Вирусы защита от разрушающих программных воздействий
Читайте также:
A) загрязнение атмосферного воздуха от воздействий человека
A) от типа файла и программы- архиватора
A) прикладная программа, предназначенная для обработки структурированных в виде таблицы данных
A) прикладная программа, предназначенная для обработки структурированных в виде таблицы данных
A) Пуск - Программы - Microsoft Word
A) Пуск - Программы-Microsoft Word
A) системного программного обеспечения
A) Совокупность программных средств, с помощью которых создается база данных и поддерживается в процессе эксплуатации
EXtreme Programming или XP (экстремальное программирование)
GNU - это, в первую очередь, люди, а затем уже программы и технологии.
Задача анализа программного обеспечения возникает в различных ситуациях. Например, для создания антивирусной программы сначала надо понять принципы работы вируса или, например, при создании надежной системы информации, необходимо стать в позицию злоумышленника и попытаться преодолеть защиту, реализуемую тестируемой системой. При проведении такой экспертизы неизбежно возникает задача анализа программного обеспечения тестируемой системы.
Задачу изучения программы в общем виде можно сформулировать так. Имеется бинарный код программы (например. exe-файл) и минимальная информация о том, что эта программа делает. Нужно получить более детальную информацию о функционировании этой программы. Другими словами, известно, что делает программа, и необходимо узнать, как она это делает.
В настоящее время наиболее широко применяются статический и динамический методы восстановления алгоритмов, реализуемых программой.
Основу статического метода составляют дизассемблеры – программы, которые переводят последовательность машинных кодов в листинг, близкий к исходному тексту программы на языке ассемблера. Дальнейшая работа после дизассемблирования сводится к анализу полученных листингов, поиску участков, отвечающих за защиту информации, и переводу описания процедур функционирования алгоритмов защиты на понятный аналитику язык.
Динамический метод использует отладочные средства. Отладчик – это программа, которая загружает в память другую программу и предоставляет пользователю возможность наблюдать за ходом выполнения этой программы.
Задача защиты от изучения сводится к решению двух взаимосвязанных задач:
Атаки злоумышленника на логику работы СЗИ сводятся к декомпозиции программного кода на множество отдельных команд (инструкций), каждая из которых рассматривается отдельно. Условно такие атаки можно разделить на статистические – декомпозиция всего кода программы, основанная на анализе логики исполнения команд и логики вызовов различных функций (дизассемблирование); и динамические – разбор по командам, сопряженный с выполнением программы.
Способы защиты от исследования можно разделить на 4 класса:
1. Влияние на работу отладочного средства через общие программные или аппаратные ресурсы. В данном случае наиболее известны: использование аппаратных особенностей микропроцессора; использование общего программного ресурса с отладочным средством и разрушение данных или кода отладчика, принадлежащих общему ресурсу; переадресация обработчиков отладочных событий от отладочного средства к защищаемой программе.
2. Влияние на работу отладочного средства путем использования особенностей его аппаратной или программной среды.
3. Влияние на работу отладчика через органы управления или устройства отображения информации.
4. Использование принципиальных особенностей работы управляемого человеком отладчика. В данном случае защита от исследования состоит в навязывании для анализа избыточного большого объема кода. В ряде способов защиты от отладки идентификация отладчика и направление его по ложному пути происходит одновременно, в одном и том же фрагменте кода. В других случаях ложный путь в работе программы формируется искусственно. Часто для этого используют динамическое преобразование программы (шифрование) во время ее исполнения.
Преобразование кода во время исполнения программы может преследовать 3 основные цели: противодействие файловому дизассемблированию программы; противодействие работе отладчику; противодействие считыванию кода программы в файл из оперативной памяти. Основные способы организации преобразования кода программы:
1. замещение фрагмента кода функцией от находящихся на данном месте команд или некоторых данных.
2. Определение стека в области кода и перемещение фрагментов кода с использованием стековых команд.
3. Преобразование кода в зависимости от содержания предыдущего фрагмента кода или некоторых условий, полученных при работе предыдущего фрагмента.
4. Преобразование кода в зависимости от внешней к программе информации.
5. Преобразование кода, совмещенное с действиями, характерными для работы отладочных средств.
Возможной задачей является защита от трассировки программы по заданному событию. В качестве защиты можно выделить следующие способы:
- Пассивная защита – запрещение работы при переопределении обработчиков событий относительно заранее известного адреса.
- Активная защита первого типа – замыкание цепочек обработки событий, минуя программы трассировки.
Встраивание защитных механизмов можно выполнить следующими основными способами:
1. вставкой фрагмента проверочного кода в исполняемый файл;
2. преобразованием исполняемого файла к неисполняемому виду (например, с использование шифрования) и применением для загрузки не ОС, а некоторой программы, в теле которой и осуществляются необходимые проверки.
3. вставкой проверочного механизма в исходный код на этапе разработки и отладки программного продукта.
4. комбинированием указанных способов.
Программой с потенциально опасными последствиями, называют некоторую программу, которая способна выполнить любое непустое подмножество функций:
- скрыть признаки своего присутствия в программной среде компьютерных систем (КС).
- реализовать самодублирование, ассоциирование себя с другими программами или перенос своих фрагментов в другие области оперативной или внешней памяти.
- разрушить или исказить произвольным образом код программ (отличных от нее) в оперативной памяти КС.
- перенести фрагменты информации из оперативной памяти в некоторые области оперативной или внешней памяти прямого доступа.
- имеет потенциальную возможность исказить произвольным образом, заблокировать или подменить выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ или уже находящийся во внешней памяти, либо изменить его параметры.
Существуют следующие модели закладок:
12. Перехват информации может происходить в основном следующими способами:
13. - встраиванием в цепочку прерывания int 9h;
14. -анализом содержания клавиатурного порта или буфера клавиш по таймерному прерыванию.
Методы внедрения программных закладок:
- Подмена закладкой одного или нескольких программных модулей атакуемой среды.
- Подмена закладкой одного или нескольких программных модулей атакуемой среды.
Под компьютерным вирусом принято понимать программный код, обладающий следующими необходимыми свойствами:
1. способностью к созданию собственных копий, не обязательно совпадающих с оригиналом, но обладающих свойствами оригинала.
2. наличием механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы.
Для защиты систем от закладок необходимо полностью исключить наличие РПВ (разрушающих программных воздействий) или допустить присутствие РПВ с вероятностью не выше заданной и очень малой, т.е. создать изолированную среду.
Программная среда называется изолированной при выполнении следующих условий.
1. на компьютере с проверенной BIOS установлена проверенная ОС.
2. достоверно установлена неизменность ОС и BIOS для данного сеанса работы.
3. кроме проверенных программ в данной программно-аппаратной среде не запускалось и не запускается никаких иных программ.
4. исключен запуск проверенных программ в какой-либо иной ситуации, т.е. вне проверенной среды.
Дата добавления: 2015-04-18 ; просмотров: 143 ; Нарушение авторских прав
Сайт СТУДОПЕДИЯ проводит ОПРОС! Прими участие :) - нам важно ваше мнение.
Защита от разрушающих программных воздействий. Изолированная программная среда
Методы борьбы с воздействием разрушающих программных воздействий можно разделить не следующие классы.
1. Общие методы защиты программного обеспечения от РПВ
1.1. контроль целостности системных областей, запускаемых прикладных программ и используемых данных;
1.2. контроль цепочек прерываний и фильтрация вызовов критических для безопасности системы прерываний.
Данные методы действенны лишь тогда, когда контрольные элементы не подвержены воздействию закладок и разрушающее воздействие входит в контролируемый класс. Так, например, система контроля над вызовом прерываний не будет отслеживать обращение на уровне портов. С другой стороны контроль целостности информации может быть обойден злоумышленником путём:
· навязывания конечного результата проверок;
· влияния на процесс считывания информации;
· изменения хеш-значений, хранящихся в общедоступных файлах.
1.3. создание безопасной и изолированной операционной среды;
1.4. предотвращение результирующего воздействия вируса или закладки (например, запись на диск только в зашифрованном виде на уровне контроллера, либо запрет записи на диск на аппаратном уровне).
2. Специализированные методы борьбы с РПВ
2.1. поиск фрагментов кода по характерным последовательностям (сигнатурам), свойственным РПВ, либо наоборот, разрешение на выполнение или внедрение в цепочку прерываний только программ с известными сигнатурами;
2.2. поиск критических участков кода методом семантического анализа (анализ фрагментов кода на выполняемые ими функции, часто сопряженный с дисассемблированием или эмуляцией выполнения).
Заметим, что при пустом множестве активизирующих событий для закладки потенциальные деструктивные действия с ее стороны невозможны.
Предположим, что в ПЗУ и ОС отсутствуют закладки – проверка этого проведена по некоторой методике. Пусть также пользователь работает только с программами, процесс написания и отладки которых полностью контролируется, т.е. в них также исключено наличие закладок. Такие программы называются проверенными. Потенциально злоумышленными действиями в этом случае могут быть следующие:
· проверенные программы будут использованы на другой ПЭВМ с другим BIOS и в этих условиях могут использоваться некорректно;
· проверенные программы будут использованы в аналогичной, но не проверенной операционной среде, в которой они также могут использоваться некорректно;
· проверенные программы используются на проверенной ПЭВМ и в проверенной операционной среде, но запускаются еще и непроверенные программы, потенциально несущие в себе возможности НСД.
Следовательно, в этих условиях деструктивные действия закладок гарантированно невозможны, если выполняются следующие условия:
1) На ПЭВМ c проверенным BIOS установлена проверенная операционная среда.
2) Достоверно установлена неизменность ОС и BIOS для данного сеанса работы.
3) Кроме проверенных программ в данной программно-аппаратной среде не запускалось и не запускается никаких иных программ, проверенные программы перед запуском контролируются на целостность.
4) Исключен запуск проверенных программ в какой-либо иной ситуации, т.е. вне проверенной среды.
5) Условия 1-4 выполняются в любой момент времени для всех пользователей, аутентифицированных защитным механизмом.
При выполнении перечисленных выше условий программная среда называется изолированной (ИПС – изолированная программная среда).
Основными элементами поддержания ИПС являются контроль целостности и активности процессов.
Функционирование программ в рамках ИПС существенно ослабляет требования к базовому ПО операционной среды. ИПС контролирует активизацию процессов через операционную среду, контролирует целостность исполняемых модулей перед их запуском и разрешает инициирование процесса только при одновременном выполнении двух условий - принадлежности к разрешенным программам и неизменности программ. В таком случае, для предотвращения угроз, связанных с внедрением в операционную среду скрытых недекларированных возможностей, от базового ПО требуется только:
1. невозможность запуска программ помимо контролируемых изолированной программной средой событий;
2. отсутствие в базовом программном обеспечении возможностей влиять на среду функционирования уже запущенных программ (фактически это требование невозможности редактирования и использования оперативной памяти другого процесса).
Создание и поддержка изолированной программной среды возможны только с помощью специализированных аппаратных средств, целостность которых обеспечивается технологией производства и периодическими проверками.
Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет
Понятие вирусов было сформулировано в 1904 г. американским исследователем Ф.Коэном. Принято под вирусом понимать программный код, обладающий следующими свойствами:
1) Способность к созданию собственных копий, необязательно совпадающих с оригиналом, но обладающих свойствами оригинала.
2) Наличие механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы.
В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:
¨ способу заражения среды обитания
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-
cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.
По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды:
* неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах
* опасные вирусы, которые могут привести к различным нарушениям в работе компьютера
* очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
Классификация вирусов по типам объектов вычислительной системы, в которых внедряются:
1)Программные файлы операционной системы - это файловые вирусы.
2)Системные области компьютеров, в частности области начальной загрузки операционной системы. Соответствующие вирусы получили название загрузочных или бутовых.
3)Макропрограммы и файлы документов современных систем обработки информации. такие вирусы называются макровирусами.
1)Хранение – соответствует периоду, когда вирус хранится на диске совместно с объектом, в который он внедрен. На этой стадии вирус является наиболее уязвимым для антивирусных программ, т.к. он не может контролировать работу операционной системы с целью самозащиты. Наиболее распространенным способом защиты является шифрование большей части тела вируса. Его использование совместно с механизмами мутации кода делает невозможным выделение устойчивых характеристических фрагментов сигнатур. Это в свою очередь приводит к недееспособности антивирусных средств, основанных на методах поиска заранее выделенных сигнатур.
2)Исполнение состоит из 5 этапов:
а) загрузка вируса в память
в) заражение найденной жертвы
г) выполнение деструктивных функций
д) передача управления программе-носителю вируса
Загрузка вируса в память осуществляется операционной системой одновременно с загрузкой исполняемого объекта, в который вирус внедрен. В простейшем случае, процесс загрузки вируса представляет собой копирование с диска в оперативную память сопровождаемой настройкой адресов, после чего управление передается коду тела вируса. Эти действия выполняются операционной системой, а сам вирус находится в пассивном состоянии. В сложном случае, после получения управления вирус может выполнить ряд действий:
а) использовать для защиты методы криптографической защиты. В этом случае дополнительные действия, которые вирус выполняет на этапе загрузки, состоят в расшифровании основанного тела вируса.
б) объект и вирус располагаются в едином адресном пространстве. После завершения работы объекта, объект выгружается из оперативной памяти и при этом выгружается вирус, переходя в пассивную стадию хранения. Однако некоторые типы вирусов способны сохраняться в памяти и оставаться активными после окончания работы вируса носителя. Такие вирусы называются резидентными.
Для закрепления в оперативной памяти вирусы переносят свой код либо в самостоятельно отведенные блоки памяти, либо в зарезервированные под нужды операционной системы участки памяти. Также вирус заботится, чтобы этой области передавалось оперативное управление. Вирусы изменяют код системных функций, которыми гарантированно используются прикладными программами. Добавляет в них команды передачи управления своему коду. Изменяют системные таблицы, адреса соответствующих системных функций, подставив адреса своих подпрограмм, т.е. свойство резидентности предполагает выполнение вирусом на этапе загрузки двух действий:
-закрепление в памяти
-перехват системных функций
Stells-вирусы, для которых характерным является перехват системных функций с целью контроля действий операционной системы. Они скрывают свое присутствие и избегают обнаружение антивирусными программами.
Поиск жертвы. По способу поиска жертвы вирусы можно разделить на два класса:
а) осуществляющие активный поиск с использованием функций операционной системы. Например: файловые вирусы, использующие механизм поиска используемых файлов в текущем каталоге.
Заражение найденной жертвы в простейшем случае заражение представляет собой самокопирование кода вируса выбранной в качестве жертвы объект. По способу инфицирования жертвы вирусы можно разделить на классы:
1) вирусы, которые не внедряют свой код непосредственно в программный файл, а изменяют имя файла и создают код старым именем новый, содержащий тело вируса.
2) Вирусы, внедряющиеся непосредственно в файлы жертвы. Они характеризуются местом внедрения в файл:
а) в начало файла. При внедрении производится объединение собственного кода программы. Либо переписывается начальный фрагмент файлов в конец, освобождая место для себя.
б) внедрение в конец файла. Передача управления вирусу обеспечивается модификацией первых команд программы (com) либо заголовков программы (exe)
в) внедрение в середину файла. Используется для файлов с заранее известной структурой, либо к файлам, содержащим последовательность байтов.
Защита от разрушающих программных воздействий (РПВ)
Важным моментом при использовании системы ЗИ является обеспечение потенциального невмешательства иных присутствующих в системе программ в процесс обработки информации компьютерной системой, работу системы ЗИ.
С помощью посторонних программ, присутствующих в компьютерной системе, злоумышленник может реализовать опосредованный несанкционированны доступ, то есть НСД, реализуемый злоумышленником не напрямую, а путем запуска в систему постороннего ПО – программных закладок, либо внедрения его на этапе проектирования АС. Можно выделить 3 вида разрушающих программных воздействий (программных воздействий, которые способны нарушить штатное функционирование АС).
Эти программы могут реализовать следующие функции:
скрывать признаки своего присутствия в оперативной среде
реализуют самодублирование и ассоциирование себя с другими программами. Самодублирование – процесс воспроизведения программой своего кода, который не обязательно совпадает с эталоном, но реализует те же самые функции. Под ассоциированием понимают внедрение программой своего кода в исполнительный код другой программы так, чтобы при неопределенных условиях управление передавалось этому РПВ.
способны разрушать код иных программ в оперативной памяти КС
способны переносить фрагменты информации из оперативной памяти в некие области внешней памяти, доступной злоумышленнику
имеют потенциальную возможность исказить либо подменить выводящуюся во внешнюю память информацию.
РПВ делятся на следующие классы:
Вирусы. Особенностью является направленность на самодублирование и деструктивные функции. Задача скрытия своего присутствия в ПА среде часто не ставится
Логические люки. РПВ, представляющее собой недекларируемую возможность, внедренную на этапе проектирования кода в исходные тексты программного обеспечения.
Программные закладки. Как правило, реализуют функции с 3 по 5, их действия могут быть направлены на кражу информации, либо отключение защитных функций.
Для того, чтобы РПВ получило управление, оно должно находится в оперативной памяти и активизироваться по некому общему для этого РПВ и прикладной программы, являющейся целью её воздействия, событию. Подобное событие называется активизирующим.
Если РПВ присутствует в ПА среде и загружено в оперативную память, то при отсутствии для него активизирующего события деструктивные особенности этого РПВ невозможны.
В качестве событий могут выступать прерывания, связанные с выполнением определенных действий, а часто действие, связанное с работой системы защиты, ввод с клавиатуры, прерывания по таймеру, операция с файлами и т.д.
Основные модели работы РПВ
Перехват. РПВ внедряется в оперативную среду и осуществляет перехват и дальнейшее копирование требуемой информации в некие скрытые области оперативной памяти. Например, клавиатурные шпионы.
Искажение либо инициатор ошибок.
РПВ, активируясь в компьютерной системе, искажает потоки выходных данных, подменяет входные данные, а также инициирует или подавляет ошибки, возникающие при работе прикладных программ.
Выделяют 3 основные группы деструктивных функций РПВ:
Сохранение фрагментов информации во внешнюю память.
Изменение алгоритмов функционирования прикладных программ.
Блокировка определенных режимов работы прикладных программ.
Компьютерные вирусы как класс РПВ
Вирусы как класс РПВ обладают следующими функциями:
способность к самодублированию
способность к ассоциированию с другими программами
способность скрывать признаки своего присутствия до определенного момента
направлены на деструктивные функции
Компьютерные вирусы делятся на:
Жизненный цикл вирусов включает 2 фазы: латентную, когда вирус не проявляет своего присутствия, и фазу непосредственного функционирования.
Переход от латентной фазы к фазе исполнения выполняется по методу активизирующего события. Загрузка вируса в оперативную память выполняется одновременно с загрузкой инфицированного объекта. Основные способы загрузки зараженных объектов:
автоматическая загрузка при запуске операционной системы
внедрение в меню автозагрузки
через носители типа flash
Фаза исполнения вируса включает следующие этапы:
загрузка вируса в память
выполнение деструктивных функций
передача управления объекту-носителю вируса.
те, которые выполняют активный поиск объектов
те, которые ведут пассивный поиск, то есть устанавливают ловушки на заражаемые объекты
Инфицирование объектов может выполняться либо путем простого самокопирования кода вируса в исполнительный код, либо может использовать более сложный алгоритм, осуществляя мутацию исполнительного кода вируса при его самодублировании. Суть мутации сводится к изменению кода таким образом, чтобы вирус нельзя было обнаружить по фиксированным сигнатурам. Может использоваться шифрование кода на различных ключах.
Суть мутации кода может заключается в изменении порядка независимых инструкций, в замене одних регистров на другие, внедрение в исполнительный код мусорных конструкций, в замене одних инструкций другими.
Вирусы, мутирующие в процессе самокопирования называются полиморфными. Если неполиморфные вирусы могут быть идентифицированы в ПА среде путем их поиска по сигнатурам, то полиморфные вирусы не имеют сигнатуру, по которой бы они однозначно идентифицировались.
Для защиты от вирусов наиболее часто применяют антивирусные мониторы, сканнеры, ПА средства, не допускающие заражение вирусами объектов операционной среды, не допускающие проникновение в КС.
Наиболее часто используемые пути проникновения вируса в КС:
носитель информации с зараженным объектом;
Методы борьбы с РПВ
Контроль целостности, системных событий, прикладных программ, используемых данных
Контроль цепочек прерываний и фильтрация вызовов, критических для безопасности систем прерываний
Создание изолированной программной среды
Предотвращение результатов воздействия РПВ, например, аппаратная блокировка записи на диск
Поиск РПВ по свойственным им или характерным последовательностям – сигнатурам
Сигнатура – уникальная последовательность кода, свойственная вирусу, её присутствие в исполняемом коде говорит об однозначном присутствии РПВ. Можно поступить по-другому: разрешить запускать системе только те модули, которые имеют известную сигнатуру.
Поиск критических участков кода, путем его синтаксического анализа, выявление синтаксических характерных конструкций с точки зрения РПВ, например, вирусов.
Тестирование программ и компьютерной техники на испытательных стендах, в испытательных лабораториях, идентификация условий, возникающих в ПА среде, при которых она начинает вести себя некорректно.
Метод Мельсона – тестирование всех путей переходов программе.
Первый и второй метод действенны, когда сами контрольные элементы не подвержены воздействию закладок. Если этого не обеспечить, закладка может модифицировать алгоритм контроля целостности, подменить контрольную сумму.
Изолированная программная среда
При отсутствии активизирующих событий для программной закладки, её деструктивное воздействие невозможно, даже если она присутствует в ПА среде. Поэтому одним из способов защиты от РПВ можно нейтрализацию всех активных событий ПЗ.
ИПС характеризуется выполнением следующих условий:
на ЭВМ с проверенным BIOS-ом установлена проверенная ОС;
достоверно установлена неизменность ОС и BIOSа для текущего сеанса работы пользователя;
Эта достоверность должна достигаться только путем использования аппаратных средств, процедура контроля целостности которых прошитая в их ПЗУ, контроль целостности должен выполняться на протяжении всего сеанса работы пользователя, начиная с самых разных этапов загрузки ЭВМ.
кроме проверенных программ в ПА среде не запускалась и не запускается никаких иных программ. Проверенная программа перед запуском контролируется на целостность;
исключен запуск проверенных программ вне проверенной среды;
все вышесказанные требования должны выполняться для всех пользователей, аутентифицированных защищаемыми механизмами.
Идентификацию и аутентификацию пользователя желательно также выполнять на аппаратном блоке.
ИПС при запуске программы пользователя одновременно выполняет проверку условий:
их принадлежность к списку разрешенных для записи
Цель лекции: изучение основных характеристик антивирусных защит
а) методы защиты от компьютерных вирусов;
б) защита информации в Интернете;
в) защита от несанкционированного доступа.
Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.
Общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).
Детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение.
Многие детекторы имеют режимы лечения или уничтожения зараженных файлов.
Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны". Программа Scan McAfee Associates и Aidstest позволяют обнаруживать всего несколько тысяч вирусов, но всего их более 80 тысяч! Некоторые программы-детекторы, например Norton AntiVirus или AVSP, могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не менее, невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.
Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.
Многие программы-детекторы (в том числе и Aidstest) не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Дело в том, что для чтения диска они используют функции DOS, перехватываются вирусом, который говорит, что все хорошо. Правда, Aidstest и др. программы могут выявить вирус путем просмотра оперативной памяти, но против некоторых "хитрых" вирусов это не помогает. Так что надежный диагноз программы-детекторы дают только при загрузке DOS с защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с этой дискеты.
Некоторые детекторы, скажем, ADinf "Диалог-Наука", умеют ловить "невидимые" вирусы, даже когда они активны. Для этого они читают диск, не используя вызовы DOS. Этот метод работает не на всех дисководах.
Большинство программ-детекторов имеют функцию "доктора", т.е. пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.
Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.
К таким программам относится AVSP.
Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.
Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.
Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.
Следует заметить, что многие программы-ревизоры не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Но некоторые программы-ревизоры, например ADinf фи "Диалог-Наука", все же умеют делать это, не используя вызовы DOS для чтения диска (правда, они работают не на всех дисководах). Увы, против некоторых "хитрых" вирусов все это бесполезно.
Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.
В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. доктора-ревизоры - программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.
Но они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные", известные на момент написания программы, механизмы заражения файлов.
Существуют также программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.
Однако преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.
Сейчас вряд ли кому-то надо доказывать, что при подключении к Internet Вы подвергаете риску безопасность Вашей локальной сети и конфиденциальность содержащейся в ней информации. По данным CERT Coordination Center в 1995 году было зарегистрировано 2421 инцидентов - взломов локальных сетей и серверов. По результатам опроса, проведенного Computer Security Institute (CSI) среди 500 наиболее крупных организаций, компаний и университетов с 1991 число незаконных вторжений возросло на 48.9 %, а потери, вызванные этими атаками, оцениваются в 66 млн. долларов США.
Для предотвращения несанкционированного доступа к своим компьютерам все корпоративные и ведомственные сети, а также предприятия, использующие технологию intranet, ставят фильтры (fire-wall) между внутренней сетью и Internet, что фактически означает выход из единого адресного пространства. Еще большую безопасность даст отход от протокола TCP/IP и доступ в Internet через шлюзы.
Этот переход можно осуществлять одновременно с процессом построения всемирной информационной сети общего пользования, на базе использования сетевых компьютеров, которые с помощью сетевой карты и кабельного модема обеспечивают высокоскоростной доступ к локальному Web-серверу через сеть кабельного телевидения.
Для решения этих и других вопросов при переходе к новой архитектуре Internet нужно предусмотреть следующее:
Во-первых, ликвидировать физическую связь между будущей Internet и корпоративными и ведомственными сетями, сохранив между ними лишь информационную связь через систему World Wide Web.
Во-вторых, заменить маршрутизаторы на коммутаторы, исключив обработку в узлах IP-протокола и заменив его на режим трансляции кадров Ethernet, при котором процесс коммутации сводится к простой операции сравнения MAC-адресов.
В-третьих, перейти в новое единое адресное пространство на базе физических адресов доступа к среде передачи (MAC-уровень), привязанное к географическому расположению сети и позволяющее в рамках 48-бит создать адреса для более чем 64 триллионов независимых узлов.
Одним из наиболее распространенных механизмов защиты от интернетовских бандитов - “хакеров” является применение межсетевых экранов - брандмауэров(firewalls).
Стоит отметить, что вследствие непрофессионализма администраторов и недостатков некоторых типов брандмауэров порядка 30% взломов совершается после установки защитных систем.
Не следует думать, что все изложенное выше - “заморские диковины”. Казахстан уверенно догоняет другие страны по числу взломов серверов и локальных сетей и принесенному ими ущербу
Несмотря на кажущийся правовой хаос в рассматриваемой области, любая деятельность по разработке, продаже и использованию средств защиты информации регулируется множеством законодательных и нормативных документов, а все используемые системы подлежат обязательной сертификации Государственной Технической Комиссией при президенте Казахстана.
Известно, что алгоритмы защиты информации (прежде всего шифрования) можно реализовать как программным, так и аппаратным методом. Рассмотрим аппаратные шифраторы: почему они считаются 6oлee надежными и обеспечивающими лучшую защиту.