Захист операційних систем

Основні вимоги до безпеки комп’ютерних систем, об’єкти захисту. Незаконне використання привілеїв. Шкідливе програмне забезпечення. Класифікація комп'ютерних вірусів. Установка і налаштування системи захисту. Пакування, архівація і шифрування даних.

Рубрика Программирование, компьютеры и кибернетика
Вид учебное пособие
Язык украинский
Дата добавления 07.07.2017
Размер файла 625,5 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Деякі IRC-хробаки також містять троянський компонент - по заданих ключових словах здійснюють руйнівні дії на уражених комп'ютерах. Наприклад, хробак "pIRCH.Events" по визначеній команді стирає усі файли на диску користувача.

У скрипт-мовах клієнтів mIRC і PIRCH також існують оператори для запуску звичайних команд ОС і модулів, що виконуються, програм DOS і Windows. Ця можливість IRC-скриптів послужила основою для появи скрипт-хробакв нового покоління, що крім скриптів заражали комп'ютери користувачів EXE-вірусами, установлювали "троянських коней", і т.п.

Скрипт-хробаки працездатні тільки в тому випадку, якщо користувач дозволяє копіювання файлів з мережі на свій комп'ютер. Дана опція IRC-клієнтів називається "DCC autoget" - одержання файлів по протоколу DCC автоматично і без попереджуючого повідомлення. При відключеній опції заражений файл приймається, розміщується в каталозі клієнта і в наступному сеансі роботи продовжує своє поширення. При цьому користувач не одержує ніяких попереджуючих повідомлень.

Слід зазначити, що фірма-виготовлювач клієнта mIRC відреагувала досить оперативно і буквально через кілька днів після появи першого хробака випустила нову версію свого клієнта, у якій були закриті пробіли в захисті.

Приклади мережевих вірусів

mIRC.Acoragil і mIRC.Simpsalapim

Перші відомі mIRC-хробаки виявлені наприкінці 1997 року. Назви одержали по кодових словах, що використовуються хробаками: якщо в тексті, переданому в канал будь-яким користувачем, присутній рядок "Acoragil", то всі користувачі, заражені хробаком mIRC.Acoragil автоматично відключаються від каналу. Те саме відбувається з хробаком mIRC. Simpsalapim - він аналогічно реагує на рядок "Simpsalapim". При розмноженні хробаки командами mIRC пересилають свій код у файлі SCRIPT. INI кожному новому користувачу, що підключається до каналу. Містять троянську частину. Хробак mIRC.Simpsalapim містить код захоплення каналу IRC - якщо mIRC власника каналу заражений, то по введенню кодового слова "ananas", зловмисник перехоплює керування каналом. Хробак mIRC. Acoragil по кодових словах пересилає системні файли OC. Деякі кодові слова обрані так чином, що не привертають уваги жертви - hi, cya чи the. Одна з модифікацій цього хробака пересилає зловмиснику файл паролів UNIX.

Win95.Fono

Небезпечний резидентный файлово-завантажувальний поліморфік-вірус. Використовує mIRC як один із способів свого поширення: перехоплює системні події Windows і при запуску файлу MIRC32.EXE активізує свою mIRC-процедуру. При цьому відкриває файл MIRC.INI і записує в його кінець команду, що знімає захист:

[fileserver]

Warning=Off .

Потім створює файли SCRIPT.INI і INCA.EXE. Файл INCA.EXE містить дроппер вірусу, скрипт файлу SCRIPT.INI пересилає себе і цей дроппер у канал IRC кожному, хто приєднується до каналу або виходить з нього.

pIRCH.Events

Перший відомий PIRCH-хробак. Розсилає себе кожному користувачу, що приєднався. По ключових словах виконує різні дії, наприклад:

- по команді ".query" відбувається свого роду переклик, по якому заражені системи відповідають <Так, я вже заражена>;

- по команді ".exit" завершує роботу клієнта;

По інших командах хробак видаляє всі файли з диска С, надає доступ до файлів на зараженому комп'ютері, і т.д.

IRC-Worm.Pron

Мережевий вірус-черв'як, зашифрований. Розмножується в IRC-каналах і використовує для свого розмноження mIRC-клієнта. Має дуже невелику довжину - всього 582 байти. Передається з мережі на комп'ютер у вигляді файлу PR0N.BAT. При його запуску вірус копіює себе у файл PR0N. COM і запускає його на виконання. Заголовок вірусу влаштований таким чином, що він може виконуватися як BAT-, так і COM-програма, і в результаті управління передається на основну процедуру зараження системи. При зараженні системи вірус використовує дуже простий прийом: він копіює свій BAT-файл в поточний каталог і в каталог C\WINDOWS\SYSTEM (якщо такий відсутній, то вірус не заражає систему). Потім вірус записує свій код у файл WINSTART.BAT. Для розповсюдження свого коду через mIRC вірус створює новий файл SCRIPT.INI в каталозі mIRC-клієнта. Цей каталог вірус шукає за чотирма варіантами:

C\MIRC; C\MIRC32; C\PROGRA~1\MIRC; C\PROGRA~1\MIRC32 .

Скрипт вірусу містить всього одну команду - кожному користувачу, що підключається до зараженого каналу, передається вірусний файл PR0N.BAT. Вірус містить рядок-"копірайт".

  • 3.7 Стелс-віруси
    • Стелс-віруси тими чи іншими способами приховують факт своєї присутності в системі, підставляючи замість себе незаражені ділянки інформації. Крім того, такі віруси при зверненні до файлів використовують досить оригінальні алгоритми, що "обманюють" резидентні антивірусні програми.
    • Відомі стелс-віруси всіх типів - завантажувальні віруси, файлові DOS-віруси і навіть макро-віруси.

Завантажувальні стелс-віруси

Завантажувальні стелс-віруси для приховання свого коду використовують два основних способи.

Перший спосіб полягає в тому, що вірус перехоплює команди читання зараженого сектора (INT 13h) і підставляє замість нього незаражений оригінал. Цей спосіб робить вірус невидимим для будь-якої DOS-програми, включаючи антивіруси, нездатні "лікувати" оперативну пам'ять комп'ютера. Можливе перехоплення команд читання секторів на рівні більш низькому, чим INT 13h.

Другий спосіб спрямований проти антивірусів, що підтримують команди прямого читання секторів через порти контролера диска. Такі віруси при запуску будь-якої програми (включаючи антивірус) відновлюють заражені сектори, а після закінчення її роботи знову заражають диск. Оскільки для цього вірусу приходиться перехоплювати запуск і закінчення роботи програм, то він повинен перехоплювати також DOS-переривання INT 21h.

З деяким застереженням стелс-вірусами можна назвати віруси, що вносять мінімальні зміни в сектор, що заражається (наприклад, при зараженні MBR змінюють тільки активну адресу завантажувального сектора - зміні підлягають тільки 3 байти), або маскуються під код стандартного завантажника.

Файлові стелс-віруси

Більшість файлових стелс-вірусів використовує ті самі прийоми, що приведено вище: вони або перехоплюють DOS-виклики звертання до файлів (INT 21h), або тимчасово лікують файл при його відкритті і заражають при закритті. Так само, як і для boot-вірусів, існують файлові віруси, що використовують для своїх стелс-функцій перехоплення переривань більш низького рівня - виклики драйверів DOS, INT 25h і навіть INT 13h.

