3204

способен распространяться по сети. Как бы то ни было, программа AdobeR.exe явно вредоносная. Запретим всем пользователям доступ к ее файлу, а затем принудительно завершим ее процесс и удалим значение RavAV реестра.

Убедимся, что следующие два значения автозапуска соответствуют безобидным программам, и перейдем к последнему значению. Сразу бросается в глаза имя SVCHOST, выбранное для этого значения, оно явно не имеет никакого отношения к предназначению программы. Имя MDM. ЕХЕ, на которое указывает данное значение, имеет системный сервис

Machine Debug Manager, входящий в состав пакета Microsoft Visual Studio. Но этот файл должен размещаться в той же директории, где и остальные файлы Visual Studio, а запускаться сервис должен через базу сервисов, а не через значение в ключе

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

При беглом взгляде на файл С:/WINDOWS/MDM.EXE в его таблице импортов мы обнаруживаем всего пять функций, две из которых – LoadLibrary и GetProcAddress. Секции данных файла то ли упакованы, то ли зашифрованы. Явно программная закладка. Запретим выполнение этого файла всеми тремя перечисленными ранее способами и удалим значение SVCHOST из реестра.

Закончив с ключом

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,

просмотрим соседние ключи RunOnce и RunOnceEx. В данном случае они пусты. Перезапустим операционную систему.

После перезагрузки обнаруживаем, что значение checkrun, указывающее на несуществующий файл

C:\windows\system32\elitehlx32.exe, восстановилось. Похоже,

этот файл реально существует, просто программная закладка использует стелс-технологию.

Проверим, так ли это. Файловые менеджеры показывают, что такого файла нет, однако командная строка сообщает:

C:\WINDOWS\system32>dir elite*.* Volume in drive С has no label.

241

Volume Serial Number is 60B1-A09E Directory of C:\WINDOWS\system32 19.08.2001 14:30 11 593 elitehlx32.exe 1 File(s) 11 593 bytes

0 Dir(s) 180 672 909 312 bytes free

Запретим всем пользователям доступ к этому файлу, удалим значение checkrun и еще раз перезапустим операционную систему. Значение checkrun исчезло окончательно. Никаких признаков присутствия вредоносных программ в системе более не наблюдается.

Таким образом, мы убедились, что при наличии определенной квалификации и определенного опыта, ручное удаление простых программных закладок вполне возможно.

242

3. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОРГАНИЗАЦИИ ИЗУЧЕНИЯ ДИСЦИПЛИНЫ

«ЗАЩИТА ПРОГРАММ И ДАННЫХ» 3.1. Анализ требований ФГОС ВПО

Рассмотрим требования ФГОС ВПО третьего поколения по направлению «Информационная безопасность» (квалификации бакалавр, специалист и магистр), на выполнение которых ориентировано изучение материала данного учебного пособия.

В наибольшей степени глубокие знания вопросов защиты программ и данных требуются при обучении по специальности 090301 – «Компьютерная безопасность» (квалификация – специалист). Закончив обучение по специальности «Компьютерная безопасность», выпускник должен обладать, в том числе, следующими компетенциями:

способен организовать защиту информации при работе с компьютерными системами техническими и программными средствами, включая приемы антивирусной защиты;

способен проводить экспериментальные исследования компьютерных систем с целью выявления уязвимостей.

Для реализации перечисленных компетенций в результате изучения дисциплины «Защита программ и данных» студент должен:

знать основные средства и методы анализа программных реализаций;

уметь применять средства антивирусной защиты и обнаружения вторжений;

владеть навыками анализа программных реализаций. Закончив обучение по специальности 090305

«Информационно-аналитические системы безопасности», выпускник должен обладать, в том числе, способностью организовать защиту информации при работе с компьютерными системами, техническими и программными средствами, включая методы и средства антивирусной защиты.

Для ее реализации студент должен в результате

243

изучения дисциплин профессионального цикла студент должен:

уметь применять средства антивирусной защиты и обнаружения вторжений;

владеть навыками анализа программных реализаций.

Встандарте по специальности 090302 «Информационная безопасность телекоммуникационных систем» компетенции, относящиеся к защите программ и данных, в явном виде также не отражены, однако в результате изучения дисциплин профессионального цикла студент должен:

уметь обеспечивать защиту от разрушающих программных воздействий;

владеть навыками защиты от изменения и контроля целостности программ.

Встандарте по специальности 090303 «Информационная безопасность автоматизированных систем» компетенции, относящиеся к защите программ и данных, в явном виде также не отражены, однако в результате изучения дисциплин профессионального цикла студент должен уметь анализировать программные, архитектурно-технические и схемотехнические решения компонентов автоматизированной системы с целью выявления потенциальных уязвимостей ее информационной безопасности.

