В наше время никого уже не надо убеждать в необходимости защиты информации, хранящейся и обрабатываемой в компьютере, от вирусов. Однако далеко не все знают, что и как нужно делать, чтобы защитить свою информацию от возможных деструктивных последствий.
История возникновения проблемы связана с именем Фрэда Коэна (Fred Cochen), известного специалиста в области компьютерной безопасности, научного сотрудника Лехайского университета.
Работая над проблемой защиты от несанкционированного копирования программного продукта, Коэн написал небольшую программу, которая обладала способностью к быстрому самовоспроизведению и совершению различных негативных действий: стиранию важной информации на системном диске, уничтожению файлов, изменению переменных в операционной системе ЭВМ и т. д. Программа активизировалась в случае незаконного копирования исходной авторской программы. Им же были проведены первые серьезные работы, посвященные математическим исследованиям жизненного цикла и механизма размножения компьютерных вирусов.
Работа Коэна была опубликована в материалах 7-й Национальной конференции США по компьютерной безопасности, состоявшейся в 1984 году. В то время это выступление не нашло отклика у специалистов по компьютерной безопасности, которые не придали сообщению большого значения. Однако уже в 1985 году стали появляться сообщения о реальных фактах проявления компьютерных вирусов.
В современном понимании компьютерный вирус — это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам, то есть «заражать» их, а также выполнять различные нежелательные действия (например, портить файлы или таблицу размещения файлов, «засорять» оперативную память и т. д.).
Характерной особенностью воздействия вирусов на компьютерную систему, отличающей ее от других видов потенциально опасных воздействий, является то обстоятельство, что происхождение вирусов имеет преднамеренный характер, а попадание в конкретный компьютер, как правило, случайный.
Одна из причин, из-за которых стало возможным такое явление, как компьютерный вирус, — это отсутствие эффективных универсальных способов защиты. В связи с последним обстоятельством различные фирмы и программисты постоянно работают над созданием средств, восполняющих указанный недостаток.
Как результат, в современных вычислительных системах реализовано огромное количество аппаратных и программных методов защиты.
К простейшим аппаратным методам относится, например, блокировка возможности записи на гибкий диск путем закрытия (заклеивания) отверстия защиты от записи. Это достаточно эффективный способ, но применение его распространяется только на особо важные дискеты, несущие неизменяемую информацию (копии системных файлов, идентификационные признаки и т. п.).
Более сложным аппаратным методом является применение специальных дополнительных плат, устанавливаемых в компьютер и выполняющих функции контроля зараженности системных файлов, загрузочных (boot) секторов, опасных действий с портами жестких и гибких дисков, попыток записи в память CMOS. Строго говоря, это* уже не аппаратный, а программно-аппаратный метод, который все же вытесняется программными методами в связи с быстрым развитием компьютерных технологий и, в частности, с существенным увеличением оперативной памяти, что делает неактуальным применение дополнительных устройств.
К основным видам программных методов защиты можно отнести следующие:
>• использование специальных резидентных программ в оперативной памяти компьютера;
>• установка атрибутов «Только для чтения» (Read Only) на отдельные области памяти и файлы;
>• проведение тестирований на наличие вирусов;
>• архивирование.
Использование резидентных программ — один из эффективных методов, основанный на применении специальных программ, которые постоянно находятся в оперативной памяти (являются «резидентами») и перехватывают все запросы к операционной системе на выполнение различных «подозрительных» действий, то есть операций, которые используют компьютерные вирусы для своего размножения и порчи информации в компьютере.
При каждом запросе на такое действие на экран монитора выводится сообщение о том, какое действие затребовано и какая программа желает его выполнить. Пользователь может разрешить либо запретить его выполнение.
Достоинством такого способа является возможность свести к минимуму возможные потери, так как он позволяет обнаруживать вирус на ранней стадии, когда тот еще не успел размножиться и совершить разрушающие действия. Но способ не лишен и недостатков. Прежде всего резидентная программа защиты от вирусов постоянно занимает часть оперативной памяти, что, естественно, к достоинствам не отнесешь. Кроме того, при частых запросах отвечать на них может надоесть даже самому терпеливому пользователю. И наконец, имеются виды вирусов, работа которых не обнаруживается резидентными программами защиты, впрочем этот недостаток характерен для любой антивирусной программы.
Установка атрибутов «Только для чтения» (Read Only) на отдельные области памяти и файлы позволяет защитить операционную систему и наиболее важные файлы от заражения. С этой целью необходимо провести несколько операций.
1. При помощи специальных программ разбить жесткий диск на несколько частей — условных логических дисков, например на два. Один или несколько логических дисков отвести для хранения изменяемых программ и данных, а другой (другие) с защитой от записи — только для программ и данных, которые будут использоваться, но не изменяться.
2. Защитить от записи CMOS-память системной BIOS.
Дело в том, что одной из возможных модификаций компьютера является обновление системной BIOS. Ранее эта процедура требовала обязательной ее физической замены на материнской плате, но примерно с 1994 года стали предлагаться обновленные версии, так называемые flash BIOS, которые можно просто стирать и перезаписывать.
Однако это удобство таит в себе и серьезную опасность: возможность заражения BIOS компьютерными вирусами и, как следствие, невозможность загрузки операционной системы. Так, именно система BIOS, как один из объектов для нанесения удара, использована в вирусе, получившем название «Чернобыльский» по дате своей первой активизации (26 апреля 1999 года). По этой причине раздел BIOS FEATURES SETUP меню установок CMOS (см. п. 1.6) содержит функцию Virus Warning (Защита от вирусов). Она предохраняет загрузочный сектор (boot sector) CMOS и таблицу разделов (partion table) жесткого диска от инфицирования программами-вирусами.
По умолчанию (при первоначальной поставке компьютера) эта функция «Disabled» (отключена) и имеется возможность записи в указанные разделы.
Для того чтобы активизировать систему защиты, необходимо перевести опцию Virus Warning (Защита от вирусов) в состояние «Enabled» (активна), воспользовавшись для этого клавишей PgUp или PgDn.
В последнем случае функционирование компьютера приостанавливается при попытке изменения вышеуказанных разделов и появляется предупредительное сообщение. Пользователь при этом должен принять решение: санкционировать доступ к указанным разделам или прекратить выполнение задачи, чтобы с помощью антивирусного программного обеспечения проверить компьютер на инфицированность.
Однако при инсталляции Windows'95 указанная настройка BIOS может доставить вам некоторые проблемы; например, установка Windows'95 может не стартовать нормальным путем. Для того чтобы разрешить сложившуюся ситуацию, необходимо блокировать функцию защиты загрузочного сектора CMOS.
3. Установить атрибуты «Только для чтения» (Read Only) на наиболее важные файлы. Для этой цели с помощью меню кнопки «Пуск» (Start) откройте окно «Проводник» (Explorer) Панели задач. Выберите по очереди файлы, которые хотите защитить от записи, и щелкните по ним правой кнопкой мыши. В раскрывшемся меню выберите опцию «Свойства» и войдите в нее. Установите атрибут «Только для чтения».
