- •1 Проблема захисту операційних систем
- •1.1Основні вимоги до безпеки комп’ютерних систем
- •1.2 Класифікація загроз безпеці комп’ютерних систем
- •1.2.1 Загроза за метою реалізації
- •1.2.2 Загроза за об’єктом атаки
- •1.2.3 Загроза за принципом впливу на кс
- •1.2.4 Загроза за характером впливу на кс та його об’єкти
- •1.2.5 Загроза через появи помилок захисту
- •1.2.6 Загроза за способом впливу на кс
- •1.2.7 Загроза за засобами атаки
- •1.2.8 Загроза за станом об’єкта атаки
- •1.3 Рівні (варіанти) захисту операційних систем
- •1.4 Об’єкти захисту в операційних системах
- •1.4.1 Захист пам’яті
- •1.4.2 Контроль доступу як захист даних та програм
- •1.6 Категорії зламщиків
- •1.7 Атаки на рівні операційних систем
- •1. Крадіжка пароля:
- •Контрольні питання
- •2 Характеристика найпоширеніших загроз безпеці комп’ютерних систем
- •2.1 Несанкціонований доступ (unauthorizedaccess) - нсд
- •2.2 Незаконне використання привілеїв
- •2.3 Атаки “салямі” (salami attack)
- •2.4 Приховані канали (convertchannels)
- •2.5 “Маскарад” (masquerade)
- •2.7 “Зламування системи” (break-in)
- •2.8 Шкідливе програмне забезпечення
- •2.8.2 Логічні бомби
- •2.8.3 Троянські коні (TrojanHorse)
- •2.8.4 Віруси
- •2.8.5 Черв’яки
- •2.8.6 Зомбі
- •2.8.7 "Жадібні" програми (greedy program)
- •2.8.8 Захоплювачі паролів (password grabber)
- •2.8.9 Утиліти схованого адміністрування (backdoor)
- •2.8.11 Конструктори вирусів
- •2.8.12 Поліморфні генератори
- •Контрольні питання
- •3 Віруси як шкідливе програмне забезпечення
- •3.1 Класифікація комп'ютерних вірусів
- •3.1.1 Віруси за середовищем їх існування
- •3.1.2 Віруси за способом зараження
- •3.1.3 Віруси за особливостями використовуваних алгоритмів
- •3.1.4 Віруси за деструктивними можливостями
- •3.2 Систематизація комп’ютерних вірусів
- •3.2.1 Класифікаційний код вірусу
- •3.2.2 Дескриптор вірусу
- •3.2.3 Сигнатура вірусу
- •3.3 Файлові віруси
- •3.3.1 Класифікаційний код файлового вірусу
- •Префікс файлового віруса
- •Кількісна характеристика
- •3.3.2 Дескриптор файлового вірусу.
- •3.3.3 Сигнатура файлового вірусу
- •3.3.4 Види файлових вірусів
- •Overwriting - віруси
- •Parasitic-віруси
- •Компаньйон-віруси
- •Link-віруси
- •Файлові хробаки
- •3.3.5 Алгоритм роботи файлового вірусу
- •3.3.6 Приклади файлових вірусів
- •3.4 Завантажувальні (бутові) віруси
- •3.4.1 Класифікаційний код завантажувального вірусу
- •Префікс
- •Кількісна характеристика
- •3.4.2 Дескриптор завантажувального вірусу
- •3.4.3 Сигнатура бутового вірусу.
