Признаки появления вирусов

Предусматриваются также конкретные проверки разрешенности при каждом обращении к сегменту памяти. В отличие от младших моделей микропроцессорного ряда фирмы Intel микропроцессор 20286 имеет четыре уровня защиты, что позволяет в зависимости от конкретных требований обеспечивать защиту системных и прикладных программ с различной степенью детализации.

П.2. Метод автоматического обратного вызова.

Может обеспечивать более надежную защиту системы от несанкционированного доступа, чем простые программные пароли. В данном случае пользователю нет необходимости запоминать пароли и следить за соблюдением их секретности. Идея системы с обратным вызовом достаточно проста. Удаленные от центральной базы пользователи не могут непосредственно с ней обращаться, а вначале получают доступ к специальной программе, которой они сообщают соответствующие идентификационные коды. После этого разрывается связь и производится проверка идентификационных кодов. В случае, если код, посланный по каналу связи, правильный, то производится обратный вызов пользователя с одновременной фиксацией даты, времени и номера телефона. К недостатку рассматриваемого метода следует отнести низкую скорость обмена - среднее время задержки может исчисляться десятками секунд.

П.3. Метод шифрования данных.

Один из наиболее эффективных методов защиты. Он может быть особенно полезен для усложнения процедуры несанкционированного доступа, даже если обычные средства защиты удалось обойти. Для этого источник информации кодирует ее при помощи некоторого алгоритма шифрования и ключа шифрования. Получаемые зашифрованные выходные данные не может понять никто, кроме владельца ключа. Например, алгоритм шифрования может предусмотреть замену каждой буквы алфавита числом, а ключом при этом может служить порядок номеров букв этого алфавита.

Особенно высокой надежностью обладает механизм защиты по методу шифрования данных с аппаратной поддержкой. Разработчиками фирмы Intel создано программируемое ПЗУ с доступом по ключу на базе БИС 27916. При использовании двух подобных ПЗУ с доступом по ключу, один из которых устанавливается в ПЭВМ пользователя (терминальной), а другой в ЭВМ с коллективной базой данных, для доступа не нужно никаких паролей. ПЗУ выполняет функцию "замка" и "ключа", предотвращая доступ к базе данных со стороны любой удаленной ПЭВМ, не содержащей одного из упомянутых ПЗУ с ключом, совпадающим с соответствующим ключом ПЭВМ базы данных. При попытке обращения со стороны терминальной ПЭВМ к ЭВМ с центральной базы данных оба ПЗУ проверяют, совпадают ли "замок" и "ключ", и если совпадают, то доступ к базе данных разрешается. Параметры ключа никогда не передаются по линии связи, поэтому ключ определить невозможно, даже если несанкционированно подключиться к линии связи.

Алгоритм взаимодействия терминальной ПЭВМ с ЭВМ базы данных распадается на два последовательных этапа. Первый этап взаимодействия инициирует терминальная ПЭВМ, а второй - ЭВМ базы данных. Благодаря этому практически исключается несанкционированный доступ к системе, для которой в данном случае, чтобы получить несанкционированный доступ, необходимо провести соответствующие модификации с обеих сторон.

На первом этапе терминальная ПЭВМ генерирует случайное число и посылает его по линии связи в ЭВМ базы данных. Обе машины обрабатывают это число по алгоритму шифрования с использованием собственных ключей. Затем ЭВМ базы данных возвращает свой зашифрованный результат по линии связи к терминальной ПЭВМ, которая сравнивает принятый результат с собственным зашифрованным результатом. Если они совпадают, то на втором этапе происходит аналогичный обмен, только инициатором теперь выступает ЭВМ базы данных.

Первый этап реализации механизма защиты на основе ПЗУ с доступом по ключу типа 27916 состоит в программировании кода, необходимого для выполнения процедур проверки прав доступа. В процессе программирования БИС 27916 производится также программирование 64-разрядного ключа и данных, определяющих функции доступа по ключу. В конце программируется бит замка, обеспечивающий недоступность матрицы памяти для чтения до тех пор, пока не произойдет взаимодействие с ПЗУ ЭВМ базы данных. Одновременно программируется и номер ключа, являющегося адресом одного ключа (из 1024 возможных), который необходимо использовать при выполнении взаимодействия в процессе проверки прав на доступ. Выбор 64-разрядной длины ключа означает, что имеется приблизительно 18*10 возможных уникальных значений ключа. Если даже с помощью компьютера, например другой ПЭВМ, попытаться методом проб и ошибок определить значение ключа с темпом 0.08 с (максимальный темп повторных проверок права доступа, допустимый для данного ЭППЗУ), потребуется 46 млрд. лет, чтобы испробовать каждое значение. В ЭППЗУ с доступом по ключу пользователю предоставляется возможность выбрать один из кодов задержки, задающих ритм взаимодействия ПЭВМ для определения права на доступ (от 0.08

до 15 с).

Качество работы генератора случайных чисел является одним из факторов, обеспечивающих надежную защиту системы. Идеальным генератором считается в данном случае тот, который практически не выдает одинаковых чисел. Включенный в состав БИС 27916 генератор случайных чисел обеспечивает почти для 1 млрд. отсчетов только 0.03% чисел, появляющихся несколько раз.

Рассмотренный метод шифрования с защитой доступа по ключу обеспечивает высокую оперативность, простоту для пользователя и информационную надежность по сравнению с ранее описанными методами.

П.4. КОМПЬЮТЕРНЫЕ ВИРУСЫ, ИХ СВОЙСТВА

И КЛАССИФИКАЦИЯ

Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность для опасности, которая получила название компьютерного вируса.

Вирус - программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но и могут вообще с ним не совпадать!

Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:

-среде обитания

-способу заражения среды обитания

-воздействию

-особенностям алгоритма

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Объясним же, что это такое.

Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

- прекращение работы или неправильная работа ранее успешно функционировавших программ

- медленная работа компьютера

- невозможность загрузки операционной системы

- исчезновение файлов и каталогов или искажение их содержимого

- изменение даты и времени модификации файлов

- изменение размеров файлов

- неожиданное значительное увеличение количества файлов на диске

- существенное уменьшение размера свободной оперативной памяти

- вывод на экран непредусмотренных сообщений или изображений

- подача непредусмотренных звуковых сигналов

- частые зависания и сбои в работе компьютера

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Дата добавления: 2014-01-04; Просмотров: 570; Нарушение авторских прав?; Мы поможем в написании вашей работы!