Vírusok és tömörítés Számítógép vírusok: Vírusnak hívják az olyan programot, amely: 1. Valamilyen file-hoz kapcsolódik: – nem önálló állomány, hanem csak egy fájlhoz kapcsolódó, de futtatható kód.
2. Képes önmaga reprodukálásra: – a fertőzött file futtatásával, megnyitásával elindul a vírus kódja is, és saját magát hozzáírja több más, addig még nem fertőzött file-hoz.
2005.03.16. 23:32
1
3. Hagyományos eszközökkel nem látható: – a DOS DIR utasítása, vagy az „Intéző” nem mutatja (nem is mutathatja, mert nem egy önálló fájl, hanem csak valamely állományhoz kapcsolódik).
4. Többnyire kárt, vagy legalább bosszúságot okoz: – a számítógépen tárolt adatokat, vagy legalább azok egy részét megsemmisíti, vagy olyan más tevékenységet indít el, amely megakadályozza a normális munkát.
5. „Lappangási ideje” van: – a fertőzés megtörténte után jó darabig nem jelentkeznek a károkozás jelenségei.
2005.03.16. 23:32
2
A vírusok csoportosítása: Természetesen a vírusokat is többféle szempont figyelembevételével lehet csoportosítani, melyek közül a három legfontosabb:
–a károkozásuk, –a terjedésük módja, –és viselkedésük szerinti osztályozás.
2005.03.16. 23:32
3
A vírusok károkozás szerinti osztályozása 1. Ártalmatlan vírusok: – kárt nem okoznak, csak írójuk ügyességét hivatottak demonstrálni, mivel a gép teljesítményét rontják, az ilyen vírusokat is feltétlenül el kell távolítani.
2. Felhasználó munkáját zavaró vírusok: – közvetlen kárt ugyan még ezek sem okoznak, de a felhasználót zavarják a munkavégzésben, így feltétlenül eltávolítandók.
2005.03.16. 23:32
4
3. Kárt okozó vírusok: – a winchesteren lévő fájlokat, vagy azok egy részét teszik használhatatlanná a legkülönfélébb módszerekkel (törlés, kódolás, stb.) – a hálózaton (Internet) akkora forgalmat generálnak, hogy a normális munkavégzés lehetetlenné válik, – stb.
2005.03.16. 23:32
5
A vírusok terjedés szerinti osztályozása 1. Boot vírusok: Az ilyen vírusok a lemez úgynevezett boot-szektorába írják be magukat. Mivel az itt lévő file minden indításkor lefut, így a vírus aktivizálása automatikusan megtörténik. 2. Állomány (program) vírusok: Ezek a vírusok csak .COM és .EXE típusú, azaz futtatható file-okat fertőznek meg. Ezek a vírusok akkor aktivizálódnak, ha a fertőzött programot elindítjuk. Ezek után minden, a továbbiakban elindított file-t megfertőznek.
2005.03.16. 23:32
6
3. Többéletű vírusok: A boot és az állományvírusok jellemző tulajdonságait ötvözik, azaz a boot szektort is, és a COM és EXE állományokat is képesek megfertőzni. Így könnyen terjednek, és gyorsan szaporodnak, hiszen garantáltan aktívak. 4. Makró vírusok: A makró vírusok az MS-Office program adatállományait (DOC, XLS, PPT, stb.) fertőzik meg. Működésük alapja az a programnyelv, mely a Word, Excel, PowerPoint, stb. programok speciális felhasználását hivatott biztosítani, és amely e programoknak része.
2005.03.16. 23:32
7
5. Férgek: Ez az új, 1999-ben megjelent vírustípus az elektronikus levelezéssel terjed. Károkozási módszere többféle. Egyrészt a levelező programmal annyi levelet küld el a gépről, amennyit csak tud. Ehhez a felhasználó levelező programjában tárolt címlistát használja fel. Mivel az összes fertőzött gép ugyanígy tesz, ez néha akkora forgalmat generál, hogy az adatcsere bedugul a helyi hálózatban, vagy akár az Internet bizonyos szegmenseiben is. Másrészt természetesen a gépen tárolt adatállományok között is garázdálkodik. Jelenleg talán ezek a leggyakrabban előforduló vírusok.
