- •41. Номенклатура продуктов семейства Аккорд. По для защиты лвс.
- •48. Secret Net Настройка системы защиты и управления объектами.
- •42.Система зи от нсд Dallas Lock. Состав, версии, назначение, основные возможности.
- •44. Реализация и способы шифрования, реализованные в Dallas Lock Журналы, их виды, настройка, особенности организации аудита.
- •43.Система зи от нсд Dallas Lock Возможности разграничения доступа реализованные в Dallas Lock.
- •45. Secret Net. Основные версии. Их характеристика. Сервер безопасности.
- •46. Secret Net. Основные функции и возможности.
- •47. Secret Net. Система управления. Клиентское по.
- •50. Общие принципы организации защиты компьютеров
- •1. Средства защиты от несанкционированного входа в систему:
- •2. Средства управления доступом к ресурсам:
- •3. Средства криптографической защиты данных:
- •4. Средства регистрации и оперативного контроля:
- •49. Secret Net понятие профилей их состав. Реализация замкнутой пс. Режимы работы.
- •51. Средства разграничения доступа.
- •52. Secret Net. Средства разграничения доступа кроме системы атрибутов
- •53. Secret Net. Типы объектов. Привилегии пользователя.
- •54. Формат записи.
- •55. Строение стандартной дорожки гмд.
- •64. Методы защиты с использованием hasp ключей.
- •56. Методы преодоления системы защиты от копирования
- •57 - Защита программ после их размещения на пк Идентификация пк на основе особенностей аппаратной среды. Идентификационные параметры. Сравнительный анализ способов идентификации.
- •58 - Защита программы после размещения на винчестере. Идентификация пк по программным особенностям среды. Способы идентификации. Достоинства и недостатки.
- •59 - Побитовые копировщики. Принципы и особенности работы Профессиональный побитовый копировщик fda 6.0. Назначение. Функциональные возможности. Режимы и особенности работы.
- •60 - Средства копирования программы из памяти. Карты копирования. Программные средства (Autohack, Intruder).
- •62. Достоинства электронных ключей. Защита данных. Защита в сети
- •63. Электронные ключи hasp Номенклатура, реализация.
- •65. Семейство ключей HardLock Состав системы защиты на базе ключей. Особенности ключей.
- •67. Понятие изучения и обратного проектирования по. Цели и задачи изучения работы по. Средства исследования по, их классификация. Принципы работы.
- •68. Механизмы защита от отладчиков
- •69. Механизмы защиты от дизассемблеров
- •70. Ключи eToken. Достоинства. Области применения.
- •71. Ключи eToken Pro. Особенности Типы файлов. Объекты.
- •72. Ключи eToken r2. Особенности. Уровни пользователей и их полномочия. Система команд
- •73. Ключи eToken r2. Файловая система. Особенности. Режимы защиты. Конфигурация.
- •76. Механизм заражения вирусами
- •77. Способы маскировки вируса.
- •79. Классификация по уровню недекларируемых возможностей. Требования к разным классам
77. Способы маскировки вируса.
