Védekezés a vírusok ellen
A különféle vírusok különbözőképpen működnek. Feladatuk a terjedés és károkozás, amellyel apróbb kellemetlenségeket, de akár katasztrófális adatvesztéseket is okozhatnak. A vírus megszüntetésére szolgáló, illetve védendő programok sajátosságait megfelelő mértékben figyelembe kell venni. Más a védekezési módszer a file és más a boot-vírusok ellen, nem beszélve az egyéb más elven működő új vírusokról.
A vírusfajták egyedi tulajdonságait az ellenük folytatott küzdelem során lehet kihasználni. Ezt teszik az úgynevezett antivírus-programok, amelyek a vírus rendszerbe-jutását akadályozzák meg, illetve hatástalanítják a már bejutott vírusokat.
A vírusok elleni küzdelemnek három alapvető fázisa van:
- a vírusfertőzés megelőzése és a programok védelme;
- a vírusok felfedezése, azonosítása;
- a vírusok leküzdése;
Az átfogó védelmet a gyakorlatban nem igen lehet megvalósítani, a fertőzés csak korlátozások bevezetésével zárható ki. A védelem csak az adott időpontig ismert vírusokra terjed ki a később keletkezett vírusok ellen tehetetlen.
A boot-vírusok elleni védekezés még nehezebb feladat, ennek oka az, hogy a boot-vírusok hidegindításkor lépnek működésbe, még mielőtt az operációs rendszert betöltöttük volna, vagyis ez a vírus még azelőtt képes elindulni és pusztítani, mielőtt még a védelmi programot betöltöttük volna.
A védekezés egyik megoldása, ha a vírust valamilyen trükkel becsapjuk. Ez a módszer azokra a vírusokra érvényes melyek a file-okat és a boot-szektort csak egyszer támadják. Ezek a vírusok a saját típusuknak megfelő egyéni azonosítót használnak. A speciális vedélmű szoftverek a programokba, a boot-szektorba, vagy a munkamemóriába elhelyezik ezt az azonosítót, mely az érintett vírust becsapja, és meggátolja, hogy a vírus fertőzni tudjon. Ez a módszer csak néhány vírus ellen alkalmazható, ráadásul csak egy kis változtatás a víruskódon elég ahhoz, hogy a védelem hatástalan legyen.
Egy másik módszer a mechanikus írásvédelem. Ez is jó szolgálatot tesz a vírusok elleni harcban, ha floppy lemezről van szó. Ez azonban csak a nem írható lemezeknél hatásos, a merevlemezekre nem alkalmazható (bár a hardveres írásvédelem itt is megoldható), mert a legtöbb program írásra is használja. A file attribútum beállítása csak olvasásra (read only) szintén nem célravezető, mert az okosabb vírusok ezt visszaállítják. Ugyanez vonatkozik a file-okhoz rendelt dátumra is.
A második generációs védőprogramok úgy működnek, hogy a hozzáférést nem a kezdet kezdetén akadályozzák meg, hanem felismerik és azonnal jelentik a vírus által végzett manipulációkat. Erre a feladatra az úgynevezett ellenőrző programok alkalmasak. Első lépésban a program
Sok olyan ellenőrző program létezik, mely algoritmusként csak az ismert CRC (Cyclic Redundancy Check ciklikus redundancia ellenőrzés) eljárást alkalmazza (pl.: a Vírus Killer). A vírus úgy is elrejtheti magát, hogy az ellenőrző összeget ő is kiszámolja, és úgy helyezkedik el, hogy így nem lehet felderíteni. Az ellenőrző összegenek akkor van jelentősége, ha a boot-vírusok által fertőzött merevlemezt kívánjuk azonosítani. Ekkor a boot szektorra és a partíció táblára vonatkozó ellenőrző összeget számoljuk ki. Az ellenőrző programok hatása az elsőgenerációs védőprogramokkal összehasonlítva meglehetősen jó. Ennek ellenére ez sem tökéletes megoldás, nehézségek itt is adódnak. A merevlemez száma és tárolókapacitása állandóan növekszik, pár éve még a 10-20 Mbyte-os merevlemezes felhasználóknál kielégítően működött, de manapság a több száz megabyte-os merevlemez kapacitásoknál már nagyon igénybeveszik a felhasználók türelmét.
Egy következő védekezési lehetőség a különböző hardver eszközök alkalmazása a vírus felderítésben. Ezek a kártyák a merevlemez írásvezetékének megszakításával "beékelődnek" a merevlemez és kontroller kártya közé és figyelik az adatforgalmat. Egyes ilyen eszközöknél ROM-ban vannak a vírusellenőrző kódok, másoknál ez szoftver formájában lemezen adják hozzájuk. A ROM-ban tárolt vírus információ nagy hátránya, hogy nehezebb vagy egyáltalán nem lehetséges az újabb vírusokra történő felkészítés. A szoftveres megoldás ezt kiküszöböli.
Vírusírtó programok
A legtöbb víruskereső program a fertőzött állományok törlését javasolja a helyreállítás helyett. Ez érthető is, hiszen egyszerűbb letörölni a file-t, mint úgy helyreállítani, hogy a megtámadott programok sértetlenül megmaradjanak.
A Magyarországon található fontosabb víruskereső és eltávolító programok a következők:
BOOTKILL Szegedi Imre és Farmosi István boot-vírus írtó programja. A következő vírusokat hatástalanítja:
Ping Pong; Ping Pong-B; Orge/Disk Killer; Töltögető Orge/Disk Killer-B magyar átírás; Stoned; Stoned-B; Stoned-C
CHKVIR Leitold Ferenc és Tábor Csaba programja. A leírása szerint mintegy 80 vírust és vírusváltozatot képes eltávolítani.
DOS COPY A DOS operácíós rendszer COPY parancsa nyugodtan használható arra, hogy boot-vírussal fertőzött lemezről állományinkat lemásoljuk, ha a boot-vírus rezidensen nem aktív.
Fontos: Ilyen esetben ne használjuk a DISKCOPY és az XCOPY parancsot, mert ezek a fertőzött boot-szektort is átviszik.
DOS SYS Ezzel a paranccsal felül tudjuk írni a fertőzött boot-szektort a lemezen. Ebben az esetben egy írásvédővel leragasztott, a merevlemezen lévő operációs rend-szerrel azonos rendszert tartalmazó floppy-lemezről indítsuk el a számítógépet, majd a SYS paranccsal telepítsük rá a merevlemezre a rendszert.
DXU2 A Műszertechnikának a Potyogós (Cascade) vírustól mentesítő programja.
PRGDOKI Szegedi Imre és Farmosi István programja. A következő vírusok ellen nyújt védelmet:
1701; 1704; 1701-Y; 1704-Y; Vienna/DOS62; Vienna-B/DOS62; Iván/Victor v1.0; Dark Avenger: Yankee Doodle; Yankee Doodle-B; Jerusalem; Jerusalem-B; Jerusalem Mutant; Vacsina-B
SCAN / CLEAN A McAfee Associates vírus detektáló és eltávolító programpáros, a következő fejezetben kerül ismer-tetésre.
SYSDOKI Szegedi Imre és Farmosi István újgenerációs vírusölő és fertőzésmegelőző programja. A legújabb verziók kibővültek az izraeli és az amerikai vírusellenes együttműködés keretében kapott standard vírusok detektálásának és eltávolításának képességével.
0 hozzászólás:
Megjegyzés küldése