Методы и средства защиты от компьютерных вирусов
Необходимость разработки и использования специальных антивирусных средств вызвана массовым распространением и серьезными последствиями воздействия на ресурсы КС компьютерных вирусов. Эффективность защиты от компьютерных вирусов существенно повышается при совместном применении как антивирусных программно-аппаратных средств, так и организационно-профилактических мер.
Антивирусные программные и программно-аппаратные средства применяются для решения следующих основных задач:
— обнаружение вирусов в КС;
— блокирование работы программ-вирусов;
— удаление вирусов и восстановление ресурсов КС.
Существующие в настоящее время программные средства антивирусной защиты бывают следующих видов:
— программы-детекторы;
— программы-фильтры
— программы-ревизоры;
— программы-доктора или фаги;
— программы-вакцины
Программы-детекторы позволяют обнаружить только те вирусы, которые известны разработчикам таких программ. С этой целью осуществляется поиск путем сканирования характерного для конкретного вируса опознавательного кода (сигнатуры). При обнаружении вируса программа-детектор выводит на экран соответствующее сообщение. Примером такой программы может быть популярный американский антивирус Norton Antivirus 2000 (NAV), существующий как в Windows -, так и в DOS-версиях. Ежемесячно обновляемая база данных этой программы содержит более 40 тыс., записей, отражающих характерные признаки существующих вирусов.
Для обнаружения вирусов используются также программы фильтры и программы-ревизоры,
Программы-фильтры, или «сторожа», представляют собой небольшие резидентные программы, которые обнаруживают подозрительные действия при работе компьютера, характерные для вируса. Это могут быть, например, попытки изменения атрибутов файла. При обнаружении таких действий «сторож» посылает пользователю соответствующее сообщение. достоинством программ-фильтров является их способность к обнаружению вирусов на самой ранней стадии существования, т.е. до размножения. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), что мешает работе и вызывает раздражение пользователей.
Наиболее надежным средством обнаружения вирусов являются программы-ревизоры. Эти программы запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер еще не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.
Основным достоинством данного программного средства является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Исключение составляют макровирусы, для обнаружения которых программы-ревизоры непригодны, так как текстовые и табличные данные достаточно часто изменяются. С помощью программ-ревизоров невозможно также определить вирус в файлах, которые поступают в систему уже зараженными. Такие вирусы обнаруживаются только после размножения в системе.
К числу программ-ревизоров относится, например, широко распространенная в России программ Adinf.
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Антивирусы-полифаги исторически появились первыми и до сих пор удерживают несомненное лидерство в этой области.
К числу подобных программ раннего поколения относится программа-полифаг Aidstest, первая версия которой была выпущена еще в 1988 году.
Первоначально антивирусы-полифаги работали по очень простому принципу — осуществляли последовательный просмотр (сканирование) файлов на предмет нахождения в них сигнатур известных вирусных программ. Если такая сигнатура была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа.
Последующее значительное усложнение вирусных программ, увеличение их общего количества вызвали необходимость совершенствования антивирусных средств. Программы-доктора стали использовать для обнаружения вирусов так называемые эвристические анализаторы.
Сущность эвристического анализа состоит в проверке возможных сред обитания дисков и выявлении в них команд, а значит и действий, характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя
операционную систему Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.
Эвристический анализатор имеется, например, в антивирусной программе Doctor Web. Одной из самых популярных в России антивирусных программ, имеющих эвристический анализатор, является также программа Antiviral Toolkit Pro 3.0 (AVP). На данный антивирус выходит еженедельное обновление в его базе более 30 тыс. записей Программа AVP относится к классу детекторов-докторов и является одним из лидеров на российском рынке антивирусных программ.
В отсутствие программ-докторов, осуществляющих «лечение» от вирусов, применяются программы-вакцины, или иммунизаторы, предотвращающие заражение файлов. Для этого соответствующая вакцина модифицирует программу таким образом, чтобы это не отражалось на ее работе, а вирус в нее не внедрялся, воспринимая ее как уже зараженную. В настоящее время программы-вакцины имеют ограниченное применение.
Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, «эшелонированная» оборона.
Средствам разведки в «обороне» от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.
На «переднем крае» обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.
«Второй эшелон» обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.
Самый глубокий эшелон обороны — это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.
В «стратегическом резерве» находятся архивные копии информации. Это позволяет восстановить информацию при ее повреждении.
- Министерство образования и науки российской федерации
- Лекция 1
- Предмет и задачи программно-аппаратной защиты информации.
- Лекция 2
- Информационная безопасность
- В компьютерных системах
- Компьютерная система как объект защиты информации
- Понятие угрозы информационной безопасности в кс
- Классификация и общий анализ угроз информационной безопасности в кс
- Лекция 3 Случайные угрозы информационной безопасности
- Лекция 4 понятие политики безопасности в компьютерных системах
- 1. Разработка политики информационной безопасности
- 2. Методология политики безопасности компьютерных систем
- 3. Основные положения политики информационной безопасности
- 4. Жизненный цикл политики безопасности
- 5. Принципы политики безопасности
- Лекция 5 Идентификации субъекта. Понятие протокола идентификации. Идентифицирующая информация. Пароли. Программно-аппаратные средства идентификации и аутентификации пользователей
- Идентификация и аутентификация. Основные понятия и классификация
- Лекция 6 Простая аутентификация
- 1. Аутентификация на основе многоразовых паролей
- 2. Аутентификация на основе одноразовых паролей
- 3. Аутентификация, на основе сертификатов
- Лекция 7
- 2. Строгая аутентификация
- 2.1. Протоколы аутентификации с симметричными алгоритмами шифрования
- 2.2. Протоколы, основанные на использовании однонаправленных ключевых хэш-функций
- Лекция 8 Аутентификация с использованием асимметричных алгоритмов шифрования
- Электронная цифровая подпись (эцп). Аутентификация, основанная на использовании цифровой подписи
- Протоколы аутентификации с нулевой передачей значений
- Упрощенная схема аутентификации с нулевой передачей знаний
- Лекция 9 системы идентификации и аутентификации
- Классификация систем идентификации и аутентификации
- Комбинированные системы
- Лекция 10 Бесконтактные смарт-карты и usb-ключи
- Гибридные смарт-карты
- Биоэлектронные системы
- 1. Ключи. Организация хранения ключей
- Утверждение о подмене эталона
- Защита баз данных аутентификации операционных систем класса Windows nt.
- Алгоритм вычисления хэша lanman
- Хэш ntlm
- 2. Распределение ключей
- Лекция 12 Использование комбинированной криптосистемы
- Метод распределения ключей Диффи-Хеллмана
- Протокол вычисления ключа парной связи ескер
- Лекция 13 Основные подходы к защите данных от нсд. Защита пэвм от несанкционированного доступа
- 1) Физическая защита пэвм и носителей информации;
- 1. Полностью контролируемые компьютерные системы.
- Программная реализация функций кс.
- Аппаратная реализация функций кс.
- 2. Частично контролируемые компьютерные системы.
- Основные элементы и средства защиты от несанкционированного доступа. "Снег-2.0"
- Лекция 15 Устройства криптографической защиты данных серии криптон.
- Устройства для работы со смарт-картами.
- Лекция 16 Программные эмуляторы функций шифрования устройств криптон
- Системы защиты информации от несанкционированного доступа Система криптографической защиты информации от нсд криптон –вето
- Лекция 17 Комплекс криптон -замок для ограничения доступа компьютеру.
- Система защиты конфиденциальной информации Secret Disk.
- Система защиты данных Crypton Sigma.
- Лекция 18 Модель компьютерной системы. Методы и средства ограничения доступа к компонентам эвм. Понятие изолированной программной среды.
- 1. Понятие доступа и монитора безопасности
- 2. Обеспечение гарантий выполнения политики безопасности
- 3. Методология проектирования гарантированно защищенных кс
- Лекция 19 Метод генерации изолированной программной среды
- Лекция 20
- Модели управления доступом
- Системы разграничения доступа
- Диспетчер доступа
- Списки управления доступом к объекту
- Списки полномочий субъектов
- Атрибутные схемы
- Лекция 21
- 1. Подходы к защите информационных систем Устойчивость к прямому копированию
- Устойчивость к взлому
- Аппаратные ключи
- 2. Структура системы защиты от несанкционированного копирования
- Блок установки характеристик среды
- 3. Защита дискет от копирования
- Лекция 22 Электронные ключи hasp
- Лекция 23
- 1. Разрешения для файлов и папок
- 2. Шифрующая файловая система (efs)
- 2.1. Технология шифрования
- 2.2. Восстановление данных
- Лекция 24
- 1. Драйвер еfs
- 2. Библиотека времени выполнения efs (fsrtl)
- 4. Win32 api
- 11.4. Взаимодействие файловой системы защиты ntfs и защиты ресурса общего доступа (Sharing)
- 11.5. Типовые задачи администрирования
- Оснастка Локальные пользователи и группы (Local Users and Groups)
- 11.6. Администрирование дисков в Windows 2000
- Лекция 25
- 2. Обзор современных средств защиты
- Лекция 26 Защита файлов от изменения. Защита программ от изучения. Защита от дизассемблирования. Защита от отладки. Защита от трассировки по прерываниям. Защита от исследований.
- Обычные проблемы хакера
- Защита от исследований на уровне текстов
- Защита от исследований в режиме отладки.
- Защита программ от трассировки
- Лекция 27
- 1. Базовые методы нейтрализации систем защиты от несанкционированного использования
- 2. Понятие и средства обратного проектирования
- Лекция 28 Локализация кода модуля защиты посредством отлова WinApi функций в режиме отладки
- Базовые методы противодействия отладчикам
- Лекция 29 Базовые методы противодействия дизассемблированию по
- Защита от отладки, основанная на особенностях конвейеризации процессора
- Лекция 30 Использование недокументированных инструкций и недокументированных возможностей процессора
- Шифрование кода программы как универсальный метод противодействия отладке и дизассемблированию
- Основные модели работы рпв
- Компьютерные вирусы.
- Классификация вирусов
- Лекция 32 Механизмы заражения компьютерными вирусами
- Признаки появления вирусов
- Методы и средства защиты от компьютерных вирусов
- Лекция 33
- Ibm antivirus/dos
- Viruscan/clean-up
- Panda Antivirus
- Профилактика заражения вирусами компьютерных систем
- Антивирус. Алгоритм работы
- Проверочные механизмы
- Постоянная проверка и проверка по требованию
- Лекция 34 Структура антивирусной защиты предприятия
- Функциональные требования
- Общие требования
- Пример вируса
- Список литературы Основная литература
- Дополнительная литература
- Периодические издания
- Методические указания к лабораторным занятиям
- Методические указания к практическим занятиям
- Методические указания к курсовому проектированию и другим видам самостоятельной работы