Из студентов, осваивающих квалификацию бакалавр направления подготовки 090900 «Информационная безопасность», защите программ и данных в первую очередь следует уделить внимание обучаемым по профилю «Безопасность компьютерных систем», которые должны реализовать следующие компетенции:

способен выполнять работу по самостоятельному построению алгоритмов, проведению их анализа и реализации

всовременных программных комплексах;

244

профессионального цикла студент (квалификации бакалавр) должен:

знать принципы и методы противодействия несанкционированному информационному воздействию на вычислительные системы и системы передачи информации;

владеть навыками выявления и уничтожения компьютерных вирусов.

Обучающийся по уровню подготовки магистр должен реализовать, в том числе, следующие компетенции:

способен анализировать фундаментальные и прикладные проблемы информационной безопасности в условиях становления современного информационного общества;

способен анализировать угрозы информационной безопасности объектов и разрабатывать методы противодействия им.

Для реализации указанных компетенций студент должен:

знать основные принципы организации технического, программного и информационного обеспечения защищенных информационных систем;

уметь обосновывать принципы организации технического, программного и информационного обеспечения информационной безопасности.

Таким образом, изучение на основе предлагаемого пособия вопросов защиты программ и данных способствует освоению знаний и умений, направленных на реализацию компетенций в соответствии с ФГОС ВПО третьего поколения по направлению подготовки «Информационная безопасность» (квалификации бакалавр, специалист и магистр). Закрепление теоретических знаний о моделях безопасности компьютерных систем, практических навыков их использования и окончательное формирование компетенций предусматривается в процессе производственных и преддипломных практик и при выполнении дипломной работы.

245

3.2. Организация изучения защиты программ и данных

Изучение вопросов защиты программ и данных основано на дисциплинах вида: «Информатика», «Математическая логика и теория алгоритмов», «Языки программирования», «Основы информационной безопасности».

Знания и практические навыки, полученные при изучении защиты программ и данных, обеспечивают освоение дисциплин вида: «Модели безопасности компьютерных систем», «Основы построения защищенных операционных систем», а также используются обучаемыми при разработке курсовых и дипломных работ.

Преподавателю важно учесть, что материал пособия имеет практическую направленность, при этом набольшее значение для его усвоения имеют практические занятия, на которых студенты непосредственно усваивают преподаваемые умения и навыки. Особенно полезно в этом плане долгосрочное домашнее задание, при выполнении которого студенту предлагается самостоятельно проанализировать реализацию специально подготовленной учебной программы и изменить ее функциональность, не имея доступа к исходному тексту программы. Практический опыт преподавания показывает, что студенты относятся к таким заданиям с большим энтузиазмом, поскольку выполнение задания позволяет студенту почувствовать себя хакером.

При изучении защиты программ и данных бакалавру целесообразно изучить как минимум следующие вопросы:

основные методы анализа программных реализаций без учета особенностей анализа оверлейного и параллельного кода, кода, выполняющегося в режиме ядра операционной системы, а также кода, защищенного от анализа

(подразд. 1.1 – 1.4, 1.5.2– 1.5.3);

базовые сведения о программных закладках (подразд. 2.1 –2.3), методы внедрения программных закладок (подразд. 2.5), базовые сведения о компьютерных вирусах

246

(подразд. 2.6), средства и ме тоды защиты от программных закладок (подразд. 2.7).

Дополнительно специалисту (особенно по специальностям «Компьютерная безопасность», «Информационно-аналитические системы безопасности» и «Информационная безопасность телекоммуникационных систем») и магистру целесообразно изучить следующие вопросы:

особенности анализа оверлейного кода (подразд. 1.5.1), парал лельного кода (подразд. 1.5.4), кода, выполняющегося в режиме ядра операционной системы (подразд. 1.5.5);

вспомогательные инструменты анализа программ (подразд. 1.6);

средства и методы защиты программ от анализа (подразд. 1.7);

предпосылки к внедрению программных закладок (подразд. 2.4);

комплексный подход к организации антивирусной защиты (под-разд.2.8);

выявление программных закладок в ручном режиме (подразд. 2.9).

В соответствии со спецификой вуза, специальностью и квалификацией, реализуемыми образовательной программой, в процессе изучения защиты программ и данных методически целесообразно из каждого раздела дисциплины выделить наиболее важные подразделы и акцентировать на них внимание. При этом при необходимости возможно сокращение времени на анализ рассмотренных в пособии вопросов и изучение других вопросов защиты программ и данных.

