3. Метод обнаружения при помощи эмуляции

Не настолько популярный, но все-таки заслуживающий внимания способ, при котором антивирус самостоятельно имитирует выполнение кода той или иной программы (которую вызывает пользователь) до того, как запустить ее. Соответственно, если программа использует код, который самоизменяется, либо будет проявлять подозрительную активность (схожую на вирусную) - эта программа будет воспринята как вредоносная.

Этот принцип работы антивируса является не особо популярным, в виду его слабой эффективности - большинство подобных "находок" ошибочны.

 

4. Метод «Белого списка»

«Белый список» - неотъемлемая часть технологий, которые борются с вирусами. Он позволяет экономить и время и ресурсы и избежать лишних предупреждений. Суть в том, что антивирусная программа проверяет все программные коды, и выполняемые действия (а также пресекает их, если нужно) за исключением отмеченных пользователем, точнее администратором. Таким образом, пользователь может снять ограничения, которые возникают после обновлений сигнатур. Более того, можно настроить все таким образом, чтобы выполнялись только установленные программы, которые есть в списке, благодаря этому, неустановленные программы (если они не нужны пользователю, разумеется) не составят никакой опасности для компьютера. У современных разработчиков большинство приложений выходит со статусом "надежное", то есть они несут полную ответственность за их работоспособность и защищенность от вирусов, другими словами составляют свои "белые списки". Подобные факторы очень сильно облегчают работу антивируснику, а также избавляют пользователя от многих хлопот.

 

Вот и все основные принципы, по которым работают современные антивирусники. Ничего сложного и лишнего, правда может это и к худшему, авторы вирусов тоже не дремлют. Кстати, насчет последнего метода с "белым списком", парадокс может, но все самые популярные сегодня на рынке ИТ антивирусы используют за основу принцип работы противоположного "черного списка". Это объясняется тем, что подобный метод позволяет работать по смехе подписки, где есть услуга со стороны компании-разработчика - поддерживаться в актуальном состоянии антивирусных баз данных, и есть плата со стороны клиента за пользование этой услугой. Другими словами, метод "черного списка" является более прибыльным и, соответственно, популярным, чем противоположный ему.

Работа антивируса

Говоря о системах Майкрософт, обычно антивирус действует по схеме: - поиск, в базе данных антивирусного ПО, сигнатур вирусов - если найден инфицированный код в памяти (оперативной и/или постоянной), запускается процесс карантина и процесс блокируется - зарегистрированная программа обычно удаляет вирус, незарегистрированная просит регистрации, и оставляет систему уязвимой.

Эвристический анализ (эвристическое сканирование) — это совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ, но в то же время этот же термин обозначает один из конкретных способов.

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.

Билет № 28

1) Цифровые сертификаты

Цифровой сертификат — выпущенный удостоверяющим центром электронный или печатный документ, подтверждающий принадлежность владельцу открытого ключа или каких-либо атрибутов.

Виды сертификатов X.509

Сертификат открытого ключа

Сертификат открытого ключа удостоверяет принадлежность открытого ключа некоторому субъекту, например, пользователю. Сертификат открытого ключа содержит имя субъекта, открытый ключ, имя удостоверяющего центра, политику использования соответствующего удостоверяемому открытому ключу закрытого ключа и другие параметры, заверенныеподписью удостоверяющего центра. Сертификат открытого ключа используется для идентификации субъекта и уточнения операций, которые субъекту разрешается совершать с использованием закрытого ключа, соответствующего открытому ключу, удостоверяемому данным сертификатом. Формат сертификата открытого ключа X.509 v3 описан в RFC 2459^[1].

Сертификат атрибутов

Структура сертификата атрибутов аналогична структуре сертификата открытого ключа. Отличие же заключается в том, что сертификат атрибутов удостоверяет не открытый ключ субъекта, а какие-либо его атрибуты — принадлежность к какой-либо группе, роль, полномочия и т.п. Сертификат атрибутов применяется для авторизации субъекта. Формат сертификата атрибутов описан в RFC 3281^[2].

Классификация сертификатов

VeriSign предложила следующую концепцию классификации цифровых сертификатов :

• Class 1 индивидуальные, для идентификации email.

• Class 2 для организаций.

