русс | укр

Программирование:

Языки программирования

ПаскальСиАссемблерJavaMatlabPhpHtmlJavaScriptCSSC#DelphiТурбо Пролог

Компьютерные сетиСистемное программное обеспечениеИнформационные технологииПрограммирование

Все о программировании

Обучение

Linux Unix Алгоритмические языки Аналоговые и гибридные вычислительные устройства Архитектура микроконтроллеров Введение в разработку распределенных информационных систем Введение в численные методы Дискретная математика Информационное обслуживание пользователей Информация и моделирование в управлении производством Компьютерная графика Математическое и компьютерное моделирование Моделирование Нейрокомпьютеры Проектирование программ диагностики компьютерных систем и сетей Проектирование системных программ Системы счисления Теория статистики Теория оптимизации Уроки AutoCAD 3D Уроки базы данных Access Уроки Orcad Цифровые автоматы Шпаргалки по компьютеру Шпаргалки по программированию Экспертные системы Элементы теории информации

Вирусы и антивирусные средства

Дата добавления: 2013-12-23; просмотров: 3419; Нарушение авторских прав

Классификация средств защиты информации. Контроль за доступом к информации.

Компьютерный вирус— специальная программа, способная самопроизвольно присоединяться к другим программам («зара­жать» их) и при запуске последних выполнять различные не­желательные действия: порчу файлов и каталогов, искажение результатов вычислений, засорение или стирание памяти, со­здание помех в работе компьютера.

Наличие вирусов проявляется в следующих ситуациях:

• некоторые программы перестают работать или начинают ра­ботать некорректно;

• на экран выводятся посторонние сообщения, сигналы и дру­гие эффекты;

• работа компьютера существенно замедляется;

• структура некоторых файлов оказывается испорченной и т.д.

Классификация компьютерных вирусов

Имеется несколько признаков классификации существующих компьютерных вирусов:

по среде обитания;

• по области поражения;

• по особенностям алгоритма;

• по способу заражения;

• по деструктивным возможностям.

Рассмотрим приведенную классификацию более детально.

1. Классификация по среде обитания. Различают файловые, загрузочные, макро- и сетевые вирусы.

Файловые вирусынаиболее распространенный тип виру­сов. Эти вирусы внедряются в выполняемые файлы, создают файлы-спутники (соmpanion-вирусы) или используют особенно­сти организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя в загрузочный сектор диска (bооt-сектор) или в сектор системного загрузчика жестко­го диска (Master Вооt Record). Начинают работу при загрузке компьютера и обычно становятся резидентными (постоянно хра­нящимися во время работы в оперативной памяти). Как прави­ло, эти вирусы состоят из двух частей, поскольку загрузочная запись имеет небольшой размер и в ней трудно разместить цели­ком программу вируса.

Макровирусы заражают файлы широко используемых паке­тов обработки данных. Эти вирусы представляют собой програм­мы, написанные на встроенных в эти пакеты языках програм­мирования. Наибольшее распространение получили макровирусы для приложений Мiсrоsoft Оffiсе. Для своего размножения та­кие вирусы используют возможности встроенного языка Visual Ваsiс fоr Аррlications (VВА). Вирусы находятся среди макросов, при помощи которых переносят себя из од­ного зараженного файла (документа или таблицы) в другие. Этот перенос, как правило, осуществляется при выполнении пользо­вателем стандартных операций (открытие документа, сохране­ние, печать, закрытие и др).

Опишем один из наиболее простых и часто используемых принципов активизации макровирусов редактора Мiсrоsoft Word. Существует жесткая зависимость между событиями, возникаемыми в этом редакторе, и именами автоматически запускаемых макрокоманд. Так, при запуске редактора автоматически вы­полняется макрос с именем АutоЕхес, при завершении работы — макрос АutоЕхit, а при создании нового документа —АutоNew.

В случае, если пользователь выбрал в редакторе Word команду открытия документа, осуществляется поиск и запуск макроса АutоОреn, при закрытии документа — макроса АutоСlоsе. При работе с документом редактор МS Word выполняет встроенные макросы: при сохранении файла по команде Файл-Сохранитъ как вызывается макрос FileSaveAs, при печати — FilePrint и пр. Полный перечень таких макросов пользователь имеет возмож­ность самоcтоятельно просмотреть, выполнив в редакторе МS Word команду Сервис-Настройка и нажав в появившемся диалого­вом окне Настройка пиктограмму Клавиатура.

Первоначальное заражение осуществляется следующим об­разом. Пользователь, редактируя зараженный документ, зара­жает сам редактор. Действительно, при выборе пользователем обычной Команды меню (Файл-Открыть, Файл-Закрыть, Файл-Сохранитъ как и пр.) редактор МS Word автоматически активизи­рует содержащийся в соответствующем макросе код вируса.

Большинство вирусов редактора МS Word при запуске перено­сят свой код (макросы) в область глобальных макросов докумен­та. При выходе из редактора глобальные макросы (включая мак­росы вируса) автоматически записываются в файл шаблона NORMAL.DОТ. Таким образом, редактор Word оказывается зара­женным. Затем этот редактор заражает все редактируемые фай­лы. Так, при последующем запуске редактора МS Word вирус активизируется автоматически. Затем вирус переопределяет один или несколько стандартных макросов (например, FileОреn, FileSaveAs, FilePrint), впоследствии перехватывает команды ра­боты с файлами. При вызове этих команд вирус заражает файл, к которому идет обращение. Если вирус перехватывает макрос FileSaveAs, то заражается каждый сохраняемый DОС-файл. Если перехвачен макрос FileОреn, то вирус записывает в файл свои макросы при его считывании с диска.

Похожие механизмы используются и в других приложениях Мiсrоsoft Оffiсе. Так, алгоритм работы макровирусов для МS Ехсеl во многом аналогичен методам работы вирусов для МS Word. Раз­личия заключаются в командах копирования макросов (напри­мер, Sheets.Сору), в отсутствии файла NОRМАL.DОТ — вирусы сохраняются в файлах, находящихся в каталоге STARTUР.

Отметим, что существует простой способ блокировки действия автоматических макросов, которые содержатся в документе и активизируются в момент его открытия, — удержание нажатой клавиши <Shift> при открытии файла.

Сетевые вирусы используют для своего распространения про­токолы или команды компьютерных сетей и электронной по­чты. Основным принципом работы сетевого вируса является воз­можность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Полноценные сетевые вирусы при этом должны обладать возможностью запустить на удаленном компь­ютере свой код на выполнение.

Наибольшую известность сетевые вирусы приобрели в конце 1990-х годов. Так, например, макровирус Масrо.Word.ShareFun, используя возможности электронной почты Мiсrоsoft Маil, со­здает новое письмо, содержащее зараженный документ, затем выбирает из списка адресов МS Маil несколько случайных адре­сов и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры МS Маil таким обра­зом, чтобы при получении письма он автоматически запускал МS Word, то вирус внедряется в компьютер адресата.

На практике существуют разнообразные сочетания вирусов — например, файлово-загрузочные вирусы, заражающие как фай­лы, так и загрузочные сектора дисков, или сетевые макровиру­сы, которые заражают редактируемые документы и рассылают свои копии по электронной почте.

2. Классификация по области поражения. Как правило, каж­дый вирус заражает файлы одной или нескольких операцион­ных систем: DОS, Windows, Win95/NT, ОS/2, Uniх. Макровиру­сы заражают файлы форматов МS Word, МS Ехсеl и других приложений МS Оffiсе. Многие загрузочные вирусы также ори­ентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

3. Классификация по особенностям алгоритма. Выделяют резидентные вирусы, стелс-вирусы (steals — англ, невидимка), полиморфные и другие вирусы.

Резидентные вирусы способны оставлять свои копии (или части) в операционной памяти, перехватывать обработку со­бытий (например, обращения к файлам или дискам) и вызы­вать при этом процедуры заражения объектов (файлов и секто­ров). Эти вирусы активны в памяти не только в момент работы зараженной программы, но и после. Резидентные копии таких вирусов жизнеспособны до перезагрузки операционной систе­мы, даже если на диске уничтожены все зараженные файлы. От таких вирусов сложно избавиться простым восстановлени­ем копий файлов с дистрибутивных или резервных дисков. Это объясняется тем, что резидентная копия вируса остается ак­тивной в оперативной памяти и заражает вновь создаваемые файлы. Если резидентный вирус является также загрузочным и активизируется при загрузке операционной системы, то даже форматирование диска при наличии в памяти этого вируса его не удаляет. Это объясняется тем, что многие резидентные вирусы заражают диск повторно после того, как он отформа­тирован.

Нерезидентные вирусы, напротив, активны довольно непро­должительное время — только в момент запуска зараженной про­граммы. Для своего распространения они выбирают на диске не­зараженные файлы и записываются в них. После окончания работы зараженной программы вирус становится неактивным вплоть до очередного запуска какой-либо зараженной програм­мы. Следует отметить, что зараженные нерезидентными вируса­ми файлы восстанавливаются значительно проще.

К разновидности резидентных вирусов следует отнести и мак­ровирусы, поскольку они постоянно присутствуют в памяти ком­пьютера во время работы зараженного редактора.

Стелс-алгоритмы позволяют вирусам полностью или час­тично скрыть свое присутствие. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно «лечат» эти объекты, либо подстав­ляют вместо себя незараженные участки информации. Наибо­лее распространенным способом реализации стелс-алгоритмов в макровирусах является запрет выполнения ряда команд, на­пример Сервис-Макрос. Частично к стелс-вирусам относят не­большую группу макровирусов, хранящих свой основной код не в макросах, а в других областях документа — в его перемен­ных или в Auto-text.

Полиморфность (самошифрование) используется для услож­нения процедуры обнаружения вируса. Полиморфные вирусы — это трудно выявляемые вирусы, не имеющие постоянного учас­тка кода. В общем случае два образца одного и того же вируса не имеют совпадений. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Так, например, некоторые макровирусы при создании своих новых копий случайным образом меняют имена своих переменных, вставляют пустые строки или модифицируют свой код иным способом.

При создании вирусов часто используются нестандартные приемы. Их применение должно максимально затруднить обна­ружение и удаление вируса.

4. Классификация по способу заражения.

Различают так на­зываемые троянские программы, утилиты скрытого админист­рирования, Intended-вирусы и пр.

Троянские программы получили свое название по аналогии с троянским конем. Назначение этих программ — имитация ка­ких-либо полезных программ, новых версий популярных ути­лит или дополнений к ним. Очень часто они рассылаются через ВВS-станции или электронные конференции. При их записи пользователем на свой компьютер троянские программы акти­визируются и выполняют нежелательные действия.

Разновидностью троянских программ являются утилиты скрытого администрирования (backdoor). По своей функцио­нальности и интерфейсу они во многом напоминают системы администрирования компьютеров в сети, разрабатываемые и распространяемые различными фирмами-производителями про­граммных продуктов. При инсталляции эти утилиты самостоя­тельно устанавливают на компьютере систему скрытого удален­ного управления. В результате возникает возможность скрытого управления этим компьютером. Реализуя заложенные алгорит­мы, утилиты без ведома пользователя принимают, запускают или отсылают файлы, уничтожают информацию, перезагружа­ют компьютер и пр. Возможно использование этих утилит для обнаружения и передачи паролей и иной конфиденциальной информации, запуска вирусов, уничтожения данных.

К Intended -вирусам относятся программы, которые не спо­собны размножаться из-за существующих в них ошибок. На­пример, вирусы при заражении не помещают в начало файла команду передачи управления на код вируса или записывают в нее неверный адрес своего кода. К этому классу также можно отнести вирусы, которые размножаются только один раз. Заразив какой-либо файл, они теряют способность к дальнейшему размножению через него.

5. Классификация по деструктивным возможностям.Виру­сы разделяют на:

неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, замедлением работы компьюте­ра, графическими и звуковыми эффектами;

опасные, которые потенциально могут привести к нарушени­ям в структуре файлов и сбоям в работе компьютера;

очень опасные, в алгоритм работы которых специально зало­
жены процедуры уничтожения данных и, согласно одной из
неподтвержденных гипотез, возможность обеспечивать быст­рый износ движущихся частей механизмов путем ввода в ре­зонанс и разрушения головок записи/чтения некоторых на­копителей на жестких дисках.


<== предыдущая лекция | следующая лекция ==>
Компьютерные вирусы и антивирусная защита. | Методы борьбы с компьютерными вирусами

Карта сайта Карта сайта укр

Видео
Уроки php mysql Программирование
Онлайн сервисы
Онлайн система счисления Калькулятор онлайн обычный Инженерный калькулятор онлайн Замена русских букв на английские для вебмастеров Замена русских букв на английские
Полезное

Аппаратное и программное обеспечение Графика и компьютерная сфера Интегрированная геоинформационная система Интернет Компьютер Комплектующие компьютера Лекции Методы и средства измерений неэлектрических величин Обслуживание компьютерных и периферийных устройств Операционные системы Параллельное программирование Проектирование электронных средств Периферийные устройства Полезные ресурсы для программистов Программы для программистов Статьи для программистов Cтруктура и организация данных

 


Не нашли то, что искали? Google вам в помощь!

  
 

© life-prog.ru При использовании материалов прямая ссылка на сайт обязательна.
Генерация страницы за: 0.01 сек.