Файл: Лекции является знакомство с понятием компьютерный вирус.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 17.10.2024
Просмотров: 9
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
может осуществляться двумя способами. Первый способ - это «активный» поиск с использованием функций операционной системы. Примером являются файловые вирусы, использующие механизм поиска исполняемых файлов в текущем каталоге. Второй способ - это «пассивный» механизм поиска. В данном случае вирусы расставляют «ловушки» для программных файлов. Как правило, файловые вирусы устраивают такие ловушки путем перехвата функции Exec операционной системы, а макровирусы - с помощью перехвата команд Save as из меню File.
В простейшем случае заражение жертвы представляет собой самокопирование кода вируса в выбранный в качестве жертвы объект. Для каждого из типов вирусов, классифицированных по среде обитания, существуют свои особенности заражения.
Выполнение деструктивных функций. Вирусы могут выполнять помимо самокопирования деструктивные функции. Классификация вирусов по данному признаку рассматривалась выше.
Этап передачи управления программе-носителю вируса для некоторых вирусов может отсутствовать, так как они не заботятся о сохранении работоспособности инфицированных программ. Для других вирусов этот этап связан с восстановлением в памяти программы в том виде, в котором она должна корректно исполняться, и передачей управления программеносителю вируса.
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
Однако перечисленные выше явления необязательно вызываются присутствием вируса, а могут быть следствием других причин.
4. Вредоносные программы других типов
Кроме вирусов в литературе принято выделять еще несколько видов вредоносных программ. Это троянские кони, логические бомбы, утилиты скрытого администрирования, Intended-вирусы
и.т.д. Однако между ними не существует четкого разделения: троянские кони могут содержать вирусы, в вирусы могут быть встроены логические бомбы и т.д. Тем не менее, ниже приводятся некоторые из их отличительных черт.
Троянские кони - программы, тела которых содержат скрытые последовательности команд, выполняющие определенные несанкционированные действия. Внешне они выглядят совершенно безобидно, «подделываются» под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Но когда пользователь загрузит такую программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. По сравнению с вирусами троянские кони не получают широкого распространения по достаточно простым причинам - они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем.
Логической бомбой называется программа или ее отдельные модули, которые выполняют вредоносные действия при определенных условиях, например, по достижении определенной даты.
Среди вредоносных программ выделяют также злые шутки (hoax). К ним относятся программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности.
Утилиты скрытого администрирования по своей функциональности во многом напоминают различные системы администрирования. Однако при их инсталляции и запуске не выдаются какие-либо сообщения. Эта особенность и позволяет классифицировать их как вредоносные программы. При запуске утилита устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о ее действиях в системе. Более того, ссылка на данную утилиту может отсутствовать в списке активных приложений.
К Intended-вирусам относятся программы, которые на первый взгляд являются стопроцентными вирусами, но не способны размножаться по причине ошибок в их программном коде. К этой категории также относятся вирусы, которые размножаются только один раз - из «авторской» копии.
Конструктор вирусов - это утилита, предназначенная для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные тексты вирусов (ASM-файлы), объектные модули, и/или непосредственно зараженные файлы. Некоторые конструкторы (VLC, NRLG) снабжены стандартным оконным интерфейсом.
К вредоносным программам относятся полиморфик-генераторы, главной функцией которых является шифрование тела вируса и генерация соответствующего расшифровщика. Таким образом, автору вируса, если он желает создать настоящий полиморфный вирус, не приходится корпеть над кодами собственного зашифровщика и расшифровщика. При желании он может подключить к своему вирусу любой известный полиморфик-генератор и вызывать его из кода вируса.
5. Методы обнаружения вирусов, антивирусные программы и комплексы
К основным методам обнаружения компьютерных вирусов можно отнести следующие:
Сканирование - один из самых простых методов обнаружения вирусов. Сканирование подразумевает просмотр файлов в поисках опознавательной части вируса - сигнатуры - некоторой постоянной последовательности кода, специфичной для конкретного вируса. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных, которые применяют шифрование тела вируса, изменяя при этом каждый раз сигнатуру.
