- •Отчёт по лабораторной работе №2
- •Цель работы
- •Ход выполнения задания
- •Cравнение антивирусных программ Антивирус Касперского и Dr.Web
- •Контрольные вопросы
- •1. В чём заключаются классические методы распространения файловых вирусов?
- •2. В чём заключаются классические методы распространения загрузочных
- •3. В чём заключаются классические методы распространения макрокомандных вирусов?
- •4. Каков основной принцип заражения по электронной почте?
- •5. Что зачастую приводит к внедрению вредоносных программ на компьютер через активные компоненты? к какому методу распространения вредоносного по это относится?
- •6. Существует ли жертва-посредник при заражении через локальную сеть между жертвой-источником и незаражёнными компьютерами?
- •9. Что такое маска вируса?
- •10. Каков основной недостаток метода сравнения с эталоном?
- •11. Какова методика работы эвристического анализа?
4. Каков основной принцип заражения по электронной почте?
Основной принцип — социальная инженерия. Пользователю приходит письмо с вложенным файлом или ссылкой, которые маскируются под важный документ, счет, фото и т.д. Жертва, запуская вложение или переходя по ссылке, активирует вредоносный код. Вирус часто использует адресную книгу жертвы для рассылки самого себя дальше.
5. Что зачастую приводит к внедрению вредоносных программ на компьютер через активные компоненты? к какому методу распространения вредоносного по это относится?
К внедрению приводят уязвимости в программном обеспечении (браузер, его плагины, операционная система) или неосторожность пользователя, разрешающего запуск активного содержимого. Это относится к методу Drive-by Download ("загрузка на проезжей части").
6. Существует ли жертва-посредник при заражении через локальную сеть между жертвой-источником и незаражёнными компьютерами?
Как правило, нет. При заражении через локальную сеть вирус часто напрямую атакует другие компьютеры, используя уязвимости в сетевых ресурсах (общие папки, слабые пароли, уязвимости в сетевых службах). Однако в сложных сетях с сегментацией компьютер-жертва может выступать в роли "троянского коня", с которого атака перенаправляется дальше.
7. Назовите другие каналы распространения вредоносных программ, кроме классических способов, электронной почты, сайтов, локальных сетей.
Мгновенные сообщения и соцсети (ссылки и файлы в мессенджерах).
Мобильные устройства (зараженные приложения).
Вредоносная реклама (Malvertising).
Взломанное легитимное ПО (злоумышленники встраивают вирус в дистрибутивы программ).
Физическое заражение (преднамеренно зараженные флешки, оставленные в публичных местах).
8. Перечислите методы и средства защиты информации.
Антивирусное ПО (сканеры, мониторы, ревизоры).
Межсетевые экраны (Firewalls).
Системы обнаружения и предотвращения вторжений (IDS/IPS).
Шифрование данных.
Регулярное резервное копирование.
Своевременное обновление ПО.
Политики безопасности (разграничение прав доступа, парольная политика).
Обучение пользователей (основы кибергигиены).
9. Что такое маска вируса?
Маска вируса — это уникальная последовательность байтов (сигнатура), характерная для конкретного вируса, которую антивирус использует для его идентификации.
10. Каков основной недостаток метода сравнения с эталоном?
Неспособность обнаруживать новые, неизвестные вирусы (вирусы без сигнатуры), а также полиморфные и метаморфные вирусы, которые изменяют свой код.
11. Какова методика работы эвристического анализа?
Эвристический анализ ищет в коде подозрительные команды и последовательности действий, характерные для вирусов (например, попытки форматирования диска, скрытая запись в системные файлы, использование самошифрования). Он не ищет конкретную сигнатуру, а анализирует поведение.
12. Антивирусный мониторинг, суть метода.
Антивирусный монитор (сторож, резидентный сканер) постоянно находится в оперативной памяти и проверяет все запускаемые, открываемые и сохраняемые файлы "на лету" в реальном времени.
13. Чем отличается проактивная защита от эвристического анализа?
Эвристический анализ — это часть проактивной защиты, которая пытается предсказать угрозу по коду. Проактивная защита — более широкое понятие, включающее также поведенческий анализ (HIPS), который блокирует подозрительные действия программы уже в процессе ее выполнения.
14. На чём основан метод обнаружения изменений?
Метод основан на сравнении текущего состояния системы (файлов, загрузочных секторов) с эталонным, "чистым" состоянием, которое было сохранено ранее. Любые несанкционированные изменения считаются подозрительными.
15. Что такое программы с автоматическим дозвоном?
Это вредоносные программы (часто трояны), которые без ведома пользователя устанавливают модемное соединение с платными номерами, нанося жертве финансовый ущерб.
16. Против какого типа вирусов направлены встраиваемые в BIOS антивирусы?
В первую очередь, против загрузочных вирусов. Они блокируют любые попытки несанкционированной записи в загрузочные секторы жесткого диска.
17. Какие методы защиты используют программы-фаги?
Фаги (сканеры) используют в основном сигнатурный анализ и эвристический анализ.
18. Категории фагов, описание?
Сканеры-детекторы: Обнаруживают вирусы по сигнатурам.
Сканеры-доктора (Лечащие сканеры): Не только обнаруживают, но и лечат зараженные файлы, удаляя из них тело вируса.
Универсальные сканеры: Ищут сигнатуры не конкретных вирусов, а их общих частей.
Полиморфные сканеры: Используют специальные эмуляторы для расшифровки полиморфного кода.
19. Методика работы программ-фагов?
Сканирует файлы, сектора и память.
Сравнивает найденный код с базой сигнатур вирусов.
При обнаружении совпадения уведомляет пользователя.
(Для лечащих фагов) Пытается восстановить исходное состояние файла.
20. Какие программы-фаги обеспечивают более надёжную защиту, почему?
Более надежны те, которые используют регулярно обновляемые базы сигнатур и имеют продвинутый эвристический анализатор. Без обновлений фаг бесполезен против новых угроз.
21. Что такое CRC-сканеры?
Это разновидность программ-ревизоров, которые вычисляют контрольные суммы (CRC) для файлов и системных областей и сохраняют их в базе. При последующей проверке сравнивают текущие суммы с эталонными.
22. Назовите плюсы и минусы программ-ревизоров.
Плюсы: Способны обнаруживать любые изменения, в том числе неизвестные вирусы; низкая нагрузка на систему при работе в режиме проверки.
Минусы: Не могут обнаружить вирус в памяти, не лечат файлы; бесполезны, если первая проверка была проведена на уже зараженной системе.
23. На чём основана работа программ-ревизоров?
На создании базы данных с эталонными характеристиками файлов (размер, контрольная сумма, дата изменения, атрибуты) и последующем сравнении текущего состояния с этой базой.
24. Что такое вирусоопасные ситуации, какие антивирусные программы реагируют на них?
Это попытки выполнить потенциально опасные действия: запись в загрузочный сектор, форматирование диска, резидентное размещение программы в памяти. На них реагируют антивирусные мониторы (сторожа) и поведенческие блокировщики.
25. Лечение поражённых файлов программами-блокировщиками.
Программы-блокировщики не лечат файлы. Их задача — предотвратить заражение, заблокировав опасное действие.
26. Какова основная функция программ-блокировщиков? Каковы их минусы?
Основная функция: Резидентный контроль за опасными действиями (прерываниями) на низком уровне и их блокировка.
Минусы: Большое количество ложных срабатываний; неспособность обнаружить вирус, который уже проник в систему.
27. Чем программы-иммунизаторы отличаются от CRC-сканеров?
Иммунизаторы пытаются предотвратить заражение, модифицируя файлы или среду так, чтобы вирус считал их уже зараженными. CRC-сканеры лишь фиксируют факт изменения после того, как заражение могло произойти.
28. Сколько типов иммунизаторов можно выделить, чем они отличаются?
Пассивные: Добавляют в файл специальную метку, которую вирус проверяет перед заражением.
Активные: Вносят в программу код, имитирующий наличие вируса, или изменяют реакцию ОС на вирусные атаки. Пассивные иммунизаторы неэффективны против многих современных вирусов.
29. Перечислите критерии качества антивирусной программы.
Надежность и процент обнаружения.
Скорость работы.
Наличие эвристического и поведенческого анализа.
Частота обновлений вирусных баз.
Удобство использования.
Влияние на производительность системы.
30. Назовите основные компоненты антивирусного комплекса, который обеспечит приемлемую защиту от вирусов, не перегружая и затормаживая систему.
Оптимальный комплекс: Антивирус с резидентным монитором + Фаервол (межсетевой экран) + Регулярно запускаемый по расписанию ревизор/сканер. Это сочетание обеспечивает защиту в реальном времени и периодическую глубокую проверку.
31. К каким вирусам относятся не имеющие сигнатур?
К полиморфным (шифруют свой код с изменяющимся ключом) и метаморфным (полностью переписывают свой код при каждом заражении).
32. Какие вирусы способны перехватить запросы операционной системы на чтение/запись заражённых файлов? С какой целью они это делают?
Это стелс-вирусы (невидимки). Они делают это, чтобы скрыть свое присутствие. При запросе ОС на чтение зараженного файла, вирус "подставляет" ей его оригинальную, незараженную версию.
33. Могут ли макровирусы являться стелс-вирусами?
Да. Они могут перехватывать вызовы макросов в редакторе, скрывая свой код от пользователя и антивирусных программ.
34. Каким образом вирус может «обмануть» операционную систему так, что она будет считать место его расположения как свободный сектор?
Вирус может воспользоваться технологией сокрытия данных (rootkit), перехватывая системные вызовы чтения файловой таблицы (FAT, MFT) и удаляя из нее запись о своих файлах, помечая занимаемые ими кластеры как свободные.
35. Вирусы, построенные для работы на какой платформе, обладают неограниченными потенциальными возможностями?
Вирусы, работающие на уровне аппаратного обеспечения (firmware) или гипервизора, обладают практически неограниченными возможностями, так как получают контроль над системой еще до загрузки ОС и могут обходить любые программные защиты.