Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Информационная безопасность.

1Понятие иб. Связь инф-ой и национальной безопасности. Ответ: Иб называют меры по защите инф-и от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Под безопасностью инф-и понимается состояние защищенности инф-и, обрабатываемой средствами ВТ или автоматизированной системы, от внешних или внешних угроз. Другими словами – это состояние устойчивости информации к случайным или преднамеренным воздействиям, исключающее недопустимые риски ее уничтожения, искажения и раскрытия, которые проводят к материальному ущербу владельца или пользователя информации. Инф-я, составляющая гос-ю тайну. Владельцем этой категории инф-и явл-я гос-во. Оно само выдвигает требования по её защите и контролирует их исполнение Законом РФ «о государственной тайне» от 21 июля 1993г Нарушение этих требований влечет за собой примечание санкций, предусмотренных Ук РФ. К гос-й тайне относится защищаемые гос-ом сведения в области военной, внешнеполитической, эко-й, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распр-ие которых может нанести ущерб безопасности РФ. В связи с чрезвычайно высокой важностью данного вида информации доступ к сведениями, составляющим гос-ю тайну, обеспечивается для работников только после проведения процедуры оформления соот-го права(допуска). Предприятия, учреждения и орг-и получают право на проведение работ с исп-ем сведений, содержащих гос-ю тайну, также после получения соот-их полномочий. 2Классификация угроз инфо-ой б России. Ответ: По источнику разделяют случайные и преднамеренные угрозы. Случайные угрозы возникают независимо от воли и желания людей. Данный тип угроз связан чаще всего с прямым физическим воздействием на элементы инфор-ной си-мы (природного или техногенного характера) и ведет к нарушению работы этой си-мы и/или физическому повреждению (уничтожению) носителей инф-ии, ср-в обработки и передачи данных, телекоммуникационных каналов. Причиной возникновения угроз случайного характера могут быть как сбои вследствие конкретных ошибок персонала и прямых непреднамеренных действий иных лиц, так и случайные нарушения в работе системы. Преднамеренные угрозы, в отличие от случайных, могут быть созданы только людьми, действующими целенаправленно с целью дезорганизовать работу информационной системы. Преднамеренные угрозы, в свою очередь, подразделяются на пассивные и активные. Пассивные угрозы вытекают из несанкц-го доступа к инф-ии и не связаны с каким-либо изменением инф-ии. Активные угрозы являются следствием попыток изменения (перехвата, модификации, уничтожения) информации. Рассмотрим типичные угрозы, характерные для современных распределенных систем обработки информации. При этом выделим фундаментальные угрозы и первичные инициирующие угрозы. К фундаментальным угрозам относятся следующие разновидности угроз. 1. Утечка информации - раскрытие информации неавторизованному пользователю или процессу. 2. Нарушение целостности - компрометация согласованности (непротиворечивости) данных путем целенаправленного создания, подмены и разрушения данных. 3. Отказ в услуге - преднамеренная блокировка доступа к информации или другим ресурсам (например, при помощи перегрузки сервера потоком запросов). 4. Незаконное использование - использование ресурсов неавторизованным объектом или субъектом. Фундаментальные угрозы инициируются реализацией первичных угроз проникновения и внедрения. К первичным угрозам проникновения относятся маскарад (попытка выдать себя за авторизованного пользователя или процесс), обход защиты (использование уязвимостей системы безопасности для обхода механизмов защиты), нарушение полномочий (использование ресурсов не по назначению). Заметим, что маскарад как правило реализуется внешними нарушителями (хакерами), в то время как нарушение полномочий является угрозой со стороны внутреннего нарушителя (инсайдера). К первичным угрозам внедрения относятся, в частности, троянские программы (про-мы, содержащие скрытые или замалчиваемые функции, выполнение которых нарушает безопасность системы), логические бомбы (про-мы или участки кода в программе, реализующие деструктивную функцию при выполнении определенного условия, например, при наступлении определенной даты или обнаружении файла с заданным именем) и потайные ходы (дополнительные возможности, тайно встраиваемые в систему или ее компоненты, нарушающие безопасность системы при вводе специфических данных). Троянские про-мы широко известны, благодаря своему распространению в сети Интернет. Код троянской программы может быть незаметно передан на компьютер пользователя вместе с Web-страницей. Затем, используя уязвимости опер-ой си-мы, троянская программа может, например, предоставить своему владельцу доступ к данным с "зараженного" компьютера. Логические бомбы, поскольку они позволяют значительно отсрочить во