Проблема контроля целостности самой контролирующей программы
Другая проблема реализации механизмов контроля целостности состоит в следующем - если контроль целостности реализуется программно, то возникает вопрос контроля целостности и корректности функционирования собственно контролирующей программы (можно же исполняемый файл данной программы модифицировать первым).
Естественно, что для решения данной задачи в общем случае необходимо осуществление контроля каким-либо внешним средством — аппаратной компонентой. Такой подход, например, используется в некоторых вариантах реализации аппаратной системы защиты «Электронный замок». Здесь платой контролируется целостность файлов еще до загрузки системы — загрузка системы (как следствие, системы защиты) при этом разрешается только в эталонном виде.
Однако это лишь частичное решение проблемы, т.к. остается задача контроля в процессе функционирования системы, которая вновь возлагается на программное средство. При этом опять же контролирующая программа может быть модифицирована, например, остановлено ее выполнение.
|
|
Для решения данной задачи может рассматриваться следующий альтернативный подход — контроль целостности возлагается на программную компоненту, аппаратная же компонента системы защиты обеспечивает корректное выполнение контролирующей программы. Данный подход позволяет решать задачу контроля в течение всего времени функционирования системы, предотвращая при этом возможность некорректного функционирования контролирующей программы, т.е. решать задачу в общем случае.
Защита от компьютерных вирусов и других программных действий и изменений – самостоятельное направление защиты процессов переработки информации в КС. Недооценка этой безопасности может иметь серьезные поледствия для информации пользователя.
Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и потерь от их воздействия.
«Компьютерные вирусы» - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в КС. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в КС. В процессе распространения вирусы могут себя модифицировать.
В настоящее время в мире существует несколько десятков тысяч зарегистрированных компьютерных вирусов.
Все компьютерные вирусы классифицируются по следующим признакам:
1. По среде обитания:
- Сетевые. Их средой обитания являются элементы компьютерных сетей.
|
|
- Файловые. Размещаются в исполняемых файлах.
- Загрузочные. Находятся в загрузочных секторах внешних запоминающих устройств (boot-секторах). Иногда их называют boot-ами.
- Комбинированные. Размещаются в нескольких средах обитания. Например, загрузочно-файловые вирусы размещаются как загрузочных секторах накопителей на магнитных дисках, так и в теле загрузочных файлов.
2. По способу заражения:
- Резидентные вирусы. После их активизации полностью или частично перемещаются из среды обитания (сети, загрузочные сектора, файлы) в оперативную память компьютера. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешённые только операционной системе, заражают среду обитания и при выполнении определённых условий реализуют деструктивную функцию.
- Нерезидентные вирусы. Попадают в оперативную память компьютера только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем они полностью покидают оперативную память, оставаясь в среде обитания.
Если вирус попадает в оперативную память программы, которая не заражает среду обитания, то он нерезидентный.
Арсенал вредительских возможностей компьютерных вирусов весьма обширен. Вредительские возможности вирусов зависят от целей и квалификации их создателя, а также от особенностей компьютерных систем.
3. По степени опасности деструктивных (вредительских) воздействий на информационные ресурсы и пользователя:
- Безвредные вирусы. Создаются авторами, которые не ставят себе цели нанести какой-либо ущерб ресурсам КС. Ими движет желание показать свои способности программиста. Создание компьютерных вирусов для таких людей – своеобразная попытка самоутвердиться. Их вредительское воздействие сводится к выводу на экран монитора невинных текстов и картинок, исполнению музыкальных фрагментов и т. п.
Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб КС. Во-первых, такие вирусы расходуют ресурсы КС, в той или иной мере снижая ее эффективность функционирования. Во-вторых, компьютерные вирусы могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы.
- Опасные вирусы. Вызывают существенное снижение эффективности КС, но не приводят к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов.
Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т. п.
- Очень опасные вирусы. Это вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т. п.
Одни авторы предполагают, что на резонансной частоте движущиеся части электромеханических устройств, например, в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и может быть создан с помощью программы-вируса.
Другие авторы утверждают, что возможно задание режимов интенсивного использования отдельных электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя.
|
|
Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных запоминающих устройств.
Возможно также воздействие на психику человека–оператора ЭВМ с помощью подбора видеоизображения, выдаваемого на экран монитора с определенной частотой (каждый двадцать пятый кадр). Встроенные кадры этой видеоинформации воспринимаются человеком на подсознательном уровне. В результате такого воздействия возможно нанесение серьезного ущерба психике человека.
4. По алгоритму функционирования:
- Не изменяющие среду обитания при их распространении;
- Изменяющие среду обитания при их распространении.
В свою очередь, вирусы, не изменяющие среду обитания, могут быть разделены на две группы:
· Вирусы-"спутники" не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Например, в MS-DOS такие вирусы создают копии для файлов, имеющих расширение.ЕХЕ. Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на.СОМ. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением.СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением.ЕХЕ.
· Вирусы-"черви" попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-"черви" создают рабочие копии вируса на диске, другие - размещаются только в оперативной памяти ЭВМ.
По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, делятся на:
- Студенческие. К ним относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.
|
|
- "Стелс" - вирусы (вирусы-невидимки). Маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации.
Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы ОС, обрабатывающие эти прерывания. "Стелс"-вирусы обладают способностью противодействовать резидентным антивирусным средствам.
- Полиморфные. Не имеют постоянных опознавательных групп - сигнатур. Обычные вирусы для распознавания факта заражения среды обитания размещают в зараженном объекте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора.
Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.
"Стелc"-вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.