Эвристические методы анализа. Запись антивирусных программ на системную дискету. Не знакомьтесь с незнакомыми людьми

Эвристический анализ

Слово "эвристика" происходит от греческого глагола "находить". Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок. Поскольку такое определение звучит достаточно сложно и непонятно, проще объяснить на примерах различных эвристических методов

Поиск вирусов, похожих на известные

Если сигнатурный метод основан на выделении характерных признаков вируса и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Постфактум такое предположение оправдывается наличием в антивирусных базах сигнатур для определения не одного, а сразу нескольких вирусов. Основанный на таком предположении эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

Положительным эффектом от использования этого метода является возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры. Отрицательные стороны:

Вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист - такие события называются ложными срабатываниями

Невозможность лечения - и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо

Низкая эффективность - против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден

Поиск вирусов, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как, например:

Удаление файла

Запись в файл

Запись в определенные области системного реестра

Открытие порта на прослушивание

Перехват данных вводимых с клавиатуры

Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа по меньшей мере подозрительна. Основанный на этом принципе эвристический анализатор должен постоянно следить за действиями, которые выполняют программы.

Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные. Например, новая вредоносная программа может использовать для проникновения на компьютер новую уязвимость, но после этого начинает выполнять уже привычные вредоносные действия. Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Отрицательные черты те же, что и раньше:

Ложные срабатывания

Невозможность лечения

Невысокая эффективность

Дополнительные средства

Практически любой антивирус сегодня использует все известные методы обнаружения вирусов. Но одних средств обнаружения мало для успешной работы антивируса, для того, чтобы чисто антивирусные средства были эффективными, нужны дополнительные модули, выполняющие вспомогательные функции.

Модуль обновления

В первую очередь, каждый антивирус должен содержать модуль обновления. Это связано с тем, что основным методом обнаружения вирусов сегодня является сигнатурный анализ, который полагается на использование антивирусной базы. Для того чтобы сигнатурный анализ эффективно справлялся с самыми последними вирусами, антивирусные эксперты постоянно анализируют образцы новых вирусов и выпускают для них сигнатуры. После этого главной проблемой становится доставка сигнатур на компьютеры всех пользователей, использующих соответствующую антивирусную программу.

Именно эту задачу и решает модуль обновления. После того, как эксперты создают новые сигнатуры, файлы с сигнатурами размещаются на серверах компании - производителя антивируса и становятся доступными для загрузки. Модуль обновления обращается к этим серверам, определяет наличие новых файлов, загружает их на компьютер пользователя и дает команду антивирусным модулям использовать новые файлы сигнатур.

Модули обновления разных антивирусов весьма похожи друг на друга и отличаются типами серверов, с которых они могут загружать файлы обновлений, а точнее, типами протоколов, которые они могут использовать при загрузке - HTTP, FTP, протоколы локальных Windows-сетей. Некоторые антивирусные компании создают специальные протоколы для загрузки своих обновлений антивирусной базы. В таком случае модуль обновления может использовать и этот специальный протокол.

Второе, в чем могут отличаться модули обновления - это настройка действий, на случай, если источник обновлений недоступен. Например, в некоторых модулях обновления можно указать не один адрес сервера с обновлениями, а адреса нескольких серверов, и модуль обновления будет обращаться к ним по очереди, пока не обнаружит работающий сервер. Или же в модуле обновления может быть настройка - повторять попытки обновления с заданным интервалом определенное количество раз или же до тех пор, пока сервер не станет доступным. Эти две настройки могут присутствовать и одновременно.

Модуль планирования

Второй важный вспомогательный модуль - это модуль планирования. Существует ряд действий, которые антивирус должен выполнять регулярно: в частности, проверять весь компьютер на наличие вирусов и обновлять антивирусную базу. Модуль обновления как раз и позволяет настроить периодичность выполнения этих действий.

Для обновления антивирусной базы рекомендуется использовать небольшой интервал - один час или три часа, в зависимости от возможностей канала доступа в Интернет. В настоящее время новые модификации вредоносных программ обнаруживаются постоянно, что вынуждает антивирусные компании выпускать новые файлы сигнатур буквально каждый час. Если пользователь компьютера много времени проводит в Интернете, он подвергает свой компьютер большому риску и поэтому должен обновлять антивирусную базу как можно чаще.

Полную проверку компьютера нужно проводить хотя бы потому, что сначала появляются новые вредоносные программы, а только потом сигнатуры к ним, а значит всегда есть возможность загрузить на компьютер вредоносную программу раньше, чем обновление антивирусных баз. Чтобы обнаружить эти вредоносные программы, компьютер нужно периодически перепроверять. Разумным расписанием для проверки компьютера можно считать раз в неделю.

Исходя из сказанного, основная задача модуля планирования - давать возможность выбрать для каждого действия расписание, которое больше всего подходит именно для этого типа действия. Следовательно модуль обновления должен поддерживать много различных вариантов расписания из которых можно было бы выбирать.

Модуль управления

По мере увеличения количества модулей в антивирусе возникает необходимость в дополнительном модуле для управления и настройки. В простейшем случае - это общий интерфейсный модуль, при помощи которого можно в удобной форме получить доступ к наиболее важным функциям:

Настройке параметров антивирусных модулей

Настройке обновлений

Настройке периодического запуска обновления и проверки

Запуску модулей вручную, по требованию пользователя

Отчетам о проверке

Другим функциям, в зависимости от конкретного антивируса

Основные требования к такому модулю - удобный доступ к настройкам, интуитивная понятность, подробная справочная система, описывающая каждую настройку, возможность защитить настройки от изменений, если за компьютером работает несколько человек. Подобным модулем управления обладают все антивирусы для домашнего использования. Антивирусы для защиты компьютеров в крупных сетях должны обладать несколько иными свойствами.

Уже не раз говорилось, что в большой организации за настройку и правильное функционирование антивирусов отвечают не пользователи компьютеров, а специальные сотрудники. Если компьютеров в организации много, то каждому ответственному за безопасность сотруднику придется постоянно бегать от одного компьютера к другому, проверяя правильность настройки и просматривая историю обнаруженных заражений. Это очень неэффективный подход к обслуживанию системы безопасности.

Поэтому, чтобы упростить работу администраторов антивирусной безопасности, антивирусы, которые используются для защиты больших сетей, оборудованы специальным модулем управления. Основные свойства этого модуля управления:

Поддержка удаленного управления и настройки - администратор безопасности может запускать и останавливать антивирусные модули, а также менять их настройки по сети, не вставая со своего места

Защита настроек от изменений - модуль управления не позволяет локальному пользователю изменять настройки или останавливать антивирус, чтобы пользователь не мог ослабить антивирусную защиту организации

Это далеко не все требования к управлению антивирусной защитой в крупной организации, а только основные принципы. Подробнее об особенностях антивирусной защиты сетей и требованиях к модулям управления будет рассказано позже в соответствующем разделе.

Карантин

Среди прочих вспомогательных средств во многих антивирусах есть специальные технологии, которые защищают от возможной потери данных в результате действий антивируса.

Например, легко представить ситуацию, при которой файл детектируется как возможно зараженный эвристическим анализатором и удаляется согласно настройкам антивируса. Однако эвристический анализатор никогда не дает стопроцентной гарантии того, что файл действительно заражен, а значит с определенной вероятностью антивирус мог удалить незараженный файл.

Или же антивирус обнаруживает важный документ зараженный вирусом и пытается согласно настройкам выполнить лечение, но по каким-то причинам происходит сбой и вместе с вылеченным вирусом теряется важная информация.

Разумеется, от таких случаев желательно застраховаться. Проще всего это сделать, если перед лечением или удалением файлов сохранить их резервные копии, тогда если окажется, что файл был удален ошибочно или была потеряна важная информация, всегда можно будет выполнить восстановление из резервной копии.

Расчетные методы оперируют только количественно-определенной информацией, использование которой при анализе систем управления весьма ограничено. Для анализа хозяйственной деятельности большое значение имеет использование эвристических методов, направленных на получение качественных характеристик субъекта хозяйствования. Методы эвристики основываются главным образом на опыте и интуиции специалистов, их индивидуальных или коллективных суждениях. Среди эвристических методов можно выделить оценочные и оценочно-поисковые методы анализа (см. рис. 4.2)

Эвристические методы широко излагаются в работах по управлению персоналом, организации управления и организационного поведения.

Условия, предопределяющие необходимость использования эвристических методов, можно охарактеризовать следующим образом:

качественный характер исходной информации, описываемый с помощью экономических и социальных параметров, отсутствие достаточно представительных и достоверных сведений по характеристикам объекта исследования;

большая неопределенность исходных данных для анализа;

отсутствие четкого предметного описания и математической формализации предмета оценки;

недостаток времени и средств для исследования с применением формальных моделей;

отсутствие технических средств с соответствующими характеристиками для аналитического моделирования;

экстремальность анализируемой ситуации.

Эвристические методы анализа представляют собой особую группу приемов сбора и обработки информации, опирающуюся на профессиональное суждение группы специалистов . Эвристические методы часто называют креативными , так как они опираются на творческое мышление группы людей . Залогом надежности и обоснованности выводов анализа при эвристических методах является правильный подбор экспертов. В зависимости от целей и направленности группа экспертов может быть однороднойили включать представителей разных групп связанных специалистов, а иногда и просто заинтересованных лиц.

Например, при формировании группы экспертов для анализа технологических разработок в нее включаются технологи, которые профессионально могут оценить техническую новизну решения, экономисты, оценивающие его эффективность, механики, которые могут дать оценку возможности реализации новой технологии на имеющейся производственной базе, рабочие – исполнители новой технологии.

При оценке качества продукции и спроса на нее в состав группы экспертов включаются не только товароведы, но и производители и потребители продукции. В то же время при разработке какого-то технического решения на первой стадии в состав группы экспертов включаются только специалисты соответствующего профиля.

На практике сложились достаточно сложные методы формирования группы экспертов:

по формальным критериям, когда учитываются специальность, стаж работы, длительность пребывания в одном коллективе; сюда же относятся психологические оценки личности по данным социологической службы организации (если таковые имеются), например, способность к творческому мышлению, конструктивность мышления и т.п.;

на основе самооценки личности, полученной при анкетировании, в этом случае сам будущий эксперт оценивает свои возможности, включая квалификацию, аналитичность и конструктивность мышления, способность адаптироваться к определенным ситуациям и т.п.; такой отбор экспертов дополняется определением уровня самооценки будущего эксперта - заниженная, завышенная или адекватная, что проводится при специальном психологическом отборе экспертов;

на основе оценки лиц, связанных с претендентом, когда профессиональные и личностные качества специалиста оцениваются специалистами аналогичного профиля, потребителями услуг, работниками, реализующими решения эксперта;

методом случайного отбора (выборки), если в качестве экспертов может выступать множество лиц (например, потребителей продукции и услуг).

Достаточно часто при анализе деятельности хозяйствующего субъекта в состав группы экспертов входят руководители разных уровней и работники. Например, так формируется группа экспертов при выборе стратегии развития производства, изменении системы стимулирования, реформировании систем учета и отчетности, перестройке организационных структур.

Таким образом, при отборе экспертов широко используются как формальные, так и психологические методы отбора. В этой связи эвристические методы часто называют психологическими.

Метод типологии основывается на ставшей популярной теории позиционирования. Основная идея этой теории заключается в существовании готовой, единой для всех картины стандартных ситуаций и решений. Задача аналитика состоит в выборе позиции, соответствующей объекту анализа по определенным параметрам, и получении стандартного решения, предлагаемого разработчиками метода. Практическими приложениями этой теории являются матрицы ЗКГ, Мак-Кензи и др. Технология реализации метода включает такие этапы, как:

Оценка анализируемого объекта по некоторым заданным параметрам;

Позиционирование объекта в типологической схеме в соответствии со значениями параметров;

При построении типологической схемы можно использовать два параметра и более. Параметры могут отражать как простые свойства, так и комплексные. Примером комплексного свойства служит перспективность рынка, характеризуемая размерами, темпом роста, уровнем удовлетворения потребностей пользователей, конкуренцией, уровнем цен, доходностью и т.д. Как видно из приведенного примера, параметры могут иметь как количественную, так и качественную оценку. Позиционирование анализируемого объекта (объектов) на типологической сетке возможно в виде той или иной отметины (точек, окружностей и т.д.).

При наличии разработок в конкретных областях использование типологических сеток позволяет определить тип анализируемого объекта и воспользоваться готовыми рекомендациями по его совершенствованию. Однако с методом типологии необходимо быть крайне осторожным. Нужно иметь в виду, что универсальные «рецепты» достаточно соблазнительны своей простатой, контрастирующей с решением творческих задач, но польза от применения полученных рекомендаций весьма ограничена. Лучше знать, как выявить и решить проблемы, чем верить в готовые рецепты успеха. По мнению автора, лишь в сочетании с другими приемами оценки метод типологии позволяет охарактеризовать ситуацию и найти приемлемые варианты прогнозных управленческих решений.

Метод репертуарных решеток основывается на построении таблицы сложной структуры (табл. 4.5), называемой «репертуарная решетка».

Таблица 4.5

Пример структуры репертуарной решетки при решении кадровых проблем

(«Вакансия»)

Применение этого метода осуществляется следующим образом:

Выделяются объекты анализа (в качестве таковых могут выступать работники, понятия, отношения и т.д.);

Указываются названия объектов в зоне А;

Проставляются в зоне Б все варианты потриадного сопоставления объектов с помощью принятых условных обозначений;

Устанавливаются по каждой строке зоны Б потриадные сходство и различие объектов и записываются их значения в зонах В и Г;

Выявляются принципиальные критерии оценки объектов анализа на основе содержания зон В и Г и указываются в зоне Д; /

Записываются по каждому критерию по всем объектам анализа значения индивидуальных рангов оценки (от 1 до N) в зоне Е;

Подсчитываются и указываются в зоне Ж значения суммарных рангов по каждому объекту анализа;

Ранжируются объекты в соответствии со значениями суммарных рангов и записывается результат в зоне З.

Метод репертуарных решеток ценен тем, что позволяет определить важнейшие критерии оценки вариантов аналитических решений в ситуациях, когда эти критерии изначально не очевидны. Четкое осознание критериев дает возможность на основе целевого метода оценки сравнить варианты и, используя метод ранжирования, установить их приоритетность.

Метод экспертной оценки опирается на выявление обобщенной оценки экспертной группой путем статистической обработки индивидуальных, независимых оценок, вынесенных экспертами. Члены группы в этом случае могут быть равноценными или иметь разный ранг, учитываемый при выведении результатов экспертизы.

При наборе экспертов следует руководствоваться такими требованиями, как:

высокий уровень общей эрудиции,

обладание специальными знаниями в анализируемой области;

наличие определенного практического и (или) исследовательского опыта по рассматриваемой проблеме;

способность к адекватной оценке тенденций развития исследуемого объекта;

отсутствие предвзятости, заинтересованности в конкретном результате оценки.

Благоприятные условия для работы экспертов создаются в результате предварительного инструктирования, обучения методике исследования, предоставления дополнительной информации об объекте анализа.

Метод экспертной комиссии основан на выявлении единого коллективного мнения специально подобранными экспертами при обсуждении поставленной проблемы и альтернатив ее решения в результате определенных компромиссов.

При использовании метода экспертной комиссии осуществляется не только статистическая обработка результатов индивидуальной балльной оценки всех экспертов, но и обмен мнениями по результатам экспертизы и уточнение оценок. Недостаток такой процедуры состоит в сильном влиянии авторитетов на мнение большинства участников экспертизы.

При проведении анкетирования или систематизации формальных данных об эксперте (количество публикаций, патентов, лицензий, цитирование, количество учеников и т.п.) ответы или характеристики оцениваются специально разработанными весовыми коэффициентами компетенции (К к), которые рассчитываются на основе большой самооценки экспертов.

Например,

К i – балльная самооценка знания;

i – проблемы;

n – число поставленных вопросов;

К max – максимальная оценка компетенции по каждой проблеме.

Выводы анализа, полученные на основе эвристических методов, имеют логическое обоснование и могут иметь форму прямой оценки (полезно, вредно, приемлемо, неприемлемо); определения предположений, т.е. выбор первоочередных или наиболее удачных решений (это может быть выявлено через ранжирование предположений, их балльной оценки и т.д.); отбора конкретных мероприятий для конкурентной проработки. Достаточно часто в состав группы экспертов включают профессиональных консультантов, которые являются профессиональными специалистами в анализируемой области.

Одним из решающих условий успешной работы группы экспертов является правильная организация их работы, что может быть обеспечено приглашением специалиста-консультанта по групповым методам работы. На нем, как правило, лежат следующие задачи:

Оценка полноты, качественного состава, психологической совместимости экспертов;

Распределение ролевых функций экспертов;

Организация совместной работы;

Систематизация материалов и формулировка выводов из проведенного анализа.

Одним из наиболее распространенных эвристических методов является метод аналогий , когда группа экспертов рассматривает возможный метод разрешения проблемы или поиск причины сложившейся ситуации, опираясь на прошлый опыт своих или аналогичных субъектов хозяйствования. В этом случае эксперты практически продумывают свой опыт и те ситуации, с которыми им приходилось сталкиваться и, основываясь на нем, предлагают способы решения поставленной задачи, выясняя причины сложившейся ситуации и пути их устранения. Естественно, что в этом случае большим подспорьем может быть использование материалов с описанием аналогичных ситуаций в разные периоды и на разных объектах. Эти материалы могут быть получены из периодических изданий, научной литературы, а также из протоколов собраний учредителей, совета директоров, заседаний отделов и специализированных групп, работающих на предприятии. Значительный интерес представляет знакомство с банком ситуаций, которые проанализированы и обобщены специализированными консультационными фирмами. Такие банки данных созданы во многих консультационных фирмах мира. Следует отметить, что первые шаги создания аналогичных материалов были сделаны в 80-е гг. XX в. на консультационных фирмах СССР. Эта работа продолжается в настоящее время в Ассоциации научных консультантов России и консультационных фирмах.

В том случае, когда эксперты получают материалы ситуаций, складывающихся в других объектах, в их задачу входит отбор тех, которые по принципиальным положениям сходны с решаемой, т.е. оценивается сходство объекта, ситуации, целей, которые преследует анализ. После такого отбора определяется возможность использования опыта по разрешению проблемы о готовности объекта к реализации конкретных мер: состояние производственно-технической базы, квалификация кадров, наличие финансовых ресурсов и возможность их привлечения, период разрешения задачи и т.п. Конечно, метод аналогий позволяет только определить основные направления экономического анализа и на следующих этапах нуждается в более глубоком анализе с использованием количественных методов. Однако предварительное использование такого метода предупреждает неоправданно детальный анализ в том направлении, которое не раскрывает влияние основных причин сложившейся ситуации. Метод аналогий часто называют синектическим методом.

К эвристическим методам относятся методы опроса , или контрольных вопросов . В этом случае заранее отобранной группе экспертов передается вопросник или анкета, которую эксперт заполняет, высказывая свое мнение или давая определенные оценки. Вопросник может быть свободным или формализованным (тестовая форма). Свободный вопросник или анкета, предполагающие свободные ответы эксперта, могут быть достаточно полезными, если речь идет о поиске причин негативных ситуаций или выявляется отношение коллектива к определенным ситуациям, предложениям руководства. Обработка материалов таких вопросников очень сложна, а выводы, полученные на их основе, могут быть достаточно субъективны. Формализованный опросник (тест) предполагает, что эксперт выбирает один из предложенных ответов на поставленный вопрос. Ответ может носить форму «да – нет», выбор силы влияния (слабо, сильно; показатели коэффициента эластичности), периодичность использования (всегда, эпизодически, редко и т.д.). Составление такого вопросника весьма трудоемко и, как правило, требует предварительной проверки в малой группе экспертов. При обработке вопросников необходимо проводить оценку надежности и объективности ответов. Для этого в вопросник часто вводятся взаимозаменяемые и взаимоисключающие варианты вопросов, сопоставление ответов, которое позволяет оценить надежность и искренность ответов.

Наиболее известным методом этого класса является метод «Дельфи» , предполагающий анонимный опрос специально отобранной группы экспертов с последующей аналитической обработкой материалов опроса. Метод «Дельфи» предполагает многошаговый опрос экспертов, т.е. по тем вопросам, которые получают однозначную оценку экспертов, ответ воспринимается сразу. Вопросы, ответы на которые противоречивы, подвергаются дополнительной обработке - детализируются, изменяются формулировки и используются для повторного опроса. В итоге выделяется группа особо дискуссионных вопросов, которые разрешаются другими методами.

В методе «Дельфи» прямые дебаты заменены тщательно разработанной программой последовательных индивидуальных опросов, проводимых в виде анкетирования. Ответы экспертов обобщаются и поступают в распоряжение всех экспертов. Метод позволяет экспертам в каждом туре сопоставлять свое мнение с ответами и доводами коллег. Возможность пересмотра своих прежних оценок на основе соображений коллег стимулирует опрашиваемых к учету факторов, которые изначально были признаны несущественными.

Метод «Дельфи» предполагает использование серии анкет и включает:

опрос экспертов проводится в нескольких турах, в ходе которых ответы могут уточняться;

в каждом туре в анкетах дается количественная оценка определенных параметров объекта;

все опрашиваемые эксперты после каждого тура знакомятся с результатами опроса;

эксперты письменно обосновывают оценки, отклоняющиеся от мнения большинства, предоставляют их в распоряжение всех экспертов;

статистическая обработка анкет осуществляется последовательно от тура к туру с целью получения обобщающих характеристик.

При применении метода «Дельфи» уменьшается влияние таких психологических факторов, как присоединение к мнению большинства, нежелание публично высказывать свое мнение. Недостаток метода состоит в том, что он требует больших затрат времени, чем предыдущие способы оценки.

В процессе использования метода анкетирования эксперты заполняют предварительно составленные специалистами анкеты, в которых:

Формулировки должны исключать смысловую неопределенность;

Должны быть использованы общепринятые термины;

Обеспечено единое и однозначное толкование результатов анкетирования.

По форме анкеты бывают открытые и закрытые. В первом случае ответ эксперта не регламентирован, во втором – он останавливает свой выбор на одном из указанных вариантов ответа. Предложенные экспертами ответы позволяют аналитикам выявлять не только средние, но и преобладающие оценки.

Интервьюирование предполагает проведение устного диалога между интервьюером и респондентом по обсуждаемому предмету. Заранее составленные программы могут уточняться в процессе диалога. Метод эффективен в задачах выбора для сужения интервала рабочих альтернатив, в оценочных задачах при неоднозначных трактовках, больших разбросах мнений экспертов.

К группе методов, использующих критерии оценки, относятся целевая оценка, «паутина», контрольные вопросы, типология и репертуарные решетки.

Сущность целевого метода состоит в оценке объектов анализа по определенным критериям (компонентам целевой системы). При использовании метода целевой оценки:

Выбираются критерии (компоненты целевой системы) оценки альтернатив;

Присваивается всем вариантам решений по каждому критерию ранг предпочтения (порядковый номер приемлемости);

Рассчитывается по каждой альтернативе суммарный ранг по всем критериям;

Осуществляется ранжирование вариантов по суммарному рангу (альтернатива, получившая меньший ранг, является более предпочтительной).

Методом многокритериального сравнения альтернатив является и графический количественно-качественный метод «паутина» . Технология его использования включает девять операций:

1) определяются сравниваемые варианты. Их количество на одной диаграмме не должно превышать 5;

2) наносятся две окружности (одна в другой); для ориентации предпочтительно отметить зоны, «хорошо», «плохо»;

3) выявляются критерии оценки вариантов. Их число может быть от 5 до 12;

4) наносятся на окружностях столько радиусов (сектора окружности должны быть равными), сколько выбрано критериев;

5) закрепляется каждый радиус за определенным критерием; критерии могут быть как количественные, так и качественные;

6) наносится на каждый радиус своя шкала для измерения значений критериев;

7) делаются на радиусах различные пометки, соответствующие оценкам сравниваемых вариантов;

8) объединяются одинаковые пометки, соответствующие оценкам критериев по каждому варианту решения.

9) критерием предпочтения вариантов является площадь, отведенная альтернативе. Лучшим будет вариант с большей площадью, если внешняя окружность имеет пометку «хорошо», или меньшей площадью - в противном случае.

Метод «паутина» может использоваться во всех случаях, когда оценку объектов анализа целесообразно осуществлять по разнообразным количественным и качественным признакам. Основное достоинство метода - визуализация результатов анализа, что особо ценно при представлении материалов исследования не узким специалистам, а руководителям.

Метод контрольных вопросов предполагает использование документа табличной формы, содержащего в каждой строке вопрос (параметр) и варианты ответов (значения параметров) по определенному аспекту анализа.

Аналитик, отвечая на поставленные вопросы, должен делать пометку в графе, соответствующей его заключению. Таблица, как правило, строится таким образом, что пометки в колонках слева демонстрируют слабые стороны объекта исследования, а в колонках справа – сильные стороны или особые возможности. Регулярное использование таких таблиц создает базу для определения тенденций изменения предмета анализа во времени, позволяет сравнивать его положение в отношении других объектов анализа.

Благодаря наличию вопросников значительно сокращается время, необходимое для проведения анализа, уменьшается зависимость его результатов от уровня квалификации аналитика. Получение при использовании этого метода более корректных результатов, чем при балльной экспертной оценке, объясняется следующими обстоятельствами. Эксперт в пределах данного метода вместо назначения баллов выбирает утверждение, наиболее четко характеризующее объект оценки. Ответы могут быть представлены количественными данными, отражающими, например, возраст работника, или характеризовать тенденцию изменения какого-либо параметра (рост, падение), давать оценку («отлично», «удовлетворительно» и т.д.).

Выбор путем сравнения, как правило, точнее прямого измерения, когда в конкретной ситуации у каждого эксперта свое понятие оптимального состояния оцениваемых параметров. Играют роль определенные психологические особенности. Например, при оценке работников по экспертному методу коллеги склонны снисходительно относиться к привычным, распространенным недостаткам оцениваемого и не принимать их во внимание, но эксперты обязательно учтут таковые при сравнительном подходе, заложенном в методе контрольных вопросов.

В вопроснике полезно оставлять две свободные клетки, в одной из них, названной «другое», пометки делаются в том случае, когда эксперт считает, что ни одна из формулировок не отражает истинного положения дел. В этой клетке эксперт указывает свое утверждение. Если выраженность какого-то качества эксперт знает нечетко, он делает пометку в другой клетке, имеющей значение «не знаю». Внесение таких позиций позволяет не только сделать более корректной оценку, но и уточнить, и дополнить базовые вопросники. Основная проблема аналитиков заключается в том, чтобы найти квалифицированно составленные вопросники и при необходимости адаптировать их к конкретным условиям или разработать документ для опроса самостоятельно.

Опыт свидетельствует, что изначально не удается создать действенные вопросники. Аналитикам нужно быть готовыми к тому, что только после неоднократных опросов с тщательным анализом, как результатов оценки, так и аналитических документов удается создать методики, содержащие не только универсальные исходные перечни-словари, но и узкоспециализированные опросники для отдельных категорий работников с близкими задачами, отражающими сущность отношений и деятельности людей.

К эвристическим методам анализа, предусматривающим как генерирование вариантов аналитических решений, так и их оценку, относятся: мозговой штурм (мозговая атака), комиссии и конференции, банк идей, коллективный блокнот, метод активного социологического тестированного анализа и контроля, функционально-стоимостный анализ, деловые игры и другие приемы.

Большой эффект для анализа особо сложных ситуаций может дать метод «мозгового штурма» . В этом случае экспертами, как правило, являются сотрудники организации, заинтересованные в решении конкретной проблемы и хорошо знающие сложившуюся ситуацию или условия решения поставленной задачи. Мозговой штурм – свободное генерирование идей, высказываемых в группе заинтересованных экспертов. Как правило, эффективный мозговой штурм достаточно короток (как правило, не более часа). В нем могут принимать участие не только высококвалифицированные специалисты, но и молодежь, способная внести неожиданные неординарные предложения. Однако чтобы результаты мозгового штурма были реально использованы, важно участие в нем лиц, принимающих решение. В этом случае, систематизировав предложения участников, можно часть из них сразу отбросить как нереальные, а остальные – обсудить более подробно со специалистами соответствующего профиля. Особо следует отметить, что отбор идей проводится постепенно, на первом этапе ни одна из них не отбрасывается и, как правило, вообще никакие оценки не высказываются, затем идеи оцениваются по уровню проработанности, срокам и стоимости реализации, эффективности и т.п. Мозговой штурм может являться составной частью аналитической работы, особенно при перспективном анализе.

Мозговой штурм – способ работы, позволяющий находить новые варианты решений в проблемной ситуации. Мозговая атака основывается на разделении во времени процесса поиска идей и их оценки. Для проведения второго этапа анализа может использоваться один или несколько рассмотренных ранее методов оценки и выбора решений.

Особый интерес представляет организация первого этапа – этапа генерации идей. В зависимости от числа участников в этом процессе различают атаку индивидуальную (1 человек), групповую (7±2 человека), массовую (неограниченное число участников). В случае массового штурма все участники разбиваются на группы, и работа проводится по группам с последующим ее продолжением с представителями групп. Число участников в каждой группе не более 9 человек.

В зависимости от допустимости критики различают прямой и обратный мозговой штурм. При прямом штурме ни в каком виде не допускается критика, при обратном – процедура состоит в том, что основное внимание уделяется выявлению и нейтрализации недостатков в предложениях по совершенствованию объекта анализа. Метод обратного мозгового штурма особенно уместен на ранней стадии проведения анализа, когда главная задача – выявить как можно больше потерь, вскрыть максимум имеющихся резервов.

Наряду с открытым (устным) штурмом имеет место закрытый (письменный) мозговой штурм. Он проводится в той ситуации, когда затруднительно собрать вместе всех необходимых субъектов анализа. В этом случае специалистам рассылаются вопросники по проблеме, подлежащей решению.

Наиболее распространенной является прямая групповая открытая мозговая атака. Она основывается на стимулировании творческой деятельности, которая приводит к неожиданным поворотам мысли, нестандартным идеям. Необходимая атмосфера создается за счет совместного обсуждения конкретной проблемы, регламентируемого определенными правилами: запрет на критику выдвигаемых предложении, ограничение времени одного выступления, обязательная фиксация всех высказанных идей и т.д.

На первом этапе в мозговом штурме во главу угла ставится не качество, а количество идей. Важное значение имеет подбор участников, места, времени проведения генерации идей. Желательно привлечение специалистов разной направленности: бухгалтеров, финансистов, маркетологов, конструкторов и т.д. Среди участников мозгового штурма должны быть специалисты с разным опытом, быть в курсе проблемы, но не слишком детально ее знать. Нежелательно присутствие на сессии начальника и его подчиненных.

При использовании метода многое зависит от руководителя, который должен обеспечить выполнение всех правил и процедур метода. Успешность работы определяется его умением вести штурм в нужном направлении, темпе, он не должен позволять отклоняться от цели, переформулировывать исходную постановку проблемы, должен поощрять выступающих генераторов идеи и т.д. Результаты мозгового штурма являются плодом коллективного труда и не персонифицируются.

Процесс выдвижения новых идей не является независимым от процесса их оценки; идеи генерируются тем успешнее, чем менее генерация интегрируется с оценкой идей. Процесс мышления протекает таким образом, что высказываемая одним из членов группы идея порождает у коллег либо творческую, либо критическую реакцию. В силу запрета на критику даже неконструктивные идеи порождают продуктивные реакции и приводят к тому, что процесс выдвижения новых идей в определенном смысле идет лавинообразно. Наличие указанного эффекта подтверждается не только качественным анализом, но и статистически. Так, исследование эффективности мозговых атак, проведенные в университете Буффало, показали, что групповое мышление дает на 70% больше ценных новых идей, чем сумма результатов работы равных по численности, но изолированных специалистов.

Мозговой штурм – относительно быстрый и экономный способ анализа, предназначенный для разрешения трудностей, противоречий, с которыми столкнулся или, вероятно, столкнется управленческий персонал в ближайшей перспективе, «узких мест», сдерживающих развитие системы управления. Метод эффективен при решении нетрадиционных поисковых задач стратегического назначения. Мозговую атаку следует организовывать в той ситуации, когда проблема не поддается традиционному решению. В первую очередь речь идет о структурной политике, совершенствовании существующих способов работы.

Метод комиссий и конференций является наиболее распространенной формой групповой работы, в процессе которой происходит свободное выдвижение идей, осуществляется их критика. Он основывается главным образом на приобретаемой в процессе многочисленных заседаний и дискуссий привычке к критическим оценкам новых и недостаточно обоснованных идей. Недостаток метода состоит в том, что аналитики в своих суждениях изначально ориентированы на принцип компромисса, что увеличивает риск получения искаженных результатов анализа. Этот способ поиска и оценки вариантов решений хорошо зарекомендовал себя в цейтноте, особенно при решении задач планового и специального анализа.

Метод коллективного блокнота обеспечивает выдвижение независимых идей членами коллектива с последующей оценкой предложений. С этой целью каждый член коллектива получает блокнот, в котором в общих чертах излагается существо анализируемого вопроса, приводятся необходимые вспомогательные и справочные материалы, например, схемы документооборота, должностные инструкции и т.д.

В течение заранее установленного времени каждый субъект анализа записывает в свой блокнот результаты анализа и предложения, а в заключение дает оценку своих идей, выделяя лучшие. По истечении времени участники работ сдают блокноты координатору для подготовки на основе содержащихся в них материалов обобщающей записки. Оценка групповых аналитических альтернатив осуществляется любым из рассмотренных ранее методов оценки.

Метод коллективного блокнота удобен в тех случаях, когда невозможно осуществить продолжительную совместную работу, привлечь опытных консультантов. Для использования метода необходимо наличие в коллективе организации творчески мыслящих, опытных специалистов.

Такой метод работы, как банк идей , предполагает обращение к картотеке или автоматизированной базе данных, создаваемой в процессе практической деятельности. В указанных хранилищах собираются и систематизируются наиболее интересные примеры решения задач. Сюда включаются как оригинальные, так и типичные варианты с оценкой их применимости. Метод может быть полезен при решении поисковых задач чаще текущего, реже стратегического анализа.

Сущность метода активного социологического тестированного анализа и контроля (МАСТАК) состоит в разработке и применении пособия, содержащего конкретные рекомендации по совершенствованию деятельности пользователей данного материала. Игровой командный способ разработки пособия включает несколько шагов:

1) организатор объявляет тему для выработки рекомендаций по результатам анализа, например «организационная структура предприятия»;

2) каждый из членов группы экспертов на отдельном листе бумаги в течение заранее определенного временного периода формулирует свои рекомендации по указанной тематике, стараясь отработать формулировки стилистически точно и ясно;

3) эксперты поочередно называют номер своей рекомендации (первый, второй и последующие порядковые номера), проставляют этот номер рядом со своей рекомендацией и зачитывают ее вслух. Остальные члены команды на свободном поле листа указывают этот номер и рядом с ним проставляют балл данной рекомендации. Система баллов может быть произвольной от 7 до 10, но заранее установленной организатором. Если оценивающие члены группы считают рекомендацию чрезвычайно полезной, они дают ей один из высших баллов, если, наоборот, – абсурдной, то указывают ноль баллов. Очередность чтения одной из рекомендаций переходит последовательно каждому из разработчиков пособия до тех пор, пока не будут оглашены и оценены все различающиеся советы. Организатор следит, чтобы все называли номера и очередность их соблюдалась;

4) координатор собирает все листы членов группы, подсчитывает суммарный балл каждой рекомендации, распределяет предложения по рубрикам, располагая их внутри рубрик в последовательности, соответствующей убыванию полученных баллов. Рекомендации, которые получили незначительное число баллов по сравнению с другими предложениями, из рассмотрения исключаются.

Для облегчения пользования рекомендации оформляются в виде пособия. В нем каждый из советов имеет номер, а справа – две графы для обозначения важности и истинности рекомендации. Периодическое заполнение указанных граф баллами оценок позволяет проанализировать успехи в реализации принятых рекомендаций.

Эвристические методы могут быть использованы как комплексные, т.е. одновременно в определенной взаимосвязи и последовательности используются все эвристические приемы в форме организационно-деятельностной игры. В этом случае участие в игре принимают менеджеры организации. Объектом такой игры могут быть только серьезные изменения, намеченные в производстве, или сложная ситуация, которая является системным кризисом организации (например, выявление критического финансового состояния организации - банкротства).

Для проведения такой игры необходимо соблюдение ряда условий: во-первых, ее успех определяется степенью погружения участников в проблему. Как известно, на первых стадиях проведения игры высказываемые идеи не получают быстрого восприятия партнерами, основная часть участников ведут себя осторожно, опасаясь критики. Постепенно атмосфера становится более творческой и свободной. Для этого необходимо полное внимание к обсуждаемой проблеме (полное погружение). Поэтому, как правило, такие «игры» проводят в течение нескольких дней и вне рабочего места, где участники не отвлекаются на текущие дела.

При проведении игры часто формируются команды, представляющие интересы различных групп участников бизнеса (руководство субъекта хозяйствования, поставщики, потребители, организации, связанные процессом кооперации), отдельных подразделений управления и производства, учредителей, управляющих и работников. При этом в состав экспертов, как правило, включаются реальные представители этих групп, в том числе высококвалифицированные ведущие специалисты и молодые, начинающие работники. В состав экспертов можно также включить представителей других подразделений, консультантов.

При проведении деловой игры используются методы мозгового штурма, аналогий, опроса, свободного обсуждения проблемы и др. Бесспорно, что они могут быть использованы только для проработки серьезных долгосрочных проблем, т.е. в стратегическом анализе. Однако они могут дать очень эффективные результаты, так как обеспечивают комплексность, системность анализа, его демократичность и конкретность; каждый участник игры хочет понять свои задачи, обязательства и свои права и возможности. Кроме того, такой подход к анализу обеспечивает общее понимание задач и путей их решения, психологическое единство коллектива, занятого решением поставленных задач.

В годы экономических реформ в России консультативные организации разработали ряд организационно-деятельностных игр, позволяющих провести прогнозный анализ при выборе сферы приложения капитала (направления бизнеса), стратегии развития организации (направление реструктуризации производства), установления хозяйственных связей (поиск партнеров по бизнесу) и ряд других. Такие игры успешно проводились на крупных предприятиях и в финансово-кредитных учреждениях. Несмотря на сложность их организации и значительные затраты на их проведение, они оправдывают себя той эффективностью, которую могут обеспечить принимаемые на их основе решения.

Деловые игры – метод имитационного моделирования сложных процессов в различных ситуациях путем совершения деятельности по заданным правилам группой людей.

Основоположником деловых игр признан российский ученый М.М. Бирштейн, в 1932 г. использовавший игровую форму деятельности для решения организационно-производственных задач. Раскрывая возможность деловых игр, автор отмечал, что игры служат в качестве методов экспериментального исследования, выбора важнейших показателей, аттестации, обучения, развития творчества, решения экономических задач.

Деловые игры как способ исследования являются адекватным методом моделирования аналитических процессов и решения задач анализа.

Основные условия использования деловых игр и характеризующие их признаки отражены в табл. 4.6.

Таблица 4.6

Характеристика игрового метода анализа

Основной целью деловых игр являются развитие коллективной мыслительной деятельности, а также изменение менталитета его участников, т. е. новое видение и понимание проблем, выявление нестандартных путей их решения, формирование новых профессиональных позиций и ценностных ориентации.

Использование эвристических методов позволяет реализовать задачи анализа с незначительными затратами, вырабатывая представительное число вариантов решений с последующим получением вероятных сценариев развития систем управления организациями.

Особо следует подчеркнуть роль экономического эксперимента. Традиционно эксперимент связан с научно-исследовательскими техническими исследованиями. Однако в 70 – 80-х гг. XX в. в СССР были сделаны попытки проведения экономических экспериментов. Начало этому направлению положила первая масштабная экономическая реформа 1965 г. под руководством А.Н. Косыгина, в то время возглавлявшего Правительство СССР. Идеи новых методов управления в 1965 г. были проверены сначала на 20, а затем на 60 предприятиях разных отраслей промышленности. Только после этого они были распространены на всю промышленность и народное хозяйство.

В последующем отдельные экономические эксперименты проводились в отраслях и регионах. Так, многие экономические методы внедрялись на предприятиях электротехнической промышленности и приборостроения; эксперименты проводились в республиках Прибалтики, в частности по программно-целевому управлению, управлению сферой обслуживания и др.

В 80-е гг. XX в. в СССР было проведено три международных эксперимента, были разработаны принципиальные подходы и условия, обеспечивающие чистоту эксперимента; методы анализа и оценки результатов эксперимента, условий его распространения.

Эксперимент может осуществляться путем моделирования с использованием имитационных моделей. В этом случае, определив цели, выделив релевантные, зависимые от данного уровня управления, и нерелевантные, которые меняются независимо от анализируемого объекта, и условия функционирования анализируемого объекта, используя имитационную модель и меняя отдельные факторы, аналитик может просмотреть различные варианты решений по принципу «если – то» и оценить их эффективность и «цену». Такой подход к анализу имеет особое значение для укрепления позиций предшествующего анализа, позволяющего превентивно предупредить потери.

В редких случаях, когда принимается особо ответственное решение, может быть проведен натурный эксперимент, т.е. проверена эффективность предлагаемого варианта решения на практике. Это чаще всего касается опытного производства, когда запускается пробная (как правило) небольшая партия новых изделий, когда опробуется на каком-либо одном участке новая технология или новый метод организации производства и т.п. Определенный эффект эксперимент может дать при проверке новых методов организации производства, стимулирования и организации труда, применения новых видов документов, методов контроля и т. д.

Следует отметить особую роль эксперимента в период проведения экономических реформ. Так, в период реформ 1965 г., когда был существенно изменен механизм управления предприятием, сначала на новую систему планирования и управления были переведены только несколько десятков предприятий разных отраслей производства, затем отдельные отрасли и только через несколько лет - все народное хозяйство. В период с 1965 по 1985 г. все изменения в системе управления производились экспериментами, и многие из намечаемых мер после проведения экспериментов существенно корректировались.

В настоящее время возможность проведения эксперимента значительно расширяется, что связано как с быстрым изменением и трансформациями в субъектах хозяйствования и во внешней среде, так и с широкими правами, которые в условиях рыночной экономики имеют руководители коммерческих организаций.

Эвристический анализ

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.

Технология эвристического анализа

Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе, компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации – знаний о механизме полиморфизма сигнатур. В то же время, этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.

В ряде случаев, эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если, программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы FDISK эта команда больше нигде не используется, и потому в случае ее неожиданного появления речь идет о загрузочном вирусе.

В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода эмулирует работу данного вируса по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет ее с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала - программа идентифицирована.

Другим распространенным методом эвристического анализа, применяемым большой группой антивирусов, является декомпиляция подозрительной программы и анализ ее исходного кода. Исходный код подозрительного файла проходит сверку и сравнение с исходным кодом известных вирусов и образчиков вирусной активности. В случае, если определенный процент исходного кода идентичен коду известного вируса или вирусной активности, файл отмечается как подозрительный, о чем оповещается пользователь.

Недостатки эвристического сканирования

• Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам. В частности, распаковщик в файлах, запакованных PE-упаковщиком (Win)Upack вызывает ложные срабатывания целого ряда антивирусных средств, де-факто не признающих такой проблемы. Другой проблемой анализаторов является ошибочное срабатывание при проверке совершенно безобидного кода.

К примеру, скомпилированный с помощью Delphi 7 или Delphi 2007 код:

Program XDC; {$APPTYPE CONSOLE} uses SysUtils; begin if (paramstr (3 ) ="d" ) then begin FileSetReadOnly (paramstr (2 ) ,false ) ; DeleteFile (paramstr (2 ) ) ; end ; end .

Вызывает ложные срабатывания у антивирусов типа Panda (независимо от версии компилятора), Webwasher GateWay (при компиляции Delphi 2007 ), F-Secure (при компиляции Delphi 7 ). Как видно из примера, программа абсолютно безопасна и совершенно отсутствуют какие-либо признаки вредоносного кода и вирусного функционала (весь функционал примера: если в качестве третьего параметра указан ключ «d», программа удаляет файл, указанный во втором параметре).

• Наличие простых методик обмана эвристического анализатора. Как правило, прежде чем распространять вредоносную программу (вирус), ее разработчики исследуют существующие распространенные антивирусные продукты, различными методами избегая ее детектирование при эвристическом сканировании. К примеру, видоизменяя код, используя элементы, выполнение которых не поддерживается эмулятором кода данных антивирусов, используя шифрование части кода и др.

Несмотря на заявления и рекламные проспекты разработчиков антивирусных средств относительно совершенствования эвристических механизмов, эффективность эвристического сканирования на данный момент далека от ожидаемой. Независимые тесты компонентов эвристического анализа показывают, что уровень обнаружения новых вредоносных программ составляет не более чем 40-50% от их числа. (англ.)

• Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным. Как исключение, некоторыми продуктами возможно лечение однотипных и ряда полиморфных, шифрующихся вирусов, не имеющих постоянного вирусного тела, но использующих единую методику внедрения. В таком случае, для лечения десятков и сотен вирусов может существовать одна запись в вирусной базе, как это реализовано, к примеру, в антивирусе И. Данилова.

См. также

Ссылки

Внешние ссылки

Wikimedia Foundation . 2010 .

Смотреть что такое "Эвристический анализ" в других словарях:

- (эвристика) алгоритм решения задачи, не имеющий строгого обоснования, но, тем не менее, дающий приемлемое решение задачи в большинстве практически значимых случаев. Содержание 1 Определение 2 Применение … Википедия

У этого термина существуют и другие значения, см. Полиморфизм. Полиморфизм компьютерного вируса (греч. πολυ много + греч. μορφή форма, внешний вид) специальная техника, используемая авторами вредоносного программного… … Википедия

Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии … Википедия

Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а… … Википедия

Эта статья или раздел грубый перевод статьи на другом языке (см. Проверка переводов). Он мог быть сгенерирован программой переводчиком или сделан человеком со слабыми познаниями в языке оригинала. Вы можете помочь … Википедия

Разработчик ОС Windows XP/Vista Лицензия Сайт … Википедия

Скриншот программы Тип … Википедия

OllyDbg … Википедия

Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей. Некоторые модели человеческого поведения в общественных науках предполагают, что поведение людей может быть адекватно опи … Википедия

Вы можете пользоваться антивирусным программным обеспечением, не имея представления о том, как оно устроено. Однако, в настоящее время существует очень много антивирусных программ, так что вам так или иначе придется на чем-то остановить свой выбор. Чтобы этот выбор был по возможности обоснован и установленные программы обеспечивали максимальную степень защиты от вирусов, необходимо изучить методики, применяемые этими программами.

Существует несколько основопологающих методик обнаружения и защиты от вирусов. Антивирусные программы могут реализовывать только некоторые методики или их комбинации.

· Сканирование

· Обнаружение изменений

· Эвристический анализ

· Резидентные мониторы

· Вакцинирование программ

· Аппаратная защита от вирусов

Кроме того, большинство антивирусных программ обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов.

Объекты заражения

В первой главе мы уже рассказали о различных типах вирусов и о способах их распространения. Перед тем как приступить к рассмотрению антивирусных средств, перечислим области файловой системы компьютера, которые подвергаются заражению вирусами и которые необходимо проверять:

· Выполнимые файлы программ, драйверов

· Главная загрузочная запись и загрузочные секторы

· Файлы конфигурации AUTOEXEC.BAT и CONFIG.SYS

· Документы в формате текстового процессора Microsoft Word for Windows

Когда резидентный вирус становится активным, он помещает свой постоянно работающий модуль в оперативной памяти компьютера. Поэтому антивирусные программы должны выполнять проверку оперативной памяти. Так как вирусы могут использовать не только стандартную память, то желательно выполнять проверку верхней памяти. Например, антивирус Doctor Web проверяет первые 1088 Кбайт оперативной памяти.

Сканирование

Самая простая методика поиска вирусов, заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Определение сигнатуры вируса довольно сложная задача. Сигнатура не должна содержаться в нормальных программах, не зараженных данным вирусом. В противном случае возможны ложные срабатывания, когда вирус обнаруживается в совершенно нормальной, не зараженной программе.

Конечно, программам-сканерам не обязательно хранить в себе сигнатуры всех известных вирусов. Они могут, например, хранить только контрольные суммы сигнатур.

Антивирусные программы-сканеры, которые могут удалить обнаруженные вирусы, обычно называются полифагами. Самой известной программой-сканером является Aidstest Дмитрия Лозинского. Aidstest выполняет поиск вирусов по их сигнатурам. Поэтому он обнаруживает только простейшие полиморфные вирусы.

В первой главе мы рассказывали о так называемых шифрующихся и полиморфных вирусах. Полиморфные вирусы полностью изменяют свой код при заражении новой программы или загрузочного сектора. Если вы выделите два экземпляра одного и того же полиморфного вириуса, то они могут не совпадать ни в одном байте. Как следствие, для таких вирусов невозможно определить синатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Антивирусные программы-сканеры могут обнаружить только уже известные вирусы, которые были предварительно изучены и для которых была определена сигнатура. Таким образом, использование программ-сканеров не защищает ваш компьютер от проникновения новых вирусов.

Для эффективного использования антивирусных программ, реализующих метод сканирования, необходимо постоянно обновлять их, получая самые последние версии.

Эвристический анализ

Эвристический анализ является относительно новым методом в обнаружении вирусов. Он позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Так например, эвристический анализатор может обнаружить, что в проверяемой программе присутствует код, устанавливающий резидентный модуль в памяти.

Антивирусная программа Doctor Web, входящая в состав комплекта AO “ДиалогНаука”, имеет мощный эвристический анализатор, позволяющий обнаружить большое количество новых вирусов.

Если эвристический анализатор сообщает, что файл или загрузочный сектор возможно заражен вирусом, вы должны отнестись к этому с большим вниманием. Желательно исследовать такие файлы с помощью самых последних версий антивирусных программ или направить их для детального изучения в АО “ДиалогНаука”.

В комплект IBM AntiVirus входит специальный модуль, ориентированный на обнаружение вирусов в загрузочных секторах. Этот модуль использует запатентованную технологию (patent-pending neural network technology from IBM) эвристического анализа и позволяет определить, заражен ли загрузочный сектор вирусом.

Обнаружение изменений

Когда вирус заражает компьютер, он обязательно делает изменения на жестком диске, например, дописывает свой код в выполнимый файл, добавляет вызов программы-вируса в файл AUTOEXEC.BAT, изменяет загрузочный сектор, создает файл-спутник.

Антивирусные программы могут предварительно запомнить характеристики всех областей диска, которые подвергаются нападению вируса, а затем периодически проверять их (отсюда происходит их название программы-ревизоры). Если будет обнаружено изменение, тогда возможно что на компьютер напал вирус.

Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, параметры всех контролируемых файлов, а также информацию о структуре каталогов и номера плохих кластеров диска. Могут проверяться и другие характеристики компьютера - объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.

Программы-ревизоры могут обнаружить большинство вирусов, деже тех, которые ранее не были известны. Вирусы, заражающие файлы программ только при их копировании, ревизоры как правило обнаружить не могут, так как они не знают параметров файла, которые были до копирования.

Однако следует учитывать, что не все изменения вызваны вторжением вирусов. Так, загрузочная запись может изменится при обновлении версии операционной системы, а некоторые программы записывают внутри своего выполнимого файла данные. Командные файлы изменяются еще чаще, например, файл AUTOEXEC.BAT обычно изменяется во время установки нового программного обеспечения.

Программы-ревизоры не помогут и в том случае, когда вы записали в компьютер новый файл, зараженный вирусом. Правда, если вирус заразит другие программы, уже учтенные ревизором, он будет обнаружен.

Простейшая программа-ревизор Microsoft Anti-Virus (MSAV) входит в состав операционной системы MS-DOS. Основным, и возможно единственным ее достоинством является то, что на нее не нужно дополнительно тратить деньги.

Значительно более развитые средства контроля предоставляет программа-ревизор Advanced Diskinfoscope (ADinf), входящая в состав антивирусного комплекта АО “ДиалогНаука”. Более подробно мы рассмотрим эти средства в следующем разделе, а сейчас только заметим, что вместе с ADinf вы можете использовать лечащий модуль ADinf Cure Module (ADinfExt). ADinf Cure Module использует собранную ранее информацию о файлах для восстановления их после поражения неизвестными вирусами.

Конечно, не все вирусы могут быть удалены ADinf Cure Module и другими программными средствами, основанными на контроле и периодической проверке компьютера. Например, если новый вирус шифрует диск, как это делает вирус OneHalf, тогда его удаление без расшифровки диска скорее всего приведет к потере информации. Вирусы такого типа могут быть удалены только после внимательного изучения специалистами и включения модулей для борьбы с ними в обычные полифаги - Aidstest или Doctor Web.

Известные нам на момент написания книги антивирусные программы-ревизоры непригодны для обнаружения вирусов в файлах документов, так как они по своей сути постоянно изменяются. Ряд программ после внедрения в них кода вакцины перестают работать. Поэтому для контроля за ними следует использовать программы-сканеры или эвристический анализ.

Резидентные мониторы

Существует еще целый класс антивирусных программ, которые постоянно находятся в оперативной памяти компьютера, и отслеживают все подозрительные действия, выполняемые другими программами. Такие программы носят название резидентных мониторов или сторожей.

Резидентный монитор сообщит пользователю, если какая-либо программа попытается изменить загрузочный сектор жесткого диска или дискеты, выполнимый файл. Резидентный монитор сообщит вам, что программа пытается оставить в оперативной памяти резидентный модуль и т. д.

Большинство резидентных мониторов позволяют автоматически проверять все запускаемые программы на заражение известными вирусами, тоесть выполняют функции сканера. Такая проверка будет занимать некторое время и процесс загрузки программы замедлится, но зато вы будете уверены, что известные вирусы не смогут активизироваться на вашем компьютере.

К сожалению, резидентные мониторы имеют очень много недостатков, которые делают этот класс программ малопригодными для использования.

Многие программы, даже не содержащие вирусов, могут выполнять действия, на которые реагируют резидентные мониторы. Например, обычная команда LABEL изменяет данные в загрузочном секторе и вызывает срабатывание монитора.

Поэтому работа пользователя будет постоянно прерываться раздражающими сообщениями антивируса. Кроме того, пользователь должен будет каждый раз решать, вызвано ли это срабатывание вирусом или нет. Как показывает практика, рано или поздно пользователь отключает резидентный монитор.

И наконец, самый маленький недостаток резидентных мониторов заключается в том, что они должны быть постоянно загружены в оперативную память и, следовательно, уменьшают объем памяти, доступной другим программам.

В составе операционной системы MS-DOS уже есть резидентный антивирусный монитор VSafe.

Вакцинирование программ

Для того, чтобы человек смог избежать некоторых заболеваний, ему делают прививку. Существует способ защиты программ от вирусов, при котором к защищаемой программе присоединяется специальный модуль контроля, следящий за ее целостностью. При этом может проверяться контрольная сумма программы или какие-либо другие характеристики. Когда вирус заражает вакцинированный файл, модуль контроля обнаруживает изменение контрольной суммы файла и сообщает об этом пользователю.

Увы, в отличие от прививок человеку, вакцинирование программ во многих случаях не спасает их от заражения. Стелс-вирусы легко обманывают вакцину. Зараженные файлы работают также как обычно, вакцина не обнаруживает заражения. Поэтому мы не станем останавливаться на вакцинах и продолжим рассмотрение других средств защиты.

Аппаратная защита от вирусов

На сегодняшний день одним из самых надежных спсобов защиты компьютеров от нападений вирусов являются аппаратно-программные средства. Обычно они представляют собой специальный контроллер, вставляемый в один из разъемов расширения компьютера и программное обеспечение, управляющее работой этого контроллера.

Благодаря тому, что контроллер аппаратной защиты подключен к системной шине компьютера, он получает полный контроль над всеми обращениями к дисковой подсистеме компьютера. Программное обеспечение аппаратной защиты позволяет указать области файловой системы, которые нельзя изменять. Вы можете защитить главную загрузочную запись, загрузочные сектора, выполнимые файлы, файлы конфигурации и т. д.

Если аппаратно-программный комплекс обнаружит, что какая-либо программа пытается нарушить установленную защиту, он может сообщить об этом пользователю и заблокировать дальнейшею работу компьютера.

Аппаратный уровень контроля за дисковой подсистемой компьютера не позволяет вирусам замаскировать себя. Как только вирус проявит себя, он сразу будет обнаружен. При этом совершенно безразлично, как работает вирус и какие средства он использует для доступа к дискам и дискетам.

Аппаратно-программные средства защиты позволяют не только защитить компьютер от вирусов, но также вовремя пресечь работу троянских программ, нацеленных на разрушение файловой системы компьютера. Кроме того аппаратно-программные средства позволяют защитить компьютер от неквалифицированного пользователя и злоумышленника, они не дадут ему удалить важную информацию, отформативать диск, изменить файлы конфигурации.

В настоящее время в России серийно производится только аппаратно-программный комплекс Sheriff. Он надежно предотвратит заражение компьютера, позволит пользователю тратить значительно меньше времени на антивирусный контроль компьютера обычными программными средствами.

За рубежом производится намного больше средств аппаратно-программной защиты, но их цена занчительно выше, чем у Sheriff и составляет несколько сотен американских долларов. Вот несколько названий таких комплексов:

Помимо выполнения своей основной функции, аппаратно-программные средства защиты компьютера могут обеспечивать различный дополнительный сервис. Они могут управлять разграничением прав доступа различных пользователей к ресурсам компьютера - жестким дискам, дисководам и т. д.

Защита, встроенная в BIOS компьютера

Многие фирмы, выпускающие системные платы компьютеров, стали встраивать в них простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. В случае, если любая программа попытается изменить содержимое загрузочных секторов, срабатывает защита и пользователь получает соответствующее предупреждение. При этом он может разрешить это изменение или запретить его.

Однако, такой контроль нельзя назвать настоящим контролем на аппаратном уровне. Программный модуль, отвечающий за контроль доступа к загрузочным секторам, находится в ПЗУ BIOS и может быть обойден вирусами, если они заменяют загрузочные секторы, обращаясь непосредственно к портам ввода/вывода контроллера жестких и гибких дисков.

Существуют вирусы, которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.

Вирусы Tchechen .1912 и 1914

Очень опасные резидентные шифрованные вирусы. Пытаются найти в ПЗУ BIOS текстовые строки Megatrends и AWARD. Если поиск закончился успешно, они считают, что в компьютере установлен BIOS фирм AWARD или AMI, отключают контроль за загрузочными секторами и заражают главную загрузочную запись жеского диска. Примерно через месяц после заражения вирус удаляет информацию со всего первого жесткого диска

Самое простое средство аппаратной защиты - отключить от компьютера все каналы, через которые в него может проникнуть вирус. Если компьютер не подключен к локальной сети и в нем не установлен модем, то достаточно отключить накопители на гибких дисках и основной канал поступления вирусов в компьютер будет перекрыт.

Однако такое отключение далеко не всегда возможно. В большинстве случаев пользователю для нормальной работы необходим доступ к дисководам или модемам. Кроме того, зараженные программы могут проникнуть в компьютер через локальную сеть или компакт-диски, а их отключение значительно сузит область применения компьютера.

Методы удаления вирусов

Обнаружить вирус на компьютере – это только половина дела. Теперь его необходимо удалить. В большинстве случаев антивирусные программы, которые обнаруживают вирус, могут его удалить. Существуют две основные методики, используемые антивирусными программами для удаления вирусов.

Если вы обнаружили вирус, проверяя выполнимые файлы, с расширениями имени COM и EXE, следует проверить все другие типы файлов, в которых содержится исполнимый код. В первую очередь это файлы с расширением SYS, OVL, OVI, OVR , BIN, BAT, BIN, LIB, DRV, BAK, ZIP, ARJ, PAK, LZH, PIF, PGM, DLL, DOC

Вы даже можете проверить вообще все файлы на жестких дисках компьютера. Возможно кто-нибудь переименовал зараженный выполнимый файл, изменив его расширение. Например, файл EDITOR.EXE переименовали в EDITOR.EX_. Такой файл проверен не будет. Если впоследствии его переименуют обратно, вирус снова сможет активизироваться и распространиться в компьютере

Первая, наиболее распространенная методика предусматривает, что антивирусная программа удаляет уже известный вирус. Чтобы вирус мог быть правильно удален, необходимо чтобы он был изучен, разработан алгоритм его лечения и этот алгоритм был реализован в новой версии антивируса.

Вторая методика позволяет восстанавливать файлы и загрузочные секторы, зараженные ранее неизвестными вирусами. Для этого антивирусная программа заранее, до появления вирусов, должна проанализировать все выполняемые файлы и сохранить о них много разнообразной информации.

При последующих запусках антивирусной программы она повторно собирает данные о выполняемых файлах и сверяет ее с данными, полученными ранее. Если обнаруживаются несоответствия, то возможно файл заражен вирусом.

В этом случае антивирус пытается восстановить зараженный файл, используя для этого сведения о принципах внедрения вирусов в файлы и информацию о данном файле, полученную до его заражения.

Некоторые вирусы заражают файлы и загрузочные секторы, замещая своим кодом часть заражаемого объекта, то есть безвозвратно уничтожая заражаемый объект. Файлы и загрузочные секторы, зараженные такими вирусами, не могут быть вылечены по первой методике, но как правило могут быть восстановлены по второй методике. Если восстановить зараженные выполнимые файлы с помощью антивирусных программ не получается, вы должны будете восстановить их с дистрибутива или резервной копии или просто удалить (если они не нужны).

С главной загрузочной записью и загрузочными секторами дело обстоит несколько сложнее. Если антивирусная программа не в состоянии восстановить их в автоматическом режиме, вы должны будете сделать это вручную, воспользовавшись командами FDISK, SYS, FORMAT. Ручное восстановление загрузочных секторов будет описано несколько позже, в шестой главе.

Существует целая группа вирусов, которые, заражая компьютер, становятся частью его операционной системы. Если вы просто удалите такой вирус, например восстановив зараженный файл с дискеты, то система может стать частично или полностью неработоспособной. Такие вирусы надо лечить пользуясь первой методикой.

В качестве примера таких вирусов можно привести загрузочные вирусы OneHalf и группу вирусов VolGU.

Во время загрузки компьютера вирус OneHalf постепенно шифрует содержимое жесткого дисска. Если вирус находится резидентным в памяти, то он перехватывает все обращения к жесткому диску. В случае, когда какая-либо программа пытается считать уже зашифрованный сектор, вирус расшифровывает его. Если вы удалите вирус OneHalf, информация на зашифрованной части жесткого диска станет недоступной.

Вирус VolGU не шифрует данные, но он не менее опасен, чем OneHalf. Каждый сектор жесткого диска хранит не только данные, записанные в нем, он также содержит дополнительную проверочную информацию. Она представляет собой контрольную сумму всех байт сектора. Эта контрольная сумма используется для проверки соохранности информацции.

Обычно, когда программа обращается к дисковой подсистеме компьютера, считываются и записываются только данные, контрольная сумма корректируется автоматически. Вирус VolGU, перехватывает обращения всех программ к жесткому диску и при записи данных на диск портит контрольные суммы секторов.

Когда вирус активен, он позволяет считывать секторы с неправильной контрольной суммой. Если просто удалить такой вирус, тогда секторы с неправильной контрольной суммой читаться не будут. Операционная система сообщит вам о ошибке чтения с жесткого диска (сектор не найден).

Подготовка к вирусной атаке

Пользователи компьютеров должны заблаговременно подготовиться к возможной атаке вирусов, а не ждать до последней минуты, когда вирус уже появится. Благодаря этому вы сможете быстрее обнаружить вирус и удалить его.

В чем же должна заключаться такая подготовка?

¨ Заранее подготовьте системную дискету. Запишите на нее антивирусные программы-полифаги, например Aidstest и Doctor Web

¨ Постоянно обновляйте версии антивирусных программ, записанных на системной дискете

¨ Периодически проверяйте компьютер при помощи различных антивирусных средств. Контролируйте все изменения на диске с помощью программы-ревизора, например ADinf. Новые и изменившиеся файлы проверяйте программами-полифагами Aidstest и Doctor Web

¨ Проверяйте все дискеты перед использованием. Для проверки применяйте как можно более поздние версии антивирусных программ

¨ Проверяйте все выполнимые файлы, записываемые на компьютер

¨ Если вам нужен высокий уровень защиты от вирусов, установите в компьютере аппаратный контроллер защиты, например Sheriff. Совместное использование аппаратного контроллера и традиционных антивирусных средств позволят максимально обезопасить вашу систему

Создание системной дискеты

Обычно в компьютере установлены два накопителя на гибких магнитных дисках. Один - для дискет размером 5.25 дюйма, а второй для дискет размером 3.5 дюйма. Операционная система MS-DOS, а также операционные системы Windows, Windows 95, Windows NT и OS/2 присваивают им имена A: и B:. Какой из дисководов имеет имя A:, а какой B:, зависит от аппаратуры компьютера.

Как правило, пользователь может изменить имена дисководов. Для этого необходимо открыть корпус компьютера и переключить несколько разъемов. Если есть такая возможность, то эту работу следует доверить техническому специалисту.

Накопители на магнитных дисках размером 5.25 дюйма постепенно выходят из употребления, поэтому в новых компьютерах устанавливают только один накопитель на гибких магнитных дисках, рассчитанный на дискеты размера 3.5 дюйма. В этом случае он имеет имя A:, диск B: отсутствует.

Загрузить компьютер с помощью системной дискеты можно только с дисковода A:. Таким образом, для изготовления системной дискеты к своему компьютеру вы должны взять дискету соответствующего размера.

Существует множество программ, позволяющих подготовить системную дискету. Такие программы входят в состав всех операционных систем - MS-DOS, Windows 3.1, Windows 95 и OS/2 и др.

Самыми простыми программами для подготовки системных дискет являются команды FORMAT или SYS, входящие в состав операционных систем MS-DOS и Windows 95 и поэтому в первую очередь мы опишем именно их.

Использование команды FORMAT

Команда FORMAT выполняет форматирование дискеты и может записать на нее файлы операционной системы. При форматировании гибких дисков FORMAT выполняет разметку дорожек на дискете, и формирует системные области - загрузочный сектор, таблицу размещения файлов и корневой каталог.

Во время форматирования дискеты вся информация, записанная на ней, стирается. Так как FORMAT заново записывает на дискету загрузочный сектор, то если она ранее была заражена загрузочным вирусом, вирус удаляется. Можно сказать, что команда FORMAT выполняет основную функцию антивируса - удаляет с дискеты любые вирусы.

При вызове команды FORMAT можно задать большое количество различных параметров. Их описание вы можете найти в четвертом томе серии “Персональный компьютер - шаг за шагом”, который называется “Что вы должны знать о своем компьютере”. В этой книге мы опишем только несколько самых необходимых нам параметров:

FORMAT drive:

В качестве параметра drive вы должны задать имя дисковода, который будет форматировать дискету. Параметр /S означает, что после форматирования дискеты на нее переносятся основные файлы операционной системы и дискета становится системной. Для подготовки системной дискеты следует обязательно указать этот параметр.

Как мы говорили, команда FORMAT удаляет с форматируемой дискеты все записанные на ней файлы. Обычно FORMAT записывает на дискете скрытую информацию, позволяющую в случае необходимости восстановить удаленные с нее файлы.

Для восстановления файлов, удаленных во время выполнения форматирования дискеты, используйте команду UNFORMAT

Если вы твердо уверены, что воосстанавливать их не придется, можно ускорить форматирование дискеты, указав дополнительный параметр /U. В этом случае информация о удаляемых файлах не сохраняется и их нельзя будет восстановить.

Вы можете значительно ускорить процесс подготовки системной дискеты, если укажите команде FORMAT дополнительный параметр /Q. В этом случае выполняется быстрое форматирование дискеты:

Опишем процесс подготовки системной дискеты более подробно. Введите следующую команду:

На экране появится предложение вставить дискету в дисковод A: и нажать клавишу :

Insert new diskette for drive A:
and press ENTER when ready...

Начнется процесс форматирования. На экране в процентах будет отображаться объем выполненной работы.

Formatting 1.2M
77 percent completed.

После окончания форматирования на дискету записываются основные файлы операционной системы. Затем вы можете ввести метку дискеты. Метка должна содержать не более одиннадцати символов. После ввода метки нажмите клавишу . Если вы не желаете присваивать дискете метку, нажмите клавишу сразу:

Format complete.
System transferred

Volume label (11 characters, ENTER for none)?

Затем на экране появится различная статистическая информация: общая емкость дискеты, объем пространства, занятый файлами операционной системы, объем доступного свободного пространства. Если на дискете обнаружены плохие секторы, недоступные для использования, отображается их суммарный объем в байтах. Ниже выводится размер сектора в байтах, количество свободных секторов на дискете и ее серийный номер:

1,213,952 bytes total disk space
198,656 bytes used by system
1,015,296 bytes available on disk

512 bytes in each allocation unit.
1,983 allocation units available on disk.

Volume Serial Number is 2C74-14D4

Format another (Y/N)?

На этом подготовку системной дискеты можно считать завершенной. Если вы не планируете сразу создать несколько системных дискет, нажмите клавишу . Чтобы создать еще одну системную дискету, нажмите клавишу и повторите описанный нами процесс еще раз.

Использование команды SYS

Если у вас есть свободная чистая отформатированная дискета, быстрее всего можно сделать ее системной при помощи команды SYS. Для этого вставьте дискету в дисковод компьютера и введите следущую команду:

SYS drive2:

Команда SYS имеет один обязательный параметр - drive2 . Этот параметр должен задавать имя дисковода, в котором подготавливается системная дискета. Вам следует указать в качестве параметра drive2 имя A: или B:.

Необязательные параметры drive1 и path определяют расположение системных файлов на диске. Если вы не укажете эти параметры, команда SYS будет брать системные файлы из корневого каталога текущего диска.