времени обнаружение атаки, часто используются тех-ми специалистами как средство мести работодателям, которые их несправедливо уволили или чем-либо обидели. Примером угрозы типа потайной ход является возможность применения универсального пароля для обхода встроенной в базовое программное обеспечение персонального комп-ра си-мы парольной защиты. Комп-ные вирусы. Комп-ые вирусы являются квинтэссенцией всевозможных методов нарушения безопасности. Отличительной особенностью компьютерного вируса является его способность распространяться от файла к файлу и от компьютера к компьютеру, используя различные уязвимости системы безопасности. Причем наносимый вирусом ущерб может быть связан как с реализацией конкретных деструктивных функций, так и с самим фактом распространения вируса, например, по каналам электронной почты. Угрозы безопасности в компьютерных сетях. Использование распределенной сетевой структуры дает важные преимущества: разделение ресурсов системы, повышение надежности функционирования, распределение загрузки среди узлов сети, масштабируемость и расширяемость и др. Вместе с тем в компьютерных сетях возникают достаточно специфические угрозы безопасности. Можно отметить следующие из них. Разделение совместно используемых ресурсов. В силу совместного использования большого количества ресурсов различными пользователями сети, возможно, находящимися на большом расстоянии друг от друга, значительно повышается риск несанкционированного доступа, так как его можно осуществить проще и незаметнее, используя уязвимости множества сетевых сервисов. Расширение зоны контроля. Адми-ор или оператор отдельной системы или подсети должен контролировать деятельность пользователей, находящихся вне пределов его досягаемости. Комбинация различных программно-аппаратных средств. Соединение нескольких систем в сеть увеличивает уязвимость всей системы в целом, поскольку каждая информационная система настроена на выполнение своих специфических требований безопасности, которые могут оказаться несовместимыми с требованиями на других системах. Неизвестный параметр. Легкая расширяемость сетей ведет к тому, что определить границы сети подчас бывает сложно, так как один и тот же узел может быть доступен для пользователей различных сетей. Более того, для многих из них не всегда можно точно определить, сколько пользователей имеют доступ к определенному узлу сети и кто они. Множество точек атаки. В сетях один и тот же набор данных или сообщение может передаваться через несколько промежуточных узлов, каждый из которых является потенциальным источником угрозы. Кроме того, ко многим современным сетям можно получить доступ с помощью коммутируемых линий связи и модема, что во много раз увеличивает количество возможных точек атаки. Сложность управления и контроля доступа к системе. Многие атаки на сеть могут осуществляться без получения физического доступа к определенному узлу - с помощью сети из удаленных точек. Важно отметить, что угрозы безопасности различного типа на практике, как правило, демонстрируют сложную взаимосвязь. 3Предмет защиты инф-ии. Сво-ва инф-ии как предмета защиты.Ответ: Будучи объектом преобразования и использования, информация характеризуется следующими свойствами: синтаксис – свойство, определяющее способ представления информации на носителе (в сигнале). Так, данная информация представлена на электронном носителе с помощью определенного шрифта. Здесь же можно рассматривать такие параметры представления информации, как стиль и цвет шрифта, его размеры, междустрочный интервал и т.д. Выделение нужных параметров как синтаксических свойств, очевидно, определяется предполагаемым способом преобразования. Например, для плохо видящего человека существенным является размер и цвет шрифта. Если предполагается вводить данный текст в компьютер через сканер, важен формат бумаги; семантика – свойство, определяющее смысл информации как соответствие сигнала реальному миру. Так, семантика сигнала “информатика” заключается в данном ранее определении. Семантика может рассматриваться как некоторое соглашение, известное потребителю информации, о том, что означает каждый сигнал (так называемое правило интерпретации). Например, именно семантику сигналов изучает начинающий автомобилист, штудирующий правила дорожного движения, познавая дорожные знаки (в этом случае сигналами выступают сами знаки). Семантику слов (сигналов) познаёт обучаемый какому-либо иностранному языку. Можно сказать, что смысл обучения информатике заключается в изучении семантики различных сигналов – суть ключевых понятий этой дисциплины; прагматика – свойство, определяющее влияние информации на поведение потребителя. Так прагматика информации, получаемой читателем настоящего учебного пособия, заключается, по меньшей мере, в успешной сдаче экзамена по информатике. Хочется верить, что этим прагматика данного труда не ограничится, и он послужит для дальнейшего обучения и профессиональной деятельности читателя. Свойства информации: запоминаемость; передаваемость; преобразуемость; воспроизводимость; стираемость. 