- •Оглавление
- •Введение
- •1. Разрушающие программные средства
- •1.1. Понятие разрушающих программных средств
- •1.2. Классификация разрушающих программных средств
- •1.2.1. Классификация компьютерных вирусов
- •1.2.2. Классификация "сетевых червей"
- •1.2.3. Классификация программных закладок
- •1.2.4. Встречаемость различных классов и разновидностей разрушающих программных средств
- •1.2.5. Тенденции развития разрушающих программных средств
- •1.3. Основы функционирования разрушающих программных средств
- •1.3.1. Основы функционирования компьютерных вирусов
- •1.3.2. Основы функционирования программных закладок
- •1.3.3. Способы реализации атак переполнения буфера
- •Классификация атак переполнения буфера
- •Библиографический список
1.2.1. Классификация компьютерных вирусов
Компьютерные вирусы – это программы, способные создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия [4]. При этом копии сохраняют способность дальнейшего распространения.
Компьютерные вирусы по объекту заражения (распространения в компьютерной системе) можно разделить [5]:
– на файловые, заражающие файлы одного или нескольких типов (исполняемые файлы формата PE, исполняемые файлы формата ELF, DOS-PE или COM; макровирусы, заражающие документы MS Office (документы MS Word, презентации PowerPoint и т. п.), script-вирусы и др.). Пример реализации простейшего файлового вируса представлен в приложении 1;
– загрузочные, заражающие загрузочные секторы жестких дисков, дискет, FLASH-накопителей;
– комбинированные, заражающие как обычные файлы, так и загрузочные секторы.
Файловые вирусы по способу внедрения можно разделить:
– на вирусы, замещающие программный код (Overwrite). Это наиболее грубый способ заражения, при котором тело программы-жертвы полностью или частично теряет свою функциональность и замещается на тело вируса;
– вирусы-спутники (Companion);
– паразитические вирусы (Parasitic), тело которых внедряется в файл-жертву без потери жертвой своей функциональности. Чаще всего в данной ситуации тело вируса дописывается в конец файла, в заголовке исполняемого файла изменяется адрес первой машинной команды программы на адрес первой машинной команды вируса. Таким образом, при запуске зараженной программы сначала получает управление вирус, а затем оригинальная программа;
– link-вирусы, использующие особенности организации файловых систем;
– obj-вирусы, заражающие объектные модули (OBJ);
– вирусы, заражающие библиотеки компиляторов (LIB);
– вирусы, внедряемые в исходные тексты программ.
1.2.2. Классификация "сетевых червей"
"Сетевые черви" – вредоносные программы, обладающие алгоритмами, позволяющими рассылать свои копии на другие компьютеры. Некоторые исследователи данный класс программ относят к классу программных закладок или к классу компьютерных вирусов.
В настоящее время выделяют следующие разновидности "червей" (по классификации ЗАО "Лаборатория Касперского") [6]:
1) Email-Worm – почтовые "черви", которые представляют собой специально сформированные почтовые сообщения, содержащие свою копию в виде вложения, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском web-сайте);
2) Worm и Net-Worm – сетевые "черви", копирующие свое тело на сетевые ресурсы и использующие уязвимости в операционных системах и приложениях, проникающие в сетевые ресурсы публичного использования или паразитирующие на других вредоносных программах;
3) IM-Worm, IRC-Worm, P2P-Worm – сетевые "черви", использующие уязвимости сетевых протоколов прикладного уровня: Internet-пейджеров, обмена сообщениями, файлообменных сетей.