Простейшие способы маскировки:Наиболее простыми действиями, предпринимаемыми вирусом для маскирования своего распространение является восстановление даты последней модификации файла, атрибута Read-only файла. Stealth-вирусы:В настоящее время получили распространение Stealth-вирусы, обеспечивающие прозрачность (невидимость) вируса для других программ. Вирусы -невидимки отслеживают считывание каталогов с диска и подставляют нужные оригинальные значения, имевшие место до заражения. Для этого вирус заменяет обработчик соответствующего прерывания(13h). Stealth технология позволяет подставлять для зараженного файла его оригинальную длину и содержание. При открытии файла на чтение вирус удаляет тело из зараженного файла, а при закрытии заражает его опять. Для обнаружения Stealth -вирусов достаточно сравнивать информацию о файлах, выдаваемую DOS с фактической, содержащейся на диске. Несовпадение данных однозначно говорит о наличии вируса. Представители этого класса используют некоторую совокупность средств для маскировки своего присутствия в системе (достигается путем перехвата ряда системных функций, ответственных за работу с файлам). Шифрование тела вируса:Многие антивирусные программы построены путем поиска на основе постоянно пополняющихся библиотек сигнатур вируса - последовательности байтов, имеющейся в любом экземпляре вируса и только в нем. Для затруднения обнаружения вируса с помощью сигнатурного поиска стала применяться технология шифрования тела вируса. Перед тем, как добавить код вируса к заражаемому файлу, он подвергается кодированию с использованием ключа, зависящего от заражаемого файла (например, его длины). Такие вирусы обнаруживаются по обнаружению сигнатуры дешифровальщика (он необходим для дешифрования кода вируса перед его выполнением), который имеет специфический код и достаточную длину, чтобы служить сигнатурой. Полиморфные вирусы:Последней новинкой в деле создание вирусов стало появление полиморфных вирусов. В них самошифрующиеся вирусы дополнены генераторами расшифровщиков, которые создают для каждой новой копии вирусов свой расшифровщик, непохожий на остальные, но осуществляющий туже функцию. Эти вирусы используют специальные механизмы, которые затрудняют их надежное обнаружение. Обычно такие вирусы содержат код генерации шифровщика и расшифровщика собственного тела. Создаваемые генератором шифровщики (и соответствующие расшифровщики) обычно изменяются во времени. Для зашифрованной части кода вируса обязательно должна существовать подпрограмма расшифрования - расшифровщик, или декриптор (decryptor). В полиморфных вирусах расшифровщик не является постоянным - для каждого инфицированного файла он свой. По этой причине зачастую нельзя установить инфицированный файл по характерной для данного вируса строке (сигнатуре). Вследствие этого некоторые антивирусные средства в принципе не ловят полиморфные вирусы.
78. Принципы работы антивирусных средств.
Существуют несколько основных видов антивирусных программных средств – это сканеры, ревизоры диска, резидентные мониторы и иммунизаторы. Различаются эти антивирусные средства по основным принципам работы.
Сканеры: Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Во многих сканерах используются также алгоритмы «эвристического сканирования», т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта. Сканеры делятся на «резидентные» (мониторы), производящие сканирование «на-лету», и «нерезидентные», обеспечивающие проверку системы только по запросу. Как правило, «резидентные» сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как «нерезидентный» сканер способен опознать вирус только во время своего очередного запуска. К достоинствам сканеров всех типов относится их универсальность, к недостаткам — размеры антивирусных баз, которые сканерам приходится «таскать за собой», и относительно небольшую скорость поиска вирусов.
Ревизоры диска (CRC-сканеры).Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.
Резидентные мониторы.Это программы, которые постоянно находятся в оперативной памяти компьютера и контролируютоперации, производимые с диском и оперативной памятью. Именно эти программы позволяют обнаружить вирус до момента реального заражения системы (в отличие от сканеров и ревизоров диска, которые способны поймать вирус лишь после того, как он уже разошелся по компьютеру). Резидентный монитор немедленно реагирует на появление вируса. Но и они имеют недостатки: уменьшение такого полезного ресурса компьютера, как оперативная память (хотя и незначительное), замедление работы системы, поскольку резидентные мониторы отслеживают обработку многих системных прерываний, а также могут работать в интерактивном режиме, постоянно сообщая пользователю о том, что происходит в настоящий момент, и спрашивая, что делать дальше, с той или иной степенью подробности в зависимости от конкретных настроек пользователя. Кроме того, мониторы могут вступать в конфликт с другими программами, загруженными в оперативную память.
Иммунизаторы.Иммунизаторы делятся на два типа - сообщающие о заражении компьютера и блокирующие заражение каким-либо типом вируса. Первые из них обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но настолько серьезный, что ставит под сомнение целесообразность их использования: иммунизатор такого типа абсолютно неспособен сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы практически не используются в настоящее время. Второй тип иммунизации защищает систему от поражения каким-либо определенным типом вируса. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена. Такой тип иммунизации по определению не может быть универсальным, поскольку невозможно проиммунизировать файлы от всех известных вирусов. Однако, несмотря на это, такие иммунизаторы в качестве полумеры могут временно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет детектироваться антивирусными сканерами.