Главная страница
Навигация по странице:

  • Программы-детекторы

  • Программы-доктора

  • Программы-ревизоры

  • Вакцины или иммунизаторы

    		•

    Самостоятельная работа 1.8.. По среде обитания по способу заражения


    Скачать 152.47 Kb.
    НазваниеПо среде обитания по способу заражения
    Дата01.11.2022
    Размер152.47 Kb.
    Формат файлаdocx
    Имя файлаСамостоятельная работа 1.8..docx
    ТипДокументы
    #765545

    Задание 1. Разработайте схему «Основные виды вирусов».Опишите вирусы по среде обитания, способу заражения, среды обитания, воздействию, особенностям алгоритма. 



    В настоящее время в мире насчитывается более 40 тысяч только зарегистрированных компьютерных вирусов. Так как подавляющее большинство современных вредительских программ обладают способностью к саморазмножению, то часто их относят к компьютерным вирусам. Все компьютерные вирусы могут быть классифицированы по следующим признакам [4, 20]:

    • по среде обитания;

    • по способу заражения;

    • по степени опасности деструктивных (вредительских) воздействий;

    • по алгоритму функционирования.

    По среде обитания компьютерные вирусы делятся на:

    • сетевые;

    • файловые;

    • загрузочные;

    • комбинированные.

    Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файловые вирусы размещаются в исполняемых файлах. Загрузочные вирусы находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах). Иногда загрузочные вирусы называют бутовыми. Комбинированные вирусы размещаются в нескольких средах обитания. Примером таких вирусов служат загрузочно-файловые вирусы. Эти вирусы могут размещаться как в загрузочных секторах накопителей на магнитных дисках, так и в теле загрузочных файлов.

    По способу заражения среды обитания компьютерные вирусы делятся на:

    • резидентные;

    • нерезидентные.

    Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию. В отличие от резидентных нерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, то такой вирус считается нерезидентным.

    Арсенал деструктивных или вредительских возможностей компьютерных вирусов весьма обширен. Деструктивные возможности вирусов зависят от целей и квалификации их создателя, а также от особенностей компьютерных систем.

    По степени опасности для информационных ресурсов пользователя компьютерные вирусы можно разделить на:

    • безвредные вирусы;

    • опасные вирусы;

    • очень опасные вирусы.

    Безвредные компьютерные вирусы создаются авторами, которые не ставят себе цели нанести какой-либо ущерб ресурсам КС. Ими, как правило, движет желание показать свои возможности программиста. Другими словами, создание компьютерных вирусов для таких людей - своеобразная попытка самоутверждения. Деструктивное воздействие таких вирусов сводится к выводу на экран монитора невинных текстов и картинок, исполнению музыкальных фрагментов и т. п.

    Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб КС. Во-первых, такие вирусы расходуют ресурсы КС, в той или иной мере снижая ее эффективность функционирования. Во-вторых, компьютерные вирусы могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы.

    К опасным относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приводящие к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т. п.

    Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т. п.

    Известны публикации, в которых упоминаются вирусы, вызывающие неисправности аппаратных средств. Предполагается, что на резонансной частоте движущиеся части электромеханических устройств, например в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и может быть создан с помощью программы-вируса. Другие авторы утверждают, что возможно задание режимов интенсивного использования отдельных электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя.

    Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных запоминающих устройств.

    Возможны также воздействия на психику человека - оператора ЭВМ с помощью подбора видеоизображения, выдаваемого на экран монитора с определенной частотой (каждый двадцать пятый кадр). Встроенные кадры этой видеоинформации воспринимаются человеком на подсознательном уровне. В результате такого воздействия возможно нанесение серьезного ущерба психике человека. В 1997 году 700 японцев попали в больницу с признаками эпилепсии после просмотра компьютерного мультфильма по телевидению. Предполагают, что именно таким образом была опробована возможность воздействия на человека с помощью встраивания 25-го кадра [57].

    В соответствии с особенностями алгоритма функционирования вирусы можно разделить на два класса:

    • вирусы, не изменяющие среду обитания (файлы и секторы) при распространении;

    • вирусы, изменяющие среду обитания при распространении.

    В свою очередь, вирусы, не изменяющие среду обитания, могут быть разделены на две группы:

    • вирусы-"спутники" (соmраniоn);

    • вирусы-"черви" (worm).

