Studopediya

КАТЕГОРИЯ:


Астрономия- (809) Биология- (7483) Биотехнологии- (1457) Военное дело- (14632) Высокие технологии- (1363) География- (913) Геология- (1438) Государство- (451) Демография- (1065) Дом- (47672) Журналистика и СМИ- (912) Изобретательство- (14524) Иностранные языки- (4268) Информатика- (17799) Искусство- (1338) История- (13644) Компьютеры- (11121) Косметика- (55) Кулинария- (373) Культура- (8427) Лингвистика- (374) Литература- (1642) Маркетинг- (23702) Математика- (16968) Машиностроение- (1700) Медицина- (12668) Менеджмент- (24684) Механика- (15423) Науковедение- (506) Образование- (11852) Охрана труда- (3308) Педагогика- (5571) Полиграфия- (1312) Политика- (7869) Право- (5454) Приборостроение- (1369) Программирование- (2801) Производство- (97182) Промышленность- (8706) Психология- (18388) Религия- (3217) Связь- (10668) Сельское хозяйство- (299) Социология- (6455) Спорт- (42831) Строительство- (4793) Торговля- (5050) Транспорт- (2929) Туризм- (1568) Физика- (3942) Философия- (17015) Финансы- (26596) Химия- (22929) Экология- (12095) Экономика- (9961) Электроника- (8441) Электротехника- (4623) Энергетика- (12629) Юриспруденция- (1492) Ядерная техника- (1748) Arhitektura- (3434) Astronomiya- (809) Biologiya- (7483) Biotehnologii- (1457) Военни бизнесмен (14632) Висока technologies- (1363) Geografiya- (913) Geologiya- (1438) на държавата (451) Demografiya- ( 1065) Къща- (47672) журналистика и смирен (912) Izobretatelstvo- (14524) външен >(4268) Informatika- (17799) Iskusstvo- (1338) историята е (13644) Компютри- (11,121) Kosmetika- (55) Kulinariya- (373) културата е (8427) Lingvistika- (374) Literatura- (1642) маркетинг-(23702) математиците на (16968) Механична инженерно (1700) медицина-(12668) Management- (24684) Mehanika- (15423) Naukovedenie- (506) образователна (11852) truda- сигурност (3308) Pedagogika- (5571) Poligrafiya- (1312) Politika- (7869) Лево- (5454) Priborostroenie- (1369) Programmirovanie- (2801) производствено (97 182 ) индустрия- (8706) Psihologiya- (18388) Religiya- (3217) Svyaz (10668) Agriculture- (299) Sotsiologiya- (6455) на (42831) спортист строително (4793) Torgovlya- (5050) транспорт ( 2929) Turizm- (1568) физик (3942) Filosofiya- (17015) Finansy- (26596) химия (22929) Ekologiya- (12095) Ekonomika- (9961) Electronics- (8441) Elektrotehnika- (4623) Мощност инженерно ( 12629) Yurisprudentsiya- (1492) ядрена technics- (1748)

Жизненият цикъл на вируси

Компютърните вируси. Основни понятия и класификация.

Образователна подкрепа материал

Комплект пързалки за лекционни материали.

Организационни насоки

В уводната част си припомним основните въпроси, обсъждани в "науката" дисциплини "Основи на сигурността на информацията". Новият, предложен за изследване на материал е свързан с предишния дисциплини материал.

Основната част от лекцията се провежда в стандартен формат, представянето на материал е придружен от кратко обяснение и демонстрация на плакати или слайдове. Представянето на образователни материали за всеки въпрос трябва да завършва с кратко заключение и неясен отговор на въпроса.

В заключителната част на лекцията на заключенията изучават в клас материал, в отговор на неяснотите и да контролира усвояването на учебния материал се извършва проучване на отделните ученици.

Завършва окупация привеждане литература за самостоятелна работа по темата и повикаха темата на следващата сесия.

