Что такое инфицированные объекты архива
Обновлено: 23.04.2024
Итак, Вы обнаружили, что у Вас имеется вирус внутри архива или почтовой базы. Выходов из данной ситуации может быть несколько, в зависимости от того, где же всё-таки содержится инфицированный объект, в архиве или в почтовой базе. Уточню, что почтовые базы - это файлы-контейнеры, которые использует почтовый клиент (The Bat!, Outlook, IncrediMail и т.д.) для хранения полученных писем и прикрепленных к ним файлов. Если Вы не используете на своем компьютере почтовых клиентов, то и почтовых баз у Вас быть не может.
Содержание
Вирус внутри архива
Выходов из данной ситуации может быть несколько:
- Удаление архива
- Удаление вручную
- Удаление с помощью Сканера Dr.Web (путем изменения его Настроек)
- Лечение архива
Рассмотрим каждый вариант в отдельности.
Удаление архива
Удаление вручную
Для этого Вам нужно будет переместить инфицированный архив с помощью Сканера. Делается это с помощью команды "Переместить".
Ошибка создания миниатюры: /bin/bash: /usr/bin/convert: No such file or directory
C помощью данной команды архив, содержащий инфицированный объект, будет перемещен в папку Карантина Dr.Web (по умолчанию это C:\Program Files\DrWeb\Infected. ). После перемещения архива Вам останется лишь открыть данную папку и удалить архив вручную.
Удаление с помощью Сканера Dr.Web (путем изменения его Настроек)
Если Вы всё же решили разрешить Сканеру удаление инфицированных архивов и осознаете, что тем самым можете случайно удалить важную для Вас информацию, содержащуюся в инфицированном архиве или почтовой базе, то делайте как написано ниже.
Для удаления инфицированных архивов непосредственно через Сканер Dr.Web, Вам нужно будет внести некоторые коррективы в его текстовый конфигурационный файл drweb32.ini. Он находится в том же каталоге, что и Dr.Web, по умолчанию полный путь к этому файлу — C:\Program Files\DrWeb\drweb32.ini. Открыв его, найдите в нём секцию настроек сканера [Windows], в ней необходимо добавить строку: EnableDeleteArchiveAction = Yes Если строка с установкой этого параметра в данной секции уже есть (в виде EnableDeleteArchiveAction = No), тогда нужно заменить в ней значение No на Yes. Имейте в виду, что в файле drweb32.ini может находиться две таких строки, одна для Сканера, другая для Спайдера. Вам необходимо внести изменения именно в ту, что находится в секции [Windows]. Будьте внимательны!
Лечение архива
Лечение архива, отчасти, Вам придется проводить вручную. Для этого Вам нужно будет переместить инфицированный архив с помощью Сканера. Как это делается, я уже писал выше, в подразделе Удаление вручную. После того как архив будет перемещен, Вам нужно будет открыть папку Infected. а заодно и переключить SpIDer Guard® в режим Паузы.
Для того чтобы перевести SpiderGuard в режим Паузы, Вам нужно будет щелкнуть правой кнопкой мыши по значку SpIDer Guard®'a в трее (зелененький паучок без конвертика) и в появившемся меню выбрать "Отключить мониторинг". При этом в его нижней правой части появится символ "Пауза".
Теперь разархивируйте содержимое инфицированного архива и проведите лечение разархивированных файлов. По окончании лечения заархивируйте файлы заново, но перед этим удалите старый инфицированный архив. Новый чистый архив поместите туда, где он находился до перемещения Сканером.
Вирус внутри почтовой базы
Если вирус оказался не в архиве, а в почтовой базе, то для его удаления Вам нужно будет, скорее всего, удалить само письмо, к которому прикреплен инфицированный файл. После удаления обязательно дать почтовому клиенту команду "Удалить старые письма и сжать". Возможно, в зависимости от Настроек SpIDer Guard®, Вам придется предварительно перевести его в режим Паузы. Вообще, в дальнейшем, для избежания подобных проблем рекомендуется хранить прикрепленные к письмам файлы в отдельных папках, а не в почтовой базе, как это сделано во многих почтовых клиентах по умолчанию.
Какие файлы считаются системными
Современные компьютеры и остальные электронные устройства имеют небольшие и компактные размеры, сохраняя при этом высокие производительность и скорость обработки данных. Для раскрытия всех функциональных возможностей компьютерных устройств необходимо наличие продвинутого программного обеспечения – операционной системы. Она должна позволять настраивать собственный интерфейс под индивидуальные требования каждого пользователя, управлять всеми процессами компьютерных устройств без сбоев и ошибок, иметь высокую эффективность, быть удобной в использовании и не снижать производительность компьютерных устройств.
