МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ПРОГРАММ ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ

обладающая способностью к самостоятельному внедрению в тела других программ и

последующему самовоспроизведению и самораспространению в информационно-вычислительных сетях и отдельных ЭВМ.

ОБЩАЯ ХАРАКТЕРИСТИКА И КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ

содержат скрытые последовательности команд(модули), выполняющие действия, наносящие вред пользователям.
Наиболее распространенной

разновидностью троянских программ являются широко известные программы массового применения (редакторы, игры, трансляторы и т.д.), в которые встроены «логические бомбы», срабатывающие по наступлении некоторого события.
Троянские программы не являются саморазмножающимися.

ОБЩАЯ ХАРАКТЕРИСТИКА И КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ

вирус после его активизации существует самостоятельно (автономно) и в процессе

своего функционирования заражает (инфицирует) программы путем включения (имплантации) в них своего текста. Таким образом, компьютерный вирус можно рассматривать как своеобразный «генератор троянских программ». Программы, зараженные вирусом, называются вирусоносителями.

ОБЩАЯ ХАРАКТЕРИСТИКА И КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ

управление раньше самой программы. Для этого он либо встраивается в

начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.

ОБЩАЯ ХАРАКТЕРИСТИКА И КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ

одной машины в память другой, причем в качестве средства перемещения

этих программ могут использоваться как носители информации (дискеты, CD-ROM, CD-RW, флэш-память и т.п.), так и каналы вычислительных сетей.
Вирусы, использующие для размножения сетевые средства, принято называть сетевыми.

ОБЩАЯ ХАРАКТЕРИСТИКА И КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ

следующие периоды:
внедрение
инкубационный
репликации (саморазмножения)
проявления

В течение инкубационного периода вирус пассивен,

что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на магнитных носителях.

Цикл жизни вируса

проста. Он
состоит из головы и, возможно, хвоста.

Под головой вируса

понимается его компонента, получающая управление первой.
Хвост - это часть вируса, расположенная в тексте зараженной программы отдельно от головы.

Вирусы, состоящие из одной головы, называют несегментированными,
тогда как вирусы, содержащие голову и хвост - сегментированными.

Физическая структура компьютерного вируса

функционирования:
резидентные вирусы - вирусы, которые после активизации постоянно находятся в

оперативной памяти компьютера и контролируют доступ к его ресурсам
транзитные вирусы - вирусы, которые выполняются только в момент запуска зараженной программы

II. По объекту внедрения:
файловые вирусы - вирусы, заражающие файлы с программами
загрузочные (бутовые) вирусы - вирусы, заражающие программы, хранящиеся в системных областях дисков

на вирусы, заражающие:
исполняемые файлы
командные файлы и файлы конфигурации
составляемые на макроязыках

программирования, или файлы, содержащие макросы (макровирусы)
файлы с драйверами устройств
файлы с библиотеками исходных, объектных, загрузочных модулей

Загрузочные вирусы подразделяются на вирусы, заражающие:
системный загрузчик, расположенный в загрузочном секторе дискет и логических дисков
внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков

и способу маскировки:
вирусы, не использующие средств маскировки
stealth-вирусы - вирусы, пытающиеся

быть невидимыми на основе контроля доступа к зараженным элементам данных
вирусы-мутанты (MtE-вирусы) - вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса

В свою очередь, MtE-вирусы делятся на:
обычные вирусы-мутанты, в разных копиях которых различаются только зашифрованные тела, а дешифрованные тела вирусов совпадают
полиморфные вирусы, в разных копиях которых различаются не только зашифрованные тела, но и их дешифрованные тела

КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
Файловый транзитный вирус целиком размещается в исполняемом файле,

в связи с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.

КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
Файловый резидентный вирус отличается от нерезидентного логической структурой

и общим алгоритмом функционирования.
Резидентный вирус состоит из инсталлятора и программ обработки прерываний.
Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая подпрограмма вируса.
В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования, резидентные вирусы могут реализовывать самые разные способы инфицирования.

КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
Наиболее распространенными способами являются инфицирование запускаемых программ, а

также файлов при их открытии или чтении. Отличительной особенностью последних является инфицирование загрузочного сектора (бут-сектора) магнитного носителя.
Голова бутового вируса всегда находится в бут-секторе (единственном для гибких дисков и одном из двух - для жестких), а хвост - в любой другой области носителя. Наиболее безопасным для вируса способом считается размещение хвоста в так называемых псевдосбойных кластерах, логически исключенных из числа доступных для использования. Существенно, что хвост бутового вируса всегда содержит копию оригинального (исходного) бут-сектора.

Механизм инфицирования, реализуемый бутовыми вирусами, например следующий:
При загрузке операционной системы с инфицированного диска вирус, в силу своего положения на нем (независимо от того, с дискеты или с винчестера производится загрузка), получает управление и копирует себя в оперативную память. Затем он модифицирует вектор прерываний таким образом, чтобы прерывание по обращению к диску обрабатывались собственным обработчиком прерываний вируса, и запускает загрузчик операционной системы.

Благодаря перехвату прерываний бутовые вирусы могут реализовывать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.

КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
Stealth-вирусы пользуются слабой защищенностью некоторых операционных систем и

заменяют некоторые их компоненты (драйверы дисков) таким образом, что вирус становится невидимым (прозрачным) для других программ.

КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
Полиморфные вирусы содержат алгоритм порождения дешифрованных тел вирусов,

непохожих друг на друга.
При этом в алгоритмах дешифрования могут встречаться обращения практически ко всем командам процессора Intel и даже использоваться некоторые специфические особенности его реального режима функционирования.

КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
Макровирусы распространяются под управлением прикладных программ, что делает

их независимыми от операционной системы.

Подавляющее число макровирусов функционируют под управлением системы Microsoft Word for Windows.

В то же время, известны макровирусы, работающие под управлением таких приложений как Microsoft Exel for Windows, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes, в операционных системах фирм Microsoft и Apple.

КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
Сетевые вирусы, называемые также автономными репликативными программами, или,

для краткости, репликаторами, используют для размножения средства сетевых операционных систем. Наиболее просто реализуется размножение в тех случаях, когда сетевыми протоколами предусмотрен обмен программами. Однако, размножение возможно и в тех случаях, когда протоколы ориентированы только на обмен сообщениями.

Классическим примером реализации процесса размножения с использованием только стандартных средств электронной почты является уже упоминаемый репликатор Морриса. Текст репликатора передается от одной ЭВМ к другой как обычное сообщение, постепенно заполняющее буфер, выделенный в оперативной памяти ЭВМ-адресата. В результате переполнения буфера, инициированного передачей, адрес возврата в программу, вызвавшую программу приема сообщения, замещается на адрес самого буфера, где к моменту возврата уже находится текст вируса.

Тем самым вирус получает управление и начинает функционировать на ЭВМ-адресате.

КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
«Лазейки», подобные описанной на предыдущем слайде и обусловленные

особенностями реализации тех или иных функций в программном обеспечении, являются объективной предпосылкой для создания и внедрения репликаторов злоумышленниками.

Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие группы:
искажение информации в файлах, либо в таблице размещения файлов (FAT-таблице), которое может привести к разрушению файловой системы в целом
имитация сбоев аппаратных средств
создание звуковых и визуальных эффектов, включая, например, отображение сообщений, вводящих оператора в заблуждение или затрудняющих его работу
инициирование ошибок в программах пользователей или операционной системе

вирусов являются антивирусные программы (антивирусы).

Антивирусы принято делить на следующие группы:
детекторы
фаги
вакцины
прививки
ревизоры
мониторы

просмотра исполняемых файлов и поиска так называемых сигнатур – устойчивых

последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом.

Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.

но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» вирусов из

их тел.

По аналогии с полидетекторами, фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.

фагов, вакцины по своему принципу действия подобны вирусам. Вакцина имплантируется

в защищаемую программу и запоминает ряд количественных и структурных характеристик последней.

Характеристиками, используемыми вакцинами, могут быть длина программы, ее контрольная сумма и т.д.

учете того обстоятельства, что любой вирус, как правило, помечает инфицируемые

программы каким-либо признаком с тем, чтобы не выполнять их повторное заражение.

Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который, таким образом, после активизации и проверки наличия указанного признака, считает ее инфицированной и «оставляет в покое».