Компютърен вирус - уникален феномен, който се появи в развитието на компютърните технологии и информационни технологии. Същността на този феномен се крие във факта, че вирусите на програмата имат някои свойства, присъщи на живите организми - те са родени, възпроизвежда и да умре. Терминът "компютърен вирус" е използван за първи път през 1984 г. 7-ма конференция по сигурността на информацията, съхранявана в САЩ. Този термин е обявен за опасен част от кода.

Компютърните вируси вече са в състояние да правите почти всичко, същата като истински вируси: да се движат от един обект към друг, промяна на методите за атака и мутира, за да се промъкне покрай изложени защитна кордон срещу тях. Прониквайки в информационната система, компютърен вирус може да бъде ограничено до безвредни визуални или звукови ефекти, но може да причини загуба или повреда на данни, изтичане на лична и поверителна информация. В най-лошия случай, информационната система, честотата на вируса, ще бъде изцяло под контрола на нападателя. Днес, компютри разчитат на решение на много критични задачи. Ето защо, провала на информационни системи може да има много сериозни последици, до човешки жертви.

Както във всяка година се повтарят историята, когато епидемиологични центрове трябва да се досетите от различни грипни вируси ваксини трябва да бъдат получени по средата на зимата, появата на нови вируси и техните доставчици на "лечение" антивирусни решения споделят определен интервал от време. Ето защо, организации и потребители трябва да знаят какво се случва, когато един нов, неизвестен вирус навлиза в корпоративната мрежа и персоналния компютър по-бързо, антивирусно решение е в състояние да осигури помощ, и как да се предотврати разпространението на компютърен вирус.



Има много определения компютър вирус. Исторически погледнато, първото определение е дадено през 1984 г.: "А компютърен вирус - една програма, която може да зарази други програми, като им модифициране чрез включването им в своите евентуално модифицирани копия, последната запазва възможността за по-нататъшно размножаване." Ключовите понятия в това определение на компютърен вирус е способността на вируса да се самостоятелно размножаване и способността за промяна на изчислителната процес. Тези свойства са подобни на компютърен вирус паразитни биологичен вирус в природата. Тъй като сериозността на проблема от вируси е увеличил - от края на XX век в света има повече от 14300 вируси модификации. Разнообразие от вируси е толкова голяма, че е невъзможно да се уточни достатъчно условие (да се изброят набор от функции, при които програмата може да бъде еднозначно дължи на вируса) - програмата ще бъде винаги с тези функции, които не са вируси [35].

В момента, под компютър вирус направени да се разбере кода, със следните свойства:

1. възможността за създаване на копия от себе си, не е задължително да съвпада с оригинала, но като свойствата на оригиналния (самостоятелно възпроизвеждане).

2. Наличието на механизъм, който да гарантира изпълнението на копия в изпълними обекти на компютърната система.

Трябва да се отбележи, че тези имоти са необходими, но не достатъчни. Тези свойства трябва да бъдат допълнени и стелт свойства разрушителните действия на зловреден софтуер в компютърната среда.

Класификация на компютърни вируси

Към днешна дата, десетки хиляди известни компютърни вируси. Въпреки това изобилие от няколко вида на вируса, различаващи се механизъм за разпространение, и принцип на действие се ограничава достатъчно. Има се комбинират и вируси, които могат да бъдат приписани на няколко типа едновременно. Вирусите могат да бъдат разделени на групи в зависимост от следните основни характеристики [35.85]

- Habitat;

- Операционната система (OS);

- Характеристики на алгоритъма;

- Разрушителните възможности.

Основната и най-общата класификация на компютърни вируси е класирането за околната среда, или, с други думи, чрез компютърна система тип обект, в който се въвеждат вируси (фиг. 1). Както вируси местообитания могат да се разделят на:

- File;

- Зареждане;

- Macro;

- Network.

Файлови вируси или заразяват изпълними файлове (най-често срещаният тип на вируси) по различни начини, или създават фантоми файлове (компаньони вируси), или да използвате възможностите на организацията на файловата система (линк вируси).