Эти файлы часто изменяются автоматически во время обновления системы или установки приложений, но, как правило, лучше самостоятельно изменения в системные файлы не вносить . Удаление, перемещение, переименование или изменение этих файлов может привести к отказу в запуске определенных приложений, краху ее отдельных элементов, или даже к полному сбою системы. По этой причине, системные файлы часто скрыты и становятся доступными пользователям только для чтения. Тем не менее, есть много определенных советов и рекомендаций, некоторые из которых мы описывали на нашем сайте, для модификации системных файлов.
Если вы опытный продвинутый компьютерный пользователь, действуете осторожно и уверены в тех действиях, которые вы совершаете, или следуете инструкциям конкретного руководства, которому вы полностью доверяете, то вы можете получить определенное преимущество от использования таких рекомендаций.
Где хранятся системные файлы
Просто обязательно следует помнить, что удаление, перемещение, редактирование или переименование этих файлов может вызвать всевозможные проблемы с работоспособность и полноценным функционированием операционной системы. Правильным решением будет оставить системные файлы скрытыми. Но если вы намеренно работаете с системными файлами, применяя к ним некоторые советы или рекомендации, то включите их отображение, а по завершению всех действий опять скройте их.
Что произойдет, если системные файлы будут повреждены
Цель работы: систематизировать знания по антивирусным программам, закрепить практические навыки работы с антивирусными программами и программами-архиваторами.
- Выполните задания практической работы.
- Ответьте на вопросы тестового задания
- Оформите отчет и сделайте вывод по практической работе
Задание практической работы
Задание 1. Проверить на наличие вирусов диск D. В тетрадь записать:
Название антивирусной программы
Название антивирусной программы
Quick Heal AntiVirus
Windows Live OneCare
Задание 3. Заархивировать файлы с различными видами сжатия.
Каждый тип файла заархивировать тремя разными методами сжатия.
Задание 4. Заархивировать файл с защитой пароля.
Задание 5. Пройдите тест (вопросы теста получить у преподавателя).
Оформление результатов работы
- Оформить работу в соответствии с заданиями.
- Ответить на контрольные вопросы.
- Сформулировать выводы по результатам работы.
- Сдать и защитить работу.
2. Какие программы используют для уменьшения объема файлов?
3. Что такое архив?
b) он легче защищается от вирусов
c) он легче защищается от несанкционированного доступа
d) он занимает меньше места
6. Укажите программы-архиваторы.
a) WinZip, WinRar
c) Word, PowerPoint
d) Excel, Internet Explorer
7. Программы WinRar и WinZip предназначены…
a) для работы с папками
b) для работы с файлами
c) для антивирусной обработки
d) для сжатия файлов
b) сделать копию в текущем каталоге
d) запустить на выполнение
10. Что такое компьютерные вирусы?
11 . Какие программы из ниже перечисленных являются антивирусными?
a) Doctor WEB, AVP
b) WinZip, WinRar
c) Word, PowerPoint
d) Excel, Internet Explorer
a) программы сканирования и распознавания
b) программы, выявляющие и лечащие компьютерные вирусы
c) программы, только выявляющие вирусы
d) программы-архиваторы, разархиваторы
13. Компьютерные вирусы …
a) возникают в связи со сбоями в аппаратной части компьютера
b) зарождаются при работе неверно написанных программных продуктов
c) являются следствием ошибок в операционной системе
d) создаются людьми специально для нанесения ущерба компьютеру
14. Отличительными особенностями компьютерного вируса являются…
15. Проверка отдельного объекта на вирусы производится путем …
Архивный файл — это любой файл с включенным атрибутом архива . Наличие файла с включенным атрибутом архива просто означает, что файл помечен как подлежащий резервному копированию или архивации.
В большинстве файлов, с которыми мы сталкиваемся при обычном использовании компьютера, вероятно, будет включен атрибут архива, например, изображение, которое вы загрузили с цифровой камеры, файл PDF, который вы только что загрузили … обычные файлы, подобные этому.
Такие термины, как архив, архивный файл и файловый архив , также используются для описания действия или результата сжатия и хранения коллекции файлов и папок в одном файле. Об этом в нижней части этой страницы.
Как создается архивный файл?
Когда кто-то говорит, что файл архива был создан , это не означает, что содержимое файла было изменено или что файл был преобразован в какой-то другой формат, называемый архивом .
Вместо этого это означает, что атрибут архива включается при создании или изменении файла, что обычно происходит автоматически программой, которая создает или изменяет файл. Это также означает, что перемещение файла из одной папки в другую включит атрибут архива, поскольку файл по существу был создан в новой папке .