    Вирусы-"спутники" не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Например, в MS-DOS такие вирусы создают копии для файлов, имеющих расширение .ЕХЕ. Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на .СОМ. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением .СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением .ЕХЕ.

    Вирусы-"черви" попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-"черви" создают рабочие копии вируса на диске, другие - размещаются только в оперативной памяти ЭВМ.

    По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, делятся на:

    • студенческие;

    • "стелс" - вирусы (вирусы-невидимки);

    • полиморфные.

    К студенческим относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.

    "Стелc"-вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.

    "Стелс"-вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы ОС, обрабатывающие эти прерывания. "Стелс"-вирусы обладают способностью противодействовать резидентным антивирусным средствам.

    Полиморфные вирусы не имеют постоянных опознавательных групп - сигнатур. Обычные вирусы для распознавания факта заражения среды обитания размещают в зараженном объекте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.

    Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскирования и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.

    После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифрование тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.

    Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.

    Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.

    Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия.
    Задание 2. Опишите основные признаки появления вирусов в ПК. 

    При заражении компьютера могут появиться следующие признаки:

    • На компьютере появляются неожиданные сообщения, изображения или звуковые сигналы.

    • Программы без вашего участия могут запускаться или подключаться к интернету.

    • Друзьям на почту или через мессенджер приходят сообщения, которые вы не отправляли.

    • В вашем почтовом ящике много сообщений без адреса отправителя и темы письма.

    • Компьютер работает медленно или часто зависает.

    • При включении компьютера операционная система не загружается.

    • Файлы и папки могут исчезнуть, или их содержимое может измениться.

    • Всплывает множество системных сообщений об ошибке.

    • Браузер зависает или ведет себя неожиданным образом. Например, вы не можете закрыть вкладку.

    Задание 3. Составьте таблицу «Виды программ антивирусов». 

    №№
    Виды программ антивирусов
    Характеристика

    1
    Программы-детекторы 
    осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.  

    2
     Программы-доктора, или фаги, а также программы-вакцины 

     не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. программы-доктора, предназначенные для поиска н уничтожения большого количества вирусов. Наиболее известные из них: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

    В связи с тем, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

    3
     Программы-ревизоры 
     относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная программа Kaspersky Monitor.

    4
     Программы-фильтры или «сторожа»

     представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

    — попытки коррекции файлов с расширениями СОМ. ЕХЕ;

    — изменение атрибутов файла;

    — прямая запись на диск по абсолютному адресу;

    — запись в загрузочные секторы диска;

    — загрузка резидентной программы.

    5
     Вакцины или иммунизаторы —

     это резидентные программы. предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

     

    Задание 4. Составьте алгоритм по проверке файлов на отсутствие вирусов.

      1. Выполняется проверка объекта на основании записей антивирусных баз. Антивирус сравнивает объект с записями в базах и определяет, является ли проверяемый объект вредоносным, к какому классу опасных программ он относится, и какие способы лечения можно к нему применить.

    По результатам проверки объекту присваивается один из следующих статусов:

    • незараженный – объект не содержит угроз;

    • зараженный – объект содержит угрозу, описанную в антивирусных базах "Лаборатории Касперского"; к таким объектам будет применена операция лечения;

    • непроверенный – Антивирусу Касперского не удалось проверить объект; возможно, возникла ошибка при проверке объекта, либо истекло время, отведенное на проверку;

    • защищенный – объект представляет собой архив, защищенный паролем.

    1. Объект, признанный незараженным по результатам проверки с использованием антивирусных баз, проверяется с использованием эвристического анализатора. Антивирус Касперского с помощью эвристического анализатора анализирует активность проверяемого объекта в системе. Если эта активность типична для вредоносных объектов, объект признается зараженным.

    Задание 5. Опишите порядок установки на ПК антивирусной программы.

     Алгоритм установки и проверки не отличается особой уникальностью и для всех состоит из следующих шагов:

    • скачивание на домашний компьютер минимально необходимых файлов программы, нужных для связи в ходе проверки с актуальной базой;

    • инсталляция (установка) программы;

    • проверка компьютера;

    • отчет о результатах.

    написать администратору сайта