Лабораторная работа №16 тема: вирусы и антивирусы




Скачать 99.74 Kb.
НазваниеЛабораторная работа №16 тема: вирусы и антивирусы
Дата публикации09.09.2013
Размер99.74 Kb.
ТипЛабораторная работа
odtdocs.ru > Информатика > Лабораторная работа
Лабораторная работа №16

тема: вирусы и антивирусы

Краткие теоритические сведения


Компью́терный ви́рус — разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом.

Способы распространения вредоносного ПО

Дискеты 
Самый распространённый канал заражения в 1980-90 годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.
Флеш-накопители (флешки) 
В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны. Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В последней версии MS Windows под торговым названием Windows 7 возможность автозапуска файлов с переносных носителей была устранена. Флешки — основной источник заражения для компьютеров, не подключённых к Интернету.
Электронная почта 
Сейчас один из основных каналов распространения вирусов. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.
Системы обмена мгновенными сообщениями 
Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.
Веб-страницы 
Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи зайдя на такой сайт рискуют заразить свой компьютер.
Интернет и локальные сети (черви) 
Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную системы и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.
^

Классификация вредоносных программ


Троя́нская программа (также — троян, троянец, троянский конь, трой) — вредоносная программа, проникающая на компьютер под видом безвредной — кодека, скринсейвера, хакерского ПО и т. д.

«Троянские кони» не имеют собственного механизма распространения, и этим отличаются от вирусов, которые распространяются, прикрепляя себя к безобидному ПО или документам, и «червей», которые копируют себя по сети. Впрочем, троянская программа может нести вирусное тело — тогда запустивший троянца превращается в очаг «заразы».

Троянские программы крайне просты в написании: простейшие из них состоят из нескольких десятков строк кода на Delphi или C++.

Название «троянская программа» происходит от названия «троянский конь» — деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, впоследствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальное коварство истинных замыслов разработчика программы.

Для того, чтобы спровоцировать пользователя запустить троянца, файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п. Злоумышленник может перекомпилировать существующую программу, добавив к её исходному коду вредоносный, а потом выдавать за оригинал или подменять его.
При заражении большого количества компьютеров одним вирусом возможна организаця ботнета.

Ботнет (англ. botnet от robot и network) — это компьютерная сеть, состоящая из некоторого количества компьютеров, с запущенными программами-ботами. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.

Управление обычно получают в результате установки на компьютер невидимого необнаруживаемого пользователем в ежедневной работе программного обеспечения без ведома пользователя. Происходит обычно через:

  • Заражение компьютера вирусом через уязвимость в ПО (ошибки в браузерах, почтовых клиентах, программах просмотра документов, изображений, видео).

  • Использование неопытности или невнимательности пользователя — маскировка под «полезное содержимое».

  • Использование санкционированного доступа к компьютеру (редко).

  • Перебор вариантов администраторского пароля к сетевым разделяемым ресурсам (в частности, к $ADMIN, позволяющей выполнить удалённо программу) — преимущественно в локальных сетях.

Ботнеты состоят из компьютеров-зомби.

«Компью́тер-зо́мби» — компьютер в сети, используемый третьими лицами без ведома владельца, например для доступа в закрытую или коммерческую сеть (например Интернет), использования вычислительных ресурсов (кластеризации), рассылки спама, и т. п. Используются зомби-компьютеры также и с целями, схожими с целью, с которыми используются открытые прокси.

Компьютеры-зомби являются одним из наиболее эффективных инструментов по рассылке спама — так, они ответственны за 50-80% мирового трафика спама.

Как правило, «зомбирование» осуществляется с помощью троянской программы, которая устанавливает необходимую злоумышленнику фоновую задачу.
^ Keylogger (кейлоггер) — (англ. key — клавиша и logger — регистрирующее устройство) — это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера.

Программные кейлоггеры принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера. Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (лог-файл), который впоследствии изучался человеком, установившим эту программу. Лог-файл мог отправляться по сети на сетевой диск, FTP сервер в сети Интернет, по E-mail и т. д. В настоящее время программные продукты, сохранившие «по старинке» данное название, выполняют много дополнительных функций — это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, «фотографирование» снимков экрана и активных окон, ведение учета всех полученных и отправленных E-mail, мониторинг файловой активности, мониторинг системного реестра, мониторинг очереди заданий, отправленных на принтер, перехват звука с микрофона и видео-изображения с веб-камеры, подключенных к компьютеру и т. д., то есть они, на самом деле, относятся к совершенно другому классу программных продуктов, а именно к мониторинговым программным продуктам.
Руткит (англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX. Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.

В Windows из-за Windows File Protection переписывание системных файлов затруднено (хотя и его можно обойти!), поэтому основные способы внедрения в систему — модификация памяти.

  • перехват системных функций Windows API (API hooking) на уровне пользователя;

  • то же на уровне ядра (перехват Native API);

  • изменение системных структур данных;

  • модификация MBR и загрузка до ядра операционной системы — буткиты (известный представитель BackDoor.MaosBoot).

Данный вид вредоносных кодов очень давно известен в мире Windows и с начала 90х годов прошлого столетия носит название стелс-вируса (Stealth). Кроме того, руткиту нужно как-то поставить себя на автозапуск. Нельзя не признать, что в Windows для этого существуют способы помимо «стандартных».

