КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Средства борьбы с вредоносным программным кодом
|
|
|
|
Программы сбора данных, программы рекламных рассылок и демонстрации рекламы.
Общей задачей таких программ является взаимодействие с некоторым “центром” в сети. Взаимодействие с такими центрами может выполняться для того, чтобы продемонстрировать рекламные страницы (вне зависимости от желания и возможностей; на серьезно пораженной машине почти невозможно работать), а может, для того, чтобы сообщить центру собранные от вашего имени данные. К таким данным может относиться и личная информация, всевозможные пароли и реквизиты доступа.
4. Троянские кони, средства удаленного управления, агенты организации атак. Общая черта этих программ — то, что после внедрения они не начинают действовать немедленно, а ждут получения команды извне или наступления какого-либо события.
Используя различные уязвимости, злоумышленники создают целые сети пораженных машин и используют их для своей деятельности: рассылки нежелательной почты, сбора паролей, организации распределенных атак на отказ в обслуживании.
5. Программы дозвона. Вредоносные программы такого рода подменяют собой используемые программы для соединения с провайдером. Подменив их, они выполняют звонки провайдерам в других странах. Такая программа, оставленная без внимания, способна нанести существенный финансовый ущерб.
6. Шутки. Чаще всего такие программы не имеют в своем составе компонентов, наносящих существенный вред. Тем не менее они могут напугать неопытного пользователя и отнять довольно много времени.
Нельзя не сказать, что классификация эта условна. Фактически многие программы можно отнести к нескольким перечисленным классам. Например, вирус1, включающий в себя элементы “червя”, внедряется и ждет наступления конкретной даты для атаки какого-либо сайта.
|
|
|
Вредоносные средства, описанные в предыдущем разделе, могут существовать не только в виде отдельных файлов или программ, но и в виде распространяющегося по сети отдельного бинарного кода, и в виде макросов. Поэтому способы борьбы с таким кодом ориентируются на проверку разных мест и форм его хранения.
Средства борьбы с вредоносным программным кодом условно можно разделить на два больших класса, имеющих общие достоинства и недостатки:
1. Программы, выявляющие вредоносный или просто нежелательный код поиском на локальном диске. Эти программы анализируют содержимое оперативной и постоянной памяти компьютера. Использование этих программ позволяет применять более развитые методы поиска, поскольку весь код находится в их распоряжении, но они вынуждены работать в условиях уже зараженной машины. Многие вредоносные программы препятствуют своему обнаружению и удалению. Немаловажно и то, что поиск начинается по запросу пользователя, а до такого запуска ресурсы машины поиском и “лечением” не заняты.
2. Программы, выявляющие код на этапе “проникновения” при передаче по сети или записи на локальный носитель. Эти программы позволяют предупредить заражение или выявить его на начальной стадии, но поиск требует дополнительных ресурсов и задержек в работе2.
Среди таких программ выделяют:
· Антивирусы. Специализированные программы для выявления и устранения вирусов. Чаще всего используют поиск заданных участков кода — сигнатур. Выполняются в виде “Фагов” (программ проверки) и “Мониторов” (программ, контролирующих операции с файлами и проверяющих изменения).
· Программы борьбы со “шпионскими” или “рекламными программами”. Их специфика в том, что они выявляют не только сами программы, но и сделанные для этих целей изменения в настройках. Они выполняются и как программы поиска, и как мониторы. Например, в виде дополнительных модулей к брандмауэрам.
|
|
|
Наиболее популярной защитой являются антивирусы. Практически все современные средства этого класса выпускаются компаниями, которые выполняют сбор и анализ информации о вредоносных программах, подготовку общих средств борьбы с ним и разработку собственно программных средств, предназначенных для обнаружения и удаления вредоносного ПО. Подавляющее большинство современных коммерческих программ такого рода используют как основной метод обнаружения вирусов поиск сигнатур3 — характерных последовательностей кода.
