Kiekvienas iš mūsų bent kartą gyvenime yra susidūręs su kompiuteriniu virusu. Ir gerai, jei kenkėjas pasirodė silpnas. Su paprastu virusu nesunkiai susidoroja antivirusinė programa. Tačiau rimtesnė programinė įranga, kuria dažniausiai naudojasi įsilaužėliai, gali padaryti nepataisomą žalą visai sistemai ir asmeniniams duomenims.
Daugelis žmonių žino, kas yra kompiuterinis virusas. Tačiau ne visi iki galo supranta jo vaidmenį ir galimybes. Šio tipo kenkėjiška programa programinė įranga Jis gali lengvai kopijuoti save, prasiskverbti į kitų programų kodą, sutrikdyti sistemos atminties struktūrų ir įkrovos sektorių veikimą bei plisti įvairiais ryšio kanalais.
Daugelis nepatyrusių vartotojų mano, kad viruso užduotis yra sugadinti arba ištrinti asmeninius duomenis. Tiesą sakant, taip nėra. Žinoma, kompiuterinių virusų yra įvairių, tačiau dažniausiai pagrindinis jų tikslas yra kenkėjiškų programų platinimas. Tačiau susiję veiksmai yra tik informacijos ištrynimas, duomenų elementų sugadinimas, veikimo blokavimas ir daug daugiau.
Svarbu suprasti, kad kompiuterinis virusas ne visada yra valdomas. Todėl net jei įsilaužėlis nenorėjo kurti kenkėjiškų elementų, programinė įranga vis tiek gali pakenkti sistemai dėl kūrimo metu padarytų klaidų, o OS ir kitos programos gali tiesiog neregistruoti tokių klaidų.
Nepatyrę vartotojai bet kokias kenkėjiškas programas dažnai vadina virusais. Tai nėra visiškai teisinga, nes virusai yra tik tam tikra tokios programinės įrangos rūšis.
Kai specialistai sukūrė savaime besidauginantį virusą, niekas nežinojo. Tačiau būtent tokie pokyčiai tapo jo formavimosi pagrindu.
Prieš kuriant savaiminio atkūrimo mechanizmus, reikėjo išdėstyti teorijos algoritmus. Tai padarė Johnas von Neumannas. Jau 1951 metais jis atrado būdus, kaip sukurti tokią programą.
Jo idėją palaikė daugelis ekspertų ir pradėjo aktyviai leisti leidinį, skirtą savaime atkuriančios sistemos kūrimui.
Viename iš straipsnių buvo pristatytas pirmasis tokio tipo mechaninis dizainas. Taigi žmonės galėtų sužinoti apie dvimatį struktūrų modelį, kuris galėtų savarankiškai aktyvuoti, užfiksuoti ir paleisti.
Tokia savaime atkurianti programa buvo netobula dėl to, kad virtualus „padaras“ mirė dėl to, kad platformai trūko srovės tiekimo.
Kitas bandymas sukurti pirmuosius kompiuterinius virusus buvo neįprasto galvosūkio, pavadinto „Darvinas“, išradimas. 60-ųjų pradžioje vienos amerikiečių firmos mokslininkai sukūrė keletą komunalinių paslaugų, kurias pavadino „organizmais“. Programinė įranga turėjo būti įkelta į kompiuterio archyvą. Vieno žaidėjo suformuoti „organizmai“ turėjo sugerti priešo „organizmus“ ir užimti jų teritoriją. Laimėtojas buvo tas, kuris atėmė visą atmintį arba surinko daugiau taškų.
Daugelis mano, kad XX amžiaus aštuntajame dešimtmetyje žmonija sužinojo, kas yra kompiuterinis virusas. Tačiau vis tiek savaime besidauginančių programų ar žaidimų, tokių kaip Darvinas, negalima vadinti virusais. Tikrieji „kenkėjai“ tapo žinomi daug vėliau ir buvo daug įtakingesni bei pavojingesni.
Labiausiai sukurta 80-ųjų pradžioje. Po to prasidėjo aktyvus kenkėjiškų programų kūrimas. Dėl to kartu su Elk Cloner atsiranda Joe Dellinger virusas, Dirty Dozen projektas ir daugybė antivirusinių paslaugų.
Jis pirmasis parodė pasauliui įkrovos virusą. Elk Cloner buvo sukurtas specialiai Apple II. „Kenkėlį“ buvo galima rasti iškart paleidus sistemą: pasirodė pranešimas su nedideliu eilėraščiu, kuriame virusas vartotojui grasino asmeninių failų praradimu, sistemos darbo sutrikimu ir nesugebėjimu ištrinti.
Savo veiklą pradeda ir Johnas Dellingeris. Jis taip pat sukūrė virusą Apple II. Specialistas taip norėjo būti pirmas, kad pasigedo vienos iš kenkėjiškų programų. Ji pradėjo „plisti“ visame universitete. Vienas iš atminties analizės sektorių jį lengvai aptiko. nors eilinis vartotojas Nepavyko rasti šios skilties sistemoje.
John Dellinger virusas slopino gerai žinomo dėlionės žaidimo grafiką. Dėl to po pusės mėnesio visos „piratinės“ versijos buvo „sulaužytos“. Norėdami ištaisyti klaidą, kūrėjas sukūrė kitą virusą, kuris ištaisė ankstesnę versiją.
Iki 1984 m. daugelis ekspertų pradėjo suprasti, kas yra kompiuterinis virusas. Buvo išleistas pirmasis mokslinis straipsnis, kuriame buvo keliami sisteminės infekcijos klausimai ir problemos. Nepaisant to, kad patį terminą pasiūlė straipsnio autoriaus kuratorius, šio termino autoriumi vadinamas būtent tyrinėtojas Cohenas.
Kai daugelis pradėjo suprasti, kas yra kompiuterinis virusas, tapo aišku, kad reikia sukurti sistemos apsaugą nuo jo. Pirmąją antivirusinę programą sukūrė Andy Hopkins. Panaši programa įkrovos failo tekstą analizuoja nuo 1984 m., nurodydama visus abejotinus kodų ir pranešimų elementus.
Vienu metu tai pasirodė esąs paprasčiausias ir efektyviausias. Programa galėjo nukreipti rašymo ir formatavimo procesus, kurie vyko per BIOS. Tuo pačiu metu ji leido vartotojui įsikišti į operacijas.
Devintojo dešimtmečio pabaigoje buvo išleistas pigus IBM kompiuteris. Jo atsiradimas buvo postūmis plėtoti didesnio masto virusus. Todėl per trumpą laiką įvyko trys didelės sisteminės katastrofos.
Natūralu, kad kompiuterinių virusų epidemijų dar niekada nebuvo. Todėl kova su jais nebuvo lengva. Pirmasis išpuolis įvyko dėl Brain viruso, kurį du broliai sukūrė dar 1986 m. Ir jau kitais metais jis buvo paleistas visuose kompiuteriuose.
Dabar sunku pasakyti, kokio masto epidemija buvo. Tik žinoma, kad virusas paveikė daugiau nei 18 tūkst. Kaip vėliau paaiškėjo, broliai nenorėjo niekam pakenkti. Virusas turėjo nubausti programinę įrangą pavogusius „piratus“. Tačiau kažkas nutiko ne taip, ir „Brain“ paveikė ne tik patį Pakistaną, bet ir vartotojus visame pasaulyje. Daugelis ekspertų susipažino su pirmuoju slaptu virusu, kuris užkrėstą sektorių pakeitė į visišką originalą.
Kenkėjas, žinomas kaip Jeruzalė, taip pat yra susijęs su smegenų virusu. Devintojo dešimtmečio pabaigoje nuo to nukentėjo kelios įmonės ir universitetai. Suaktyvintas virusas akimirksniu ištrynė duomenis. Vėliau tapo žinoma, kad tai vienas didžiausių kenkėjų, nukentėjęs nuo vartotojų iš Europos, Amerikos ir Artimųjų Rytų.
Užsikrėtimas kompiuteriniais virusais tuo nesibaigė. Netrukus pasaulis sužinojo apie Morriso kirminą. Tai buvo pirmasis tinklo kenkėjas, nukreiptas į Unix. Buvo planuota, kad komunalinė programa pateks į kompiuterinę sistemą ir ten liks be galimybės aptikti. Viruso autorius norėjo padaryti jį paslėptą ir nekenksmingą, tačiau viskas klostėsi ne pagal planą. Viruso savaiminio dauginimosi priežastis buvo kūrimo metu padarytos klaidos.
Epidemija labai paveikė sistemų funkcionalumą. Vėliau paaiškėjo, kad žala siekė 96 milijonus dolerių. Nors jei autorius norėtų tikslingai pakenkti operacinei sistemai, tuomet suma būtų kur kas didesnė.
Toks nesėkmingas įvykis Morrisą atvedė į teismą, kur jam buvo skirta trejų metų lygtinė bausmė, jis buvo išsiųstas atlikti viešuosius darbus ir sumokėti „apvalią“ sumą.
Kol specialistai nepradėjo suprasti kompiuterinių virusų rūšių, sisteminės epidemijos kildavo vis dažniau. Taigi 1989 metais DATACRIME tapo žinomas. Tai buvo ne tik virusas, bet ir visa serija. Vos per kelis mėnesius jai pavyko pasiekti daugiau nei 100 000 sistemų.
Ši problema negalėjo praeiti pro programuotojus ir netrukus buvo išleistos komunalinės paslaugos, kurios nuskenavo šiam virusui būdingas linijas.
Kai ši virusinių programų serija buvo baigta, iškart pasirodė pirmasis „Trojos arklys“, vadinamas AIDS. Taip vartotojai sužinojo apie išpirkos programas, kurios blokavo prieigą prie standžiajame diske esančių duomenų ir monitoriuje rodė vienintelę informaciją. AIDS už konkretų adresą norėjo 189 USD. Žinoma, daugelis vartotojų sumokėjo turto prievartautojui. Tačiau netrukus jis buvo sulaikytas po to, kai buvo sučiuptas gryninantis čekius.
Paaiškėjo, kad žinoti, kas yra kompiuterinis virusas, neužtenka. Reikėjo kažkaip atskirti „kenkėjus“, kad vėliau būtų sukurtos apsauginės priemonės. Be to, kompiuterių kūrimas taip pat turėjo įtakos kompiuterinių virusų klasifikacijai.
Kenkėjiškos programos dabar gali būti klasifikuojamos pagal „platinimo“ metodus ir funkcionalumą. Iki plataus interneto vystymosi virusai galėjo būti saugomi diskeliuose ir kitose laikmenose. Dabar jie daugiausia perduodami vietiniais ir pasauliniais tinklais. Kartu išaugo ir jų funkcionalumas.
Deja, kol kas nepavyko sukurti aiškios klasifikacijos. Tačiau virusus galima suskirstyti į tuos, kurie:
Tai apima šiuos kompiuterių virusų tipus: failą, įkrovą, scenarijų, pažeidžiantį šaltinio kodą, makrovirusus.
Pavyzdžiui, paveikia failų kenkėjas Failų sistema kompiuteris jo „atgaminimui“. Jis yra įterptas į beveik bet kurį vykdomąjį dokumentą. Operacinė sistema. Paprastai jis gali pasirinkti dvejetainius failus su plėtiniu ".exe" arba ".com" kaip "auką", tai gali paveikti dinaminę biblioteką, "malkas" arba paketinius failus.
Makrovirusas paprastai yra programų paketuose, tokiuose kaip „Microsoft Office“. Makro kalbų pagalba tokie „kenkėjai“ gali pereiti iš vieno failo į kitą.
Yra virusų, galinčių užkrėsti bet kurią operacinę sistemą. Tačiau ne visi siekia „bendradarbiauti“ su kiekviena platforma. Todėl įsilaužėliai kuria virusus atskiroms operacinėms sistemoms. Tai apima DOS, Windows, Linux, Unix ir daugelį kitų.
Kompiuterinių virusų ypatumas yra tas, kad jie gali naudoti specialias technologijas. Pavyzdžiui, jie naudoja techniką, kuri sumažina jų aptikimo lygį. Dėl to paprasčiausios antivirusinės programos negali aptikti kenkėjo.
Stealth virusai verčiami kaip „nematomas“. Tokia programinė įranga visiškai arba iš dalies slepia savo buvimą. Norėdami tai padaryti, virusas perima skambučius į OS.
Šiai grupei priklauso rootkit. Jie gali būti pavaizduoti vykdomaisiais failais, scenarijais, konfigūracijos dokumentais. Jų užduotis – užtikrinti objektų maskavimą, valdyti sistemoje vykstančius įvykius, rinkti duomenis.
Nuo virusų ir antivirusinių programų atsiradimo praėjo daug laiko. Skirtingais metais atsirado ypatingų kenkėjų, kuriuos dėl savo katastrofiškos įtakos prisiminė visas pasaulis.