^

Атаки на вычислительные системы


DoS-атака (от англ. Denial of Service, отказ в обслуживании) — атака на вычислительную систему с целью вывести её из строя, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). В некоторых случаях к DDoS-атаке приводит легитимное действие, например, простановка ссылки на сайт (размещённый на не очень производительном сервере) на популярном интернет-ресурсе (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и отказу в обслуживании части из них.
Существуют различные причины, по которым может возникнуть DoS-условие:

  • Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение серверного приложения. Классическим примером является обращение по нулевому (англ. null) указателю.

  • ^ Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (исчерпанию процессорных ресурсов) либо выделению большого объёма оперативной памяти (исчерпанию памяти).

  • Флуд (англ. flood) — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы — процессора, памяти либо каналов связи.

  • ^ Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов, то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

^

Инструменты защиты от вредоносных программ



Антивирусная программа (антивирус) — программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом
^

Основные методы поиска вирусов

Поиск по сигнатурам:


Это метод, при котором антивирусная программа, анализируя файл, обращается к антивирусным базам, составленные производителем программы-антивируса. В случае соответствия какого-либо участка кода просматриваемого файла (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:

  1. Удалить инфицированный файл.

  2. Заблокировать доступ к инфицированному файлу.

  3. Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).

  4. Попытаться «вылечить» файл, удалив тело вируса из файла.

  5. В случае невозможности лечения/удаления, выполнить эту процедуру при следующей перезагрузке операционной системы.

Вирусная база регулярно обновляется производителем антивирусов, пользователем рекомендуется обновлять их как можно чаще.

Некоторые из продуктов для лучшего обнаружения используют несколько ядер для поиска и удаления вирусов и программ-шпионов. Например, в разработке NuWave Software используется одновременно пять ядер (три для поисков вирусов и два для поиска программ-шпионов).

Для многих антивирусных программ с базой сигнатур характерна проверка файлов в момент, когда операционная система обращается к файлам. Таким образом, программа может обнаружить известный вирус сразу после его получения. При этом системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жёстком диске компьютера.

Хотя антивирусные программы, созданные на основе поиска сигнатур, при обычных обстоятельствах могут достаточно эффективно препятствовать заражению компьютеров, авторы вирусов стараются обойти такие антивирусы, создавая «олигоморфические», «полиморфические» и «Метаморфизм (безопасность) метаморфические» вирусы, отдельные части которых шифруются или искажаются так, чтобы было невозможно обнаружить совпадение с записью в сигнатуре.

^

Эвристический анализ


В целом термином «эвристический анализ» сегодня называют совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ, но в то же время этот же термин обозначает один из конкретных способов.

Эвристическое сканирование в целом схоже с сигнатурным, однако, в отличие от него, ищется не точное совпадение с записью в сигнатуре, а допускается расхождение. Таким образом становится возможным обнаружить разновидность ранее известного вируса без необходимости обновления сигнатур. Также антивирус может использовать универсальные эвристические сигнатуры, в которых заложен общий вид вредоносной программы. В таком случае антивирусная программа может лишь классифицировать вирус, но не дать точного названия.
^ Межсетевой экран или Фаерволл или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Вопросы для контроля


Что такое вирус?

Какие способы проникновения вредоносного ПО вам известны?

Что такое «троянская конь»?

Что такое кейлоггер?

Что такое ботнет и компьютер-зомби?

Что такое руткит?

Что такое DoS-атака? Какие способы проведения DoS-атаки существуют?

Чем отличается Dos-атака от DdoS-атаки?

Какие существуют средства борьбы с вредоносным ПО?

Что такое поиск по сигнатурам?

Что такое эвристический анализатор?

Что такое фаерволл?

Добавить документ в свой блог или на сайт

Похожие:

Лабораторная работа №1 1
Пароли для входа в систему с правами администратора и для отключения всех программ, ограничивающих права (антивирусы, блокировщики...

Лабораторная работа №5 Лабораторная работа №5 Тема: «Классы и объекты»
Лабораторную работу выполнить без использования сред разработки (Intellij idea, Eclipse, NetBeans и др.)

Лабораторная работа №6 Лабораторная работа №6 Тема: «Java-апплеты»
Лабораторную работу выполнить без использования сред разработки (Intellij idea, Eclipse, NetBeans и др.)

Лабораторная работа №4 Лабораторная работа №4 Тема: «Типы данных,...
Лабораторную работу выполнить без использования сред разработки (Intellij idea, Eclipse, NetBeans и др.)

Лабораторная работа №4 Лабораторная работа №4 Тема: «Типы данных, переменные и массивы Java»
Ввести с консоли n целых чисел и поместить их в массив. Найти среди них четные и нечетные числа и вывести их на консоль

Отчёт по теме: «Лабораторная работа №1» Амосов Д. В
Лабораторная работа №1. Интегрированная среда разработки Microsoft Visual C++ 2008. Создание простейшего приложения

Лабораторная работа №2 (ЛР2) Тема "Работа с текстовыми данными в OpenOffice org Calc"
Редактирование данных в активной ячейке можно выполнить тремя способами (для завершения редактирования всегда нужно нажать клавишу...

Лабораторная работа #2 Дисциплина: Теория языков программирования...

Лабораторная работа #2 Дисциплина: Теория языков программирования...

Лабораторная работа №1 по дисциплине: «Безопасность жизнедеятельности и охрана труда»
Тема: “ Исследование безопасности в сетях трехфазного тока напряжением до 1000 в ”

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
odtdocs.ru
Главная страница