- •Оглавление
- •От редактора перевода
- •Введение
- •Использовать
- •Аргументировано обсуждать
- •IV. Применять знания
- •Модуль 1. Компьютерные системы
- •Обзор компьютерных систем
- •1.1.1. Компоненты компьютерных систем
- •Эволюция компьютерных систем
- •1.2.1. Краткая историческая справка
- •Закон Мура
- •1.2.2. Применение компьютерных систем
- •Представление данных в компьютерных системах
- •1.3.1. Биты и байты
- •1.3.2. Системы счисления
- •Модуль 2. Системы аппаратного обеспечения
- •2.1 Процессор и память
- •2.1.1 Процессор. Основы.
- •2.1.2 Типы памяти
- •2.1.3 Лабораторная работа: Эталонное тестирование (необязательная)
- •2.2 Внешние устройства
- •2.2.1 Присоединяемые внешние устройства
- •2.2.2 Шины
- •2.2.3 Входные/выходные устройства
- •2.3 Запоминающие устройства
- •2.3.1 Интерфейсы дисковых контроллеров
- •2.3.2 Накопитель (запоминающее устройство большой ёмкости)
- •2.4 Соединение компонентов аппаратного обеспечения
- •2.4.1 Как компоненты компьютера работают вместе
- •2.4.2 Лабораторная работа: Изучение компьютерных систем
- •2.4.3 Лабораторная работа: Конфигурация online
- •2.5 Повышение производительности компьютера
- •2.5.1 Закон Мура
- •2.5.2 “Узкие” места (Bottlenecks)
- •2.5.3 Производительность и время ожидания
- •Модуль 1 и Модуль 2 Обзорные материалы
- •Закон Мура
- •Модуль 3. Программное обеспечение операционных систем
- •Структура
- •3.1.1 Уровни программного обеспечения
- •3.1.2 Bios: Жизнь снизу
- •3.1.3 Управление процессами
- •3.1.4 Лабораторная работа: диспетчер задач (Task Manager)
- •3.2 Управление устройствами и конфигурация
- •3.2.1 Управление прерываниями
- •3.2.2 Характеристики аппаратного обеспечения
- •3.2.3 Конфигурация
- •3.2.4 Лабораторная работа: Управление устройствами
- •3.3. Распределение ресурсов
- •3.3.1 Виртуальная память
- •3.3.2 Совместное использование файлов и принтеров
- •3.4. Файловые системы
- •3.4.1 Организация файлов
- •3.4.2 Таблица размещения файлов (File Allocation Table) и файловая система nt
- •Модуль 4. Прикладное программное обеспечение
- •4.1 Основы программного обеспечения
- •4.2 Использование систем программного обеспечения
- •4.2.1 Лабораторная работа: Команды dos
- •4.2.2 Лабораторная работа: Макросы
- •4.2.3 Лабораторная работа: Встроенные объект-приложения
- •4.3 Пакетные файлы сценариев
- •4.3.1 Расширенные функции командной строки
- •4.3.2 Команды пакетного файла
- •4.3.3 Лабораторная работа: Создание пакетного файла
- •4.4 Базы данных
- •4.4.1 Лабораторная работа: Поиск в библиотеке Конгресса
- •4.5 Проектирование программного обеспечения
- •4.5.1 Введение в разработку крупномасштабных программных систем (Large-Scale Software).
- •4.5.2 Модель открытого кода
- •4.5.3 Средства для создания и управления программным обеспечением
- •Модуль 3 и Модуль 4 - Материалы для проверки
- •Базы данных
- •Виртуальная память
- •Модуль 5. Сетевые системы
- •5.1 Основы Интернета
- •5.1.1 Типы mime
- •5.1.2 Языки Интернет
- •5.2 Локальные и глобальные сети
- •5.3 Стратегии коммуникации
- •5.3.1 Структура клиент-сервер (Client-Server Framework)
- •5.3.2 Равноправное соединение
- •5.4 Технологии передачи данных
- •5.5 Архитектура Интернет
- •5.5.1 Роутеры и tcp/ip
- •5.5.2 Сервис доменных имен (Domain Name Service)
- •5.5.3 Способность к подключению
- •5.5.4 Провайдеры Интернет-сервиса (Internet Service Providers)
- •Модуль 6. Безопасность компьютера
- •6.1 Угрозы безопасности
- •6.1.1 Злоумышленники: кто, зачем и как?
