240Глава 14. Методы и средства разрушения информации
зволяют решать все задачи НСВ, в том числе и принудительное отпирание тиристорных байпасов UPS с последующей перекачкой через байпас энергии, накопленной низковольтными конденсаторами. Стационарные ТС такого типа могут дистанционно (по радиоканалу или сети электропитания) программироваться для решения той или иной задачи НСВ. Это весьма дорогие изделия.
ТС НСВ могут иметь и другие принципы действия. В качестве ТС может быть использована трансформаторная подстанция здания. Если трансформатор подстанции сухой и без защитного кожуха, то к части вторичной обмотки может быть подключено ТС НСВ с емкостным накопителем, параметры которого подобраны так, что вторичная обмотка трансформатора, магнитопровод и емкостной накопитель образуют повышающий автотрансформатор. Такая схема “глобального” действия может вывести из строя все электронное оборудование зданий, которые запитываются от этой подстанции. Отметим, что доступ к трансформаторной подстанции подчас бывает весьма простым.
Еще одним примером являются современные мощные полнопроточные UPS импортного производства, которые имеют развитое встроенное программное обеспечение для управления, в том числе, уровнем выходного напряжения. Соответствующая программная закладка может быть активизирована закодированной командой по сети электропитания и на короткое время перепрограммирует UPS на максимально возможное выходное напряжение, которое приведет к выходу из строя защищаемого UPS оборудования. Так как программное обеспечение UPS специализированно, то поиск таких закладок может быть затруднителен. Поэтому рекомендуется устанавливать на входе UPS дополнительные фильтры.
По способу управления ТС НСВ могут быть с ручным управлением, автоматическим и дистанционным. Автоматические ТС НСВ могут генерировать импульсы напряжения периодически, по случайному закону, по максимуму нагрузки (у последовательно включаемых ТС НСВ может контролироваться ток в цепи нагрузки, т.е. косвенно количество включаемых ПЭВМ) и т.д.
Вирусные методы разрушения информации
Компьютерным вирусом называется программа, которая может “заражать” другие программы, включая в них свою (возможно, модифицированную) копию. Эта копия, в свою очередь, также способна к дальнейшему размножению. Следовательно, заражая программы, вирусы способны распространяться от одной программы к другой. Зараженные программы (или их копии) могут передаваться через дискеты или по сети на другие ЭВМ.
Упрощенно процесс заражения вирусом программных файлов можно представить следующим образом.
1.Код зараженной программы изменен таким образом, чтобы вирус получал управление первым, до начала работы программы-носителя.
Вирусные методы разрушения информации 241
2.При получении управления вирус находит на диске какую-нибудь не зараженную программу и вставляет собственную копию в начало (или в конец) этой программы. Возможны случаи, когда вирус включает себя в середину программы.
3.Если вирус дописывается не в начало программы, то он корректирует ее код (или даже уничтожаетпрограмму) стем, чтобыполучитьуправление первым.
4.После размножения (или вместо него в отдельных случаях) вирус может производить различные разрушающие действия.
5.После этого управление обычно передается программе-носителю (как правило, она сохраняется вирусом) и она выполняет свои функции, делая незаметными для пользователя действия вируса.
Для более эффективного размножения вирус при первом получении управления становится резидентным, т.е. постоянно присутствует в оперативной памяти во время работы компьютера и размножает свои копии, как говорилось раньше, при каждом обращении пользователя к программе для ее выполнения, копирования, изменения или просмотра.
Одной из разновидностей вирусов являются вредоносные программы типа “Троянский конь”. К ним обычно относят специально созданные программы, которые, попадая в вычислительные системы (обычно под видом заведомо полезных программ), начинают скрытно выполнять несанкционированные действия.
Еще одним типом вирусов являются так называемые черви, которые воспроизводятся, копируя себя в памяти одного или нескольких компьютеров (в случае сети), независимо от наличия в ней других программ.
В качестве программ-носителей вирусов могут выступать следующие носители.
•Выполняемые файлы, т.е. файлы с расширением COM, EXE, DLL, OVL и т.п. Так как вирус начинает работу при запуске зараженной программы, особенно опасно заражение часто используемых программ. При заражении программы многими из современных вирусов, использующих особенности формата выполняемых файлов для системы Windows, длина программы остается неизменной. Возможно также распространение вируса в программах, написанных на языке программирования высокого уровня, если они работают в среде интерпретатора этого языка, например VBA (Visual Basic for Application), который встраивается в такие популярные программы, как
Microsoft Word, Microsoft Excel, Microsoft Outlook, Microsoft PowerPoint, CorelDraw, AutoCAD и др.
•Программы операционной системы и драйверы устройств (обычно имеют рас-
ширения SYS, BIN, VXD и т.п.).
•Программа-загрузчик операционной системы, находящаяся в первом секторе дис-
ка. Так как программа-загрузчик невелика, то вирус обычно размещает себя в дополнительных секторах на диске, которые помечает как “плохие” (bad).
•Объектные файлы и библиотеки (расширения OBJ, LIB, TPU и т.п.). Такие файлы и библиотеки, полученные из ненадежного источника, могут содержать, помимо полезного кода, встроенный вирус. При использовании зараженных библиотек вирус
242 Глава 14. Методы и средства разрушения информации
автоматически будет попадать во все создаваемые на основе таких библиотек программы.
Вирусы часто производят какие-либо разрушительные действия. Но, в отличии от способности к размножению, разрушение не является неотъемлемой функцией вируса. Хотя воздействие вируса на систему, программы, данные и аппаратуру могут быть весьма разнообразными, однако если в такой размножающейся программе есть ошибки, не предусмотренные ее автором, то последствия могут быть непредсказуемы. Кроме того, надо учитывать, что само размножение имеет следствием сокращение доступного дискового пространства и увеличение времени работы программ.
Действия вируса ведут чаще всего к отказу от выполнения той или иной функции или к выполнению функции, не предусмотренной программой. При этом создается впечатление, что происходят программные сбои или ошибки оборудования. Это впечатление усиливается способностью вируса выдавать ложное сообщение или искусственно вызывать ошибки системы. Неправильные действия системы, как правило, замечаются пользователем и могут быть им прекращены для предотвращения катастрофических последствий. Если наблюдаемые действия вызваны именно вирусом, то нужно как можно быстрее прекратить работу на компьютере и провести проверку программ и оборудования. Подозрение на появление вируса возможно в следующих случаях:
•отключения какой-то стандартной функции системного или прикладного программного обеспечения (например, отключение перезагрузки, которая при нормальной работе должна происходить после нажатия комбинации клавиш <Ctrl+Alt+Del>);
•проявления ошибок или сбоев при выполнении прежде стабильно работавших программ (например, переполнения буфера или деления на 0), самопроизвольной перегрузки или “зависания” операционной системы;
•выполнения операций, не предусмотренных алгоритмом программы (например, изменение данных в файле, не санкционированное пользователем, в том числе шифрование);
•изменения атрибутов файла (например, дата создания файла, его длина и т.п.);
•разрушения файлов, отдельных управляющих блоков или самой файловой системы (несанкционированное форматирование жесткого диска, неожиданное исчезновение отдельных файлов и т.п.);
•слишком частых обращений к диску;
•появления ложных, раздражающих или отвлекающих сообщений;
•блокирования доступа к системным ресурсам (исчерпание дискового пространства из-за многократного повторного заражения, отключение механизма передачи параметров в запускаемые программы, существенное замедление работы путем выполнения холостого цикла при каждом прерывании от системного таймера и т.п.);
•появления на экране дисплея световых пятен, черных областей и других визуальных аномалий;