загрузка...
загрузка...
На головну

Загальна характеристика та класифікація комп'ютерних вірусів

  1.  B. Характеристика наявності основних фондів на дату і в середньорічному обчисленні. Баланси основних фондів по повній і залишкової вартості
  2.  I. Класифікація за наявністю функціональних груп
  3.  I. Загальна обстановка
  4.  I. Загальна характеристика психолого-медико-педагогічної консультації
  5.  I. Загальна частина.
  6.  I. Загальна частина.
  7.  III. Класифікація антибіотиків по спектру біологічної дії

06.12.2012 3:43 |

Під комп'ютерним вірусом розуміється автономно функціонуюча програма, здатна до самовключення в тіла інших програм і подальшого самовідтворення і самораспространению в інформціонно-обчислювальних мережах і окремих ЕОМ. Комп'ютерні віруси являють собою дуже ефективний засіб реалізації практично всіх загроз безпеки ІТТ, розглянутих раніше в цьому курсі. Тому питання аналізу можливостей комп'ютерних вірусів і розробки способів протидії вірусам в даний час придбали значну актуальність і утворили одне з найбільш пріоритетних напрямків робіт по забезпеченню безпеки інформаційно-обчислювальних мереж.

Попередниками комп'ютерних вірусів прийнято вважати так звані "троянські програми", тіла яких сордержат приховані послідовності команд, що виконують дії, що завдають шкоди користувачам. Найбільш розповсюдженим різновидом троянських програм є широко відомі програми массововго застосування (редактори, ігри, транслятори, СУБД і т.п.), в які вбудовані так звані "логічні бомби", що спрацьовують по настанню деякого події. У свою чергу, різновидом логічної бомби є "бомба з годинниковим механізмом", яка запускається в певні моменти часу. Слід зазначити, що троянські програми не є саморозмножуються і поширюються по ІТТ самими програмістами, зокрема, за допомогою загальнодоступних банків даних і програм, електронних дошок оголошень (BBS) і ін.

Принципова відмінність вірусу від троянської програми полягає в тому, що вірус після запуску перенесення у ІТТ існує самостійно (автономно) і в процесі свого функціонування заражає (інфікує) програми шляхом включення (імплантації) в них свого тексту. Таким чином, вірус представляє собою своєрідний "генератор троянських програм". Програми, заражені вірусом, називають також вірусоносіями.

Зараження програми (виконуваного файлу, стосовно найбільш поширеною операційній системі PC-подібних ПЕОМ MS-DOS), як правило, виконується таким чином, щоб вірус отримав управління раніше самої програми. Для цього він або вбудовується в початок програми, або імплантується в її тіло так, що першою командою інфікованої програми є безумовний перехід на тіло вірусу, яке закінчується аналогічною командою безумовного переходу на команду вірусоносія, колишню першої до зараження. Отримавши управління, вірус вибирає наступний файл, заражає його, можливо, виконує будь-які інші дії, після чого віддає управління вірусоносії.

"Первинне" зараження відбувається в процесі надходження інфікованих програм з пам'яті однієї машини в пам'ять іншої, причому в качетсве засоби переміщення цих програм можуть використовуватися як магнітні носії (дискети), так і канали ІТТ. Віруси, які використовують для розмноження канали ІТТ, прийнято називати мережними.

Цикл життя вірусу зазвичай включає наступні періоди:

· Впровадження;

· Інкубаційний;

· Реплікації (саморозмноження);

· Прояви.

Протягом інкубаційного періоду вірус пасивний, що ускладнює завдання його пошуку і нейтралізації. На етапі прояви вірус виконує властиві йому цільові функції, наприклад, незворотну корекцію інформації на магнітних носіях, створення перешкод нормальній роботі користувача, виведення з ладу апаратного забезпечення і ін.
 Фізична структура вірусу достатньо проста. Він складається з голови і, можливо, хвоста. Під головою вірусу розуміється його компонента, яка отримує управління першою. Хвіст - це частина вірусу, розташована в тексті інфікованої програми окремо від голови. Віруси, що складаються з однієї голови, називають несегментованими, тоді як віруси, що містять голову і хвіст - сегментірваннимі.

За характером розміщення в пам'яті ПЕОМ з операційною системою MS-DOS віруси прийнято поділяти на наступні типи:

· Файлові нерезидентні;

· Файлові резидентні;

· Бутові;

· Гібридні;

· Пакетні.

Файловий нерезидентний вірус цілком розміщується в виконуваному файлі, в зв'язку з чим він активізується тільки в разі активізації вирусоносителя, а по виконанні необхідних дій повертає управління самій програмі-вірусоносіїв. При цьому вибір чергового файлу для зараження здійснюється вірусом за допомогою пошуку за каталогом.
 Файловий резидентний вірус відрізняється від нерезидентного тим, що заражає не тільки виконувані файли, що знаходяться у зовнішній пам'яті, але і оперативну пам'ять ЕОМ. З чисто технологічної точки зору оперативну пам'ять можна вважати файлом, до якого можна застосувати всі описані вище способи імплантації. Однак резидентний вірус відрізняється від нерезидентного як логічною структурою, так і загальним алгоритмом функціонування. Резидентний вірус складається з так званого інсталятора та програм обробки переривань. Інсталятор отримує управління при активізації вирусоносителя і інфікує оперативну пам'ять шляхом розміщення в ній керуючої частини вірусу і заміни адрес в таблиці переривань на адреси своїх підпрограм, що обробляють ці переривання. На так званій фазі стеження, наступної за описаною фазою інсталяції, у разі виникнення будь-яких переривання управління отримує відповідна підпрограма вірусу. У зв'язку з істотно більш універсальною порівняно з нерезидентними вірусами загальною схемою функціонування, резидентні віруси можуть реалізовувати найрізноманітніші способи інфікування. Найбільш поширеними способами є інфікування запускаються, а також файлів при їх відкритті або читанні.

