Главная страница
Навигация по странице:

  • 24. Вредоносное ПО. Виды и особенности.

  • Методы работы и основные компоненты антивирусного ПО.

  • Эвристический анализ.

  • Эвристические методы. Поиск вирусов, похожих на известные.

  • Поиск вирусов, выполняющих подозрительные действия

  • 26.Принципы защиты серверов и клиентских компьютеров от вредоносного ПО

  • 28. Операционные системы. Понятие и основные функции ОС. Классификация.

    		•

    Алгоритмы поиска. Линейный поиск. Двоичный поиск. Алгоритмы поиска


    Скачать 244.42 Kb.
    НазваниеАлгоритмы поиска. Линейный поиск. Двоичный поиск. Алгоритмы поиска
    Анкорinformatika_shpory.docx
    Дата09.09.2018
    Размер244.42 Kb.
    Формат файлаdocx
    Имя файлаinformatika_shpory.docx
    ТипДокументы
    #24288
    страница4 из 10
    1   2   3   4   5   6   7   8   9   10

    Классификация по принципу действия: черви, троянские кони и логические бомбы


    На сегодняшний день одними из самых распространенных вирусов являются черви,  которые независимо распространяются через Интернет. Они рассылают себя всем пользователям, записанным в адресной книге жертвы, либо распространяются через электронные письма, мгновенные сообщения или файлообменные сети. Довольно часто они содержат собственную службу SMTP. Некоторые черви свободно циркулируют в Интернете, поджидая новые жертвы с дырами безопасности в программном обеспечении.

     

    Хотя по способу действия троянские кони отличаются от обычных вирусов, их по-прежнему причисляют к этому семейству, несмотря на то, что обычно они скрываются за другой программой. Как правило они открывают дыры безопасности, используя которые, другие вредоносные программы устанавливают себя в системе, либо злоумышленник захватывает управление системой.

     

    Логические бомбы — это вирусы, которые активизируются в определенное время или по удаленной команде злоумышленника. Также различают резидентные вирусы,  которые постоянно находятся в памяти компьютера и заражают все запускаемые исполняемые файлы. Нерезидентные вирусы содержатся в зараженных программах и активны во время выполнения этих программ.

    Классификация по способу распространения


    Системные вирусынаделали много шума во времена использования дискет, заражая загрузочные секторы и разделы компьютера, однако сегодня они практически не встречаются. Программные вирусы предназначены для одной или нескольких программ. Макровирусы атакуют макросы в таких наиболее популярных офисных приложениях, как Word или Excel. Вирусы сценариев проникают на компьютеры жертв, используя функции программ на языках VBScript и JavaScript. Вирусы массовой рассылки автоматически отправляют себя по всем адресам электронной почты, найденным на компьютере жертвы.

    Классификация по форме


    Учитывая наличие мутаций вирусов, создателям антивирусных программ пришлось различать варианты вредоносного кода, присваивая им коды от A до Z. Злоумышленники модифицируют вирусы, чтобы их нельзя было распознать по способу действия или сигнатуре. Создание новой версии дает возможность злоумышленнику заражать новые жертвы, пока создатели антивирусных программ не включат сигнатуру этой версии в свои базы данных. Авторы некоторых вирусов пошли в этом направлении еще дальше и создали полиморфные вирусы, которые постоянно зашифровывают и расшифровывают свою сигнатуру. За счет постоянного видоизменения такие вирусы сложнее обнаружить. Наконец, последними, но не менее важными, являются ретровирусы, которые изменяют базы данных антивирусных программ, делая их непригодными к использованию.
    24. Вредоносное ПО. Виды и особенности.

    Вредоносная программа – это любое программно обеспечение, предназначенное для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ, с целью причинения вреда (ущерба) владельцу информации.

    Наиболее распространенным видами вредоносных программ являются трояны, черви и вирусы.

    Троян – вредоносная программа, используемая злоумышленниками для сбора информации, ее разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. К троянским коням обычно относят программы, которые внедряются в систему и скрытно от пользователя выполняют заложенные в них злоумышленником действия. Это очень разнообразный класс вредоносного ПО. В первую очередь их различают по типу действия. Среди них есть программы, позволяющие злоумышленникам осуществлять удаленное управление зараженным компьютером, показывающие рекламу, направляющие пользователей на различные сайты, загружающие и устанавливающие в систему другое вредоносное ПО, рассылка спама, участие в DOS-атаках.

