2.4. Заражение элемента системы загрузочным вирусом
С помощью сетей Петри-Маркова опишем процесс заражения элемента системы загрузочным вирусом. В качестве элемента заражения данный класс вирусов использует свободное место на жестком диске в операционной системе. Поэтому для построения сети используем следующие обозначения:
S1 — злоумышленник готов к отправке вредоносного ПО;
S2 — устройство пользователя готово к приему вредоносного ПО;
t1 — сканирование системы на присутствие вируса подобного типа;
S3 — свободный сектор жесткого диска;
t2 — запись вредоносного кода;
S4 — вредоносный код;
t3 — загрузка операционной системы;
S5 — замененный загрузочный код операционной системы;
t4 — поиск свободных разделов жесткого диска и «распоточивание» приложения;
S6 — найденные свободные разделы жесткого диска;
t5 — выделить найденную свободную область диска и сделать её недоступной операционной системе;
S7 — не удалось найти свободные разделы на жестком диске;
t6 — ожидание освобождения памяти;
S8 — зараженная область жесткого диска;
S9 — найденные свободные разделы жесткого диска;
t7 — выделить найденную свободную область диска и сделать её недоступной операционной системе;
S10 — зараженная область жесткого диска;
С их помощью построим граф сети, представленный на рис. 2.3.
Рис. 2.3. Граф реализации атаки загрузочным вирусом
Отсюда матрица, определяющая логические функции срабатывания сети имеет (без учета направленности дуг графа) следующий вид (табл. 2.3):
Таблица 2.3
Матрица срабатывания сети Петри-Маркова для графа реализации атаки загрузочным вирусом
t1 |
t2 |
t3 |
t4 |
t5 |
t6 |
t7 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
|
1 |
|
0 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
Для данной матрицы (табл. 2.3) имеет место следующая система интегрально-дифференциальных уравнений (2.9):
, |
(2.9) |
, |
|
|
|
, |
|
|
|
|
|
|
|
|
|
|
,
Полагая, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
|
(2.10) |
где i = 1,…,10, j = 1,…,7, а также используя пуассоновское приближение, получим среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
|
(2.11) |
|
|
|
где исходные параметры атаки таковы:
– среднее время подготовки вредоносного ПО злоумышленником;
– среднее время подготовки устройства пользователя;
– среднее время для записи вредоносного кода;
– среднее время загрузки операционной системы;
– среднее время поиска свободных разделов жесткого диска и «распоточивание» приложения;
– среднее время необходимое чтобы выделить найденную свободную область диска и сделать её недоступной операционной системе;
– среднее
время ожидание
освобождения памяти;
– среднее время необходимое, чтобы выделить найденную свободную область диска и сделать её недоступной операционной системе;
τ – среднее время для всей цепочки событий.