- •1 Цель работы:
- •2 Программное обеспечение
- •3 Краткие теоретические сведения
- •3.1 Общие сведения
- •3.2 Возможные симптомы вирусного поражения
- •3.3 Тестовая сигнатура псевдо-вируса
- •3.4 Сетевые черви
- •3.5 Эвристический анализ
- •4 Порядок выполнения
- •4.1 Поиск вируса по сигнатуре
- •4.2 Проверка работы эвристического анализа
- •К онтрольные вопросы
1 Цель работы:
Обнаружение тестового вируса методом нахождения его сигнатуры с помощью антивирусной программы ClamWin и поиск описания найденного вируса, а также исследование эвристического анализа.
2 Программное обеспечение
Для выполнения лабораторной работы необходимо использовать предложенное ниже программного обеспечение.
Sandboxie - это утилита для контроля за работой различных программ. После установки этой утилиты взаимодействия всевозможных программ с системой будут происходить через неё.
Рисунок 2.1 – Интерфейс утилиты SandBoxie
ClamWin - свободный антивирусный сканер для платформ Microsoft Windows 98/Me/2000/XP/2003/Vista. Он обеспечивает графический интерфейс пользователя к программе Clam AntiVirus.
Рисунок 2.2 – Графический интерфейс ClamWin
WinHex - это универсальный HEX-редактор. WinHex позволяет работать с жесткими дисками, дискетами, CD-ROM, DVD, ZIP, Smart Media, Compact Flash memory cards и прочими носителями, при этом поддерживается FAT12, FAT16, FAT32, NTFS, CDFS.
Рисунок 2.3 – Графический интерфейс WinHex
Apokalipses v2.5 – Эта программа представляет собой уникальный инструмент, который предназначен для автоматической генерации вирусов, троянских коней и червей. Данный инструмент определяется антивирусными программами как HackTool, поэтому для его запуска необходимо предварительно отключить антивирусную программу.
Macro Assembler (MASM) — ассемблер для процессоров семейства x86.
OllyDbg – бесплатный 32-битный отладчик уровня ассемблера для операционных систем Windows, предназначенный для анализа и модификации откомпилированных исполняемых файлов и библиотек, работающиx в режиме пользователя (ring-3).
Tester – данная программа представляет собой минимальный exe файл Win32 формата, который выполняет функции программы-дрозофилы (данная программа предоставляется в нескольких копиях с именами исполняемых файлов tester1.exe, tester2.exe)
3 Краткие теоретические сведения
3.1 Общие сведения
Компьютерным вирусом называется программа (некоторая совокупность выполняемого кода/инструкций), которая способна создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д.без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.
Вирусы можно разделить на классы по следующим признакам:
по среде обитания вируса;
по способу заражения среды обитания;
по деструктивным возможностям;
по особенностям алгоритма вируса.
По среде обитания вирусы можно разделить на сетевые, файловые и загрузочные. Сетевые вирусы распространяются по компьютерной сети, файловые внедряются в выполняемые файлы, загрузочные – в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Существуют сочетания - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы и часто применяют оригинальные методы проникновения в систему.
Способы заражения делятся на резидентный и нерезидентный. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
По деструктивным возможностям вирусы можно разделить на:
-_безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
-_неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
-_опасные вирусы, которые могут привести к серьезным сбоям в работе
-_очень опасные, которые могут привести к потере программ,
уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.