Контрольная работа по "Безопасность работы персонального компьютера"

По алгоритму функционирования компьютерные вирусы подразделяются на вирусы, не изменяющие среду обитания (файлы и секторы) при распространении, и вирусы, изменяющие среду обитания при распространении.

В свою очередь, вирусы, не изменяющие среду обитания, подразделяются на вирусы-«спутники» (companion) и вирусы«черви» (worm).

Вирусы-«спутники» не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов, но, например, с другим расширением.

Вирусы-«черви» попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-«черви» создают рабочие копии вируса на диске, другие — размещаются только в оперативной памяти ЭВМ.

По сложности, степени  совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду  обитания, подразделяются на студенческие, «стелс»-вирусы (вирусы-невидимки) и полиморфные.

К студенческим относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.

«Стелс»-вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.

«Стелс»-вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. «Стелс»-вирусы обладают способностью противодействовать резидентным антивирусным средствам.

Полиморфные вирусы не имеют  постоянных опознавательных групп  — сигнатур. Обычные вирусы для  распознавания факта заражения  среды обитания размещают в зараженном объекте специальную опознавательную  двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла  или сектора. Сигнатуры используются на этапе распространения вирусов  для того, чтобы избежать многократного  заражения одних и тех же объектов, так как при многократном заражении  объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков  полиморфные вирусы используют шифрование тела вируса и модификацию программы  шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.

 

Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных модуля: модуль заражения (распространения), модуль маскирования и модуль выполнения вредительских действий. Разделение на функциональные модули означает, что  к определенному модулю относятся  команды программы вируса, выполняющие  одну из трех функций, независимо от места  нахождения команд в теле вируса.

После передачи управления вирусу, как правило, выполняются  определенные функции блока маскировки (например, осуществляется расшифрование тела вируса). Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.

Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения  файла, восстановление атрибутов файла, корректировка таблиц ОС и др.

Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.

Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие  сведения о стандартных свойствах  вируса: имя, длина, заражаемые файлы, место  внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия.

 

 

9. Методы и технологии  борьбы с компьютерными вирусами. Используемые программные продукты  и их возможности.

Антивирусные средства применяются  для решения следующих задач:

• обнаружение вирусов  в КС;

• блокирование работы программ-вирусов;

• устранение последствий  воздействия вирусов. Обнаружение  вирусов желательно осуществлять на стадии их внедрения или, по крайней  мере, до начала осуществления деструктивных  функций вирусов. Необходимо отметить, что не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.

Устранение последствий  воздействия вирусов ведется  в двух направлениях:

• удаление вирусов;

• восстановление (при необходимости) файлов, областей памяти.

Восстановление информации без использования дублирующей  информации может быть невыполнимым, если вирусы при внедрении не сохраняют  информацию, на место которой они  помещаются в память, а также если вредные действия уже начались и они предусматривают изменения информации.

Существуют следующие  методы обнаружения вирусов:

• сканирование;

• обнаружение изменений;

• эвристический анализ;

• использование резидентных  сторожей;

• вакцинирование программ;

• аппаратно-программная  защита от вирусов.

Сканирование осуществляется программой-сканером, которая просматривает  файлы в поисках опознавательной  части вируса — сигнатуры. Программа  фиксирует наличие уже известных  вирусов, за исключением полиморфных  вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры  могут хранить не сигнатуры известных  вирусов, а их контрольные суммы. Программы-сканеры часто могут  удалять обнаруженные вирусы. Такие  программы называются полифагами.

Самой известной программой-сканером в России является AIDSTEST Дмитрия Лозинского.

Обнаружение изменений базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются  вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам  ревизии программа выдает сведения о предположительном наличии  вирусов.

Главным достоинством метода является возможность обнаружения  вирусов всех типов, а также новых  неизвестных вирусов. Совершенные  программы-ревизоры обнаруживают даже «стелс»-вирусы. Например, программа-ревизор ADINF, разработанная Д. Ю. Мостовым, работает с диском непосредственно по секторам через BIOS. Это не дает «стелс»-вирусам использовать возможность перехвата прерываний и «подставки» для контроля нужной вирусу области памяти.

С помощью программ-ревизоров  невозможно определить вирус в файлах, которые поступают в систему  уже зараженными. Вирусы будут обнаружены только после размножения в системе.

Программы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы  очень часто изменяются.

Эвристический анализ, как  и метод обнаружения изменений, позволяет определять неизвестные  вирусы, но не требует предварительного сбора, обработки и хранения информации в файловой системе.

Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов  и выявление в них команд (групп  команд), характерных для вирусов. Эвристические анализаторы при  обнаружении подозрительных команд в файлах или загрузочных секторах выдают сообщение о возможном  заражении. После получения таких  сообщений необходимо тщательно  проверить предположительно зараженные файлы и загрузочные сектора  всеми имеющимися антивирусными  средствами. Эвристический анализатор имеется, например, в антивирусной программе DOCTOR WEB.