Повноцінні файлові стелс-віруси, що використовують перший спосіб приховання свого коду, здебільшого досить громіздкі, оскільки їм приходитися перехоплювати велику кількість DOS-функцій роботи з файлами: відкриття/закриття, читання/записування, пошук, запуск, перейменування і т.д., причому необхідно підтримувати обидва варіанти деяких викликів (FCB/ASCII), а після появи Windows 95/NT їм стало необхідно також обробляти третій варіант - функції роботи з довгими іменами файлів.

Деякі віруси використовують частину функцій повноцінного стелс-віруса. Найчастіше вони перехоплюють функції DOS FindFirst і FindNext (INT 21h, AH=11h, 12h, 4Eh, 4Fh) і зменшують розмір заражених файлів. Такий вірус неможливо визначити по зміні розмірів файлів, якщо, звичайно, він резидентно знаходиться в пам'яті.

Програми, що не використовують зазначені функції DOS (наприклад, "Нортоновські утиліти"), а прямо використовують вміст секторів, що зберігають каталог, показують правильну довжину заражених файлів.

Макро-стелс-віруси

Реалізація стелс-алгоритмів у макро-вірусах є, напевно, найбільш простою задачею - досить усього лише заборонити виклик меню File/ Templates або Tools/Macro. Досягається це або видаленням цих пунктів меню зі списку, або їхньою підміною на макроси FileTemplates і ToolsMacro.

Частково стелс-вірусами можна назвати невелику групу макро-вірусів, що зберігають свій основний код не в самому макросі, а в інших областях документа - у його змінних чи в Auto-text.

Приклади стелс-вірусів

Crusher

Безпечний резидентний MBR-EXE-стелс-вірус. При запуску зараженого файла він записується в MBR вінчестера, потім перехоплює INT 21h і записується в початок EXE-файлів при їх копіюванні. При завантаженні з ураженого диска перехоплює INT 1Ch, чекає завантаження DOS, потім відновлює INT 1Ch, перехоплює INT 21h і приступає до зараження файлів. Якщо при роботі вірусу йому не вистачає пам'яті, він повідомляє "Insufficient memory" і повертається в DOS. При запуску CHKDSK вірус виводить текст:

Crusher You are damned. Bit Addict / Trident.

Ekoterror

Резидентний небезпечний стелс-вірус, при запуску зараженого файлу записується в MBR вінчестера і передає управління програмі-носію, при завантаженні з ураженого MBR перехоплює INT 8, 13h, а потім, використовуючи INT 8, перехоплює INT 21h і записується в початок .COM-файлів при їх створенні. Періодично розшифровує і виводить текст:

EkoTerror (C) 1991 ATK-toimisto P.Linkola Oy

Kovalevysi on poistettu kДytФstД luonnonsuojelun nimessД.

VihreДssД yhteiskunnassa ei saa olla ydinsДhkФllД toimivia kovalevyjД.

а потім завішує комп'ютер. В деяких випадках некоректно уражає MBR, в результаті DOS гине при завантаженні.

Rasek, сімейство

Дуже небезпечні файлово-завантажувальні віруси, що самошифруються. При запуску зараженого файлу записують себе в MBR вінчестера, потім перехоплюють INT 13h, 12h. Переривання INT 13h використовується для реалізації стелс-механізму при читанні ураженої MBR. Віруси також записують в Boot-сектори флопі-дисків програму, яка при завантаженні з такого флопі стирає FAT вінчестера. Переривання INT 21h використовується вірусом для зараження COM- і EXE-файлів при їх запуску, вірус записується в кінець файлів. У тілі вірусу міститься рядок "AND.COM", вірус шукає цей рядок в імені файла і не вражає такі файли (COMMAND.COM). У тілі вірусів також міститься і інші рядки:

"Rasek.1310" RASEK v1.1,from LA CORUеA(SPAIN) .Jan93

"Rasek.1489" RaseK v2.1,from LA CORUеA(SPAIN) .Mar93

Vecna

Дуже небезпечний резидентний файлово-завантажувальний стелс-вірус. Заражає boot-сектори дискет, MBR вінчестера і записується поверх EXE-файлів (псує їх). При запуску зараженого EXE-файла записується в MBR вінчестера, розшифровує і виводить текст:

Out of memory.

Потім повертає управління DOS. При завантаженні з диска перехоплює INT 13h, залишається резидентним в пам'яті і заражає дискети і EXE-файли на дискетах. Під налагоджувачем і на Pentium-комп'ютерах виводить текст:

Vecna Live

Має досить серйозну помилку - може повернути управління оригінальному обробнику INT 13h із зіпсованим вмістом регістра АХ, що може привести до втрати даних на диску і навіть до його форматування.

Kyokushinkai

Дуже небезпечний резидентний файлово-завантажувальний вірус. При запуску зараженого записується в MBR вінчестера, перехоплює INT 12h, 13h, 1Ch, 21h і при запуску програм шукає EXE-файли і записується в їх кінець. Заражений MBR-сектор не видно при активному в пам'яті вірусі (стелс). Залежно від поточного часу стирає системні сектори рядком:

+++++++ KШФkБshЛдkДЛ +++++++.- 39-mynrazCmeroizв..

  • 3.8 Поліморфік-віруси
    • Не так давно виявлення вірусів було простою справою: кожен вірус створював точну копію самого себе при тиражуванні і інфікуванні нових файлів і завантажувальних секторів, тому антивірусним програмам необхідно було тільки знати послідовність байтів, що становлять вірус. Для кожного вірусу фахівці виявляли унікальну послідовність байтів - його сигнатуру. Наявність такої сигнатури служила високонадійним індикатором присутності небажаного коду, що і примусило авторів вірусів спробувати приховувати будь-яку послідовність байтів, здатну видати присутність їх творінь. Вони стали робити це шляхом шифрування вірусів.
    • Віруси, що шифрують свій код, відомі досить давно. Проте самі процедури розшифрування досить легко виявити, зокрема, тому, що далеко не всі автори вірусів мають досить знань для написання власних процедур шифрування і розшифрування, тому багато вірусів використовують для цього один і той самий код. Тепер сканери вірусів шукають певні процедури розшифрування. Хоча виявлення такої процедури ще нічого не говорить про те, який саме вірус присутній у зашифрованому вигляді, але це вже сигнал про наявність вірусу. Тому останнім прийомом зловмисників стає поліморфізм.
    • Перші поліморфні віруси Tequila і Maltese Amoeba з'явилися в 1991 році. Все б нічого, але в 1992 році автор, відомий під псевдонімом Dark Avenger, написав свого роду комплект "Сделай сам" для мутаційного механізму, який він зробив частиною вірусу Maltese Amoeba. До 1992 року розробники вірусів працювали насправді дарма. Абсолютно ясно, що кваліфікація професіоналів у сфері антивірусної безпеки ніяк не нижча, і тому багатомісячні зусилля "вірусописьменників" коштували в крайньому випадку зайвих годин роботи для фахівців. Адже всі зашифровані віруси обов'язково містили якийсь незашифрований фрагмент: сам розшифровувач або деяку його частину, по яких можна було б побудувати сигнатуру даного вірусу і потім вже боротися з ним звичними способами.
    • Ситуація змінилася, коли були придумані алгоритми, що дозволяють не тільки шифрувати код вірусу, але і міняти розшифровувач. Сама постановка такої задачі питань не викликає: ясно, що можна побудувати різні розшифровувачі. Суть у тому, що цей процес автоматизований, і кожна нова копія вірусу містить новий розшифровувач, кожен біт якого може відрізнятися від бітів розшифровувача копії, що породила її.
    • Отже, до поліморфік-вірусів відносяться ті з них, які неможливо (чи вкрай важко) знайти за допомогою так званих вірусних масок - ділянок постійного коду, специфічних для конкретного вірусу. Досягається це двома основними способами:
    • - шифруванням основного коду вірусу з непостійним ключем і випадковим набором команд розшифровувача;
    • - зміною самого виконуваного коду вірусу.
    • Існують також інші, досить екзотичні приклади поліморфізму: DOS-вірус "Bomber", наприклад, не зашифрований, однак послідовність команд, що передає керування коду вірусу, є цілком поліморфною. Поліморфізм різного ступеня складності зустрічається у вірусах усіх типів - завантажувальних, файлових і навіть у макро-вірусах.