В программных продуктах, как правило, выделяется:
1. Антивирусное ядро — программные библиотеки поиска и устранения вредоносного кода;
2. База данных сигнатур — описания вредоносных программ и способов их устранения;
3. Антивирусный сканер — программа, выполняющая сканирование файлов на внешних носителях и позволяющая устранить обнаруженные вредоносные программы. Поскольку операция проверки нескольких десятков тысяч файлов довольно длительная, то выполняется она по указанию пользователя;
4. Антивирусный сторож — программа, проверяющая файлы при выполнении некоторых типовых операций (записи, запуска и т.д.). Несмотря на то, что эти программы замедляют работу, они позволяют выявить вредоносный код до того, как будет нанесен ущерб.
5. Специализированный фильтр — программа, контролирующая сообщения, которыми пользователь обменивается с помощью сети. Она, например, проверяет получаемые и отправляемые письма или web-страницы.
Нужно отметить, что программы подобного типа применяются комплексно, поскольку у них есть свои ограничения. Например, антивирусный сканер может выявить код только при выполнении сканирования; и вполне возможно, что ущерб уже будет нанесен. Сторож не поможет от вредителей, которые уже находятся на диске, а фильтр обрабатывает сообщения только в известных ему протоколах.
При активной, постоянно работающей и обновляющейся антивирусной системе заражение становится маловероятным событием. Тем не менее стоит иметь представление о том, как “выглядит” заражение вредоносной программой:
|
|
|
— систематически появляются странные запросы (иногда шуточные, иногда — нет) и выполняются действия, о которых вы не просили (например, перезагрузка);
— во время выполнения работы/загрузки машины возникают программные ошибки;
— работа машины без видимых причин замедляется;
— возникает большое количество посторонних процессов, появляются запросы на предоставление выхода в сеть неизвестным программам.
Конечно, эти признаки могут быть признаком и просто плохой настройки, ошибок оборудования, следствиями применения не отлаженных до конца программ, но систематическое появление нескольких таких признаков — повод задуматься и провести общую проверку носителей.
Кроме антивирусных программ, сейчас также популярны отдельные средства борьбы с рекламными и шпионскими программами и настройками. Специфика этих программ заключается в том, что они позволяют обнаруживать не только вредоносные программы, но и настройки. Достаточно часто вредоносные программы оставляют всевозможные “закладки”, которые не может обнаружить антивирусная программа, поскольку собственно программами они не являются.
Программа обнаружения анализирует состояние системы, находит измененные и вредоносные закладки и позволяет их удалить.
И антивирусные программы, и программы борьбы с рекламными и шпионскими средствами требуют постоянного обновления. Связано это с тем, что еженедельно появляется несколько сотен новых вредоносных программ, использующих обнаруживаемые уязвимости ПО. Несмотря на то, что большая часть из них являются модификациями уже известных кодов, базы данных программ защиты нуждаются в обновлении. По этой причине такие средства распространяются не как законченные программные продукты, а как подписка на обеспечение защиты в течение какого-то времени (например, антивирусная подписка).
Помимо традиционных подходов к поиску вредоносных программ (выявлению по сигнатурам), разрабатываются программные средства, выявляющие не только известный, но и новые вредоносные коды. Поиск ведется на основе эвристических правил.
Для полноценной защиты от появления на личной машине вредоносных программ рекомендуют:
1. Установить и своевременно обновлять (желательно автоматически) систему антивирусной защиты.
2. Проверять все носители (включая карты памяти, дискеты, диски и пр.), которые находились где-то за пределами вашей системы перед использованием.
3. Не открывать вложений, полученных в письмах от неизвестных адресатов с неясными целями.
4. Регулярно проводить полную проверку системы.
|
|
|
|
|
Дата добавления: 2014-12-16; Просмотров: 904; Нарушение авторских прав?; Мы поможем в написании вашей работы!