Boot вируси се пишат или да сектора за начално зареждане на диск (обувка-сектор), или да се сектор на твърдия диск, съдържащ зареждане на ОС (магистър Boot Record). Boot вируси замества кода на програмата, която получава контрол, когато системата ботуши. В резултат на това при рестартирането на контрола се предава вируса. В същото време на първоначалното зареждане сектор обикновено се понася по друг sekgor диск. Понякога вируси обувка се наричат ​​вируси Бутово.

Фиг. 1. Класификация на компютърни вируси върху местообитанието

Макро вирусите заразяват файлове с документи и макро модерен начин на обработка на информация, като например файлове, документи и електронни таблици редактори популярната Microsoft Word, Microsoft Excel и др. За да използвате макро репродуктивни способности макро езици и с тяхна помощ трансфер се от един заразен файл към друг. Вирусите на този вид контрол се получават при отваряне на заразен файл и зарази файлове, впоследствие се осъществява достъп от съответния офис приложения.

Мрежови вируси използват за разпространение на протоколите или командите на компютърни мрежи и електронна поща. Понякога, мрежови вируси, наречени програми тип "червей". Мрежовите червеи са разделени в Интернет червеи (разпространени по интернет), LAN-червеи (разпределено през локална мрежа), IRC-червеи (Internet Relay Chat - разпространяват чрез чат стаи). Има и смесени видове, които комбинират няколко технологии.

Има много видове комбинирани компютърни вируси, като например мрежата е известно, макро-вирус, който заразява редактираните документи и изпраща копия от себе си, за да електронна поща. Като друг пример, комбинираният тип вируси могат да посочите файл-обувка вируси, които инфектират файлове, така и на секторите за начално стартиране. Такива вируси са сложни алгоритъма на първоначалното проникване и методите, използвани в системата.

Друг знак за разделение по класове на компютърни вируси е операционната система, която обектите са изложени на инфекция. Всеки файл или мрежа вирус заразява файлове на всеки един или повече от операционната система - DOS, Windows 95/98, Windows NT / 2000, и т.н. Макро вирусите заразяват файлови формати Word, Excel и други приложения на Microsoft офис пакет. В някои места формати система за данни, за да стартират сектори и целеви вирус.

Естествено, тази схема класификация не е уникална, има много различни схеми пише вируси. Въпреки това, за да се ограничаваме класификация на компютърни вируси върху околната среда, тъй като тя е в основата и пристъпва към разглеждане на общите принципи на функциониране на вируса. Анализ на основните етапи на "жизнения цикъл" на тези зловреден софтуер позволява да се разпределят техните различни характеристики и функции, които могат да бъдат основа за допълнителни класификации.

Както при всяка програма, от компютърни вируси могат да бъдат разделени на две основни етапи от жизнения цикъл - съхранение и изпълнение.

Етап на съхранение съответства на периода, когато вирусът е просто съхранява заедно с обекта, към който е вграден в диска. На този етап, вирусът е най-уязвими от антивирусен софтуер, тъй като тя не е активна и не може да се контролира от операционната система, с цел самозащита.

Някои вируси, използвани в този етап на механизмите на защита откриване код. Най-честият начин на защита е да криптира-голямата част от тялото на вируса. Неговата употреба във връзка с механизмите код мутация (това е обсъдено по-долу) прави невъзможно за разпределение на подписи - устойчиви характерни фрагменти от вирусен код.

Стъпка изпълнение на компютърни вируси обикновено включва пет фази:

1. Свалете вируса в паметта.

2. Търсене на жертвата.

3. Инфекция намери жертвата.

4. Изпълнение на деструктивни функции.

5. Прехвърлянето на контрола на програмата гостоприемник на вируса.

Помислете за тези стъпки детайл [35, 70].