4Объект защиты инф-ии. Система защиты инф-ии в компьютерной системе. Ответ: Рассматривая информацию, как объект защиты, следует заметить, что информация – это результат отражения и обработки в человеческом сознании разнообразия окружающего мира, это сведения об окружающих человека предметах, явлениях природы, деятельности других людей и т.д. Сведения, которыми одно лицо обменивается через электронно-вычислительные машины (ЭВМ), с другим лицом либо ЭВМ, и являются предметом защиты. 5Случайные угрозы инф-ой бе-ти в комп-ых сис-ах. Ответ: Случайные угрозы производят физические изменения уровней сигналов в цифровых кодах, несущих инф-ию. В результате случайных угроз может произойти изменения алгоритма обработки инф-ии на непредусмотренный, ха-р которого тоже может быть различным: в лучшем случаи – остановка вычислительного процесса, а в худшем – его модификация. По источнику разделяют случайные и преднамеренные угрозы. Случайные угрозы возникают независимо от воли и желания людей. Данный тип угроз связан чаще всего с прямым физическим воздействием на элементы информационной системы (природного или техногенного характера) и ведет к нарушению работы этой системы и/или физическому повреждению (уничтожению) носителей информации, средств обработки и передачи данных, телекоммуникационных каналов. Причиной возникновения угроз случайного характера могут быть как сбои вследствие конкретных ошибок персонала и прямых непреднамеренных действий иных лиц (например, повреждение кабельной линии связи при проведении строительных работ), так и случайные нарушения в работе системы (например, вследствие поломки оборудования, сбоя в работе программного обеспечения и т.д.) Преднамеренные угрозы, в отличие от случайных, могут быть созданы только людьми. 6Понятие и кла-ция комп-ых вирусов. Ответ: Комп-ый вирус - это специально написанная, небольшая по размерам про-ма (т.е. некоторая сово-ть выполняемого кода), которая может "приписывать" себя к другим про-мам ("заражать" их), создавать свои копии и внедрять их в файлы, системные области комп-ра и т.д., а также выполнять различные нежелательные действия на комп-ре. В настоящее время программных вирусов можно классифицировать по следующим признакам:среде обитания,способу заражения среды обитания, воздействию, особенностям алгоритма.В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распр-ся по различным комп-ым сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в опер-ой памяти свою резидентную часть, которая потом перехватывает обращение опер-ой системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.По степени возд-ия вирусы можно разделить на следующие виды: неопасные, не мешающие работе компьютера, но уменьшающие объем свободной опер-ой памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо граф-их или звуковых эффектах; опасные вирусы, которые могут привести к различным нарушениям в работе комп-ра; очень опасные, возд-ие которых может привести к потере программ, уничтожению данных, стиранию инф-ии в системных областях диска.По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. 7Файловые вирусы. Алгоритм работы файлового вируса. Ответ: Файловый вирус - компьютерный вирус, прикрепляющий себя к файлу или программе, и активизирующийся при каждом использовании файла. Различают вирусы-компаньоны, макровирусы, полиморфные вирусы, вирусы-невидимки. Файловые вирусы. Поражают файлы с расширением.com,.ехе, реже.sys или оверлейные модули.ехе файлов. Эти вирусы дописывают своё тело в начало, середину или конец файла и изменяют его таким образом, чтобы первыми получить управление. Некоторые из этих вирусов не заботятся о сохранение заражаемого файла, в результате чего он оказывается неработоспособным; и, что самое печальное, такой файл нельзя восстановить. Часть этих вирусов остаётся в памяти резидентно. Файловые вирусы К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС. Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС. На сегодняшний день известны вирусы, поражающие все типы выполняемых объектов стандартной DOS: командные файлы (BAT), загружаемые драйверы (SYS, в том числе специальные файлы IO.SYS и MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM). Существуют вирусы, поражающие исполняемые файлы других операционных систем - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, включая VxD- драйвера Windows 3.x и Windows95. Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки вируса, либо при проявлении его агрессивных свойств. Макро-вирусы также записывают свой код в файлы данных - документы или электронные таблицы, - однако эти вирусы настолько специфичны, что вынесены в отдельную группу. По способу заражения файлов вирусы делятся на «overwriting», паразитические («parasitic»), компаньон-вирусы («companion»), «link»- вирусы, вирусы-черви и вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ. 8.Загрузочные вирусы. Алгоритм работы загрузочного вируса. Ответ: когда вы включаете компьютер Первым делом управление передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве (ПЗУ) Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А: Всякая дискета размечена на т.н. секторы и дорожки. Секторы объединяются в кластеры, но это для нас несущественно. Среди секторов есть несколько служебных, используемых опер-ой си-ой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас интересует сектор начальной загрузки (boot-sector). В секторе начальной загрузки хранится информация о дискете – кол-во поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму опер-ю систему и передать ей упр-ие. Пусть у вас имеются чистая дискета и зараженный комп-р, под которым мы понимаем комп-р с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия: выделяет некоторую область диска и помечает ее как недоступную опер-ой системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad); копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор; замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой; организует цепочку передачи упр-ия согласно схеме. Т- обр-м, голова вируса теперь первой получает упр-ие, вирус устанавливается в память и передает упр-ие оригинальному загрузочному сектору. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление про-ма начальной загрузки в MBR (Master Boot Record - главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Про-ма начальной загрузки в MBR находит загрузочный раздел винчестера и передает упр-ие на про-му начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки в бут-секторе загрузочного диска. 9Макровирусы: общие сведения, принципы работы. Ответ: Макровирус - файловый вирус, существующий в виде макроса для определенного приложения. При открытии зараженного файла вирус прикрепляет себя к приложению и заражает все файлы, к которым обращается программа Макровирусы (macro viruses) являются про-ми написанными на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла (документа или таблицы) в другие. Наибольшее распр-ие получили макровирусы для Microsoft Word, Excel и Office. При работе с документом MS Word версий 6 и 7 выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т. д. При этом Word ищет и выполняет соответствующие встроенные макросы: при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs — FileSaveAs, при печати документов — FilePrint и т. д., если, конечно, таковые макросы определены. 10Сетевые вирусы. Логические бомбы. Intended-вирусы. Ответ: К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и гло-ых сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Полноценные сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном комп-ре или, по крайней мере, подтолкнуть поль-ля к запуску зараженного файла. Логическая бомба – это про-ма, выполняемая периодически или в определенный момент времени с целью исказить, уничтожить или модифицировать данные. Лог-я бомба может быть «заложена» внутрь вредоносных про-м другого типа, вызывая их срабатывание в заданное время. Кроме того, лог-я бомба может находиться и внутри обычных программ, вызывая прекращение их работы в заданное время. Лог-я бомба может быть «доставлена» адресату при помощи эле-ой почты, вместе с вирусом или троянской про-й, рассмотренной в следующем разделе. Логическая бомба может быть внедрена в про-му или систему еще на этапе ее разработки. Название отражает тот факт, что вредоносные действия выполнятся не сразу после проникновения логической бомбы на компьютер, а через некоторое время или при выполнении некоторых условий. Intended-вирусы К таким вирусам относятся про-мы, которые на первый взгляд являются стопроцентными вирусами, но не способны размножаться по причине ошибок. К категории "intended" также относятся вирусы, которые по приведенным выше причинам размножаются только один раз - из "авторской" копии. Заразив какой-либо файл, они теряют способность к дальнейшему размножению.Появляются intended-вирусы чаще всего при неумелой перекомпиляции какого-либо уже существующего вируса, либо по причине недостаточного знания языка программирования, либо по причине незнания технических тонкостей операционной системы. 11Комп=ые вирусы: основные пути заражения вирусами. Ответ: Основными путями проникновения вирусов в комп-р явл-ся съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке про-мы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление. Вирус, как правило, внедряется в рабочую про-му таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске упр-ие сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска про-мы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы. После заражения про-мы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной про-мы переносит вирус в следующую. Таким образом, заразится все программное обеспечение. 