Разрушающие программные средства 243
•проявления звуковых или визуальных эффектов (например, “осыпание символов” на экране, замедление перерисовки объектов на экране, воспроизведение мелодии и т.п.);
•имитации аппаратных отказов;
•сообщений антивирусных средств.
Наиболее распространенным разрушительным действием вируса является уничтожение информации (программ и данных). К сожалению, простого метода восстановления удаленных файлов в такой операционной системе, как MS DOS, не существует, хотя принципиально возможно восстановить файл путем просмотра всего дискового пространства с помощью специальных средств.
Труднее обнаружить не уничтожение, а изменение содержимого файла. Такие действия вируса особенно опасны, так как файлы могут быть существенно искажены, но заметить это удается слишком поздно. Например, вирус может заменить в файле данных все символы “5” на символы “7”. В этом случае искажение файла вызовет самые тяжелые последствия. Даже если такие искажения будут сразу обнаружены, потребуется значительное время, прежде чем эти данные можно будет снова нормально использовать. Вирусом могут быть вызваны изменения в программах, что порождает различные ошибки, сбои или отказы в работе программного обеспечения. Посредством изменения вирус способен разрушить аппаратные средства.
Примером таких действий являются следующие события:
•интенсивное использование плохо охлаждаемого элемента конструкции для вывода его из строя или возгорания в результате перегрева;
•“прожигание” пятна на экране;
•нарушение работы периферийного оборудования, в результате задания ему неправильных режимов функционирования;
•низкоуровневое изменение системных областей жесткого диска, вследствие чего диск невозможно восстановить без специального оборудования.
Важно иметь в виду, что вирус поражает определенные объекты, вторично их (как правило) не заражая, но зараженный объект сам становится источником информации.
Разрушающие программные средства
Программными закладками называются своеобразные программы, использующие вирусную технологию скрытного внедрения, распространения и активизации. Однако, в отличие от вирусов, которые просто уничтожают информацию, программные закладки, прежде всего, предназначены для ее несанкционированного скрытного получения. Типичная программная закладка может, например, сохранять вводимую с клавиатуры информацию (в том числе и пароли) в нескольких зарезервированных для этого секторах, а затем пересылать накопленные данные по сети на компьютер злоумышленника.
Программные закладки можно классифицировать по методу и месту их внедрения и применения (т.е. по способу доставки в систему).
244 Глава 14. Методы и средства разрушения информации
1.Закладки, ассоциированные с программно-аппаратной средой.
2.Закладки, ассоциированные с программами первичной загрузки.
3.Закладки, ассоциированные с загрузкой драйверов, командного интерпретатора, сетевых драйверов, т.е. с загрузкой операционной среды.
4.Закладки, ассоциированные с прикладным программным обеспечением общего назначения (встроенные клавиатурные и экранные драйверы, программы тестирования ПЭВМ, утилиты и оболочки).
5.Используемые модули, содержащие только код закладки (как правило, внедряемые в пакетные файлы типа BAT).
6.Модули-имитаторы, совпадающие с некоторыми программами, требующими ввода конфиденциальной информации (по внешнему виду).
7.Закладки, маскируемые под программные средства оптимизационного назначения (архиваторы, ускорители и т.д.).
8.Закладки, маскируемые под программные средства игрового и развлекательного назначения (как правило, используются для первичного внедрения закладок типа “исследователь”).
Для того чтобы закладка смогла выполнить какие-либо функции, она должна получить управление, т.е. процессор должен начать выполнять инструкции (команды), относящиеся к коду закладки. Это возможно только при одновременном выполнении двух условий:
•закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки, следовательно, она должна быть загружена раньше или одновременно с этой программой;
•закладка должна активизироваться по некоторому общему, как для закладки, так и для программы, событию, т.е. при выполнении ряда условий в аппаратнопрограммной среде управление должно быть передано на программу-закладку.
Это достигается путем анализа и обработки закладкой общих для закладки и прикладной программы воздействий (как правило, прерываний). Причем выбираются прерывания, которые наверняка используются прикладной программой или операционной системой. В качестве таких прерываний можно выделить:
•прерывания от системного таймера;
•прерывания от внешних устройств;
•прерывания от клавиатуры;
•прерывания при работе с диском;
•прерывания операционной среды (в том числе прерывания для работы с файлами и запуска выполняемых модулей).
Впротивном случае активизации кода закладки не произойдет, и он не сможет оказать какого-либо воздействия на работу программы ЗИ.