Pavyzdžiui, CIH yra virusas, skirtas tragedijai Černobylio atominėje elektrinėje. Įjungimo momentu „kenkėjas“ paralyžiavo visų sistemų darbą. Nimida buvo greičiausias virusas, užtrukęs ketvirtį valandos, kad užkrėstų milijoną kompiuterių.
„Slammer“ buvo pavadintas agresyviausiu, nes virusas vos per 10 minučių ištrynė informaciją iš 75 000 sistemų. Conficker laikomas vienu pavojingiausių „kenkėjų“. Kirminas užpuolė Windows sistemas ir per 3 mėnesius sugadino 12 milijonų kompiuterių.
2000-aisiais buvo užregistruotas ILOVEYOU virusas. Vėliau jis pateko į Gineso rekordų knygą, gavęs „Destruktyviausio kompiuterinio viruso pasaulyje“ titulą. Šis kirminas paveikė 15 milijonų kompiuterių, o, įvairiais skaičiavimais, žala pasaulio ekonomikai siekė 10-15 milijardų dolerių.
Dabar jų vis dar pasitaiko, tačiau kartais su jomis susidoroja galingos antivirusinės programos. Yra tarptautinė nepriklausoma organizacija, kuri analizuoja saugos komunalinių paslaugų veiklą. AV-TEST pristatė geriausių 2017 m. antivirusinių programų sąrašą:
Šiuo metu tai yra efektyviausios komunalinės paslaugos. Ir nors jie visi yra mokami, kiekvienas turi bandomąjį laikotarpį, taip pat palyginti mažas metines išlaidas.
Kompiuteriniai virusai
Kompiuterinis virusas yra nedidelė programa, parašyta aukštos kvalifikacijos programuotojo, galinti savarankiškai replikuotis ir atlikti įvairius destruktyvius veiksmus. Iki šiol žinoma per 50 tūkstančių kompiuterinių virusų.
Yra daug skirtingų versijų apie pirmojo kompiuterinio viruso gimimo datą. Tačiau dauguma ekspertų sutinka, kad kompiuteriniai virusai, kaip tokie, pirmą kartą pasirodė 1986 m., nors istoriškai virusų atsiradimas yra glaudžiai susijęs su idėja kurti savarankiškai atkuriančias programas. Vienas iš kompiuterinių virusų „pionierių“ yra „Brain“ virusas, kurį sukūrė Pakistano programuotojas Alvi. Vien JAV šis virusas užkrėtė daugiau nei 18 000 kompiuterių.
Virusai veikia tik naudojant programinę įrangą. Jie linkę prisirišti prie bylos arba įsiskverbti į failo turinį. Šiuo atveju sakoma, kad failas yra užkrėstas virusu. Virusas į kompiuterį patenka tik kartu su užkrėstu failu. Norėdami suaktyvinti virusą, turite atsisiųsti užkrėstą failą ir tik po to virusas pradeda veikti pats.
Kai kurie virusai tampa nuolatiniais vykdant užkrėstą failą (nuolat gyvena laisvosios kreipties atmintis kompiuteryje) ir gali užkrėsti kitus atsisiųstus failus ir programas.
Kitas viruso tipas iškart po aktyvinimo gali sukelti rimtą žalą, pavyzdžiui, suformatuoti standųjį diską. Virusų veikimas gali pasireikšti įvairiai: nuo įvairių vaizdinių efektų, trukdančių dirbti, iki visiško informacijos praradimo.
Pagrindiniai virusų šaltiniai:
diskelis su virusu užkrėstais failais;
kompiuterių tinklas, įskaitant el. pašto sistemą ir internetą;
kietasis diskas, kuris buvo užkrėstas virusu dėl darbo su užkrėstomis programomis;
virusas, kurį RAM paliko ankstesnis vartotojas.
Pagrindiniai ankstyvieji kompiuterio užkrėtimo virusu požymiai:
sumažinti laisvos RAM kiekį;
sulėtinti kompiuterio įkėlimą ir veikimą;
nesuprantami (be priežasties) failų pakeitimai, taip pat paskutinio failų modifikavimo dydžio ir datos pasikeitimai;
klaidos įkeliant operacinę sistemą;
nesugebėjimas išsaugoti failų reikiamuose kataloguose;
nesuprantami sistemos pranešimai, muzikiniai ir vaizdo efektai ir kt.
Aktyvios viruso fazės požymiai:
failų dingimas;
formatavimas kietasis diskas;
nesugebėjimas įkelti failų ar operacinės sistemos.
Yra daug įvairių virusų. Tradiciškai jie gali būti klasifikuojami taip:
1) įkrovos virusai arba BOOT virusai užkrečia diskų įkrovos sektorius. Labai pavojingi, jie gali visiškai prarasti visą diske saugomą informaciją;
2) failų virusai failai yra užkrėsti. Yra skirstomi į:
virusai, užkrečiantys programas (failai su plėtiniais .EXE ir .COM);
makrovirusai virusai, užkrečiantys duomenų failus, pvz., Word dokumentus ar Excel darbaknyges;
palydoviniai virusai naudoja kitų failų pavadinimus;
DIR šeimos virusai iškraipo sistemos informaciją apie failų struktūras;
3) įkrovos failų virusai galintis užkrėsti tiek įkrovos sektorių, tiek failų kodus;
4) nematomi virusai arba STEALTH virusai falsifikuoja iš disko nuskaitytą informaciją, todėl programa, kuri yra skirta šiai informacijai, gauna neteisingus duomenis. Ši technologija, kartais vadinama Stealth technologija, gali būti naudojama tiek BOOT virusuose, tiek failų virusuose;
5) retrovirusai užkrėsti antivirusines programas, bandant jas sunaikinti ar padaryti neveiksnias;
6) kirminų virusai pateikti mažus el. pašto pranešimus su vadinamąja antrašte, kuri iš esmės yra paties viruso vietos žiniatinklio adresas. Bandydamas perskaityti tokią žinutę, virusas ima skaityti savo „kūną“ per pasaulinį interneto tinklą ir, atsisiuntus, pradeda destruktyvų veiksmą. Labai pavojinga, nes juos labai sunku aptikti dėl to, kad užkrėstame faile iš tikrųjų nėra viruso kodo.