    Одним из способом распространения троянских коней являются веб-страницы с внедренными в них специальными скриптами. Благодаря существующим в разных браузерах уязвимостям при посещении такого сайта вредоносное ПО автоматически загружается на компьютер и внедряется в систему.

    Компьютерный вирус – разновидность компьютерной программы, отличительной особенностью которой является способность к размножению (саморепликации). В дополнение к этому он может повреждать или полностью уничтожать данные, подконтрольные пользователю, от имени которого была запущена зараженная программа. Среди компьютерных вирусов есть как совершенно безобидные (программы-шутки), так и очень опасные, способные обрушить систему, уничтожить все документы на жестком диске. Распространяются они в большинстве случаев с помощью мобильных накопителей информации (CD и DVD-диски, флеш-карты, внешние винчестеры).

    В первое время пальму первенства по широте распространения надежно удерживали вирусы, поражающие исполняемые файлы. Однако сегодня они уступили ее макровирусам. Это вредоносное ПО представляет собой макросы, внедряющиеся в различные документы (особенно сильно этим страдают документы Microsoft Office) и выполняющие определенные деструктивные действия.

    Сетевой червь – разновидность самовоспроизводящейся компьютерной программы, распространяющейся в локальных и глобальных компьютерных сетях. Для этого они используют разные способы. Еще недавно самым популярным из них была рассылка по Email (как вариант, различные менеджеры ICQ, IRC), ссылки на файл, размещенный на веб-странице. Внедряясь в систему, сетевой червь самостоятельно отправлял письма со своей копией на почтовые ящики из адресной книги зараженного компьютера. Сетевые черви известны тем, что несколько раз устраивали настоящие эпидемии, охватывающие весь земной шар.

    Однако в последнее время все больше и больше вирусов переходя на автоматическое внедрение, используя при этом «дыры» в клиентах и самой операционной системе.

    Обнаружить присутствие сетевого червя можно по трем основным признакам. Первый – большое количество исходящих TCP/IP-пакетов, которые рассылаются постоянно или через более-менее определенные промежутки времени. Второй – подозрительное содержимое TCP/IP-пакетов. Однако для конечного пользователя наибольшую пользу представляет собой третий признак – необычная структура потребляемого трафика. Необъяснимое увеличение потребляемого или резкое увеличение доли исходящего трафика почти наверняка указывает на наличие вредоносного ПО.

    Вредоносные программы чаще всего проникают на компьютер через Интернет или по электронной почте.

    Симптомы заражения:

    - автоматическое открытие окон с незнакомым содержанием при запуске компьютера;

    - блокировка доступа к официальным сайтам антивирусных компаний;

    - появление новых неизвестных процессов в окне «Процессы» диспетчера задач Windows;

    - появление в ветках реестра, отвечающих за автозапуск, новых записей;

    - запрет на изменение настроек компьютера в учетной записи администратора;

    - невозможность запустить исполняемый файл (выдается сообщение об ошибке);

    - появление всплывающих окон или системных сообщение с непривычным тексом, в том числе содержащих неизвестные веб-адреса;

    - перезапуск компьютера во время старта какой-либо программы;

    - случайное или беспорядочное отключение компьютера;

    - случайное аварийное завершение программ и др.

    Методы защиты от вредоносных программ:

    - использовать современные ОС, не дающие изменять важные файлы без ведома пользователя;

    - своевременно устанавливать обновления;

    - использование антивирусных программ;

    - ограничить физический доступ к компьютеру посторонних лиц;

    - стараться работать на ПК под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлировать на ПК;

    - использовать внешние носители информации только от проверенных источников;

    - не открывать компьютерные файлы, полученные от ненадежных источников.


    1. Методы работы и основные компоненты антивирусного ПО.

    Антивирусная программа – любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики – предотвращения заражения файлов и ОС вредоносным кодом.

    Современные антивирусные программы обычно состоят из нескольких модулей:

    1. Антивирусный монитор работает постоянно, проверяя все открываемые файлы.

    2. Антивирусный сканер проверяет систему только тогда, когда пользователь сам пожелает.

    3. Веб-экран защищает компьютер от вторжения вирусов, скриптов и несанкционированного вторжения при серфинге в Интернет.

    4. Модуль защиты электронной почты проверяет все приходящие письма на наличие вредоносных элементов и спама.

    5. Модуль автоматического обновления производит обновление антивирусной базы с сервера фирмы- производителя этого антивируса. В связи с постоянным появлением новых образцов вирусов данных модуль должен запускаться как можно чаще, а лучше оставить его работать постоянно.