• Class 3 для серверов и программного обеспечения.

• Class 4 для онлайн бизнеса и транзакций между компаниями.

• Class 5 для частных компаний или правительственной безопасности.

2) Табличный процессор

Табличный процессор – эта программа предназначена для действий с таблицами электронными. Сначала редакторы обрабатывали таблицы двухмерные, с данными числовыми. Но потом появились программы, имевшие возможность работать с мультимедийными, графическими и текстовыми файлами. Инструментарий редактора включал уже функции математические, которые позволяли делать сложные расчёты по статистике и финансам.

Табличные редакторы являются программами прикладного характера, которые выполняют расчёты табличные. Появление редакторов табличных совпал с широким распространением компьютеров персональных. Первая программа табличного процессора создалась в 1979 году, называлась VisiCalc и предназначалась для работы с компьютерами Apple II. Затем проявляется в 1982 году знаменитый процессор табличный Lotus 1-2-3, он объединял функции графики, таблиц и реляционной СУБД, он был предназначен для IBM PC.

Популярность процессоров табличных распространялась мгновенно. Появились программы новые: SuperCalc, Quattro Pro, Multiplan и много других. Одним из современных табличных популярных процессоров MS Excel, который входит в пакет программ Microsoft Office.

Табличный процессор — это комплекс взаимосвязанных программ, предназначенный для обработки электронных таблиц. Электронная таблица — это компьютерный эквивалент обычной таблицы, состоящей из строк и граф, на пересечении которых располагаются клетки, в которых содержится числовая информация, формулы или текст.

Значение в числовой клетке таблицы может быть либо записано, либо рассчитано по соответствующей формуле; в формуле могут присутствовать обращения к другим клеткам.

Каждый раз при изменении значения в клетке таблицы в результате записи в нее нового значения с клавиатуры пересчитываютсятакже значения во всех тех клетках, в которых стоят величины, зависящие от данной клетки.

Графам и строкам можно присваивать наименования. Экран монитора трактуется как окно, через которое можно рассматривать таблицу целиком или по частям.

Табличные процессоры представляют собой удобное средство для проведения бухгалтерских и статистических расчетов. В каждом пакете имеются сотни встроенных математических функций и алгоритмов статистической обработки данных. Кроме того, имеются мощные средства для связи таблиц между собой, создания и редактирования электронных баз данных.

Специальные средства позволяют автоматически получать и распечатывать настраиваемые отчеты с использованием десятков различных типов таблиц, графиков, диаграмм, снабжать их комментариями и графическими иллюстрациями.

Табличные процессоры имеют встроенную справочную систему, предоставляющую пользователю информацию по конкретным командам меню и другие справочные данные. Многомерные таблицы позволяют быстро делать выборки в базе данных по любому критерию.

Самые популярные табличные процессоры — Microsoft Excel (Эксель) и Lotus 1—2—3.

В Microsoft Excel автоматизированы многие рутинные операции, специальные шаблоны помогают создавать отчёты, импортировать данные и многое другое.

Lotus 1—2—3 — профессиональный процессор электронных таблиц. Широкие графические возможности и удобный интерфейс пакета позволяют быстро ориентироваться в нём. С его помощью можно создать любой финансовый документ, отчёт для бухгалтерии, составить бюджет, а затем разместить все эти документы в базах данных.

3) Характеристики процессора

Ниже подробнее рассмотрим наиболее важные характеристики процессора. Производитель — марка процессора, модель. Главные производители процессоров для ПК — две конкурирующие компании:AMD и Intel. Их продукция не совместима, то есть один тип процессора нельзя установить в материнскую плату, предназначенную для процессора другого производителя. Для процессоров каждого производителя приобретаются соответствующие материнки. Тип разъема — сокет. Среди процессоров каждого производителя существуют классы процессоров, которые можно объединить по типу сокета, — они имеют одинаковые разъемы и могут устанавливаться в одну и ту же плату, если она поддерживает конкретную модель. Поэтому, если вы планируете менять процессор, вам нужно подобрать для своей МП ЦПУ с подходящим типом разъема — сокетом. Например, если у вас на МП Socket-775, процессор нужно приобретать только с So-cket-775.