2005.03.16. 23:32
8
6. Trójai programok: Szigorúan véve ezek nem is vírusok, mert önálló állományok. Nevüket fő jellemzőikről kapták: úgy néznek ki, mint egy hasznos program. Pontosan ezért sokan telepítik is őket gépeikre. Egy kis idő után azonban addigi hasznos szolgáltatásuk helyett rombolásba fognak. 7. Hoaxok: Hoaxnak nevezik az Interneten terjesztett rémhíreket. Károkozásuk a nem létező vírusok felesleges keresgetésével eltöltött idő.
2005.03.16. 23:32
9
A vírusok jellemzőik szerinti osztályozása 1. Rezidens vírusok: A vírust hordozó file megnyitásával minden esetben aktívvá válik. Rezidensnek akkor hívjuk a vírust, amennyiben aktív marad a programból történő kilépés után is. 2. Lopakodó vírusok: A lopakodó vírusokra az a jellemző, hogy a fertőzött file megnyitásakor - azon kívül, hogy aktívvá válnak eltávolítják magukat a file-ból. Így a hagyományos víruskereső programok nem látják őket. A file bezárása után természetesen újra visszaírják kódjukat a file-ba.
2005.03.16. 23:32
10
3. Polimorf vírusok: A polimorf vírusok fő jellemzője az, hogy minden egyes fertőzéskor új mutációjuk keletkezik. Így az ilyen vírusok felismerése rendkívül nehéz.
2005.03.16. 23:32
11
Az antivírus termékek típusai: A vírusok elleni védekezésre használt programokat szokás antivírus (AV) termékeknek is nevezni. Természetesen e programokat is többféle szempont figyelembevételével lehet osztályozni:
– működésük – és felhasználási körük szerint
2005.03.16. 23:32
12
Az AV termékek működés szerinti típusai 1. Vírus kereső:
– olyan program, melyet elindítva az ellenőrzi a memóriát, majd a háttértárakat, és kijelzi ha vírust talált. 2. Vírus irtó:
– az a termék, amelyet külön elindítva az a felfedezett fertőzést eltávolítja a gépről.
2005.03.16. 23:32
13
3. Integrált vírus kereső és irtó:
– Integrált víruskereső és irtó esetében a két folyamatot egy program végzi. 4. Vírus figyelő:
– vírus figyelő az a program, mely a memóriában maradva folyamatosan végzi munkáját.
2005.03.16. 23:32
14
Az AV termékek felhasználásuk szerinti típusai 1. Általános célú termékek:
– Az ilyen programok minden addig ismert vírust megpróbálnak felismerni, integrált program esetén eltávolítani. 2. Speciális programok:
– Csak egy-egy nagyon veszélyes vírus ellen alkalmazhatók, de azt nagyon hatékonyan képesek eltávolítani. 2005.03.16. 23:32
15
Az antivírus termékek keresési módszerei 1. Aláírásos keresés: Ennél a módszernél a AV termék a vírusra jellemző kódsorozatot keresi a vizsgált fileokban. A módszerből következik, hogy csak azon file-ok ellen hatásos, melyek már szerepelnek a vírus adatbázisban. Pontosan ezért ezt az úgynevezett aláírás file-t folyamatosan frissíteni szükséges. Ez manapság többnyire az Internetről történik. 2005.03.16. 23:32
16
2. Processzor emulátoros keresés: Mivel a polimorf vírusok ellen az első módszer hatástalan, ki kellett találni valami mást. Ez az úgynevezett processzor emulátoros módszer, melynek a lényege az, hogy az AV termék a gépen belül létre hoz egy látszólagos számítógépet, és ott nyitja meg a gyanús ffile-okat (tehát az eljárás a karanténban történő megfigyeléshez hasonlít). A kulcskérdés csupán az, hogy mennyi ideig kell a virtuális gépben futtatni a vizsgált filet.
2005.03.16. 23:32
17
3. Heurisztikus keresés: A vírusokat sokszor nem lehet 100 %-os pontossággal felderíteni. A heurisztikus módszer esetében amennyiben egy vizsgált file-nál több gyanús jel is egyszerre fellép, és ezek alapján egy előre megadott valószínűségnél nagyobb az esély arra, hogy a file vírusos, akkor azt akként is kezelik. A modern AV termékek találati aránya e módszernek köszönhetően 80 % feletti még teljesen új vírusok esetében is. A ma alkalmazott vírusellenes termékek a bemutatott módszerek mindegyikét egyszerre alkalmazzák.
2005.03.16. 23:32
18
Széles körben használt AV termékek: – McAfee VirusScan – Command AntiVirus – ThunderByte AntiVirus – Norton AntiVirus – AVP – Inoculate AntiVirus – VirusBuster – FSecure – stb. 2005.03.16. 23:32
19
A Norton AntiVirus (NAV) telepítése: Maga az eljárás szokásos módon zajlik, azaz a SETUP.EXE file elindítása után csak néhány kérdésre kell válaszolni, és a program automatikusan kerül fel a gépünkre. Fontos tudni, hogy a szaksajtó CD lemezein a program shareware verziója szokott lenni, de egyes alaplapokhoz a NAV-ot freeware-ként is szokták mellékelni.
2005.03.16. 23:32
20
A Norton NAV használata: Ezt a terméket - mint a legtöbb mai modern segédprogramot - általában kétféle módon szokás használni: 1. A NAV Start menüből történő elindítása után a program saját menürendszeréből indítjuk el a szükséges eljárást. – a jelölőnégyzetek segítségével válasszuk ki a vizsgálni
kívánt lemezegységet (mappa, vagy file vizsgálata esetén a „Scan” menüben kell a kérdéses objektumot megadni), – majd kattintsunk rá a „Scan Now” gombra.
2005.03.16. 23:32
21
2. A vizsgálni kívánt lemezegység, mappa, vagy file helyi menüjéből rögtön a megfelelő eljárást indítva. Sok esetben jóval kényelmesebb és gyorsabb a második mód-szer alkalmazása. Akármelyik módszert is választjuk, a NAV elsőként a memóriát vizsgálja át. Amennyiben már ott vírust talál, akkor annak eltávolításához a NAV telepítése során készített biztonsági helyreállító lemezkészletről kell a gépet elindítani.
2005.03.16. 23:32
22
Ha a NAV a vizsgálni kívánt objektumban vírust talál, akkor automatikusan elindul a program vírus eltávolító része. A megjelenő ablakok funkciói:
– tájékoztatást kapunk a fertőzést okozó vírusról és kiválaszthatjuk eltávolításának módját, – megadhatjuk a vírus ellen alkalmazni kívánt eljárást, – végül statisztika jelenik meg az eltávolításról és az egész eljárásról. 2005.03.16. 23:32
23
Helyreállító lemezkészlet Az egyik előző dián került szóba ez az eszköz, amely a boot-vírusok eltávolítására használható. A lemezkészlet a vírus eltávolításán kívül természetesen a winchester szektorának esetleg megsérült rendszerindító helyreállítására is alkalmas. Amennyiben a NAV telepítésekor nem készítettünk ilyen helyreállító lemezkészletet, ezt természetesen utólag is megtehetjük („Start” menü, „Programok”, „Norton AntiVirus”, „Rescue Disk”). Maga az eljárás menete (melyre remélhetően soha nem lesz szükségünk) magától értetődő. 2005.03.16. 23:32
24
Beállítások: A NAV működése természetesen nagymértékben függ a beállításaitól. Mivel a program a „gyári” beállításaival többnyire mindenkinek megfelel, és mert aki nem ért hozzá az inkább csak ronthat e beállításon, csak komolyabb ismeret esetén javasolt a beállítások megváltoztatása. Maga a beállító párbeszédablak egyébként a „Tools” menü „Options” menüpontjával érhető el.
2005.03.16. 23:32
25
Vírusadatbázis frissítése: A vírusok leírását tartalmazó adatbázist rendszeresen frissíteni kell. Erre két módszer alkalmazható:
– kézi frissítés (például a szaklapok CD mellékletéről), – az Internetről történő automatikus frissítés. Ez utóbbi esetben kattintsunk a program eszközsorán lévő „Live Update” ikonra, majd a megjelenő ablakban kattintsunk a „Next” gombra. Ezután már nincs más dolgunk, mint kivárni a letöltést.
2005.03.16. 23:32
26
Tömörítés: A ma használt programok, illetve a segítségükkel előállított adatfile-ok mérete nagyon nagy mértékben megnőtt. Ennek következtében floppy lemezre történő másolásuk lehetetlen, sokszor írható CD lemezre is gondot okoz. Amennyiben az Interneten keresztül kívánjuk a file-okat, mint mellékleteket továbbítani, az két okból is problémát jelent: – egyrészt a címzett postafiókja sokszor limitált méretű, – mésfelől az átvitel idejének növekedése költségnövekedést is jelent.