Когда атрибут архива был установлен, его значение помечается как ноль ( 0 ), чтобы указать, что оно уже скопировано. Значение 1 ( 1 ) означает, что файл был изменен с момента последнего резервного копирования, и, следовательно, все еще необходимо выполнить резервное копирование.
Как вручную изменить атрибут архива
Архивный файл также может быть установлен вручную, чтобы сообщить программе резервного копирования, что файл должен или не должен быть скопирован.
Изменить атрибут архива можно через командную строку с помощью команды attrib . Следуйте эту последнюю ссылку , чтобы узнать все о том , как использовать ATTRIB команду для просмотра и, или снимите атрибут архива через Command Prompt .
Для чего используется архивный файл?
Программное обеспечение для резервного копирования или программное средство, которое ваша онлайн-служба резервного копирования установила на ваш компьютер, может использовать несколько различных методов, чтобы определить, нужно ли создавать резервную копию файла, например, посмотреть дату, когда он был создан или изменен. ,
Другой способ — посмотреть на атрибут архива, чтобы понять, какие файлы были изменены с момента последнего резервного копирования. Это определяет, какие файлы должны быть снова скопированы для хранения новой копии, а также какие файлы не были изменены и не должны быть скопированы.
Как только программа или служба резервного копирования выполняет полное резервное копирование для каждого файла в папке, в дальнейшем это экономит время и пропускную способность для создания инкрементных или дифференциальных резервных копий, поэтому вы никогда не будете выполнять резервное копирование данных, которые уже были скопированы.
Поскольку атрибут архива применяется при изменении файла, программное обеспечение для резервного копирования может просто выполнить резервное копирование всех файлов с включенным атрибутом — другими словами, только те файлы, для которых нужно создать резервную копию, то есть те, которые вы изменили или обновлено.
Затем, после их резервного копирования, любое программное обеспечение, которое выполняет резервное копирование, очистит атрибут. После очистки он снова включается, когда файл был изменен, что приводит к тому, что программа резервного копирования создает резервную копию снова. Это продолжается снова и снова, чтобы обеспечить постоянное резервное копирование ваших измененных файлов.
Некоторые программы могут изменять файл, но никогда не включают бит архива. Это означает, что использование программы резервного копирования, которая полагается исключительно на чтение состояния атрибута архива, может быть не на 100% точным при резервном копировании измененных файлов. К счастью, большинство инструментов резервного копирования опираются не только на это указание.
Что такое файловые архивы?
Инструменты сжатия файлов (часто называемые файловыми архиваторами), такие как 7-Zip и PeaZip , могут сжимать один или несколько файлов и / или папок в один файл с одним расширением . Это значительно упрощает хранение всего этого содержимого в одном месте или совместное использование нескольких файлов с кем-либо.
Три наиболее распространенных типа архивных файлов: ZIP , RAR и 7Z . Эти и другие, такие как ISO , называются файловыми архивами или просто архивами , независимо от того, установлен ли атрибут файла.
Для онлайн-загрузки программного обеспечения и программ резервного копирования характерно архивирование файлов в архивный формат. Загрузки обычно приходят в одном из этих трех больших форматов, и архив диска часто хранится в формате ISO. Однако программы резервного копирования могут использовать собственный проприетарный формат и добавлять к файлу расширение файла, отличное от только что упомянутого; другие могут даже не использовать суффикс вообще.
Итак, Вы обнаружили, что у Вас имеется вирус внутри архива или почтовой базы. Выходов из данной ситуации может быть несколько, в зависимости от того, где же всё-таки содержится инфицированный объект, в архиве или в почтовой базе. Уточню, что почтовые базы - это файлы-контейнеры, которые использует почтовый клиент (The Bat!, Outlook, IncrediMail и т.д.) для хранения полученных писем и прикрепленных к ним файлов. Если Вы не используете на своем компьютере почтовых клиентов, то и почтовых баз у Вас быть не может.
Содержание
Вирус внутри архива
Выходов из данной ситуации может быть несколько:
- Удаление архива
- Удаление вручную
- Удаление с помощью Сканера Dr.Web (путем изменения его Настроек)
- Лечение архива
Рассмотрим каждый вариант в отдельности.
Удаление архива
Удаление вручную
Для этого Вам нужно будет переместить инфицированный архив с помощью Сканера. Делается это с помощью команды "Переместить".
Ошибка создания миниатюры: /bin/bash: /usr/bin/convert: No such file or directory
C помощью данной команды архив, содержащий инфицированный объект, будет перемещен в папку Карантина Dr.Web (по умолчанию это C:\Program Files\DrWeb\Infected. ). После перемещения архива Вам останется лишь открыть данную папку и удалить архив вручную.
Удаление с помощью Сканера Dr.Web (путем изменения его Настроек)
Если Вы всё же решили разрешить Сканеру удаление инфицированных архивов и осознаете, что тем самым можете случайно удалить важную для Вас информацию, содержащуюся в инфицированном архиве или почтовой базе, то делайте как написано ниже.
Для удаления инфицированных архивов непосредственно через Сканер Dr.Web, Вам нужно будет внести некоторые коррективы в его текстовый конфигурационный файл drweb32.ini. Он находится в том же каталоге, что и Dr.Web, по умолчанию полный путь к этому файлу — C:\Program Files\DrWeb\drweb32.ini. Открыв его, найдите в нём секцию настроек сканера [Windows], в ней необходимо добавить строку: EnableDeleteArchiveAction = Yes Если строка с установкой этого параметра в данной секции уже есть (в виде EnableDeleteArchiveAction = No), тогда нужно заменить в ней значение No на Yes. Имейте в виду, что в файле drweb32.ini может находиться две таких строки, одна для Сканера, другая для Спайдера. Вам необходимо внести изменения именно в ту, что находится в секции [Windows]. Будьте внимательны!
Лечение архива
Лечение архива, отчасти, Вам придется проводить вручную. Для этого Вам нужно будет переместить инфицированный архив с помощью Сканера. Как это делается, я уже писал выше, в подразделе Удаление вручную. После того как архив будет перемещен, Вам нужно будет открыть папку Infected. а заодно и переключить SpIDer Guard® в режим Паузы.
Для того чтобы перевести SpiderGuard в режим Паузы, Вам нужно будет щелкнуть правой кнопкой мыши по значку SpIDer Guard®'a в трее (зелененький паучок без конвертика) и в появившемся меню выбрать "Отключить мониторинг". При этом в его нижней правой части появится символ "Пауза".
Теперь разархивируйте содержимое инфицированного архива и проведите лечение разархивированных файлов. По окончании лечения заархивируйте файлы заново, но перед этим удалите старый инфицированный архив. Новый чистый архив поместите туда, где он находился до перемещения Сканером.
Вирус внутри почтовой базы
Если вирус оказался не в архиве, а в почтовой базе, то для его удаления Вам нужно будет, скорее всего, удалить само письмо, к которому прикреплен инфицированный файл. После удаления обязательно дать почтовому клиенту команду "Удалить старые письма и сжать". Возможно, в зависимости от Настроек SpIDer Guard®, Вам придется предварительно перевести его в режим Паузы. Вообще, в дальнейшем, для избежания подобных проблем рекомендуется хранить прикрепленные к письмам файлы в отдельных папках, а не в почтовой базе, как это сделано во многих почтовых клиентах по умолчанию.
Файловый вирус — компьютерный вирус, распространяющийся путем внедрения своего кода в тело различных файлов. При каждом запуске такого заражённого файла сначала выполняется код вируса, и только потом — код самой программы.Объектом вирусного поражения могут выступать исполняемые двоичные файлы (EXE, COM), файлы динамических библиотек (DLL), драйверы (SYS), командные файлы(BAT, CMD) и другие.
Исторически файловые вирусы появились раньше вирусов других типов, и первоначально распространялись в среде операционной системы MS - DOS . Внедряясь в тело файлов программ COM и EXE , вирусы изменяют их таким образом, что при запуске управление передается не зараженной программе, а вирусу. Вирус может записать свой код в конец, начало или середину файла (рис. 1). Вирус может также разделить свой код на блоки, поместив их в разных местах зараженной программы.
Рис. 1. Вирус в файле MOUSE . COM
Разработаны файловые вирусы не только для MS - DOS , но и для других ОС, таких как Microsoft Windows , Linux , IBM OS /2. Однако подавляющее большинство вирусов данного типа обитает именно в среде ОС MS - DOS и Microsoft Windows .
Во времена MS - DOS файловые вирусы жили припеваючи благодаря свободному обмену программами, игровыми и деловыми. В те времена файлы программ имели относительно небольшой размер и распространялись на дискетах. Зараженную программу можно было также случайно загрузить с электронной доски объявлений BBS или из Интернета. А вместе с этими программами распространялись и файловые вирусы.
Современные программы занимают немалый объем и распространяются, как правило, на компакт-дисках. Обмен программами на дискетах уже давно ушел в прошлое. Устанавливая программу с лицензионного компакт-диска, Вы обычно не рискуете заразить свой компьютер вирусом. Другое дело — пиратские компакт-диски. Здесь ни за что ручаться нельзя (хотя нам известны примеры распространения вирусов и на лицензионных компакт-дисках).