Поліморфні розшифровувачі

Найпростішим прикладом частково поліморфного розшифровувача є наступний набір команд, в результаті застосування якого жоден байт коду самого вірусу і його розшифровувача не є постійним при зараженні різних файлів:

MOV reg_1, count ; reg_1, reg_2, reg_3 вибираються з

MOV reg_2, key ; AX,BX,CX,DX,SI,DI,BP

MOV reg_3, _offset ; count, key, _offset також можуть мінятися

_LOOP: безпека комп'ютерний вірус шифрування

xxx byte ptr [reg_3], reg_2 ; xor, add чи sub

DEC reg_1

Jxx _loop ; ja чи jnc

; далі йдуть зашифровані код і дані вірусу

Більш складні поліморфік-віруси використовують значно більш складні алгоритми для генерації коду своїх розшифровувачів. Приведені вище інструкції переставляються місцями від зараження до зараження, розбавляються нічого не змінюючими командами типу

NOP, STI, CLI, STC, CLC, DEC <невикористовуваний регістр>

або

XCHG <невикористовувані регістри>.

Повноцінні ж поліморфік-віруси використовують ще більш складні алгоритми, у результаті роботи яких у розшифровувачі вірусу можуть зустрітися операції SUB, ADD, XOR, ROR, ROL і інші в довільній кількості і порядку. Завантаження і зміна ключів і інших параметрів шифровки виробляється також довільним набором операцій, у якому можуть зустрітися практично всі інструкції процесора Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP ) із усіма можливими режимами адресації. З'являються також поліморфік-віруси, розшифровувач яких використовує інструкції аж до Intel386. В результаті на початку файлу, зараженого подібним вірусом, йде набір безглуздих на перший погляд інструкцій, причому деякі комбінації, що цілком працездатні, не аналізуються фірмовими дизассемблерами (наприклад, сполучення CSCS чи CSNOP). І серед цієї "каші" з команд і даних зрідка прослизають MOV, XOR, LOOP, JMP - інструкції, що дійсно є "робітниками".

Рівні поліморфізму

Існує розподіл поліморфік-вірусів на рівні в залежності від складності коду, що зустрічається в розшифровувачах цих вірусів. Такий розподіл уперше запропонував доктор Алан Соломон, а згодом Весселин Бончев розширив його.

Рівень 1: віруси, що мають деякий набір розшифровувачів з постійним кодом і при зараженні вибирають один з них. Такі віруси є "напів-поліморфіками" і носять також назву "олігоморфік" (oligomorphic). Приклади: "Cheeba", "Slovakia", "Whale".

Рівень 2: розшифровувач вірусу містить одну чи кілька постійних інструкцій, основна ж його частина непостійна.

Рівень 3: розшифровувач містить невикористовувані інструкції - "сміття" типу NOP, CLI, STI і т.д.

Рівень 4: у розшифровувачі використовуються взаємозамінні інструкції і зміна порядку проходження (перемішування) інструкцій. Алгоритм розшифрування при цьому не змінюється.

Рівень 5: використовуються всі перераховані вище прийоми, алгоритм розшифрування не постійний, можливе повторне зашифрування коду вірусу і навіть часткове зашифрування самого коду розшифровувача.

Рівень 6: permutating-віруси. Зміні підлягає основний код вірусу - він поділяється на блоки, що при зараженні переставляються в довільному порядку. Вірус при цьому залишається працездатним. Подібні віруси можуть бути незашифрованими.

Наведений вище розподіл не вільний від недоліків, оскільки створений за єдиним критерієм - можливість детектувати вірус по коду розшифровувача за допомогою стандартного прийому вірусних масок: рівень 1 - для детектування вірусу досить мати кілька масок; рівень 2 - детектування по масці з використанням "wildcards"; рівень 3 - детектування по масці після видалення інструкцій-"сміття"; рівень 4 - маска містить кілька варіантів можливого коду, тобто стає алгоритмічною; рівень 5 - неможливість детектування вірусу по масці.

Недостатність такого розподілу продемонстрована у вірусі 3-го рівня поліморфічності, що так і називається - "Level3". Цей вірус, будучи одним з найбільш складних поліморфік-вірусів, за приведеним вище розподом попадає в Рівень 3, оскільки має постійний алгоритм розшафровки, перед яким стоїть велика кількість команд-"сміття". Однак у цьому вірусі алгоритм генерування "сміття" доведений до досконалості в коді розшифровувача можуть зустрітися практично всі інструкції процесора і8086.

Якщо зробити розподіл на рівні з погляду антивірусів, що використовують системи автоматичної розшифровки коду вірусу (емулятори), то розподіл на рівні буде залежати від складності емуляції коду вірусу. Можливо детектування вірусу й інших прийомів, наприклад, розшифровка за допомогою елементарних математичних законів і т.д.

Зміна виконуваного коду

Найбільш часто подібний спосіб поліморфізму використовується макро-вірусами, що при створенні своїх нових копій випадковим чином змінюють імена своїх змінних, вставляють порожні рядки чи змінюють свій код яким-небудь іншим способом. У такий спосіб алгоритм роботи вірусу залишається без змін, але код вірусу практично цілком міняється від зараження до зараження.

Рідше цей спосіб застосовується складними завантажувальними вірусами. Такі віруси впроваджують у завантажувальні сектори лише досить коротку процедуру, що зчитує з диска основний код вірусу і передає на нього керування. Код цієї процедури вибирається з декількох різних варіантів (які також можуть бути розведені "порожніми" командами), команди переставляються між собою і т.д.

Ще рідше цей прийом зустрічається у файлових вірусів - адже їм приходиться цілком змінювати свій код, а для цього вимагаються досить складні алгоритми.

