Понятие компьютерного вируса. Жизненный цикл вирусов.

В настоящее время под компьютерным вирусом принято понимать программный код, обладающий следующими необходимыми свойствами:

1) способностью к созданию собственных копий, не обязательно совпадающих с оригиналом, но обладающих свойствами оригинала (самовоспроизведение);

2) наличием механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы.

Вирусы в большинстве своем распространяются скрытно и несанкционированно.

Сами компьютерные вирусы пишутся на языке ассемблера.

Наиболее распространенной классификацией компьютерных вирусов является классификация по типам объектов вычислительной системы, в которые они внедряются. В настоящее время выделяются три типа объектов.

1. Программные файлы операционных систем. Вирусы, поражающие эти объекты, называются файловыми.

2. Системные области компьютеров, в частности области начальной загрузки операционных систем. Соответствующие вирусы получили название загрузочных или бутовых.

3. Макропрограммы и файлы документов современных систем обработки информации, например MicrosoftWord. Вирусы, связанные с этим типом объектов, именуются макровирусами.

Существует и комбинированный тип — файлово – загрузочные вирусы. В некоторых работах по вирусной проблематике выделяется еще один класс вирусов, распространяющихся через вычислительные сети. Однако, на наш взгляд, здесь размывается граница между разными классами разрушающих программных воздействий – компьютерными вирусами и программами типа "червь".

Жизненный цикл вирусов.

Как и у любой программы, у компьютерных вирусов можно выделить две основные стадии жизненного цикла – хранение и исполнение. 

Стадия хранения соответствует периоду, когда вирус просто хранится на диске совместно с объектом, в который он внедрен. На этой стадии вирус является наиболее уязвимым со стороны антивирусного программного обеспечения, так как он не активен и не может контролировать работу операционной системы с целью самозащиты.

Некоторые вирусы на этой стадии используют механизмы защиты своего кода от обнаружения. Наиболее распространенным способом защиты является шифрование большей части тела вируса. Его использование совместно с механизмами мутаций кода (об этом идет речь ниже) делает невозможным выделение устойчивых характеристических фрагментов кода вирусов — сигнатур. Это, в свою очередь, приводит к недееспособности антивирусных средств, основанных на методах поиска заранее выявленных сигнатур.

Стадия исполнения компьютерных вирусов, как правило, состоит из пяти этапов:

1) загрузка вируса в память;

2) поиск жертвы;

3) заражение найденной жертвы;

4) выполнение деструктивных функций;

5) передача управления программе-носителю вируса.

53.  Характеристика средств борьбы с компьютерными вирусами.

Для борьбы с компьютерными вирусами в настоящее время используются различные средства, которые можно разделить на три класса:

1) административные; 2) юридические; 3) технические.

Административные средства, как правило, включают комплекс мер, действующих в рамках предприятий и направленных на снижение ущерба, наносимого компьютерными вирусами. В качестве примеров можно привести программы проведения профилактических мероприятий, планы действия сотрудников в случае, если их компьютер подвергся вирусной атаке, запреты на самостоятельную установку нового программного обеспечения и т.п.

Юридические средства сводятся к привлечению к уголовной (или административной) ответственности лиц, по чьей вине наносится ущерб вычислительным системам. В настоящее время законодательства многих стран имеют разделы, посвященные компьютерным преступлениям, к числу которых относится распространение компьютерных вирусов. В частности, в Уголовном кодексе Российской Федерации имеется статья 273, в которой предусмотрена ответственность "за создание, использование и распространение вредоносных программ для ЭВМ ", заключающаяся в "лишении свободы на срок до трех лет со штрафом от двухсот до пятисот минимальных размеров оплаты труда".

Технические средства разделяются на программные и аппаратные. Под первой группой средств обычно понимают программы, применяемые для предупреждения заражения и выявления факта заражения. К аппаратным средствам относятся различные устройства, позволяющие контролировать обращения к данным жесткого диска, проверять при загрузке операционной системы состояние загрузочного сектора и т.п.

Существует 2 метода борьбы с вирусами.

1.Общие методы защиты программного обеспечения, решающие задачи борьбы со случайными сбоями оборудования и несанкционированным доступом.

а) Контроль целостности системных областей, запускаемых прикладных программ и используемых данных.

б) Контроль критических для безопасности системы событий.

Данные методы действенны лишь тогда, когда контрольные элементы не подвержены воздействию закладок и разрушающее воздействие либо инициирующее его событие входят в контролируемый класс. Так, система контроля за вызовом прерываний не будет отслеживать обращение к устройствам на уровне портов

в) Создание безопасной и изолированной операционной среды.

 г) Предотвращение результирующего воздействия вируса или закладки (например, запись на диск только в зашифрованном виде на уровне контроллера – тем самым локальное сохранение информации закладкой не имеет смысла – или запрет записи на диск на аппаратном уровне).

2. Специальные методы выявления программ с потенциально опасными последствиями.

а) Поиск фрагментов кода по характерным последовательностям (сигнатурам), свойственным закладкам, либо, наоборот, разрешение на выполнение или внедрение в цепочку прерываний только программам с известными сигнатурами.

б) Поиск критических участков кода (с точки зрения безопасности компьютерной системы) методом семантического анализа. При этом анализ фрагментов кода на выполняемые ими функции, например выполнение НСЗ, часто сопряжен с дизассемблированием или эмуляцией выполнения.

54.  Понятия антивирусной защиты. Классификация антивирусов. Антивирусные комплексы.

Антиви́русная програ́мма (антиви́рус, средство антивирусной защиты^[1], средство обнаружения вредоносных программ^[1]) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления заражённых (модифицированных) такими программами файлов и профилактики — предотвращения заражения (модификации) файлов или операционной системывредоносным кодом.

Классификация антивирусных программ

Данные программы можно классифицировать по пяти основным группам:фильтры, детекторы, ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры- это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например, о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT- вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.

Наибольшее распространение в нашей стране получили программы- детекторы, а вернее программы, объединяющие в себе детектор и доктор.

Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Многие программы-детекторы позволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору). Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.

Ревизоры – это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус.

К последней группе относятся самые неэффективные антивирусы - вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.

Антивирусный комплекс - набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз.