвреживания.
Поэтому,
поскольку каждый день появляются
всё новые и новые вирусы, любой антивирус
нуждается в постоянном обновлении - как
со стороны его разработчика, так и со
стороны применяющих его пользователей.
Это
не всегда удобно, а иногда и невозможно,
например на тех ПК, которые не имеют
подключения к интернет. Могут быть и иные
причины.
Суть
состоит в том, что Ваш антивирус - это
с одной стороны надежная защита, но с другой -
постоянная головная боль и забота об новых
обновлениях, а это значит - периодически надо
вкладывать средства в то, чтобы обновлять
антивирус. Для кого-то этот момент может
быть и несущественным, но для кого-то
может оказаться настолько важным, или
особо критичным, что отпадает всякая возможность
использования антивируса.
И все-таки большинство людей не жалеют средств на приобретение антивируса - ведь последствия от потери важной информации могут быть гораздо большими, нежели цена, которую нужно заплатить за то или иной антивирус.
Но оказывается, что одного лишь антивируса мало. Нужно кое-что знать о том, как вообще работают вирусы и какие есть универсальные способы защиты от них.
Я уже говорил, что абсолютно универсального средства ни от каких вирусов нет, но !
Есть
и более сложные, но и более надежные способы защиты,
о которых мы сейчас и поговорим.
1) Создание чистой среды.
Для
создания чистой среды нужно иметь ПК,
с полностью отформатированными жесткими дисками,
готовыми к установке операционной системы (ОС).
Далее
на один из жестких дисков выполняется
установка ОС с надежного установочного диска
на котором заведомо нет и не может быть
никаких вирусов.
Когда
эта операция законченая можно установить
минимум необходимых драйверов и программ
(также из надежных источников - из дистрибутивов
на CD/DVD).
Затем,
используя специальное ПО Acronis или
WinImage нужно сделать образ созданной
чистой рабочей среды.
Теперь
если Вы захотите восстановить чистую
среду вашей системы, Вы легко сделаете
это с образа.
Однако
при восстановлении с образа все
рабочие файлы, которые были Вами созданы
в ходе работы с Вашими рабочими программами
будут уничтожены, а ведь сохранить хочется
в первую очередь именно их !
Если
эти файлы являются исполнимыми или
есть вероятность заражения их вирусом,
то эти файлы предстоит проверять.
Проверять
можно антивирусом, который у Вас
есть возможность использовать.
Другой
вариант - использовать такие файлы,
которые не могут быть заражены.
Например,
если у Вас есть исходники какой-то
собственной программы и при помощи них
можно легко создать исполнимый exe-файл,
то нет смысла хранить сам exe-файл, а лишь
исходный код, который вирусом заражен
быть никак не может !
Другой
вариант - всегда точно знать размер
и контрольную сумму Ваших рабочих файлов.
Если они изменены вирусом, то это можно будет
легко проверить.
Конечно вручную собирать такую информацию - сложно, для этого нужно создать или найти специальную утилиту.
2)
Всегда делайте архивные диски всей важной
информации на CD\DVD - вирусам сложнее записаться
на диск. На диск могут попасть те вирусы,
которые маскировались под полезные программы
и Вы их случайно записали, либо файлы,
которые были заражены вирусами.
Еще пара волшебных слов и один тестовый вирус.
3) Чистка возможных мест, где может быть вирус.
==========================
Если ввести строку msconfig или regedit
в Пуск > Выполнить
можно попробовать искать окопавшийся вирус в следующих местах:
regedit
HKEY_LOCAL_MACHINE
> SOFTWARE > Microsoft > Windows >
CurrentVersion > Run
здесь
находятся все объекты автозапуска - и если Вы
увидели что-то подозрительное - удаляйте и
выполняйте перезагрузку системы.
Но
конечно не переусердствуйте, удаляйте только если на
100% уверены, что это вирус, а не что-то нужное.
msconfig
здесь
Вам нужно открыть вкладку Службы и проверить
наличие подозрительных или чуждых Вашей системе служб.
Это
конечно чуть сложнее, нужно как минимум знать
какие службы действительно нужные системе, а где
прячется вирус.
Поэтому
когда создадите чистую среду обязательно загляните
сюда и запомните хотя бы приблизительно какие службы
действительно нужные системе, тогда в дальнейшем легче
можно отыскать среди них подозрительные.
На
вкладке Автозагрузка находятся как раз те самые объекты
запуска, которые Вы видели в узле Run открытом с помощью
regedit (см. выше).
4)
Использование диспетчера задач Windows - если воспользоваться
комбинацией клавиш Alt + Ctrl + Delete - будет включен
Диспетчер задач. Бывают очень хитрые вирусы, которые блокируют
запуск этого диспетчера, так что если такое имеет место -
значит можете быть готовы к борьбе с вирусом !!!
Придется
сначала воспользоваться какой-нибудь программой
настройщиком, например Tweak WinXP, разрешить диспетчер,
а затем его запускать.
В
диспетчере задач Вы можете видеть все процессы работающие
в данный момент в Вашей системе. Какой-то из них
может оказаться вирусом. Но опять же - Вам нужно знать
какие процессы относятся к нормальным рабочим процессам
в вашей чистой среде. Это тоже нужно знать, чтобы уметь
отличать их от вирусных.
После
того, как ядовитый процесс вируса отключен - если
нет - нужно прибегнуть к более радикальным средствам -
загрузке с загрузочного диска или проверке антивирусом
со свежими антивирусными базами -
можно приступать к борьбе с вирусом.
Лучше
конечно, если имеющийся у Вас антивирус сможет
этот вирус обезвредить или хотя бы предупредить о его
наличии. Если же нет - Вам нужно брать специальный загрузочный
диск (CD или DVD, например ERD Commander), выполнять загрузку
с него, сохранять всю важную информацию на какой-либо
архивный диск (CD или DVD - т. к. вспомните, что на
такие диски вирусу проникнуть тяжелее - если конечно Вы
сами случайно не запишете на диск зараженные файлы или
что еще хуже - файлы самого вируса, поэтому, конечно
предварительно отсейте все подозрительные или заподозренные
в заражении файлы, а уж потом пишите их на диск).
После
того, как эта работа сделана, сохраняется опасность
наличия вируса среди файлов, которые Вы записали на Ваш
архивный диск, особенно, если Вы до конца не уверены
в их чистоте.
Выход
остается один - проверять их свежим антивирусом,
оставлять файлы, которые не могут быть заражены - файлы
исходного кода, текстовые файлы, файлы изображений, звуков,
видеофайлы - короче все те, которые не могут содержать
исполнимого кода.
С
исполнимыми файлами задача сложнее - но если Вы заранее
знаете какой они должны иметь точный объём в байтах и какова
их правильная контрольная сумма, то и тут можно с определенной
уверенностью сказать заражены они или нет.
Несколько слов о тестовом вирусе.
Есть специальный файл TEST.TXT -
EICAR Test File
This
TEST.TXT file helps to test Данный файл TEST.TXT позволит Вам
the performance of the anti-virus протестировать работоспособность анти-
programs detecting viruses with вирусных программ, обнаруживающих виру-
their signatures. сы по их сигнатурам.
For
this purpose, most of the anti- В настоящее время многими разработчика-
virus designers at present ми антивирусов принято для этой цели
generally make use of the standard использовать одну и ту же стандартную
TEST.COM program. This program is программу TEST.COM. Эта программа была
_specially_ designed so that a _специально_ разработана для того, что-
user, without any risk to his бы пользователь, не подвергая свой
machine, could verify how a newly- компьютер опасности, мог посмотреть,
installed anti-virus tool will как его свежеустановленный антивирус
alert on detecting a virus. The будет сигнализировать в случае обнару-
TEST.COM program, is not actually a жения вируса. Программа TEST.COM на
са-
virus, but it is recognized by the мом деле вирусом не является, но опре-
majority of anti-virus utilities деляется большинством антивирусных
as if it is a virus. And on программ якобы как вирус. При этом
detecting this "virus", Dr.Web Dr.Web называет этот "вирус"
следующим
reports образом:
EICAR Test File (Not a Virus!)
Other
anti-virus utilities also Примерно так его называют и другие ан-
alert along somewhat similar lines. тивирусные программы. Для справки:
(The acronym EICAR stands for EICAR - European Institute for Computer
European Institute for Computer Anti-Virus Research.
Anti-Virus Research).
Программа TEST.COM представляет собой
The TEST.COM program is a 68-byte 68-байтный COM-файл, результат исполне-
COM-file, which on executed prints ния которого - вывод на консоль тексто-
on the console вого сообщения:
EICAR-STANDARD-ANTIVIRUS-TEST-FILE!