На сьогоднішній день відомі всего два таких віруси, один із яких ("Ply") випадковим образом переміщає свої команди по своєму тілу і заміняє їх на команди JMP чи CALL. Інший вірус ("TMC") використовує більш складний спосіб - щоразу при зараженні вірус змінює місцями блоки свого коду і даних, вставляє "сміття", у своїх асемблерних інструкціях встановлює нові значення оффсетів на дані, змінює константи і т.д. В результаті, хоча вірус і не шифрує свій код, він є поліморфік-вірусом - у коді не присутній постійний набір команд. Більш того, при створенні своїх нових копій вірус змінює свою довжину.

Деякі віруси (наприклад, віруси сімейства Eddie, Murphy) використовують частину функцій повноцінного вірусу-невидимки. Зазвичай вони перехоплюють функції DOS FindFirst і FindNext і "зменшують" розмір заражених файлів. Такий вірус неможливо визначити за зміною розмірів файлів, якщо, звичайно, він резидентно знаходиться в пам'яті. Програми, що не використовують вказані функції DOS (наприклад, Norton Commander), а напряму звертаються до вмісту секторів, які зберігають каталог, показують правильну довжину заражених файлів.

При інфікуванні файлу вірус може здійснювати дії, що маскують і прискорюють його розповсюдження. До подібних дій можна віднести обробку атрибуту Read-only, зняття його перед зараженням і подальше відновлення цього атрибуту. Багато файлових вірусів прочитують дату останньої модифікації файлу і відновлюють її після зараження. Для маскування свого розповсюдження деякі віруси перехоплюють переривання DOS, що виникає при зверненні до диска, захищеного від запису, і самостійно обробляють його. Тому серед особливостей алгоритму файлового вірусу можна назвати наявність або відсутність обробки і швидкість його розповсюдження. Швидкість розповсюдження файлових вірусів, що заражають файли тільки під час їх запуску на виконання, буде нижчою, ніж у вірусів, що заражають файли при їх відкритті, перейменуванні, зміні їх атрибутів і т.д. Деякі віруси при створенні своєї копії в оперативній пам'яті намагаються зайняти область пам'яті з найстаршими адресами, руйнуючи тимчасову частину командного інтерпретатора COMMAND.COM. Після закінчення роботи зараженої програми тимчасова частина інтерпретатора відновлюється, при цьому відбувається відкриття файлу COMMAND.COM і його зараження, якщо вірус вражає файли при їх відкритті.

Приклади поліморфік-вірусів

Amoeba.2367

Дуже небезпечний резидентний поліморфик-вірус. Перехоплює INT 21h і записується в кінець COM- і EXE-файлів при їх запуску або відкритті. 21 березня і 1 листопада знищує інформацію на вінчестері. Містить тексти:

Tosee aworld in а grain of sand,

And а heaven in а wildflower

Hold Infinity in the palm of your hand

And Eternity in an hour.

"THE VIRUS 16/3/91 AMOEBA virus by the Hacker Twins (C) 1991 This is nothing, wait for the release of AMOEBA II-The universal infector, hidden to any eye but ours! Dedicated to the University of Malta- the worst educational system in the universe,and the destroyer of 5X2 years of human life.

Simulation

Безпечний нерезидентний полиморфик-вірус. Шукає .COM-файли і записується в їх кінець. Періодично виводить одне з повідомлень, після чого завішує комп'ютер:

HA HA HA YOU HAVE А VIRUS ! FRODO LIVES!

Have you ever danced with the Devil in the pale moonlight?

DATACRIME VIRUS RELEASED 1 MARCH 1989 ALIVE

Your system is infected by the SIMULATION virus.

Have а nice day!

Predator (файлово-завантажувальні)

Нешкідливі резидентні COM-EXE-MBR-Boot-поліморфік-віруси. Під час запуску зараженого файлу трасують і перехоплюють INT 13h, 21h і записуються в MBR вінчестера. Потім записуються в кінець COM- і EXE-файлів при зверненнях до них. Вражають Boot-сектори дискет. При завантаженні з ураженого флопі-диска перехоплюють INT 13h і чекають завантаження DOS, потім перехоплюють INT 21h і приступають до зараження. Містять текст:

THE PREDATOR. TORPNACSAELCFASVVAPC.

VANOCED

Останній рядок містить частини імен файлів (задом наперед), які не вражаються вірусом PROT, SCAN, CLEA, VSAF, CPAV, NAV, DECO.

Також містять рядки:

"Predator.2248" Predator virus #2 (c) 1993 Priest - Phalcon/Skism

"Predator.2424" Predator virus #2 (c) 1993

Here comes the Predator!

Samara.1536

Безпечний резидентний файлово-завантажувальний поліморфік-вірус. При старті з інфікованого файлу заражає MBR вінчестера, перехоплює INT 21h і записується в кінець COM- і EXE-файлів при їх запуску (окрім COMMAND.COM). Забороняє запуск антивірусів AVPLITE, AIDSTEST, AVP, DRWEB, SCAN.

При завантаженні з інфікованого MBR вірус перехоплює INT 13h, чекає завантаження DOS і потім перехоплює INT 21h. При завантаженні з boot-сектора дискети вірус ще заражає MBR. При зараженні MBR і boot-секторів не зберігає їх оригінали. Для збереження працездатності системи вірус при завантаженні із зараженого диска самостійно прочитує і запускає на виконання перший логічний сектор диска С, який містить завантажувальний код операційної системи.

OneHalf, сімейство

Дуже небезпечні резидентні файлово-завантажувальні поліморфік-віруси. При запуску заражають MBR вінчестера, при завантаженні з ураженого диска перехоплюють INT 13h, 1Ch, 21h і записуються в COM- і EXE-файли при зверненні до них. Не заражають файли SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV, CHKDSK. Код-розшифровувач цих вірусів розкиданий по всьому файлу з випадковими зсувами. При зараженні вінчестера вірус прочитує його MBR і сканує таблицю розділів диска (DPT). У ній він шукає останній DOS'івський диск - логічний диск (FAT-12,16/BIGDOS) або Extended partition, і коли знаходить, підраховує номер першого і останнього циліндрів знайденого диска (або Extended partition). При цьому вірус досить грамотно обробляє диски, що мають більше 1024 циліндрів і не вписуються в стандарти INT 13h. Вірус запам'ятовує адреси цих циліндрів і заражає вінчестер.

Потім при завантаженні із зараженого вінчестера вірус шифрує два останні циліндри диска, при наступному завантаженні - ще два і т.д., поки не дійде до першого циліндра. При цьому вірус використовує адреси першого і останнього циліндрів диска, які запам'ятав при зараженні вінчестера. Коли кількість зашифрованих циліндрів перевалить за половину диска, вірус повідомляє (залежно від поточної дати і свого "покоління"):

Disк is one half.

Press any key to continue

Таким чином, чим частіше перезавантажується заражений комп'ютер, тим більше за дані виявляються зашифрованими. Після завантаження в пам'ять вірус розшифровує/зашифровує ці сектори "на льоту", тому користувач не помічає того, що його дані зіпсовані. Проте якщо вилікувати MBR, то всі дані виявляються втраченими.