Jei nesiimsite priemonių apsisaugoti nuo kompiuterinių virusų, užsikrėtimo pasekmės gali būti labai rimtos. Daugelyje šalių baudžiamoji teisė numato atsakomybę už kompiuterinius nusikaltimus, įskaitant virusų įvedimą. Informacijai nuo virusų apsaugoti naudojami bendrieji ir programinės įrangos įrankiai.
Įprastos priemonės, padedančios išvengti užsikrėtimo virusu ir jo niokojančio poveikio, yra šios:
atsarginės informacijos kūrimas (failų ir standžiųjų diskų sistemos sričių kopijų kūrimas);
atsisakymas naudoti atsitiktines ir nežinomas programas. Dažniausiai virusai platinami kartu su kompiuterinėmis programomis;
prieigos prie informacijos apribojimas, ypač fizinė diskelio apsauga kopijuojant iš jo failus.
Įvairios antivirusinės programos (antivirusinės) priskiriamos apsaugos programinei įrangai.
Antivirusinė yra programa, kuri aptinka ir neutralizuoja kompiuterinius virusus. Pažymėtina, kad virusai savo kūrime lenkia antivirusines programas, todėl net ir reguliariai naudojant antivirusus, 100% saugumo garantijos nėra. Antivirusinės programos gali aptikti ir sunaikinti tik žinomus virusus, o atsiradus naujam kompiuteriniam virusui apsaugos nuo jo nėra tol, kol jam nebus sukurta sava antivirusinė. Tačiau daugelyje šiuolaikinių antivirusinių paketų yra specialus programinės įrangos modulis, vadinamas euristinis analizatorius, kuris gali ištirti failų turinį, ar nėra kompiuteriniams virusams būdingo kodo. Tai leidžia laiku aptikti ir įspėti apie užsikrėtimo nauju virusu pavojų.
Yra šių tipų antivirusinės programos:
1)detektorių programos: skirtas aptikti vienu iš žinomų virusų užkrėstus failus. Kai kurios aptikimo programos taip pat gali apdoroti failus nuo virusų arba sunaikinti užkrėstus failus. Yra specializuoti, tai yra detektoriai, skirti susidoroti su vienu virusu ir polifagai, kuris gali kovoti su daugeliu virusų;
2) gydytojų programos: skirtas užkrėstiems diskams ir programoms dezinfekuoti. Programos gydymas susideda iš viruso kūno pašalinimo iš užkrėstos programos. Jie taip pat gali būti ir polifagai, ir specializuoti;
3) auditorių programas: skirtas aptikti failų užkrėtimą virusais, taip pat surasti sugadintus failus. Šios programos įsimena duomenis apie programos būseną ir įprastos būklės diskų sistemos sritis (prieš užkrėtimą) ir lygina šiuos duomenis kompiuterio veikimo metu. Jei duomenys nesutampa, rodomas pranešimas apie užsikrėtimo galimybę;
4) medicinos ekspertai: skirtas aptikti failų ir diskų sistemos sričių pokyčius ir, jei yra pakeitimų, grąžinti juos į pradinę būseną.
5) filtravimo programas: skirtas perimti skambučius į operacinę sistemą, kuriuos virusai naudoja reprodukcijai, ir informuoti apie tai vartotoją. Vartotojas gali įjungti arba išjungti atitinkamą operaciją. Tokios programos yra nuolatinės, tai yra, jos yra kompiuterio RAM.
6) vakcinų programos: naudojamas failams ir įkrovos sektoriams apdoroti, siekiant apsisaugoti nuo užkrėtimo žinomais virusais (šis metodas pastaruoju metu naudojamas vis dažniau).
Reikia pastebėti, kad vienos „geriausios“ antivirusinės programos pasirinkimas yra itin klaidingas sprendimas. Rekomenduojama vienu metu naudoti kelis skirtingus antivirusinius paketus. Renkantis antivirusinę programą, reikėtų atkreipti dėmesį į tokį parametrą kaip atpažįstamų parašų skaičius (simbolių seka, kuri garantuotai atpažins virusą). Antrasis parametras yra nežinomų virusų euristinio analizatoriaus buvimas, jo buvimas yra labai naudingas, tačiau jis žymiai sulėtina programą.
Kontroliniai klausimai
Kas yra kompiuterinis virusas?
Kaip virusas užkrečia kompiuterį?
Kaip veikia kompiuteriniai virusai?
Kokius kompiuterinių virusų infekcijos šaltinius žinote?
Pagal kokius požymius galima nustatyti užsikrėtimo kompiuteriniu virusu faktą?
Kokius virusų tipus žinote? Kokius destruktyvius veiksmus jie atlieka?
Kokių priemonių imamasi siekiant užkirsti kelią kompiuterinių virusų užkrėtimui?
Kas yra antivirusinė programa? Kokių rūšių antivirusines žinai?
Kas yra euristinis analizatorius? Kokias funkcijas jis atlieka?
Kompiuteriniai virusai- specialios programos, kurias kuria užpuolikai, norėdami gauti naudos. Jų veikimo principas gali būti skirtingas: jie arba pavagia informaciją, arba skatina vartotoją atlikti kokius nors veiksmus užpuolikų labui, pavyzdžiui, papildyti sąskaitą ar siųsti pinigus.
Šiandien yra daug įvairių virusų. Pagrindiniai iš jų bus aptarti šiame straipsnyje.
Dabar jų yra kelios dešimtys tūkstančių. kompiuteriniai virusai.
Priklausomai nuo buveinės, virusai skirstomi į įkrovą, failą, sistemą, tinklą, failų įkrovą.
Įkrovos virusai yra įterpti į disko įkrovos sektorių arba sektorių, kuriame yra sistemos disko įkrovos programa.
Failų virusai yra daugiausia įterpti į .COM ir .EXE vykdomuosius failus.
Sisteminiai virusaiįsiskverbti į sistemos modulius ir periferinių įrenginių tvarkykles, failų paskirstymo lenteles ir skaidinių lenteles.
SU tinklą virusai gyvena kompiuterių tinkluose; f „Ail-bootable“ (daugiafunkcis) atakuoti diskų ir taikomųjų programų failų įkrovos sektorius.
Virusai skirstomi į nuolatinius ir nerezidentus pagal tai, kaip jie užkrečia aplinką.
Rezidentų virusai užkrėsdami kompiuterį, jie palieka savo nuolatinę dalį RAM, kuri vėliau perima operacinės sistemos skambučius į kitus infekcijos objektus, įsiskverbia į juos ir atlieka savo destruktyvius veiksmus iki kompiuterio išjungimo ar perkrovimo. Nerezidentų virusai neužkrėskite kompiuterio RAM yra aktyvūs ribotą laiką.
Virusų kūrimo algoritminė ypatybė turi įtakos jų pasireiškimui ir veikimui. Taigi, replikatorių programos dėl greito atkūrimo sukelia pagrindinės atminties perpildymą, o replikatorių programų sunaikinimas tampa sunkesnis, jei atkuriamos programos nėra tikslios originalo kopijos. Dažnas kompiuterių tinkluose programas-"kirminų". Jie skaičiuoja tinklo kompiuterių adresus ir šiais adresais siunčia savo kopijas, palaikydami ryšį vienas su kitu. Tuo atveju, jei "kirminas" bet kuriame kompiuteryje nustotų egzistuoti, likusieji ieško nemokamo kompiuterio ir įveda tą patį. programuoti į jį.
"Trojos arklys„yra programa, kuri, užmaskuota kaip naudinga programa, atlieka papildomas funkcijas, apie kurias vartotojas net nežino (pavyzdžiui, renka informaciją apie vardus ir slaptažodžius, įrašydama juos į specialų failą, prieinamą tik šio viruso kūrėjui), arba sunaikina failų sistemą.
logikos bomba yra programa, kuri yra integruota į didelį programinės įrangos paketą. Jis nekenksmingas tol, kol neįvyksta tam tikras įvykis, po kurio įgyvendinamas jo loginis mechanizmas. Pavyzdžiui, tokia virusinė programa pradeda veikti po tam tikro taikomųjų programų skaičiaus, kompleksinė; esant arba nesant tam tikram failui ar bylos įrašui ir pan.
mutantinės programos, savarankiškai atgaminti, atkurti kopijas, kurios aiškiai skiriasi nuo originalo.
Nematomi virusai, arba slapti virusai perima operacinės sistemos iškvietimus į paveiktus failus ir disko sektorius ir vietoj to pakeičia neužkrėstus objektus. Prieidami prie failų tokie virusai naudoja gana originalius algoritmus, leidžiančius „apgauti“ reziduojančius antivirusinius monitorius.
Makro virusai naudoti makrokalbų, integruotų biuro duomenų apdorojimo programose (teksto redaktoriuose, skaičiuoklėse ir kt.), galimybes.
Pagal poveikio kompiuterinių sistemų ir tinklų ištekliams laipsnį ar naikinamąsias galimybes išskiriami nekenksmingi, nepavojingi, pavojingi ir destruktyvūs virusai.
Nekenksmingi virusai neturi niokojančios įtakos kompiuterio darbui, tačiau gali perkrauti RAM dėl jų atkūrimo.
Nepavojingi virusai nenaikinti failų, o sumažinti laisvą vietą diske, rodyti grafinius efektus, kurti garso efektus ir pan. Pavojingi virusai dažnai sukelia įvairius rimtus kompiuterio pažeidimus; destruktyvus - dėl informacijos ištrynimo, visiško ar dalinio taikomųjų programų veikimo sutrikimo. Atminkite, kad bet koks failas, galintis įkelti ir vykdyti programos kodą, yra potenciali vieta virusui įsiskverbti.
Bet kuris asmuo, dirbantis su kompiuteriais, neabejotinai daug kartų susidūrė su sąvokomis „virusas“, „trojos arklys“, „Trojos arklys“ ir panašiai, anksčiau, net ir prieškompiuterinėje eroje, naudota tik biomedicinos ir istorijos tyrimams. Šie žodžiai reiškia tam tikras programas, kurios dažnai naudojamos nepatyrusiems vartotojams išgąsdinti, apibūdinant jų nenugalimą jėgą, galinčią sunaikinti viską kompiuteryje, iki mechaninio standžiojo disko konstrukcijos.
Kompiuterinis virusas yra kenkėjiška kompiuterio programa, kurioje yra kodo dalis, kuri paleidžiama kompiuterio sistemoje paleidus virusą. Veikdamas virusas savo kopijomis užkrečia kitas programas.
Viruso poveikis gali svyruoti nuo lengvo vartotojo susierzinimo iki visiško visų sistemos duomenų sunaikinimo. Tačiau kai kurie virusai gali daugintis ir išplisti į kitas sistemas. Dėl to sunku lokalizuoti virusus ir apsisaugoti nuo jų. Norint parašyti paprastą virusą, pakanka įvesti kelias kodo eilutes.
Virusai gali būti perduodami ryšio linijomis arba platinti užkrėstoje laikmenoje. Dėl to sunku nustatyti viruso kūrėjo vietą. Kai kurie virusai gali pasislėpti kitose programose arba įsiskverbti į jūsų kompiuterio operacinę sistemą.
Atsparus virusų atakoms visos kompiuterių operacinės sistemos tačiau vieni yra labiau pažeidžiami nei kiti. Virusai dažnai slepiasi naujas kompiuterinis žaidimas, kurį galite atsisiųsti internetu. Be to, virusų galima rasti makrokomandas naudojamas biure Informacinės sistemos, arba iš interneto įkeltų tinklalapių komponentuose. Virusų patekimo į kompiuterius būdai yra skirtingi, tačiau jie turi vieną bendrą bruožą – virusai patenka į kompiuterių sistemas. tik iš išorinių šaltinių.
Kai virusas patenka į sistemą, jis gali iš karto pradėti savo destruktyvią veiklą arba virusas gali laukti, kol jį suaktyvins koks nors įvykis, pvz., tam tikrų duomenų gavimas arba tam tikros datos ar laiko atėjimas. žinomas kelių skirtingų virusų formų kurie gali įsiveržti į kompiuterių sistemą.
Trojos arklys yra kompiuterio programa, kuri yra užmaskuota arba paslėpta programos dalyje. Skirtingai nuo kitų virusų, Trojos arklys sistemoje nesikartoja. Kai kurios Trojos arklių formos gali būti užprogramuotos taip, kad sunaikintų save ir nepaliktų jokių kitų pėdsakų, išskyrus sukeltą sunaikinimą. Kai kurie įsilaužėliai naudoja Trojos arklius, kad gautų slaptažodžius ir grąžintų juos įsilaužėliui. Be to, jie gali būti panaudoti banko sukčiavimui, kai iš teisėtų sąskaitų išimamos nedidelės pinigų sumos ir pervedamos į slaptą sąskaitą.
Kirmėlės yra programos, kurios griauna kompiuterinę sistemą. Jie gali įsiskverbti į duomenų apdorojimo programas ir suklastoti arba sunaikinti duomenis. Kirminai yra kaip Trojos arkliai, nes negali pasikartoti. Tačiau, kaip ir virusai, laiku neaptikti, gali sukelti didelį sunaikinimą. Daug lengviau pašalinti kirminą ar Trojos arklį, jei yra tik viena naikinančios programos kopija.
Logikos bombos panašus į programas, naudojamas Trojos arkliams. Tačiau loginės bombos turi laikmatį, kuris jas susprogdina tam tikra data ir laiku. Pavyzdžiui, virusas Mikelandželas turi gaiduką, skirtą garsaus dailininko Mikelandželo gimtadieniui – kovo 6 d. Logines bombas dažnai naudoja nepatenkinti darbuotojai, kurie gali nustatyti jas aktyvuoti išėjus iš įmonės. Pavyzdžiui, loginė bomba gali sudegti, kai to darbuotojo vardas bus pašalintas iš darbo užmokesčio sąrašo. Dėl įmontuoto vėlinimo mechanizmo loginės bombos aktyviai naudojamos šantažui. Pavyzdžiui, šantažuotojas gali išsiųsti žinutę, kad jei jam bus sumokėta tam tikra pinigų suma, jis pateiks nurodymus išjungti loginę bombą.
Kilmės istorija virusai yra gana migloti, kaip ir jų kūrėjų siekiami tikslai. Kompiuterinėse knygose teigiama, kad pirmasis žinomas virusas buvo programa, įdiegusi visatos modelį, kuriame gyveno tam tikri padarai, galintys judėti, ieškoti ir valgyti maisto, taip pat daugintis ir mirti iš bado. Knygos autorių požiūriu, virusų programos yra grynai mokslinių tyrimų, susijusių su kai kurių dirbtinių organizmų, galinčių savarankiškai egzistuoti, kaip gyvų būtybių, sukūrimo rezultatas. Tai pabrėžia ir tokių tyrimų pagrindu sukurtų programų pavadinimas – virusai, t.y. kažkas gyvo, galinčio daugintis, mutuoti ir išgyventi. Reikia suprasti, kad kompiuterinių virusų kūrėjus siūloma priskirti prie nekenksmingų ekscentrikų, užsiėmusių išskirtinai nuo realaus gyvenimo atskirtomis mokslinėmis problemomis.
Mes nesigilinsime į ginčus šiuo klausimu, pažymėdami tik tai, kad pirmoji programa, kuri tikrai galėjo pretenduoti į virusą, pasirodė m. 1987 m, ir tai buvo Pakistano virusas, kurį sukūrė broliai Amdjat ir Bazit Alvi. Jų tikslas buvo nubausti (!) JAV piliečius už pigių programų kopijų pirkimą Pakistane. Be to, virusų skaičius pradėjo augti lavinos greičiu, o nuostoliai dėl jų pasirodymo kompiuteriuose ėmė siekti milijonus ir šimtus milijonų dolerių. Kompiuterių užkrėtimas įvairaus pobūdžio virusais įgavo epidemijos pobūdį ir reikalavo imtis apsaugos priemonių, įskaitant ir teisines. Apsvarstykite, kaip šios kenkėjiškos būtybės, virusai, patenka į kompiuterių sistemas.
Virusų įsiskverbimo būdai gali būti labai įvairūs. Virusai į jūsų kompiuterinę sistemą patenka iš daugybės skirtingų šaltinių, vykdomųjų programų, kolegų duotų programų ir failų, archyvine forma įsigytos programinės įrangos. Pažvelkime į struktūrą, naudojamą duomenims saugoti diskeliai nustatyti vietas, kurios funkciškai tinka latentiniam virusų egzistavimui. Lankstieji diskai gali saugoti duomenų failus, programas ir operacinės sistemos programinę įrangą. Jie yra labiausiai paplitęs tarpininkas duomenų failams perduoti. Diskelis susideda iš įkrovos sektoriaus ir duomenų. Jei reikia, įkrovos sektorius gali saugoti informaciją, reikalingą kompiuteriui paleisti. Jame taip pat saugoma skaidinio informacija, atsisiuntimų valdymo informacija ir failo vietos informacija. Duomenys yra visa reikšminga informacija, kuri yra saugoma diskelyje. Mėgstamiausia virusų buveinė yra įkrovos sektoriai ir vykdomieji failai, saugomi diskelyje. Įkrovos sektoriuje esantys virusai gali būti paleisti, kai sistema paleidžiama iš diskelio. Virusai, patalpinti į vykdomuosius failus, paleidžiami kartu su užkrėsta programa, o po to pradeda savo veiklą kompiuterinėje sistemoje.
Tos pačios viruso perdavimo galimybės suteikiamos kompaktinių diskų, kurios dabar tapo pagrindine failų ir informacijos perdavimo tarp kompiuterių priemone. Kompaktiniuose diskuose yra dvejetainė skaitmeninė informacija, kuri įrašoma į diską sukuriant mikroskopines duobutes disko paviršiuje. Informacija nuskaitoma, kai per diską praeina lazerio sukurtas šviesos pluoštas. Kompaktiniai diskai yra panašūs į diskelius, nes jie taip pat naudoja įkrovos sektorių ir duomenų struktūrą duomenims saugoti.
