7.3. Методы обнаружения и удаления вирусов
обнаружение
удаление
профилактика
Обнаружение:
Сканирование: имеется база сигнатур вирусов, которая используется для просмотра множества системных объектов.
+: эффективные алгоритмы, высокая производительность сканирования;
–: постоянное обновление баз, невозможность нахождения новых вирусов.
Инспекция/ревизия: вычисляются хеш-значения (м.б. с подписями) от характеристик запускаемых объектов и сравниваются с эталонными.
+: м.б. обнаружены любые вирусы (AdInf, AVP)
–: изменение в системных областях и файлах могут происходить и «легальным» образом.
Мониторинг.
+: раннее обнаружение вирусов
Эвристический анализ: для анализа используются не сигнатуры вирусов, а фрагменты кода (Dr.Web).
–: существенное увеличение времени проверки.
Вакцинирование: код программмы-вакцины присоединяется к защищаемому файлу. Перед этим вычисляется хеш-значение и контрольная сумма. При несовпадении – заражение.
Защита на уровне BIOS: блокировки записи в системные области.
–: если вирус получил управление после ОС, то он может редактировать содержимое памяти и сбросить эти настройки
Аппаратно-программная защита – контроллер, подключенный к шине, запрет модификации секторов (Sheriff).
Ручное обнаружение вирусов
папка Startup, файлы шаблонов Word и Excel, макросы документов, find – поиск подстрок в файлах.
Удаление:
антивирусные программы,
вручную(diskedit,макросы),
format, fdisk, install/setup.
Профилактика – уменьшение количества каналов прихода вирусов: e-mail, freeware/shareware, BBS, LAN, обмен файлами на съемных носителях, использование CD с нелицензионным ПО.
7.4. Программы-закладки и защита от них
задача нарушителя
причины возникновения «дыр»
методы внедрения закладок
Задача нарушителя:
внедрить программу-инсталлятор,
создать «дыру» в системе с помощью закладки.
Причины возникновения «дыр»:
временное предоставление доступа пользователям к защищенному объекту системы;
разблокирование уязвимой сетевой службы (ftp, telnet);
незаблокированная консоль администратора;
требования привилегированных, но недостаточно квалифицированных пользователей.
Методы внедрения закладок:
маскировка под «полезное» ПО, полезные DLL, драйверы;
подмена системных модулей;
ассоциация с модулями на диске (внедрение кода в системные модули);
ассоциация с модулем ОС в оперативной памяти.
Обеспечение автоматического запуска закладки
HKLM\Software\Microsoft\Windows\CurrentVersion\Run (илиHKCU)
Организация связи с нарушителем по TCP/IP. Как правило не скрывается, активных действий не предпринимает.
Обнаружение: netstat, FileMon, RegMon, PortMon.
Классические закладки: Back Orifice, NetBus, DIRT.
8. Защита программ от копирования
8.1. Принципы создания система защиты от копирования
принципы построения
требования
типовая структура
Система защиты от копирования– комплекс программных или программно-аппаратных средств для защиты от нелегального распространения, использования и копирования программных средств или информационных ресурсов.
Принципы построения:
учет распространения:
установка продукта пользователем с дистрибутива, нарушитель может:
копировать дистрибутив,
исследовать алгоритм работы средств защиты (отладчик, дизассемблер),
превысить условия лицензионного соглашения,
моделировать работу системы для создания аналогичных дистрибутивов;
установка представителем фирмы, нарушитель может:
исследование алгоритмов,
копирование установленного продукта;
незаинтересованность пользователей в распространении;
учет особенностей самого продукта: тираж, цена, сервис, частота обновления;
учет особенностей нарушителей:
насколько реальна возможность снятия защиты,
возможность привлечения правовых мер,
учет знаний потенциального нарушителя;
постоянное обновление системы защиты.
Требования к системе защиты:
защита от копирования стандартными средствами,
защита от исследования с помощью стандартных отладчиков,
некорректное дизассемблирование стандартными средствами,
сложность распознавания ключевой информации, по которой определяется легальность доступа к ресурсу.
Типовая структура системы защиты:
блок проверки ключевой информации,
блок защиты от исследования,
блок согласования с защищаемым модулем,
(*)блок ответной реакции.