СОПРОВОЖДЕНИЕ И ОБСЛУЖИВАНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ КОМПЬЮТЕРНЫХ СИСТЕМ. Методические указания по выполнению практических и лабораторных работ по пм. 04

65
В данной модели предполагается, что значение функции X(t) пропорционально числу ошибок, оставшихся в ПО после израсходованного на тестирование времени т: где С — некоторая константа; t — время работы ПО без отказа; е
г
(т) — удельное число ошибок на одну машинную команду, оставшихся в системе после времени тестирования т, т. е.: где Е
т
— число ошибок до начала тестирования; /
т
— общее число машинных команд, которое предполагается постоянным в рамках этапа тестирования; ?
с
(т) — удельное количество обнаруженных ошибок на одну машинную команду в течение времени т. Тогда окончательно получаем:
3. Средняя наработка на отказ может быть вычислена по формуле
4. Далее в процессе тестирования собирается информация по каждому прогону про- граммы: время прогона и количество ошибок на прогоне. Общее время тестирования определяется как сумма всех времен прогонов. Также предполагается, что интенсив- ность появления ошибок постоянна и равна X. Тогда, например, при помощи функции максимального правдоподобия вычисляют неизвестные величины: начальное значение ошибок в ПО — Е
т
и коэффициент пропорциональности С.
К аналитическим динамическим непрерывным моделям относятся, например, мо- дели Джелинского—Моранды, Шика—Волвертона, Мусса, переходных вероятностей (см., например.
Основное положение, на котором базируется модель Джелинского—Моранды, заключа- ется в том, что в процессе тестирования ПО значение интервалов времени тестирования между обнаружением двух ошибок имеет экспоненциальное распределение с интенсивностью отка- зов, пропорциональной числу еще не выявленных ошибок. Проявление ошибок равновероятно, и их появление не зависит друг от друга. Каждая обнаруженная ошибка исправляется мгно- венно, и в процессе ее исправления новой ошибки не вносится, т. е. число оставшихся ошибок уменьшается на единицу. Очевидно, что при этом интенсивность отказов в интервале между двумя соседними моментами проявления ошибок постоянна.
При данных предположениях функция плотности распределения времени обнаружения
/-й ошибки, отсчитываемого от момента выявления (/ - 1)-й ошибки, имеет вид: где Xj — интенсивность отказов, которая пропорциональна числу еще не выявленных ошибок в программе:

66 где N — число ошибок, первоначально присутствующих в программе; С — коэффици- ент пропорциональности.
5. Наиболее вероятные значения величин N и С определяются на основе данных, получен- ных при тестировании. Для этого фиксируют время выполнения программы до очеред- ного отказа At
l
, At
2
, ... Затем на основе методики максимума правдоподобия значе- ние N получают как решение нелинейного уравнения: где К — число экспериментально полученных интервалов между отказами.
Реально значение N получают методом подбора, основываясь на том, что это целое число.
Значение коэффициента пропорциональности С получают по формуле
Данная методика работает для К> 2, т. е. надо иметь хотя бы два экспериментально по- лученных интервала между моментами возникновения ошибок.
6. Достаточно часто для аналогичных оценок используется простая экспоненциальная
модель, которая отличается от рассмотренной выше модели Джелинского—Моранды тем, что интенсивность отказов X между соседними моментами проявления ошибок не постоянна, а имеет вид: где К — коэффициент пропорциональности; N — число первоначально содержащихся в программе ошибок; n(t) — число обнаруженных к моменту времени t ошибок.
Следует заметить, что время t соответствует длительности исполнения программ на
ЭВМ и не учитывает время, необходимое для анализа результатов и корректировки программ, поскольку, как и ранее, считается, что ошибки исправляются мгновенно и при их исправлении новые не вносятся. Коэффициент К в данной формуле (как и в предыдущем случае) вычисля- ется на основе статистических данных.
Также достаточно часто применяется модель Шика—Волвертона [34] — модификация модели Джелинского—Моранды для случая возникновения более одной ошибки на каждом промежутке времени.
7. К аналитическим статическим моделям относятся, например, модели Миллса, Ли- пова, простая интуитивная модель, модель Коркорэ- на, модель Нельсона.
Для использования модели Миллса характерно внесение некоторого количества искус- ственных ошибок перед началом тестирования. Ошибки вносятся случайным образом и фикси- руются в протоколе искусственных ошибок. Специалист, проводящий тестирование, не знает ни количества, ни характера внесенных ошибок до момента оценки показателей надежности по модели Миллса. Предполагается, что все ошибки (как естественные, так и искусственно вне- сенные) имеют равную вероятность быть найденными в процессе тестирования.

