Основы построения и технологии локальных компьютерных сетей
Лекция №5. Вредоносное программное обеспечение (вирусы)
жүктеу/скачать 0,74 Mb. Pdf көрінісі
|
| Лекция №5. Вредоносное программное обеспечение (вирусы)
Цель лекций: ознакомить студентов с разновидностями вредоносного программного обеспечения, программ-шпионов, техник их действия и распространения.
Считается, что термин «компьютерный вирус» впервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на 7-й конференции по безопасности информации, проходившей в США. Однако строгого определения, что же такое компьютерный вирус, так и не дано. Основная трудность, возникающая при попытках дать это определение, заключается в том, что практически все отличительные черты вируса (внедрение в другие объекты, скрытность, потенциальная опасность и проч.) либо присущи другим программам, которые никак вирусами не являются, либо существуют вирусы, которые не содержат указанных выше отличительных черт (за исключением возможности распространения). Поэтому представляется возможным сформулировать только обязательное условие для того, чтобы некоторая последовательность выполняемого кода являлась вирусом. Обязательным (необходимым) свойством вируса является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению. Однако данное условие не является достаточным. Следовательно, нет точно определенного закона, по которому «хорошие» файлы можно отличить от «вирусов». Более того, иногда даже для конкретного файла довольно сложно определить, является он вирусом или нет. Вирус обычно имеет те же права доступа к сетевым ресурсам, что и пользователь, на компьютере которого находится этот вирус. Вирусы можно разделить на классы по следующим основным признакам: - среда обитания; - заражаемая операционная система; - особенности алгоритма работы; - деструктивные возможности. По среде обитания вирусы бывают: - файловые; - загрузочные; - макро; - сетевые.
19
Рисунок 4.1 - Распространение вируса по компьютерной сети
По деструктивным возможностям вирусы можно разделить на: - безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти
на диске
в результате своего распространения); - неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами; - опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; - очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, вывести из строя оборудование. Среди особенностей алгоритма работы вирусов выделяются следующие пункты: - резидентность; - использование стелс-алгоритмов; - самошифрование и полиморфичность; - метаморфичность. Под термином «резидентность» (DOS'овский термин TSR - Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Резидентные копии вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Нерезидентные вирусы активны непродолжительное время — только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе-носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы. Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера во время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора. Первые антивирусные программы искали вирусы, сравнивая содержимое файлов и секторов диска с характерными фрагментами вирусов (с
20
сигнатурами вирусов). Именно эти фрагменты хранились в вирусных базах данных антивирусных программ. Чтобы исключить обнаружение изделий, разработчики компьютерных вирусов стали применять шифрование вирусного кода. Шифрующийся вирус — это вирус, который при заражении новых файлов и системных областей диска шифрует собственный код, пользуясь для этого случайными паролями (ключами). Когда вирус получает управление, он расшифровывает свой собственный код и передает ему управление. Современные антивирусы умеют расшифровывать код вируса, поэтому шифрующиеся вирусы могут быть эффективно обнаружены и уничтожены. Дальнейшее совершенствование шифрующихся вирусов было направлено на затруднение их обнаружения. С этой целью были разработаны так называемые полиморфные вирусы. К полиморфик-вирусам относятся те из них, детектирование которых невозможно (или крайне затруднительно) осуществить при помощи так называемых вирусных масок - участков постоянного кода, специфичных для конкретного вируса. Достигается это двумя основными способами - шифрованием основного кода вируса с непостоянным ключем и случайным набором команд расшифровщика или изменением самого выполняемого кода вируса.
Полиморфные генераторы. Полиморфик-генераторы, как и конструкторы вирусов, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т.е. открытия, закрытия и записи в файлы, чтения и записи секторов и т.д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика. Метаморфные вирусы. Метаморфные вирусы, так же изменяют свой код, но не используют алгоритмы шифрования. Различие проявляется в виде изменений внутри кода вируса. Существует несколько технологий, позволяющих с успехом реализовывать данную методику. Одна из этих технологий трансформации, используемая метамофными программами основана на вставке и удалении «мусора» внутри кода. Эти инструкции не влияют на работу вируса, но занимают некоторое количество места и усложняют анализ больших участков кода. Другая технология – изменение базовых инструкций на уровне кода. Это означает переключение между несколькими отличающимися кодами, которые выполняют одну и ту же функцию. Загрузочные вирусы. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска и передает на него управление.
21
При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков: вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса. Существует несколько вариантов размещения на диске первоначального загрузочного сектора и продолжения вируса: в сектора свободных кластеров логического диска, в неиспользуемые или редко используемые системные сектора, в сектора, расположенные за пределами диска. Макро-вирусы. Макро-вирусы являются программами на языках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word и Excel. Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макро-языка с возможностями: - привязки программы на макро-языке к конкретному файлу; - копирования макро-программ из одного файла в другой; - возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы). Данные особенности макро-языков предназначены для автоматической обработки данных в больших организациях или в глобальных сетях и позволяют организовать автоматизированный документооборот.
жүктеу/скачать 0,74 Mb. Достарыңызбен бөлісу:
|