Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Модели воздействия программных закладок.




Перехват – в модели перехват ПЗ внедряется в ОЗУ, системное или прикладное ПО, сохраняет всю или выборочную информацию, вводимую с внешних устройств или выводимую на устройства, сохраняет вскрытые области памяти, затем отправляет по сети злоумышленнику.

Искажение бывает:

Статистическое – происходит один раз, при этом модифицирует приемную среду компьютера, изменяет параметры, в результате система выполняет нужные злоумышленнику действия.

Динамическое – заключается в изменении каких-либо параметров системных и прикладных прием и процессов, при заранее активизированных закладках.

1. искажение на входе – на обработку попадает уже искаженный документ

2. на выходе – искаженная информация, предназначенная для восприятия человеком или для работы других программ.

- наблюдение и компрометация – при модели наблюдения ПЗ встраивается СПО (сетевое программное обеспечение) и собирает всю информацию, которая проходит через канал. Также можно осуществит установку и удаление других ПЗ. Модель компрометации – позволяет получить доступ информации, перехваченной другими ПЗ. Инициирует обращение, приводящее к соотношению роста сигнала в шум

 

Троянские программы

Троянской программой называется программа, являющаяся частью другой программы с известными пользователю функция­ми, способная в тайне выполнять некоторые до­полнительные действия с целью причинения опре­деленного ущерба, либо программа, в которую были внесены изменения и помимо основных функций она способна выполнять вредоносные. Троянские программа - это плод труда програм­миста, целью которого является сбор конфиденци­альной информации. Задачей такого рода про­грамм является вскрытие паролей, ключей, реги­страционных номеров программ, сведений о бан­ковских счетах. Для операционной системы Windows программы борьбы с программами закладка­ми являются частью антивирусных программ.

 

Компьютерные вирусы.

Вирус – это специально написанная небольшая по размерам программа, которая может: создавать свои копии, внедрять их в файлы, системные области компьютера, может удалять, модифицировать и воровать информацию. Структура современного вируса: голова, тело, хвост. Чаще всего голова-хвост или голова-тело, хвост может быть пустым.

Классификация вирусов

Загрузочный вирус – резидентный, хвост пустой. Заражая дискету, вирус выполняет следующие действия: 1)Выделяет некоторую область, помечают её как недоступную. 2)Копирует в выделенную область свой хвост и оригинальный загрузочный сектор. 3)Замещает программу начальной загрузки своей головой. 4)Организует цепочку организаций управления по другой схеме. В результате голова вируса получает управление, он устанавливается в памяти и передает управление оригинальной программе.

Интернет черви. Для взлома системы пароля. Технически состоит из двух программ: голова начальной загрузки 99 строк на Си, тело – сам червь. Всегда компилируется и используется на атакуемом компьютере, будучи загруженным он связывается с машиной, с которой был загружен и загружает тело. Голова начинает искать новый компьютер, проверяет таблицы маршрутизации нового хоста, пытается внедрить свою голову. Пытается распространить начального загрузчика одним из трёх методов: 1)Пытается запустить удаленную оболочку при помощи команды rsh – автоматически загружается червь. 2)Использует программу, присутствующую в системах BSD программу finder, в результате червь получает управление оболочкой на удаленной машине. 3)Использует ошибки в почтовой системе sent mail. Позволяет рассылать начального загрузчика по электронной почте.

Макровирусы. Чаще всего в Word, Excel. Присоединяются к функции открыть файл и посылаются по электронной почте. Может содержать любую пользовательскую программу и выполнять любые действия. Действия чаще всего искажают и удаляют документы в Word, Excel.

Вирусы-компаньоны (спутники). Не заражают программы, а запускаются вместо них, для DOS и Windows. Пишутся для exe файлов, идут с расширением com. Воруют пароль. Вирусы, заражающие используемые файлы.

Перезаписывающие – записывает себя поверх используемой программы. Сначала копирует двоичную программу в массив, затем копирует файловую систему, начиная с корневого каталога и вызывает процедуру с корневым каталогом в качестве параметра.

Паразитические – прицепляются к программе и позволяет ей нормально выполняться до определённого времени (усложняет процедуру обнаружения), может присоединяться в начало, середину и конец файла, способен перекраивать карту памяти, перенастраивать программу по другому виртуальному адресу, рассчитан на Windows и на Unix.

Полосатые – пытаются полностью впихнуть себя в исполняемый файл, чаще не получается, начинает удалять строки, чтобы программа выполняла только основные функции.

Резидентные – типичный резидентный вирус, будучи заражённым в память компьютера, остаётся навсегда, модифицирует карту памяти операционной системы. Для того чтобы поверх вируса не была записана никакая программа. Перехватывает один из векторов прерываний, сохраняя старое назначение своей переменной, подменяет его адрес на свои процедуры. Прерывание может быть как от внешнего устройства ввода/вывода, так и эмулированное прерывание. Выполнив свои дела, вирус передаёт управление настоящему системному вызову. Процесс работы данного вируса не требует активности диска, очень долгое время остаётся не заметным, что позволяет выполнять ему разнообразные действия, не только модифицировать, удалять информацию, но и шпионить за данными.

Загрузочные – при запуске компьютера копирует себя в оперативную память, пока машина находится в режиме ядра, после того как он загружен, он запускает операционную систему, чаще всего вирус имеет информацию как операционная система управляет векторами прерывания. Windows не перезаписывает весь вектор за одну операцию, она постепенно загружает различные драйвера и служебные программы, это занимает около одной минуты. Это даёт вирусу захватить вектор управления и оставить его за собой навсегда, захватывает сразу все вектора прерывания.

Драйверные – тоже резидентные, по нагрузке могут быть паразитическими.

Вирусы, заражающие исходные тексты программы – самые переносимые, ищут программы на языке Си. Вставляют в начало каждого файла строку: #include <virus.h>, а в середину строки, которая активизирует вирус run_virus(). Для работы, вирус должен знать структуру и синтаксис языка Си, если удаётся правильно пометить вызов процедуры, то поле компиляции программы будет содержать вирусы, при запуске программы будет происходить обращение к вирусу. Сам вирус может выполнять различные действия. Будет работать только на локальной машине. Чтобы вирус мог работать на удалённой машине, необходимо включить в программу весь исходный текст вируса, который вставляется в виде текстовой строки, желательно в виде списка 32-х разрядных чисел.

 

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...