- •ЛЕКЦИЯ 16. ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ
- •Содержание лекции
- •Вредоносные программы
- •Компьютерный вирус
- •Программная закладка
- •Классификация компьютерных вирусов
- •Классификация компьютерных вирусов
- •Классификация компьютерных
- •вирусов
- •Классификация компьютерных
- •Классификация компьютерных
- •Программные закладки
- •Программные закладки
- •Программные закладки
- •Программные закладки
- •Загрузочные вирусы
- •Загрузочные вирусы
- •Загрузочный вирус
- •«Буткиты»
- •Файловые вирусы
- •Файловые вирусы
- •Вирусы в кластерах
- •Вирусы в макросах
- •Причины, способствующие внедрению программных
- •Признаки внедрения программных закладок
- •Признаки внедрения
- •Технология «руткитов»
- •Технология «руткитов»
- •Виды руткитов
- •Технология «руткитов»
- •Предотвращение внедрения программных закладок
- •Основные каналы распространения вредоносных
- •Основные каналы распространения вредоносных
- •Основные каналы распространения вредоносных
- •Методы предупреждения вирусного заражения
- •Методы предупреждения вирусного заражения
- •Методы предупреждения вирусного заражения
- •Методы обнаружения компьютерных вирусов
- •Методы обнаружения компьютерных вирусов
- •Методы обнаружения компьютерных вирусов
- •Методы обнаружения компьютерных вирусов
- •Методы обнаружения компьютерных вирусов
- •Методы обнаружения компьютерных вирусов
- •Удаление обнаруженных вирусов
- •Удаление обнаруженных вирусов
- •технологий в антивирусном
- •Использование облачных
Файловые вирусы
Записывают свой код в начало, середину или конец файла либо сразу в несколько мест. Исходный файл изменяется таким образом, чтобы после открытия файла управление было немедленно передано коду вируса.
Вирусы в кластерах
•Являются разновидностью файловых вирусов. При заражении код вируса копируется в один из свободных кластеров диска, который помечается в таблице размещения файлов как последний кластер файла.
•Затем изменяются описания программных файлов в каталоге – вместо номера первого выделенного файлу кластера помещается номер кластера, содержащего код вируса.
Вирусы в макросах
Условия, благоприятствующие их созданию:
•Возможность включения в документ макроса.
•Языки программирования макросов, особенно VBA, являются универсальными языками, позволяющими создавать достаточно сложные процедуры.
•Поддержка автоматически выполняемых макросов, связанных с определенными событиями (например, открытием документа) или определенными действиями.
Причины, способствующие внедрению программных
закладок
• Разрешение пользователю доступа по записи к критичному системному ресурсу.
• Сохранение (установка) уязвимой сетевой службы.
• Оставление незаблокированной консоли администратора.
• Требования высокопоставленных пользователей и т.д.
Признаки внедрения программных закладок
•Изменение конфигурационных файлов ОС (например, реестра Windows) для обеспечения автозапуска закладки при загрузке ОС.
•Использование для связи с нарушителем протокола TCP/IP с большим номером порта.
•Создание после своей загрузки отдельного процесса.
•Отсутствие длительное время после загрузки активных действий.
Признаки внедрения
программных закладок
•Оставление следов в файле аудита и др.
Технология «руткитов»
•Руткиты представляют собой более продвинутый вариант троянских коней.
•Обычный «троян» маскируется под известную программу (например, Spymaster выдает себя за приложение MSN Messenger), а руткиты используют для маскировки более продвинутые методы, внедряясь глубоко в систему.
Технология «руткитов»
•Практически все современные версии руткитов могут скрывать от пользователя файлы, папки и параметры реестра, работающие программы, системные службы, драйверы и сетевые соединения.
•В основе функционирования руткитов лежит модификация данных и кода программы в памяти операционной системы.
Виды руткитов
•работающие на уровне ядра (Kernel Level, или KLT);
•функционирующие на пользовательском уровне (User Level).
Технология «руткитов»
•Для защиты от уничтожения пользователем или антивирусом в руткитах применяются разные методы, Например, запускаются два процесса, контролирующих друг друга (если один из них завершается, то второй восстанавливает его).
•Другой способ: файл открывается в режиме монопольного доступа или блокируется с помощью специальной функции; удалить такой файл стандартными способами невозможно.