- •Глава 1 Основные понятия и определения
- •Основы госполитики рф в области иб
- •Защита информации как объект правовой защиты
- •Основные понятия, термины и определения
- •Особенности современных ас как объектов защиты
- •2) По уровню возможностей (по использованным методам и средствам):
- •3) По времени действия:
- •4) По месту действия:
- •Загрузочные вирусы
- •Макровирусы
- •Polymorphic-вирусы
- •Резидентные dos вирусы
- •Резидентные загрузочные вирусы
- •Сетевые вирусы
- •Irc-вирусы
- •Основные направления организации защиты
- •Выбор антивирусных программ
- •Типы антивирусных программ
- •Методика использования антивирусных программ
- •Обнаружение неизвестного вируса
- •При лечении файлов:
- •Атака с использованием уязвимости протокола tcp
Загрузочные вирусы
Практически все загрузочные вирусы являются резидентными. Принцип действия основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера. Вирус подменяет код загрузчика и при запуске операционной системы получает управление. Как правило, несколько вирусов данного типа плохо уживаются на одном компьютере.
Существует несколько вариантов размещения на диске первоначального загрузочного сектора и продолжений вируса:
1. Сектора свободных кластеров логического диска.
2. В используемых или редко используемых системных секторах.
3. В секторах, расположенных за пределами диска.
Попадают в компьютер в основном с дискет.
Макровирусы
Для существования вирусов в конкретной системе необходимо наличие встроенного макроязыка со следующими возможностями:
1. Привязка программы на макроязыке к конкретному файлу.
2. Копирование макропрограмм из одного файла в другой.
3. Возможность получения управления макропрограммой без вмешательства пользователя.
Все макровирусы можно назвать резидентными.
Алгоритм работы для MSWord:
1. Большинство известных вирусов переносят свой код в область глобальных макросных документов. При выходе из документа глобальные макросы записываются в файл Normal.dot;
2. Базируется на файлах-дополнениях (используется редко);
3. Внедрение через файлы templates(шаблоны).
В Excel’е методы внедрения аналогичны, отличаются только имена макросов.
В Access’е вместо макросов используются скрипты, которые вызываются при различных событиях.
Незараженный файл-документ Вирус в файле-документе
Polymorphic-вирусы
Полиморфизм встречается во всех видах вирусов (файловые, загрузочные, макровирусы и т.д.). Варианты осуществления механизма полиморфии:
1. Шифрование основного кода вируса кодом с непостоянным ключом.
2. Исполнение случайного набора команд.
Резидентные вирусы – у таких вирусов есть способность оставлять копии в системной памяти, а затем в файлах.
Резидентные dos вирусы
Способы остаться резидентной:
а) записаться в config.sysв виде драйвера
б) при помощи функции keepоставляет программу в памяти
в) обработка системных областей
Перехват файлов (прерывание int21h)
Обнаружение своей резидентной копии:
а) дописывание своего обработчика к какому-нибудь прерыванию. Вводится новая функция некоего прерывания, которая отвечает, что “я тут”.
б) вирус записывает “я тут” в какую-либо редко используемую область памяти (например, таблица векторов).
в) сканирование памяти компьютера (редко).
Резидентные загрузочные вирусы
Способы остаться резидентной: большинство уменьшает объем памяти компьютера и копирует свой код в отрезок памяти.
Перехват: используют 13-е прерывание (прерывание для работы с дисками).
Проверка: часто не проверяют память на наличие копии
Резидентные Windows-вирусы
Способы остаться резидентной:
а) зарегистрировать программу как одно из приложений (обычно регистрируются как сервис, а не программа)
б) остаться резидентно, как VxD-драйвер
Перехват:
а) перехватываются вызовы int21h
б) перехват системных вызово API
Проверка: как и в DOSвирусах.
Резидентные макровирусы
Перехват: перехватываются основные макросы WordиExcel(open,close,print…), нажатия на пользовательские клавиши и события (autosave).
Проверка: некоторые проверяют, а некоторые просто перезаписывают свой код.
Стелс-вирусы
Они скрывают свое присутствие в операционной системе. Загрузочные стелс-вирусы для сокрытия своего кода используют способы:
1. Перехват команды чтения зараженного сектора (INT13) и подстановка вместо него незараженного оригинала.
2. При запуске любой программы восстановление зараженных секторов, а после окончание – снова заражение диска.
Файловые вирусы
К ним относятся вирусы, которые при размножении используют файловую систему какой-либо операционной системы.
Классификация по способу заражения:
Перезаписывающие – вирус пишет свой код вместо заражаемого файла.
Паразитирующие – обязательно изменяет файл, оставляя его полностью или частично работоспособным (из заголовка файла идет ссылка на вирус, после чего восстановление работы файла) или внедрение вируса в конец файла.
COM-файл EXE-файл
Вирусы без точки входа – вешаются на подпрограмму (ссылка на вирус идет не вначале, а в процессе выполнения файла).
Компаньон-вирусы (не изменяют заражаемого файла). Разновидности:
создается файл-двойник
замена расширения файла с созданием копии
path-компаньоны - прописывают путь (path) к вирусам, перенаправляют ярлыки.
файловые черви – при размещении они копируют свой код в какие-либо каталоги дисков в надежде на то, что они когда-нибудь будут запущены пользователем.
link-вирусы (существует всего одинDirII)
До заражения данные каталога хранят адрес первого кластера файла:
После заражения данные каталога указывают на вирус:
obj,lib-вирусы. Они заражают файлы с этими расширениями и записывают туда свой код в виде объектного модуля или библиотеки.