Понятие компьютерного вируса. Жизненный цикл вирусов.
В настоящее время под компьютерным вирусом принято понимать программный код, обладающий следующими необходимыми свойствами: 1) способностью к созданию собственных копий, не обязательно совпадающих с оригиналом, но обладающих свойствами оригинала (самовоспроизведение); 2) наличием механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы. Вирусы в большинстве своем распространяются скрытно и несанкционированно. Сами компьютерные вирусы пишутся на языке ассемблера. Наиболее распространенной классификацией компьютерных вирусов является классификация по типам объектов вычислительной системы, в которые они внедряются. В настоящее время выделяются три типа объектов. 1. Программные файлы операционных систем. Вирусы, поражающие эти объекты, называются файловыми. 2. Системные области компьютеров, в частности области начальной загрузки операционных систем. Соответствующие вирусы получили название загрузочных или бутовых. 3. Макропрограммы и файлы документов современных систем обработки информации, например MicrosoftWord. Вирусы, связанные с этим типом объектов, именуются макровирусами. Существует и комбинированный тип — файлово – загрузочные вирусы. В некоторых работах по вирусной проблематике выделяется еще один класс вирусов, распространяющихся через вычислительные сети. Однако, на наш взгляд, здесь размывается граница между разными классами разрушающих программных воздействий – компьютерными вирусами и программами типа "червь". Жизненный цикл вирусов. Как и у любой программы, у компьютерных вирусов можно выделить две основные стадии жизненного цикла – хранение и исполнение. Стадия хранения соответствует периоду, когда вирус просто хранится на диске совместно с объектом, в который он внедрен. На этой стадии вирус является наиболее уязвимым со стороны антивирусного программного обеспечения, так как он не активен и не может контролировать работу операционной системы с целью самозащиты. Некоторые вирусы на этой стадии используют механизмы защиты своего кода от обнаружения. Наиболее распространенным способом защиты является шифрование большей части тела вируса. Его использование совместно с механизмами мутаций кода (об этом идет речь ниже) делает невозможным выделение устойчивых характеристических фрагментов кода вирусов — сигнатур. Это, в свою очередь, приводит к недееспособности антивирусных средств, основанных на методах поиска заранее выявленных сигнатур. Стадия исполнения компьютерных вирусов, как правило, состоит из пяти этапов: 1) загрузка вируса в память; 2) поиск жертвы; 3) заражение найденной жертвы; 4) выполнение деструктивных функций; 5) передача управления программе-носителю вируса. 53. Характеристика средств борьбы с компьютерными вирусами. Для борьбы с компьютерными вирусами в настоящее время используются различные средства, которые можно разделить на три класса: 1) административные; 2) юридические; 3) технические. Административные средства, как правило, включают комплекс мер, действующих в рамках предприятий и направленных на снижение ущерба, наносимого компьютерными вирусами. В качестве примеров можно привести программы проведения профилактических мероприятий, планы действия сотрудников в случае, если их компьютер подвергся вирусной атаке, запреты на самостоятельную установку нового программного обеспечения и т.п. Юридические средства сводятся к привлечению к уголовной (или административной) ответственности лиц, по чьей вине наносится ущерб вычислительным системам. В настоящее время законодательства многих стран имеют разделы, посвященные компьютерным преступлениям, к числу которых относится распространение компьютерных вирусов. В частности, в Уголовном кодексе Российской Федерации имеется статья 273, в которой предусмотрена ответственность "за создание, использование и распространение вредоносных программ для ЭВМ ", заключающаяся в "лишении свободы на срок до трех лет со штрафом от двухсот до пятисот минимальных размеров оплаты труда". Технические средства разделяются на программные и аппаратные. Под первой группой средств обычно понимают программы, применяемые для предупреждения заражения и выявления факта заражения. К аппаратным средствам относятся различные устройства, позволяющие контролировать обращения к данным жесткого диска, проверять при загрузке операционной системы состояние загрузочного сектора и т.п. Существует 2 метода борьбы с вирусами. 1.Общие методы защиты программного обеспечения, решающие задачи борьбы со случайными сбоями оборудования и несанкционированным доступом. а) Контроль целостности системных областей, запускаемых прикладных программ и используемых данных. б) Контроль критических для безопасности системы событий. Данные методы действенны лишь тогда, когда контрольные элементы не подвержены воздействию закладок и разрушающее воздействие либо инициирующее его событие входят в контролируемый класс. Так, система контроля за вызовом прерываний не будет отслеживать обращение к устройствам на уровне портов в) Создание безопасной и изолированной операционной среды. г) Предотвращение результирующего воздействия вируса или закладки (например, запись на диск только в зашифрованном виде на уровне контроллера – тем самым локальное сохранение информации закладкой не имеет смысла – или запрет записи на диск на аппаратном уровне). 2. Специальные методы выявления программ с потенциально опасными последствиями. а) Поиск фрагментов кода по характерным последовательностям (сигнатурам), свойственным закладкам, либо, наоборот, разрешение на выполнение или внедрение в цепочку прерываний только программам с известными сигнатурами. б) Поиск критических участков кода (с точки зрения безопасности компьютерной системы) методом семантического анализа. При этом анализ фрагментов кода на выполняемые ими функции, например выполнение НСЗ, часто сопряжен с дизассемблированием или эмуляцией выполнения. 54. Понятия антивирусной защиты. Классификация антивирусов. Антивирусные комплексы. Антиви́русная програ́мма (антиви́рус, средство антивирусной защиты[1], средство обнаружения вредоносных программ[1]) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления заражённых (модифицированных) такими программами файлов и профилактики — предотвращения заражения (модификации) файлов или операционной системывредоносным кодом. Классификация антивирусных программ Данные программы можно классифицировать по пяти основным группам:фильтры, детекторы, ревизоры, доктора и вакцинаторы. Антивирусы-фильтры- это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например, о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT- вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать. Наибольшее распространение в нашей стране получили программы- детекторы, а вернее программы, объединяющие в себе детектор и доктор. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Многие программы-детекторы позволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору). Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов. Ревизоры – это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус. К последней группе относятся самые неэффективные антивирусы - вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной. Антивирусный комплекс - набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз.
Популярное: Модели организации как закрытой, открытой, частично открытой системы: Закрытая система имеет жесткие фиксированные границы, ее действия относительно независимы... Генезис конфликтологии как науки в древней Греции: Для уяснения предыстории конфликтологии существенное значение имеет обращение к античной... Как выбрать специалиста по управлению гостиницей: Понятно, что управление гостиницей невозможно без специальных знаний. Соответственно, важна квалификация... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (576)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |