14.2Загрузочные вирусы
Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.
В случае дискеты или компакт-диска управление получает boot-сектор, который анализирует таблицу параметров диска (BPB - BIOS Parameter Block) высчитывает адреса системных файлов операционной системы, считывает их в память и запускает на выполнение. В случае винчестера управление получает программа, расположенная в MBR винчестера. Эта программа анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска C:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.
При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы, заставляя систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.
Заражение дискет производится единственным известным способом — вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.
При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска например, в неиспользуемый или редко используемый сектор — в один из секторов винчестера, если такие есть, расположенных между MBR и первым boot-сектором. На дискете запись производится в один из последних секторов корневого каталога, или в сектора свободных кластеров логического диска, или в неиспользуемые или редко используемые системные сектора, в сектора, расположенные за пределами диска. Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных секторах, в последних секторах или в секторах, которые принадлежат свободным кластерам диска, помечает в FAT эти кластеры как сбойные).
Реже используется метод сохранения продолжения вируса за пределами диска. Он достигается либо уменьшением размеров логических дисков: вирус вычитает необходимые значения из соответствующих полей boot-сектора и Disk Partition Table винчестера (если заражается винчестер), уменьшает таким образом размер логического диска и записывает свой код в «отрезанные» от него сектора, либо производится запись данных за пределами физического разбиения диска. В случае флоппи-дисков вирусу для этого приходится форматировать на диске дополнительный трек (метод нестандартного форматирования). Существуют вирусы («Azusa»), которые содержат в своем теле стандартный загрузчик MBR и при заражении записываются поверх оригинального MBR без его сохранения.
При заражении большинство вирусов копирует в код своего загрузчика системную информацию, хранящуюся в первоначальном загрузчике (для MBR этой информацией является Disk Partition Table, для Boot-сектора дискет - BIOS Parameter Block). В противном случае система окажется неспособной загрузить себя, поскольку дисковые адреса компонент системы высчитываются на основе этой информации. Такие вирусы довольно легко удаляются переписыванием заново кода системного загрузчика в boot-секторе и MBR — для этого необходимо загрузиться с незараженной системной дискеты и использовать команды SYS для обезвреживания дискет и логических дисков винчестера или FDISK/MBR для лечения зараженного MBR-сектора. В случае стелс-вируса диск может быть «оживлен» либо переформатированием с потерей всей информации, либо восстановлением Disk Partition Table «вручную». Следует также отметить тот факт, что загрузочные вирусы очень редко «уживаются» вместе на одном диске — часто они используют одни и те же дисковые сектора для размещения своего кода/данных. В результате код/данные первого вируса оказываются испорченными при заражении вторым вирусом, и система либо зависает при загрузке, либо зацикливается (что также приводит к ее зависанию).
- 1Угрозы информационным системам. Факторы, приводящие к информационным потерям
- 1.1Введение
- 1.2Осуществление угроз информационным ресурсам
- 1.3Факторы, приводящие к информационным потерям
- 1.4Виды угроз информации
- 1.5Источники возникновения угроз
- 2Криптография. Симметричные алгоритмы шифрования.
- 2.1Введение
- 2.2Терминология
- 2.3Симметричные криптосистемы
- 2.4Алгоритм Цезаря
- 2.5Алгоритм замены полиалфавитный
- 2.6Алгоритм замены с большим ключом
- 2.7Перестановки.
- 2.8Гаммирование.
- 3Криптография. Несимметричные алгоритмы шифрования.
- 3.1Системы с открытым ключом
- 3.2Алгоритм Диффи-Хеллмана – протокол генерации секретного ключа.
- 3.3Описание системы с открытым ключом
- 3.4Алгоритм rsa
- 3.5Практическая реализация rsa
- 3.6Пример 1 rsa.
- 3.7Пример 2 rsa.
- 3.8Пример 3 rsa.
- 3.9Немного об арифметических операциях по модулю n.
- 3.10Сложение.
- 3.11Вычитание.
- 3.12Умножение.
- 3.13Деление.
