Számítógép p vírusok: v Vírusok és s tömörítést Vírusnak hívjh vják k az olyan programot,, amely: 1. Valamilyen file-hoz kapcsolódik: nem önálló állomány, hanem csak egy fájlhoz f kapcsolódó,, de futtatható kód. 2. Képes K önmaga reprodukálásra: a fertőzött tt file futtatásával, megnyitásával elindul a vírus v kódja k is, és s saját t magát t hozzáí áírja több t más, m addig még m g nem fertőzött tt file-hoz hoz. 2005.03.16. 23:32 1
3. Hagyományos eszközökkel kkel nem láthatl tható: a DOS DIR utasítása sa,, vagy az Intéző nem mutatja (nem is mutathatja, mert nem egy önálló fájl, hanem csak valamely állományhoz kapcsolódik). 4. Többnyire T kárt, k vagy legalább bosszúságot okoz: a számítógépen tárolt t adatokat, vagy legalább azok egy részét t megsemmisíti, vagy olyan más m s tevékenys kenységet indít t el, amely megakadályozza a normális munkát. 5. Lappangási ideje van: a fertőzés s megtört rténte után n jój darabig nem jelentkeznek a károkozk rokozás s jelenségei. 2005.03.16. 23:32 2
A vírusok v csoportosítása: sa: Természetesen a vírusokat v is többft bbféle szempont figyelembevétel telével lehet csoportosítani, tani, melyek közül k a három h legfontosabb: a a károkozk rokozásuk, a a terjedésük k módja, m és s viselkedésük k szerinti osztályoz lyozás. 2005.03.16. 23:32 3
A vírusok v károkozk rokozás s szerinti osztályoz lyozása 1. Ártalmatlan vírusok: v kárt nem okoznak, csak írójuk ügyességét t hivatottak demonstrálni, mivel a gép g p teljesítm tményét t rontják, az ilyen vírusokat is feltétlen tlenül l el kell távolt volítani. 2. Felhasználó munkáját t zavaró vírusok: közvetlen kárt k ugyan még m g ezek sem okoznak, de a felhasználót zavarják k a munkavégz gzésben, így feltétlen tlenül l eltávol volítandók. 2005.03.16. 23:32 4
3. Kárt K okozó vírusok: a winchesteren lévől fájlokat, vagy azok egy részr szét t teszik használhatatlann lhatatlanná a legkülönf nfélébb módszerekkel m (törl rlés, kódolás, stb.) a hálózaton h (Internet) akkora forgalmat generálnak, hogy a normális munkavégz gzés s lehetetlenné válik, stb. 2005.03.16. 23:32 5
A vírusok v terjedés s szerinti osztályoz lyozása 1. Boot vírusok: Az ilyen vírusok a lemez úgynevezett boot-szektorába írják be magukat. Mivel az itt lévő file minden indításkor lefut, így a vírus aktivizálása automatikusan megtörténik. 2. Állom llomány (program) v ny (program) vírusok: rusok: Ezek a vírusok csak.com és.exe típusú, azaz futtatható file-okat fertőznek meg. Ezek a vírusok akkor aktivizálódnak, ha a fertőzött programot elindítjuk. Ezek után minden, a továbbiakban elindított file-t megfertőznek. 2005.03.16. 23:32 6
terjednek, és gyorsan szaporodnak, hiszen garantáltan 3. TöbbT bbéletű vírusok: A boot és az állományvírusok jellemző tulajdonságait ötvözik, azaz a boot szektort is, és a COM és EXE állományokat is képesek megfertőzni. Így könnyen aktívak. 4. Makr 4. Makró vírusok: rusok: A makró vírusok az MS-Office program adatállományait (DOC, XLS, PPT, stb.) fertőzik meg. Működésük alapja az a programnyelv, mely a Word, Excel, PowerPoint, stb. programok speciális felhasználását hivatott biztosítani, és amely e programoknak része. 2005.03.16. 23:32 7
Ez az új, 1999-ben megjelent vírustípus az elektronikus forgalmat generál, hogy az adatcsere bedugul a helyi Másrészt természetesen a gépen tárolt adatállományok 5. Férgek: F levelezéssel Egyrészt a levelező terjed. Károkozási programmal annyi módszere m levelet többft bbféle. küld el a gépről, amennyit csak tud. Ehhez a felhasználó levelező programjában tárolt címlistát használja fel. Mivel az összes fertőzött gép ugyanígy tesz, ez néha akkora hálózatban, vagy akár az Internet bizonyos szegmenseiben is. között is garázdálkodik. Jelenleg talán ezek a leggyakrabban előforduló vírusok. 2005.03.16. 23:32 8
6. Trójai programok: Szigorúan véve v ve ezek nem is vírusok, v mert önálló állományok. Nevüket főf jellemzőikr ikről l kapták: k: úgy néznek n ki, mint egy hasznos program. Pontosan ezért sokan telepítik tik is őket gépeikre. g Egy kis idő után n azonban addigi hasznos szolgáltat ltatásuk helyett rombolásba fognak. 7. Hoaxok: Hoaxnak nevezik az Interneten terjesztett rémhr mhíreket. Károkozásuk a nem létezl tező vírusok felesleges keresgetésével eltölt ltött tt idő. 2005.03.16. 23:32 9
A vírusok v jellemzőik szerinti osztályoz lyozása 1. Rezidens vírusok: A vírust v hordozó file megnyitásával minden esetben aktívv vvá válik. Rezidensnek akkor hívjuk h a vírust, v amennyiben aktív v marad a programból l törtt rténő kilépés után n is. 2. Lopakodó vírusok: A lopakodó vírusokra az a jellemző,, hogy a fertőzött tt file megnyitásakor - azon kívül, k hogy aktívv vvá válnak - eltávol volítják k magukat a file-ból. Így a hagyományos víruskereső programok nem látjl tják őket. A file bezárása után n természetesen újra visszaírj rják k kódjukat k a file-ba ba. 2005.03.16. 23:32 10
3. Polimorf vírusok: v A polimorf vírusok v főf jellemzője az, hogy minden egyes fertőzéskor új j mutáci ciójuk keletkezik. Így az ilyen vírusok felismerése se rendkívül l nehéz. 2005.03.16. 23:32 11
Az antivírus termékek típusai: t A vírusok v elleni védekezv dekezésre használt programokat szokás antivírus (AV) termékeknek is nevezni. Természetesen e programokat is többft bbféle szempont figyelembevétel telével lehet osztályozni: működésük és s felhasználási si körük k k szerint 2005.03.16. 23:32 12
Az AV termékek működésm szerinti típusai 1. Vírus V kereső: olyan program, melyet elindítva az ellenőrzi a memóri riát, majd a hátth ttértárakat, rakat, és s kijelzi ha vírust talált. lt. 2. Vírus V irtó: az a termék, amelyet külön k n elindítva az a felfedezett fertőzést eltávol volítja a géprg pről. 2005.03.16. 23:32 13
3. Integrált vírus v kereső és s irtó: Integrált víruskeresv ruskereső és s irtó esetében a két k folyamatot egy program végzi. v 4. Vírus V figyelő: vírus figyelő az a program, mely a memóri riában maradva folyamatosan végzi v munkáját. 2005.03.16. 23:32 14
Az AV termékek felhasználásuk suk szerinti típusai 1. Általános célúc termékek: Az ilyen programok minden addig ismert vírust megpróbálnak felismerni, integrált program esetén n eltávol volítani. 2. Speciális programok: Csak egy-egy nagyon veszélyes vírus v ellen alkalmazhatók, k, de azt nagyon hatékonyan képesek eltávol volítani. 2005.03.16. 23:32 15
Az antivírus termékek keresési si módszerei 1. Aláí áírásos keresés: s: Ennél l a módszernm dszernél l a AV termék k a vírusra v jellemző kódsorozatot keresi a vizsgált file- okban.. A módszerbm dszerből l következik, k hogy csak azon file-ok ellen hatásos, melyek már m r szerepelnek a vírus adatbázisban. Pontosan ezért ezt az úgynevezett aláí áírás file-t folyamatosan frissíteni szüks kséges. Ez manapság g többnyire t az Internetről történik. 2005.03.16. 23:32 16
2. Processzor emulátoros keresés: s: Mivel a polimorf vírusok v ellen az első módszer hatástalan, ki kellett találni lni valami mást. m Ez az úgynevezett processzor emulátoros módszer, m melynek a lényege l az, hogy az AV termék k a gépen g belül l létre l hoz egy látszólagos számítógépet, és s ott nyitja meg a gyanús ffile-okat (tehát t az eljárás s a karanténban nban törtt rténő megfigyeléshez hasonlít). A kulcskérd rdés s csupán n az, hogy mennyi ideig kell a virtuális gépben g futtatni a vizsgált filet. 2005.03.16. 23:32 17
3. Heurisztikus keresés: s: A vírusokat v sokszor nem lehet 100 %-os% pontossággal felderíteni. A heurisztikus módszer m esetében amennyiben egy vizsgált file-nál több gyanús s jel is egyszerre fellép, és ezek alapján n egy előre megadott valósz színűségnél nagyobb az esély arra, hogy a file vírusos, akkor azt akként is kezelik. A modern AV termékek találati lati aránya e módszernek köszk szönhetően en 80 % feletti még m g teljesen új vírusok esetében is. A ma alkalmazott vírusellenes v termékek a bemutatott módszerek mindegyikét t egyszerre alkalmazzák. k. 2005.03.16. 23:32 18
Széles körben k használt AV termékek: McAfee VirusScan Command AntiVirus ThunderByte AntiVirus Norton AntiVirus AVP Inoculate AntiVirus VirusBuster FSecure stb. 2005.03.16. 23:32 19
A Norton AntiVirus (NAV) telepítése: Maga az eljárás s szokásos sos módon m zajlik, azaz a SETUP.EXE file elindítása után csak néhány n ny kérdk rdésre kell válaszolniv laszolni, és s a program automatikusan kerül l fel a gépünkre. g Fontos tudni, hogy a szaksajtó CD lemezein a program shareware verziója szokott lenni, de egyes alaplapokhoz a NAV-ot freeware-ként is szokták k mellékelni. 2005.03.16. 23:32 20
A Norton NAV használata: Ezt a terméket - mint a legtöbb mai modern segédprogramot - általában kétfk tféle módon m szokás használni: 1. A NAV Start menüből l törtt rténő elindítása után n a program saját t menürendszer rendszeréből indítjuk el a szüks kséges eljárást. a jelölőnégyzetek segíts tségével válasszuk v ki a vizsgálni kívánt lemezegységet get (mappa, vagy file vizsgálata esetén n a Scan menüben kell a kérdk rdéses objektumot megadni), majd kattintsunk rár a Scan Now gombra. 2005.03.16. 23:32 21
2. A vizsgálni kívánt k lemezegység, g, mappa, vagy file helyi menüjéből l rögtr gtön n a megfelelő eljárást indítva. Sok esetben jóval j kényelmesebb k és s gyorsabb a második mód-szer m alkalmazása. Akármelyik módszert m is választjuk, v a NAV elsőként a memóri riát t vizsgálja át. Amennyiben már m r ott vírust v talál, l, akkor annak eltávol volításához a NAV telepítése során készített biztonsági helyreáll llító lemezkészletr szletről l kell a gépet elindítani. 2005.03.16. 23:32 22
Ha a NAV a vizsgálni kívánt k objektumban vírust v talál, l, akkor automatikusan elindul a program vírus v eltávol volító része. A megjelenő ablakok funkciói: i: tájékoztatást kapunk a fertőzést okozó vírusról és s kiválaszthatjuk eltávol volításának módját, megadhatjuk a vírus v ellen alkalmazni kívánt k eljárást st, végül l statisztika jelenik meg az eltávol volításról és az egész eljárásr sról. 2005.03.16. 23:32 23
Helyreáll llító lemezkészlet Az egyik előző dián került szóba ez az eszköz, z, amely a boot-vírusok eltávol volítására használhat lható.. A lemezkészlet a vírus v eltávol volításán n kívül k l természetesen a winchester esetleg megsérült rendszerindító szektorának helyreáll llítására is alkalmas. Amennyiben a NAV telepítésekor nem készk szítettünk ilyen helyreáll llító lemezkészletet, ezt természetesen utólag is megtehetjük ( Start menü, Programok, Norton AntiVirus, Rescue Disk ). Maga az eljárás s menete (melyre remélhet lhetően en soha nem lesz szüks kségünk) magától értetődő. 2005.03.16. 23:32 24
Beáll llítások: A NAV működése m természetesen nagymért rtékben függ f a beáll llításaitól. Mivel a program a gyári beáll llításaival többnyire mindenkinek megfelel, és s mert aki nem ért hozzá az inkább csak ronthat e beáll llításon, son, csak komolyabb ismeret esetén n javasolt a beáll llítások megváltoztat ltoztatása. Maga a beáll llító párbeszédablak egyébk bként a Tools menü Options menüpontj pontjával érhető el. 2005.03.16. 23:32 25
Vírusadatbázis frissítése: se: A vírusok v leírását t tartalmazó adatbázist rendszeresen frissíteni kell. Erre két k t módszer m alkalmazható: kézi frissítés s (péld ldául a szaklapok CD melléklet kletéről), l), az Internetről l törtt rténő automatikus frissítés. s. Ez utóbbi esetben kattintsunk a program eszközsor zsorán lévő Live Update ikonra, majd a megjelenő ablakban kattintsunk a Next gombra. Ezután n már m r nincs más m dolgunk, mint kivárni a letölt ltést. 2005.03.16. 23:32 26
Tömörítés: A ma használt programok, illetve a segíts tségükkel előáll llított adatfile-ok mérete nagyon nagy mértm rtékben megnőtt. Ennek következtk vetkeztében floppy lemezre törtt rténő másolásuk suk lehetetlen, sokszor írható CD lemezre is gondot okoz. Amennyiben az Interneten keresztül kívánjuk njuk a file-okat okat,, mint mellékleteket tovább bbítani, az két k okból l is problémát t jelent: egyrészt a címzett c postafiókja sokszor limitált lt méretű, mésfelől az átvitel idejének növekedn vekedése költségnövekedést is jelent. 2005.03.16. 23:32 27
A problémára ra a fájlok f tömörítése t jelent megoldást. A tömörítőt eljárásokat két k t nagy csoportra lehet osztani: 1. Veszteséges: ez esetben a tömörített t tett file-ból az eredeti nem reprodukálhat lható. 2. Veszteségmentes: a tömörítettbt tettből l az eredeti file egy az egyben előáll llítható. 2005.03.16. 23:32 28
Veszteséges tömörítők: t Elsősorban sorban grafikák és s egyéb b média m file-ok tömörítésére. re. Az Interneten példp ldául kizárólag JPG és s GIF típust pusú file- okkal találkozunk, lkozunk, amelyek ugyanúgy bittérk rképes pes grafikák, k, mint példp ldául a Paint által készk szíthető BMP file-ok ok, csak sokkal kisebb helyet foglalnak el. A módszer m lényege l veszteséges képtk ptömörítés s esetében az, hogy vagy a színek számát t korlátozzuk, vagy az egymás s mellett lévől képpontok színét t mossuk össze. Ez egy bizonyos mértékig az élvezhetőséget nem befolyásolja. 2005.03.16. 23:32 29
Veszteségmentes tömörítők: t Sajnos a veszteségmentes tömörítők t k működését m nem lehet olyan egyszerűen en elmagyarázni, mint a veszteségesek gesekét, de a felhasználó szempontjából l az eljárás s lényegtelen l is. A fontos, hogy tökéletesen t működnek. m A legelterjedtebb ilyen tömörítőt programok: a a RAR, a a ZIP, ARJ. 2005.03.16. 23:32 30
Szinte mindegyiket ugyanúgy kell használni, és s az is közös s jellemzőjük, hogy több t forrás file-ból egy betömörített tett állományt hoznak létre. l Betömörítésnek, vagy becsomagolásnak snak hívjuk h vjuk azt az eljárást, amelyben a normál file-okb okból egy darab, de tömörített tett állományt állítunk elő. Kicsomagolásk sként szokás s hivatkozni arra a folyamatra, amelyben az archív file-ból kibontásra kerülnek lnek a nekünk nk szüks kséges állományok. 2005.03.16. 23:32 31
Betömörítés: Betömörítésn snél l a következk vetkezőket ket kell tennünk: nk: (természetesen más m s módszer m is alkalmazható) előbb ki kell jelölni lni a tömörítendt tendő file-okat okat, majd a helyi menüt t elindítva kiválasztani a megfelelő eljárást. Az egyik esetben a csomag neve megegyezik azzal a mappával, ahol a forrás file-ok vannak (erre egyébk bként a menüpont neve is utal). Ennél l a módszernm dszernél l semmilyen paramétert nem adhatunk meg. 2005.03.16. 23:32 32
A másik, m -ra végződő menüpontot választva v több paramétert is beáll llíthatunk,, melyek közül k l a legfontosabbak: a tömörítés t s sebessége és s faktora (RAR esetében ez alapesetben Normal ), hogy önkicsomagoló (SFX, azaz self extract) ) legyen-e e az archív file, megadható a keletkezett file-ok maximális mérete. 2005.03.16. 23:32 33
Az önkicsomagoló állomány azt jelenti, hogy a tömörített tett file kiterjesztése se EXE lesz, és s elindítva kicsomagolja saját t magát. Ha a tömörített t tett file-t floppyra szeretnénk nk másolni, akkor a fájl f mérte m maximum 1,44 MB lehet. Amennyiben a betömörítés s eredmények nyeként nt kapott egy darab file mérete ennél l nagyobb lenne, akkor a program több t file-ba csomagolja be a forrás állományokat. A becsomagolás állapota egy folyamatjelzőn figyelemmel kísérhetk rhető. 2005.03.16. 23:32 34
Kicsomagolás: s: Az eljárás s lépései l a következk vetkezők: k: meg kell nyitni a tömörített t tett állományt, majd a csomag tartalmából l kijelölni lni a kicsomagolni kívánt k file-okat okat, végül l megnyomni a megfelelő eljárás s indító gombját. 2005.03.16. 23:32 35
Az Extract gomb oda csomagolja ki a file-okat okat,, ahol az archív file van, míg m g az Extract to esetében megadható a kicsomagolás s célkc lkönyvtára, tovább bbá néhány ny egyéb b paraméter is. Amennyiben a kicsomagolás s során n az éppen kibontott file-lal lal egyező azonosítójú file már r van a cél c l helyen, a program természetesen rákérdez r rdez arra, hogy mi történjen. 2005.03.16. 23:32 36