2017-10-25
772
Лекция 4
Защита информации от компьютерных вирусов - особая область исследований, которой занимаются специалисты-профессионалы.
Вредительские программы и прежде всего вирусы представляют серьезную опасность для информации в АС. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. Вредит использованию всех возможностей АС и чрезмерное преувеличение роли вирусов. Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и потерь от их воздействия.
Впервые термин компьютерный вирус ввел в употребление специалист из США Ф. Коэн в 1984 г. Малые размеры, способность быстро распространяться, размножаясь и внедряясь в объекты (заражая их), негативное воздействие на систему - все эти признаки биологических вирусов присущи и вредительским программам, получившим по этой причине название компьютерные вирусы. Вместе с термином «вирус» в вычислительной технике употребляются и другие медицинские термины: «заражение», «среда обитания», «профилактика» и др.
|
|
|
Компьютерным вирусом называют автономно функционирующую программу, обладающую одновременно тремя свойствами:
- способностью к включению своего кода в тела других файлови системных областей памяти компьютера;
- последующему самостоятельному выполнению;
- самостоятельному распространению в компьютерных системах.
Программной закладкой называют внешнюю или внутреннюю по отношению к атакуемой компьютерной системе программу, обладающую определенными разрушительными функциями по отношению к этой системе:
- уничтожение или внесение изменений в функционирование программного обеспечение КС, уничтожение или изменение обрабатываемых в ней данных после выполнения некоторого условия или получения некоторого сообщения извне КС («логические бомбы»);
- превышение полномочий пользователя с целью несанкционированного копирования конфиденциальной информации других пользователей КС или создания условий для такого копирования («троянские» программы);
- подмена отдельных функций подсистемы защиты КС или создание люков в ней для реализации угроз безопасности информации в КС (например, подмена средств шифрования путем эмуляции работы установленной в КС платы аппаратного шифрования);
- перехват паролей пользователей КС с помощью имитации приглашения к его вводу или перехват всего ввода пользователей с клавиатуры;
- перехват потока информации, передаваемой между объектами распределенной КС (мониторы);
|
|
|
- распространение в распределенных КС с целью реализации той или иной угрозы безопасности информации (компьютерные 
e черви, которые в отличие от компьютерных вирусов не должны обладать свойством включения своего кода в тела других файлов) и др.
Для отнесения конкретной программы к разряду программных закладок достаточно, чтобы данная программа обладала хотя бы одним из следующих свойств:
- скрытие признаков своего присутствия в КС («зачем Вы прячетесь -г ведь за Вами никто не гонится»);
- реализация самодублирования, ассоциации себя с другими объектами КС, перенос своего кода в не занимаемые ранее области оперативной или внешней памяти;
- искажение кода других программ в оперативной памяти компьютера;
- сохранение данных, размещенных в оперативной памяти, в других ее областях;
- искажение, блокировка, подмена сохраняемых (передаваемых) данных, полученных в результате работы других программ или уже находящихся во внешней памяти.
В соответствии с методами внедрения программных закладок в КС и возможным местам их размещения в системе закладки могут быть разделены на следующие группы:
- программные закладки, ассоциированные с BIOS;
- закладки, ассоциированные с программами начальной загрузки и загрузки операционной системы;
- закладки, ассоциированные с драйверами операционной системы и другими системными модулями;
- закладки, ассоциированные с прикладным программным обеспечением общего назначения (например, архиваторами);
- программные файлы, содержащие только код закладки и внедряемые с помощью пакетных командных файлов;
- закладки, маскируемые под прикладное программное обеспечение общего назначения;
- закладки, маскируемые под игровое и образовательное программное обеспечение (для облегчения их первоначального внедрения в КС).
Компьютерные вирусы классифицируются по следующим признакам.
1. По способу распространения в КС:
- файловые вирусы, заражающие файлы одного или нескольких типов;
- загрузочные вирусы, заражающие загрузочные сектора жестких дисков и дискет;
- комбинированные вирусы, способные заражать и файлы, и загрузочные сектора дисков.
2. По способу заражения других Объектов КС:
- резидентные вирусы, часть кода которых постоянно находится в оперативной памяти компьютера и заражает другие объекты КС;
- нерезидентные вирусы, которые заражают другие объекты КС в момент открытия уже зараженных ими объектов.
3. По деструктивным возможностям:
- безвредные вирусы, созданные в целях обучения, однако снижающие эффективность работы КС за счет потребления ее ресурсов (времени работы центрального процессора, оперативной и внешней памяти и др.);
- неопасные вирусы, создающие различные звуковые и видеоэффекты;
- опасные и очень опасные вирусы, вызывающие сбои в работе программного и (или) аппаратного обеспечения компьютера, потерю программ и данных, а потенциально - вывод из строя аппаратуры КС и нанесение вреда здоровью пользователей (с помощью, например, эффекта двадцать пятого кадра).
4. По особенностям реализуемого алгоритма:
- вирусы-спутники, создающие для заражаемых файлов одноименные файлы с кодом вируса и переименовывающие исходные файлы (при открытии зараженного файла фактически открывается файл с кодом вируса, в котором после выполнения предусмотренных автором действий открывается исходный файл);
- паразитические вирусы, которые обязательно изменяют содержимое заражаемых объектов;
- вирусы-невидимки («стелс»-вирусы), в которых путем перехвата обращений операционной системы к зараженным объектам и возврата вместо них оригинальных незараженных данных скрывается факт присутствия вируса в КС (при собственном обращении к дисковой памяти вирусы-невидимки также используют нестандартные средства для обхода средств антивирусной защиты);
|
|
|
- вирусы-призраки (полиморфные вирусы), каждая следующая копия которых в зараженных объектах отличается от предыдущих (не содержит одинаковых цепочек команд за счет применения шифрования на различных ключах базового кода вируса).
5. По наличию дополнительных возможностей:
- по обработке атрибута «только чтение» заражаемых файлов;
- сохранению времени последнего изменения зараженного файла;
- обработке прерывания, вызванного неисправимой ошибкой устройства ввода-вывода (например, для подавления сообщения операционной системы об ошибке при попытке заражения объекта на защищенном от записи устройстве или объекта, доступ к которому по записи для текущего пользователя запрещен; вывод подобного сообщения может обнаружить присутствие вируса в КС);
- распространению в КС не только при открытии уже зараженного объекта, но и при выполнении любой операции с ним.
Кто и почему пишет компьютерные вирусы? Одной из главных причин, безусловно, является наличие достаточного количества квалифицированных программистов, обладающих избытком свободного времени и не отягощенных морально-этическими нормами. Развитие рынка информационных технологий в конкретном государстве или регионе, очевидно, должно способствовать сокращению в нем количества потенциальных авторов вирусов, поскольку облегчает получение ими хорошо оплачиваемой работы и уменьшает их время досуга.
Другая причина появления компьютерных вирусов и вредоносных программ вообще является гораздо более серьезной и объективно постоянной. Разработка, внедрение и распространение вредоносных программ стало неотъемлемой частью современного информационного оружия, которое, в свою очередь, явилось порождением различных информационных войн между конкурирующими государствами, коммерческими организациями, общественно-политическими группами и т. п. Очевидно, что эти причины появления вредоносных программ будут иметь место на протяжении весьма длительного периода времени.
