- •1 Проблема захисту операційних систем
- •1.1Основні вимоги до безпеки комп’ютерних систем
- •1.2 Класифікація загроз безпеці комп’ютерних систем
- •1.2.1 Загроза за метою реалізації
- •1.2.2 Загроза за об’єктом атаки
- •1.2.3 Загроза за принципом впливу на кс
- •1.2.4 Загроза за характером впливу на кс та його об’єкти
- •1.2.5 Загроза через появи помилок захисту
- •1.2.6 Загроза за способом впливу на кс
- •1.2.7 Загроза за засобами атаки
- •1.2.8 Загроза за станом об’єкта атаки
- •1.3 Рівні (варіанти) захисту операційних систем
- •1.4 Об’єкти захисту в операційних системах
- •1.4.1 Захист пам’яті
- •1.4.2 Контроль доступу як захист даних та програм
- •1.6 Категорії зламщиків
- •1.7 Атаки на рівні операційних систем
- •1. Крадіжка пароля:
- •Контрольні питання
- •2 Характеристика найпоширеніших загроз безпеці комп’ютерних систем
- •2.1 Несанкціонований доступ (unauthorizedaccess) - нсд
- •2.2 Незаконне використання привілеїв
- •2.3 Атаки “салямі” (salami attack)
- •2.4 Приховані канали (convertchannels)
- •2.5 “Маскарад” (masquerade)
- •2.7 “Зламування системи” (break-in)
- •2.8 Шкідливе програмне забезпечення
- •2.8.2 Логічні бомби
- •2.8.3 Троянські коні (TrojanHorse)
- •2.8.4 Віруси
- •2.8.5 Черв’яки
- •2.8.6 Зомбі
- •2.8.7 "Жадібні" програми (greedy program)
- •2.8.8 Захоплювачі паролів (password grabber)
- •2.8.9 Утиліти схованого адміністрування (backdoor)
- •2.8.11 Конструктори вирусів
- •2.8.12 Поліморфні генератори
- •Контрольні питання
- •3 Віруси як шкідливе програмне забезпечення
- •3.1 Класифікація комп'ютерних вірусів
- •3.1.1 Віруси за середовищем їх існування
- •3.1.2 Віруси за способом зараження
- •3.1.3 Віруси за особливостями використовуваних алгоритмів
- •3.1.4 Віруси за деструктивними можливостями
- •3.2 Систематизація комп’ютерних вірусів
- •3.2.1 Класифікаційний код вірусу
- •3.2.2 Дескриптор вірусу
- •3.2.3 Сигнатура вірусу
- •3.3 Файлові віруси
- •3.3.1 Класифікаційний код файлового вірусу
- •Префікс файлового віруса
- •Кількісна характеристика
- •3.3.2 Дескриптор файлового вірусу.
- •3.3.3 Сигнатура файлового вірусу
- •3.3.4 Види файлових вірусів
- •Overwriting - віруси
- •Parasitic-віруси
- •Компаньйон-віруси
- •Link-віруси
- •Файлові хробаки
- •3.3.5 Алгоритм роботи файлового вірусу
- •3.3.6 Приклади файлових вірусів
- •3.4 Завантажувальні (бутові) віруси
- •3.4.1 Класифікаційний код завантажувального вірусу
- •Префікс
- •Кількісна характеристика
- •3.4.2 Дескриптор завантажувального вірусу
- •3.4.3 Сигнатура бутового вірусу.
- •3.4.4 Принцип дії завантажувальних вірусів
- •3.4.5 Розташування завантажувального вірусу
- •3.4.6 Алгоритм роботи завантажувального вірусу
- •Приклади завантажувальних вірусів Brain, сімейство
- •3.5 Макро-віруси
- •3.5.1 Причини зараження макро-вірусами
- •3.5.2 Загальні відомості про віруси в ms Office
- •3.5.3Принципи роботиWord/Excel/Office97-вірусів
- •Алгоритм роботи Word макро-вірусів
- •Алгоритм роботи Excel макро-вірусів
- •Алгоритм роботи вірусів для Access
- •3.5.6 Приклади макро-вірусів
- •3.6 Мережеві віруси
- •3.6.3 Скрипт-хробаки
- •3.6.4 Приклади мережевих вірусів
- •3.7 Стелс-віруси
- •3.7.1 Завантажувальні стелс-віруси
- •3.7.2 Файлові стелс-віруси
- •3.7.3 Макро-стелс-віруси
- •3.7.4 Приклади стелс-вірусів
- •Rasek, сімейство
- •3.8 Поліморфік-віруси
- •3.8.1 Поліморфні розшифровувачі
- •3.8.2 Рівні поліморфізму
- •3.8.3 Зміна виконуваного коду
- •Приклади поліморфік-вірусів
- •Predator (файлово-завантажувальні)
- •OneHalf, сімейство
- •Cheeba, сімейство
- •3.9 Способи захисту від вірусів
- •3.9.1 Систематичне архівування важливої інформації
- •3.9.2 Обмеження ненадійних контактів
- •3.9.3 Використання антивірусних програм
- •3.9.4 Види антивірусних програм
- •Сканери (scanner)
- •Монітори
- •Фаги (поліфаги) (scanner/cleaner, scaner/remover)
- •Ревізори
- •Антивірусні блокувальники
- •Іммунізатори або вакцини
- •Контрольні питання
- •4 Найпростіші методи захисту інформації в операційних системах
- •Установки і налаштування системи захисту
- •Періодичне очищення меню Документи (Documents)
- •Очистка і установка Корзини (RecycleBin)
- •Видалення або перейменування ярликів
- •Видалення і перейменування пунктів меню Start
- •Приховування Панелі задач
- •Захист від зміни і видалення файлів і папок
- •Резервне копіювання системи та шифрування дисків
- •4.2 Блокування доступу до комп’ютера за допомогою екранної заставки Wіndows
- •4.3 Використання пароля bіos
- •Захист за допомогою bіos
- •Встановленняпароля award bіos
- •Встановлення пароля amі bіos
- •Обхід пароля bіos
- •Використання утиліти debug
- •4.4Програмні продукти для найпростішого захисту
- •4.5 Відновлення інформації після сбоїв
- •Програма EasyRecovery Pro
- •Програма FinalData
- •Програма GetDataBack
- •Контрольні питання
- •5 Пакування, архівація і шифрування даних в операційних системах
- •5.1 Історичні відомості
- •5.2.1 Стискання виконуваних файлів
- •5.2.2 Стискання динамічних бібліотек
- •5.3 Продуктивність пакування файлів
- •5.4 Принципи роботи програм-архіваторів
- •Програми архівації файлів
- •Шифрування файлів у програмах Microsoft
- •Контрольні питання
- •6 Ідентифікація користувача
- •6.1 Основні методи ідентифікації
- •6.2 Ідентифікація за клавіатурним почерком
- •6.2.1 Настроювання
- •6.2.2 Ідентифікація за набором ключової фрази
- •6.2.3 Ідентифікація за “довільним” текстом
- •13.3 Інші способи ідентифікації
- •13.4 Графологічні можливості комп’ютера
- •13.5 Клавіатурні шпигуни
- •13.6 Програми для виявлення клавіатурних шпигунів
- •7.2.3 Загрози подолання парольного захисту
- •Парольні зламщики і методи їх роботи
- •Злам парольного захисту операційної системиUnix
- •Парольний захистWindows 95/98 і його ненадійність
- •Захист від несанкціонованого завантаження Windows 95/98
- •Запобігання кешуванню паролів в Windows95/98
- •Парольний захист вWindowsNt Формування, зберігання і використання паролів в Windows nt
- •Можливі атаки на базу даних sam
- •Деякі методи захисту від парольних зламщиків
3.4.6 Алгоритм роботи завантажувального вірусу
Практично всі завантажувальні віруси резидентні.
Резидентні завантажувальні віруси впроваджуються в пам'ять комп'ютера при завантаженні з інфікованого диска. При цьому системний завантажник зчитує вміст першого сектора диска, з якогоздійснюється завантаження, поміщаєпрочитануінформацію в пам'ять і передає на неї (тобто напрограму-вірус) керування. Після цього починають виконуватися інструкції вірусу, що
як правило, зменшує обсяг вільної пам'яті (слово за адресою 00400013), копіюєу місце, що звільнилося, свій код і зчитує з диска своє продовження (якщо воно є). Надалі деякі віруси "чекають" завантаженняОСі відновлюють це слово в його первісне значення. У результаті вони виявляються розташованими не за межамиОС, а як окремих блокахпам'яті;
перехоплює необхідні вектори переривань (зазвичай INT 13H), зчитує в пам'ять оригінальний boot-сектор і передає на нього керування.
Надалі завантажувальний вірус поводиться так само, як резидентний файловий: перехоплює звертання операційної системи до дисків і інфікує їх, у залежності від деяких умов робить деструктивні дії чи викликає звукові відеоефекти.
