Міністерство освіти і науки України

Європейський університет
Черкаська філія
Кафедра математичних та комп’ютерних дисциплін

Звіт
з лабораторної роботи №2
На тему: Архіватори та антивірусні засоби

Перевірила: Виконала:
студентка ІІ курсу БК-02
Малясова Г.О

Черкаси 2011
 9. Поняття архівації даних. Архіватори. Призначення та основні
функції програм-архіваторів

Потреба в архівуванні часто виникає під час копіювання великих

обсягів інформації для тривалого зберігання на дискети. Для цього
використовується стиснення. Під стисненням треба розуміти таке кодування
інформації, коли закодований варіант займає менше дискової пам’яті, ніж
вихідний.
Процес стиснення даних називають архівацією даних, а результат –
архівною інформацією.
Архіватори надають можливість зменшити кількість дискет,
необхідних для зберігання цієї інформації.
Архіватори – це спеціально написані програми що дозволяють
зберігати певну інформацію на ПК займаючи при цьому найменше місця, а
це в свою чергу призводить до найефективнішої роботи ПК.
Архіватори є двох типів :
 Архіватори, що працюють в режимі командного рядка. Суть
роботи з даними архіваторами полягає у тому, щоб вводити команди, що
відповідають назві виконуючого файлу програми. При цьому дуже важливо
не забути про завдання відповідних параметрів.
Архіватори даного типу працюють у текстовому режимі операційної
системи. Щоб краще зрозуміти як відбувається дана операція приведемо
приклад.
Отже, НАПРИКЛАД: в режимі сеансу MS-DOS даний тип архіваторів
працює дуже ефективно. Відповідну команду архівування можна задавати
також через командний рядок програмної оболонки (Оболонки Windows
Commander)
 Архіватори-оболонки – це програми із зручним інтерфейсом, що
полегшує виконання будь-яким користувачем операцій над архівами.
 Дані архіватори є і з графічним інтерфейсом для операційної системи
подібних до Windows.
Взагалі робота з архіваторами підвищує комп’ютерну грамотність
користувач і дозволяє уникнути загромадженості вінчестера.
Робота по стисненні даних ведеться безперервно, бо стиснення даних
дуже важливий напрямок у роботі кожного зацікавленого у цьому.
Хоча архіватори залишаються все ж таки перспективними засобами
стиснення інформації бо в основі їх функціонування лежать логарифмічні
перетворення, що включають у себе безліч комбінаційно-кодувальних
операцій.
Розрізняють такі програми-архіватори:
1. Робота з архіваторами WinZip – це дуже зручний і легкодоступний
спосіб виконання потрібної нам операції. Для архівування інформації в
операційній системі типу Windows потрібно знати, що даний архіватор
працює в оболонці, вікно якої має інтерфейс схожий на Power Archive, але
без панелі папок.
Проте WinZip може працювати в режимі майстра WinZip.(WinZip
Wizard), який використовують користувачі – початківці.
Порядок перетворення архівного файлу в саморозархівований exe файл,
знищення файлів в архіві, встановлення коментарів, тестування та
можливість розархівування та наявність ПК – вірусів у вказаних архіваторах
повністю ідентичні.
Для архівування файлів за допомогою майстра WinZip необхідно у
класичному вікні програми вибрати об’єкт, що потрібно заархівувати і
натиснути комбінацію клавіш Schist + W або натиснути кнопку Wizard.
WinZip забезпечує:
 створення нового архіву;
 перегляд і відкриття існуючого архіву;
 додання (вилучення) файлів до архіву
 підтримку інтерфейсу Windows 9x/2000
  Internet – підтримку до форматів Internet файлів – zip
 Стиснення – Unix UUE ncode, BinHex, ARJ, H2H та інші
 Створення саморозпакувальних архівів;
 Вірусну перевірку.
Для відкривання існуючого архіву його активізують, клацаючи правою
клавішею миші (команда «Открыть»). У результаті на екрані дисплея
з’являється вікно.
2. WinRar – дуже популярний архіватор, схожий на WinZip створений
російським програмістом Євгеном Рошалом. Хоча в ньому виводиться диск
активної папки. Щоб відобразити вміст архівного файлу достатньо натиснути
праву кнопку миші на його імені, або через вікно відкриття файлу.
В пункті меню файлу вибрати команду «открыть» архів або ж можна
натиснути Ctrl + О.
Вихід з архівного файлу здійснюється так само, як із звичайної папки.
Щоб створити новий архів або добавити файли до існуючого архіву, треба у
вікні оболонки перейти в папку де знаходяться файли, що слід за архівувати
та відмітити і виконати вищевказані дії.
Для виконання операції розархівування у WinRar спочатку входимо у
архів та відмічаємо відповідні файли. Після чого тиснемо Alt + E. Виконаємо
вищеописані операції з конкретним файлом. Щоб заархівувати файл
Active.dll або добавити до існуючого архіву переходимо у вікні оболонки у
папку з файлами виділяємо мишкою даний файл і виконуємо вищевказані
операції по заархівуванню файлу.
10. WinRAR — це один з найбільш потужних і зручних архіваторів для
Windows.
 Зручний інтерфейс, підтримка всіх потрібних форматів архівації і
загальне досить висока якість не залишає шансів конкурентам. WinRAR має
повну підтримку форматів RAR і ZIP, а також може виконувати всі основні
операції з форматами: 7Z, ACE, ARJ, BZ2, CAB, GZ, JAR, LZH, TAR, UUE, Z
та ISO (CD-іміджі).