"OneHalf.3518" не шифрує себе у файлах. Виводить текст:

A20 Error !!! Press any key to continue

"OneHalf.3544.b" не заражає файли AIDS*.*, ADINF*.*, DRWEB*.*, ASD*.*, MSAV*.*. Виводить повідомлення:

Dis is TWO HALF. Fucks any key to Goping

Cheeba, сімейство

Резидентні безпечні віруси. Активізуються, коли вектор INT 13h вказує на область з адресою меншою, ніж адреса першого MCB. В обробниках INT 13h, 21h, 22h замінюють перші 5 байтів на код "FAR JMP на тіло вірусу", потім записуються в кінець COM- і EXE-файлів. Містять текст:

CHEEBA Makes Уа High Harmlessly F**K THE LAMERS .

У вірусі присутні також коди, які розшифровуються і виконуються при відкритті файлу USERS.BBS, використовуючи ім'я файлу як ключ розшифровки. При цьому вірус записує у файл USERS.BBS якусь інформацію (створює ім'я з максимальними привілеями?).

Bomber

Нешкідливий резидентний полиморфик-вірус. Перехоплює INT 21h і заражає COM-файли, окрім COMMAND.COM, при їх запуску. Містить усередині себе текст:

COMMANDER BOMBER WAS HERE. [DAME]

Характерною рисою цього вірусу є те, що він використовує досить незвичайний поліморфік-алгоритм. При зараженні вірус прочитує 4096 байтів з середини файлу і переносить їх в його кінець. Себе він записує в "диру", що утворилася, і приступає до генерації поліморфік-коду. Вірус містить декілька підпрограм генерації випадкового (але цілком працездатного!) коду, який записується у випадкові місця файлу, що заражається. У цьому коді може бути присутньою близько 90% всіх інструкцій процесора i8086. Управління з однієї ділянки в іншу передається командами CALL, JMP, RET, RET xxxx. Перша ділянка записується в початок файлу, а остання передає управління на основне тіло вірусу. У результаті заражений файл виглядає як би покритий "плямами" коду вірусу, а процедура виявлення основного тіла вірусу стає надзвичайно складною.

  • 3.9 Способи захисту від вірусів
    • Насамперед, необхідно відзначити, що захистити комп'ютер від вірусів може лише сам користувач. Тільки систематичне архівування інформації, обмеження ненадійних контактів і своєчасне застосування антивірусних засобів може захистити комп'ютер від зараження або забезпечити мінімальний збиток, якщо зараження все-таки відбулося.

Систематичне архівування важливої інформації

Єдиним стовідсотковим по надійності методом захисту від втрати важливої інформації є її резервне копіювання на захищені від записування пристрої зберігання даних. Більше того, архівуванням також не можна нехтувати, оскільки втратити інформацію можна не лише через віруси, але й через стрибки напруги в мережі, поломки обладнання й т.д.

Жодна антивірусна програма не зрівняється по надійності з архівуванням інформації. Справа в тому, що на будь-який алгоритм антивірусу завжди найдеться алгоритм вірусу, невидимого для цього антивірусу.

Обмеження ненадійних контактів

Друге правило, що частково гарантує збереження інформації, - це обмеження копіювання даних з ненадійних джерел. Як би ми не старалися, обмін інформацією з іншими користувачами і робота в локальних або глобальних мережах неминучі. Однак, деякі правила для себе все-таки виділити можна.

По-перше, необхідно намагатися не запускати неперевірені файли, у тому числі отримані по комп'ютерній мережі. Бажано використовувати тільки програми, отримані з надійних джерел. Перед запуском нових програм обов'язково варто перевірити їх одним або декількома антивірусами.

По-друге, варто обов'язково користуватися тільки тими джерелами та іншими файлами, які добре зарекомендували себе, хоча це не завжди рятує (наприклад, на WWW-cepвері Mіcrosoft досить довгий час перебував документ, зараженний макровірусом "Wazzu").

По-третє, необхідно обмежити коло людей, які допущені до роботи на конкретному комп'ютері. Практика показує, що найбільш уразливі комп'ютери - багатокористувацькі.

І нарешті, відповідно до четвертого правила, варто купувати тільки дистрибутивне програмне забезпечення в офіційних продавців. Безкоштовні, умовно безкоштовні або піратські копії можуть призвести до зараження.

Використання антивірусних програм

При існуючому різноманітті вірусів і їх мутацій запобігти зараженню може тільки повнофункціональна антивірусна система, що має в своєму арсеналі всі відомі технології боротьби з "інфекційними хворобами": не тільки сканер-поліфаг, але і резидентний on-line-монітор, засоби контролю програмної цілісності (CRC) і евристичного пошуку вірусних сигнатур.

Кожен новий вірус необхідно знайти щонайшвидше (а деякі віруси навмисно довго себе не проявляють, щоб у них було досить часу на розповсюдження). Проблема у тому, що немає чіткого способу визначити наперед, що при своєму виконанні дана програма проявить вірусоподібну поведінку. Як немає єдиних ліків від усіх хвороб, так немаэ універсальної "вакцини" від усіх видів шкідливого програмного забезпечення. На всі 100% захиститися від вірусів практично неможливо!

У такій сфері, як виявлення атак на комп'ютерні системи, процес вдосконалення нескінченний. Хакери не втомлюються винаходити всі нові схеми проникнення в комп'ютерні системи. Розробники детектуючих додатків, що стоять по іншу сторону барикад, відстежують новинки, що з'являються, і поспішають запропонувати свої контрзаходи. От чому продукти, що випускаються, вимагають постійної модернізації, і користувачам настійно рекомендується встановлювати оновлені сигнатури, що дозволяють ідентифікувати нові види мережевих атак.

Старе антивірусне програмне забезпечення подібно лікам з минулим терміном придатності - толку від нього мало. Якщо не обновляти файли сигнатур, то рано чи пізно можна опинитися беззахисними проти нових вірусів. Більшість фірм, що розробляють антивіруси, випускає нові файли сигнатур принаймні двічі в місяць або й частіше, якщо з'являється серйозний вірус. Для отримання нових сигнатур зручно користуватися функцією автоматичного оновлення через Web, що є в антивірусному пакеті.

Супровід через Internet програми PC-cillin, наприклад, володіє унікальною особливістю. Можна не тільки отримати консультацію по електронній пошті, але і поговорити у реальному часі з фахівцем служби супроводу Trend. (Хоча від цієї чудової послуги не багато толку, якщо комп'ютер заблокований і увійти в Internet неможливо, проте вона безкоштовна.) Такі антивірусні продукти, як Norton AntiVirus 2000 і McAfee VirusScan, підтримують найкрупніші дослідницькі групи галузі: відповідно Symantec AntiVirus Research Center і AntiVirus Emergency Response Team. Тому Norton і McAfee швидко реагують на загрозу нового вірусу.

Всі основні фірми-постачальники антивірусного забезпечення регулярно і досить часто оновлюють файли сигнатур вірусів, а при появі особливо шкідливого вірусу створюють додатковий екстрений випуск. Ще зовсім недавно вважалося, що сигнатури потрібно оновлювати щомісячно, але в нашу епоху нових вірусів, можливо, буде розумним перевіряти їх щотижня вручну або за допомогою автоматичного оновлення антивірусної програми. В утилітах McAfee, Symantec і Trend Micro для оновлення достатньо один раз клацнути кнопкою миші.

Певний набір засобів антивірусного захисту присутній у всіх утилітах основних фірм-виробників програмного забезпечення. Серед них: постійний захист від вірусів (антивірусний монітор), перевірка системи за розкладом і оновлення сигнатур через Internet, а також створення аварійної завантажувальної дискети, що дозволяє запустити комп'ютер навіть тоді, коли у нього заражений вірусом завантажувальний сектор (природно, дискету треба створити до того, як вірус потрапив в комп'ютер). Крім цих стандартних засобів, деякі пакети містять "архітектурні надмірності": наприклад, спеціальний додатковий захист від поштових вірусів (тривога з приводу яких наростає), а також шкідливих модулів ActiveX і Java-аплетов. А такі програми, як Panda Antivirus Platinum і PC-cillin, навіть дозволяють батькам заблокувати доступ дітей до небажаних Web-сторінок.

Оскільки у нових вірусів є нові сигнатури, файли сигнатур необхідно підтримувати в актуальному стані. При виході нової версії антивіруса формат файлу сигнатур звичайно міняється, і оновлені сигнатури виявляються несумісними з попередніми версіями програми. Саме тому антивірусне програмне забезпечення вже досить давно продається по тій же схемі, що бритви і леза: одного разу купивши основну утиліту (бритву), ви потім вимушені постійно купувати оновлені файли сигнатур (леза).

Так, компанії McAfee і Symantec надають право необмеженого оновлення сигнатур протягом року з моменту придбання утиліти, але за кожен наступний рік потрібно в обох випадках заплатити 4 долари. Таку суму навряд можна вважати серйозним ударом по кишені (на відміну від підписки на оновлені файли сигнатур F-Secure, яка коштує 63 доларів); крім того, через рік ми з великою вірогідністю захочемо відновити саму програму. Їх основні конкуренти - Command AntiVirus, Inoculate IT, Panda Antivirus Platinum і PC-cillin - пропонують безкоштовне оновлення сигнатур протягом всього життя продукту.

В даний час способи надання антивірусного захисту істотно змінюються. Компанія McAfee.com вже пропонує перевірку на віруси через Internet в своїй "електронній лікарні" McAfee Clinic (разом з ще декількома видами діагностики). Послуга надається по підписці і коштує 50 доларів в рік, але часто з'являються спеціальні пропозиції, а за перші два тижні платня не береться - це випробувальний період. Перевірку віддалених комп'ютерів на віруси здійснює модуль ActiveX, який бере сигнатури з Web-серверу виробника програми.

Види антивірусних програм

Самими популярними й ефективними антивірусними програмами є антивірусні сканери, монітори, фаги (поліфаги), ревізори. Застосовуються також різного роду блокувальники і іммунізатори (вакцини). Розглянемо характеристики кожного з цих видів програм.

Сканери (scanner)

Сканери (детектори) здатні виявити фіксований набір суттєвих вірусів у файловій системі, секторах і системній пам'яті, а потім - негайно видалити більшість з них. Для пошуку вірусів сканери використають так звані "маски" (або сигнатуру) - деяку постійну послідовність коду, специфічну для конкретного вірусу.

У випадку, якщо вірус не містить у собі постійної маски (наприклад, поліморфік-вируси), використовуються інші методи, засновані на описі всіх можливих варіантів коду на алгоритмічній мові.

У багатьох популярних сканерах (наприклад Антивірус Касперського, Doctor Web, Norton Antіvіrus, McAfee, Panda Antіvіr, AntіVіr Personal Edіtіon і ін.) застосовується режим евристичного сканування. Цей режим полягає в тому, що програма не просто шукає віруси, а проводить аналіз послідовності команд у кожному об'єкті, який перевіряється, здійснює набір деякої статистики, згодом приймає ймовірне рішення типу: "можливо заражений" або "не заражений".

Евристичне сканування являє собою ймовірнісний метод пошуку вірусів, що, в решті решт, забезпечує можливість визначення невідомих програмі вірусів, але разом з цим збільшує кількість помилкових спрацьовувань (повідомлень, знайдених вірусах у файлах, де насправді їх немає).

Основна ідея такого підходу полягає у тому, що евристика спочатку розглядає поведінку програми, а потім зіставляє його з характерним для зловмисної атаки, на зразок поведінки троянського коня. Встановити модель поведінки і ухвалити рішення щодо нього можна за допомогою декількох механізмів. Для того, щоб виявити і визначити всі можливі дії програми, використовують два підходи: сканування і емуляція.

Підхід зі скануванням припускає пошук "поведінкових штампів", наприклад, найтиповіших низькорівневих способів відкриття файлів. Або процедура сканування звичайного виконуваного файлу проглядає всі місця, де програма відкриває інший файл, і визначає, якого роду файли вона відкриває і що в них записує.

Другий метод визначення поведінки - емуляція. Такий підхід дещо складніший. Програма пропускається через емулятор Windows або макроемулятор Macintosh або Word з метою подивитися, що вона робитиме. Проте виникають питання, тому що в цьому випадку багато що залежить від чудасій вірусів. Наприклад, якщо вірус запрограмований на форматування жорсткого диска 25 лютого о 10 годині ранку, а при емуляції цього вірусу на симуляторі дата встановлена на 24 лютого, то вірус поки не проявить свої наміри.

Вся хитрість швидкого розпізнавання полягає в поєднанні двох підходів і отриманні найдокладнішого каталога поведінкових штампів за можливо коротший час. Для перевірки факту зараження файлу вірусом фахівці можуть використовувати різні варіанти штучного інтелекту - експертні системи і нейронні мережі.

Недолік евристичного підходу полягає якраз в його еврістичності. Завжди є вірогідність, що надзвичайно підозрілий файл насправді абсолютно нешкідливий. Проте останній евристичний механізм Symantec під назвою Bloodhound дозволяє знайти до 80% невідомих вірусів виконуваних файлів і до 90% невідомих макровірусів. Варто також помітити, що програми-детектори не дуже універсальні, оскільки здатні знайти тільки відомі віруси. Деяким таким програмам можна повідомити спеціальну послідовність байт, характерну для якогось вірусу, і вони зможуть знайти інфіковані ним файли: наприклад, це уміють NotronAntiVirus або AVP-сканер.

Різновидом сканерів є так звані таблетки - спеціалізовані програми, орієнтовані на пошук певного типу або сімейства вірусів, наприклад, троянів, макровірусів та інших (наприклад, Antі-Trojan, Trojan Remover).

Слід зазначити, що використання спеціалізованих сканерів, розрахованих тільки на макровіруси, іноді буває більше зручним і надійним рішенням для захисту документів MS Word і MS Excel.

До недоліків сканерів варто віднести тільки те, що вони охоплюють далеко не всі відомі віруси й вимагають постійного відновлення антивірусних баз. З огляду на частоту появи нових вірусів і їх короткий життєвий цикл, для використання сканерів необхідно налагодити одержання свіжих версій не рідше одного-двох разів на місяць. В іншому випадку їхня ефективність істотно знижується.