12Основные правила защиты от комп-ых вирусов. Проблема защиты от макровирусов. Ответ: Для защиты от вирусов можно использовать: общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя; профилактические меры, позволяющие уменьшить вероятность заражения вирусом; специализированные про-мы для защиты от вирусов. Общие средства защиты инф-ии полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств: копирование информации - создание копий файлов и системных областей дисков; разграничение доступа предотвращает несан-ное испо-ие инф-ии, в частности, защиту от изменений про-м и данных вирусами, неправильно работающими про-ми и ошибочными действиями пользователей. 13Антивирусные про-мы и их хара-ки. Ответ: Современные антивирусные про-мы пред-ют собой многофу-ные продукты, сочетающие в себе как превентивные, профилактические ср-ва, так и ср-ва лечения вирусов и восстановления данных. Ха-ка антивирусных про-м. Антивирусные про-мы делятся на: программы-детекторы, программы-доктора, программы-ревизоры, программы-фильтры, программы-вакцины. Программы-детекторы обес-ют поиск и обнаружение вирусов в опер-ой памяти и на внешних носителях, и при обнаружении выдают соот-щее сооб-ие. Различают детекторы универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов. Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы. Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором. Недостатком таких антивирусных про грамм является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. Программы-доктора (фаги), не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой про-мы от изменений, внесенных вирусом. Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут явл-ся:попытки коррекции файлов с расширениями СОМ и ЕХЕ;изменение атрибутов файлов;прямая запись на диск по абсолютному адресу;запись в загрузочные сектора диска.загрузка резидентной программы. При попытке какой-либо про-мы произвести указанные действия "сторож" посылает пользователю сообщение н предлагает запретить или разрешить соот-щее действие. Про-мы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его сущее-ния до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие про-мы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов. 14Типы антивирусов. Сканеры и их хара-ки. Ответ: Самыми популярными и эффективными антивирусными про-ми явл-ся анти-ные сканеры (другие названия: фаги, полифаги). Следом за ними по эффективности и популярности следуют CRC-сканеры (также: ревизор, checksumer, integrity checker). Часто оба приведенных метода объединяются в одну универсальную антивирусную про-му, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы. Сканеры Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса явл-ся некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода являетcя алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов. Во многих сканерах используются также алгоритмы «эвристического сканирования», т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний. Сканеры также можно разделить на две категории — «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поисх и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специали-нные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel. Сканеры также делятся на «резидентные» (мониторы), производящие сканирование «на-лету», и «нерезидентные», обеспечивающие проверку системы только по запросу. Как правило, «резидентные» сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как «нерезидентный» сканер способен опознать вирус только во время своего очередного запуска. К достоинствам сканеров всех типов относится их универ-ть, к недостаткам — размеры антивирусных баз, которые сканерам приходится «таскать за собой», и относительно небольшую скорость поиска вирусов. CRC-сканеры Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по комп-ру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует инф-ия об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них. Блокировщики Антивирусные блокировщики — это резидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа поль-лей от подобного рода антивирусных про-мм (мне, например, неизвестно ни об одном блокировщике для Windows95/NT — нет спроса, нет и предложения). Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера («железа»). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с про-ми блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает «ложное срабатывание» защиты. Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики крайне непопулярными на фоне остальных типов антивирусной защиты. Иммунизаторы Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуск

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...