39.Технология RootKit

Руткит технология позволяет внедрятся в систему и перехватывать системные функции или производить подмену системных библиотек. Используются для маскировки вирусов в памяти или на диске, установке невидимых драйверов и сервисов.

Rootkit – набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными снифферы, сканеры, кейлоггеры, троянские программы. Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.

Методы:

1 перехват функций в режиме пользователя

2 перехват функций в режиме ядра

40.Антивирусное программное обеспечение. Классификация, принципы работы

Сканеры – принцип работы состоит в сканировании оперативной памяти и дисков. При этом вирус ищется по сигнатуре – уникальному участку программного кода. Программа содержит базу данных сигнатур, которая должна периодически пополняться.

Мониторы – резидентные программы, осуществляющие автоматическое сканирование всех используемых файлов в реальном времени. Исключают запуск инфицированного файла. Ревизоры – программы, периодически запускаемые пользователем. Хранят контрольные суммы всех объектов файловой системы в своей базе данных и при запуске проверяют все файлы и служебные области диска на предмет изменений. Поведенческие блокираторы – резидентные программы, отслеживающие действия других программ и выделяющие и блокирующие потенциально опасные действия, характерные для вирусов. Основные методы обнаружения вирусов Реактивные: Метод сравнения с эталоном. Поиск вируса производится с целью выявления в теле файла сигнатуры – участка кода, выделенного из вируса и хранящегося в базе данных.Проблема – полиморфные вирусы. Метод эмуляции процессора. Предназначен для обнаружения полиморфных вирусов. Антивирусная программа эмулирует работу процессора для того, чтобы заставить вирус дешифроваться и получить возможность анализа его работы.Проблема – может обнаруживать только известные вирусы.Проактивные: Эвристический анализ. Код программы анализируется на предмет выяснения характера действий программы и принятия решения о том, опасна ли данная программа для системы или нет. Может применяться для обнаружения неизвестных вирусов.

Правила компьютерной безопасности

Периодически обновляйте антивирусную программу

Осторожность с файлами электронной почты

Ограничьте круг лиц, пользующихся Вашим компьютером

Своевременно устанавливайте "заплатки" к установленному ПО

Осторожность с источниками, заслуживающими доверия

Сочетайте разные антивирусные технологии (антивирусный монитор, постоянно присутствующий в памяти компьютера и проверяющий все используемые файлы в масштабе реального времени (в момент доступа к ним);

ревизор изменений, который отслеживает все изменения на диске и немедленно сообщает, если в каком-либо из файлов "поселился" вирус;

поведенческий блокиратор, обнаруживающий вирусы не по их уникальному коду, а по последовательности их действий. )

Регулярное резервное копирование

Не паникуйте!