При реализации метода обнаружения изменений программы-ревизоры запоминают предварительно характеристики всех областей диска, которые могут подвергнуться нападению, а затем периодически проверяют их. По результатам ревизии программа выдает сведения о предположительном наличии вирусов. Достоинство этого метода заключается в возможности обнаружения вирусов всех типов, а также новых неизвестных вирусов. Недостатки - невозможность определить вирус в файлах, которые поступают в систему уже зараженными, непригодность для обнаружения макровирусов.
Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд, характерных для вирусов, например, команд создания резидентных модулей в оперативной памяти, команд прямого обращения к дискам, минуя ОС. При обнаружении подозрительных команд выдается сообщение о возможном заражении.
Использование резидентных сторожей основано на применении программ, которые постоянно находятся в оперативной памяти ЭВМ и отслеживают все действия остальных программ. В случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в оперативную память резидентных модулей, попытка перехвата прерываний и т.п.) резидентный сторож выдает сообщение пользователю. Существенный недостаток данного метода -значительный процент ложных тревог.
Аппаратно-программная защита от вирусов основывается на использовании специальных контроллеров и их программного обеспечения. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др. При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение и блокирует работу ЭВМ. Аппаратнопрограммные антивирусные средства обладают следующими достоинствами перед программными:
Недостатком данных средств защиты является их зависимость от аппаратных средств ЭВМ.
В зависимости от того, какие методы обнаружения вирусов реализованы в антивирусных программах, различают следующие их виды:
Программы-фаги используют для обнаружения вирусов метод сканирования, эвристического анализа и некоторые другие. Однако они не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. Программы-фаги делятся на резидентные мониторы, производящие санирование «на лету», и нерезидентные сканеры, обеспечивающие проверку системы только по запросу. К достоинствам программ-фагов относится их универсальность, к недостаткам - небольшая скорость поиска вирусов и большие размеры антивирусных баз. Наиболее известные программы-фаги - Scan, Norton Antivirus, Doctor Web, Kaspersky Anti-Virus Scanner.
Программы-ревизоры (CRC-сканеры) используют для поиска вирусов метод обнаружения изменений. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (кодов циклического контроля) для файлов и системных секторов. Эти суммы, а также некоторая другая информация (длины файлов, даты их последней модификации и др.) сохраняются в базе данных антивируса. При следующем запуске CRC-сканеры сверяют данные, содержащиеся в БД, с реально подсчитанными значениями.
Если они не совпадают, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. В некоторых CRC-сканерах заложены алгоритмы антистелс. Однако они не могут определить вирус в новых файлах, поскольку в БД отсутствует информация о них. К числу CRC-сканеров относится программа ADinf (Advanced Diskinfoscope) и ревизор AVP Inspector.
Программы-блокировщики реализуют метод резидентных сторожей. Они перехватывают «вирусо-опасные» ситуации, сообщают об этом пользователю и предлагают запретить соответствующее действие. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. Однако они не «лечат» файлы и диски.
Программы-иммунизаторы - это программы, предотвращающие заражение файлов каким-либо типом вирусов. Они модифицируют программу или диск таким образом, чтобы это не отражалось на их работе, а вирус при этом воспринимает их зараженными и не внедряется. Однако такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать объекты от всех известных вирусов.
1 Что такое компьютерный вирус?
2 По каким признакам можно классифицировать вирусы?
3 Охарактеризуйте каждый тип вирусов.
4 Что характерно для стадии хранения и стадии исполнения компьютерных вирусов?
5 Какие виды вредоносных программ существуют?
6 Какие методы обнаружения компьютерных вирусов существуют? Охарактеризуйте каждый.
7 Какие методы обнаружения вирусов реализованы в антивирусных программах?
В простейшем случае заражение жертвы представляет собой самокопирование кода вируса в выбранный в качестве жертвы объект. Для каждого из типов вирусов, классифицированных по среде обитания, существуют свои особенности заражения.
