|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Защита информации от компьютерных вирусовПервые сообщения о несущих вред программах, преднамеренно и скрытно внедряемых в программное обеспечение компьютеров появились в начале 80-х годов прошлого столетия. Название «компьютерные вирусы» произошло, вероятно, по причине их сходства с биологическими прототипами, с точки зрения возможности самостоятельного размножения. Поэтому в компьютерную область были перенесены и другие медико-биологические термины (например, “вакцина”, “имплантация”, “мутация”, и т.д.). Сообщения о программах, которые при наступлении определённых условий начинают производить действия (например, после определённого числа запусков, стирают хранящуюся в системе информацию), но при этом не обладают характерной для вирусов способностью самовоспроизведению, появились значительно раньше. По аналогии с персонажем известного древнегреческого мифа, такие программы получили название «троянских коней» (это не вирус). Первые сообщения о возможности создания компьютерных вирусов относятся к 1984 году, но эти сообщения в то время не нашли должного отклика у специалистов по информационной безопасности. Однако уже в 1985 году стали появляться сообщения о реальных фактах появления компьютерных вирусов. В мае 1985 года, во время голосования в Конгрессе США, вышла из строя система подсчёта голосов. В сентябре этого же года сетевой вирус уничтожил за два дня более 160 тысяч платёжных счётов. В ноябре 1988 года знаменитый «червь Моррисона» поразил более 6 тысяч компьютеров сети МэлНэт (сеть системы обороны США), а НАСА на два дня закрыла свою сеть для восстановления нормального обслуживания 52 тысяч пользователей. В 1987 году были зафиксированы факты появления компьютерных вирусов в нашей стране (8 случаев). 1988 год – 24 случая. 1989 год – 49 случаев. 1990 год – 75 случаев. В последующие годы эти цифры резко возросли, в т.ч. и в нашей стране поскольку в сентябре 1990 года отечественная сети получили доступ к Интернету. Страны, где производится наибольшее число сетевых вирусов: Болгария (чемпион), США, Германия, Пакистан и страны бывшего СССР (но не Россия) – Белоруссия. Под «программными вирусами» (ПВ) понимаются автономно-функционирующие программы, обладающие способностью имплантации (включения) в тело других программ и последующему самовоспроизведению и самораспространению в вычислительных сетях и отдельных компьютерах. Поэтому в настоящее время разработка способов противодействия вирусов образовала одну из наиболее приоритетных направлений – работ по обеспечению безопасности вычислительных сетей. Первичные заражения происходят в процессе поступления инфицированных программ из памяти одной машины в память другой, причём в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискетки и диски), так и каналы вычислительных сетей. Цикл жизни вируса обычно включает следующие периоды: имплантации (внедрение), инкубационный, репликации (саморазмножения), проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет заданные ему целевые функции, т.е. необратимую коррекцию информации на магнитных носителях. Физическая структура вируса достаточно проста: “голова” и “хвост”. Под “ головой ” вируса понимаются его компоненты, получающие управление первой, а “ хвост ” – это часть вируса, которая располагается отдельно от “головы”, в тексте зараженной программы. Сетевые вирусы, называемые также репликаторами, используют для своего размножения средства сетевых операционных систем. Наиболее просто реализуется размножение в тех случаях, когда протоколами вычислительной сети предусмотрен только обмен программами. Классическим примером реализации процесса размножения с использованием только средств электронной почты является широко известный «репликатор Моррисона» и ряд ему подобных. Источниками поступления вирусов в компьютер также являются исполняемые программы. Чаще всего ими могут быть версии популярных пакетов, игры, электронные журналы, и т.д. Предшественниками вирусов принято считать «троянских коней», тела которых содержат скрытые последовательности команд (модули), выполняющие действия, доносящие вред пользователю. Наиболее распространённой разновидностью «троянских» программ являются широко известные программы массового применения (редакторы, трансляторы, и т.д.), в которые внедрены так называемые “логические бомбы”, срабатывающие по наступлении некоторого события, например, “бомба с часовым механизмом, запускаемая в определённый момент времени” (“13, пятница”). 1.11.1 Общая характеристика средств и методов нейтрализации вирусов Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие группы: - искажение информации в файлах; - имитации сбоев аппаратных средств; - создание звуковых и визуальных эффектов, затрудняющих работу операторов; - инициирование ошибок в программах пользователей или операционной системе. Наиболее распространённым средством нейтрализации вирусов являются антивирусы, которые принято делить на следующие группы: (1) детекторы; (2) фаги; (3) вакцины; (4) прививки; (5) ревизоры; (6) мониторы. (1) обеспечивают выявление вирусов, посредством просмотра исполняемых файлов и поиска так называемых сигнатур (устойчивых последовательностей байтов, имеющихся в темах известных вирусов). Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом. Для этого в программе детектора содержится набор образцов конкретных вирусов, и только такие вирусы сможет находить данный детектор. При появлении новых типов, а иногда – новых версий вирусов, необходимо запускать и новые версии детекторов. Они просматривают всевозможные места нахождения вирусов (основная память, файлы операционной системы, логические диски…) и сигнализируют о наличии или отсутствии вирусов. (2) выполняют функции, свойственные (1), но кроме того, они излечивают инфицированные программы посредством “выкусывания” вирусов из их тел. По аналогии с (1) и (2), ориентированные на нейтрализацию различных вирусов, именуют полифагами (например, Dc Web). В отличие от (1) и (2), (3) по своему принципу действия напоминают сами вирусы. Вакцина имплантируется в защищаемую программу и запоминает её ряд количественных и структурных характеристик. Если вакцинированная программа не была до вакцинации инфицированной, то при первом же после заражении запуске произойдёт следующее: активация вирусоносителя приведёт к получению управления вирусом, которое, выполнив свои целевые функции, передаст управление вакцинированной программе. В этой программе сначала управление получит вакцина, которая начнёт проверять соответствие запомненных ею характеристик аналогичным характером, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменениях текста вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть, например, длина программы (в байтах) или её контрольные суммы. Принцип действия (4) основан на учёте того обстоятельства, что любой вирус, как правило, помечает инфицируемые программы каким-либо признаком с тем, чтобы не выполнять их повторное заражение. Прививки, не внося никаких других изменений в текст защищаемой программы, помечает её тем же признаком, что и вирус, который после активизации и проверки наличия указанного признака считает её инфицированной и оставляет в покое. (5) обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогично реализованному в вакцинах. Программа-ревизор, в процессе своего функционирования, выполняет применительно к каждому файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предыдущего просмотра файлов. Если при этом обнаруживается, что, согласно имеющейся системной информации, файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным. Характеристики исполняемых файлов, которые получаются в ходе очередного просмотра, запоминаются в отдельном файле. Поэтому увеличение длин исполняемых файлов, которое имеет место при вакцинировании, в данном случае не происходит. (6) представляет собой резидентную программу, обеспечивающую перехват потенциально опасных прерываний, характерных для вирусов, и запрашивающую у пользователей подтверждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения, монитор блокирует выполнение пользовательской программы. Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.) |