В результате сегодня файловые вирусы уступили пальму первенства по популярности вирусам других типов.
Студент Джо Деллинджер
Пример работы файлового вируса
Файл не детектируется антивирусом, но ведет себя подозрительно? Прямая дорога ему в карантин!
В каких случаях объекты помещаются на карантин?
- Код объекта похож на известную угрозу, но частично изменен или напоминает по структуре вредоносную программу, однако не зафиксирован в базе.
- Последовательность совершаемых объектом действий является подозрительной.
- Файлы не могут быть безопасно удалены, или удаление не рекомендуется, или они не могут быть однозначно отнесены к зараженным.
- Файлы были удалены или изменены в процессе лечения.
Где физически хранятся файлы на карантине?
Файлы хранятся во внутренних бинарных форматах в следующих папках:
Операционная система Windows XP:
- %ALLUSERSPROFILE%Application DataKaspersky LabAVP14.0.0QB
Операционные системы Windows Vista/7/8:
Зачем может понадобиться Восстановление из карантина?
Как мы уже упомянули выше, карантин может также хранить файлы, которые были удалены или изменены в процессе лечения.
Восстановление может понадобиться, например, в следующей ситуации: продукт вылечил зараженный файл, но из-за вируса этот файл был изменен и не может быть использован. Однако данный файл вам необходим и, несмотря на угрозу для вашего компьютера, вы хотите его восстановить для дальнейшей работы.
Либо Kaspersky Internet Security не смог вылечить зараженный объект и удалил его, а вам данный файл необходим для работы.
Для восстановления файлов из карантина при подобных ситуациях:
1. Откройте Kaspersky Internet Security и выберите Карантин.
2. В списке файлов выберите тот, который необходимо восстановить, и нажмите на кнопку Восстановить:
Файл будет восстановлен в ту же папку, где он находился изначально.
Сколько по времени хранятся файле на карантине?
По умолчанию максимальный срок хранения объектов на карантине составляет 30 дней. По истечении этого времени объекты удаляются. Вы можете изменить ограничение по времени. Кроме того, вы можете указать максимальный размер карантина. При достижении максимального размера содержимое карантина заменяется новыми объектами.
Для изменения соответствующих настроек:
1. Откройте Kaspersky Internet Security и нажмите на ссылку Настройка в правой нижней части окна.
2. В левом меню выберите Дополнительно, а затем в правой части — Отчеты и Карантин.
3. В разделе Карантин выставьте необходимые параметры.
Оглавление
Приведённый ознакомительный фрагмент книги Создаем вирус и антивирус предоставлен нашим книжным партнёром — компанией ЛитРес.
В этой главе рассказано о вирусах, заражающих EXE-файлы. Приведена классификация таких вирусов, подробно рассмотрены алгоритмы их работы, отличия между ними, достоинства и недостатки. Для каждого типа вирусов представлены исходные тексты с подробными комментариями. Также приведены основные сведения о структуре и принципах работы EXE-программы.
Структура и процесс загрузки EXE-программы
В отличие от COM-программ, EXE-программы могут состоять из нескольких сегментов (кодов, данных, стека). Они могут занимать больше 64Кбайт.
EXE-файл имеет заголовок, который используется при его загрузке. Заголовок состоит из форматированной части, содержащей сигнатуру и данные, необходимые для загрузки EXE-файла, и таблицы для настройки адресов (Relocation Table). Таблица состоит из значений в формате сегмент: смещение. К смещениям в загрузочном модуле, на которые указывают значения в таблице, после загрузки программы в память должен быть прибавлен сегментный адрес, с которого загружена программа.
При запуске EXE-программы системным загрузчиком (вызовом функции DOS 4Bh) выполняются следующие действия:
1. Определяется сегментный адрес свободного участка памяти, размер которого достаточен для размещения программы.
2. Создается и заполняется блок памяти для переменных среды.
3. Создается блок памяти для PSP и программы (сегмент:0000h — PSP; сегмент+0010h:0000h — программа). В поля PSP заносятся соответствующие значения.
4. Адрес DTA устанавливается равным PSP:0080h.
5. В рабочую область загрузчика считывается форматированная часть заголовка EXE-файла.
6. Вычисляется длина загрузочного модуля по формуле: Size=((PageCnt*512)–(HdrSize*16))–PartPag.
7. Определяется смещение загрузочного модуля в файле, равное HdrSize*16.
8. Вычисляется сегментный адрес (START_SEG) для загрузки — обычно это PSP+10h.
9. Считывается в память загрузочный модуль (начиная с адреса START_SEG:0000).