67 8. Тестируя программу в течение некоторого времени, собирают статистику об ошибках.
В момент оценки надежности по протоколу искусственных ошибок все ошибки делятся на собственные и искусственные. Соотношение, называемое формулой Миллса, дает возможность оценить первоначальное число ошибок в программе: где N — первоначальное количество ошибок в программе; S — количество искус- ственно внесенных ошибок; п — число найденных собственных ошибок; V — число обнару- женных к моменту оценки искусственных ошибок.
Модель Липова [29] является модификацией модели Миллса. Она основана на анализе вероятности обнаружения ошибок при использовании различного числа тестов.
9. Использование простой интуитивной модели предполагает проведение тестирования двумя группами программистов, использующими независимые тестовые наборы, неза- висимо одна от другой. В процессе тестирования каждая из групп фиксирует все найден- ные ею ошибки. При оценке числа оставшихся в программе ошибок результаты тести- рования обеих групп собираются и сравниваются. Пусть первая группа обнару- жила N
x
ошибок, вторая — N
2
, a N
n
— это ошибки, обнаруженные обеими группами, т. е. дважды. Если обозначить через N общее количество ошибок, присутствовавших в программе до начала тестирования, то можно эффективность тестирования каждой из
/7
N
l Г
N
2 X групп определить как: Е, = —-; Е
2
= —-. Тогда, предполагая, что
N N возможность обнаружения всех ошибок одинакова для обеих групп, можно оце- нить
Предыдущие статические модели надежности основывались на анализе области ошибок.
Модель Нельсона основывается на анализе области данных.
10. Модель Нельсона при расчете надежности ПО учитывает вероятность выбора опреде- ленного тестового набора для очередного выполнения программы. Предполагается, что область данных, необходимых для выполнения тестирования программного средства, разделяется на к взаимоисключающих подобластей Z/, / = 1,2,..., к. Пусть Pi — вероят- ность того, что набор данных Zi будет выбран для очередного выполнения программы.
Если к моменту оценки надежности было выполнено Ni прогонов программы на Zi наборе данных и из них прогонов закончились отказом, то надежность ПО опреде- ляется равенством:
Что касается эмпирических моделей, то они, как правило, основываются на сложности
ПО и характеризуются размером программного обеспечения: количеством программных моду- лей, количеством и сложностью межмодульных интерфейсов. Под программным модулем в данном случае понимают программную единицу, выполняющую определенную функцию и вза- имосвязанную с другими модулями ПО. Существуют также модели для объектно-ориентиро- ванного подхода (см., например, [33]).
Существует несколько разновидностей модели сложности, основанных на метриках сложности ПО. В каждой из них определяется некоторая оценка сложности программы, которая считается пропорциональной ее надежности.
Практическая работа № 4.16. Обнаружение вируса и устранение последствий его
влияния

68
Цель работы: способы обнаружения вирусов и устранение последствий их вляяния
Теоретический материал
Классификация компьютерных вирусов
В настоящее время в мире насчитывается более 40 тысяч только зарегистрированных компьютерных вирусов. Так как подавляющее большинство современных вредительских про- грамм обладают способностью к саморазмножению, то часто их относят к компьютерным ви- русам. Все компьютерные вирусы могут быть классифицированы по следующим признакам:

по среде обитания;

по способу заражения;

по степени опасности деструктивных (вредительских) воздействий;

по алгоритму функционирования.
По среде обитания компьютерные вирусы делятся на:

сетевые;

файловые;

загрузочные;

комбинированные.
Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файло-
вые вирусы размещаются в исполняемых файлах. Загрузочные вирусы находятся в загрузоч- ных секторах (областях) внешних запоминающих устройств (boot-секторах). Иногда загрузоч- ные вирусы называют бутовыми. Комбинированные вирусы размещаются в нескольких средах обитания. Примером таких вирусов служат загрузочно-файловые вирусы. Эти вирусы могут размещаться как в загрузочных секторах накопителей на магнитных дисках, так и в теле загру- зочных файлов.
По способу заражения среды обитания компьютерные вирусы делятся на:

резидентные;

