Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Эвристическая методика выявления РПВ в BIOS

Защита от РПВ. Изолированная программная среда

 

Методы борьбы с воздействием РПВ можно разделить не следующие классы.

Общие методы защиты программного обеспечения от РПВ:

1. Контроль целостности системных областей, запускаемых прикладных

программ и используемых данных. Контроль целостности

информации может быть обойден злоумышленником путем:

· навязывания конечного результата проверок;

· влияния на процесс считывания информации;

· изменения хеш-значений, хранящихся в общедоступных файлах.

 

2. Контроль цепочек прерываний и фильтрация вызовов критических

для безопасности системы прерываний.

Данные методы действенны лишь тогда, когда контрольные

элементы не подвержены воздействию закладок и разрушающее

воздействие входит в контролируемый класс.

 

3. Создание безопасной и изолированной операционной среды.

 

4. Предотвращение результирующего воздействия вируса или закладки.

 

Например, запись на диск должна вестись только в зашифрованном виде на уровне контроллера, либо должен быть реализован запрет записи на диск на аппаратном уровне.

 

Специализированные методы борьбы с РПВ:

· Поиск фрагментов кода по характерным последовательностям (сигнатурам), свойственным РПВ, либо наоборот, разрешение на выполнение или внедрение в цепочку прерываний только программ с известными сигнатурами.

· Поиск критических участков кода методом семантического анализа фрагментов кода на выполняемые ими функции, часто сопряженный с дизассемблированием или эмуляцией выполнения [23].

В качестве одной из возможных эвристических методик выявления РПВ в BIOS, ассоциированных с существенно важными прерываниями, следует рассмотреть эвристическую методикувыявления РПВ в BIOS[24].

 

1. Выделяется группа прерываний, существенных с точки зрения обработки информации программой, относительно которой проводится защита. Обычно это прерывания int 13h (запись информации на внешние магнитные накопители прямого доступа), int 14h (обмен с RS232 портом), int 10h (обслуживание видеотерминала), а также в обязательном порядке прерывания таймера int 8h, int 1Ch и прерывания клавиатуры int 9h и int 16h.

2. Для выделенной группы прерываний определяются точки входа в ПЗУ, используя справочную информацию, либо выполняя прерывание в режиме трассировки.

3. Для выделенных адресов создаются цепочки исполняемых команд от точки входа до команды IRET - возврату управления из BIOS.

В цепочках исполняемых команд выделяются:

- команды работы с портами;

- команды передачи управления;

- команды пересылки данных.

4. В цепочках исполняемых команд анализируются команды выделенных групп. Определяется присутствие в прерываниях команд:

· работы с недокументированными портами. Наличие таких

команд, как правило, указывает на передачу информации некоторому

устройству, подключенному к параллельному интерфейсу (общей

шине), например, встроенной радиопередающей закладке.

· работы с портами, участвующие в работе другого класса

прерываний;

· перемещения данных из BIOS в оперативную память;

· передачи управления в оперативную память или в сегменты

расширенного BIOS.

 

В случае, если опасных действий, относящихся к выше представленным четырем группам, не обнаружено, аппаратно-программная среда ПЭВМ считается чистой (безопасной).

<== предыдущая лекция | следующая лекция ==>
Передача управления программе-носителю вируса | Работы
Поделиться с друзьями:


Дата добавления: 2014-01-07; Просмотров: 355; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.01 сек.