Выполнение деструктивных функций. Вирусы могут выполнять помимо самокопирования деструктивные функции. Классификация вирусов по данному признаку рассматривалась выше.
Этап передачи управления программе-носителю вируса для некоторых вирусов может отсутствовать, так как они не заботятся о сохранении работоспособности инфицированных программ. Для других вирусов этот этап связан с восстановлением в памяти программы в том виде, в котором она должна корректно исполняться, и передачей управления программеносителю вируса.
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
-
прекращение работы или неправильная работа ранее успешно функционировавших программ; -
медленная работа компьютера; -
невозможность загрузки операционной системы; -
исчезновение файлов и каталогов или искажение их содержимого; -
изменение даты и времени модификации файлов; -
изменение размеров файлов; -
неожиданное значительное увеличение количества файлов на диске; -
существенное уменьшение размера свободной оперативной памяти; -
вывод на экран непредусмотренных сообщений или изображений; - подача непредусмотренных звуковых сигналов; - частые зависания и сбои в работе компьютера.
Однако перечисленные выше явления необязательно вызываются присутствием вируса, а могут быть следствием других причин.
4. Вредоносные программы других типов
Кроме вирусов в литературе принято выделять еще несколько видов вредоносных программ. Это троянские кони, логические бомбы, утилиты скрытого администрирования, Intended-вирусы
и.т.д. Однако между ними не существует четкого разделения: троянские кони могут содержать вирусы, в вирусы могут быть встроены логические бомбы и т.д. Тем не менее, ниже приводятся некоторые из их отличительных черт.
Троянские кони - программы, тела которых содержат скрытые последовательности команд, выполняющие определенные несанкционированные действия. Внешне они выглядят совершенно безобидно, «подделываются» под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Но когда пользователь загрузит такую программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. По сравнению с вирусами троянские кони не получают широкого распространения по достаточно простым причинам - они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем.
Логической бомбой называется программа или ее отдельные модули, которые выполняют вредоносные действия при определенных условиях, например, по достижении определенной даты.
Среди вредоносных программ выделяют также злые шутки (hoax). К ним относятся программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности.
Утилиты скрытого администрирования по своей функциональности во многом напоминают различные системы администрирования. Однако при их инсталляции и запуске не выдаются какие-либо сообщения. Эта особенность и позволяет классифицировать их как вредоносные программы. При запуске утилита устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о ее действиях в системе. Более того, ссылка на данную утилиту может отсутствовать в списке активных приложений.
К Intended-вирусам относятся программы, которые на первый взгляд являются стопроцентными вирусами, но не способны размножаться по причине ошибок в их программном коде. К этой категории также относятся вирусы, которые размножаются только один раз - из «авторской» копии.
Конструктор вирусов - это утилита, предназначенная для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные тексты вирусов (ASM-файлы), объектные модули, и/или непосредственно зараженные файлы. Некоторые конструкторы (VLC, NRLG) снабжены стандартным оконным интерфейсом.
К вредоносным программам относятся полиморфик-генераторы, главной функцией которых является шифрование тела вируса и генерация соответствующего расшифровщика. Таким образом, автору вируса, если он желает создать настоящий полиморфный вирус, не приходится корпеть над кодами собственного зашифровщика и расшифровщика. При желании он может подключить к своему вирусу любой известный полиморфик-генератор и вызывать его из кода вируса.
5. Методы обнаружения вирусов, антивирусные программы и комплексы
К основным методам обнаружения компьютерных вирусов можно отнести следующие:
-
сканирование (метод сравнения с эталоном); -
обнаружение изменений; -
эвристический анализ; -
использование резидентных сторожей (антивирусный мониторинг); - аппаратно-программная защита от вирусов.
Сканирование - один из самых простых методов обнаружения вирусов. Сканирование подразумевает просмотр файлов в поисках опознавательной части вируса - сигнатуры - некоторой постоянной последовательности кода, специфичной для конкретного вируса. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных, которые применяют шифрование тела вируса, изменяя при этом каждый раз сигнатуру.
При реализации метода обнаружения изменений программы-ревизоры запоминают предварительно характеристики всех областей диска, которые могут подвергнуться нападению, а затем периодически проверяют их. По результатам ревизии программа выдает сведения о предположительном наличии вирусов. Достоинство этого метода заключается в возможности обнаружения вирусов всех типов, а также новых неизвестных вирусов. Недостатки - невозможность определить вирус в файлах, которые поступают в систему уже зараженными, непригодность для обнаружения макровирусов.
Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд, характерных для вирусов, например, команд создания резидентных модулей в оперативной памяти, команд прямого обращения к дискам, минуя ОС. При обнаружении подозрительных команд выдается сообщение о возможном заражении.
Использование резидентных сторожей основано на применении программ, которые постоянно находятся в оперативной памяти ЭВМ и отслеживают все действия остальных программ. В случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в оперативную память резидентных модулей, попытка перехвата прерываний и т.п.) резидентный сторож выдает сообщение пользователю. Существенный недостаток данного метода -значительный процент ложных тревог.
Аппаратно-программная защита от вирусов основывается на использовании специальных контроллеров и их программного обеспечения. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др. При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение и блокирует работу ЭВМ. Аппаратнопрограммные антивирусные средства обладают следующими достоинствами перед программными:
-
работают постоянно; -
обнаруживают все вирусы, независимо от механизма их действия; -
блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя.
Недостатком данных средств защиты является их зависимость от аппаратных средств ЭВМ.
В зависимости от того, какие методы обнаружения вирусов реализованы в антивирусных программах, различают следующие их виды:
-
программы-фаги (сканеры); -
программы-ревизоры (CRC-сканеры); - программы-блокировщики; - программы-иммунизаторы.
Программы-фаги используют для обнаружения вирусов метод сканирования, эвристического анализа и некоторые другие. Однако они не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. Программы-фаги делятся на резидентные мониторы, производящие санирование «на лету», и нерезидентные сканеры, обеспечивающие проверку системы только по запросу. К достоинствам программ-фагов относится их универсальность, к недостаткам - небольшая скорость поиска вирусов и большие размеры антивирусных баз. Наиболее известные программы-фаги - Scan, Norton Antivirus, Doctor Web, Kaspersky Anti-Virus Scanner.
Программы-ревизоры (CRC-сканеры) используют для поиска вирусов метод обнаружения изменений. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (кодов циклического контроля) для файлов и системных секторов. Эти суммы, а также некоторая другая информация (длины файлов, даты их последней модификации и др.) сохраняются в базе данных антивируса. При следующем запуске CRC-сканеры сверяют данные, содержащиеся в БД, с реально подсчитанными значениями.
Если они не совпадают, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. В некоторых CRC-сканерах заложены алгоритмы антистелс. Однако они не могут определить вирус в новых файлах, поскольку в БД отсутствует информация о них. К числу CRC-сканеров относится программа ADinf (Advanced Diskinfoscope) и ревизор AVP Inspector.
Программы-блокировщики реализуют метод резидентных сторожей. Они перехватывают «вирусо-опасные» ситуации, сообщают об этом пользователю и предлагают запретить соответствующее действие. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. Однако они не «лечат» файлы и диски.
Программы-иммунизаторы - это программы, предотвращающие заражение файлов каким-либо типом вирусов. Они модифицируют программу или диск таким образом, чтобы это не отражалось на их работе, а вирус при этом воспринимает их зараженными и не внедряется. Однако такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать объекты от всех известных вирусов.
Вопросы к лекции
1 Что такое компьютерный вирус?
2 По каким признакам можно классифицировать вирусы?
3 Охарактеризуйте каждый тип вирусов.
4 Что характерно для стадии хранения и стадии исполнения компьютерных вирусов?
5 Какие виды вредоносных программ существуют?
6 Какие методы обнаружения компьютерных вирусов существуют? Охарактеризуйте каждый.
7 Какие методы обнаружения вирусов реализованы в антивирусных программах?