- •3.4.4 Принцип дії завантажувальних вірусів
- •3.4.5 Розташування завантажувального вірусу
- •3.4.6 Алгоритм роботи завантажувального вірусу
- •Приклади завантажувальних вірусів Brain, сімейство
- •3.5 Макро-віруси
- •3.5.1 Причини зараження макро-вірусами
- •3.5.2 Загальні відомості про віруси в ms Office
- •3.5.3Принципи роботиWord/Excel/Office97-вірусів
- •Алгоритм роботи Word макро-вірусів
- •Алгоритм роботи Excel макро-вірусів
- •Алгоритм роботи вірусів для Access
- •3.5.6 Приклади макро-вірусів
- •3.6 Мережеві віруси
- •3.6.3 Скрипт-хробаки
- •3.6.4 Приклади мережевих вірусів
- •3.7 Стелс-віруси
- •3.7.1 Завантажувальні стелс-віруси
- •3.7.2 Файлові стелс-віруси
- •3.7.3 Макро-стелс-віруси
- •3.7.4 Приклади стелс-вірусів
- •Rasek, сімейство
- •3.8 Поліморфік-віруси
- •3.8.1 Поліморфні розшифровувачі
- •3.8.2 Рівні поліморфізму
- •3.8.3 Зміна виконуваного коду
- •Приклади поліморфік-вірусів
- •Predator (файлово-завантажувальні)
- •OneHalf, сімейство
- •Cheeba, сімейство
- •3.9 Способи захисту від вірусів
- •3.9.1 Систематичне архівування важливої інформації
- •3.9.2 Обмеження ненадійних контактів
- •3.9.3 Використання антивірусних програм
- •3.9.4 Види антивірусних програм
- •Сканери (scanner)
- •Монітори
- •Фаги (поліфаги) (scanner/cleaner, scaner/remover)
- •Ревізори
- •Антивірусні блокувальники
- •Іммунізатори або вакцини
- •Контрольні питання
- •4 Найпростіші методи захисту інформації в операційних системах
- •Установки і налаштування системи захисту
- •Періодичне очищення меню Документи (Documents)
- •Очистка і установка Корзини (RecycleBin)
- •Видалення або перейменування ярликів
- •Видалення і перейменування пунктів меню Start
- •Приховування Панелі задач
- •Захист від зміни і видалення файлів і папок
- •Резервне копіювання системи та шифрування дисків
- •4.2 Блокування доступу до комп’ютера за допомогою екранної заставки Wіndows
- •4.3 Використання пароля bіos
- •Захист за допомогою bіos
- •Встановленняпароля award bіos
- •Встановлення пароля amі bіos
- •Обхід пароля bіos
- •Використання утиліти debug
- •4.4Програмні продукти для найпростішого захисту
- •4.5 Відновлення інформації після сбоїв
- •Програма EasyRecovery Pro
- •Програма FinalData
- •Програма GetDataBack
- •Контрольні питання
- •5 Пакування, архівація і шифрування даних в операційних системах
- •5.1 Історичні відомості
- •5.2.1 Стискання виконуваних файлів
- •5.2.2 Стискання динамічних бібліотек
- •5.3 Продуктивність пакування файлів
- •5.4 Принципи роботи програм-архіваторів
- •Програми архівації файлів
- •Шифрування файлів у програмах Microsoft
- •Контрольні питання
- •6 Ідентифікація користувача
- •6.1 Основні методи ідентифікації
- •6.2 Ідентифікація за клавіатурним почерком
- •6.2.1 Настроювання
- •6.2.2 Ідентифікація за набором ключової фрази
- •6.2.3 Ідентифікація за “довільним” текстом
- •13.3 Інші способи ідентифікації
- •13.4 Графологічні можливості комп’ютера
- •13.5 Клавіатурні шпигуни
- •13.6 Програми для виявлення клавіатурних шпигунів
- •7.2.3 Загрози подолання парольного захисту
- •Парольні зламщики і методи їх роботи
- •Злам парольного захисту операційної системиUnix
- •Парольний захистWindows 95/98 і його ненадійність
- •Захист від несанкціонованого завантаження Windows 95/98
- •Запобігання кешуванню паролів в Windows95/98
- •Парольний захист вWindowsNt Формування, зберігання і використання паролів в Windows nt
- •Можливі атаки на базу даних sam
- •Деякі методи захисту від парольних зламщиків
3.1.3 Віруси за особливостями використовуваних алгоритмів
Прості віруси – це віруси-паразити, вони змінюють вміст файлів і секторів дисків і можуть бути досить легко виявлені та знешкоджені.
Стелс-віруси (або віруси-невидимки) – це віруси, які повністю або частково приховують себе в системі. Найбільш розповсюдженим стелс-алгоритмом є перехоплення запитів ОС на читання-записуваннязаражених об’єктів. Стелс-віруси при цьому або тимчасово виліковують їх, або підставляють замість себе незаражені ділянки інформації. Це можуть бути і макро-віруси, які можуть забороняти виклики меню перегляду макросів. Це можуть бути і файлові (наприклад, вірус “Frodo”), і бутовські (вірус “Brain”) стелс-віруси.
Віруси-мутанти, які можуть використовувати алгоритми шифровки-розшифровки та поліморфізму, завдяки яким копії одного і того самого вірусу не мають жодного ланцюжка байтів, що повторюються. Поліморфік-віруси досить важко виявити, вони не мають сигнатури, тобто не містять жодної сталої ділянки коду
3.1.4 Віруси за деструктивними можливостями
Опис деструктивних можливостей вірусу можна представити у такому розрізі:
нешкідливі вірусиніяким чином не впливають на роботу комп’ютера, крім зменшення вільної пам’яті на диску в результаті свого поширення;
безпечні віруси вплив вірусів обмежується зменшенням вільної пам’яті на диску і графічними, звуковими та іншими ефектами;
небезпечні віруси можуть призводити до серйозних збійних ситуацій у роботі комп’ютера;
дуже небезпечні вірусиможуть призводити до втрати програми, знищення даних, стирання необхідної для роботи комп’ютера інформації, яка записана в системних областях пам’яті, і навіть сприяти прискореному зносу рухомих частин механізмів, наприклад, головок вінчестера.