Разрушающие программные средства 245
Кроме того, возможны случаи, когда при запуске программы (в этом случае активизирующим событием является запуск программы) закладка разрушает некоторую часть кода программы, уже загруженной в оперативную память, и, возможно, систему контроля целостности кода или контроля иных событий и на этом заканчивает свою работу.
Таким образом, можно выделить следующие типы закладок.
1.Резидентная — находится в памяти постоянно с некоторого момента времени до окончания сеанса работы ПЭВМ (выключения питания или перегрузки).
Закладка может быть загружена в память при начальной загрузке ПЭВМ, загрузке операционной среды или запуске некоторой программы (которая по традиции называется вирусоносителем), а также запущена отдельно.
2.Нерезидентная — начинает работу по аналогичному событию, но заканчивают ее самостоятельно по истечению некоторого промежутка времени или некоторому событию, при этом выгружая себя из памяти целиком.
Несанкционированная запись закладкой может происходить:
•в массив данных, не совпадающий с пользовательской информацией (хищение информации);
•в массив данных, совпадающий с пользовательской информацией и ее подмножества (искажение, уничтожение или навязываниеинформации закладкой).
Следовательно, можно рассматривать три основные группы деструктивных функций, которые могут выполняться закладками:
•сохранение фрагментов информации, возникающей при работе пользователя, прикладных программ, вводе/выводе данных, на локальном или сетевом диске;
•разрушение функций самоконтроля или изменение алгоритмов функционирования прикладных программ;
•навязывание некоторого режима работы (например, при уничтожении информации
— блокирование записи на диск без уничтожения информации), либо навязывание посторонней информации вместо полезной информации при записи последней на диск.
Негативное воздействие закладки на программу
Классификация закладок по негативным воздействиям, которые они могут оказывать на прикладные программы, приведена в табл. 14.1.
Таблица 14.1. Классификация закладок по негативным воздействиям
Несанкционирован- |
|
Операции, выпол- |
|||
ные операции, вы- |
|
няемые прикладной |
|||
полняемые закладкой |
Действие |
программой (ПП) |
|||
Тип |
Считы- |
За- |
|
Считы- |
Запись |
|
вание |
пись |
|
вание |
|
1 |
0 |
0 |
нет |
0 |
0 |
246 Глава 14. Методы и средства разрушения информации
2 |
0 |
0 |
нет |
|
0 |
1 |
3 |
0 |
0 |
нет |
|
1 |
0 |
4 |
0 |
0 |
нет |
|
1 |
1 |
5 |
0 |
1 |
разрушение кода ПП в опера- |
0 |
0 |
|
|
|
|
тивной памяти (ОП) |
|
|
|
6 |
0 |
1 |
разрушение или |
сохранение |
0 |
1 |
|
|
|
выводимых данных |
|
|
|
7 |
0 |
1 |
разрушение или |
сохранение |
1 |
0 |
|
|
|
вводимых данных |
|
|
|
8 |
0 |
1 |
разрушение или |
сохранение |
1 |
1 |
|
|
|
вводимых и выводимых дан- |
|
|
|
|
|
|
ных |
|
|
|
9 |
1 |
0 |
нет |
|
0 |
0 |
10 |
1 |
0 |
перенос выводимых данных в |
0 |
1 |
|
|
|
|
ОП |
|
|
|
11 |
1 |
0 |
перенос вводимых данных в |
1 |
0 |
|
|
|
|
ОП |
|
|
|
12 |
1 |
0 |
перенос вводимых и выводи- |
1 |
1 |
|
|
|
|
мых данных в ОП |
|
|
|
13 |
1 |
1 |
размножение |
|
0 |
0 |
14 |
1 |
1 |
разрушение или |
сохранение |
0 |
1 |
|
|
|
выводимых данных |
|
|
|
15 |
1 |
1 |
разрушение или |
сохранение |
1 |
0 |
|
|
|
вводимых данных |
|
|
|
16 |
1 |
1 |
разрушение или |
сохранение |
1 |
1 |
|
|
|
вводимых и выводимых дан- |
|
|
|
|
|
|
ных |
|
|
|
Сохранение фрагментов информации
В этом случае можно выделить три основные причины потенциально возможного нарушения безопасности системы “пользователь — система защиты — данные”:
•вывод информации на экран;
•вывод информации в файл или иное внешнее устройство;
•ввод информации с клавиатуры.
Сохранение фрагментов вводимой и выводимой информации можно представить так. Программа выделяет себе в оперативной памяти некоторую информационную область, где помещается информация для обработки (как правило, доступная для непосредственного считывания: область экрана, клавиатурный буфер). Закладка определяет адрес ин-