Монітори

Монітори - це різновид сканерів, які, постійно перебуваючи в пам'яті, відслідковують вірусоподобні ситуації, які відбуваються з диском і пам'яттю (тобто виконують безперервний моніторинг). Прикладом таких антивірусів може бути програма Kaspersky Antі-Vіrus або SpіDer Guard.

До недоліків цих програм можна віднести, наприклад, імовірність виникнення конфліктів з іншим програмним забезпеченням, як і для сканерів - залежність від нових версій вірусних баз, а також можливість їхнього обходу деякими вірусами.

Фаги (поліфаги) (scanner/cleaner, scaner/remover)

Фаги - це програми, здатні не тільки знаходити, але і знищувати віруси, тобто лікувати "хворі" програми (поліфаг може знищити багато вірусів). До поліфагів відноситься і така стара програма, як Aidstest, яка знаходить і знешкоджує близько 2000 вірусів.

Основний принцип роботи традиційного фага простий і не є секретом. Для кожного вірусу шляхом аналізу його коду, способів зараження файлів і т.д. виділяється деяка характерна тільки для нього послідовність байтів - сигнатура. Пошук вірусів в простому випадку зводиться до пошуку їх сигнатур (так працює будь-який детектор).

Сучасні фаги використовують інші методи пошуку вірусів. Після виявлення вірусу в тілі програми (або завантажувального сектора, який теж містить програму початкового завантаження) фаг знешкоджує його. Для цього розробники антивірусних засобів ретельно вивчають роботу кожного конкретного вірусу: що він псує, як він псує, де він ховає те, що зіпсує (якщо ховає). В більшості випадків фаг може видалити вірус і відновити працездатність зіпсованих програм. Але необхідно добре розуміти, що це можливо далеко не завжди.

Ревізори

Ревізори - це програми, принцип роботи яких заснований на підрахунку контрольних сум (CRC-сум) для присутніх на диску файлів і системних секторів.

Прикладом такого антивірусу може бути програма ADіnf32. Ці контрольні суми потім зберігаються в базі даних антивірусу (у таблицях) разом із відповідною інформацією: довжинами файлів, датами їх останньої модифікації і т.д. При наступному запуску ревізори звіряють відомості, що містяться в базі даних, з реально підрахованими значеннями. Якщо інформація про файл, записана в базі даних, не збігається з реальними значеннями, то ревізор попереджає про те, що файл, можливо, був змінений або заражений вірусом.

Ревізори вміють вчасно виявляти зараження комп'ютера практично кожним з існуючих на сьогодні вірусів, не допускаючи розвитку епідемії, а сучасні версії ревізора вміють негайно видаляти більшість навіть раніше незнайомих їм вірусів.

До недоліків ревізорів можна віднести те, що для забезпечення безпеки вони повинні використовуватися регулярно. Але безсумнівними їхніми перевагами є висока швидкість перевірок і те, що вони не вимагають частого відновлення версій.

Антивірусні блокувальники

Антивірусні блокувальники - це резидентні програми, які перехоплюють небезпечні ситуації, і повідомляють про це користувача (наприклад, AVP Offіce Guard). До ситуацій, що відслідковуються, належать, наприклад, відкриття виконуваних файлів для записування і записування в boot-сектори дисків або MBR вінчестера, спроби програми залишитися резидентною і т.д. Доречі, відзначені події харектерні для вірусів у моменти їх розмноження.

Блокувальники дозволяють обмежити розповсюдження епідемії, поки вірус не буде знищений. Практично всі резидентні віруси визначають факт своєї присутності в пам'яті машини, викликаючи яке-небудь програмне переривання з "хитрими" параметрами. Якщо написати просту резидентну програму, яка імітуватиме наявність вірусу в пам'яті комп'ютера, правильно "відзиваючись" на певний пароль, то вірус, швидше за все, визнає цю машину вже зараженою.

Навіть якщо деякі файли на комп'ютері містять в собі код вірусу, при використанні блокувальника зараження всієї решти файлів не відбудеться. Для нормальної роботи такої програми необхідно запустити блокувальник раніше всієї решти програм, наприклад, у файлі CONFIG.SYS. Але якщо вірус встиг заразити COMMAND.COM або стартує із завантажувального сектора, то антівірус-блокировщик не допоможе.

До переваг блокувальників можна віднести вміння виявляти вірус на самій ранній стадії його розмноження, а до недоліків - здатність деяких вірусів обходити блокувальники, а також наявність неправдивих спрацьовувань.

Іммунізатори або вакцини

Іммунізатори - це невеликі програми, які змінюють файли або проникають у них. У першому випадку вірус буде приймати файли як заражені, а в другому - антивірус буде щоразу перевіряти файл на зміни. Слід зазначити, що в наш час цей тип антивірусів не має великого pacповсюдження серед користувачів.

Спеціальні вакцини призначені для обробки файлів і завантажувальних секторів. Вакцини бувають пасивними і активними.

Активна вакцина, "заражаючи" файл, подібно вірусу, оберігає його від будь-якої зміни і у ряді випадків здатна не тільки знайти сам факт зараження, але і вилікувати файл. Пасивні вакцини застосовують тільки для запобігання зараженню файлів деякими вірусами, що використовують прості ознаки їх зараженості - "дивні" час або дату створення, певні символьні рядки і т.д. В даний час вакцинація широко не застосовується. Бездумна вакцинація всього і всіх здатна викликати цілі епідемії неіснуючих вірусних хвороб. Так, протягом декількох років на території колишнього СРСР лютувала страшна епідемія жахливого вірусу TIME. Жертвою цього вірусу стали сотні абсолютно здорових програм, оброблених антивірусною програмою ANTI-КІТ.

Наведемо приклад. В даний час існує досить багато вірусів, що запобігають повторному зараженню файлів деякою "чорною міткою", якою вони мітять інфіковану програму. Існують, наприклад, віруси, що виставляють в полі секунд часу створення файлу значення 62.Уже досить давно з'явився вірус, який до всіх заражених файлів дописував п'ять байт - MsDos. Нормальних файлів, що містять в кінці такий символьний рядок, не буває, тому вірус і використовував цю ознаку як індикатор зараження файлу. Вакцинація файлів проти такого вірусу зовсім не складна. Достатньо дописати в кінець вище згаданий символьний рядок - і зараження таким вірусом не страшне. Страшне інше - деякі антивірусні програми, зустрівши в кінці файлу нещасливу строчку, починають негайно лікувати його. Шансів на те, що після такого "лікування" "інвалід" нормально працюватиме, практично ніяких.