файловой системы, используя для этого подход, аналогичный реализованному в вакцинах.

Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняемому файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов.

Характеристики исполняемых файлов, получаемые в ходе просмотра, запоминаются в отдельном файле (файлах), в связи с чем, увеличение длин исполняемых файлов, имеющего место при вакцинации, в данном случае не происходит.

Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизором требует его повторного запуска.

обеспечивающую перехват потенциально опасных прерываний, характерных для вирусов, и запрашивающую

у пользователей подтверждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блокирует выполнение пользовательской программы.

рассматривать в общем контексте проблемы защиты информации от несанкционированного доступа

и технологической и эксплуатационной безопасности ПО в целом.

Основной принцип, который должен быть положен в основу разработки технологии защиты от вирусов, состоит в создании многоуровневой распределенной системы защиты, включающей:
регламентацию проведения работ на ПЭВМ
применение программных средств защиты
использование специальных аппаратных средств защиты

При этом количество уровней защиты зависит от ценности информации, которая обрабатывается на ПЭВМ.

Заключается в копировании системных областей магнитных дисков и ежедневном ведении

архивов измененных файлов.

Архивирование является одним из основных методов защиты от вирусов.

Остальные методы защиты дополняют его, но не могут заменить полностью.

контроль. Проверка всех поступающих программ детекторами, а также проверка длин

и контрольных сумм вновь поступающих программ на соответствие значениям, указанным в документации. Большинство известных файловых и бутовых вирусов можно выявить на этапе входного контроля. Для этой цели используется батарея детекторов (несколько последовательно запускаемых программ). Набор детекторов достаточно широк, и постоянно пополняется по мере появления новых вирусов. Однако при этом могут быть обнаружены не все вирусы, а только распознаваемые детектором. Следующим элементом входного контроля является контекстный поиск в файлах слов и сообщений, которые могут принадлежать вирусу (например, Virus, COMMAND.COM, Kill и т.д.). Подозрительным является отсутствие в последних 2-3 килобайтах файла текстовых строк - это может быть признаком вируса, который шифрует свое тело.

Входной контроль может быть выполнен с помощью специальной программы, которая работает с базой данных «подозрительных» слов и сообщений, и формирует список файлов для дальнейшего анализа. После проведенного анализа новые программы рекомендуется несколько дней эксплуатировать в карантинном режиме.

При этом целесообразно использовать ускорение календаря, т.е. изменять текущую дату при повторных запусках программы. Это позволяет обнаружить вирусы, срабатывающие в определенные дни недели (пятница, 13 число месяца, воскресенье и т.д.).

Для профилактики заражения необходимо организовать раздельное хранение (на разных магнитных

носителях) вновь поступающих и ранее эксплуатировавшихся программ, минимизация периодов доступности дискет для записи, разделение общих магнитных носителей между конкретными пользователями.

Анализ вновь полученных программ специальными средствами (детекторами), контроль целостности перед

считыванием информации, а также периодический контроль состояния системных файлов.

Каждая новая программа проверяется на известные типы вирусов в течение

определенного промежутка времени. Для этой цели используется машина, отключенная от локальной сети и не содержащая особо ценной информации.

Предполагает разбиение магнитного диска на ряд логических томов (разделов), часть

из которых имеет статус READ_ONLY (только чтение). В данных разделах хранятся выполняемые программы и системные файлы.
Базы данных должны храниться в других секторах, отдельно от выполняемых программ.
Важным профилактическим средством в борьбе с файловыми вирусами является исключение значительной части загрузочных модулей из сферы их досягаемости. Этот метод называется сегментацией и основан на разделении магнитного диска (винчестера) с помощью специального драйвера, обеспечивающего присвоение отдельным логическим томам атрибута READ_ONLY (только чтение), а также поддерживающего схемы парольного доступа. При этом в защищенные от записи разделы помещаются исполняемые программы и системные утилиты, а также системы управления базами данных и трансляторы, т.е. компоненты ПО, наиболее подверженные опасности заражения.

Заключается в использовании программ - сторожей, для обнаружения попыток выполнить

несанкционированные действия.

Специальная обработка файлов и дисков, имитирующая сочетание условий, которые используются

некоторым типом вируса для определения, заражена программа или нет.