У програми є спеціальний алгоритм для стиснення мультимедійних

файлів (за допомогою якого можна домогтися ще більшому ступені
стиснення мультимедіа-файлів), підтримка багатотомних архівів, уміє
створювати SFX-архіви з заданим текстом у вікні і заголовку вікна,
встановлювати пароль на створювані архіви, забезпечує повне управління
файлами в архівах, відновлення пошкоджених архівів, шифрування та багато
іншого.
Головне вікно програми WinRAR містить смугу заголовка, рядок меню,
панель інструментів, рядок стану і робочу ділянку
У смузі заголовка є кнопки системного меню, згортання, розгортання
та закриття вікна. Тут також можна прочитати ім'я поточного диска, папки і
самої програми.
Рядок меню має шість меню: Файл, Команди, История, Избранное,
Параметри і «?».
Файл містить команди для вибору і/або перегляду вмісту дисків та
папок, а також їх закриття.
 Команди — команди виконання основних функцій WinRAR.
История — імена файлів, із якими користувач працював останнім
часом.
Избранное дає змогу додавати папки і архіви у папку Избранное.
Параметри містить команди для встановлення параметрів WinRAR.
«?» забезпечує доступ до довідкової системи програми WinRAR.
11. На панелі інструментів розміщено кнопки, що повторюють пункти з
меню Команди, а також список дисків, який розкривається для зміни диска.
Тут відображаються кнопки команд, що відповідають режимам керування
файлами й архівами (рис. 1.47, 1.48).
У рядку стану є кнопки «Диск», яка призначена для зміни поточного
диска, і «Ключ», що використовується для введення пароля. За умовчання
значок ключа має жовтий колір, після введення пароля — червоний. У
середній частині рядка виводиться розмір виділених файлів або поточний
стан, у правій — загальна кількість файлів у папці та їхній розмір.
На робочій ділянці вікна відображається вміст поточної папки (в
режимі керування файлами) або вміст архіву (в режимі керування архівами).
Для кожного файла показуються ім'я, розмір, тип і дата його зміни, а
для архівного — додається ще й розмір після архівації.
Щоб перейти до батьківської папки, треба двічі клацнути мишею на
папці, позначеній символом «..», або натиснути на клавішу <BackSpase>.
Основні команди і відповідні кнопки панелі інструментів WinRAR, а
також їх призначення, наведено у табл. 1.7.
 13. Комп'ютерний вірус (англ. computer virus) — комп'ютерна
програма, яка має здатність до прихованого саморозмноження. Одночасно зі
створенням власних копій віруси можуть завдавати шкоди: знищувати,
пошкоджувати, викрадати дані, знижувати або й зовсім унеможливлювати
подальшу працездатність операційної системи комп'ютера. Розрізняють
файлові, завантажувальні та макро-віруси. Можливі також комбінації цих
типів. Нині відомі десятки тисяч комп'ютерних вірусів, які поширюються
через мережу Інтернет по всьому світу.