10. Для каждого входа таблицы настройки:
a) читаются слова I_OFF и I_SEG;
b) вычисляется RELO_SEG=START_SEG+I_SEG;
c) читается слово по адресу RELO_SEG:I_OFF;
d) к прочитанному слову прибавляется START_SEG;
e) результат запоминается по тому же адресу (RELO_SEG:I_OFF).
11. Распределяется память для программы в соответствии с MaxMem и MinMem.
12. Инициализируются регистры, выполняется программа:
b) АХ=результат проверки правильности идентификаторов драйверов, указанных в командной строке;
c) SS=START_SEG+ReloSS, SP=ExeSP;
d) CS=START_SEG+ReloCS, IP=ExeIP.
EXE-вирусы условно можно разделить на группы, используя в качестве признака для деления особенности алгоритма.
Вирусы, замещающие программный код (Overwrite)
Такие вирусы уже стали раритетом. Главный их недостаток — слишком грубая работа. Инфицированные программы не исполняются, так как вирус записывается поверх программного кода, не сохраняя его. При запуске вирус ищет очередную жертву (или жертвы), открывает найденный файл для редактирования и записывает свое тело в начало программы, не сохраняя оригинальный код. Инфицированные этими вирусами программы лечению не подлежат.
Эти вирусы получили свое название из-за алгоритма размножения: к каждому инфицированному файлу создается файл-спутник. Рассмотрим более подробно два типа вирусов этой группы:
Вирусы первого типа размножается следующим образом. Для каждого инфицируемого EXE-файла в том же каталоге создается файл с вирусным кодом, имеющий такое же имя, что и EXE-файл, но с расширением COM. Вирус активируется, если при запуске программы в командной строке указано только имя исполняемого файла. Дело в том, что, если не указано расширение файла, DOS сначала ищет в текущем каталоге файл с заданным именем и расширением COM. Если COM-файл с таким именем не найден, ведется поиск одноименного EXE-файла. Если не найден и EXE-файл, DOS попробует обнаружить BAT (пакетный) файл. В случае отсутствия в текущем каталоге исполняемого файла с указанным именем поиск ведется во всех каталогах, доступных по переменной PATH. Другими словами, когда пользователь хочет запустить программу и набирает в командной строке только ее имя (в основном так все и делают), первым управление получает вирус, код которого находится в COM-файле. Он создает COM-файл еще к одному или нескольким EXE-файлам (распространяется), а затем исполняет EXE-файл с указанным в командной строке именем. Пользователь же думает, что работает только запущенная EXE-программа. Вирус-спутник обезвредить довольно просто — достаточно удалить COM-файл.
Вирусы второго типа действуют более тонко. Имя инфицируемого EXE-файла остается прежним, а расширение заменяется каким-либо другим, отличным от исполняемого (COM, EXE и BAT). Например, файл может получить расширение DAT (файл данных) или OVL (программный оверлей). Затем на место EXE-файла копируется вирусный код. При запуске такой инфицированной программы управление получает вирусный код, находящийся в EXE-файле. Инфицировав еще один или несколько EXE-файлов таким же образом, вирус возвращает оригинальному файлу исполняемое расширение (но не EXE, а COM, поскольку EXE-файл с таким именем занят вирусом), после чего исполняет его. Когда работа инфицированной программы закончена, ее запускаемому файлу возвращается расширение неисполняемого. Лечение файлов, зараженных вирусом этого типа, может быть затруднено, если вирус-спутник шифрует часть или все тело инфицируемого файла, а перед исполнением его расшифровывает.
Вирусы, внедряющиеся в программу (Parasitic)
Вирусы этого вида самые незаметные: их код записывается в инфицируемую программу, что существенно затрудняет лечение зараженных файлов. Рассмотрим методы внедрения EXE-вирусов в EXE-файл.
Способы заражения EXE-файлов
Самый распространенный способ заражения EXE-файлов такой: в конец файла дописывается тело вируса, а заголовок корректируется (с сохранением оригинального) так, чтобы при запуске инфицированного файла управление получал вирус. Похоже на заражение COM-файлов, но вместо задания в коде перехода в начало вируса корректируется собственно адрес точки запуска программы. После окончания работы вирус берет из сохраненного заголовка оригинальный адрес запуска программы, прибавляет к его сегментной компоненте значение регистра DS или ES (полученное при старте вируса) и передает управление на полученный адрес.
Вирусы, замещающие программный код (Overwrite)
Как уже говорилось, этот вид вирусов уже давно мертв. Изредка появляются еще такие вирусы, созданные на языке Assembler, но это, скорее, соревнование в написании самого маленького overwrite-вируса. На данный момент самый маленький из известных overwrite-вирусов написан ReminderW (Death Virii Crew group) и занимает 22 байта.
Алгоритм работы overwrite-вируса следующий:
1. Открыть файл, из которого вирус получил управление.
2. Считать в буфер код вируса.
4. Искать по маске подходящий для заражения файл.
5. Если файлов больше не найдено, перейти к пункту 11.
6. Открыть найденный файл.
7. Проверить, не заражен ли найденный файл этим вирусом.
8. Если файл заражен, перейти к пункту 10.
9. Записать в начало файла код вируса.
10. Закрыть файл (по желанию можно заразить от одного до всех файлов в каталоге или на диске).
1. Проверка объекта (диска, папки, файла) на отсутствие вирусов ведется по такой технологии:
· открыть окно антивирусной программы;
· установить флажок на нужном объекте, если же нужного объекта нет в списке тех, которые сканируются, воспользоваться кнопкой „Добавить”;
· начать процесс сканирования;
· проверить результаты сканирования объекта: в перечне неурядиц должны быть нули.
Но разные антивирусные программы имеют разные окна. Потому самый простой способ проверки объекта на наличие вирусов – воспользоваться контекстным меню объекта в среде Windows (например, в режиме „Мой компьютер” – рис.6).
Рис.6 – Сканирование папки с помощью контекстного меню.
Самым распространенным средством борьбы с компьютерными вирусами на сегодняшний день является программа-детектор Antiviral Toolkit Pro (сокращено название AVP) .Вона являет собой 32-разрядное дополнение для работы у ОС Windows и обеспечивает поиск и уничтожение широкого класса вирусов.Во время работы программы проверяются оперативная память, файлы, системный и загрузочный секторы, таблица разбивки диска.
Запуск программы может осуществляться из рабочего стола (значок программы имеет вид ) или из главного меню Windows (программа AVP Сканер).Під время запуска программы загружаются антивирусные базы, количественный и качественный состав которых определяет возможности программы. Главное окно программы изображено .
Основные элементы окна:
Строка меню имеет четыре секции:
Назначение вкладок окна:
ВЫПОЛНЕНИЕ РАБОТЫ
1. Запустите программу TOTAL COMMANDER .
2. Получите навыки по работе с программой.
3. Выполните индивидуальное задание согласно варианта
4. В своей личной папке создайте архивы RAR и ZIP из созданного на практическом занятии №1 файла (с информацией о себе).
5. Сравните степени их сжатия.
6. Создайте самораспаковывающийся (SFX) архив.
7. Проверьте папку на наличие вирусов
ВАРИАНТЫ ЗАДАНИЙ.
1. Создать в собственной папке: папку с именем "Рабочая папка №1", в созданной папке создать папки - DОС1, DОС2, DОСЗ, в папке DOC2 создать файлы - текстовые документы T1.TXT, Z2.TXT. Переименовать файл T1.TXT на новое произвольное имя, Z2.TXT скопировать в папку DОС1, уничтожить папку DОСЗ.
3. Создать в собственной папке: папки с именем ДОКУМЕНТЫ, ТЕКСТЫ, ИНФОРМАТИКА и файлы - текстовые документы СПИСОК, БЛОКНОТ. Переместить файл БЛОКНОТ в папку ТЕКСТЫ, а файл СПИСОК скопировать в папку ИНФОРМАТИКА. Переименовать файл БЛОКНОТ на произвольное имя и удалить папку ДОКУМЕНТЫ.
4. Создать в собственной папке: папки: ПАПКА ДОКУМЕНТОВ, DОС1, DОС2, СПРАВОЧНИК и файлы текстовых документов - БЛОКНОТ1, БЛОКНОТ2, БЛОКНОТ3, в папке СПРАВОЧНИК создать файлы - ТЕКСТЫ, ДОПОЛНЕНИЕ. В каждой папке оставить только один объект (файл), если папка свободна скопировать файл из другой папки, лишние файлы удалить. Переименовать папку ПАПКА ДОКУМЕНТОВ на ИНФОРМАТИКА.
6. Создать в собственной папке: папку с именем ПАПКА ДОПОЛНЕНИЙ, в ней создать папки - ТЕКСТ1, ТЕКСТ2 и файл текстового документа СПИСКИ.TXT. В папке ТЕКСТ2 создать файлы ЗАМЕТКИ.TXT, ГРУППЫ.TXT. Переместить файлы ГРУППЫ.TXT, ЗАМЕТКИ.TXT в папку ПАПКА ДОПОЛНЕНИЙ. Используя режимы работы с группой файлов, скопировать все три текстовых файла в папку ТЕКСТ1. Изменить название папки ПАПКА ДОПОЛНЕНИЙ на произвольное имя.