Изтегляне на вируса. Изтегляне на вируса в памет от операционната система като в същото време свалянето на изпълнимия файл, в който е вграден вируса. Например, ако потребителят работи за изпълнението на програмния файл, който съдържа вируса, ясно е, че кодът на вируса се зарежда в паметта, като част от файла. В най-простия случай, процесът на зареждане на вируса не е нищо повече от копиране от диска в паметта, понякога придружени от настройката на адреси, и след това, контрол код предаването на тялото на вируса на. Тези действия се извършват от операционната система, но самия вирус е пасивно. В по-сложни ситуации, вирусът може след получаване на контрол за извършване на допълнителни стъпки, които са необходими за нейното функциониране. В тази връзка, ние считаме, два аспекта.

Първото се отнася до сложността на процедурата за максимален откриване на вируси. За да се гарантира защитата на крачка съхранение, някои вируси използват доста сложни алгоритми. Тези усложнения могат да включват кодиране на основното тяло на вируса. Въпреки това, използването на криптиране е само палиативно, като трябва да се поддържа отворен като част от вируса, вирусът, който предвижда етапа на изтегляне декриптиране. За да се избегне тази ситуация, разработчиците използват механизмите на декриптиране код вируси "мутации". Същността на този метод се състои в това, че въвеждането на обекта на вирусните копия от код, свързани с декриптиране е модифициран така, че текстовите разлики с оригинала, но резултатите остават непроменени. които обикновено се използват следните техники за промяна на код:

- Промяна на реда на независими инструкции;

- Подмяна на някои инструкции в еквивалент в зависимост от резултата от работата;

- Подмяна на регистрите, използвани в инструкциите на другия;

- Въвеждането на произволни инструкции zashumlyayuschih.

Вирусите, които използват подобни механизми на код мутация се наричат ​​полиморфни вируси. При споделяне механизми криптиране и мутации на въведените копие на вируса ще бъде различен от оригинала, като една част от него ще се промени, а другият ще бъдат криптирани на ключ, генериран изключително за тази копие на вируса. Това значително усложнява откриването на вируса в компютърната система.

Полиморфни вируси (полиморфна) - това е трудно да се открие вируси, които нямат подпис, тоест, те не съдържат постоянни кодови блокове. В повечето случаи, две проби от същото полиморфен вирус, няма да имат никакви мачове. Полиморфизъм се намира във всички видове вируси - File, зареждане и макро вируси.

Допълнителни стъпки, които изпълняват полиморфни вируси при зареждане на системата се състои в дешифрирането на основното тяло на вируса.

При използване на стелт вируси алгоритми може частично или напълно да се скрие в системата. Най-честата стелт алгоритъм прихваща система призовава да контролира действията на операционната система. Вирусите, които използват стелт алгоритми се наричат ​​"стелт вирус".

Stealth вируси (Stealth) са в състояние да скрие присъствието си в системата и да се избегне откриването им от антивирусните програми. Тези вируси могат да прихващат заявките на операционната система за четене / запис на заразени файлове, когато те временно се дезинфекцират тези файлове, или "против", а не на самите незаразени области на информация, подражават чисти заразени файлове.

В случай на макро вируси, най-популярният начин е да се забрани списъка на менюто на макроси. Един от първия файл невидимост-вирусите беше Фродо вирус, първият стелт вируса беше Мозъчна вируса.

Често, вирусът използва различни нестандартни методи, с цел да се скрие по-дълбоко в ядрото на операционната система, или да се предпази от откриване от неговия пребиваващ копие, или да възпрепятства лечението на вируси и т.н.

Вторият аспект се отнася до така наречените местни вируси. Тъй вируса и обекта, към който е вграден, са операционната система едно цяло, след натоварването се намират естествено в същото адресно пространство. След завършването на обекта се разтоварват от паметта, като едновременно разтоварва и вируса, превръщайки се в стъпка пасивен съхранение. Въпреки това, някои видове вируси могат да се съхраняват в паметта и остават активни след края на носител вирус. Тези вируси са наречени жител.

Резидентни вируси заразяват компютъра е оставил в жител паметта му част, която след това се прихваща система призовава към заразените обекти и вградени в тях. Резидентни вируси живеят в паметта и са активни до изключване или рестартиране на операционната система.