    6. Планировщик организует запуск тех или иных задач по расписанию. Например, обновление раз в час, сканирование диска С раз в неделю.

    7. Всю работу организует обычно отдельный модель, который называют Центром управления. Как правило, через центр управления можно управлять любым модулем – отключать, принудительно запускать и прочее.

    Из всех методов антивирусной защиты можно выделить две основные группы:

    Сигнатурные методы – точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов.

    Эвристические методы – приблизительные методы обнаружения, которые позволяют с определенной вероятность предположить, что файл заражен.

    СИГНАТУРНЫЙ АНАЛИЗ. Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с выявленными чертами. Сигнатурой вируса будет считаться совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле. Все вместе сигнатуры известных вирусов составляют антивирусную базу.

    Задачу выделения сигнатур, как правило, решают люди – эксперты в области компьютерной вирусологии, способные выделить код вируса из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска.

    Практически в каждой компании, выпускающей антивирусы, есть своя группа экспертов, выполняющая анализ новых вирусов и пополняющая антивирусную базу новыми сигнатурами. По этой причине антивирусные базы в разных антивирусах отличаются. Тем не менее, между антивирусными компаниями существует договоренность об обмене образцами вирусов, а значит рано или поздно сигнатура нового вируса попадет в антивирусных базы практически всех антивирусов. Лучшим же антивирусом будет тот, для которого сигнатура нового вируса была выпущена раньше всех.

    Одно из распространенных заблуждений насчет сигнатур заключается в том, что каждая сигнатура соответствует ровно одному вирусу или вредоносной программе. И как следствие, антивирусная база с большим количеством сигнатур позволяет обнаруживать больше вирусов. На самом деле это не так. Очень часто для обнаружения семейства похожих вирусов используется одна сигнатура, и поэтому считать, что количество сигнатур равно количеству обнаруживаемых вирусов, уже нельзя.

    Соотношение количества сигнатур и количества известных вирусов для каждой антивирусной базы свое и вполне может оказаться, что база с меньшим количеством сигнатур в действительности содержит информацию о большем количестве вирусов.

    Важное дополнительное свойство сигнатур – точное и гарантированное определение типа вируса. Это свойство позволяет занести в базу не только сами сигнатуры, но и способы лечения вируса.

    Другое важное, но уже отрицательное свойство – для получения сигнатуры необходимо иметь образец вируса. Следовательно, сигнатурный метод непригоден для защиты от новых вирусов, т.к. до тех пор пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно. Именно поэтому все наиболее крупные эпидемии вызываются новыми вирусами. С момента появления вируса в сети Интернет до выпуска первых сигнатур обычно проходит несколько часов, и все это время вирус способен заражать компьютеры.

    Эвристический анализ. Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок.

    Эвристические методы. Поиск вирусов, похожих на известные.

    Если сигнатурный метод основан на выделении характерных признаков вируса и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Основанный на таком предположении эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

    Положительным эффектом от использования этого метода является возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры. Отрицательные стороны:

    -вероятность ошибочно определить в файле вируса, когда на само деле файл чист – такие события называются ложными срабатываниями.

    - невозможность лечения – и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус.

    - низкая эффективность – против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден.

    Поиск вирусов, выполняющих подозрительные действия

    Метод основан на выделении основных вредоносных действий, таких как, например:

    - удаление файла;

    - запись в файл;

    - запись в определенные области системного реестра;

    - перехват данных вводимых с клавиатуры;

    - рассылки писем и др.

    26.Принципы защиты серверов и клиентских компьютеров от вредоносного ПО

    Абсолютной защиты от вредоносных программ не существует: от «эксплойтов нулевого дня» наподобие Sasser или Conficker не застрахован никто. Но с помощью некоторых мер можно существенно снизить риск заражения вредоносными программами. Ниже перечислены основные и наиболее эффективные меры для повышения безопасности:

    • использовать современные операционные системы, не дающие изменять важные файлы без ведома пользователя;

    • своевременно устанавливать обновления;

    • если существует режим автоматического обновления, включить его;

    • помимо антивирусных продуктов, использующих сигнатурные методы поиска вредоносных программ, использовать программное обеспечение, обеспечивающее проактивную защиту от угроз (необходимость использования проактивной защиты обуславливается тем, что сигнатурный антивирус не замечает новые угрозы, еще не внесенные в антивирусные базы);

    • постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере;

    • ограничить физический доступ к компьютеру посторонних лиц;

    • использовать внешние носители информации только от проверенных источников;

    • не открывать компьютерные файлы, полученные от ненадёжных источников;

    • использовать персональный Firewall (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;


    27.Правила и принципы защиты от вредоносного ПО.

