Эвристическая методика выявления РПВ в BIOS

Защита от РПВ. Изолированная программная среда

Методы борьбы с воздействием РПВ можно разделить не следующие классы.

Общие методы защиты программного обеспечения от РПВ:

1. Контроль целостности системных областей, запускаемых прикладных

программ и используемых данных. Контроль целостности

информации может быть обойден злоумышленником путем:

· навязывания конечного результата проверок;

· влияния на процесс считывания информации;

· изменения хеш-значений, хранящихся в общедоступных файлах.

2. Контроль цепочек прерываний и фильтрация вызовов критических

для безопасности системы прерываний.

Данные методы действенны лишь тогда, когда контрольные

элементы не подвержены воздействию закладок и разрушающее

воздействие входит в контролируемый класс.

3. Создание безопасной и изолированной операционной среды.

4. Предотвращение результирующего воздействия вируса или закладки.

Например, запись на диск должна вестись только в зашифрованном виде на уровне контроллера, либо должен быть реализован запрет записи на диск на аппаратном уровне.

Специализированные методы борьбы с РПВ:

· Поиск фрагментов кода по характерным последовательностям (сигнатурам), свойственным РПВ, либо наоборот, разрешение на выполнение или внедрение в цепочку прерываний только программ с известными сигнатурами.

· Поиск критических участков кода методом семантического анализа фрагментов кода на выполняемые ими функции, часто сопряженный с дизассемблированием или эмуляцией выполнения [23].

В качестве одной из возможных эвристических методик выявления РПВ в BIOS, ассоциированных с существенно важными прерываниями, следует рассмотреть эвристическую методикувыявления РПВ в BIOS[24].

1. Выделяется группа прерываний, существенных с точки зрения обработки информации программой, относительно которой проводится защита. Обычно это прерывания int 13h (запись информации на внешние магнитные накопители прямого доступа), int 14h (обмен с RS232 портом), int 10h (обслуживание видеотерминала), а также в обязательном порядке прерывания таймера int 8h, int 1Ch и прерывания клавиатуры int 9h и int 16h.

2. Для выделенной группы прерываний определяются точки входа в ПЗУ, используя справочную информацию, либо выполняя прерывание в режиме трассировки.

3. Для выделенных адресов создаются цепочки исполняемых команд от точки входа до команды IRET - возврату управления из BIOS.

В цепочках исполняемых команд выделяются:

- команды работы с портами;

- команды передачи управления;

- команды пересылки данных.

4. В цепочках исполняемых команд анализируются команды выделенных групп. Определяется присутствие в прерываниях команд:

· работы с недокументированными портами. Наличие таких

команд, как правило, указывает на передачу информации некоторому

устройству, подключенному к параллельному интерфейсу (общей

шине), например, встроенной радиопередающей закладке.

· работы с портами, участвующие в работе другого класса

прерываний;

· перемещения данных из BIOS в оперативную память;

· передачи управления в оперативную память или в сегменты

расширенного BIOS.

В случае, если опасных действий, относящихся к выше представленным четырем группам, не обнаружено, аппаратно-программная среда ПЭВМ считается чистой (безопасной).

Дата добавления: 2014-01-07; Просмотров: 394; Нарушение авторских прав?; Мы поможем в написании вашей работы!