Resident може да се разглежда като макро вируси, като за повечето от тях извършват основните изисквания - постоянно присъствие в паметта на компютъра за всички времена заразените редактор и пресичане функции, които се използват при работа с документи. В същото време ролята на операционната система поема редактор, а терминът "рестартиране на операционната система", се третира като изход от редактора.

Чуждестранните вируси не заразят компютъра памет и са активни за ограничен период от време. Някои вируси оставят в паметта малки резидентни програми, които не се разпространяват вируса. Такива вируси се считат за чуждестранно.

Трябва да се отбележи, че разделението на памет резидентни вируси и чуждестранно валидно най-вече за файлови вируси. Boot вируси, както и макро вируси са резидентни вируси.

Търсене жертва. Като метод за търсене на вируси на жертвата могат да бъдат разделени в два класа.

Първата включва вируси, извършване на активно търсене с помощта на действащи функции на системата. Примери за това са файлови вируси, които използват търсачката на изпълними файлове в текущата директория.

Вторият клас се състои от вируси, прилагане пасивен търсачката, т.е. вируси, поставя "капани" на файловете на ден по програмата. Като правило, файлови вируси организират тези капани чрез прихващане на специфична функция (на EXEC) операционна система, и макро вируси - от прихващане на команди като Запиши като (Save As) от менюто File (Файл).

Инфекция с жертвата. В най-простия случай инфекцията е самото копиране на кода на вируса в избрания обект като жертва. Класификация вирус на този етап е свързан с изследване на този копиране, методи за модифициране на заразени предмети.

Помислете първо за конкретен файл заразени с вируси.

Чрез жертва вирусна инфекция могат да бъдат разделени на два класа.

Първата включва вирусите, които не прилагат кода си директно във файла с програма, и промените името на файла и да се създаде нова, съдържаща тялото на вируса.

Вторият клас се състои от вируси се въвеждат директно в съответния файл. Те се характеризират с въвеждането на място. Следните опции са достъпни.

1. Въвеждането на началото на файла. Този метод е най-удобния за MS-DOS COM файлове, защото форматът не се предвижда присъствието на официални заглавия. При прилагането на този метод вируси могат или да обедини собствен код и кода на програмата, на жертвата, или да пренапише първата част на файла до края, за да се направи място за себе си.

2. Представяне на файла. Това е най-често срещаният тип на изпълнение. Virus контрол предаване код, предоставен от модификация на първата инструкция на програмата (COM) и заглавния файл (.exe).

3. Въвеждането на средата на файла. Като правило, този метод се използва от вируси, приложени към файлове с известна структура (например, на COMMAND.COM файл) или файлове, съдържащи последователност от байтове с една и съща стойност, дължината на която е достатъчна, за да побере вируса. Във втория случай последователност вирус намерен архив и да се замени със собствен код. В допълнение, вируси могат да бъдат въведени в средата на файла, освобождавайки място чрез прехвърляне на програмен код фрагменти в края на файла, или "бутане" файл.

За да се зареди вирусна инфекция функции етап, определени от характеристики на обектите, в които те се прилагат, - обувка сектори на флопи и твърди дискове и главния зареждащ запис (MBR) твърдия диск. Основният проблем е, ограничения размер на тези обекти. Във връзка с тези вируси трябва да се запишете на диска, че си част, която не се вписва на мястото на жертвата, както и за прехвърляне на оригиналния код на инфектираната товарач. Има различни начини за решаване на този проблем. По-долу е предложен от Е. Kaspersky [35, 85] класификация:

1. Използвани сектор psevdosboynye. Вирусът носи необходимия код в наличните дискови сектори и бележи тях толкова зле, като по този начин себе си и товарача защита от презапис.

2. използвани рядко се използва сектор в края на този раздел. Вирусът носи необходимата код в свободната сектор в края на диска. От гледна точка на операционната система, тези сектори се появяват като свободни.