Тактовая частота процессора. Производительность ЦПУ определяется тактовой частотой, задаваемой в мегагерцах (МГц), либо в гигагерцах (ГГц). Ориентироваться по тактовой частоте нужно внутри серии однотипных процессоров. Процессор с большей тактовой частотой может быть менее производительным по сравнению с процессором с меньшей частотой, но с большим кэшем и тактовой частотой системной шины. Процессоры Intel и AMD, работая на разных частотах, могут показывать одинаковую производительность. Чипы AMD работают на меньших частотах, но за один такт они выполняют больший объем работы. У процессоров AMD в обозначении цифра указывает не тактовую частоту, а номер модели. Например, у процессора AMD Athlon 64 3200+ реальная тактовая частота не 3200 Гц, а 2000 Гц. Подразумевается, что в целом производительность AMD Athlon 64 3200+ примерно такая же, как и у процессора Intel с частотой 3200 Гц. Частота системной шины. FSB (Front side bus) — системная шина обеспечивает передачу данных между процессором и чипсетом. Максимальный объем данных, который передается за единицу времени, определяется частотой системной шины. Исходя из частоты FSB и коэффициента умножения определяется частота, на которой работает центральный процессор. Современные процессоры имеют заблокированный коэффициент умножения. Объем кэш-памяти процессора. Различают кэши 1-, 2- и 3-го уровней. Кэш 1-го уровня имеет наименьшую латентность (время доступа), но малый размер, кроме того, кэши первого уровня часто делаются многопортовыми. Так, процессоры AMD К8 умели производить 64 бит запись плюс 64 бит чтение либо два 64 бит чтения за такт, процессоры Intel Core могут производить 128 бит запись и 128 бит чтение за такт. Кэш 2-го уровня обычно имеет значительно большие латентности доступа, но его можно сделать существенно больше по размеру. Кэш 3-го уровня самый большой по объёму и довольно медленный, но всё же он гораздо быстрее, чем оперативная память. В ЦПУ используется два уровня кэш-памяти — дополнительной быстродействующей памяти: кэш первого уровня и кэш второго уровня. Это позволяет повысить производительность ПК благодаря буферу данных между процессором и более медленной основной памятью. В кэш-памяти хранятся копии блоков информации из оперативной памяти, вероятность обращения к которым в ближайшее время велика. Кэш первого уровня (L1) зависит от архитектуры ЦПУ и имеет меньшее время доступа и меньший размер, и он одинаковый у процессоров с одним и тем же ядром. Кэш второго уровня (L2) у ЦПУ с одним и тем же ядром может отличаться — разные модели могут иметь разный объем кэш-памяти второго уровня. У процессоров Intel увеличение кэша второго уровня повышает производительность. У AMD внутренний контроллер памяти в определенной мере снижает преимущества увеличения кэша второго уровня. Производительность при обработке приложений с меньшим объемом данных растет заметнее при повышения кэша второго уровня в сравнении с приростом производительности при обработке приложений с большим объемом данных. Технология производства ЦПУ. Техпроцесс выражается в нанометрах — нм. Это показатель размера наименьшего отдельного элемента, размещаемого на кристалле ЦПУ. Технологический размер постоянно стремятся уменьшить, так как процессор при этом работает быстрее; используя меньшее напряжение питания, он потребляет меньше мощности и обладает меньшим теплоизлучением. Поддержка 64-разрядных вычислений. Поддержка 64 разрядных вычислений появилась в 2004 году — с созданием процессоров AMD Athlon 64, совместимых с 32-разрядными приложениями и выполняющих их столь же эффективно, как и 64-разрядные. Intel представила собственную технологию ЕМ64Т (Extended Memory 64-bit Technology). На данный момент 64-разрядные приложения для многих пользователей ПК не столь актуальны, так как соответствующих программ пока еще немного. Защищенный режим. Технология NX (No eXecute), разработанная AMD, и XDB (eXecute Disable Bit), разработанная Intel позволяют уменьшить вред от вторжений — троянов, вирусов и червей. Для этого требуется операционная система, которая поддерживает защищенный режим — для Windows XP нужно установить Service Pack 2. Если ОС поддерживает защищенный режим, то он позволяет отразить атаки, связанные с «переполнением буфера».