Однією з різновидів резидентних вірусів є так звані бутові віруси. Відмінною особливістю цих вірусів є інфікування завантажувального сектора (бут-сектора, boot-sector) магнітного носія (гнучкого або жорсткого диска). При цьому інфікованими можуть бути як завантажувальні, так і звичайні дискети. Перші містять копію MS-DOS, тоді як другі - довільну інформацію. Голова бутового вірусу завжди знаходиться в бут-секторі, а хвіст - в будь-який інший області носія. Найбільш безпечним для вірусу способом вважається розміщення хвоста в так званих псевдосбойних кластерах, логічно виключених з числа доступних для використання. Істотно, що хвіст бутового вірусу завжди містить копію оригінального (вихідного) бут-сектора. Механізм інфікування, що реалізовується бутовими вірусами, такий. При завантаженні MS-DOS з інфікованого диска вірус, в силу свого положення на ньому (незалежно від того, з дискети або з жорсткого диска сталася завантаження), отримує управління і копіює себе в оперативну пам'ять. Потім він модифікує таблицю переривань таким чином, щоб переривання за зверненням до диска оброблювати власним обробником переривань вірусу, і запускає завантажувач операційної системи. Завдяки перехоплення переривань, бутові віруси можуть реалізовувати настільки ж широкий набір способів інфікування і цільових функцій, як і файлові резидентні віруси.

Близькість механізмів функціонування бутових і файлових резидентних вірусів уможливила і природним поява файлово-бутових, або гібридних, вірусів, що інфікують як файли, так і бут-сектора.

Особливістю пакетного вірусу є розміщення його голови в пакетному файлі. При цьому голова представляє собою рядок або програму на мові управління завданнями операційної системи.

Мережеві віруси, звані також автономними реплікативного програмами, або, для стислості, реплікаторами, використовують для розмноження кошти мережевих операційних систем ІТТ. Найбільш просто реалізується розмноження в тих випадках, коли протоколами ІТТ передбачений обмін програмами. Однак, як показує досвід, розмноження можливо і в тих випадках, коли зазначені протоколи орієнтовані тільки на обмін повідомленнями. Класичним прикладом реалізації процесу розмноження з використанням тільки стандартних засобів електронної пошти є широко відомий реплікатор Морріса, який здійснив поразку мережі Internet. Текст репликатора передається від однієї ЕОМ до іншої як звичайне електронне повідомлення, поступово заповнює буфер, виділений в оперативній пам'яті ЕОМ-адресата. В результаті переповнення буфера, ініційованого передачею, адреса повернення в програму, що викликала програму прийому повідомлення, заміщається на адресу самого буфера, де до моменту повернення вже знаходиться тіло вірусу. Тим самим, вірус отримує управління і починає функціонувати на ЕОМ-адресата. "Лазівки", подібні до описаної і зумовлені особливостями реалізації тих чи інших функцій в програмному забезпеченні ІТТ, є об'єктивною передумовою для створення та впровадження реплікаторів зловмисниками.

Ефекти, що викликаються вірусами в процесі реалізації ними цільових функцій, прийнято ділити на наступні цільові групи:

· Спотворення інформації в файлах або в таблиці розміщення файлів (FAT), яке може привести до руйнування файлової системи MS-DOS в цілому;

· Імітація збоїв апаратних засобів і виведення з ладу апаратних засобів;

· Ініціювання помилок в програмах користувачів або операційної системи;

· Створення звукових і візуальних ефектів, включаючи, наприклад, відображення повідомлень, що вводять операторів в оману або ускладнюють їх роботу.

Симптоматика вірусного ураження ПК.

Імовірність поразки комп'ютера вірусами досить висока. Тому треба знати деякі симптоми "захворювання", приймати регулярні профілактичні заходи і вміти шити свій ПК в критичних ситуаціях. До числа найбільш характерних ознак зараження комп'ютера вірусами відносяться наступні

- Деякі раніше виконувалися прогрмми перестають запускатися або раптово остонавліваются в процесі роботи;

- Збільшується довжина виконуваних файлів (особливо важливо проконтролювати довжину файлу command.com, натболее часто використовуваного в першу чергу страждає від вірусних атак);

- Швидко скорочується обсяг вільної дискової пам'яті;

- З'являються додаткові погані кластери, в яких віруси ховають свої фрагменти або "викрушенние" частини пошкоджених файлів;

- Сповільнюється робота деяких програм;

- В текстових файлах з'являються бесмисленно фрагменти;

- Спостерігаються спроби записи на захищені дискету (віруси з "малим інтелектом" не здогадуються при цьому придушити відповідні "червоне" попередження MS - DOS);

- На екрані з'являється дивні повідомлення, які ви раніше не спостерігали;

- З'являються файли з дивними датами і часом создани (неіснуючі дні не існуючих місяців, роки з наступного століття, години, хвилини і секунди, що не укладаються в загальноприйняті інтервали);

- Операційна система перестає завантажуватися з вінчестера;




 ПОНЯТТЯ ОПЕРАЦІЙНОЇ СИСТЕМИ |  Робочий стіл Windows. |  Операційні системи типу DOS |  Операційні системи загального призначення |  файлова система |  Типи файлів і каталогів |  файлові менеджери |  Пошук файлів і каталогів |  Куди дівається вільне місце на диску? |  FORMAT : / FS: NTFS / A: 4096 |

загрузка...
© um.co.ua - учбові матеріали та реферати