целостности. Заключается в использовании специальных алгоритмов, позволяющих после запуска программы

определить, были ли внесены изменения в ее файл.

Предполагает дезактивацию конкретного вируса в зараженных программах специальными программами (фагами).

Программы-фаги «выкусывают» вирус из зараженной программы и пытаются восстановить ее код в исходное состояние (состояние до момента заражения).

В общем случае технологическая схема защиты может состоять из следующих этапов:
входной контроль новых программ
сегментация информации на магнитном диске
защита операционной системы от заражения
систематический контроль целостности информации

стремиться обеспечить глобальную защиту всех файлов, имеющихся на диске. Это

существенно затрудняет работу, снижает производительность системы и, в конечном счете, ухудшает защиту из-за частой работы в открытом режиме. Анализ показывает, что только 20-30% файлов должно быть защищено от записи.

При защите операционной системы от вирусов необходимо правильное размещение ее и ряда утилит, которое может гарантировать, что после начальной загрузки операционная система еще не заражена резидентным файловым вирусом. Это обеспечивается при размещении командного процессора на защищенном от записи диске, с которого после начальной загрузки выполняется копирование на виртуальный (электронный) диск. В этом случае при вирусной атаке будет заражен дубль командного процессора на виртуальном диске. При повторной загрузке информация на виртуальном диске уничтожается, поэтому распространение вируса через командный процессор становится невозможным.

системы может применяться нестандартный командный процессор (например, командный процессор 4DOS,

разработанный фирмой J.P.Software), который более устойчив к заражению. Размещение рабочей копии командного процессора на виртуальном диске позволяет использовать его в качестве программы-ловушки. Для этого может использоваться специальная программа, которая периодически контролирует целостность командного процессора, и информирует о ее нарушении. Это позволяет организовать раннее обнаружение факта вирусной атаки.

В качестве альтернативы MS DOS было разработано несколько операционных систем, которые являются более устойчивыми к заражению. Из них следует отметить DR DOS и Hi DOS. Любая из этих систем более «вирусоустойчива», чем MS DOS. При этом, чем сложнее и опаснее вирус, тем меньше вероятность, что он будет работать на альтернативной операционной системе.

Эффективная защита может быть обеспечена при комплексном использовании различных средств в рамках единой операционной среды. Для этого необходимо разработать интегрированный программный комплекс, поддерживающий рассмотренную технологию защиты.

детекторов. Детекторы, включенные в семейство, должны запускаться из операционной среды

комплекса. При этом должна быть обеспечена возможность подключения к семейству новых детекторов, а также указание параметров их запуска. С помощью данной компоненты может быть организована проверка ПО на этапе входного контроля.

Программа-ловушка вирусов. Данная программа порождается в процессе функционирования комплекса, т.е. не хранится на диске, поэтому оригинал не может быть заражен. В процессе тестирования ПЭВМ программа-ловушка неоднократно выполняется, изменяя при этом текущую дату и время (организует ускоренный календарь). Наряду с этим программа-ловушка при каждом запуске контролирует свою целостность (размер, контрольную сумму, дату и время создания). В случае обнаружения заражения программный комплекс переходит в режим анализа зараженной программы-ловушки и пытается определить тип вируса.

вакцинации. Предназначена для изменения среды функционирования вирусов таким образом, чтобы

они теряли способность к размножению. Известно, что ряд вирусов помечает зараженные файлы для предотвращения повторного заражения. Используя это свойство возможно создание программы, которая обрабатывала бы файлы таким образом, чтобы вирус считал, что они уже заражены.

База данных о вирусах и их характеристиках. Предполагается, что в базе данных будет храниться информация о существующих вирусах, их особенностях и сигнатурах, а также рекомендуемая стратегия лечения. Информация из БД может использоваться при анализе зараженной программы-ловушки, а также на этапе входного контроля ПО. Кроме того, на основе информации, хранящейся в БД, можно выработать рекомендации по использованию наиболее эффективных детекторов и фагов для лечения от конкретного типа вируса.

защиты. Эти средства могут резидентно разместиться в памяти и постоянно

контролировать целостность системных файлов и командного процессора. Проверка может выполняться по прерываниям от таймера или при выполнении операций чтения и записи в файл.