Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Антивирусная безопасность




Общая характеристика и классификация компьютерных вирусов

 

Под компьютерным вирусом (или просто вирусом) понимается автономно функционирующая программа, обладающая способно­стью к самостоятельному внедрению в тела других программ и по­следующему самовоспроизведению и самораспространению в ин­формационно-вычислительных сетях и отдельных ЭВМ.

Предшественниками вирусов принято считать так называемые троянские программы, тела которых содержат скрытые последо­вательности команд (модули), выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью троянских программ являются широко известные программы мас­сового применения (редакторы, игры, трансляторы и т. д.), в кото­рые встроены так называемые «логические бомбы», срабатываю­щие по наступлении некоторого события. Следует отметить, что троянские программы не являются саморазмножающимися.

Принципиальное отличие вируса от троянской программы со­стоит в том, что вирус после его активизации существует само­стоятельно (автономно) и в процессе своего функционирования за­ражает (инфицирует) программы путем включения (имплантации) в них своего текста. Таким образом, компьютерный вирус можно рассматривать как своеобразный «генератор троянских программ». Программы, зараженные вирусом, называются вирусоносителями.

Заражение программы, как правило, выполняется таким обра­зом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплан­тируется в ее тело так, что первой командой зараженной програм­мы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного пере­хода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.

«Первичное» заражение происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как носители информации (дискеты, опти­ческие диски, флэш-память и т. п.), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, принято называть сетевыми.

Цикл жизни вируса обычно включает следующие периоды: вне­дрение, инкубационный, репликации (саморазмножения) и прояв­ления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявле­ния вирус выполняет свойственные ему целевые функции, напри­мер необратимую коррекцию информации в компьютере или на магнитных носителях.

Физическая "структура компьютерного вируса достаточно про­ста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост — это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной голо­вы, называют несегментированными, тогда как вирусы, содержа­щие голову и хвост, — сегментированными.

Наиболее существенные признаки компьютерных вирусов по­зволяют провести следующую их классификацию (рис. 8.1).

 

Критерии классификации вирусов
По режиму функционирования По режиму внедрения По степени и способу маскировки

           
 
     
 
 

 

 

По режиму функционирования:

— резидентные вирусы (вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контро­лируют доступ к его ресурсам);

— транзитные вирусы (вирусы, которые выполняются только в момент запуска зараженной программы).

По объекту внедрения:

— файловые вирусы (вирусы, заражающие файлы с програм­мами);

— загрузочные вирусы (вирусы, заражающие программы, хра­нящиеся в системных областях дисков).

В свою очередь, файловые вирусы подразделяются на вирусы, заражающие:

— исполняемые файлы;

— командные файлы и файлы конфигурации;

— составляемые на макроязыках программирования, или фай­лы, содержащие макросы (макровирусы);

— файлы с драйверами устройств;

файлы с библиотеками исходных, объектных, загрузочных и оверлейных модулей, библиотеками динамической компоновки и т. п.

Загрузочные вирусы подразделяются на вирусы, заражающие:

— системный загрузчик, расположенный в загрузочном секторе дискет и логических дисков;

— внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков.

По степени и способу маскировки:'

— вирусы, не использующие средств маскировки;

— stealth-вирусы (вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных);

— вирусы-мутанты (MtE-вирусы, содержащие в себе алгорит­мы шифрования, обеспечивающие различие разных копий вируса).

В свою очередь, MtE-вирусы делятся:

— на обычные вирусы-мутанты, в разных копиях которых раз­личаются только зашифрованные тела, а дешифрованные тела ви­русов совпадают;

— полиморфные вирусы, в разных копиях которых различают­ся не только зашифрованные тела, но и их дешифрованные тела.

Наиболее распространенные типы вирусов характеризуются следующими основными особенностями.

Файловый транзитный вирус целиком размещается в исполня­емом файле -, в связи с чем он активизируется только в случае акти­визации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очеред­ного файла для заражения осуществляется вирусом посредством поиска по каталогу.

Файловый резидентный вирус отличается от нерезидентного логической структурой и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управле­ние при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и за­мены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает со­ответствующая подпрограмма вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования резидентные вирусы могут реализовывать самые разные способы инфицирования.

Наиболее распространенными способами являются инфициро­вание запускаемых программ, а также файлов при их открытии или чтении. Отличительной особенностью последних является ин­фицирование загрузочного сектора магнитного носителя. Голова загрузочного вируса всегда находится в загрузочном секторе (единственном для гибких дисков и одном из двух — для жестких), а хвост — в любой другой области носителя. Наиболее безопасным для вируса способом считается размещение хвоста в так называе­мых псевдосбойных кластерах, логически исключенных из числа доступных для использования. Существенно, что хвост загрузоч­ного вируса всегда содержит копию оригинального (исходного) за­грузочного сектора.

Stealth-вирусы пользуются слабой защищенностью некоторых операционных систем и заменяют некоторые их компоненты (драйверы дисков, прерывания) таким образом, что вирус становится невидимым (прозрачным) для других программ.

Полиморфные вирусы содержат алгоритм порождения дешиф­рованных тел вирусов, непохожих друг на друга. При этом в алго­ритмах дешифрования могут встречаться обращения практически ко всем командам процессора Intel и даже использоваться некото­рые специфические особенности его реального режима функцио­нирования.

Макровирусы распространяются под управлением прикладных программ, что делает их независимыми от операционной системы. Подавляющее число макровирусов функционирует под управле­нием текстового процессора Microsoft Word. В то же время извест­ны макровирусы, работающие под управлением таких приложе­ний, как Microsoft Excel, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes, в операционных системах фирм Microsoft и Apple.

Сетевые вирусы, называемые также автономными реплика- тивными программами, или, для краткости, репликаторами, ис­пользуют для размножения средства сетевых операционных сис­тем. Наиболее просто реализуется размножение в тех случаях, когда сетевыми протоколами предусмотрен обмен программами. Однако размножение возможно и в тех случаях, когда указанные протоколы ориентированы только на обмен сообщениями. Класси­ческим примером реализации процесса размножения с использо­ванием только стандартных средств электронной почты является репликатор Морриса. Текст репликатора передается от одной ЭВМ к другой как обычное сообщение, постепенно заполняющее буфер, выделенный в оперативной памяти ЭВМ-адресата. В результате переполнения буфера, инициированного передачей, адрес возвра­та в программу, вызвавшую программу приема сообщения, заме­щается на адрес самого буфера, где к моменту возврата уже нахо­дится текст вируса.

Тем самым вирус получает управление и начинает функциони­ровать на ЭВМ-адресате.

«Лазейки», подобные описанной выше и обусловленные особен­ностями реализации тех или иных функций в программном обеспе­чении, являются объективной предпосылкой для создания и вне­дрения репликаторов злоумышленниками. Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие группы:

— искажение информации в файлах либо в таблице размеще­ния файлов (FAT-таблице), которое может привести к разруше­нию файловой системы в целом;

— имитация сбоев аппаратных средств;

— создание звуковых и визуальных эффектов, включая, напри­мер, отображение сообщений, вводящих оператора в заблуждение или затрудняющих его работу;

— инициирование ошибок в программах пользователей или операционной системе.




Поделиться с друзьями:


Дата добавления: 2014-11-29; Просмотров: 724; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.009 сек.