4) Вложенные циклы

Вложенные циклы

Существует возможность организовать цикл внутри тела другого цикла. Такой цикл будет называться вложенным циклом. Вложенный цикл по отношению к циклу в тело которого он вложен будет именоваться внутренним циклом, и наоборот цикл в теле которого существует вложенный цикл будет именоваться внешним по отношению к вложенному. Внутри вложенного цикла в свою очередь может быть вложен еще один цикл, образуя следующий уровень вложенности и так далее. Количество уровней вложенности, как правило, не ограничивается.

Полное число исполнений тела внутреннего цикла не превышает произведения числа итераций внутреннего и всех внешних циклов. Например взяв три вложенных друг в друга цикла, каждый по 10 итераций, получим 10 исполнений тела для внешнего цикла, 100 для цикла второго уровня и 1000 в самом внутреннем цикле.

Одна из проблем, связанных с вложенными циклами — организация досрочного выхода из них. Во многих языках программирования есть оператор досрочного завершения цикла (break в Си, exit в Турбо Паскале, last в Perl и т. п.), но он, как правило, обеспечивает выход только из цикла того уровня, откуда вызван. Вызов его из вложенного цикла приведёт к завершению только этого внутреннего цикла, внешний же цикл продолжит выполняться. Проблема может показаться надуманной, но она действительно иногда возникает при программировании сложной обработки данных, когда алгоритм требует немедленного прерывания в определённых условиях, наличие которых можно проверить только в глубоко вложенном цикле.

Решений проблемы выхода из вложенных циклов несколько.

• Простейший — использовать оператор безусловного перехода goto для выхода в точку программы, непосредственно следующую за вложенным циклом. Этот вариант критикуется сторонниками структурного программирования, как и все конструкции, требующие использования goto. Некоторые языки программирования, например, Модула-2, просто, не имеют оператора безусловного перехода, и в них подобная конструкция невозможна.

• Альтернатива — использовать штатные средства завершения циклов, в случае необходимости устанавливая специальные флаги, требующие немедленного завершения обработки. Недостаток — усложнение кода, снижение производительности.

• Размещение вложенного цикла в процедуре. Идея состоит в том, чтобы всё действие, которое может потребоваться прервать досрочно, оформить в виде отдельной процедуры, и для досрочного завершения использовать оператор выхода из процедуры (если такой есть в языке программирования). В языке Си, например, можно построить функцию с вложенным циклом, а выход из неё организовать с помощью оператора return. Недостаток — выделение фрагмента кода в процедуру не всегда логически обосновано, и не все языки имеют штатные средства досрочного завершения процедур.

• Воспользоваться механизмом генерации и обработки исключений (исключительных ситуаций), который имеется сейчас в большинстве языках высокого уровня. В этом случае в нештатной ситуации код во вложенном цикле возбуждает исключение, а блок обработки исключений, в который помещён весь вложенный цикл, перехватывает и обрабатывает его. Недостаток — реализация механизма обработки исключений в большинстве случаев такова, что скорость работы программы уменьшается. Правда, в современных условиях это не особенно важно: практически потеря производительности столь мала, что имеет значение лишь для очень немногих приложений.

• Наконец, существуют специальные языковые средства для выхода из вложенных циклов. Так, в языке Ада программист может пометить цикл (верхний уровень вложенного цикла) меткой, и в команде досрочного завершения цикла указать эту метку. Выход произойдёт не из текущего цикла, а из всех вложенных циклов до помеченного, включительно.

5)Криптография

Криптогра́фия (от др.-греч. κρυπτός — скрытый и γράφω — пишу) — наука о методах обеспечения конфиденциальности(невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации.

Изначально криптография изучала методы шифрования информации — обратимого преобразования открытого (исходного) текста на основе секретного алгоритма и/или ключа в шифрованный текст (шифротекст). Традиционная криптография образует разделсимметричных криптосистем, в которых зашифрование и расшифрование проводится с использованием одного и того же секретного ключа. Помимо этого раздела современная криптография включает в себя асимметричные криптосистемы, системыэлектронной цифровой подписи (ЭЦП), хеш-функции, управление ключами, получение скрытой информации, квантовую криптографию.

Криптография не занимается: защитой от обмана, подкупа или шантажа законных абонентов, кражи ключей и других угрозинформации, возникающих в защищенных системах передачи данных.

Криптография — одна из старейших наук, её история насчитывает несколько тысяч лет.

Сегодня эта дисциплина объединяет методы защиты информационных взаимодействий совершенно различного характера, опирающиеся на преобразование данных по секретным алгоритмам, включая алгоритмы, использующие секретные параметры. Термин "информационное взаимодействие" или "процесс информационного взаимодействия" здесь обозначает такой процесс взаимодействия двух и более субъектов, основным содержанием которого является передача и/или обработка информации. По большому счету, криптографической может считаться любая функция преобразования данных, секретная сама по себе или зависящая от секретного параметра S:

T' = f(T), или  T' = f(T,S).

Теперь перейдем к характеристикам задач, решаемых криптографическими методами в наши дни. Информационные взаимодействия между различными субъектами могут носить различный, порой весьма запутанный характер, соответственно существуют различные угрозы их нормальному осуществлению. Для того, чтобы поставить задачу защиты информации, необходимо подробно ответить на вопросы трех следующих групп:

1. Объект защиты.

Эта группа вопросов относится к информационному процессу, нормальное течение которого мы намерены обеспечить:

- кто является участником информационного процесса; - каковы задачи участников информационного процесса; - каким именно образом участники процесса выполняют стоящие перед ними задачи;

2. Предполагаемая угроза.

Эта группа вопросов охватывает возможные отклонения от нормального течения процесса информационного взаимодействия: - каков критерий "нормального" прохождения процесса информационного взаимодействия;  - какие возможны отклонения от "нормы";

3. Предполагаемый злоумышленник.

Эта группа вопросов относится к тем субъектам, которые предпринимают те или иные действия для того, чтобы отклонить процесс от нормы:

- кто может выступать в качестве злоумышленника, то есть предпринимать усилия для отклонения процесса информационного взаимодействия от нормального течения; - каких целей добиваются злоумышленники; - какими ресурсами могут воспользоваться злоумышленники для достижения своих целей; - какие действия могут предпринять злоумышленники для достижения своих целей.

Развернутый ответ на первый вопрос является моделью информационного процесса. Подробный ответ на второй вопрос должен включать критерий "нормальности" процесса и список возможных отклонений от этой "нормальности", называемых в криптографии угрозами, - ситуаций, которые мы бы хотели сделать невозможными. Субъект, препятствующий нормальному протеканию процесса информационного взаимодействия, в криптографической традиции называется "злоумышленником", в качестве него может выступать в том числе и законный участник информационного обмена, желающий добиться преимуществ для себя. Развернутый ответ на третий вопрос называется в криптографии моделью злоумышленника. Злоумышленник - это не конкретное лицо, а некая персонифицированная сумма целей и возможностей, для которой справедлив принцип Паули из физики элементарных частиц: два субъекта, имеющие идентичные цели и возможности по их достижению, в криптографии рассматриваются как один и тот же злоумышленник.

Ответив на все перечисленные выше вопросы, вы получите постановку задачи защиты своего информационного процесса.

Разные задачи из сферы защиты информации отличаются друг от друга именно различными ответами на приведенные выше вопросы. Только после детального и исчерпывающего ответа на все вопросы задача защиты информационного процесса может считаться поставленной и вы можете приступить к проектированию защиты.

Подведем итоги:

- криптография - это набор методов защиты информационных взаимодействий от отклонений от их нормального, штатного протекания, вызванных злоумышленными действиями различных субъектов, методов, базирующихся на секретных алгоритмах преобразования информации, включая алгоритмы, не являющиеся собственно секретными, но использующие секретные параметры; - исторически первой задачей криптографии была защита передаваемых текстовых сообщений от несанкционированного ознакомления с их содержанием, что нашло отражение в самом названии этой дисциплины, эта защита базируется на использовании "секретного языка", известного только отправителю и получателю, все методы шифрования являются лишь развитием этой философской идеи; - с усложнением информационных взаимодействий в человеческом обществе возникли и продолжают возникать новые задачи по их защите, некоторые из них были решены в рамках криптографии, что потребовало развития принципиально новых подходов и методов. 

Билет 29