- 3.14Обратное по модулю.
- 3.15Стандарт шифрования данных гост 28147-89
- 3.16Простые числа
- 4Электронная подпись
- 4.1Эцп - зашифрованный текст
- 4.2Эцп - открытый текст
- 4.3Использование хэш-функций
- 4.4Сертификация
- 4.5Имитовставка или mac-код
- 4.6 Шифрование больших сообщений и потоков данных
- 4.7Шифрование, кодирование и сжатие информации
- 4.8Аппаратные шифраторы.
- 5Управление ключами
- 5.1Генерация ключей
- 5.2Накопление ключей
- 5.3Распределение ключей
- 5.4Использование “блуждающих ключей”
- 6Стеганография
- 6.1Введение
- 6.2Электронные «водяные знаки».
- 6.3Скрытие текста в 24-разрядном bmp файле.
- 8.2Технология шифрования
- 8.3Взаимодействие с пользователем
- 8.4Восстановление данных
- 8.5Немного теории
- Процесс шифрования
- Процесс восстановления
- 8.6Реализация в Windows 2000
- 8.7Выводы
- 9Протокол ipSec в Window 2000.
- 9.1Реализация промышленных стандартов
- 9.2Реализация Windows ip Security
- 9.3Пример
- 9.4О совместимости
- 10Защищенные каналы. Аутентификация.
- 10.1Введение
- 10.2Аутентификация на основе хэш-функций.
- 10.3Аутентификация на основе общего секретного ключа
- 10.4Аутентификация на основе открытого ключа
- 10.5Аутентификация с использованием центра распределения ключей
- 11Протокол Kerberos в Windows 2000.
- 11.1Аутентификация в Windows 2000
- 11.2Преимущества аутентификации по протоколу Kerberos
- 11.3Начальная аутентификация.
- 11.4Метка времени в качестве средства для взаимной аутентификации.
- 11.5Аутентификация за пределами домена
- 11.6Срок годности билетов. Обновляемые билеты.
- 11.7Подпротоколы
- 11.8Подпротокол tgs Exchange
- 11.9Подпротокол cs Exchange
- 11.10Билеты
- 11.11Какие данные из билета известны клиенту
- 11.12Как служба kdc ограничивает срок действия билета
- 11.13Что происходит после истечения срока действия билета
- 11.14Обновляемые билеты tgt
- 11.15Делегирование аутентификации
- 11.16Представительские билеты
- 11.17Передаваемые билеты
- 12Криптографические протоколы
- 12.1Стегоканал
- 12.1.1Скрытие сообщения с одноразовым блокнотом
- 12.1.2Скрытие сообщения с одноразовым блокнотом и ключевой фразой
- 12.2Защищенный канал
- 12.2.1Протокол взаимоблокировки
- 12.2.2В92 – протокол.
- 12.3Аутентификация
- 12.3.1Аутентификация skey
- 12.3.2Взаимная аутентификация - однонаправленные сумматоры
- 12.6Протокол разбиения секрета
- 13.2Криптоанализ и атаки на криптосистемы
- 13.3Атака 1. Расшифровка ранее полученного сообщения при помощи специально подобранного текста.
- 13.4Атака 2. Подпись нотариуса на неверном документе.
- 13.5Атака 3. Подпись на документе вторым способом.
- 13.6Атака 4. Атака при использовании общего модуля.
- 13.7Выводы
- 14Вредоносные программы. Вирусы. Защита.
- 14.1Классификация компьютерных вирусов
- 14.2Загрузочные вирусы
- 14.3Файловые вирусы
- 14.3.1Способы заражения - запись поверх.
