Лекция №11. Компьютерные вирусы >11. 1
жүктеу/скачать 258,43 Kb. Pdf көрінісі
|
Компьютерные вирусы
| Логической бомбой
называется программа или ее отдельные модули, которые выполняют вредоносные действия при определенных условиях, например, по достижении определенной даты. Среди вредоносных программ выделяют также злые шутки (hoax). К ним относятся программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. Утилиты скрытого администрирования по своей функциональности во многом напоминают различные системы администрирования. Однако при их инсталляции и запуске не выдаются какие-либо сообщения. Эта особенность и позволяет классифицировать их как вредоносные программы. При запуске утилита устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о ее действиях в системе. Более того, ссылка на данную утилиту может отсутствовать в списке активных приложений. К Intended-вирусам относятся программы, которые на первый взгляд являются стопроцентными вирусами, но не способны размножаться по причине ошибок в их программном коде. К этой категории также относятся вирусы, которые размножаются только один раз - из «авторской» копии. Конструктор вирусов - это утилита, предназначенная для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные тексты вирусов (ASM-файлы), объектные модули, и/или непосредственно зараженные файлы. Некоторые конструкторы (VLC, NRLG) снабжены стандартным оконным интерфейсом. К вредоносным программам относятся полиморфик-генераторы, главной функцией которых является шифрование тела вируса и генерация соответствующего расшифровщика. Таким образом, автору вируса, если он желает создать настоящий полиморфный вирус, не приходится корпеть над кодами собственного зашифровщика и расшифровщика. При желании он может подключить к своему вирусу любой известный полиморфик-генератор и вызывать его из кода вируса. 11.2.4 Методы обнаружения вирусов, антивирусные программы и комплексы К основным методам обнаружения компьютерных вирусов можно отнести следующие: - сканирование (метод сравнения с эталоном); - обнаружение изменений; - эвристический анализ; - использование резидентных сторожей (антивирусный мониторинг); - аппаратно-программная защита от вирусов. Сканирование - один из самых простых методов обнаружения вирусов. Сканирование подразумевает просмотр файлов в поисках опознавательной части вируса - сигнатуры - некоторой постоянной последовательности кода, специфичной для конкретного вируса. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных, которые применяют шифрование тела вируса, изменяя при этом каждый раз сигнатуру. При реализации метода обнаружения изменений программы-ревизоры запоминают предварительно характеристики всех областей диска, которые могут подвергнуться нападению, а затем периодически проверяют их. По результатам ревизии программа выдает сведения о предположительном наличии вирусов. Достоинство этого метода заключается в возможности обнаружения вирусов всех типов, а также новых неизвестных вирусов. Недостатки - невозможность определить вирус в файлах, которые поступают в систему уже зараженными, непригодность для обнаружения макровирусов. Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд, характерных для вирусов, например, команд создания резидентных модулей в оперативной памяти, команд прямого обращения к дискам, минуя ОС. При обнаружении подозрительных команд выдается сообщение о возможном заражении. Использование резидентных сторожей основано на применении программ, которые постоянно находятся в оперативной памяти ЭВМ и отслеживают все действия остальных программ. В случае выполнения какой- либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в оперативную память резидентных модулей, попытка перехвата прерываний и т.п.) резидентный сторож выдает сообщение пользователю. Существенный недостаток данного метода - значительный процент ложных тревог. Аппаратно-программная защита от вирусов основывается на использовании специальных контроллеров и их программного обеспечения. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др. При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение и блокирует работу ЭВМ. Аппаратно- программные антивирусные средства обладают следующими достоинствами перед программными: - работают постоянно; - обнаруживают все вирусы, независимо от механизма их действия; - блокируют неразрешенные действия, являющиеся результатом работы виpyca или неквалифицированного пользователя. Недостатком данных средств защиты является их зависимость от аппаратных средств ЭВМ. В зависимости от того, какие методы обнаружения вирусов реализованы в антивирусных программах, различают следующие их виды: - программы-фаги (сканеры); - программы-ревизоры (CRC-сканеры); - программы-блокировщики; - программы-иммунизаторы. Программы-фаги используют для обнаружения вирусов метод сканирования, эвристического анализа и некоторые другие. Однако они не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. Программы-фаги делятся на резидентные мониторы, производящие санирование «на лету», и нерезидентные сканеры, обеспечивающие проверку системы только по запросу. К достоинствам программ-фагов относится их универсальность, к недостаткам - небольшая скорость поиска вирусов и большие размеры антивирусных баз. Наиболее известные программы-фаги - Scan, Norton Antivirus, Doctor Web, Kaspersky Anti-Virus Scanner. Программы-ревизоры (CRC-сканеры) используют для поиска вирусов метод обнаружения изменений. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (кодов циклического контроля) для файлов и системных секторов. Эти суммы, а также некоторая другая информация (длины файлов, даты их последней модификации и др.) сохраняются в базе данных антивируса. При следующем запуске CRC-сканеры сверяют данные, содержащиеся в БД, с реально подсчитанными значениями. Если они не совпадают, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. В некоторых CRC-сканерах заложены алгоритмы анти- стелс. Однако они не могут определить вирус в новых файлах, поскольку в БД отсутствует информация о них. К числу CRC-сканеров относится программа ADinf (Advanced Diskinfoscope) и ревизор AVP Inspector. Программы-блокировщики реализуют метод резидентных сторожей. Они перехватывают «вирусо-опасные» ситуации, сообщают об этом пользователю и предлагают запретить соответствующее действие. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. Однако они не «лечат» файлы и диски. Программы-иммунизаторы - это программы, предотвращающие заражение файлов каким-либо типом вирусов. Они модифицируют программу или диск таким образом, чтобы это не отражалось на их работе, а вирус при этом воспринимает их зараженными и не внедряется. Однако такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать объекты от всех известных вирусов. жүктеу/скачать 258,43 Kb. Достарыңызбен бөлісу:
|