3.2 Систематизація комп’ютерних вірусів
Важливість і довгостроковий характер проблеми захисту від комп’ютерних вірусів на практиці не викликає сумніву. Для зручності ідентифікації було би зручно, щоб кожний вірус мав своє ім’я. На превеликий жаль, старі вірусі у більшості випадків мають чимало назв, які виникли історично, а нові віруси, навпаки, таких назв взагалі не мають.
Відомим дослідником комп’ютерних вірусів М.М. Безрукавим було вироблено і запропоновано схему класифікації, яка включає три основні елементи:
класифікаційний код вірусу;
дескриптор вірусу (формалізований список основних властивостей);
сигнатура вірусу (рядок для контекстного пошуку даного вірусу в зараженій програмі).
3.2.1 Класифікаційний код вірусу
Кожному вірусу присвоюється код, який складається з літерного префікса, кількісної характеристики і факультативного літерного суфікса.
Наприклад, в коді RСЕ-1813с є такі складові:RСЕ- префікс,1813- корінь (характеристика), ас- суфікс. Крім того, факультативне розширення,щозаписується в кінці коду через крапку, характеризує групу, до якої належить даний вірус. Наприклад, RСЕ-1813.ІЕR означає, що даний вірус належить до єрусалимської групи.
Головною вимогою до класифікаційного коду вірусу є можливість визначення більшості вхідних його властивостей на незараженому комп'ютері. Виконання будь-яких дій з дослідження вірусу на зараженому комп'ютері є найбільшою й найбільш розповсюдженою помилкою, якої припускаютьсянедосвідчені користувачі. Необхідно підкреслити, що будь-які дії на комп'ютері, зараженому невідомим вірусом, пов'язані з певним ризиком викликати спрацьовуювання троянської компоненти вірусу. Крім того, резидентний вірус з метою маскування може перехоплювати запити і перекручувати інформацію, яка видається. Нині відомі віруси, що мають таку властивість. Наприклад, група файлових вірусів, відома під назвою ТР-вірусів, починаючи з вірусу ТР-34 (члени цієї групи мають номери, які зберігаються в передостанньому байті вірусу вшістнадцятковому вигляді), має властивість "самовикусування" при спробі трасувати заражену програму – резидентний вірус виконує "викусування" вірусу з програми, "підсовуючи" налалагоджувачувже вилікувану програму. Так само бутові віруси, які входять у пакистанську групу (віруси “Вгаіn”,“Аshar”), при спробі переглянути бут-сектор на зараженому комп'ютері "підсовують" користувачу оригінальний бут-сектор, який зберігається вірусом в одному із секторів, позначеному як дефектний (і, тим самим, вилученому з розподілу у файли).
Літерний префікс вказує на місце розміщення голови вірусу і складається з послідовності літер і цифр, що починається з великої літери. Відповідно до цьогобудемо розрізняти такі типи вірусів (розглядатимемо тільки реально існуючі типи, а не всі принципово можливі):
файлові– коли голова вірусу розміщується в СОМ-, ЕХЕ-файлах і оверлеях(символи С, Е в префіксі). При цьому додаткову літеру, яка відображає зараження оверлеїв, у префікс не вводиться, щоб запобігти його ускладненню, а виноситься у дескриптор;
бутові– коли голова вірусу розміщується в бут-секторі або блоці МВR(символи В, R або М у префіксі);
пакетні– коли голова вірусу розміщена в пакетному файлі, тобто являє собою фрагмент або програму на будь-якій мові програмування (префікс J).
Поряд із "чистими" вірусами, які використовують лише одне середовище, нині з'явились "гібридні" – комбінація файлових і бутових вірусів. У таких вірусах замість першої літери R використовують відповідну літеру префікса бутового вірусу, наприклад ВСЕ або МСЕ (як і бутові, змішані віруси не можуть бути нерезидентними).
Характеристика вірусу являє собою кількісно вимірювану властивість вірусу, яка допускає просте визначення і розрізняється для більшості типів вірусів. Наприклад, для файлових вірусів як характеристика може використовуватися величина приросту довжини файлів при зараженні ("інфекційна довжина"), хоч тут є певні складності.
Суфіксвикористовується, коли два різних віруси або два штами одного і того самого вірусу мають однаковий префікс і характеристику.Уцьому випадку,дляотриманняунікальногокоду використовуєтьсяяк суфікс латинськалітера. Наприклад, в коді RС-1704f літера f означає "штам-f”.