Малообізнані користувачі ПК помилково відносять до комп'ютерних

вірусів також інші види шкідливих програм — програми-шпигуни чи навіть
спам.
 За створення та поширення шкідливих програм (в тому числі вірусів) у
багатьох країнах передбачена кримінальна відповідальність. Зокрема, в
Україні створення і поширення комп'ютерних вірусів переслідується і
карається відповідно до Кримінального кодексу.
Походження терміну
Назва програми "комп'ютерний вірус" походить від однойменного
терміну з біології за її здатність до саморозмноження. Саме поняття
"комп'ютерного вірусу" з'явилося на початку 1970-тих і використовувалося у
програмуванні та літературі, зокрема, у фантастичному оповіданні "Людина в
рубцях" Грегорі Белфорда. Проте, автором терміну вважається Ф. Коен, який
у 1984-тому році опублікував одну з перших академічніх статей, що були
присвячені вірусам, де і було використано цю назву.
Класифікація
Всі віруси можна поділити на групи :
Завантажувальні віруси — Заражають завантажувальні сектори
жорстких дисків (вінчестерів) і дискет.
Файлові віруси — Заражають файли. Ця група в свою чергу поділяється на віруси, які
заражають виконувальні файли (сом-, ехе-віруси); файли даних (макровіруси); віруси —
супутники, які використовують імена інших програм; віруси сімейства dir, які
використовують інформацію про файлову структуру. Причому два останніх типи зовсім
не модифікують файли на диску.
Завантажувально-файлові віруси — спроможні вражати, як код
завантажувальних секторів, так і код файла. Віруси поділяються на
резидентні та нерезидентні. Перші при отриманні керування, завантажуються
в пам'ять і можуть діяти на відміну від нерезидентних не тільки під час
роботи зараженого файла.
Stealth-віруси — фальсифікують інформацію, читаючи з диску так, що
активна програма отримує невірні дані. Вірус перехоплює вектор
призупинення INT 13h і поставляє зчитувальній програмі іншу інформацію,
яка показує, що на диску «все в нормі». Ця технологія використовується як в
файлових, так і в завантажувальних вірусах.
 Ретровіруси — звичайні файлові віруси, котрі заражають антивірусні
програми, знищують їх або роблять їх непрацездатними. Тому практично всі
антивіруси, в першу чергу перевіряють свій розмір і контрольну суму файлів.
Multipartition—віруси — можуть вражати одночасно exe, com, boot-
сектор, mother boot record, FAT і директорії. Якщо вони до того ж володіють
поліморфними властивостями і елементами невидимості, то стає зрозуміло,
що такі віруси — одні з найнебезпечніших.
Троянські програми (англ. Trojans) — проводять шкідливі дії замість
оголошених легальних функцій або наряду з ними. Вони не спроможні на
самовідтворення і передаються тільки при копіюванні користувачем.
14. Антивірусні програми

Антивірусні програми за своїм призначенням поділяються на детектори,

фаги, ревізори, фільтри та вакцини. Розглянемо їх характеристики більш
докладно.
Детектори служать тільки для виявлення вірусів у комп'ютері. Фаги
лікують його від вірусної інфекції. Дуже часто функції детектора та фага
суміщені в одній програмі, а вибір режиму роботи здійснюється завданням
відповідних параметрів (опцій, ключів). На початку вірусної ери кожний
новий вірус визначався та лікувався окремою програмою. При цьому для
деяких з вірусів (наприклад, VIENNA) цих програм було не менше десятка.
Згодом окремі програми почали виявляти та лікувати декілька типів вірусів,
тому їх стали звати полідетекторами та поліфагами відповідно. Сучасні
антивірусні програми знаходять і знешкоджують багато тисяч різновидів
вірусів і заради простоти їх звуть коротко детекторами та фагами. Серед
детекторів та фагів найбільш відомими та популярними є програми Aidstest,
DrWeb (фірма ДиалогНаука, Росія), Scan, Clean (фірма McAfee Associates,
США), Norton AntiVirus (фірма Symantec Corporation, США). Ці програми
періодично (в середньому двічі на місяць) поновлюються, даючи
користувачеві змогу боротися з новими вірусами. Показником важливості
антивірусних засобів стало включення до складу операційної системи MS-
DOS утиліти MSAV (MicroSoft AntiVirus). Щоправда, цей продукт був
розроблений фірмою Central Point Soft Ware (автором славнозвісних PCTools
та PCShell) і звався CPAV, а згодом був куплений фірмою MicroSoft. Утиліта
MSAV є одночасно детектором, фагом, ревізором та вакциною.
Під час запуску фагів у пам'яті комп'ютера не повинно бути резидентних
антивірусних програм, які блокують запис на диск (фільтрів).

Ще одним типом антивірусних програм є ревізори. Ці програми можуть

виявляти факт зараженості комп'ютера новими вірусами, слідкуючи за всіма
змінами системних областей та файлової структури на вашому ПК. При
першому запуску ревізор утворює таблиці, куди заносить інформацію про
вільну пам'ять, Partition Table, Boot, директорії, файли, що містяться у них,
погані кластери тощо. При повторному запуску ревізор сканує пам'ять та
диски і видає повідомлення про всі зміни, що відбулися у них з часу
останнього сеансу ревізії. Нескладний аналіз цих змін дозволяє надійно
визначити факт зараження комп'ютера вірусами. Серед ревізорів, мабуть,
найбільш популярною є програма ADinf (фірма ДиалогНаука, Росія). Вже
згадувана програма MSAV також може виконувати функції ревізора.

Свого часу, коли не було надійних засобів боротьби з вірусами, широкого

поширення набули так звані фільтри. Ці антивірусні програми блокують
операцію записування на диск і виконують її тільки при вашому дозволі. При
цьому легко визначити, чи то ви санкціювали команду на запис, чи то вірус
намагається щось заразити. До числа широко відомих свого часу фільтрів
можна віднести програми VirBlk, FluShot, Anti4us. До речі, остання програма
німецького виробництва і при читанні її назви ми одержимо щось на зразок
"антивірус". Зараз фільтри майже не використовують, оскільки вони, по-
перше, дуже незручні, бо відволікають час на зайвий діалог, по-друге, деякі
віруси можуть обманювати їх. Відмітимо утиліту П.Нортона DISCMON, яка
у режимі Protect здійснює саме функцію фільтра.

Нарешті до антивірусних програм відносяться вакцини. Зауважимо відразу,

що їх поширення було дуже обмеженим раніше, а зараз вони практично
зовсім не використовуються. Справа у тому, що вакцини призначені для
боротьби з дуже обмеженими класами вірусів і для кожного їх типу
потребують досить складної розробки відповідних програм. Пояснимо на
прикладах суть дії вакцин. Як ми вже казали раніше, вірус VIENNA
проставляє у зараженому файлі неіснуючий час утворення (62 секунди). Це ж
саме робить і вакцина проти вказаного вірусу. Аналогічно, вакцина проти
вірусу BLACK FRIDAY використовує той факт, що цей вірус прикметою
зараженості використовує сполучення MsDos, що записується у кінець
файлу-жертви.
Розглянемо тепер деякі із згаданих вище антивірусних програм.

Антивірусна програма Aidstest Д.Лозинського

Ця програма є детектором та фагом одночасно і, отже, призначена для

виявлення і лікування файлів та Boot-секторів, які заражені відомими типами
вірусів. В процесі роботи програмні файли, які виправити неможливо,
витираються.

Програма викликається таким командним рядком (вказані тільки основні

параметри):

Aidstest path[/f][/g][/s][/p[ім'я файлу]][/q][/e]

Параметри програми:

path задає підмножину файлів для перевірки на зараженість. Кодується

практично за тими ж правилами, що і в команді DIR операційної системи.
Замість цього параметра можна поставити символ "", що задає роботу з усіма
логічними розділами жорстких дисків, або символи "", які задають роботу з
усіма дисками, починаючи з "C:" і включаючи ті, що працюють у мережі, CD
та subst-диски. Для перевірки поточного каталогу задається просто символ
".";

/f лікувати заражені програми та витирати безнадійно зіпсовані;

/g глобальна перевірка всіх файлів (не тільки COM, EXE та SYS). З цим
параметром програму рекомендується запускати лише тоді, коли відомо про
наявність у комп'ютері вірусів;

/s використовується у випадку, коли вірус, об'явлений видаленим, продовжує

з'являтися знову;

/p[ім'я файлу] виводить протокол роботи. Якщо ім'я файлу не задане,

виведення відбувається на принтер без нагадування;

/q виводить підказку про дозвіл на витирання безнадійно зіпсованих файлів.

Якщо ви запустили програму без параметрів або помилилися при їх завданні,
на екран видається короткий опис параметрів програми.

Приклади використання програми Aidstest.

Aidstest перевірка всіх EXE-, COM- і SYS-файлів на всіх дисках, починаючи з

"C:".

Aidstest a: перевірка всіх EXE-, COM- і SYS-файлів на дискеті в пристрої

"A:".

Aidstest d:/g/f лікування всіх доступних файлів на диску "D:".

Під час роботи програма Aidstest виводить повідомлення, зміст яких

достатньо простий та зрозумілий.

Антивірусна програма DrWeb І.Данилова

Ця програма є детектором та фагом одночасно і призначена для виявлення і

лікування програм, які заражені відомими типами вірусів. Крім того
програма містить евристичний аналізатор, який, базуючись на загальних
відомостях про характеристики та властивості вірусів, дозволяє інколи
знаходити нові, невідомі їх екземпляри. Щоправда, це дещо уповільнює її
роботу. Взагалі, серед тестованих журналом "Virus Bulletin" 25 відомих
антивірусних програм DrWeb зайняв останнє місце за швидкодією. Програма
DrWeb працює у зручному діалоговому режимі і добре документована.
Антивірусні програми Scan та Clean J.McAfee
Програма Scan є детектором, а програма Clean фагом. За кількістю
вірусів, які можуть виявляти та лікувати ці програми, вони посідають,
мабуть, перше місце. Але краще все-таки користуватися двома попередніми
програмами, оскільки зараз, як ми вже казали, центр виробництва вірусів
перемістився на територію колишнього СРСР, а програми Aidstest та DrWeb
швидше "реагують" на них.
Під час своєї роботи програма Scan у разі виявлення зараженості
комп'ютера повідомляє ім'я відповідного вірусу. Для лікування треба задати
це ім'я для програми Clean як параметр.
До складу комплексу програм J.McAfee входить також ревізор Validate.
Антивірусна програма Norton AntiVirus
Остання версія цього продукту перша, яка почала працювати у середовищі
операційної системи Windows-95, використовуючи всі її особливості та
можливості. Система Norton AntiVirus пропонує користувачеві чудовий
діалоговий режим боротьби з вірусами, в якому передбачений цілий
комплекс засобів, зокрема, створення рятувальної (Rescue) дискети. Ця
система є одночасно детектором, фагом та ревізором.

Антивірусна програма ADinf Д.Мостового

Ця програма є одним з найпоширеніших ревізорів, дуже швидко проглядає

весь диск і повідомляє у зручній діалоговій формі про всі підозрілі зміни на
ньому. Програма має простий, інтуїтивно зрозумілий інтерфейс та добре
документована. Додатково з ADinf може працювати спеціальний модуль, що
лікує, ADinf Cure Module, який дозволяє у багатьох випадках зараження
новими вірусами успішно відбудовувати уражені файли.

Антивірусна програма AVP Є.Касперського

Ця програма менш популярна, ніж Aidstest та DrWeb, але містить у своєму

складі чудову демонстрацію роботи багатьох вірусів.

15. Антивірусна система Nod 32:

Панель інструментів:
1)

2)

16. Загальні відомості

Антивірусні програми - це програми, основним завданням яких є

захист від вірусів, або точніше, від шкідливих програм.
Методи і принципи захисту теоретично не мають особливого значення,
головне щоб вони були направлені на боротьбу зі шкідливими програмами.
Але на практиці справа йде трохи інакше: практично будь-яка антивірусна
програма об'єднує в різних пропорціях всі технології і методи захисту від
вірусів, створені до сьогоднішнього дня.
З усіх методів антивірусного захисту можна виділити дві основні
групи:
  Сигнатурні методи - точні методи виявлення вірусів, засновані на
порівнянні файлу з відомими зразками вірусів
 Евристичні методи - приблизні методи виявлення, які дозволяють
з певною вірогідністю припустити, що файл заражений

Сигнатурний аналіз

Слово сигнатура в даному випадку є калькою на англійське signature,

що означає "підпис" або ж у переносному розумінні "характерна межа, щось
ідентифікуюча". Власне, цим все сказано. Сигнатурний аналіз полягає у
виявленні характерних ідентифікуючих рис кожного вірусу і пошуку вірусів
шляхом порівняння файлів з виявленими рисами.
Сигнатурою вірусу вважатиметься сукупність рис, що дозволяють
однозначно ідентифікувати наявність вірусу у файлі (включаючи випадки,
коли файл цілком є вірусом). Всі разом сигнатури відомих вірусів складають
антивірусну базу.
Задачу виділення сигнатур, як правило, вирішують люди - експерти в
області комп'ютерної вірусології, здатні виділити код вірусу з коду програми
і сформулювати його характерні риси у формі, найбільш зручній для пошуку.
Як правило - тому що в найбільш простих випадках можуть застосовуватися
спеціальні автоматизовані засоби виділення сигнатур. Наприклад, у разі
нескладних по структурі троянів або черв'яків, які не заражають інші
програми, а цілком є шкідливими програмами.
Практично в кожній компанії, що випускає антивіруси, є своя група
експертів, що виконує аналіз нових вірусів і поповнює антивірусну базу
новими сигнатурами. З цієї причини антивірусні бази в різних антивірусах
відрізняються. Проте, між антивірусними компаніями існує домовленість про
обмін зразками вірусів, а значить рано чи пізно сигнатура нового вірусу
потрапляє в антивірусні бази практично всіх антивірусів. Кращим же
антивірусом буде той, для якого сигнатура нового вірусу була випущена
раніше всіх.
Одна з поширених помилок щодо сигнатур полягає в тому,що кожна
сигнатура відповідає рівно одному вірусу або шкідливій програмі. І як
наслідок, антивірусна база з великою кількістю сигнатур дозволяє виявляти
більше вірусів. Насправді це не так. Дуже часто для виявлення сімейства
схожих вірусів використовується одна сигнатура, і тому вважати, що
кількість сигнатур рівна кількості вірусів, що виявляються, вже не можна.
Співвідношення кількості сигнатур і кількості відомих вірусів для
кожної антивірусної бази своє і цілком може опинитися, що база з меншою
кількістю сигнатур насправді містить інформацію про більшу кількість
вірусів. Якщо ж пригадати, що антивірусні компанії обмінюються зразками
вірусів, можна з високою часткою упевненості вважати, що антивірусні бази
найбільш відомих антивірусів еквівалентні.
Важлива додаткова властивість сигнатур - точне і гарантоване
визначення типу вірусу. Ця властивість дозволяє занести в базу не тільки
самі сигнатури, але і способи лікування вірусу. Якби сигнатурний аналіз
давав тільки відповідь на питання, є вірус чи ні, але не давав би відповіді, що
це за вірус, очевидно, лікування було б не можливе - дуже великим був би
ризик зробити не ті дії і замість лікування отримати додаткові втрати
інформації.
Інша важлива, але вже негативна властивість - для отримання
сигнатури необхідно мати зразок вірусу. Отже, сигнатурний метод
непридатний для захисту від нових вірусів, оскільки до тих пір, поки вірус не
потрапив на аналіз до експертів, створити його сигнатуру неможливо. Саме
тому всі найбільш крупні епідемії викликаються новими вірусами. З моменту
появи вірусу в мережі Інтернет до випуску перших сигнатур зазвичай
проходить декілька годин, і весь цей час вірус здатний заражати комп'ютери
майже безперешкодно. Майже - тому що в захисті від нових вірусів
допомагають додаткові засоби захисту, розглянуті раніше, а також
евристичні методи, використовувані в антивірусних програмах.

Евристичний аналіз

Слово "евристика" походить від грецького дієслова "знаходити". Суть

евристичних методів полягає в тому, що вирішення проблеми ґрунтується на
деяких правдоподібних припущеннях, а не на строгих висновках з наявних
фактів і передумов. Оскільки таке визначення звучить достатньо складно і
незрозуміло, простіше пояснити на прикладах різних евристичних методів

Пошук вірусів, схожих на відомі

Якщо сигнатурний метод заснований на виділенні характерних ознак

вірусу і пошуку цих ознак у файлах, що перевіряються, то евристичний
аналіз ґрунтується на (вельми правдоподібному) припущенні, що нові віруси
часто виявляються схожі на які-небудь з вже відомих. Постфактум таке
припущення виправдовується наявністю в антивірусних базах сигнатур для
визначення не одного, а відразу декількох вірусів. Заснований на такому
припущенні евристичний метод полягає в пошуку файлів, які не повністю,
але дуже близько відповідають сигнатурам відомих вірусів.
Позитивним ефектом від використання цього методу є можливість
виявити нові віруси ще до того, як для них будуть виділені сигнатури.
Негативні сторони:
 Вірогідність помилково визначити наявність у файлі вірусу, коли
насправді файл чистий - такі події називаються помилковими
спрацьовуваннями.
 Неможливість лікування - і через можливі помилкові
спрацьовування, і через можливе неточне визначення типу вірусу, спроба
лікування може привести до більших втрат інформації, чим сам вірус, а це
неприпустимо.
 Низька ефективність - проти дійсно новаторських вірусів, що
викликають найбільш масштабні епідемії, цей вид евристичного аналізу
малопридатний.

Пошук вірусів, що виконують підозрілі дії

Інший метод, заснований на евристиці, виходить з припущення, що

шкідливі програми так чи інакше прагнуть завдати шкоди комп'ютеру. Метод
заснований на виділенні основних шкідливих дій, таких як, наприклад:
 Видалення файлу
 Запис у файл
 Запис в певні області системного реєстру
 Відкриття порту на прослуховування
 Перехоплення даних що вводяться з клавіатури
 Розсилка листів та ін.
Зрозуміло, що виконання кожної такої дії окремо не є приводом
рахувати програму шкідливою. Але якщо програма послідовно виконує
декілька таких дій, наприклад, записує запуск себе ж в ключ автозапуску
системного реєстру, перехоплює дані, що вводяться з клавіатури і з певною
частотою пересилає ці дані на якусь адресу в Інтернет, означає, що ця
програма щонайменше підозріла. Заснований на цьому принципі
евристичний аналізатор повинен постійно стежити за діями, які виконують
програми.
Перевагою описаного методу є можливість виявляти невідомі раніше
шкідливі програми, навіть якщо вони не дуже схожі на вже відомі.
Наприклад, нова шкідлива програма може використовувати для проникнення
на комп'ютер нову вразливість, але після цього починає виконувати вже
звичні шкідливі дії. Таку програму може пропустити евристичний аналізатор
першого типу, але цілком може виявити аналізатор другого типу.
Негативні риси ті ж, що і раніше:
 Помилкові спрацьовування.
 Неможливість лікування.
 Невисока ефективність.

Модуль оновлення

В першу чергу, кожен антивірус повинен містити модуль оновлення.

Це пов'язано з тим, що основним методом виявлення вірусів сьогодні є
сигнатурний аналіз, який покладається на використання антивірусної бази.
Для того, щоб сигнатурний аналіз ефективно справлявся з найостаннішими
вірусами, антивірусні експерти постійно аналізують зразки нових вірусів і
випускають для них сигнатури. Після цього головною проблемою стає
доставка сигнатур на комп'ютери всіх користувачів, що використовують
відповідну антивірусну програму.
Саме це завдання і вирішує модуль оновлення. Після того, як експерти
створюють нові сигнатури, файли з сигнатурами розміщуються на серверах
компанії - виробника антивіруса і стають доступними для завантаження.
Модуль оновлення звертається до цих серверів, визначає наявність нових
файлів, завантажує їх на комп'ютер користувача і дає команду антивірусним
модулям використовувати нові файли сигнатур.
Модулі оновлення різних антивірусів вельми схожі один на одного і
відрізняються типами серверів, з яких вони можуть завантажувати файли
оновлень, а точніше, типами протоколів, які вони можуть використовувати
при завантаженні, - HTTP, FTP, протоколи локальних Windows-мереж. Деякі
антивірусні компанії створюють спеціальні протоколи для завантаження
своїх оновлень антивірусної бази. У такому разі модуль оновлення може
використовувати і цей спеціальний протокол.
 Друге, в чому можуть відрізнятися модулі оновлення - це настройка
дій, на випадок, якщо джерело оновлень недоступне. Наприклад, в деяких
модулях оновлення можна вказати не одну адресу сервера з оновленнями, а
адреси декількох серверів, і модуль оновлення звертатиметься до них по
черзі, поки не виявить працюючий сервер. Або ж в модулі оновлення може
бути настройка - повторювати спроби оновлення із заданим інтервалом певну
кількість разів або ж до тих пір, поки сервер не стане доступним. Ці дві
настройки можуть бути присутніми і одночасно.

Модуль планування

Другий важливий допоміжний модуль - це модуль планування. Існує

ряд дій, які антивірус повинен виконувати регулярно,зокрема: перевіряти
ваш комп'ютер на наявність вірусів і оновлювати антивірусну базу. Модуль
оновлення якраз і дозволяє набудувати періодичність виконання цих дій.
Для оновлення антивірусної бази рекомендується використовувати
невеликий інтервал - одну годину або три години, залежно від можливостей
каналу доступу в Інтернет. В даний час нові модифікації шкідливих програм
виявляються постійно, що вимушує антивірусні компанії випускати нові
файли сигнатур буквально кожну годину. Якщо користувач комп'ютера
багато часу проводить в Інтернеті, він піддає свій комп'ютер великому
ризику і тому повинен оновлювати антивірусну базу якомога частіше.
Повну перевірку комп'ютера потрібно проводити хоч би тому, що
спочатку з'являються нові шкідливі програми, а тільки потім сигнатури до
них, а значить завжди є можливість завантажити на комп'ютер шкідливу
програму раніше, ніж оновлення антивірусних баз. Щоб виявити ці шкідливі
програми, комп'ютер потрібно періодично перепровіряти. Розумним
розкладом для перевірки комп'ютера можна вважати перевірку раз в тиждень.
Виходячи з сказаного, основне завдання модуля планування - давати
можливість вибрати для кожної дії розклад, який більше всього підходить
саме для цього типу дії. Отже модуль оновлення повинен підтримувати
багато різних варіантів розкладу з яких можна було б вибирати.

Модуль управління

У міру збільшення кількості модулів в антивірусі виникає необхідність

в додатковому модулі для управління і настройки. У простому випадку - це
загальний інтерфейсний модуль, за допомогою якого можна в зручній формі
дістати доступ до найбільш важливих функцій:
 Настройки параметрів антивірусних модулів.
 Настройки оновлень.
 Настройки періодичного запуску оновлення і перевірки.
 Запуску модулів вручну, на вимогу користувача.
 Звітам про перевірку.
 Іншим функціям, залежно від конкретного антивіруса.
Основні вимоги до такого модуля - зручний доступ до настройок,
інтуїтивна зрозумілість, докладна довідкова система, що описує кожне
налаштування, можливість захистити налаштування від змін, якщо за
комп'ютером працює декілька чоловік. Подібним модулем управління
володіють всі антивіруси для домашнього використання. Антивіруси для
захисту комп'ютерів в крупних мережах повинні володіти декількома іншими
властивостями.
Тому, щоб спростити роботу адміністраторів антивірусної безпеки,
антивіруси, які використовуються для захисту великих мереж, обладнані
спеціальним модулем управління. Основні властивості цього модуля
управління:
 Підтримка видаленого управління і настройки - адміністратор
безпеки може запускати і зупиняти антивірусні модулі, а також міняти їх
настройки по мережі, не встаючи зі свого місця.
  Захист настройок від змін - модуль управління не дозволяє
локальному користувачеві змінювати настройки або зупиняти антивірус, щоб
користувач не міг послабити антивірусний захист організації.
Це далеко не всі вимоги до управління антивірусним захистом в
великій організації, а тільки основні принципи. Докладніше про особливості
антивірусного захисту мереж і вимоги до модулів управління буде розказано
пізніше у відповідному розділі.

Карантин

Серед інших допоміжних засобів в багатьох антивірусах є спеціальні

технології, які захищають від можливої втрати даних в результаті дій
антивіруса.
Наприклад, легко представити ситуацію, при якій файл детектується як
можливо заражений евристичним аналізатором і віддаляється згідно
налаштувань антивіруса. Проте евристичний аналізатор ніколи не дає
стовідсоткової гарантії того, що файл дійсно заражений, а значить з певною
вірогідністю антивірус міг видалити незаражений файл.
Або ж антивірус виявляє важливий документ заражений вірусом і
намагається згідно настройкам виконати лікування, але з якихось причин
відбувається збій і разом з вилікуваним вірусом втрачається важлива
інформація.
Зрозуміло, від таких випадків бажано застрахуватися. Найпростіше це
зробити, якщо перед лікуванням або видаленням файлів зберегти їх резервні
копії, тоді якщо опиниться, що файл був видалений помилково або була
втрачена важлива інформація, завжди можна буде виконати відновлення з
резервної копії.
Перевірка моєї папки
1)

2)

3)