Запись антивирусных программ на системную дискету

На системной дискете располагаются основные файлы операционной системы MS-DOS: IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN. Если системная дискета изготовлена в операционной системе совместимой с MS-DOS, например IBM PC -DOS , то имена этих файлов могут быть другие.

Файлы IO.SYS и MSDOS.SYS представляют собой ядро операционной системы. Файл COMMAND.COM обычно называют командным процессором. Это та самая программа, которая выводит на экран компьютера системное приглашение и выполняет команды операционной системы. Последний файл на системной дискете - DBLSPACE.BIN. Он содержит расширение операционной системы, которое обеспечивает доступ к уплотненным дискам системы DoubleSpace.

Основные файлы операционной системы - IO.SYS, MSDOS.SYS имеют атрибут "скрытый файл" и не показываются командой DIR. Чтобы увидеть их, добавьте к команде DIR параметр /A.

После того как вы изготовили системную дискету, на ней осталось еще много свободного места. Суммарный объем, занимаемый основными файлами операционной системы MS-DOS - IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN составляет около 200 Кбайт. Таким образом, если вы использовали дискету с высокой плотностью запсиси, то в вашем распоряжении оказывается больше мегабайта свободного пространства.

Запишите на системную дискету программное обеспечение, необходимое для тестирования и восстановления поврежденной операционной системы. В первую очередь необходимо записать антивирусные программы, выполняющие поиск вирусов и программу для проверки целостности файловой системы. Полезно записать команды FORMAT и FDISK - они могут понадобиться для ручного восстановления системы. Для удобства можно дополнительно записать на системную дискету оболочку, например Norton Commander, и любой текстовый редактор.

В следующей таблице перечислены программы, которые окажут вам помощь при восстановлении работоспособности компьютера. Желательно все их записать на системную дискету. В случае, если они не поместятся на одну системную дискету, подготовьте еще одну дискету и запишите оставшиеся программы на нее.

В некоторых случаях для доступа к жестким дискам компьютера могут использоваться специальные драйверы или резидентные программы. Их обязательно нужно записать на подготовленную системную дискету. Чтобы они автоматически подключались при загрузке компьютера с системной дискеты, создайте на ней файлы CONFIG.SYS и AUTOEXEC.BAT, записав в них команды загрузки необходимых драйверов.

Если к компьютеру подключено устройство чтения компакт-дисков, запишите на системную дискету программное обеспечение, необходимое для его использования. Для MS-DOS вам надо записать драйвер устройства чтения и программу MSCDEX, входящую в состав операционной системы. Доступ к устройству чтения позволит оперативно восстановить программное обеспечение, записанное на компакт-дисках.

Операционная система Windows 95 не нуждается в программе MSCDEX, однако если графическая оболочка этой системы на загружается, MSCDEX все же надо подключить

После того как вы полностью подготовили системную дискету и записали не нее все необходимые программы, установите на нее защиту от записи. Для этого на дискете размером 5,25" необходимо заклеить прорезь на краю дискеты, а на дискете размером 3,5" открыть окно защиты. Защита от записи даст гарантию того, что вы случайно не испортите содержимое дискеты и вирусы не смогут на нее проникнуть. Так как дискеты иногда выходят из строя, то на этот случай лучше всего иметь несколько идентичных системных дискет.

Загрузка с системной дискеты

Чтобы загрузить компьютер с системной дискеты, надо установить приоритетную загрузку операционной системы с гибких магнитных дисков. Приоритет загрузки операционной системы определяется в CMOS-памяти. Чтобы изменить его, следует запустить программу Setup. Подробнее о программе Setup вы можете узнать из четвертого тома серии “Персональный компьютер - шаг за шагом”, который называется “Что вы должны знать о своем компьютере”.

Существуют вирусы, изменяющие приоритет загрузки компьютера. Для этого они меняют данные, записанные в CMOS-памяти. Примером таких вирусов могут быть вирусы Mammoth.6000 и ExeBug. Эти вирусы отключают в CMOS-памяти дисководы, временно подключая их, если какая-либо программа желает прочитать или записать информацию на дискету. Когда пользователь пытается загрузить компьютер с дискеты, загрузка будет выполняться с жесткого диска, так как дисковод отключен. Вирус получит управление, а затем выполнит загрузку компьютера с дискеты.

При этом с точки зрения пользователя все выглядит как обычно. Он видит, что операционная система загружается с дискеты, но к этому времени вирус уже находится в оперативной памяти и контролирует работу компьютера.

Поэтому непосредственно перед тем как выполнять загрузку MS-DOS с системной дискеты, убедитесь, что содержимое CMOS-памяти установлено правильно. Для этого запустите программу установки параметров BIOS и проверьте указанный там тип дисководов, а также порядок загрузки компьютера.

Вставьте системную дискету в дисковод A: и перезапустите компьютер. Если вы подозреваете наличие вирусов, для перезагрузки необходимо выключить и включить питание компьютера или нажать кнопку "Reset" на корпусе компьютера. Некоторые вирусы отслеживают перезагрузку при помощи клавиш и могут остаться в оперативной памяти даже после такой загрузки с системной дискеты.

После первоначального тестирования компьютера начнется загрузка операционной системы с дискеты. При этом должен гореть светодиод дисковода A:. Процесс загрузки с дискеты проходит несколько медленнее, чем с жесткого диска, поэтому вам придется немного подождать. Когда загрузка операционной системы завершится, на экране появиться соответствующее сообщение.

Затем операционная система запросит у вас текущую дату и время. Дата и время запрашиваются только в том случае, если на дискете (диске) отсутствует системный конфигурационный файл AUTOEXEC.BAT.

Если вы не хотите изменять дату и время, нажмите два раза клавишу . В этом случае дата и время останутся без изменения, и на экране появится системное приглашение MS-DOS:

Вы можете создать на системной дискете пустой файл AUTOEXEC.BAT, тогда дата и время запрашиваться не будут и после загрузки операционной системы на экране сразу появится системное приглашение.

Можно ли предотвратить проникновение вирусов

Если периодически не проводить работу по профилактике и лечению компьютеров от вирусов, возможность потери хранимой информации и разрушения операционной среды становится более чем реальной.

Негативные последствия вашей халатности могут быть различными, в зависимости от того, какой вирус попадет в компьютер. Вы можете потерять либо часть информации из файлов, хранящихся в компьютере, либо отдельные файлы, либо даже все файлы на диске. Но хуже всего, если вирус внесет небольшие изменения в файлы данных, которые сначала могут быть не замечены, а потом приведут к ошибкам в финансовых или научных документах.

Работы по профилактике и лечению компьютеров от вирусов могут включать следующие действия:

w Устанавливать программное обеспечение следует только с дистрибутивов

w Установите на всех ваших дискетах защиту от записи и снимайте ее только в случае необходимости

w Ограничьте обмен программами и дискетами, проверяйте такие программы и дискеты на наличие вирусов

w Периодически проверяйте оперативную память и диски компьютера на наличие вирусов с помощью специальных антивирусных программ

w Выполняйте резервное копирование информации пользователя

Не знакомьтесь с незнакомыми людьми

Никакие меры защиты не помогут защитить компьютер от проникновения вирусов, если вы не будете предварительно проверять все записываемые в него выполнимые файлы. На сегодняшний день такая проверка осуществима только с помощью антивирусных программ-полифагов.

Постоянное появление все новых и новых вирусов требует использования самых последних версий антивирусных программ. Желательно, чтобы ими обеспечивался поиск не только известных вирусов, но также и эвристический анализ проверяемых программ и загрузочных секторов. Он позволит обнаружить файлы, зараженные новыми, еще неизвестными и неизученными вирусами.

К сожалению, антивирусные программы не могут дать полной гарантии отсутствия в проверяемом программном обеспечении вирусов и тем более троянских программ или логических бомб. Записывая на свой компьютер программное обеспечение неизвестного происхождения, вы всегда рискуете

В больших организациях имеет смысл выделить специальный компьютер для установки в него сомнительного программного обеспечения, например компьютерных игр. Этот компьютер должен быть изолирован от остальных компьютеров организации. В первую очередь необходимо отключить его от локальной сети и запретить пользователям не только копировать с него программы, но и записывать на него файлы со своих рабочих дискет, заранее не защищенных от записи.

На время работы с подозрительным программным обеспечением используйте программы-мониторы, например монитор VSafe, входящий в состав MS-DOS. Если программа действительно окажется заражена вирусом или она содержит логическую бомбу, монитор сообщит о любых несанкционированных действиях с ее стороны. К сожалению программы-мониторы типа VSafe легко могут быть обмануты вирусами, поэтому более надежно использовать программно-аппаратные средства защиты.

В состав антивирусного комплекта “ДиалогНаука” входит программно-апаратный комплекс защиты Sheriff. Помимо всего прочего, он выполняет все функции программ мониторов, но делает это значительно лучше. За счет того что контроль компьютера обеспечивается специальным контроллером защиты на аппаратном уровне, вирусы не смогут обмануть Sheriff.

Как защитить дискеты от записи

Вы можете защитить свои дискеты от записи. Защита работает на уровне аппаратуры компьютера и ее нельзя отключить программными методами. Поэтому вирус не сможет заразить загрузочный сектор и выполнимые файлы, записанные на дискете с установленной защитой от записи.

Все дистрибутивы программного обеспечения, записанные на дискетах, следует защитить от записи. Большинство программного обеспечения можно устанавливать с дискет, на которых установлена защита от записи

Если вы попытаетесь записать данные на дискету с установленной защитой от записи, операционная система выведет на экран компьютера предупреждающее сообщение. Оно может иметь различный вид, в зависимости от того, какие средства используются для записи на дискету.

Например, если вы используете команды COPY или XCOPY операционной системы MS-DOS, и пытаетесь записать файл на защищенную дискету, тогда на экране появится следующее сообщение:

Write protect error reading drive A
Abort, Retry, Fail?

Пользователь должен ответить, как операционная система должна поступить в этой ситуации. Вы можете выбрать три ответа: Abort, Retry или Fail. Для этого достаточно ввести с клавиатуры первый символ выбранного отвеста: Abort - , Retry - , Fail - . Можно использовать как заглавные так и строчные буквы.