Антивирус

Антивирус (латын тілінен анти – қарсы немесе кері, ал вирус - у деп аударылады) -- Антивирус аты айтып тұрғандай компьютерге енген қауіпті нұсқауларды яғни вирустардан, қауіпті тудырғыш программаларда нқорғап, операциялық жүйе мен файлдардың ластануынан және қайсібір кедергісі көп кодтардан қорғайды. Ол вирустардың таралуы мен көбеюін болдырмайға арналған программа. Оның жұмыс істеу (сканирование) принципы: Компьютерді (C;D) толық сканированиеден өткізіп, вирутарды табу. Компьютердегі(C;D) өзіне сәйкес қимыл орындамайтын немесе вирустанған файл-программаларды табу, олардың қауіптілік дәрежесін анықтау

Табылған вирустарды антивирус программа базасына жеткізіледі. Ол вирустық қасиетке ие болып зияны болса , база сигнатурасында тіркелсе келесі бұйрықтарды орындауға мүмкіншілік болады:

1. Вирустанған (инфицированный) файлды жою.
2. Вирустанған файлдың басқа барлық файлға байланысын жою.
3. Карантинға енгізу (Антивирустың критериясы бойынша вирустың таралуы қауіпінен оны қолдануға мүмкіншілк бермейді).
4. Файлды тазарту, яғни енген вирусты жою.
5. Ешқай бұйрық орындалмайтын жағдайда оны операциялық жүйенің келесі перезагрузкасында ғана вирусты толығымен жоюға болады.

Антивирустық бағдарлама құраушы(лар) оны 3-4, 7-8 немесе одан да көп күндер сайын жаңартып отырады. Ол – көбінесе интернет арқылы жүзеге асырылатын процесс. Бірақ рекомендациялар программаны жиі-жиі жаңартып отыруды дұрыс әрі қауіпсіз деген тұжырым айтады. Кейбір продукттар бірнеше ядролы болып келеді. Оларды программа-тыңшы (шпион) мен кәдімгі зиянды вирустарды табуға арналған. Мысалы NuWave Software 5 ядролы, 3-уі вирустарды ал 2-уі шпион-программаларды табуға арналған.

Антивирустардың көп түрі әсіресе  жүйесінде сигнатуры бар бағдарламалар  вирустарды операциялық жүйенің  файлдарға бұйыруы кезінде іздейді. Бұл әдіс өте тиімді. Компьютердің жүйелік администрациясы оның тексерілетін күнделікті, тұрақты расписаниясын  енгізеді. Антивирустық бағдарламалардың көбісі сигнатурлық жүйе арқылы орындалады. Олар әдетте компьютердің файл-құжаттарының зақымдануына кедергі келтіреді. Вирустардың авторлары мұндай программалармен кездеспеулерін қалайды. Олар сондықтан олигоморфикалық , полиморфикалық және метаморфты вирустарды құрайды. Олардың қолдану себебі вирустардың сигнатурдағы жазылған мәліметпен (запись) сәйкес келуі. Антивирустық бағдарлама өз антивирустық көзқарасы бойынша вирусты тапқан бетте оны жоюды қарастырмай енген файлдың іс-әрекетін бақылап потенцияалды зиянды қолданушыға хабарлап немесе оның қимылын тоқтатады(блокировка) Антивирус - сүзгiлер - бұл бағдарлама қандай болмасын барлық талпыныстар туралы қолданушы дисктерге жазылуға дабылдайтын резидент программасы ол әсiресе формат жасау, сонымен бiрге басқа күдiктi әсерлер туралы. Сонымен бiрге шешу немесе осы әсердi тыйым туралы сұрау салу iске аспай қалады. Бұл бағдарламалардың жұмыс принципі үзулердiң тиiстi векторларының ұстап қалуында негiзделген. Тексерушiлер(Ревизор) - бұл файлдар және дисктiң жүйелiк облыстарының ағымдағы күйлерiн талдайтын және оның осы тексерушiлердiң файлдардың бiрлерiнде бұрын сақталған мәлiметпен салыстыратын бағдарлама. Доктор ВЕб Басқа вирусқа қарсы бағдарлама - диалог фирманы ұсынатын Doctor Webның мәлiмдiлiгi соңғы кезде шапшаң өседi. Ұсынған компания “Диалог-Наука” деп аталады. Бұл бағдарлама И.А.Данилов, 1994 жылында жасалды. Dr.Web тура Aidstestтер сияқтылар детекторлардың классына жатады - дәрiгерлер, бiрақ айырмашылыққа соңғы "Эвристикалық анализатор" деп аталатын алады - белгiсiз вирустер ашуға мүмкiндiк беретiн алгоритм. "Емдiк өрмекшiнiң торы", бағдарламаның ағылшын атауынан жiберiлетiн басып кiруiне байттың бiр де бiр тән тiркесiн болып қалмағандайдың өз денесi көбейтуде түрлендiретiн вирус өзiнен модификацияланатын отандық бағдарламашылары жауап болды. Дәл осылай сонымен қатар Aidstestпен жағдайда оған вирусты бiлдiрген файлдар өйткенi үлгiге вирусқа қарсы программада сау бағдарламада кездесе алуға қабылданған байт тiзбек шығаруға болмайды бағдарламаға бастапқы тестеуiнде емдеуге рұқсат беруге болмайды. Aidstestтерге қарағанда, Dr.Web: бағдарлама:

• полиморфизм вирустарын шырамытады;
• эвристикалық анализатормен жабдықтаған;
• архивтардағы файлдарды емдеуге тексеруге икемi болады;

CPAV вакциналанған файлдарды тестеуге  мүмкiндiк бередi LZEXE, PKLITE, DIET қапталған.  Диалог фирма DOS үшiн DrWebның  әртүрлi бағдарламаның нұсқаларын  ұсынады. Белгiлi жай, дәстүр  бойынша 16-дәрежелiк және 32 деп  аталған DOS үшiн екi болжам дәрежелiк  болады 16-дәрежелiк болжам, басқару  жүйе үстiне қойылатын түсiнiктi жадтардың көлемi бойынша шектеулерге  байланысты "Бiлу" кейбiр аса  маңызды бүгiнгi күнге ие болмайды, онда жеке алғанда (және жад  бойынша арқасында көрcетiлген  шектеулер, қосыла алмайды) қосылмаған.

Компьютерлік вирус —  арнайы жазылған шағын көлемді (кішігірім) программа. Ол өздігінен басқа программалар соңына немесе алдына қосымша жазылады да, оларды "бүлдіруге" кіріседі, сондай-ақ компьютерде тағы басқа келеңсіз әрекеттерді істеуі мүмкін. Ішінен осындай вирус табылған программа "ауру жұққан" немесе "бүлінген" деп аталады. Мұндай программаны іске қосқанда алдымен вирус жұмысқа кірісіп, оның негізгі функциясы орындалмайды немесе қате орындалады. Вирус іске қосылған программаларға да кері әсер етіп, оларға да "жұғады" және басқа да зиянды іс-әрекеттер жасай бастайды (мысалы, файлдарды немесе дискідегі файлдардың орналасу кестесін бүлдіреді, жедел жадтағы бос орынды жайлап алады және т. с. с.).

Өзінің жабысқанын жасыру мақсатында вирустың басқа программаларды бүлдіруі және оларға зиян ету әрекеттері көбінесе сырт көзге біліне бермейді. Оның кері әсері белгілі бір шарттарды орындағанда ғана іске асады. Вирус өзіне қажетті бүлдіру әрекеттерін орындаған соң, жұмысты басқаруды негізгі программаға береді, ал ол программа алғашында әдеттегідей жұмыс істей береді. Сөйтіп ол программа бұрынғы қалпынша жұмысын жалғастырып, сырт көзге "вирус жұққандығы" бастапқы кезде байқалмай қалады.

Вирустың көптеген түрлері  ЭЕМ жадыда ВОВ-ты қайта жүктегенше тұрақты сақталып, оқтын-оқтын өзінің зиянды әсерін тигізіп отырады.

Вирустың зиянды іс-әрекеттері алғашқы кезде жұмыс істеп  отырған адамға байқалмайды, өйткені ол өте тез орындалып әсері онша білінбеуі мүмкін, сондықтан көбінесе адамдардың компъютерде әдеттегіден өзгеше жағдайлардың болып жатқанын сезуі өте қиынға соғады.

Компьютерде "вирус жұққан" программалар саны көбеймей тұрғанда, онда вирустың бар екені сырт көзге ешбір байқалмайды. Бірақ біраз уақыт өткен соң, компьютерде әдеттегіден тыс, келеңсіз құбылыстар басталғаны білінеді, олар, мысалы, мынадай іс-әрекеттер істеуі мүмкін:

• кейбір программалар жұмыс істемей қалады немесе дұрыс жұмыс істемейді;
• экранға әдеттегіден тыс бөтен мәліметтер, символдар, т. б. шығады;
• компьютердің жұмыс істеу жылдамдығы баяулайды;
• көптеген файлдардың бүлінгені байқалады және т. с. с.

Компьютерге вирус жұққанын байқаған кезде кейбір файлдар мен каталогтар, дискідегі мәліметтер бұзылып үлгереді, оның үстіне пайдаланылған дискеттер арқылы немесе жергілікті байланыс желілері бойымен компьютердегі вирус басқа компьютерлерге таралып кеткені байқалмай да қалады.

Вирустардың кейбір түрлерінің кері әсері тіпті одан да терең болады. Олар бастапқы кезде өзінің жұққанын ешбір әсерімен білдіртпей, көптеген программалар мен дискілерге үндемей таралып кетеді де, сонан соң бірден бел шешіп зиянкестік жасауға кіріседі, мысалға, компьютердегі қатгы дискіні өздігінен қайта форматтап шығады. Ал зиянкестік әсерін программаларға аз тигізіп, бірақ қатты дискідегі мәліметтердің ішіен "мүжіп", құртып жататын вирустарға не істеуге болады?!

Осының бәрі вирустан дер кезінде қорғанбасақ, оның келешекгегі әсері керекті мәліметтерді жоғалтуға душар ететіні талас тудырмаса керек.

Вирус программасының байқалмау  себебі олардың көлемі кішігірім  ғана болады да, өздері ассемблер тілінде  жазылады. Кез келген жағдайда вирус  программасы қай компьютерге  арналып жазылса да, ол мәлімет  алмасып жұмыс істейтін басқа компьютерлерге де тез тарап кетеді жөне өте көп зиянкестік әрекеттер жасауы мүмкін. Қазіргі кездегі вирустар негізгі екі топқа бөлінеді:

• резиденттік (компьютер жадында тұрақты сақталатын) вирустар;
• резидегатік емес вирустар.

Вирус жұққан программа іске қосылғанда резвирустар әсерлене әрекет етеді, олар жедел жадқа көшіріліп жазыльп, алғашқы бірсыпыра уақытта әсері сезілмегенмен, соңынан бірден іске қатты кіріседі. Бұл вирустарды тез анықтау ісін қиындатады.

Дискілерге мөлімет жазу кезінде вирус өзінің жабысуына  қолайлы сәт іздеп негізгі операциялар орындалып жатқанда солармен қосылып дискіге жазыльп алады да, оның қалай "жұққанын" адамдар білмей де қалады. Ал, резидентгік емес вирус жедел жадқа тұрақты күйде жазылмайды, бірақ вирустың әсері тиген программа іске қосылғанда ол екпіндене түседі де, өзі жұмыс істеп тұрған каталогтан немесе РАТН командасында көрсетілген каталоггардан өзі ішіне байқаусыз еніп кететін файл іздейді. Ондай файлды тауып, оның ішіне кіріп алып, ол кейін жұмыс істейтін кезде соған зиянды әрекетін тигізеді.

Бүлінген және вирус жұққан файлдар Вирус дискіндегі кез келген файлды бүлдіре алады, бірақ кейбір файлдарға ол бірден жабысады, яғни ол файлдың ішкі көлемінен орын алып, оның қызметін түрлендіріп, қолайлы жағдай туғанда, зиянды әрекетін бастап кетеді. Дегенмен, көптеген програмалар мәтіні мен құжаттарға, мәліметтер базасының информациялық файлдарына, электрондық кестелердегі мәліметтерге вирустар онша әсерін тигізе алмайды, тек оларды аздап қана зақымдауы мүмкін. Вирустардың мынадай файлдарға жұғуы мүмкін:

1. Бірден орындалатын  файлдар, белгілі бір іс-әрекет істейтін кеңейтулер (заты) .сот жөне .ехе болып келген файлдар, сондай-ақ басқа программаларға қажет кезінде қосылатын оверлейлік файлдар. Файлдарды зақымдайтын мұндай вирустарды файлдық деп атайды. Вирус жұққан файлдар өздерінің кері өсерін жұмыс істейтін, іске қосылған сәттерде жасанды. Ең қауіпті вирустарға резидентгік түрде жедел жадта сақталып, орындалатын әрбір программаны зақымдап отыратындары жатады. Ал егерде олар АЦТОЕХЕС.ВАТ жөне резиденттік СОЗЧҒЮ.8Ү8 арқылы іске қосылатын программаларға жұқса, онда компьютер өшіріліп қайта іске қосълған сайын вирустар өз әсерлерін тұрақты қайталап жүргізіп отырады.

2. Операциялық жүйенің жүктеуіші мен қатты дискінін ең басты мәлімет жүктеу жазбасы. Бұл аумақтарды зақымдайтын вирустар "жүктегіш" (загрузочная) немесе Вооі - вирустар деп аталады.

Мұндай вирустар өз қызметін компьютерді іске қосқанда, яғни операциялық  жүйені жүктегенде бірден бастайды жөне әрдайым компьютердің жедел жадында тұрақты сақталады. Бұлардың таралу тәсілі — компъютерге салынған дискеттердің алғашқы жолдарына жазылған жүктегіш мәліметіне зақым келтіру болып табылады. Әдетте мұңдай вирустар екі бөліктен тұрады, өйткені дискеттің жүктеуіш жазбасы мен операциялық жүйенің басты жазбасы өте шағын көлемнен түрады, сондықтан вирус бірден түгелдей олардың ішіне орналаса алмайды. Вирустың екінші бөлігі дискінің түпкі каталогының соңына немесе мәліметгер кластерлеріне жазылып қалады.

3. Құрылғылар драйверлері, яғни СОКҒІО.8Ү8 файлының шеткері құрылғылар көрсетілетін Оегізе деген сөз түрған жолында жазылған файлдар. Ондай файлдағы вирус сол қүрылгыны іске қосқан сайын қызметке кіріседі. Бірақ драйверді бір компьютерден екінші компьютерге кешіру өте сирек болатындықтан, мүндай вирустар көп тарала қоймаған. ОО5 жүйелік файлдарьша (М5 ОО5.8Ү5 жөне ІО.8ҮЗ) да вирус жүқтырылуы теория жүзінде мүмкін болғанымен, олардың таралуы іс жүзінде өте сирек кездеседі.

Әдетге әрбір вирус  түрі файлдың бір немесе екі типіне (түріне) ғана "жүғады". Көбінесе бірден орындалатын файлдарға "жүгатын" вирустар жиі кездеседі. Дискінің жүктегіш аймагын зақымдайтын вирустар екіниіі  орында деп айтуга болады. Шеткері  қүрылғылар драйверлерін зақымдайтын  вирустар сирек кездеседі, өдетте олар бірден орындалатъш файлдарға да зиянын тигізеді.

4. Файлдық жүйені өзгертетін вирустар

Соңгы кезде вирустің жаңа түрлері - дискідегі файлдық жүйені өзгертетін вирустар көбейіп таралуда, оларды қысқаша

ВІК-вирустар деп атайды. Мұндай вирустар өз мөтінін дискінің белгілі бір бөлігіне (әдетте дискінің сощы кластеріне) жасырьш жазып қояды  да, оны дискінің файлды орналастыру  кестесіне (ҒАТ) файлдың соңы ретінде  белгілейді. Барлық .СОМ жөне .ЕХЕ типті файлдар үшін — каталоггағы файлдың ажашқы мәлімеіі көрсетілген орынға вирус жазылған қате орын көрсетіліп, ал дүрыс көрсеткіш — таңбаланған (кодталган) түрде каталогтың пайдаланылмайтын бөлігіне жасырылады. Сол себепті кез келген программаны іске қосқанда дискіден бірінші вирус оқылады да, ол түрақты ЭЕМ жедел жадында сақталып файлдарды өңдейтін ВОЗ программаларына жабысады. Бірақ жалгіы көрініс каталог дұрыс жүмыс атқарған сияқты болып сырт кезге мұның әсері білінбей түрады. Тек вирусы бар дискетгерден программалық файл оқитын сәттерде оның нақты көлемі қысқарып небәрі 512 не 1024 байт қана болып қалады. Бірақ атқарылуға тиіс вирусы бар әрбір программа іске қоспағанда оның дұрыс емес екендігі байқалмайды. Міне осылай "ауырған" дискілерді дұрыс қалпына келтіру үшін тек арнайы

антивирустік программалар қажет (мысалы, Аіс&еБІ программасының соңғы нұсқалары).

5. "Көрінбейтін" жәие өздігінен өрбитін вирустар. Өзін жай көзге сездірмес үшін кейбір вирустар жасырынудың қилы-қилы тесілдерін пайдаланып жүр. Осындайлардың екі түрін — "көрінбейтін" жөне өздігінен өрбитін вирустарды қарастырайық. "Көрінбейтін" вирустар

Көптеген резңдештік вирустар былай жасырынуды әдетке айналдырған, олар ОО8 жүйесінің вирус жұққан файлдарды шақыруын өзгертпей дұрыс  күйінде қалдырады. Бірақ бұл  эффект тек вирус жұққан компьютерде  ғана байқалады, ал вирус жұға қоймаған компьютерлерде файлдар мен дискілерді жүктеуіш аймақтарының өзгеруін байқау қиын емес.

Өздігінен өрбитін вирустар. Вирустардың жасырыну жолының екінші тәсілі өзін-өзі аздап өзгертіп, өрбіп толықтырылып отыруы. Көптеген вирустар жасайтын кері әсерін байқамас үшін өз көлемінің бір сыпырасын таңбаланған жасырын күйде сақтайды. Бірте-бірте өрби отырып, олар таңбалану тәсілін де, таңбаланбаған алғашқы бөлігін де аздал өзгертіп отырады. Осының арқасында вирусты іздеп табатын тұрақты байттар тізбегі болмай, оларды ұстайтын детектор-программалар жұмысы қиындайды.