- 14.3.2Способы заражения - паразитические
- 14.3.3Способы заражения - Вирусы без точки входа
- 14.3.4Способы заражения - Компаньон-вирусы
- 14.3.5Способы заражения - Файловые черви
- 14.3.6Способы заражения - Link-вирусы
- 14.3.7Алгоритм работы файлового вируса
- 14.4Макро-вирусы
- 14.4.1Алгоритм работы Word макро-вирусов
- 14.5Полиморфик-вирусы
- 14.5.1Полиморфные расшифровщики
- 14.5.2Уровни полиморфизва
- 14.5.3Изменение выполняемого кода
- 14.6Стелс-вирусы. Загрузочные вирусы
- 14.6.1Стелс-вирусы. Файловые вирусы
- 14.6.2Стелс-вирусы. Макро-вирусы
- 14.7Резидентные вирусы в Windows
- 14.8Прочие "вредные программы"
- 14.9Троянские кони (логические бомбы)
- 14.10Утилиты скрытого администрирования (backdoor) компьютеров в сети.
- 14.11Intended-вирусы
- 14.12Конструкторы вирусов
- 14.13Полиморфные генераторы
- 14.14Irc-черви
- 14.15Сетевые вирусы
- 14.16Методы обнаружения и удаления компьютерных вирусов.
- 14.17Типы антивирусов. Сканеры.
- 14.17.1Crc-сканеры
- 14.17.2Блокировщики
- 14.17.3Иммунизаторы
- 14.17.4Правила защиты
- 15Анализ защищенности tcp/ip
- 15.1Пассивные атаки на уровне tcp. Подслушивание
- 15.2Активные атаки на уровне tcp
- 15.2.1Предсказание tcp sequence number
- 15.2.2Описание
- 15.2.3Детектирование и защита
- 15.3.1Ранняя десинхронизация
- 15.3.2Десинхронизация нулевыми данными
- 15.3.3Ack-буря
- 15.4Пассивное сканирование
- 15.5Затопление icmp-пакетами
- 15.6Локальная буря
- 15.7Затопление syn-пакетами
- 16Атака через Internet
- 16.1Понятие удалённой атаки через Internet
- 16.2Пример удалённой атаки через интернет
- 16.3Классификация удаленных атак через систему Internet
- 16.4Понятие типовой удаленной атаки
- 16.5Причины успеха удаленных атак на сеть Internet
- 17Защита локальной сети и одиночного компьютера от атак через Internet.
- 17.1Программно-аппаратные методы защиты от удаленных атак в сети Internet
- 17.2Аппаратные шифраторы сетевого трафика
- 17.3Можно организовать прокси - сервер.
- 17.4Firewall или брандмауэр.
- 17.5Skip-технология и криптопротоколы ssl, s-http как основное средство защиты соединения и передаваемых данных в сети Internet
- 17.6Основные виды межсетевых экранов (брандмауэров)
- 17.7Фильтрующие маршрутизаторы
- 17.8Пример работы фильтрующего маршрутизатора
- 17.9Недостатки и преимущества фильтрующих маршрутизаторов
- 17.10Шлюзы сетевого уровня
- 17.11Шлюзы прикладного уровня
- 17.12Преимущества и недостатки шлюзов прикладного уровня
- 17.13Усиленная аутентификация
- 17.14Применение межсетевых экранов для организации виртуальных корпоративных сетей
- 18Правовое обеспечение безопасности ис.
- 18.1Предмет законодательства
- 18.2Уголовная ответственность
- 18.3Требования к безопасности ис в сша
- 18.4Стандартизация аппаратных средств
- 18.5Требования к безопасности информационных систем в России
- 18.6Показатели защищенности средств вычислительной техники
- 18.7Заключение
- 18.8Рекомендации
- 19Пароли ис.
- 19.1Пароли. Хранение и передача по сети.
- 19.2Безопасность паролей и шифрование
- 19.3Идентификация и аутентифокация. Использование токенов.
- 19.4Равнозначность паролей
- 19.5Восстановление паролей текстовом виде
- 19.6Поиск по словарю
- 19.7Прямой подбор
- 19.8“Комбинированный” метод
- 19.9Работа программ вскрытия паролей Windows nt
- 19.10Основные меры защиты.
- 19.11Программы подбора паролей
- 19.16Троянская конница
- 19.17Программно-технические мероприятия защиты.
- 19.18Защита паролем
- 19.19Создание надежных паролей