Počítačové viry a antivirová ochrana

Počítačové viry a antivirová ochrana
Doporučená literatura: http://www.viry.cz,
http://www.grisoft.cz/softw/60/cz/pdf/avg_doc.pdf,
http://www.grisoft.cz/softw/60/cz/pdf/viryavy.pdf
Počítačový virus – program
• svou činnost provádí bez vědomí uživatele
- spuštěním standardního programu
- restartem počítače
• má schopnost se množit (replikovat) – vytvářet kopie – zapisuje svůj kód (část)
popřípadě i modifikovaný
- do jiných programů
- na určité místo na paměťovém mediu
• při vzniku určité události vyvine určitou činnost
Trojský kůň – program
• je součástí spustitelného programu
• nemnoží se bez vědomí uživatele – množí se kopírováním souborů
Červ (Worm)
• je to sebereplikující program (na rozdíl od Trojského koně)
• je „soběstačný“ (nevyžaduje žádný hostitelský program) – sám vytváří své kopie a
způsobuje, že jsou spuštěny
• k šíření svých kopií na jiné počítače většinou využívá síťových služeb zejména
elektronické pošty
Rozdělení virů
• podle umístění v operační paměti
- rezidentní - trvale umístěný v operační paměti
- nerezidentní – po svém spuštění zapíše svoji kopii do programů na disku
(souborové viry)
• podle cíle infekce
-
-
boot viry (bootové viry) – infikují boot sektory disket, tabulku rozdělení disku
(Partition table – MBR), boot sektor pevného disku. Aktivují se po startu
(restartu) počítače. Prevence – operační systém při startu (restartu) počítače se
spouští zásadně z pevného disku – ne z diskety
souborové viry – napadají soubory se spustitelnými programy (binární COM,
EXE, ovladače SYS apod.
multipartitní (kombinované) – mají znaky bootových i souborových virů
makroviry – ke svému šíření používají makra (programy) používané
v některých aplikacích, hlavně v MS Word, MS Excel
Stealth viry
• maskují svoji přítomnost (dokáží antivirovému programu podstrčit původní
neinfikovaný soubor)
• při detekci nesmí být virus aktivní v operační paměti
• antivirový program spouštíme z nezavirované systémové diskety
Polymorfní viry
• nemusí mít stejný kód ve svých kopiích (šifrování, zakódování)
Antivirové techniky (programy)
• skenovací programy – polydetektory
- vyhledávají známé viry podle jejich identifikátorů (charakteristických řetězců)
- je třeba provádět pravidelnou aktualizaci databáze známých virů
• heuristicky založené skenery (heuristická analýza)
- „vyhledávání“ dosud neznámých virů
- analýza činnosti programu (emulace instrukcí programu)
- upozornění (podezření) na možnost výskytu nového viru (ale také možnost
planého poplachu), uživatel rozhodne co dál …
• kontrola integrity
- vypočítají se a uloží do databáze kontrolní součty (CRC) k „potenciálním
kandidátům infiltrace“ počítačovým virem (soubory se spustitelnými
programy, apod.)
- aktuální kontrolní součty se porovnávají s kontrolními součty uloženými
v databázi, nesouhlas těchto kontrolních součtů – došlo k modifikaci souboru
popř. systémové oblasti na disku – možnost napadení virem
• kombinace antivirových technik
- provede se časově náročnější heuristická analýza pouze u těch oblastí na
disku, kde došlo k modifikaci (změnil se kontrolní součet) od poslední
antivirové kontroly
• rezidentní ochrana
- rezidentní program (hlídač) umožní odhalit virus při pokusu o replikaci popř.
o destrukci
- uživatel nastaví činnost (co všechno se má hlídat) rezidentního programu
• záchranná disketa – zálohování systémových oblastí pevného disku
• prevence
- zálohování, archivace datových souborů
- používat pouze legální software
- nespouštět (neotvírat) nezkontrolované soubory došlé v příloze emailu
- programy přenášet pokud možno pouze ve zdrojovém tvaru (např. s příponou
PAS a nikoliv EXE)
- důsledně používat antivirový program (systém)