7. Создать в собственной папке: папку с именем ПАПКА ТЕКСТОВ, создать в созданной папке еще три папки - СПИСКИ, ЗАМЕТКИ, ГРУППЫ и файлы текстовых документов ТЕКСТ1, ТЕКСТ2, ТЕКСТЗ, ТЕКСТ4. Используя режимы работы с группой файлов, переместить файлы ТЕКСТ1, ТЕКСТ4 в папку СПИСКИ, а файлы ТЕКСТ2, ТЕКСТЗ – скопировать в папку ГРУППЫ. Папку СПИСКИ переименовать на произвольное имя.
8. Создать в собственной папке: папку с именем ДОКУМЕНТЫ, в этой папке создать папки - ДОПОЛНЕНИЯ, DОСUМ1, DОСUМ2. Открыть папку DОСUМ1 и создать в ней файл текстовый документ СПИСОК. Открыть папку DОСUМ2 и создать в ней файлы – текстовые документы ДОПОЛНЕНИЯ, ЗАМЕТКИ. Создать в собственной папке: копию папки ДОКУМЕНТЫ. Созданную копию переименовать на DOCUMENTS. Открыть обе папки. Удалить из папки ДОКУМЕНТЫ всю папку DOCUM1, а из папки DOCUMENTS – папку ДОПОЛНЕНИЯ.
9. Создать в собственной папке: папку с именем ПАПКА ДОКУМЕНТОВ, в созданной папке создать папки - ТЕКСТЫ. ЗАМЕТКИ, DОСUМ и файлы - текстовые документы СПИСОК, ДОПОЛНЕНИЕ, ГРУППА. Создать в собственной папке: копию папки ПАПКА ДОКУМЕНТОВ и переименовать ее на КОПИИ ДОКУМЕНТОВ. Открыть обе папки. Переместить файлы СПИСОК, ГРУППА в папку ЗАМЕТКИ, а файл ДОПОЛНЕНИЕ удалить.
10. Создать в собственной папке: папку ПАПКА №1, в ней папки ТЕКСТ1, ТЕКСТ2, ТЕКСТЗ и файлы - текстовые документы - СПИСОК1, СПИСОК2, СПИСОКЗ. Создать в собственной папке: копию папки ПАПКА №1 - КОПИИ ДОКУМЕНТОВ. Открыть обе папки, переместить файлы СПИСОК1, СПИСОКЗ, как группу, в папку ТЕКСТ1 другой панели, а файл СПИСОК2 скопировать в папку ТЕКСТ2.
12. Создать в собственной папке: папки ЗАМЕТКИ, ТЕКСТ, ГРУППА и файлы - текстовые документы -ДОКУМЕНТ, ЗАМЕТКИ, ДОПОЛНЕНИЯ, ВАРИАНТЫ. Переместить файлы ДОКУМЕНТ, ВАРИАНТЫ, как группу, в папку ГРУППА, а файлы ЗАМЕТКИ, ДОПОЛНЕНИЯ скопировать, как группу, в ПАПКУ-ТЕКСТ. Папку ГРУППА переименовать на произвольное имя, удалить папку ЗАМЕТКИ.
13. Создать в собственной папке: папку с именем РАБОЧАЯ ПАПКА №1, в созданной папке создать папки - DОС1, DОС2, DОСЗ и файлы - текстовые документы ТЕКСТ, ДОПОЛНЕНИЯ. Переименовать файл DOC1 и папку ДОПОЛНЕНИЯ на произвольные имена. Удалить файлы DOC2, DOC3, используя групповые операции.
14. Создать в собственной папке: папку с именем РАБОЧАЯ ПАПКА №2, в ней создать папки - DОС1. DОС2, DОСЗ и файлы - текстовые документы - ТЕКСТ, ДОПОЛНЕНИЯ. Создать в собственной папке: копию папки РАБОЧАЯ ПАПКА №2, удалить в ней папки DОС1, DОС2, используя групповые операции. Переименовать файлы и папки, которые остались в новой папке, на произвольные имена.
КОНТРОЛЬНЫЕ ВОПРОСЫ.
1. Особенности работы в файловом менеджере TOTAL COMMANDER
2. Способы создания папок
3. Способы переименования, копирования, перемещения и уничтожения папок и файлов
4. Назначение операции архивации
5. Режимы работы программы WINRAR
6. Способы создания архива
7. Как и зачем создается многотомный архив
8. Как создать самораспаковывающийся архив, его отличие от обычного архива.
Читайте также: