Разработка централизованного управления антивирусной защитой сети среднего предприятия
Содержание
Введение................................................................................................................... 5
1 Компьютерные вирусы и проблемы антивирусной защиты ........................ 13
1.1 Классификация компьютерных вирусов .................................................. 13
1.2 Жизненный цикл вирусов .......................................................................... 16
1.2.1 Загрузка вируса ...................................................................................................16
1.2.2 Поиск жертвы.......................................................................................................18
1.2.3 Заражение жертвы ..............................................................................................18
1.2.4 Выполнение деструктивных функций ........................................................20
1.2.5 Передача управления программе-носителю вируса ..............................21
1.2.6 Вредоносные программы других типов .....................................................21
1.3 Основные каналы распространения вирусов и других вредоносных
программ ........................................................................................................ 22
1.3.1 Классические способы распространения...................................................22
1.3.2 Электронная почта .............................................................................................22
1.3.3 Троянские Web-сайты .......................................................................................23
1.3.4 Другие каналы распространения вредоносных программ ..................23
2 Антивирусные программы и комплексы ........................................................ 25
2.1 Антивирусные программы ......................................................................... 25
2.1.1 Виды антивирусных программ ......................................................................27
2.1.2 Критерии качества антивирусной программы .........................................29
2.1.3 Профилактические меры защиты .................................................................30
2.2 Антивирусные программные комплексы ................................................. 31
2.2.1 Антивирус Касперского Personal (АVР) ....................................................32
2.2.2 Антивирус Dr. Web ............................................................................................32
2.2.3 Антивирус Symantec Antivirus .......................................................................33
2.2.4 Антивирус McAfee .............................................................................................34
2.2.5 Антивирус AntiVir Personal Edition..............................................................34
3 Разработка системы антивирусной защиты сети ........................................... 35
3.1 Актуальность централизованного управления антивирусной защитой
сети предприятия........................................................................................... 35
3.2 Структура рассматриваемой сети.............................................................. 40
3.3 Построение централизованного управления антивирусной защитой
сети 46
3.3.1 Этапы построения системы защиты от вирусов .....................................46
3.3.2 Выбор программных продуктов для построения антивирусной
защиты...............................................................................................................................48
3.3.3 Решение антивирусной защиты ....................................................................51
4 Создание элементарной антивирусной программы........................................ 54
5 Безопасность жизни и труда ............................................................................. 56
5.1 Создание оптимальных условий труда ..................................................... 56
5.2 Расчет системы кондиционирования ....................
6 Технико-экономическое обоснование ............................................................ 68
6.1 Описание работы ......................................................................................... 68
6.2 Программа выполнения работы................................................................. 68
6.3 Расчёт стоимости произведенной работы ................................................ 68
Заключение ............................................................................................................ 77
Список использованной литературы................................................................... 78
Приложение А .............................................
Приложение Б ..............................................
Приложение В..............................................
Приложение Г ........................................................................................................ 82
Компьютерные вирусы и проблемы антивирусной защиты
Существует много определений компьютерного вируса. Исторически
первое определение было дано в 1984 году Фредом Коэном: «Компьютерный
вирус - это программа, которая может заражать другие программы,
модифицируя их посредством включения в них своей, возможно, измененной
копии, причем последняя сохраняет способность к дальнейшему
размножению». Ключевыми понятиями в этом определении компьютерного
вируса являются способность вируса к саморазмножению и способность к
модификации вычислительного процесса. Указанные свойства компьютерного
вируса аналогичны паразитированию биологического вируса в организмах
живой природы. С тех пор острота проблемы вирусов многократно возросла - к
концу XX века в мире насчитывалось более 14300 модификаций вирусов.
Разнообразие вирусов столь велико, что просто невозможно указать
достаточное условие для их определения (перечислить набор признаков, по
которым программу можно однозначно считать вирусом), - всегда найдутся
программы с данными признаками, не являющиеся вирусами.
В настоящее время под компьютерным вирусом принято понимать
программный код, обладающий следующими свойствами:
- способностью к созданию собственных копий, не обязательно
совпадающих с оригиналом, но обладающих свойствами оригинала
(самовоспроизведение);
- наличием механизма, обеспечивающего внедрение создаваемых копий в
исполняемые объекты вычислительной системы.
Следует отметить, что эти свойства являются необходимыми, но не
достаточными. Указанные свойства необходимо дополнить свойствами
деструктивности и скрытности действий данной вредоносной программы в
вычислительной среде.
Классификация компьютерных вирусов
На сегодняшний день известны десятки тысяч различных компьютерных
вирусов. Несмотря на такое изобилие число типов вирусов, отличающихся друг
от друга механизмом распространения и принципом действия, достаточно
ограниченно. Существуют и комбинированные вирусы, которые можно отнести
одновременно к нескольким типам. Вирусы можно разделить на классы по
следующим основным признакам:
- среда обитания;
- операционная система;
- особенности алгоритма работы;
- деструктивные возможности.
Основной и наиболее распространенной классификацией компьютерных
вирусов является классификация по среде обитания, или, иначе говоря, по
типам объектов компьютерной системы, в которые внедряются вирусы
(Рисунок 1.1). По среде обитания компьютерные вирусы можно разделить на:
- файловые;
- загрузочные;
- макровирусы;
- сетевые.
Рисунок 1.1 – Классификация компьютерных вирусов
Файловые вирусы либо внедряются в выполняемые файлы (наиболее
распространенный тип вирусов) различными способами, либо создают файлы -
двойники (компаньон - вирусы), либо используют особенности организации
файловой системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска
(boot- сектор), либо в сектор, содержащий системный загрузчик винчестера
(Master Boot Record). Загрузочные вирусы замещают код программы,
получающей управление при загрузке системы. В результате при перезагрузке
управление передается вирусу. При этом оригинальный boot - сектор обычно
переносится в какой - либо другой сектор диска. Иногда загрузочные вирусы
называют бутовыми вирусами.
Макровирусы заражают макропрограммы и файлы документов
современных систем обработки информации, в частности файлы -документы и
электронные таблицы популярных редакторов Microsoft Word, Microsoft Excel и
др. Для размножения макровирусы используют возможно сти макроязыков и
при их помощи переносят себя из зараженного файла в другие. Вирусы этого
типа получают управление при открытии зараженного файла и инфицируют
файлы, к которым впоследствии идет обращение из соответствующего
офисного приложения.
Сетевые вирусы используют для своего распространения протоколы или
команды компьютерных сетей и электронной почты. Иногда сетевые вирусы
называют программами типа «червь». Сетевые черви подразделяются на
Internet-червей (распространяются по Internet), LAN - червей (распространяются
по локальной сети), IRC - червей (распространяются через чаты, Internet Relay
Chat). Существуют также смешанные типы, которые совмещают в себе сразу
несколько технологий.
Существует много комбинированных типов компьютерных вирусов,
например, известен сетевой макровирус, который заражает редактируемые
документы, а также рассылает свои копии по электронной почте. В качестве
другого примера вирусов комбинированного типа можно указать файлово -
загрузочные вирусы, заражающие как файлы, так и загрузочные сектора
дисков. Такие вирусы имеют усложненный алгоритм работы и применяют
своеобразные методы проникновения в систему.
Другим признаком деления компьютерных вирусов на классы является
операционная система, объекты которой подвергаются заражению. Каждый
файловый или сетевой вирус заражает файлы какой - либо одной или нескольких
операционных систем - DOS, Windows 95/98/XP, Windows NT/2000 и т.д.
Макровирусы заражают файлы форматов Word, Excel и других средств
Microsoft Office. На определенные форматы расположения системных данных в
загрузочных секторах дисков также ориентированы загрузочные вирусы.
Естественно, эти схемы классификации не являются исчерпывающими,
существует много различных схем типизации вирусов. Однако ограничимся
пока классификацией компьютерных вирусов по среде обитания, поскольку она
является базовой, и перейдем к рассмотрению общих принципов
функционирования вирусов. Анализ основных этапов жизненного цикла этих
вредоносных программ позволяет выделить их различные признаки и
особенности, которые могут быть положены в основу дополнительных
классификаций.
1.2 Жизненный цикл вирусов
Как и у любой программы, у компьютерных вирусов можно выделить две
основные стадии жизненного цикла: хранение и исполнение.
Стадия хранения соответствует периоду, когда вирус просто хранится
на диске совместно с объектом, в который он внедрен. На этой стадии вирус
является наиболее уязвимым со стороны антивирусного программного
обеспечения, так как он не активен и не может контролировать работу
операционной системы с целью самозащиты.
Некоторые вирусы на этой стадии используют механизмы защиты своего
кода от обнаружения. Наиболее распространенным способом защиты является
шифрование большей части тела вируса. Его использование совместно с
механизмами мутации кода (об этом идет речь ниже) делает невозможным
выделение сигнатур – устойчивых характеристических фрагментов кода
вирусов.
Стадия исполнения компьютерных вирусов, как правило, включает пять
этапов:
Загрузка вируса в память.
Поиск жертвы.
Заражение найденной жертвы.
Выполнение деструктивных функций.
Передача управления программе-носителю вируса.
Рассмотрим эти этапы подробнее.
1.2.1 Загрузка вируса
Загрузка вируса в память осуществляется операционной системой
одновременно с загрузкой исполняемого объекта, в который вирус внедрен.
Например, если пользователь запустил на исполнение программный файл,
содержащий вирус, то, очевидно, вирусный код будет загружен в память как
часть этого файла. В простейшем случае процесс загрузки вируса представляет
собой не что иное, как копирование с диска в оперативную память,
сопровождаемое иногда настройкой адресов, после чего происходит передача
управления коду тела вируса. Эти действия выполняются операционной
системой, а сам вирус находится в пассивном состоянии. В более сложных
ситуациях вирус может после получения управления выполнять
дополнительные действия, которые необходимы для его функционирования. В
связи с этим рассматриваются два аспекта.
Первый из них связан с максимальным усложнением процедуры
обнаружения вирусов. Для обеспечения защиты на стадии хранения некоторые
вирусы используют достаточно сложные алгоритмы. К таким усложнениям
можно отнести шифрование основного тела вируса. Однако использование
только шифрования является полумерой, так как в открытом виде должна
храниться та часть вируса, которая обеспечивает расшифрование вируса на
стадии загрузки. Для избежания подобной ситуации разработчики вирусов
используют механизмы «мутаций» кода расшифровщика. Суть этого метода
состоит в том, что при внедрении в объект копии вируса часть ее кода,
относящаяся к расшифровщику, модифицируется так, чтобы возникли
текстуальные различия с оригиналом, но результаты работы остались
неизменными. Обычно применяют следующие приемы модификации кода:
- изменение порядка независимых инструкций;
- замена некоторых инструкций на эквивалентные по результату работы;
- замена используемых в инструкциях регистров на другие;
- введение случайным образом зашумляющих инструкций.
Вирусы, использующие подобные механизмы мутации кода, получили
название полиморфных вирусов. При совместном использовании механизмов
шифрования и мутации внедряемая копия вируса окажется отличной от
оригинала, так как одна ее часть будет изменена, а другая окажется
зашифрованной на ключе, сгенерированном специально для этой копии вируса.
А это существенно осложняет выявление вируса в вычислительной системе.
Полиморфные вирусы (polymorphic) – это трудно обнаруживаемые
вирусы, не имеющие сигнатур, то есть не содержащие ни одного постоянного
участка кода. В большинстве случаев два образца одного и того же
полиморфного вируса не будут иметь ни одного совпадения. Полиморфизм
встречается в вирусах всех типов – файловых, загрузочных и макровирусах.
Дополнительные действия, которые выполняют полиморфные вирусы на
этапе загрузки, состоят в расшифровании основного тела вируса.
При использовании стелс-алгоритмов вирусы могут полностью или
частично скрыть себя в системе. Наиболее распространенный стелс - алгоритм
осуществляет перехват системных запросов с целью контроля действий
операционной системы. Вирусы, использующие стелс - алгоритмы, носят
название стелс-вирусы.
Стелс-вирусы (stealth) способны скрывать свое присутствие в системе и
избегать обнаружения антивирусными программами. Эти вирусы могут
перехватывать запросы операционной системы на чтение/запись зараженных
файлов, при этом они либо временно лечат эти файлы, либо подставляют
вместо себя незара -женные участки информации, эмулируя чистоту
зараженных файлов.
В случае макровирусов наиболее популярным способом является запрет
вызовов меню просмотра макросов. Одним из первых файловых стелс - вирусов
был Frodo, первым загрузочным стелс-вирусом был Brain.
Нередко в вирусах используются различные нестандартные приемы с
целью глубже спрятаться в ядре ОС, либо защитить от обнаружения свою
резидентную копию, либо затруднить лечение от вируса и т.п.
Второй аспект связан с так называемыми резидентными вирусами.
Поскольку вирус и объект, в который он внедрен, являются для операционной
системы единым целым, то после загрузки они располагаются, естественно, в
едином адресном пространстве. После завершения работы объекта он
выгружается из оперативной памяти, при этом одновременно выгружается и
вирус, переходя в пассивную стадию хранения. Однако некоторые типы
вирусов способны сохраняться в памяти и оставаться активными после
окончания работы вирусоносителя. Эти вирусы получили название
резидентных.
Резидентные вирусы (memory-resident) при инфицировании компьютера
оставляют в оперативной памяти свою резидентную часть, которая затем
перехватывает обращения операционной системы к объектам заражения и
внедряется в них. Резидентные вирусы находятся в памяти и являются
активными вплоть до выключения компьютера или перезагрузки операционной
системы.
Резидентными можно считать макровирусы, так как для большинства из
них выполняются основные требования - постоянное присутствие в памяти
компьютера на все время работы зараженного редактора и перехват функций,
используемых при работе с документами. При этом роль операционной
системы берет на себя редактор, а понятие «перезагрузка операционной
системы» трактуется как выход из редактора. Нерезидентные вирусы не
заражают память компьютера и сохраняют активность ограниченное время.
Некоторые вирусы оставляют в оперативной памяти небольшие резидентные
программы, которые не распространяют вирус. Такие вирусы считаются
нерезидентными. Следует отметить, что деление вирусов на резидентные и
нерезидентные справедливо в основном для файловых вирусов. Загрузочные
вирусы, как и макровирусы, относятся к резидентным вирусам.
1.2.2 Поиск жертвы
По способу поиска жертвы вирусы можно разделить на два класса.
К первому относятся вирусы, осуществляющие активный поиск, с
использованием функций операционной системы. Примером являются
файловые вирусы, использующие механизм поиска исполняемых файлов в
текущем каталоге.
Второй класс составляют вирусы, реализующие пассивный механизм
поиска, то есть расставляющие ловушки для программных файлов. Как
правило, файловые вирусы устраивают такие ловушки путем перехвата
функции Exec операционной системы, а макровирусы - с помощью перехвата
команд типа Save as из меню File.
1.2.3 Заражение жертвы
В простейшем случае заражение представляет собой самокопирование
кода вируса в выбранный в качестве жертвы объект. Классификация вирусов на
этом этапе связана с анализом особенностей этого копирования, а также
способов модификации заражаемых объектов.
Рассмотрим сначала особенности заражения файловыми вирусами.
По способу инфицирования жертвы вирусы можно разделить на два
класса.
К первому относятся вирусы, которые не внедряют свой код
непосредственно в программный файл, а изменяют имя файла и создают новый,
содержащий тело вируса.
Второй класс составляют вирусы, внедряющиеся непосредственно в
файлы-жертвы.
Они характеризуются местом внедрения. Возможны следующие
варианты:
- Внедрение в начало файла. Этот способ является наиболее удобным
для сот -файлов MS -DOS, так как данный формат не предусматривает наличие
служебных заголовков. При внедрении данным способом вирусы могут либо
выполнять конкатенацию собственного кода и кода программы - жертвы, либо
переписывать начальный фрагмент файла в конец, освобождая место для себя .
- Внедрение в конец файла. Это – наиболее распространенный тип
внедрения. Передача управления коду вирусов обеспечивается модификацией
первых команд программы (com) или заголовка файла (ехе).
- Внедрение в середину файла. Как правило, этот способ используется
вирусами применительно к файлам с заранее известной структурой (например,
к файлу Command.com) или же к файлам, содержащим последовательность
байтов с одинаковыми значениями, длина которой достаточна для размещения
вируса. Во втором случае вирусы архивируют найденную последовательность и
замещают собственным кодом. Помимо этого вирусы могут внедряться в
середину файла, освобождая себе место путем переноса фрагментов кода
программы в конец файла или же «раздвигая» файл.....
Введение................................................................................................................... 5
1 Компьютерные вирусы и проблемы антивирусной защиты ........................ 13
1.1 Классификация компьютерных вирусов .................................................. 13
1.2 Жизненный цикл вирусов .......................................................................... 16
1.2.1 Загрузка вируса ...................................................................................................16
1.2.2 Поиск жертвы.......................................................................................................18
1.2.3 Заражение жертвы ..............................................................................................18
1.2.4 Выполнение деструктивных функций ........................................................20
1.2.5 Передача управления программе-носителю вируса ..............................21
1.2.6 Вредоносные программы других типов .....................................................21
1.3 Основные каналы распространения вирусов и других вредоносных
программ ........................................................................................................ 22
1.3.1 Классические способы распространения...................................................22
1.3.2 Электронная почта .............................................................................................22
1.3.3 Троянские Web-сайты .......................................................................................23
1.3.4 Другие каналы распространения вредоносных программ ..................23
2 Антивирусные программы и комплексы ........................................................ 25
2.1 Антивирусные программы ......................................................................... 25
2.1.1 Виды антивирусных программ ......................................................................27
2.1.2 Критерии качества антивирусной программы .........................................29
2.1.3 Профилактические меры защиты .................................................................30
2.2 Антивирусные программные комплексы ................................................. 31
2.2.1 Антивирус Касперского Personal (АVР) ....................................................32
2.2.2 Антивирус Dr. Web ............................................................................................32
2.2.3 Антивирус Symantec Antivirus .......................................................................33
2.2.4 Антивирус McAfee .............................................................................................34
2.2.5 Антивирус AntiVir Personal Edition..............................................................34
3 Разработка системы антивирусной защиты сети ........................................... 35
3.1 Актуальность централизованного управления антивирусной защитой
сети предприятия........................................................................................... 35
3.2 Структура рассматриваемой сети.............................................................. 40
3.3 Построение централизованного управления антивирусной защитой
сети 46
3.3.1 Этапы построения системы защиты от вирусов .....................................46
3.3.2 Выбор программных продуктов для построения антивирусной
защиты...............................................................................................................................48
3.3.3 Решение антивирусной защиты ....................................................................51
4 Создание элементарной антивирусной программы........................................ 54
5 Безопасность жизни и труда ............................................................................. 56
5.1 Создание оптимальных условий труда ..................................................... 56
5.2 Расчет системы кондиционирования ....................
6 Технико-экономическое обоснование ............................................................ 68
6.1 Описание работы ......................................................................................... 68
6.2 Программа выполнения работы................................................................. 68
6.3 Расчёт стоимости произведенной работы ................................................ 68
Заключение ............................................................................................................ 77
Список использованной литературы................................................................... 78
Приложение А .............................................
Приложение Б ..............................................
Приложение В..............................................
Приложение Г ........................................................................................................ 82
Компьютерные вирусы и проблемы антивирусной защиты
Существует много определений компьютерного вируса. Исторически
первое определение было дано в 1984 году Фредом Коэном: «Компьютерный
вирус - это программа, которая может заражать другие программы,
модифицируя их посредством включения в них своей, возможно, измененной
копии, причем последняя сохраняет способность к дальнейшему
размножению». Ключевыми понятиями в этом определении компьютерного
вируса являются способность вируса к саморазмножению и способность к
модификации вычислительного процесса. Указанные свойства компьютерного
вируса аналогичны паразитированию биологического вируса в организмах
живой природы. С тех пор острота проблемы вирусов многократно возросла - к
концу XX века в мире насчитывалось более 14300 модификаций вирусов.
Разнообразие вирусов столь велико, что просто невозможно указать
достаточное условие для их определения (перечислить набор признаков, по
которым программу можно однозначно считать вирусом), - всегда найдутся
программы с данными признаками, не являющиеся вирусами.
В настоящее время под компьютерным вирусом принято понимать
программный код, обладающий следующими свойствами:
- способностью к созданию собственных копий, не обязательно
совпадающих с оригиналом, но обладающих свойствами оригинала
(самовоспроизведение);
- наличием механизма, обеспечивающего внедрение создаваемых копий в
исполняемые объекты вычислительной системы.
Следует отметить, что эти свойства являются необходимыми, но не
достаточными. Указанные свойства необходимо дополнить свойствами
деструктивности и скрытности действий данной вредоносной программы в
вычислительной среде.
Классификация компьютерных вирусов
На сегодняшний день известны десятки тысяч различных компьютерных
вирусов. Несмотря на такое изобилие число типов вирусов, отличающихся друг
от друга механизмом распространения и принципом действия, достаточно
ограниченно. Существуют и комбинированные вирусы, которые можно отнести
одновременно к нескольким типам. Вирусы можно разделить на классы по
следующим основным признакам:
- среда обитания;
- операционная система;
- особенности алгоритма работы;
- деструктивные возможности.
Основной и наиболее распространенной классификацией компьютерных
вирусов является классификация по среде обитания, или, иначе говоря, по
типам объектов компьютерной системы, в которые внедряются вирусы
(Рисунок 1.1). По среде обитания компьютерные вирусы можно разделить на:
- файловые;
- загрузочные;
- макровирусы;
- сетевые.
Рисунок 1.1 – Классификация компьютерных вирусов
Файловые вирусы либо внедряются в выполняемые файлы (наиболее
распространенный тип вирусов) различными способами, либо создают файлы -
двойники (компаньон - вирусы), либо используют особенности организации
файловой системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска
(boot- сектор), либо в сектор, содержащий системный загрузчик винчестера
(Master Boot Record). Загрузочные вирусы замещают код программы,
получающей управление при загрузке системы. В результате при перезагрузке
управление передается вирусу. При этом оригинальный boot - сектор обычно
переносится в какой - либо другой сектор диска. Иногда загрузочные вирусы
называют бутовыми вирусами.
Макровирусы заражают макропрограммы и файлы документов
современных систем обработки информации, в частности файлы -документы и
электронные таблицы популярных редакторов Microsoft Word, Microsoft Excel и
др. Для размножения макровирусы используют возможно сти макроязыков и
при их помощи переносят себя из зараженного файла в другие. Вирусы этого
типа получают управление при открытии зараженного файла и инфицируют
файлы, к которым впоследствии идет обращение из соответствующего
офисного приложения.
Сетевые вирусы используют для своего распространения протоколы или
команды компьютерных сетей и электронной почты. Иногда сетевые вирусы
называют программами типа «червь». Сетевые черви подразделяются на
Internet-червей (распространяются по Internet), LAN - червей (распространяются
по локальной сети), IRC - червей (распространяются через чаты, Internet Relay
Chat). Существуют также смешанные типы, которые совмещают в себе сразу
несколько технологий.
Существует много комбинированных типов компьютерных вирусов,
например, известен сетевой макровирус, который заражает редактируемые
документы, а также рассылает свои копии по электронной почте. В качестве
другого примера вирусов комбинированного типа можно указать файлово -
загрузочные вирусы, заражающие как файлы, так и загрузочные сектора
дисков. Такие вирусы имеют усложненный алгоритм работы и применяют
своеобразные методы проникновения в систему.
Другим признаком деления компьютерных вирусов на классы является
операционная система, объекты которой подвергаются заражению. Каждый
файловый или сетевой вирус заражает файлы какой - либо одной или нескольких
операционных систем - DOS, Windows 95/98/XP, Windows NT/2000 и т.д.
Макровирусы заражают файлы форматов Word, Excel и других средств
Microsoft Office. На определенные форматы расположения системных данных в
загрузочных секторах дисков также ориентированы загрузочные вирусы.
Естественно, эти схемы классификации не являются исчерпывающими,
существует много различных схем типизации вирусов. Однако ограничимся
пока классификацией компьютерных вирусов по среде обитания, поскольку она
является базовой, и перейдем к рассмотрению общих принципов
функционирования вирусов. Анализ основных этапов жизненного цикла этих
вредоносных программ позволяет выделить их различные признаки и
особенности, которые могут быть положены в основу дополнительных
классификаций.
1.2 Жизненный цикл вирусов
Как и у любой программы, у компьютерных вирусов можно выделить две
основные стадии жизненного цикла: хранение и исполнение.
Стадия хранения соответствует периоду, когда вирус просто хранится
на диске совместно с объектом, в который он внедрен. На этой стадии вирус
является наиболее уязвимым со стороны антивирусного программного
обеспечения, так как он не активен и не может контролировать работу
операционной системы с целью самозащиты.
Некоторые вирусы на этой стадии используют механизмы защиты своего
кода от обнаружения. Наиболее распространенным способом защиты является
шифрование большей части тела вируса. Его использование совместно с
механизмами мутации кода (об этом идет речь ниже) делает невозможным
выделение сигнатур – устойчивых характеристических фрагментов кода
вирусов.
Стадия исполнения компьютерных вирусов, как правило, включает пять
этапов:
Загрузка вируса в память.
Поиск жертвы.
Заражение найденной жертвы.
Выполнение деструктивных функций.
Передача управления программе-носителю вируса.
Рассмотрим эти этапы подробнее.
1.2.1 Загрузка вируса
Загрузка вируса в память осуществляется операционной системой
одновременно с загрузкой исполняемого объекта, в который вирус внедрен.
Например, если пользователь запустил на исполнение программный файл,
содержащий вирус, то, очевидно, вирусный код будет загружен в память как
часть этого файла. В простейшем случае процесс загрузки вируса представляет
собой не что иное, как копирование с диска в оперативную память,
сопровождаемое иногда настройкой адресов, после чего происходит передача
управления коду тела вируса. Эти действия выполняются операционной
системой, а сам вирус находится в пассивном состоянии. В более сложных
ситуациях вирус может после получения управления выполнять
дополнительные действия, которые необходимы для его функционирования. В
связи с этим рассматриваются два аспекта.
Первый из них связан с максимальным усложнением процедуры
обнаружения вирусов. Для обеспечения защиты на стадии хранения некоторые
вирусы используют достаточно сложные алгоритмы. К таким усложнениям
можно отнести шифрование основного тела вируса. Однако использование
только шифрования является полумерой, так как в открытом виде должна
храниться та часть вируса, которая обеспечивает расшифрование вируса на
стадии загрузки. Для избежания подобной ситуации разработчики вирусов
используют механизмы «мутаций» кода расшифровщика. Суть этого метода
состоит в том, что при внедрении в объект копии вируса часть ее кода,
относящаяся к расшифровщику, модифицируется так, чтобы возникли
текстуальные различия с оригиналом, но результаты работы остались
неизменными. Обычно применяют следующие приемы модификации кода:
- изменение порядка независимых инструкций;
- замена некоторых инструкций на эквивалентные по результату работы;
- замена используемых в инструкциях регистров на другие;
- введение случайным образом зашумляющих инструкций.
Вирусы, использующие подобные механизмы мутации кода, получили
название полиморфных вирусов. При совместном использовании механизмов
шифрования и мутации внедряемая копия вируса окажется отличной от
оригинала, так как одна ее часть будет изменена, а другая окажется
зашифрованной на ключе, сгенерированном специально для этой копии вируса.
А это существенно осложняет выявление вируса в вычислительной системе.
Полиморфные вирусы (polymorphic) – это трудно обнаруживаемые
вирусы, не имеющие сигнатур, то есть не содержащие ни одного постоянного
участка кода. В большинстве случаев два образца одного и того же
полиморфного вируса не будут иметь ни одного совпадения. Полиморфизм
встречается в вирусах всех типов – файловых, загрузочных и макровирусах.
Дополнительные действия, которые выполняют полиморфные вирусы на
этапе загрузки, состоят в расшифровании основного тела вируса.
При использовании стелс-алгоритмов вирусы могут полностью или
частично скрыть себя в системе. Наиболее распространенный стелс - алгоритм
осуществляет перехват системных запросов с целью контроля действий
операционной системы. Вирусы, использующие стелс - алгоритмы, носят
название стелс-вирусы.
Стелс-вирусы (stealth) способны скрывать свое присутствие в системе и
избегать обнаружения антивирусными программами. Эти вирусы могут
перехватывать запросы операционной системы на чтение/запись зараженных
файлов, при этом они либо временно лечат эти файлы, либо подставляют
вместо себя незара -женные участки информации, эмулируя чистоту
зараженных файлов.
В случае макровирусов наиболее популярным способом является запрет
вызовов меню просмотра макросов. Одним из первых файловых стелс - вирусов
был Frodo, первым загрузочным стелс-вирусом был Brain.
Нередко в вирусах используются различные нестандартные приемы с
целью глубже спрятаться в ядре ОС, либо защитить от обнаружения свою
резидентную копию, либо затруднить лечение от вируса и т.п.
Второй аспект связан с так называемыми резидентными вирусами.
Поскольку вирус и объект, в который он внедрен, являются для операционной
системы единым целым, то после загрузки они располагаются, естественно, в
едином адресном пространстве. После завершения работы объекта он
выгружается из оперативной памяти, при этом одновременно выгружается и
вирус, переходя в пассивную стадию хранения. Однако некоторые типы
вирусов способны сохраняться в памяти и оставаться активными после
окончания работы вирусоносителя. Эти вирусы получили название
резидентных.
Резидентные вирусы (memory-resident) при инфицировании компьютера
оставляют в оперативной памяти свою резидентную часть, которая затем
перехватывает обращения операционной системы к объектам заражения и
внедряется в них. Резидентные вирусы находятся в памяти и являются
активными вплоть до выключения компьютера или перезагрузки операционной
системы.
Резидентными можно считать макровирусы, так как для большинства из
них выполняются основные требования - постоянное присутствие в памяти
компьютера на все время работы зараженного редактора и перехват функций,
используемых при работе с документами. При этом роль операционной
системы берет на себя редактор, а понятие «перезагрузка операционной
системы» трактуется как выход из редактора. Нерезидентные вирусы не
заражают память компьютера и сохраняют активность ограниченное время.
Некоторые вирусы оставляют в оперативной памяти небольшие резидентные
программы, которые не распространяют вирус. Такие вирусы считаются
нерезидентными. Следует отметить, что деление вирусов на резидентные и
нерезидентные справедливо в основном для файловых вирусов. Загрузочные
вирусы, как и макровирусы, относятся к резидентным вирусам.
1.2.2 Поиск жертвы
По способу поиска жертвы вирусы можно разделить на два класса.
К первому относятся вирусы, осуществляющие активный поиск, с
использованием функций операционной системы. Примером являются
файловые вирусы, использующие механизм поиска исполняемых файлов в
текущем каталоге.
Второй класс составляют вирусы, реализующие пассивный механизм
поиска, то есть расставляющие ловушки для программных файлов. Как
правило, файловые вирусы устраивают такие ловушки путем перехвата
функции Exec операционной системы, а макровирусы - с помощью перехвата
команд типа Save as из меню File.
1.2.3 Заражение жертвы
В простейшем случае заражение представляет собой самокопирование
кода вируса в выбранный в качестве жертвы объект. Классификация вирусов на
этом этапе связана с анализом особенностей этого копирования, а также
способов модификации заражаемых объектов.
Рассмотрим сначала особенности заражения файловыми вирусами.
По способу инфицирования жертвы вирусы можно разделить на два
класса.
К первому относятся вирусы, которые не внедряют свой код
непосредственно в программный файл, а изменяют имя файла и создают новый,
содержащий тело вируса.
Второй класс составляют вирусы, внедряющиеся непосредственно в
файлы-жертвы.
Они характеризуются местом внедрения. Возможны следующие
варианты:
- Внедрение в начало файла. Этот способ является наиболее удобным
для сот -файлов MS -DOS, так как данный формат не предусматривает наличие
служебных заголовков. При внедрении данным способом вирусы могут либо
выполнять конкатенацию собственного кода и кода программы - жертвы, либо
переписывать начальный фрагмент файла в конец, освобождая место для себя .
- Внедрение в конец файла. Это – наиболее распространенный тип
внедрения. Передача управления коду вирусов обеспечивается модификацией
первых команд программы (com) или заголовка файла (ехе).
- Внедрение в середину файла. Как правило, этот способ используется
вирусами применительно к файлам с заранее известной структурой (например,
к файлу Command.com) или же к файлам, содержащим последовательность
байтов с одинаковыми значениями, длина которой достаточна для размещения
вируса. Во втором случае вирусы архивируют найденную последовательность и
замещают собственным кодом. Помимо этого вирусы могут внедряться в
середину файла, освобождая себе место путем переноса фрагментов кода
программы в конец файла или же «раздвигая» файл.....
Толық нұсқасын 30 секундтан кейін жүктей аласыз!!!
Қарап көріңіз 👇
Пайдалы сілтемелер:
» Туған күнге 99 тілектер жинағы: өз сөзімен, қысқаша, қарапайым туған күнге тілек
» Абай Құнанбаев барлық өлеңдер жинағын жүктеу, оқу
» Дастархан батасы: дастарханға бата беру, ас қайыру
Ілмектер: скачать Разработка централизованного управления антивирусной защитой сети среднего предприятия бесплатно дипломную работу, база готовых дипломных работ бесплатно, готовые дипломные работы скачать бесплатно, дипломная работа скачать бесплатно казахстан, Разработка централизованного управления антивирусной защитой сети среднего предприятия