Internetas vartotojams suteikė naujų prisijungimo galimybių, kurios padidina virusų apsaugos pažeidimų galimybę. Žiniatinklio technologijos, pvz., skirtos Java ir ActiveX programėlėms kurti, palengvina vartotojų bendravimą internetu, tačiau, kita vertus, yra patogi priemonė kenkėjiškai programinei įrangai platinti. Kompiuteryje įdiegtos darbo vietos vartotojai savo užduotims atlikti naudoja programinę įrangą ir duomenų failus. Visa ši informacija, įskaitant operacinę sistemą, yra saugoma kompiuterio standžiajame diske. Kita nuolatinė informacijos, reikalingos kompiuteriui veikti, saugojimo vieta yra nepastovi CMOS atmintis, kurioje saugoma pagrindinė kompiuterio įvesties/išvesties sistema (BIOS); Kai sistema paleidžiama, naudojamos BIOS procedūros, todėl jų užkrėtimas yra rimtas pavojus, nepaisant mažo CMOS dydžio. Taigi, kompiuteryje yra dvi pagrindinės vietos, kuriose galima nuolat kaupti ir atnaujinti informaciją – kietasis diskas ir CMOS atmintis. Šie kompiuterinės sistemos komponentai yra ta vieta, kur virusai dažniausiai patenka užkrėsdami kompiuterį. Mėgstamiausia virusų buveinė yra kietasis diskas. HDD susideda iš šių elementų. Skirsnių lentelė, naudojama disko skaidiniams ir struktūrai sekti Pagrindinis įkrovos įrašas, nurodantis, ar diskas gali paleisti, ar ne. Įkrovos sektorius, kuris sistemos įkrovikliui nurodo, kur ieškoti pirmojo failo, reikalingo operacinei sistemai paleisti. . Pirmoje FAT lentelėje yra įrašas, nurodantis, kaip visi kiti įrašai yra susiję duomenims saugoti skirtame disko srityje. . Antroji FAT lentelė, kuri yra pirmosios FAT lentelės atsarginė kopija, jei pirmoji lentelė būtų pažeista. . Diagnostinis cilindras, naudojamas aparatinės ar programinės įrangos gedimams nustatyti arba problemoms išskirti. Jis pasiekiamas tik pačiame standžiajame diske vidinėms užduotims atlikti. Dažniausiai virusai slepiasi įkrovos sektoriuose, o tai leidžia jiems paveikti sistemos įkrovą (žr. kitą skyrių). Kita mėgstamiausia vieta yra vykdomieji failai. Vykdomieji failai apima šiuos elementus. Antraštė, informuojanti operacinę sistemą apie šio failo tipą ir ar jis skirtas dirbti su esama operacine sistema. Be to, antraštėje pateikiama ir kita informacija, kurios gali prireikti operacinei sistemai, pavyzdžiui, kiek atminties reikia norint atidaryti failą.Antraštė užima tam tikrą sritį, kuri gali atskirti skirtingas failo dalis. Poraštė, informuojanti kompiuterio operacinę sistemą, kad pasiektas failo pabaiga. Be to, ji informuoja kompiuterį, ką jis turėtų daryti, kai pasiekia failo pabaigą. Failas gali būti užpildytas nereikšminga informacija, kad į diską įrašyti duomenys užpildytų tam tikrą vietą. Vykdomosios programos priede nėra jokios informacijos. Pavyzdžiui, vykdomasis failas, kuriame yra 500 baitų kodo, gali būti įrašytas į 512 baitų bloką su 12 baitų užpildu. Užkrėsdamas vykdomąjį failą, virusas pakeičia programos vykdomąjį kodą savo kodu. Paleidus programą, viruso kodas yra vykdomas, atliekant įvairius veiksmus, o ne tuos, kuriuos turėtų atlikti programa. Viruso buveinė yra tiesiogiai susijusi su jo veikimu (kaip ir tikrų gyvų virusų). Virusų atakos netgi gali būti klasifikuojamos pagal jų vietą kompiuteryje.
Yra trys pagrindiniai virusų atakų tipai.
Įkrovos sektoriaus virusai užkrėsti kompiuterio sistemos įkrovos sektorių arba pagrindinį įkrovos įrašą. Kai kompiuteris paleidžiamas, suaktyvinama virusų programa. Įkrovos sektoriaus virusai pirmiausia perkelia arba perrašo pradinį įkrovos kodą ir pakeičia jį užkrėstu įkrovos kodu. Pradinio įkrovos sektoriaus informacija perkeliama į kitą disko sektorių, kuris pažymėtas kaip blogas disko sritis ir toliau nenaudojamas. Kadangi įkrovos sektorius yra pirmasis elementas, įkeliamas paleidus kompiuterį, aptikti įkrovos sektoriaus virusus gali būti sudėtinga. Įkrovos sektoriaus virusai yra vienas iš populiariausių virusų tipų. Jie gali išplisti naudojant užkrėstus diskelius, kai kompiuteris paleidžiamas. Tai gali lengvai atsitikti, jei iš naujo paleisite kompiuterį į diską įdėjus diskelį.
Virusai, užkrečiantys failus, užkrėsti vykdomuosius failus. Juos galima suaktyvinti tik paleidus failą. Dažniausiai paveikti failai yra COM, EXE, DLL, DRV, BIN, SYS ir VXD. Virusai, užkrečiantys failus, gali tapti nuolatiniais ir prisijungti prie kitų vykdomųjų programų. Virusai, užkrečiantys failus, paprastai pakeičia vykdomojo failo programos įkėlimo instrukcijas savo instrukcijomis. Tada jie perkelia pradinę programos įkėlimo instrukciją į kitą failo skyrių. Šis procesas padidina failo dydį, o tai gali padėti aptikti virusus.
Virusai, pagrįsti makrokomandomis ( makro virusai) atlikti nenumatytus veiksmus, naudodami programos makrokomandos kalbą, kad ją skleistų kituose dokumentuose. Pavyzdžiui, jie gali užkrėsti Microsoft Word .DOT ir .DOC failus bei Microsoft Excel failus.
Šie virusai yra kelių platformų virusus ir gali užkrėsti tiek Macintosh, tiek asmenines sistemas.
Kiti virusai gali turėti vieno ar kelių aukščiau aprašytų tipų savybių.
* Nematomi virusai (slengo terminas – „slaptieji virusai“) dirbdami stengiasi pasislėpti tiek nuo operacinės sistemos, tiek nuo antivirusinių programų. Norint perimti visus bandymus naudoti operacinę sistemą, virusas turi būti atmintyje. Slapti virusai gali paslėpti bet kokius failų dydžio, katalogų struktūros ar kitų operacinės sistemos dalių pakeitimus. Tai labai apsunkina jų aptikimą. Norint užblokuoti slaptus virusus, jie turi būti aptikti, kol jie yra atmintyje.
* Šifruoti virusai veikimo metu užšifruoja savo viruso kodą, o tai leidžia užkirsti kelią viruso aptikimui ir atpažinimui.
* Polimorfiniai virusai gali keisti savo išvaizdą su kiekviena infekcija. Norėdami pakeisti išvaizdą ir apsunkinti aptikimą, jie naudoja mutacijų mechanizmus. Polimorfiniai virusai gali įgauti daugiau nei du milijardus skirtingų formų, nes šifravimo algoritmas keičiasi su kiekviena infekcija. Daugiakomponentiniai virusai užkrečia ir įkrovos sektorius, ir vykdomuosius failus. Tai vienas iš sunkiausiai aptinkamų virusų, nes daugiakomponentiniai virusai gali derinti kai kuriuos arba visus slaptus ir polimorfinius virusų slėpimo būdus.