Использование резидентных  сторожей основано на применении программ, которые постоянно находятся  в ОП ЭВМ и отслеживают все  действия остальных программ. Технологический процесс применения резидентных сторожей осуществляется в следующей последовательности: в случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентный сторож выдает сообщение пользователю. Программа-сторож может загружать на выполнение другие антивирусные программы для проверки подозрительных программ, а также для контроля всех поступающих извне файлов (со сменных дисков, в сети).

Существенным недостатком  данного метода является значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение  и желание отказаться от использования  резидентных сторожей. Примером резидентного сторожа может служить программа VSAFE, входящая в состав MS DOS.

Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла  обычно используется контрольная сумма. При заражении вакцинированного файла модуль контроля обнаруживает изменение контрольной суммы  и сообщает об этом пользователю. Метод  позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стелс»-вирусов.

Аппаратно-программная защита от вирусов блокирует работу программ-вирусов. В настоящее время для защиты ПЭВМ используются специальные контроллеры  и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера  запоминаются области на дисках, изменение  которых в обычных режимах  работы не допускается. Таким образом, можно установить защиту на изменение  главной загрузочной записи, загрузочных  секторов, файлов конфигурации, исполняемых  файлов и др.

При выполнении запретных  действий любой программой контроллер выдает соответствующее сообщение  пользователю и блокирует работу ПЭВМ.

Примером аппаратно-программной  защиты от вирусов может служить  комплекс SHERIFF.

 

Существует два метода удаления последствий воздействия  вирусов антивирусными программами.

Первый метод предполагает восстановление системы после воздействия  известных вирусов. Разработчик  программы-фага, удаляющей вирус, должен знать структуру вируса и его  характеристики размещения в среде  обитания.

Второй метод позволяет  восстанавливать файлы и загрузочные  сектора, зараженные неизвестными вирусами. Для восстановления файлов программа  восстановления должна заблаговременно  создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о  незараженном файле и используя  сведения об общих принципах работы вирусов, осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то восстановление возможно только с использованием резервной  копии или с дистрибутива. При  их отсутствии существует только один выход — уничтожить файл и восстановить его вручную.

 

10. Защита процессов  переработки информации в Интернете.  Методы аутентификации пользователей.  Защита почтовых сообщений.

Интернет — чисто корпоративная  сеть, однако в настоящее время  с помощью единого стека протоколов TCP/IP и единого адресного пространства она объединяет не только корпоративные  и ведомственные сети (образовательные, государственные, коммерческие, военные  и т.д.), являющиеся по определению  сетями с ограниченным доступом, но и рядовых пользователей, которые  имеют возможность получить прямой доступ в Интернет со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования. 

Думать о защите выложенной на сайте информации в первую очередь  приходится фирмам, которые на ней  зарабатывают, например фотобанкам или  компаниям, продающим видео- и аудиофайлы. Однако охранять информацию на сайте нужно и компаниям, которые не занимаются передачей прав на объекты интеллектуальной собственности.

Как правило, защищать нужно  результаты интеллектуальной деятельности. Это могут быть размещенные на сайте базы данных, полезные модели, промышленные образцы, секреты производства (ноу-хау), товарные знаки, коммерческие обозначения, фирменные наименования и т. д.

Некоторые объекты, например идею, полностью защитить невозможно. Однако идея нуждается в охране больше всего. Единственный выход – сообщение  не всей информации: опишите саму идею, но не раскрывайте составляющие, необходимые  для ее реализации. Полный список охраняемых результатов интеллектуальной деятельности и средств индивидуализации приводится в Гражданском кодексе РФ (ст. 1225).

Технические средства защиты данных от копирования

Запрет на копирование.  Наиболее распространенные способы  не требуют дополнительных затрат, и их может применить любой  программист. Это:

• запрет кэширования (сохранения информации в буфер обмена);

• запрет копирования элементов страницы;

• запрет выделения текста и его копирования с помощью клавиш Ctrl + C;

• ограничение функции сохранения картинки;

• защита от копирования модальными окнами;

• кодировка исходного кода страницы.

Нанесение на электронное  изображение «водяных знаков».  Если Вы выкладываете на сайте документы  или изображения, их можно защитить «водяными знаками» или надписями  с указанием правообладателя.

Выкладывайте графику  в низком разрешении.  Смысл этого  способа – сделать копирование  графических объектов для профессионального  использования бессмысленным. Вы также  можете поручить программистам разработать систему защиты от хакерских взломов. Нужна ли такая защита, зависит от ценности размещаемой информации. Бюджет – от 1000 руб. до нескольких миллионов долларов США. Однако практика показывает: если опытные хакеры задались целью взломать Ваш сайт, они своего добьются.