нерезидентные.
Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ. Эти вирусы, ис- пользуя, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют де- структивную функцию. В отличие от резидентных нерезидентные вирусы попадают в опера- тивную память ЭВМ только на время их активности, в течение которого выполняют деструк- тивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную па- мять, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, ко- торая не заражает среду обитания, то такой вирус считается нерезидентным.
Арсенал деструктивных или вредительских возможностей компьютерных вирусов весьма обширен. Деструктивные возможности вирусов зависят от целей и квалификации их со- здателя, а также от особенностей компьютерных систем.
По степени опасности для информационных ресурсов пользователя компьютерные вирусы можно разделить на:

безвредные вирусы;

опасные вирусы;

очень опасные вирусы.
Безвредные компьютерные вирусы создаются авторами, которые не ставят себе цели нанести какой-либо ущерб ресурсам КС. Ими, как правило, движет желание показать свои воз- можности программиста. Другими словами, создание компьютерных вирусов для таких людей
- своеобразная попытка самоутверждения. Деструктивное воздействие таких вирусов сводится к выводу на экран монитора невинных текстов и картинок, исполнению музыкальных фрагмен- тов и т. п.
Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб КС. Во-первых, такие вирусы расходуют ресурсы КС, в той или иной мере снижая ее

69 эффективность функционирования. Во-вторых, компьютерные вирусы могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ра- нее, могут приводить к нарушениям штатного алгоритма работы системы.
К опасным относятся вирусы, которые вызывают существенное снижение эффективно- сти КС, но не приводящие к нарушению целостности и конфиденциальности информации, хра- нящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т. п.
Очень опасными следует считать вирусы, вызывающие нарушение конфиденциально- сти, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, систем- ные области памяти, форматируют диски, получают несанкционированный доступ к информа- ции, шифруют данные и т. п.
Известны публикации, в которых упоминаются вирусы, вызывающие неисправности ап- паратных средств. Предполагается, что на резонансной частоте движущиеся части электроме- ханических устройств, например в системе позиционирования накопителя на магнитных дис- ках, могут быть разрушены. Именно такой режим и может быть создан с помощью программы- вируса. Другие авторы утверждают, что возможно задание режимов интенсивного использова- ния отдельных электронных схем (например, больших интегральных схем), при которых насту- пает их перегрев и выход из строя.
Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных запоминающих устройств.
Возможны также воздействия на психику человека - оператора ЭВМ с помощью подбора видеоизображения, выдаваемого на экран монитора с определенной частотой (каждый двадцать пятый кадр). Встроенные кадры этой видеоинформации воспринимаются человеком на подсо- знательном уровне. В результате такого воздействия возможно нанесение серьезного ущерба психике человека. В 1997 году 700 японцев попали в больницу с признаками эпилепсии после просмотра компьютерного мультфильма по телевидению. Предполагают, что именно таким об- разом была опробована возможность воздействия на человека с помощью встраивания 25-го кадра.
В соответствии с особенностями алгоритма функционирования вирусы можно разде- лить на два класса:

вирусы, не изменяющие среду обитания (файлы и секторы) при распространении;

вирусы, изменяющие среду обитания при распространении.
В свою очередь, вирусы, не изменяющие среду обитания, могут быть разделены на две группы:

вирусы-"спутники" (соmраniоn);

вирусы-"черви" (worm).
Вирусы-"спутники" не изменяют файлы. Механизм их действия состоит в создании ко- пий исполняемых файлов. Например, в MS-DOS такие вирусы создают копии для файлов, име- ющих расширение .ЕХЕ. Копии присваивается то же имя, что и исполняемому файлу, но рас- ширение изменяется на .СОМ. При запуске файла с общим именем операционная система пер- вым загружает на выполнение файл с расширением .СОМ, который является программой-ви- русом. Файл-вирус запускает затем и файл с расширением .ЕХЕ.
Вирусы-"черви" попадают в рабочую станцию из сети, вычисляют адреса рассылки ви- руса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и

70 не записывается в загрузочные секторы дисков. Некоторые вирусы-"черви" создают рабочие копии вируса на диске, другие - размещаются только в оперативной памяти ЭВМ.
По сложности, степени совершенства и особенностям маскировки алгоритмов ви- русы, изменяющие среду обитания, делятся на:

студенческие;

"стелс" - вирусы (вирусы-невидимки);

