3.3.4 Защита от программных закладок
Задача защиты от программных закладок может рассматриваться в трех принципиально различных вариантах:
не допустить внедрения программной закладки в компьютерную систему;
выявить внедренную программную закладку;
удалить внедренную программную закладку.
При рассмотрении этих вариантов решение задачи защиты от программных закладок сходно с решением проблемы защиты компьютерных систем от вирусов. Как и в случае борьбы с вирусами, задача решается с помощью средств контроля за целостностью запускаемых системных и прикладных программ, а также за целостностью информации, хранимой в компьютерной системе и за критическими для функционирования системы событиями. Однако данные средства действенны только тогда, когда сами они не подвержены влиянию программных закладок, которые могут:
навязывать конечные результаты контрольных проверок;
влиять на процесс считывания информации и запуск программ, за которыми осуществляется контроль;
изменять алгоритмы функционирования средств контроля.
При этом чрезвычайно важно, чтобы включение средств контроля выполнялось до начала воздействия программной закладки либо когда контроль осуществлялся только с использованием программ управления, находящихся в ПЗУ компьютерной системы.
Защита от внедрения программных закладок. Универсальным средством защиты от внедрения программных закладок является создание изолированного компьютера. Компьютер называется изолированным, если выполнены следующие условия:
в нем установлена система BIOS , не содержащая программных закладок;
операционная система проверена на наличие в ней закладок;
достоверно установлена неизменность BIOS и операционной системы для данного сеанса;
на компьютере не запускалось и не запускается никаких иных программ, кроме уже прошедших проверку на присутствие в них закладок;
исключен запуск проверенных программ в каких-либо иных условиях, кроме перечисленных выше, т. е. вне изолированного компьютера.
Для определения степени изолированности компьютера может использоваться модель ступенчатого контроля. Сначала проверяется, нет ли изменений в BIOS . Затем, если все в порядке, считывается загрузочный сектор диска и драйверы операционной системы, которые, в свою очередь, также анализируются на предмет внесения в них несанкционированных изменений. И, наконец, с помощью операционной системы запускается драйвер контроля вызовов программ, который следит за тем, чтобы в компьютере запускались только проверенные программы.
Выявление внедренной программной закладки. Выявление внедренного кода программной закладки заключается в обнаружении признаков его присутствия в компьютерной системе. Эти признаки можно разделить на следующие два класса:
качественные и визуальные;
обнаруживаемые средствами тестирования и диагностики.
К качественным и визуальным признакам относятся ощущения и наблюдения пользователя компьютерной системы, который отмечает определенные отклонения в ее работе (изменяется состав и длины файлов, старые файлы куда-то пропадают, а вместо них появляются новые, программы начинают работать медленнее, или заканчивают свою работу слишком быстро, или вообще перестают запускаться).
Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как для программных закладок, так и для компьютерных вирусов. Например, загрузочные закладки успешно обнаруживаются антивирусными программами, которые сигнализируют о наличии подозрительного кода в загрузочном секторе диска.
С редства проверки целостности данных; на диске типа Adinf позволяют успешно выявлять изменения, вносимые в файлы программными закладками. Кроме того, эффективен поиск фрагментов кода программных закладок по характерным для них последовательностям нулей и единиц (сигнатурам), а также разрешение выполнения только программ с известными сигнатурами.
Удаление внедренной программной закладки. Конкретный способ удаления внедренной программной закладки зависит от метода ее внедрения в компьютерную систему. Если это программно аппаратная закладка, то следует перепрограммировать ПЗУ компьютера. Ее ли это загрузочная, драйверная, прикладная, замаскированная закладка или закладка-имитатор, то можно заменить их на соответствующую загрузочную запись, драйвер, утилиту, прикладную или служебную программу, полученную от источника, заслуживающего доверия. Наконец, если это исполняемый программный модуль, то можно попытаться добыть его исходный текст, убрать из него имеющиеся закладки или подозрительные фрагменты, а затем заново откомпилировать.
- 1. Классификация компьютерных вирусов.
- 2. Загрузочные вирусы
- 3. Макро-вирусы
- 4. Файловые вирусы
- 4.1Overwriting
- 4.2 Parasitic
- 4.3 Вирусы без точки входа
- 4.4 Компаньон – вирусы
- 4.5 Файловые черви
- 4.6 Link-вирусы
- 4.7 Obj-, lib-вирусы и вирусы в исходных текстах
- 5. Резидентные вирусы
- 5.1 Dos-вирусы
- 5.2 Загрузочные вирусы
- 5.3 Windows-вирусы
- 6. Стелс-вирусы
- 6.1 Загрузочные вирусы
- 6.2 Файловые вирусы
- 6.3 Макро-вирусы
- 7. Полиморфик-вирусы
- 7.1 Полиморфные расшифровщики
- 8. Irc-черви
- 8.1 Irc-клиенты
- 8.2 Скрипт-черви
- 8.3 MIrc.Acoragil и mIrc.Simpsalapim
- 8.4 Win95.Fono
- 9. Сетевые вирусы
- 10. Прочие "вредные программы"
- 10.1 Троянские кони (логические бомбы)
- 10. 2 Утилиты скрытого администрирования (backdoor)
- 10. 3 Intended-вирусы
- 10. 4 Конструкторы вирусов
- 10. 5 Полиморфные генераторы
- Компьютерные вирусы
- 3.1 Общие понятия, структура и классификация
- 3.1.1 Когда появились компьютерные вирусы?
- 3.1.2 Вредоносные программы
- 3.1.3 Природа и структура вируса
- 3.1.4 Классификация компьютерных вирусов
- 3.1.5 Типы вирусов
- 3.2 Программные закладки
- 3.2.1 Общее понятие программной закладки
- 3.2.2 Классификация программных закладок
- 3.2.3 Модели воздействия программных закладок на компьютеры
- 3.2.4 Троянские программы
- 3.2.5 Клавиатурные шпионы
- 3.3 Антивирусные средства защиты
- 3.3.1 Характеристика антивирусных программ
- 3.3.2 Полное декодирование
- 3.3.3 Цифровая иммунная система
- 3.3.4 Защита от программных закладок
- 3.3.5 Как защитить систему от клавиатурных шпионов
- 3.3.6 Программный комплекс Dr.Web Enterprise Suite
- 3.3.7 Антивирус Касперского Personal Pro
- 3.3.8 Антивирусные утилиты Symantec, McAffee и BitDefender