* Neseniai pasirodę savaime atsinaujinantys virusai, galintys slapta atnaujinti per internetą komunikacijos seansų metu.
* Neįprastų sistemos pranešimų atsiradimas.
* Dingsta failai arba didėja jų dydis.
* Sistemos sulėtėjimas.
* Staigus vietos diske trūkumas.
* Diskas tampa nepasiekiamas.
Antivirusinės programos Svarbus apsaugos nuo virusų būdas yra antivirusinių programų diegimas. Antivirusinė programa turi atlikti tris pagrindines užduotis.
* Virusų aptikimas.
* Virusų šalinimas.
* Profilaktinė apsauga.
* Skaitmeninio parašo nuskaitymas naudojamas unikaliam skaitmeniniam viruso kodui nustatyti. Skaitmeninis parašas yra iš anksto įdiegtas šešioliktainis kodas, kurio buvimas faile rodo viruso infekciją. Skaitmeninio parašo nuskaitymas yra labai sėkmingas virusų identifikavimo metodas. Tačiau tai visiškai priklauso nuo duomenų bazės su skaitmeniniais virusų parašais ir nuskaitymo variklio sudėtingumo palaikymo. Nepažeistame faile galima klaidingai aptikti virusą.
* Euristinė analizė (arba taisyklėmis pagrįstas nuskaitymas) yra greitesnis nei nuskaitymas daugeliu tradicinių metodų. Šis metodas naudoja taisyklių rinkinį, leidžiantį efektyviai analizuoti failus ir greitai aptikti įtartiną viruso kodą. Kaip minėta, visi euristiniai metodai viena ar kita forma imituoja viruso kodo vykdymą. Todėl, turėdamas tam tikrą patirtį, virusų kūrėjas gali apsaugoti savo „produktą“ nuo aptikimo euristine analize. Euristinė analizė yra linkusi į klaidingus pavojaus signalus ir, deja, priklauso nuo virusų aptikimo taisyklių, kurios nuolat keičiasi, teisingumo.
* Atminties tikrinimas yra dar vienas sėkmingai naudojamas metodas virusams aptikti. Tai priklauso nuo žinomų virusų ir jų kodų buvimo vietos atpažinimo, kai jie yra atmintyje. Ir nors atminties tyrimas dažniausiai būna sėkmingas, naudojant šį metodą gali prireikti didelių kompiuterio resursų. Be to, tai gali trukdyti normaliai kompiuterio operacijų eigai.
* Pertraukimų stebėjimas veikia izoliuojant ir užkertant kelią virusų atakoms, kurios naudoja pertraukimo skambučius. Pertraukimo skambučiai yra užklausos dėl įvairių funkcijų per sistemos pertraukimus. Pertraukimų stebėjimas, kaip ir atminties tikrinimas, taip pat gali eikvoti didelius sistemos išteklius. Tai gali sukelti problemų dėl teisėtų sistemos skambučių ir sulėtinti sistemą. Dėl didelio virusų skaičiaus ir teisėtų sistemos iškvietimų, pertraukimų stebėjimui gali būti sunku atskirti virusus.
* Vientisumo patikrinimas (taip pat žinomas kaip kontrolinės sumos skaičiavimas) apžvelgia programos failų charakteristikas ir nustato, ar jie nebuvo modifikuoti viruso kodu. Šis metodas nereikalauja programinės įrangos naujinimų, nes jis nepriklauso nuo skaitmeninių virusų parašų. Tačiau tam reikia turėti failų kontrolinės sumos duomenų bazę be virusų. Integrity Control negali aptikti pasyvių ir aktyvių slaptų virusų. Be to, ji negali identifikuoti aptiktų virusų pagal pavadinimą ar tipą. Jei antivirusinė programa yra nuolatinė, ji nuolat stebi virusus. Tai yra tradicinė failų serverių saugos priemonė, nes kiekvienas failas turi būti patikrintas, kai jis naudojamas. Nuolatinis stebėjimas gali būti netinkamas kliento įrenginiui, nes gali būti apdorojama per daug informacijos, o tai sulėtina kompiuterio darbą. Kliento kompiuteryje pageidautina sukonfigūruoti antivirusinę programą, kad ji veiktų tam tikru laiku. Pavyzdžiui, jis gali veikti, kai kompiuteris paleidžiamas arba iš diskelio nuskaitomas naujas failas. Kai kurie paketai (įskaitant toliau aprašytus Norton AntiVirus ir MacAfee VirusScan) naudoja techniką, vadinamą suplanuotu nuskaitymu, kad nustatytu laiku nuskaitytų kietąjį diską, ar nėra virusų. Kitas būdas yra naudoti antivirusinę programą, kol kompiuteris neveikia. Pavyzdžiui, jis gali būti naudojamas kaip ekrano užsklandos programos dalis.
1. Programos – detektoriai aptinka failus, užkrėstus vienu iš žinomų virusų, tokios programos gryna forma šiuo metu yra retos.
2. Fagai ar programos – gydytojai, taip pat programos – vakcinos ne tik suranda virusais užkrėstus failus, bet ir juos „gydo“, t.y. pašalinti virusinės programos turinį iš failo, atkuriant programos būseną, buvusią prieš viruso užkrėtimą. Savo darbo pradžioje fagai ieško virusų RAM atmintyje, juos sunaikina ir tik tada pereina prie failų „gydymo“. Polifagai - sunaikina daugybę virusų. „Aidstest“, „Scan“, „Norton AntiVirus“, „Doctor Web“.
3. Programos-auditoriai yra vienos patikimiausių apsaugos nuo virusų priemonių. Auditoriai prisimena pradinė būsena programas, kai kompiuteris dar nėra užkrėstas virusu, ir tada periodiškai palyginkite esamą failo būseną su originalo. Jei aptinkami pakeitimai, ekrane rodomi pranešimai. ADinf.
4. Programos – filtrai arba „sargybiniai“ – nedidelės nuolatinės kompiuterio atmintyje esančios programos. Jie stebi kompiuterio operacijas ir aptinka įtartiną kompiuterio veiklą, būdingą virusams. Bet kuriai programai bandant atlikti nurodytus veiksmus, „sargas“ išsiunčia pranešimą, o vartotojas gali uždrausti arba leisti atlikti atitinkamą operaciją. Filtravimo programos leidžia aptikti virusą ankstyvoje jo egzistavimo stadijoje, tačiau jos „neišgydo“ failų ir diskų.