полиморфные.
К студенческим относят вирусы, создатели которых имеют низкую квалификацию. Та- кие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.
"Стелc"-вирусы и полиморфные вирусы создаются квалифицированными специали- стами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирова- ния.
"Стелс"-вирусы маскируют свое присутствие в среде обитания путем перехвата обраще- ний операционной системы к пораженным файлам, секторам и переадресуют ОС к незаражен- ным участкам информации. Вирус является резидентным, маскируется под программы ОС, мо- жет перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы ОС, обрабатывающие эти прерывания. "Стелс"-вирусы обладают спо- собностью противодействовать резидентным антивирусным средствам.
Полиморфные вирусы не имеют постоянных опознавательных групп - сигнатур. Обыч- ные вирусы для распознавания факта заражения среды обитания размещают в зараженном объ- екте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора.
Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать много- кратного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию про- граммы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпаде- ний кодов.
Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскирования и блок вы- полнения деструктивных действий. Разделение на функциональные блоки означает, что к опре- деленному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.
После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифрование тела вируса. Затем вирус осу- ществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выпол- няться деструктивные воздействия, то они выполняются либо безусловно, либо при выполне- нии определенных условий.
Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстанов- ление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц
ОС и др.
Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.
Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных

71 вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Нали- чие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия.
Известны следующие методы обнаружения вирусов:

сканирование;

обнаружение изменений;

эвристический анализ;

использование резидентных сторожей;

вакцинирование программ;

аппаратно-программная защита от вирусов.
Сканирование - один из самых простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознаватель- ной части вируса - сигнатуры. Программа фиксирует наличие уже известных вирусов, за ис- ключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных ви- русов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные ви- русы. Такие программы называются полифагами.
Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже вы- делены и являются постоянными. Для эффективного использования метода необходимо регу- лярное обновление сведений о новых вирусах.
Самой известной программой-сканером в России является Aidstest Дмитрия Лозинского.
Метод обнаружения изменений базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ- ревизоров сравнива- ются хранящиеся характеристики и характеристики, получаемые при контроле областей дис- ков. По результатам ревизии программа выдает сведения о предположительном наличии виру- сов.
Обычно программы-ревизоры запоминают в специальных файлах образы главной загру- зочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров. Могут контролироваться также объем уста- новленной оперативной памяти, количество подключенных к компьютеру дисков и их пара- метры.
Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Совершенные программы-ревизоры обнаруживают даже "стелс"-вирусы. Например, программа-ревизор Аdinf, разработанная Д. Ю Мостовым, работает с диском непосредственно по секторам через Bios. Это не позволяет использовать "стелс"-ви- русам возможность перехвата прерываний и "подставки" для контроля нужной вирусу области памяти.
Имеются у этого метода и недостатки. С помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе.
Программы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы очень часто изменяются.
Эвристический анализ сравнительно недавно начал использоваться для обнаружения ви- русов. Как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.
Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Такими коман- дами могут быть команды создания резидентных модулей в оперативной памяти, команды пря- мого обращения к дискам, минуя ОС. Эвристические анализаторы при обнаружении "подозри-

72 тельных" команд в файлах или загрузочных секторах выдают сообщение о возможном зараже- нии. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами. Эв- ристический анализатор имеется, например, в антивирусной программе Doctor Web.
Метод использования резидентных сторожей основан на применении программ, кото- рые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ.
В случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата пре- рываний и т. п.) резидентный сторож выдает сообщение пользователю. Программа-сторож мо- жет загружать на выполнение другие антивирусные программы для проверки "подозритель- ных" программ, а также для контроля всех поступающих извне файлов (со сменных дисков, по сети).
Существенным недостатком данного метода является значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от ис- пользования резидентных сторожей. Примером резидентного сторожа может служить про- грамма Vsafe, входящая в состав MS DOS.
Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все ви- русы, в том числе и незнакомые, за исключением "стеле"- вирусов.
Самым надежным методом защиты от вирусов является использование аппаратно-про-
граммных антивирусных средств. В настоящее время для защиты ПЭВМ используются специ- альные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем рас- ширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно устано- вить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфи- гурации, исполняемых файлов и др.
При выполнении запретных действий любой программой контроллер выдает соответ- ствующее сообщение пользователю и блокирует работу ПЭВМ.
Аппаратно-программные антивирусные средства обладают рядом достоинств перед про- граммными:

работают постоянно;

обнаруживают все вирусы, независимо от механизма их действия;

блокируют неразрешенные действия, являющиеся результатом работы вируса или не- квалифицированного пользователя.
Недостаток у этих средств один - зависимость от аппаратных средств ПЭВМ. Изменение последних ведет к необходимости замены контроллера.
Примером аппаратно-программной защиты от вирусов может служить комплекс Sheriff.