2005.03.16. 23:32
27
A problémára a fájlok tömörítése jelent megoldást. A tömörítő eljárásokat két nagy csoportra lehet osztani: 1. Veszteséges:
– ez esetben a tömörített file-ból az eredeti nem reprodukálható. 2. Veszteségmentes:
– a tömörítettből az eredeti file egy az egyben előállítható.
2005.03.16. 23:32
28
Veszteséges tömörítők: Elsősorban grafikák és egyéb média file-ok tömörítésére. Az Interneten például kizárólag JPG és GIF típusú fileokkal találkozunk, amelyek ugyanúgy bittérképes grafikák, mint például a Paint által készíthető BMP file-ok, csak sokkal kisebb helyet foglalnak el. A módszer lényege veszteséges képtömörítés esetében az, hogy vagy a színek számát korlátozzuk, vagy az egymás mellett lévő képpontok színét mossuk össze. Ez egy bizonyos mértékig az élvezhetőséget nem befolyásolja.
2005.03.16. 23:32
29
Veszteségmentes tömörítők: Sajnos a veszteségmentes tömörítők működését nem lehet olyan egyszerűen elmagyarázni, mint a veszteségesekét, de a felhasználó szempontjából az eljárás lényegtelen is. A fontos, hogy tökéletesen működnek. A legelterjedtebb ilyen tömörítő programok:
– a RAR, – a ZIP, – ARJ. 2005.03.16. 23:32
30
Szinte mindegyiket ugyanúgy kell használni, és az is közös jellemzőjük, hogy több forrás file-ból egy betömörített állományt hoznak létre. Betömörítésnek, vagy becsomagolásnak hívjuk azt az eljárást, amelyben a normál file-okból egy darab, de tömörített állományt állítunk elő. Kicsomagolásként szokás hivatkozni arra a folyamatra, amelyben az archív file-ból kibontásra kerülnek a nekünk szükséges állományok.
2005.03.16. 23:32
31
Betömörítés: Betömörítésnél a következőket kell tennünk: (természetesen más módszer is alkalmazható)
– előbb ki kell jelölni a tömörítendő file-okat, – majd a helyi menüt elindítva kiválasztani a megfelelő eljárást. Az egyik esetben a csomag neve megegyezik azzal a mappával, ahol a forrás file-ok vannak (erre egyébként a menüpont neve is utal). Ennél a módszernél semmilyen paramétert nem adhatunk meg.
2005.03.16. 23:32
32
A másik, „…”-ra végződő menüpontot választva több paramétert is beállíthatunk, melyek közül a legfontosabbak:
– a tömörítés sebessége és faktora (RAR esetében ez alapesetben „Normal”), – hogy önkicsomagoló (SFX, azaz self extract) legyen-e az archív file, – megadható a keletkezett file-ok maximális mérete.
2005.03.16. 23:32
33
Az önkicsomagoló állomány azt jelenti, hogy a tömörített file kiterjesztése EXE lesz, és elindítva kicsomagolja saját magát. Ha a tömörített file-t floppyra szeretnénk másolni, akkor a fájl mérte maximum 1,44 MB lehet. Amennyiben a betömörítés eredményeként kapott egy darab file mérete ennél nagyobb lenne, akkor a program több file-ba csomagolja be a forrás állományokat. A becsomagolás állapota egy folyamatjelzőn figyelemmel kísérhető. 2005.03.16. 23:32
34
Kicsomagolás: Az eljárás lépései a következők:
– meg kell nyitni a tömörített állományt, – majd a csomag tartalmából kijelölni a kicsomagolni kívánt file-okat, – végül megnyomni a megfelelő eljárás indító gombját.
2005.03.16. 23:32
35
Az „Extract” gomb oda csomagolja ki a file-okat, ahol az archív file van, míg az „Extract to” esetében megadható a kicsomagolás célkönyvtára, továbbá néhány egyéb paraméter is. Amennyiben a kicsomagolás során az éppen kibontott file-lal egyező azonosítójú file már van a cél helyen, a program természetesen rákérdez arra, hogy mi történjen.
2005.03.16. 23:32
36