Главная страница
Навигация по странице:

  • Лекция №

  • Методы борьбы с РПВ

    		•

    Аникин_Катасёв_Кривилёв_ПАЗИ_Конспекты_лекций_2008. Конспект лекций по дисциплине Программноаппаратная защита информации специальность 090104 Комплексная защита объектов информатизации


    Скачать 1.34 Mb.
    НазваниеКонспект лекций по дисциплине Программноаппаратная защита информации специальность 090104 Комплексная защита объектов информатизации
    Дата18.08.2020
    Размер1.34 Mb.
    Формат файлаdoc
    Имя файлаАникин_Катасёв_Кривилёв_ПАЗИ_Конспекты_лекций_2008.doc
    ТипКонспект
    #135734
    страница10 из 14
    1   ...   6   7   8   9   10   11   12   13   14

    Основные модели работы РПВ




    1. Перехват. РПВ внедряется в оперативную среду и осуществляет перехват и дальнейшее копирование требуемой информации в некие скрытые области оперативной памяти. Например, клавиатурные шпионы.

    2. «Троянский конь» - РПВ встраивается в постоянно используемое ПО, либо сервис и выполняет кражу информации. Либо сервис при активном событии моделирует сбойную ситуацию.

    3. «Наблюдатель» - РПВ встраивается в постоянно используемое ПО или сервис и осуществляет контроль обработки информации, реализует контроль других РПВ. (Trojan Downloader)

    4. Искажение либо инициатор ошибок.

    РПВ, активируясь в компьютерной системе, искажает потоки выходных данных, подменяет входные данные, а также инициирует или подавляет ошибки, возникающие при работе прикладных программ.

    Выделяют 3 основные группы деструктивных функций РПВ:

    1. Сохранение фрагментов информации во внешнюю память.

    2. Изменение алгоритмов функционирования прикладных программ.

    3. Блокировка определенных режимов работы прикладных программ.

    Лекция № 10

    Компьютерные вирусы как класс РПВ


    Вирусы как класс РПВ обладают следующими функциями:

    1. способность к самодублированию

    2. способность к ассоциированию с другими программами

    3. способность скрывать признаки своего присутствия до определенного момента

    4. направлены на деструктивные функции

    Компьютерные вирусы делятся на:

      • файловые

      • загрузочные

      • макровирусы

    Жизненный цикл вирусов включает 2 фазы: латентную, когда вирус не проявляет своего присутствия, и фазу непосредственного функционирования.

    Переход от латентной фазы к фазе исполнения выполняется по методу активизирующего события. Загрузка вируса в оперативную память выполняется одновременно с загрузкой инфицированного объекта. Основные способы загрузки зараженных объектов:

    1. автоматическая загрузка при запуске операционной системы

    2. внедрение в меню автозагрузки

    3. через носители типа flash

    Фаза исполнения вируса включает следующие этапы:

    1. загрузка вируса в память

    2. поиск «жертвы»

    3. инфицирование

    4. выполнение деструктивных функций

    5. передача управления объекту-носителю вируса.

    По способу поиска «жертвы» вирусы делятся на:

    1. те, которые выполняют активный поиск объектов

    2. те, которые ведут пассивный поиск, то есть устанавливают ловушки на заражаемые объекты


    Инфицирование объектов может выполняться либо путем простого самокопирования кода вируса в исполнительный код, либо может использовать более сложный алгоритм, осуществляя мутацию исполнительного кода вируса при его самодублировании. Суть мутации сводится к изменению кода таким образом, чтобы вирус нельзя было обнаружить по фиксированным сигнатурам. Может использоваться шифрование кода на различных ключах.

    Суть мутации кода может заключается в изменении порядка независимых инструкций, в замене одних регистров на другие, внедрение в исполнительный код мусорных конструкций, в замене одних инструкций другими.

    Вирусы, мутирующие в процессе самокопирования называются полиморфными. Если неполиморфные вирусы могут быть идентифицированы в ПА среде путем их поиска по сигнатурам, то полиморфные вирусы не имеют сигнатуру, по которой бы они однозначно идентифицировались.

    Для защиты от вирусов наиболее часто применяют антивирусные мониторы, сканнеры, ПА средства, не допускающие заражение вирусами объектов операционной среды, не допускающие проникновение в КС.

    Наиболее часто используемые пути проникновения вируса в КС:

    1. носитель информации с зараженным объектом;

    2. электронная почта;

    3. компьютерная сеть.


    Методы борьбы с РПВ


    1. Контроль целостности, системных событий, прикладных программ, используемых данных

    2. Контроль цепочек прерываний и фильтрация вызовов, критических для безопасности систем прерываний

    3. Создание изолированной программной среды

    4. Предотвращение результатов воздействия РПВ, например, аппаратная блокировка записи на диск

    5. Поиск РПВ по свойственным им или характерным последовательностям – сигнатурам

    Сигнатура – уникальная последовательность кода, свойственная вирусу, её присутствие в исполняемом коде говорит об однозначном присутствии РПВ. Можно поступить по-другому: разрешить запускать системе только те модули, которые имеют известную сигнатуру.

    1. Поиск критических участков кода, путем его синтаксического анализа, выявление синтаксических характерных конструкций с точки зрения РПВ, например, вирусов.

    2. Тестирование программ и компьютерной техники на испытательных стендах, в испытательных лабораториях, идентификация условий, возникающих в ПА среде, при которых она начинает вести себя некорректно.

    3. Метод Мельсона – тестирование всех путей переходов программе.

    Первый и второй метод действенны, когда сами контрольные элементы не подвержены воздействию закладок. Если этого не обеспечить, закладка может модифицировать алгоритм контроля целостности, подменить контрольную сумму.
    1   ...   6   7   8   9   10   11   12   13   14

    написать администратору сайта