Большая энциклопедия промышленного шпионажа - Юрий Федорович Каторин

например, блокировка возможности записи на гибкий диск путем закрытия (заклеивания) отверстия защиты от записи. Это достаточно эффективный способ, но применение его распространяется только на особо важные дискеты, несущие неизменяемую информацию (копии системных файлов, идентификационные признаки и т. п.).

Более сложным аппаратным методом является применение специальных дополнительных плат, устанавливаемых в компьютер и выполняющих функции контроля зараженности системных файлов, загрузочных (boot) секторов, опасных действий с портами жестких и гибких дисков, попыток записи в память CMOS. Строго говоря, это* уже не аппаратный, а программно-аппаратный метод, который все же вытесняется программными методами в связи с быстрым развитием компьютерных технологий и, в частности, с существенным увеличением оперативной памяти, что делает неактуальным применение дополнительных устройств.

К основным видам программных методов защиты можно отнести следующие:

>• использование специальных резидентных программ в оперативной памяти компьютера;

>• установка атрибутов «Только для чтения» (Read Only) на отдельные области памяти и файлы;

>• проведение тестирований на наличие вирусов;

>• архивирование.

Использование резидентных программ — один из эффективных методов, основанный на применении специальных программ, которые постоянно находятся в оперативной памяти (являются «резидентами») и перехватывают все запросы к операционной системе на выполнение различных «подозрительных» действий, то есть операций, которые используют компьютерные вирусы для своего размножения и порчи информации в компьютере.

При каждом запросе на такое действие на экран монитора выводится сообщение о том, какое действие затребовано и какая программа желает его выполнить. Пользователь может разрешить либо запретить его выполнение.

Достоинством такого способа является возможность свести к минимуму возможные потери, так как он позволяет обнаруживать вирус на ранней стадии, когда тот еще не успел размножиться и совершить разрушающие действия. Но способ не лишен и недостатков. Прежде всего резидентная программа защиты от вирусов постоянно занимает часть оперативной памяти, что, естественно, к достоинствам не отнесешь. Кроме того, при частых запросах отвечать на них может надоесть даже самому терпеливому пользователю. И наконец, имеются виды вирусов, работа которых не обнаруживается резидентными программами защиты, впрочем этот недостаток характерен для любой антивирусной программы.

Установка атрибутов «Только для чтения» (Read Only) на отдельные области памяти и файлы позволяет защитить операционную систему и наиболее важные файлы от заражения. С этой целью необходимо провести несколько операций.

1. При помощи специальных программ разбить жесткий диск на несколько частей — условных логических дисков, например на два. Один или несколько логических дисков отвести для хранения изменяемых программ и данных, а другой (другие) с защитой от записи — только для программ и данных, которые будут использоваться, но не изменяться.

2. Защитить от записи CMOS-память системной BIOS.

Дело в том, что одной из возможных модификаций компьютера является обновление системной BIOS. Ранее эта процедура требовала обязательной ее физической замены на материнской плате, но примерно с 1994 года стали предлагаться обновленные версии, так называемые flash BIOS, которые можно просто стирать и перезаписывать.

Однако это удобство таит в себе и серьезную опасность: возможность заражения BIOS компьютерными вирусами и, как следствие, невозможность загрузки операционной системы. Так, именно система BIOS, как один из объектов для нанесения удара, использована в вирусе, получившем название «Чернобыльский» по дате своей первой активизации (26 апреля 1999 года). По этой причине раздел BIOS FEATURES SETUP меню установок CMOS (см. п. 1.6) содержит функцию Virus Warning (Защита от вирусов). Она предохраняет загрузочный сектор (boot sector) CMOS и таблицу разделов (partion table) жесткого диска от инфицирования программами-вирусами.

По умолчанию (при первоначальной поставке компьютера) эта функция «Disabled» (отключена) и имеется возможность записи в указанные разделы.

Для того чтобы активизировать систему защиты, необходимо перевести опцию Virus Warning (Защита от вирусов) в состояние «Enabled» (активна), воспользовавшись для этого клавишей PgUp или PgDn.

В последнем случае функционирование компьютера приостанавливается при попытке изменения вышеуказанных разделов и появляется предупредительное сообщение. Пользователь при этом должен принять решение: санкционировать доступ к указанным разделам или прекратить выполнение задачи, чтобы с помощью антивирусного программного обеспечения проверить компьютер на инфицированность.

Однако при инсталляции Windows'95 указанная настройка BIOS может доставить вам некоторые проблемы; например, установка Windows'95 может не стартовать нормальным путем. Для того чтобы разрешить сложившуюся ситуацию, необходимо блокировать функцию защиты загрузочного сектора CMOS.

3. Установить атрибуты «Только для чтения» (Read Only) на наиболее важные файлы. Для этой цели с помощью меню кнопки «Пуск» (Start) откройте окно «Проводник» (Explorer) Панели задач. Выберите по очереди файлы, которые хотите защитить от записи, и щелкните по ним правой кнопкой мыши. В раскрывшемся меню выберите опцию «Свойства» и войдите в нее. Установите атрибут «Только для чтения».

Проведение тестирований на наличие вирусов включает в себя как входной контроль всех поступающих программных продуктов, так и периодический контроль жесткого диска.

Практически во всех руководствах по защите компьютерной информации первым пунктом всегда присутствует предупреждение о неиспользовании программного обеспечения с других компьютеров и нелицензионных источников. Трудно что-либо возразить против этого предупреждения, однако реалии нашей жизни таковы, что для многих пользователей основной вид поступлений новых прикладных программ — это товарищеский обмен и пиратские компакт-диски, со всеми вытекающими отсюда последствиями, включая компьютерные вирусы. И ситуацию вряд ли исправит тот факт, что именно нелицензионные компакт-диски явились путем распространения вышеупомянутого «Чернобыльского» вируса. Хотя справедливости ради надо отметить, что в истории известны случаи, когда вирусы распространялись и в лицензионных запечатанных дисках прямо с завода-изготовителя.

Поэтому независимо от вида носителя и источника программного продукта подвергайте все программные изделия входному контролю!

Существуют три основных вида антивирусных программ: программы-фильтры; программы-вакцины; программы-фаги.

Программы-фильтры (иногда их называют программы-детекторы) проверяют, имеются ли в файлах на указанном пользователем диске специфические для определенных вирусов комбинации байтов.

Программы-вакцины имитируют сочетание условий, в которых должен заработать тот или иной тип вируса и проявить себя. Их применение позволяет выявлять вирус на ранней стадии — до того как он начал функционировать обычным путем, поэтому программы-вакцины часто используют в качестве резидентных программ.

Программы-фаги предназначены для удаления конкретных вирусов из зараженных программ, кроме того, они выполняют с зараженными файлами действия, обратные тем, которые производятся вирусом при заражении файла. То есть они делают попытку восстановления (лечения) зараженных файлов. Если это не удается, то файлы считаются неработоспособными и, как правило, удаляются.

Необходимо отметить, что следует стараться избегать одновременного использования фагов и вакцин. Дело в том, что вакцина тем качественнее, чем более точно она имитирует вирус. Но из этого следует, что многие антивирусные программы будут принимать эти вакцины за настоящие вирусы. Возможно даже, некоторые фаги попытаются обезвредить эти вакцины. Ведь в «представлении» фагов вакцины