  • 3.10 Контрольні питання
    • 1. Класифікуйте комп'ютерні віруси за середовищем їх існування та за способом зараження комп'ютерів.
    • 2. Наведіть класифікацію вірусів за алгоритмами, які вони використовують при функціонуванні, та за своїми деструктивними можливостями?
    • 3. З чого складається класифікаційний код вірусу?
    • 4. Що таке дескриптор та сигнатура вірусів?
    • 5. В чому полягають особливості файлових вірусів, якими вони бувають?
    • 6. Де можуть бути розташовані файлові віруси?
    • 7. Яким буває класифікаційний код файлового вірусу і які його складові?
    • 8. Охарактеризуйте дескриптор та сигнатуру файлового вірусу.
    • 9. Які різновиди файлових вірусів ви знаєте? Дайте характеристику "overwriting"-вірусам?
    • 10. В чому полягає принцип функціонування та розташування паразитичних вірусів?
    • 11. В чому різниця між вірусами типу "prepending", "appending" і "inserting"?
    • 12. Як працюють віруси-компаньйони? В чому їх особливості?
    • 13. Що таке файлові хробаки? Наведіть відомі вам приклади файлових вірусів-хробаків.
    • 14. Link-віруси та їх особливості.
    • 15. Охарактеризуйте групу OBJ- і LIB-вірусів. Де вони розташовуються і як себе проявляють?
    • 16. Наведіть алгоритм роботи файлових вірусів.
    • 17. Які можливості відновлення файлів, що заражені файловим вірусом?
    • 18. Дайте означення завантажувального вірусу. В чому його особливості?
    • 19. Яким може бути класифікаційний код бутівського вірусу? Наведіть приклади і поясніть значення кожної складової.
    • 20. Що може містити дескриптор та сигнатура бутівського вірусу?
    • 21. В чому полягає принцип дії завантажувального вірусу?
    • 22. Наведіть можливі місця розташування завантажувальних вірусів.
    • 23. Наведіть алгоритм роботи завантажувального вірусу: резидентного і нерезидентного.
    • 24. Дайте загальну характеристику макро-вірусам, їх особливостям та розташуванню.
    • 25. Якими можуть бути причини зараження макро-вірусами?
    • 26. Які принципи роботи і алгоритм функціонування Word-вірусів?
    • 27. Які принципи функціонування Excel-вірусів?
    • 28. Як працюють Acсess-віруси і як вони себе проявляють?
    • 29. В чому особливості мережних вірусів?
    • 30. Що таке IRC-хробаки і які їх різновиди ви знаєте?
    • 31. Що таке IRC-сервери та IRC-клієнти?
    • 32. Охарактеризуйте стелс-віруси. Які різновиди цих вірусів ви знаєте?
    • 33. Як проявляють себе завантажувальні стелс-віруси?
    • 34. В чому особливість файлових стелс-вірусів?
    • 35. Що таке макро-стелс-віруси?
    • 36. Які віруси відносять до групи поліморфічних вірусів?
    • 37. Наведіть і охарактеризуйте рівні поліморфік-вірусів і можливості детектування вірусу на кожному з рівнів.
    • 38. Дайте характеристику такому способу поліморфізму, як зміна виконуваного коду.
    • 39. Що таке поліморфні розшифровувачі?
    • 40. Наведіть перелік основних прийомів для захисту операційних систем від вірусів.
    • 41. Доведіть необхідність систематичного архівування інформації та обмеження ненадійних контактів
    • 42. Для чого існує антивірусне програмне забезпечення?
    • 43. Що таке програми-сканери та які їх основні характеристики?
    • 44. В чому полягає особливість такиї антивірусних програм, як таблетки?
    • 45. Яка особливість антивірусних програм-моніторів?
    • 46. Що таке програми-ревізори, як вони працюють?
    • 47. Дайте характеристику антивірусним блокувальникам та програмам-імунізаторам.
  • 4. Найпростіші методи захисту інформації в операційних системах
    • 4.1 Установки і налаштування системи захисту

Існує багато установок і на лаштувань, що забезпечують деякі додаткові можливості системи захисту Windows. Усі вони безкоштовні та легко реалізуються. Не зважаючи на їх простоту, не слід ігнорувати такими методами захисту.

Періодичне очищення меню Документи (Documents)

Це меню містить перелік файлів (приблизно 15 найменувань), з якими ми нещодавна працювали (рис.11). А це означає, що будь-який сторонній користувач може без проблем переглянути результати нашої роботи або наш особистий файл, навіть не використовуючи будь-якого спеціального пошуку.


Подобные документы

  • Клас програм, призначених для виконання різних несанкціонованих користувачем дій, іноді спрямованих на заподіяння шкоди (знищення або пошкодження даних). Історія комп’ютерних вірусів, їх класифікація. Основні особливості алгоритму роботи вірусів.

    презентация [2,0 M], добавлен 28.10.2014

  • Особливість криптографічного захисту інформації. Огляд зарубіжного законодавства в області інформаційної безпеки. Механізми аудита і протоколювання облікові записи. Характеристика комп'ютерних вірусів. Антивірусне програмне забезпечення для компанії.

    практическая работа [2,3 M], добавлен 16.11.2022

  • Основи безпеки даних в комп'ютерних системах. Розробка програми для забезпечення захисту інформації від несанкціонованого доступу: шифрування та дешифрування даних за допомогою криптографічних алгоритмів RSA та DES. Проблеми і перспективи криптографії.

    дипломная работа [823,1 K], добавлен 11.01.2011

  • Основи безпеки даних в комп'ютерних системах. Канали проникнення та принципи побудови систем захисту. Ідентифікація і аутентифікація користувачів. Захист даних від несанкціонованого доступу. Технічні можливості зловмисника і засоби знімання інформації.

    курс лекций [555,1 K], добавлен 05.12.2010

  • Класифікація програмного забезпечення, системне та прикладне забезпечення, інструментальні системи. Програмна складова комп'ютерної системи, опис алгоритмів розв'язання певної задачі. Класифікація операційних систем, основні групи прикладних програм.

    презентация [945,0 K], добавлен 01.04.2013

  • Дослідження криптографічних методів захисту даних від небажаного доступу. Основи безпеки даних в комп'ютерних системах. Класифікаційні складові загроз безпеки інформації. Характеристика алгоритмів симетричного та асиметричного шифрування інформації.

    курсовая работа [245,8 K], добавлен 01.06.2014

  • Широке використання інформаційних технологій у всіх сферах життя суспільства. Інформація як об’єкт захисту. Основні види загроз безпеки інформації в комп’ютерних мережах. Несанкційований доступ до інформації і його мета. Порушники безпеки інформації.

    реферат [253,2 K], добавлен 19.12.2010

  • Терміни та визначення в галузі інформаційної безпеки, напрями її забезпечення (правовий, організаційний, інженерно-технічний). Захист інформації у комп’ютерних системах. Види загроз та можливі наслідки від їх реалізації. Суб’єкти та об’єкти захисту.

    презентация [481,4 K], добавлен 21.10.2014

  • Способи виявлення й видалення невідомого вірусу. Спроби протидії комп’ютерним вірусам. Способи захисту комп’ютера від зараження вірусами та зберігання інформації на дисках. Класифікація комп'ютерних вірусів та основні типи антивірусних програм.

    реферат [17,1 K], добавлен 16.06.2010

  • Вивчення історії кафедри "Комп’ютерної інженерії". Дослідження процесу складання, монтажу, налагодження, тестування апаратного забезпечення комп’ютерних систем і мереж. Науково-дослідні роботи у лабораторії "Програмного забезпечення комп’ютерних систем".

    отчет по практике [23,9 K], добавлен 01.03.2013

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.