247

ЗАКЛЮЧЕНИЕ

Разумеется, предлагаемое вниманию студентов учебное пособие не может охватить всей широты проблемы обеспечения компьютерной безопасности, даже в ее программной части. Однако материал пособия позволит учащимся глубже изучить такие угрозы, как анализ оверлейных и графических программ, параллельного кода и кода в режиме ядра.

Довольно подробно в пособии можно ознакомиться с предпосылками к внедрению программных закладок, включая переполнение буферов, проверку входных данных, некорректных контекст безопасности, устаревшие функции.

Как особый класс программных закладок в пособии рассматриваются компьютерные вирусы, столь популярные среди злоумышленников.

Вышеуказанный материал полезен для старшекурсников специальностей в сфере информационной безопасности, особенно при реализации самостоятельных и других работ в части обеспечения компьютерной безопасности.

248

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1.Девянин, П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах [Текст] / П. Н. Девянин – М. : Радио и связь, 2006.

2.Защита программ и данных [Текст]: учеб. пособие / П. Ю. Белкин, О. О. Михальский, А. С. Першаков, Д. И. Правиков и др. – М. : Радио и связь, 1999.

3.Касперски, К. Образ мышления – дизассемблер IDA [Текст] / К. Касперски. – М. :Солон-Р, 2001.

4.Касперски, К. Техника и философия хакерских атак [Текст] / К. Касперски. – М. : Солон-Пресс, 2004.

5.Касперски, К. Фундаментальные основы хакерства [Текст] / К. Касперски. – М.: Солон-Р, 2002.

6.Колегов, Д. Н. Анализ безопасности информационных потоков по памяти в компьютерных системах с функционально и параметрически ассоциированными сущностями [Текст] / Д. Н. Колегов // Прикладная дискретная математика. – 2009. – № 1(3).

7.Колисниченко, Д. Н. Rootkits под Windows. Теория и практика программирования «шапок-невидимок», позволяющих скрывать от системы данные, процессы, сетевые соединения [Текст] / Д. Н. Колисниченко. – СПб.: Наука и техника, 2006.

8.Проскурин, В. Г. Автоматизированная банковская система глазами хакера [Текст] / В. Г. Проскурин // Аналитический банковский журнал. – 1998. –№ 7.

9.Проскурин, В. Г. Защита в операционных системах [Текст] / В. Г. Проскурин, С. В. Крутов, И. В. Мацкевич. – М. : Радио и связь, 2000.

10.Проскурин, В. Г. Microsoft Windows и

программные закладки [Текст] / В. Г. Проскурин // Защита информации. Конфидент. – 2000. – №3.

11.Проскурин, В. Г. Некоторые мифы компьютерной безопасности [Текст] / В. Г. Проскурин // Банковские технологии. – 1998. – № 9.

249

12.Проскурин, В. Г. Программные закладки в защищенных системах [Текст] / В. Г. Проскурин // Банковские технологии. – 1998. – № 6.

13.Проскурин, В. Г. Типовые программные средства защиты информации и оценка их надежности [Текст] / В. Г. Проскурин, Г. В. Проскурин. – М. : МИЭМ, 1997.

14.Руссинович, М. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP и Windows 2000 [Текст] / M. Руссинович, Д. Соломон. – СПб. : Питер, 2005.

15.Спинеллис, Д. Анализ программного кода [Текст]

/Д. Спинеллис. – М. : Вильяме, 2004.

16.Шрайбер, С. Недокументированные возможности Windows 2000 [Текст] / С. Шрайбер. – СПб.: Питер, 2002.

17.Вирусы и антивирусы [Электронный ресурс]. –

Режим доступа: http://83.102.140.71/bezopasnost/virasy_i_ antivirusy.

18.Поздеев, В. Вредоносные программы и вирусы [Электронный ресурс] /В. Поздеев. – Режим доступа: http://www.whatis.ru/razn/razn20. shtml.

19.Проскурин, В. Г. Проблемы защиты сетевых соединений в Windows NT [Электронный ресурс] / B. Г. Проскурин. – Режим доступа: http://bugtraq.ru/library/ internals/admintrap. html.

20.Лицензионные игры опасны: взлом StarForce как способ спасти компьютер [Электронный ресурс]. – Режим доступа: http://www.thg.ra/game/starforce/index. html.

21.Обфускация и защита программных продуктов [Электронный ресурс]. – Режим доступа: http://citforum.ru/ security/articles/obius.

22.Протекторы исполняемых файлов [Электронный ресурс]. – Режим доступа: http://xndits.ru/index.php

23.Снятие защиты StarForce любых версий [Электронный ресурс]. – Режим доступа: http://www.shram.kiev.ua/hacker/starforce.shtml.

24.Anti-Debugging & Software Protection Advice

250