Існують нерезидентнізавантажувальні віруси–при завантажені вони заражаютьMBR вінчестера і дискети, якщо ті присутні в дисководах. Потім такі віруси передають керування оригінальному завантажнику і на роботу комп'ютера більш не впливають.
Приклади завантажувальних вірусів Brain, сімейство
Складається з двох практично співпадаючих нешкідливих вірусів "Brain-Ashar" і "Brain-Singapore". Вони заражають завантажувальні сектори дискет при зверненні до них (INT 13h, AH=02h). Продовження вірусу і первинний завантажувальний сектор розміщуютьсяу вільнихкластерах диска. При пошуку цих кластерів аналізують таблицю розміщення файлів (FAT). У FAT ці кластери позначаються як збійні ("псевдозбійні" кластери). У зараженого диска встановлюється нова мітка "(C) Brain". Віруси використовують "стелс"-механізм –при спробі проглянутизавантажувальнийсектор зараженого диска вони "підставляють"справжнійсектор.
CMOS
Небезпечний резидентний завантажувальний стелс-вірус. Псує CMOS. Копіює себе за адресою 9F800000, перехоплює INT 13h і записується в MBR вінчестера і boot-секторидискет. Оригінальний MBR зберігає за адресою 0/0/2, оригінальний boot-сектор флопі-диска–в останньому секторі кореневого каталога.
Pentagon
Небезпечний резидентний завантажувальний вірус. Частково зашифрований. Перехоплює INT 9, 13h і вражає boot-сектор флопі-дисків при зверненні до них. При зараженні диска оголошує в FAT збійні сектори і записує туди своє продовження і первинний boot-сектор (див. вірус "Brain"). Якщо при цьому дискета вже була уражена вірусом "Brain", то "Pentagon" лікує boot-сектор цього диска, змінює його мітку і потім заражає своєю копією. На диску, що заражається, створюється файл PENTAGON.TXT. Вірус "виживає" при теплому перезавантаженні. Містить тексти:
(c) 1987 The Pentagon, Zorell Group
first sector in segment
Stoned
При завантаженні із зараженого флоппи-диска з вірогідністю 1/8 на екрані з'являється повідомлення "Your PC is now Stoned!". Крім вказаної, містять рядок "LEGALISE MARIJUANA!". "Stoned.с" при зараженні MBR вінчестера знищує Disk Partition Table, після цього комп'ютер можна завантажити тільки з флопі-диска. "Stoned.d" 1 жовтня знищує інформацію на вінчестері.
Hare
Дуже небезпечні резидентні файлово-завантажувальні стелс-поліморфік-вирусы. Записуються в кінець COM- і EXE-файлів, в MBR вінчестера і boot-сектора дискет. У файлах зашифровані тричі. Застосовують поліморфізм як у файлах, так і в заражених секторах.
При запуску зараженого файлу вірус розшифровує себе, заражає MBR, трасує і перехоплює INT 21h і повертає управління програмі-носію. Під Win95 він перехоплює також INT 13h. Потім вірус записується у файли при їх запуску, закритті або при виході в DOS (AH=0,31h,4Ch). При відкритті заражених EXE-файлів лікує їх.
При завантаженні із зараженої дискети вірус записується в MBR і повертає управління первинному boot-коду, при цьому вірус не залишає в пам'яті своєї резидентної копії.
При зараженні MBR вірус трасує INT 13h або напряму працює з портами контроллера, потім записує своє продовження (15 секторів) в трек, що знаходиться за межами оголошеного розміру диска (LandZone?). Потім затирає Disk Partition Table (в результаті цього команда FDISK/MBR може привести до повної втрати даних на диску).
При завантаженні із зараженого MBR-сектора вірус відновлює Partition Table для того, щоб нормально завантажилася DOS (у цей момент стелс на рівні INT 13h ще не працює), потім зменшує розмір пам'яті (слово за адресою 00000413), копіює свій код в "відрізану" ділянку пам'яті, перехоплює INT 1Ch і передає управління первинному MBR-сектору. Перехопивши INT 1Ch, вірус чекає завантаження DOS, потім відновлює розмір системної пам'яті і перехоплює INT 13h, 21h, 28h. При першому виклику INT 28h він знову псує Disk Partition Table.
При викликах INT 13h вірус перехоплює звернення до флоппи-дисків і заражає їх, для свого основного коду вірус форматує додатковий трек. При зверненнях до вже заражених дисків виконує стелс-програму.