Защита программного обеспечения |
30 |
Антивирусные средства защиты
Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делить на следующие группы:
детекторы - обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых сигнатур - устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.
фаги выполняют функции, свойственные детекторам, но, кроме того, "излечивают" инфицированные программы посредством "выкусывания" вирусов из их тел. По аналогии с полидетекторами, фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.;
Защита программного обеспечения |
31 |
Антивирусные средства защиты
вакцины по своему принципу действия подобны вирусам. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней. Характеристиками, используемыми вакцинами, могут быть длина программы, ее контрольная сумма и т.д.;
прививки. Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает инфицируемые программы каким-либо признаком с тем, чтобы не выполнять их повторное заражение; Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который, таким образом, после активизации и проверки наличия указанного признака, считает ее инфицированной и "оставляет в покое".
Защита программного обеспечения |
32 |
Антивирусные средства защиты
ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняемому файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов. Характеристики исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле (файлах), в связи с чем увеличения длин исполняемых файлов, имеющего место при вакцинации, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизором требует его повторного запуска; мониторы представляют собой резидентную программу, обеспечивающую перехват потенциально опасных прерываний, характерных для вирусов, и запрашивающую у пользователей подтверждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блокирует выполнение пользовательской программы.
Защита программного обеспечения |
33 |
Программные закладки Закладка не размножается, имеет цель.
Программная закладка (ПЗ) – вредоносная программа может выполнять хотя бы одно из перечисленных действий:
1.Вносить произвольное искажение в коды программы (закладка первого типа).
2.Переносить фрагменты информации из одних областей памяти в другие, ОЗУ (закладка второго типа).
3.Искажать выводимую на внешние устройства или в
каналы связи информацию, полученную в результате работы других программ (закладка третьего типа).
Защита программного обеспечения |
34 |
Программные закладки можно классифицировать по методу внедрения в ИС:
1 |
Программно – аппаратные закладки, ассоциированные со |
средствами компьютера (среда обитания BIOS) |
|
2 |
Загрузочные закладки, связанные с программой начальной загрузки, |
|
которая располагается в загрузочных секторах |
3 |
Драйверные закладки |
|
4 |
Прикладные закладки, связанные с прикладным ПО общего |
|
назначения (текстовые редакторы, утилиты, антивирусные |
||
|
||
5 |
мониторы). |
|
Исполняемые закладки, связанные с исполняемыми программами, |
||
6 |
пакетными файлами, файлами ОС. |
|
Закладки-имитаторы интерфейс которых совпадает с интерфейсом |
||
известных служебных программ, требующих ввода конфиденциальной |
||
|
информации (ключи, пароли, кодов кредитных карточек). |
7 |
Замаскированные закладки, которые маскируются под программные |
средства оптимизации ПК (архиваторы, дисковые дефрагментаторы), |
|
|
под игровые и другие развлекательные программы |
Защита программного обеспечения |
35 |
Чтобы программная закладка нанесла вред процессор должен приступать к исполнению команд, входящих в состав кода ПЗ. Это возможно при соблюдении следующих условий:
Закладка должна попасть в оперативную память компьютера до той программы, которая является целью воздействия закладки.
Работа программной закладки, находящейся в оперативной памяти, начинается при выполнении некоторых условий, которые называются активизирующими
Защита программного обеспечения |
36 |
Существуют 3 основных группы деструктивных действий, которые могут осуществляться ПЗ:
1. Копирование информации пользователя ИС |
|
(паролей, кодов, доступа ключей, конфиденциальных электронных |
|
документов), находящихся в оперативной |
или внешней памяти |
системы. |
|
2. Изменение алгоритмов функционирования системы |
прикладных и служебных программ. Например, внесение изменений в |
программу разграничения доступа может привести к тому, что она |
разрешит вход в систему всем без исключения |
3. Навязывание определенных видов работ |
. |
Например, блокирование записи на диск при удалении информации, |
1. |
|
|
при этом информация, которую требуется удалить, не уничтожается |
|
и может быть впоследствии скопирована злоумышленником. |
Защита программного обеспечения |
37 |
Модели воздействия программных закладок на компьютеры
1.Модель «перехват»: Внедряется в ПЗУ, системное или прикладное программное обеспечение и сохраняет всю или выбранную информацию, вводимую с внешних устройств в систему или выводимую на эти устройства в скрытую области памяти локальной или удаленной информационной системы.
Данная модель может быть двухступенчатой:
на первом этапе сохраняются только имена и начало файла;
на втором этапе накопленные данные анализируются злоумышленником, и выбирается нужная информация для
принятия решения о конкретных объектах дальнейшей атаки.
Защита программного обеспечения |
38 |
2. Модель «искажение». Программные закладки изменяют информацию, которая записывается в память системы, либо подавляет (инициирует) возникновение ошибочных ситуаций в ИС.
Можно выделить статическое и динамическое искажение
Статическое искажение происходит один раз, при этом параметры программной среды модифицируются, чтобы впоследствии в ней выполнялись нужные злоумышленнику действия. Например, вносятся изменения в файл AUTOEXEC.BAT, которые приводят к запуску заданной программы прежде, чем будут запущены другие программы.
Специалисты ФАПСИ выявили ПЗ: злоумышленник изменил в исполняемом .exe модуле проверки ЭП. строку «Подпись не корректна» на строку «Подпись корректна». В результате перестали фиксироваться документы с неверной ЭП, а, следовательно, стало возможно вносить любые изменения в электронные документы уже после подписания ЭП.
Защита программного обеспечения |
39 |
Динамическое искажение заключается в изменении каких-либо параметров системы или прикладных процессов при помощи заранее активированных закладок.
Динамическое искажение можно условно разделить на:
•
•
искажение на входе, когда на обработку попадает |
уже искаженная информация; |
искажение на выходе, |
когда искажается информация, |
отображаемая для восприятия человеком, или предназначенная для работы других программ.
•Практика показала, что именно программы реализации ЭП особенно подвержены влиянию ПЗ типа «динамическое искажение». Существует 4 способа воздействия ПЗ на ЭП:
1)Искажение входной информации – ПЗ изменяет поступивший на подпись документ.
2)Искажение результата проверки истинности ЭП (вне зависимости от результатов проверки цифровую подпись объявляют истинной).
3)Навязывание длины электронного документа – программе ЭП предъявляется документ меньшей длины, чем на самом деле, и в результате подпись ставится только под частью исходного документа.
4)Искажение самого алгоритма электронной подписи