The
TEST.COM file contains only Файл TEST.COM состоит полностью из
printable characters and the текстовых символов и соответствующая
corresponding string reads as строка имеет вид:
follows:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
In
the file you are presently Если из читаемого Вами файла оставить
reading now, if you retain only the лишь вышеприведенную строку и отредак-
above line and delete all other тированный файл сохранить под именем
text matter and rename the file TEST.COM, то в результате получится
thus edited to TEST.COM, you obtain программа, которая и будет описанным
a program, which is the "virus" выше "вирусом".
described above.
Т. е. можно проверить Ваш антивирус - умеет ли он обнаруживать появление
в системе вирусов по их сигнатуре.
Как видим, чтобы сделать антивирус своими руками, нужно достаточно много
знать.
Но как минимум нужно знать и иметь следующее:
-
Загрузочный диск для загрузки и аварийной работы;
- Образ вашей чистой среды;
- Полный список файлов и их параметров (размер, контрольная сумма),
которые потенциально могут быть заражены в системе;
- Список рабочих процессов необходимых системе для нормального функционирования;
- Список типичных рабочих служб;
- Список обычных для вашей системы рабочих объектов автозапуска.
Иными
словами Вы должны точно знать где, какой и для чего файл в Вашей системе
используется.
Наиболее
подвержены поражению исполнимые файлы exe и файлы динамических
библиотек dll. Есть вирусы, которые просто используют свои собственные
dll или
подменяют системные.
Конечно
еще очень много нужно знать, чтобы сделать свой антивирус.
Но для начала - посмотрите как работают хорошие антивирусы - DrWeb, AVP
или AVZ,
NOD32. Как видим, при проверке тоже имеют много схожего -
в
первую очередь проверяется оперативная память и все работающие в данный
момент
процессы. Если какой-то из них содержит вирус и антивирус может его обнаружить
-
Вы незамедлительно получаете сообщение об этом.
Далее
выполняется проверка всех системных и временных рабочих файлов системы,
а также самых свежих измененных файлов. Сюда входит проверка папки Windows\System
и Windows\System32, временных папок, папок пользователя.
И
наконец, можно выполнить полную глобальную проверку системы - т. е. поиск
вирусов во всех папках находящихся на всех локальных сменных устройствах
данного компьютера.
Как видим в работе антивируса имеется два важных направления:
-
умение предотвратить заражение вирусом;
- умение обнаружить вирус, когда система уже заражена.
Первый
вариант конечно же предпочтительнее - он не дает вирусу попасть
и осесть в системе в момент первого своего появления.
Второй
вариант более сложный - вирус может уже порядком напакостить,
бороться с ним будет уже гораздо труднее, особенно если вирус
не просто размножается, но и заражает файлы.
Вирусы
определяются "в лицо" - по их уникальным сигнатурам. Это означает,
что для каждого вируса берется какой-то характерный кусок его кода, или
дополнительные характеристики - такие как имя файла, размер, дата создания.
Иными
словами нужно иметь базу вирусов, в которой хранятся вирусы в виде
их уникальных сигнатур.
Классификация вирусов строится на основе их механики и разновидностей.
Например
VirusName.VirusView.VirusSubView.Modif1
т. е.
данный
вирус является вирусом класса VirusName
вида VirusView
подвида VirusSubView
модификация Modif1
таким
образом, при борьбе с этим вирусом полагаются на механизм
его работы, который базируется именно на классе вируса,
затем учитываются его специфичные характеристики.
Мы с вами рассмотрели обзорно что такое вирусы и как с ними бороться. В следующих уроках:
мы сделаем первые шаги в написании собственного антивируса, а также напишем собственный тестовый вирус, а как же иначе - пока не поймешь как работают вирусы не сможешь создать и программу для борьбы с ними.
Музыкальный антивирус - представляет из себя смесь музыкального медиа-плеера для прослушивания музыкальных файлов в форматах mp3, ogg, wav, mid, mod, xm, s3m, it и поиска в них музыкальных вирусов :)))
Музыкальные вирусы - это конечно же шутка, их не бывает, но вот программа Музыкальный антивирус - это наша основа, с которой мы начнём постройку нашего собственного антивируса, и он уже будет бороться не с выдуманными, а настоящими вирусами, а заодно и можно будет послушать музыку.
Новости о развитии проекта смотрите на сайтах -
Cвои пожелания, вопросы или заметки отправляйте на:
