Защита от вирусов
Историческое определение было дано в 1984 г. Фредом Коэном: «Компьютерный вирус–это программа, которая может заражать другие программы, модифицируя их посредством включения в них своей, возможно, измененной копии, причем последняя сохраняет способность к дальнейшему размножению»
Классификация вирусов
По среде обитания вирусы делятся на:
файловые – внедряются либо в выполняемые файлы, либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы);
загрузочные вирусы- записывают себя либо в загрузочный сектор диска (boot), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Загрузочные вирусы замещают код программы, оригинальный код переносится в какой-либо другой сектор диска, и при перезапуске управление передается вирусу.
макровирусы– заражают макропрограммы и файлы Office. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения.
сетевые вирусы- используют для своего распространения протоколы или команды компьютерных сетей.
троянские кони- возможность к размножению не имеют, маскируются под безобидные или «полезные» программы;
логические бомбы– запрограммированные разработчиком программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия.
По нахождению в оперативной памяти:
резидентные- остаются в ОП после завершения работы вирусоносителя;
нерезидентные выгружаются из ОП после завершения работы вирусоносителя.
По выполнению деструктивных действий:
безвредные, неопасные, неразрушающие- присутствие связано с различными эффектами, может быть заложен механизм самораспространения. Расходуют ресурсы компьютера (например ОП, место на диске).
опасные, разрушающие – не заботятся о том, чтобы при инфицировании программ сохранять их работоспособность, приводят к сбоям в работе, разрушению программ данных, стиранию информации в системных областях памяти.
По методу сокрытия своего нахождения:
не скрывающие своего наличия в системе;
шифрующиеся- при внедрении в объект исполняемый код шифруется, со случайно подобранным ключом, который расшифровывает вирус при загрузке вирусоносителя;
полиморфные- при внедрении в объект вирус шифруется по случайным образом сгенерировавшему ключу, однако расшифровщик модифицируется так, чтобы возникли расхождения с оригиналом, но результаты работы остались прежними (это достигается изменением порядка инструкций, заменой эквивалентными по результату работы ит.д.)
стелс- вирусы- маскируют свое наличие в системе путем перехвата системных прерываний (например при обращении к зараженному файлу возвращают его длину без учета длины вируса), либо подставляют вместо себя незараженные участки информации, эмулируя «чистоту» зараженных файлов.
Этапы жизненного цикла
Инкубационный период. Вирус хранится на диске совместно с объектом внедрения, при этом он наиболее уязвим для антивирусных программ, так как не может контролировать работу ОС с целью самозащиты. Для этой цели может использоваться механизм шифрования и мутации кода.
Загрузка вируса осуществляется ОС одновременно с загрузкой исполняемого объекта, в который вирус внедрен. В случае, полиморфного вируса осуществляется расшифровка основной части. При завершении работы объекта внедрения, вирус в зависимости от классификации выгружается из ОП, либо остается в ней.
Поиск жертвы. Осуществляется либо активно, с использованием функций ОС (например, поиском исполняемого файла в текущем каталоге), либо пассивно (путем перехвата функций ОС или команд типа Save as).
Заражение жертвы в простейшем случае представляет собой самокопирование кода вируса в выбранный в качестве жертвы файл. Места заражения напрямую зависят от вида вируса и представлены в табл.
Выполнение деструктивных функций.
Обнаружение и уничтожение вируса
Табл. Заражение жертвы кодом вируса
-
Виды вирусов
Файловые вирусы
Загрузочные вирусы
Макровирусы
I класс
II класс
Место заражения
Переименовывают файл, и записывают себя в файл с прежнем именем жертвы
Внедряются в файлы жертвы:
-внедрение в начало файла. Происходит объединение кода вируса и кода жертвы или переписывание начального фрагмента кода в конец, с высвобождением места для кода вируса;
- внедрение в середину файла. Применяется к файлам, с заранее известной структурой и длиной, достаточной для размещения вируса (command.com). В противном случае, вирус архивирует найденную последовательность кода программы, а на освободившееся место дописывают себя;
- внедрение в конец файла-при этом передача управления вирусу обеспечивается модификацией первых команд программы (файлов типа .com) или заголовка(для фалов типа .exe).
Основной проблемой размещения является ограниченный размер объектов заражения.
1. Использование псевдосбойный секторов. Внедрение необходимого кода в свободные сектора диска, помечая их как сбойные и защищая тем самым себя и загрузчик от перезаписи.
2. Использование редко применяемых секторов в конце раздела. Внедрение необходимого кода в свободные сектора в конце диска, при этом ОС воспринимает их как свободные.
3. Использование зарезервированных областей разделов. Внедрение необходимого кода в области диска, зарезервированного под нужды ОС, а поэтому не используемые.
Сохранение макрокода возможно только шаблонах (т.е. файлов .dot). При этом необходим конроль со стороны вируса и перехват команд Save as для изменения расширения с /doc на .dot и добавлением необходимого кода.
Табл.Способы заражения
Способы заражения |
|||||||||||||||||||||||||||||||||||||||||||||||||||||
Дописывание в начало файла |
Дописывание в начало файла |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||
6
|
5. После восстановления программе передается управление
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||
онец
рограмма
сновная
часть вируса
В большинстве случаев программный код вируса должен включать следующие компоненты:
инициализатор– обеспечивает выполнение функций: сохранение параметров операционной среды (векторов прерываний, содержимого регистров процессора и т. д.), запрет всех внутренних и внешних прерываний, обработка которых не может быть проконтролирована вирусом, загрузка в оперативную память, расшифровывание и передачу управления коду секретной части;
зашифрованная секретная часть–обеспечивает выполнение всех целевых функций, состоит из 3 частей:
расшифровщика, предназначенного для расшифровки и передачи управления основному коду вируса;
зашифрованного основного кода вируса.
шифратор, предназначенный для зашифровывания основного кода вируса при размножении.
В процессе размножения в каждую внедряемую копию вируса помещается расшифровщик и зашифрованный основной код. При этом каждая новая копия основного кода зашифровывается по новому ключу, что обеспечивает отличие между разными копиями вируса. Для того чтобы в различных копиях вируса были и разные расшифровщики, в основной код вируса включается генератор расшифровщиков, основной функцией которого является создание для каждой новой копии вируса другого по виду, но такого же по функциям расшифровщика;
деструктор- выполняется после отработки секретной части и производит следующие действия: обнуление секретного кода в оперативной памяти, восстановление параметров операционной среды (векторов прерываний, содержимого регистров процессора и т. д.), которые были установлены до запрета неконтролируемых прерываний; выполнение операций, которые невозможно было выполнить при запрете неконтролируемых прерываний; освобождение всех задействованных ресурсов компьютера и завершение работы программы.
Однако зашифрована
.