3. Използвайте разделите резервирания сектор. Вирусът носи необходимия код в диска запазени за нуждите на операционната система, а защото - неизползван.

4. Кратки вируси могат да се поберат в един сектор на товарача и напълно да поеме функциите на запис MBR на главния зареждащ или сектора за начално зареждане.

За макро процес вирусна инфекция е да се запази вирусен макро код в избрания документ жертвата. Някои системи за обработка на информация, не го правят доста лесно, тъй като документ файлов формат не може да предвиди възможността да се запишете макроси. Като пример, Microsoft Word 6.0. Спасяването на макро код за тази система е възможно само във файла с шаблон (с разширение подразбиране .dot). Ето защо, за своята вирус опазване трябва да осъществява контрол върху обработката на командата Save от менюто File, който се нарича, когато има най-напред се запишете документа на диска. Този контрол е необходимо да се промени, когато запазвате документ тип (като разширение .DOC по подразбиране) от типа на шаблон файл. В този случай, на диска ще macrocode и вирус, и съдържанието на документа.

В допълнение към просто да копирате кода на вируса в обектите са заразени на този етап може да се използва по-сложни алгоритми, за да се гарантира защита на вируса в етапа на съхранение. К числу таких вирусов относятся описанные выше полиморфные вирусы.

Выполнение деструктивных функций. Вирусы могут выполнять помимо самокопирования деструктивные функции.

По деструктивным возможностям вирусы можно разделить на безвредные, неопасные, опасные и очень опасные [85].

Безвредные вирусы - это вирусы, в которых реализован только механизм самораспространения. Они не наносят вред системе, за исключением расхода свободной памяти на диске в результате своего распространения.

Не опасни вируси - вирус, чието присъствие в системата е свързана с най-различни ефекти (аудио, видео) и намаляване на наличната памет на диска, но които не вредят на програмите и данните.

Опасен вирус - вирус, който може да причини сериозна повреда на компютъра. Последиците от провал може да бъде унищожаването на програми и данни.

Много опасни вируси - вирус, в който алгоритъма на процедурата, предвидена ясно, директно води до унищожаване на програми и данни, и да изтрие данните, съхранявани в областите на системната памет, и е необходимо за работата на компютъра.

Степента на опасност от вируси има значително влияние е на околната среда, при които функционират вируси.

По този начин, вирусът започва да работи в MS-DOS, имат почти неограничен потенциал.

Разпространението на вируси, работещи на Windows NT / 2000 се ограничава до изградената система за контрол на достъпа.

Възможности за макро вируси директно определят от възможностите на макро езиците, на които те са написани. По-специално, Word Basic език за създаване на мощен макро, потребителите са в състояние да достави сериозни неприятности.

Допълване на тази класификация, ние също може да се отбележи, разделението на вируси, вредни за системата като цяло и предназначен за целенасочени атаки срещу конкретни обекти.

Прехвърляне на контрол на програмата домакин на вируса. Трябва да отбележим, разделението на вируси на разрушителни и без разрушаване.

Разрушителните вируси не се интересуват от това, когато заразени програми за поддържане работоспособността си, така че за тях, тази стъпка не функционира.

За безразрушителен вирус, тази стъпка е свързана с възстановяването на паметта на програмата във формата, в която тя трябва да бъде изпълнена правилно, и минаваща контрола на програмата домакин на вируса.

<== Предишна лекция | На следващата лекция ==>
| Жизненият цикъл на вируси

; Дата: 01.07.2014; ; Прегледи: 655; Нарушаването на авторските права? ;


Ние ценим Вашето мнение! Беше ли полезна публикуван материал? Да | не



ТЪРСЕНЕ:


Вижте също:



zdes-stroika.ru - Studopediya (2013 - 2017) на година. Тя не е автор на материали, и дава на студентите с безплатно образование и използва! Най-новото допълнение , Al IP: 66.102.9.22
Page генерирана за: 0.057 сек.