КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Троянские программы
Сетевые черви
Вторым типом вредоносных программ являются так называемые сетевые черви, которые размножаются, но не являются частью других файлов. Эти программы для своего распространения используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевых червей является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию.
Сетевые черви подразделяются на Internet-черви (распространяются по Internet путем рассылки своих копий в виде вложений в сообщения e-mail), LAN-черви (распространяются по локальной сети), IRC-черви Internet Relay Chat (распространяются через чаты). Существуют также смешанные типы, которые совмещают в себе сразу несколько технологий.
В отдельную группу вредоносных программ выделяют троянскиепрограммы, которые не размножаются и не рассылаются сами. Троянские программы подразделяют, в свою очередь, на несколько групп.
Эмуляторы DDoS-атак приводят к атакам на Web-серверы (См. главу, посвященную Internetлекцию 15), при которых на Web-сервер из разных мест поступает большое количество пакетов, что и приводит к отказам работы системы. Похитители секретной информации воруют информацию.
Утилиты несанкционированного удаленного управления, внедряясь в ваш компьютер, предоставляют хозяину троянца доступ к этому компьютеру и возможность управления им. Это Эти программы воруют различную системную информацию и пересылают ее хакерам. Некоторые из этих программ позволяют злоумышленникам получить доступ к какому-либо компьютеру и выполнять на нем различные операции без ведома и участия пользователя компьютера. Существенный интерес для хакеров представляют пароли, то есть хакер может заниматься своими делами, не всегда законными, под чужим именем.
Дроппер (от англ. drop — – бросать) – программа, которая “сбрасывает” в систему вирус или другие вредоносные программы, при этом сама при этом ничего больше ничего не делая.
Классификация антивирусных программ
Все антивирусы можно разделить на два больших класса: чистые антивирусы и антивирусы двойного назначения.
Чистый антивирус отличается наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальная особенность в этом случае заключается в возможности лечения. Если вирус известен, значит, возможно лечение. Далее чистые антивирусы подразделяются по типу доступа к файлам на две категории — – on access и on demand, которые соответственно осуществляют, соответственно, контроль по доступу или проверку по требованию. Например, в терминологии продуктов “ «Лаборатории Касперского”» on access-продукт — – это “«Монитор”», а on demand-продукт — – это “«Сканер”». Оn demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт — – это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.
Кроме того, антивирусные программы, так же как и вирусы, можно разделить по платформе.
Понятие “платформа” в антивирусной терминологии немного отличается от общепринятого в компьютерной индустрии. В антивирусной индустрии -платформа — – это тот продукт, внутри которого работает антивирус. То есть наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.
Программы двойного назначения — – это программы, используемые и в антивирусах, и в ПО, которое не является антивирусом. Например, CRC-checker — – ревизор изменений на основе контрольных сумм (контрольная сумма - – итог сложения нескольких битов информации, используемый в качестве критерия при целостности), может использоваться не только для ловли вирусов. Часто, при хранении файлов к комбинации битов, из которых состоит файл, добавляются группы контрольных битов, образующие контрольный байт.
Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.
От классического антивируса с антивирусным ядром, “узнающим” и лечащим от вирусов, которые анализировались в лаборатории и к которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов не умеют, поскольку ничего о них не знают. Это свойство блокираторов полезно тем, что они могут работать с любыми вирусами, в том числе и с неизвестными. Это сегодня особенно актуально, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом вирус всегда имеет некоторую фору (время задержки), поскольку антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.
Основные методы определения вирусов, применяемые
антивирусными программами.
Алгоритм “сравнение с эталоном”
Самый старый алгоритм — – это алгоритм, в котором вирус определяется классическим ядром по некоторой маске. Смысл данного алгоритма заключается в использовании статистических методов.
Алгоритм “контрольной суммы”
Алгоритм контрольной суммы предполагает, что действия вируса изменяют контрольную сумму. Однако синхронные изменения в двух разных сегментах могут привести к тому, что контрольная сумма останется неизменной при изменении файла. Основная задача построения алгоритма состоит в том, чтобы изменения в файле гарантированно приводили к изменению контрольной суммы.
Эвристический анализ
Для того чтобы размножаться, вирус должен совершать какие-то конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор, который является частью антивирусного ядра, содержит список таких действий, просматривая выполняемый код программы, определяет, что она делает и, исходя из этого, приходит к выводу, является ли данная программа вирусом или нет. Принципиальное отличие эвристического анализатора от поведенческого блокиратора состоит в том, что последний не рассматривает программу как набор команд. Блокиратор отслеживает действия программы в процессе ее работы, а эвристический анализатор начинает работу до выполнения программы. Первый эвристический анализатор появился в начале 90-х годов.
Борьба с вирусами
Для того чтобы обезопасить компьютер от действий вирусов, необходимо придерживаться следующих правил:
· Не использовать автоматический запуск нового электронного письма.
Получив электронное письмо, к которому приложен исполняемый файл, не запускайте этот файл сразу, если не понимаете, что это такое, не слишком хорошо знаете отправителя или не вполне ему доверяете. По электронной почте часто распространяются “"троянские кони”". Лучшая защита здесь - – сохранить вложение как файл, затем проверить его антивирусной программой и лишь затем открыть..
· Проверять дискеты на вирусы.
Вирусы часто попадают в компьютер с дискет. Поэтому необходимо обязательно проверять антивирусом каждую дискету, вставляемую в дисковод, или запустить резидентную программу, которая будет делать это автоматически при каждом обращении к дискете.
· Регулярно осуществлять резервное копирование информации.
Необходимо регулярно создавать резервные копии хранимой на компьютере информации. При этом нельзя забывать, что сами резервные копии зараженной информации также могут быть заражены. Обнаружив и уничтожив вирус, обязательно сотрите старые копии и создайте новую, “чистую”. Не забудьте также “продезинфицировать” все дискеты, использовавшиеся на зараженной машине.
· Иметь аварийную загрузочную дискету.
Рекомендуется всегда иметь под рукой загрузочную дискету, с которой можно будет загрузиться, если система откажется сделать это обычным образом (увы, некоторые вирусы дают такой эффект). Для этого можно воспользоваться функцией антивирусной программы (она есть практически у всех антивирусов).
· Использовать защиту от макровирусов.
Рекомендуется обезопасить себя при работе с документами Word и Excel и включить встроенную защиту от макровирусов. Для этого нужно выбрать в меню “Сервис” пункт “Параметры”, на странице “Общие” поставить галочку против режима “Защита от вирусов в макросах” и нажать кнопку OK.
· Использовать защиту шаблона Normal в Word.
Большинство макровирусов внедряются в шаблон документов Normal. Например, в Word 97, 2000 этот шаблон можно закрыть для изменений. Для этого войдите в редактор Visual Basic (“"Сервис”"-"–“Макрос”"-"–“Редактор Visual Basic”" или <Alt>+<F11>), выделите в окне проекта (не нашел вWord XP!) проект Normal и выберите в меню “"Сервис”" пункт “"Свойства Normal”". Перейдите на закладку “"Защита”", включите режим “"Блокировать просмотр проекта”", затем введите и подтвердите пароль. Теперь доступ к Normal.dot закрыт.
· Обязательным условием защиты от вирусов является использование антивирусных программ с постоянным обновлением антивирусных баз этих программ.
|
|
Дата добавления: 2015-07-13; Просмотров: 288; Нарушение авторских прав?; Мы поможем в написании вашей работы!