    Для защиты компьютера от заражения вирусами, прежде всего, необходимо установить антивирусное программное обеспечение. Сегодня используется несколько методик обнаружения и защиты от вирусов:

    - сканирование; Самая простая методика поиска вирусов заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащих вирусу, и не встречающаяся в других программах. Антивирусные программы-сканеры способны найти только уже известные и изученные вирусы, для которых была определена сигнатура.

    - использование антивирусных мониторов; Целый класс антивирусных программ, которые постоянно находятся в памяти компьютера, и отслеживают все подозрительные действия, выполняемые другими программами. Монитор автоматически проверяет все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты и компакт диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.

    - обнаружение изменений;

    - использование антивирусов, встроенных в BIOS компьютера. В системные платы компьютера тоже встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо программа попытается изменить содержимое загрузочных секторов, срабатывает защита и пользователь получает соответствующее предупреждение.

    Кроме того, практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов, если это возможно.

    Для того, чтобы антивирусные программы эффективно выполняли свои функции, необходимо строго соблюдать рекомендации по их применению, описанные в документации. Особое внимание следует обратить на необходимость регулярного обновления вирусных баз данных. Современные антивирусы умеют загружать файлы обновлений через Интернет или по локальной сети.

    Одними из самых популярных антивирусов являются антивирус Касперского, доктор WEB.

    Для того, чтобы сформулировать основные принципы антивирусной политики безопасности необходимо вспомнить следующие основные моменты, относящиеся к вирусной атаке:

    1. Вирусная атака состоит из двух фаз – фаза заражения и фаза распространения (и, возможно, выполнения деструктивных действий).

    2. Современные вирусы часто распространяются не только с помощью исполняемых файлов, но и с помощью файлов-документов популярных программ.

    3. Современные вирус при атаке часто используют возможности сети Intenet.

    Для предотвращения вирусных атак рекомендуется выполнять следующие действия:

    - соответствующим образом сконфигурировать антивирусное программное обеспечение.

    Сканирование в режиме реального времени, в фоновом и аналоговом режиме должно быть разрешено.

    При старте системы должны сканироваться память, загрузочный сектор и системные файлы.

    Своевременно обновлять вирусные БД.

    Желательно сканировать все типы файлов или как минимум *.com, *.exe.
    - использовать только лицензионное программное обеспечение. Программное обеспечение, полученное из неизвестного источника, может быть троянским или зараженным вирусом.

    -ограничить набор программ, которые пользователь способен установить в системе. Особо следует обратить внимание на различные сервисы интернет и, в первую очередь, на программы передачи сообщений, такие как IRC, ICQ. Данные программы могут передавать файлы и служить источником заражения системы.

    - кроме того, желательно устранить известные уязвимости в ПО. Известные уязвимости обычно публикуются в списках рассылки интернет, а так на специальных сайтах.

    -контролировать использование внешних носителей информации. В идеале вся информация на них должна быть проверена на наличие вирусов до того, как к ней будет осуществляться доступ со стороны пользователей ПК.
    -для защиты от проникновения вирусов через сообщения электронной почты нужно:

    -никогда не открывать сразу почтовые вложения в пришедшем почтовом сообщении;

    - создать «карантинный» катало – сохранять почтовые вложения в определенном «карантинном» каталоге;

    -если отправитель сообщения неизвестен, то сообщение с вложением может быть даже удалено.

    -перед открытием вложения всегда проверить его с помощью антивирусного ПО.

    -устранить возможные уязвимости в клиентском почтовом ПО.

    28. Операционные системы. Понятие и основные функции ОС. Классификация.

    Операционная система — комплекс программ, обеспечивающий управление аппаратными средствами компьютера, организующий работу с файлами и выполнение прикладных программ, осуществляющий ввод и вывод данных.

    Общими словами, операционная система — это первый и основной набор программ, загружающийся в компьютер. Помимо вышеуказанных функций ОС может осуществлять и другие, например предоставление общего пользовательского интерфейса и т.п.

    Сегодня наиболее известными операционными системами являются ОС семейства Microsoft Windows и UNIX-подобные системы.
    1   2   3   4   5   6   7   8   9   10

    написать администратору сайта