- •Тезисы лекции
- •Введение
- •Вопрос 1. Данные о способах совершения преступления
- •Подвопрос 1.1. Способы совершения неправомерного доступа к компьютерной информации
- •Подвопрос 1.2. Способы совершения создания, использования и распространения вредоносных программ для эвм
- •Вопрос 2. Способы сокрытия преступлений в сфере компьютерной информации
- •Вопрос 3. Орудия и средства совершения преступлений в сфере компьютерной информации
- •Вопрос 4. Обстановка совершения преступления
- •Вопрос 5. Следы преступлений в сфере компьютерной информации
- •Вопрос 6. Личность субъекта преступления в сфере компьютерной информации
Подвопрос 1.2. Способы совершения создания, использования и распространения вредоносных программ для эвм
Способы и механизм совершения создания, использования и распространения вредоносных программ для ЭВМ обладает определенной спецификой, которая определяется, прежде всего, особенностями вредоносных программ, которые рассмотрены нами в уголовно-правовой характеристике преступления, предусмотренного ст. 273 УК РФ.
Для более глубокого анализ способов совершения данного преступления рассмотрим классификацию вредоносных программ для ЭВМ.
Напомним, что в зависимости от способности самовоспроизводиться, вредоносные программы подразделяются на программы-вирусы (самовоспроизводящиеся) и вредоносные программы в узком понимании (не самовоспроизводящиеся.
Представляется практически значимой классификация вредоносных программ по способу их действия. По данному основанию они делятся на резидентные и нерезидентные. Резидентные вредоносные программы при заражении (инфицировании) компьютера оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вредоносные программы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вредоносные программы не заражают память компьютера и являются активными только во время их непосредственной работы.
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули программ, т.е. в файлы, имеющие расширения СОМ и ЕХЕ. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.
Рассмотрим схему работы нерезидентного файлового вируса. При запуске исполняемого файла, содержащего вирус, последний получает управление, производит некоторые действия и передает управление основной программе. При этом он ищет новый объект для заражения - подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла.
Если файловый вирус резидентный, то он установится в память и получит возможность заражать другие файлы и выполнять прочие предусмотренные создателем действия не только во время работы зараженного файла, а вообще пока работает компьютер. Заражая исполняемый файл, вирус всегда изменяет его код, что помогает его обнаружить. При этом не обязательно вносятся изменения в размер (длину) файла, поскольку им используются неиспользуемые участки кода, а также не обязательно меняется начало файла.
Таким образом, при запуске любого файла, вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.
Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).
Механизм действия загрузочного вируса выглядит следующим образом.
При включении компьютера управление передается программе начальной загрузки, которая хранится в постоянном запоминающем устройстве (ПЗУ) компьютера. Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А.
Всякая дискета размечена на секторы и дорожки. Среди секторов есть несколько служебных, используемых для нужд операционной системы (в этих секторах не могут размещаться данные), в том числе и сектор начальной загрузки (boot-sector). В нем хранится информация о дискете - количество поверхностей, количество дорожек, количество секторов и пр.
Как только активный резидентный вирусом, действующий в «зараженном» компьютере, обнаружит, что в дисководе появилась не защищенная от записи дискета, он производит следующие действия:
выделяет некоторую область диска и помечает ее как недоступную операционной системе, например помечает занятые вирусом секторы как сбойные (bad);
копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор;
замещает программу начальной загрузки в загрузочном секторе (настоящем) дискеты;
передает управление операционной системе.
Таким образом, при последующем обращении к дискете на «незараженном» компьютере вирусная программа первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору.
Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков. В качестве примера данного вида вирусом, рассмотрим широко распространенный в последнее время загрузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а зашифровав половину жесткого диска, сообщает об этом пользователю. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию, или сделать новую запись в главный загрузочный сектор.