- •6.1.2 Кража личности и нарушение конфиденциальности (Identity Theft and Privacy Violation)
- •6.1.3 Вредоносные программные средства
- •6.1.4 Отказ от обслуживания
- •6.2 Технологии безопасности
- •6.2.1 Шифрование
- •6.2.2 Применение шифрования
- •6.2.3 Идентификация
- •6.3 Предотвращение, определение и восстановление
- •6.3.1 Система сетевой защиты (Firewall)
- •6.3.2 Средства определения вторжения
- •6.3.3 Восстановление данных
- •6.3.4 Обзор типов безопасности
- •Модуль 5 и Модуль 6 Обзорный материал
- •Шифрование
- •Приложение а. Выполнение файла Visual Basic
- •Приложение в. Загрузка приложения WinZip
- •Рекомендации по чтению ssd2
6.1.3 Вредоносные программные средства
-
Вирус
-
Троянский конь
-
Червь
-
Предотвращение
-
Выявление
-
Ответные меры
Злонамеренное программное обеспечение составляет существенную часть нападений на компьютерные системы. Миллиарды долларов тратятся после нападений на восстановление систем. Злонамеренное программное обеспечение может управлять вашей машиной, изменять данные на ваших носителях и нарушать их целостность. Некоторые виды вредоносного программного обеспечения могут повредить файлы и распространиться на другие машины через сеть. Важные данные, такие как имена, пароли, информация кредитной карточки, финансовые данные и деловые предложения могут быть удалены, изменены или оказаться недоступными для машины. Этот раздел является введением в три основных класса злонамеренного программного обеспечения: вирус, Троянский конь и червь.
Вирус
Вирус соединяется с файлом или программным приложением, а затем дублирует себя на главном компьютере (хосте), распространяя свои копии в другие файлы. Он может разрушить файлы, изменить или уничтожить данные, отображать раздражающие сообщения, и/или прерывать компьютерные операции. Когда компьютер открывает зараженный файл, он выполняет прикрепленные вирусные команды. Необнаруженный вирус может скрываться в компьютере в течение дней или месяцев, размножаясь и присоединяясь к другим файлам. Зараженные файлы распространяются, когда пользователь пересылает их через Интернет или передает на сменных носителях на другие компьютеры.
Вирусы делятся по типу файлов, заражаемых ими. Наиболее часто вирусы заражают следующие элементы информационной системы:
-
Загрузочный сектор – Вирус, записанный в загрузочный сектор, воздействует на работу системы на самом нижнем уровне. Это ведет к трудностям в загрузке; вызывает периодические проблемы в течение работы компьютера
-
Прикладные программы – Вирусы этого типа заражают исполняемые файлы (например, .exe файлы)
-
Macro – Макро-вирусы заражает макро-файлы и документы, которые используют макроопределения, такие как Microsoft Excel и Microsoft Word; он прикрепляется к документу или таблице и часто распространяется как почтовое вложение. Когда кто-то открывает документ, макро-вирус копирует себя в другие макро-файлы, где он подхватывается другими документами.
Один из таких вирусов - вирус Мелисса приходит как почтовое сообщение с зараженным Word-документом (часто называется "List.doc"). Строка темы email обычно содержит: "важное сообщение от" ("important message from"). Он воздействует на пользователей почтовых клиентов Outlook или Outlook Express. Когда вложение открывается, вирусная программа будет выполняться, если существует возможность выполнять макрокоманды. Вначале вирус изменит установки макро-защиты, чтобы позволить выполняться и другим макросам. Затем он открывает адресную книгу пользователя Outlook и посылает копии себя вместе с документом, который содержит его, другим пользователям без ведома владельца компьютера. Если документ содержит конфиденциальную информацию, то она может быть получена другими пользователями. Дополнительно, как только зараженный файл открыт, он может заразить другие файлы Word. Если зараженный файл Word послан по электронной почте другому пользователю, у получателя сообщения будет такое же зараженное Мелиссой вложение.
Вы можете узнать больше о Вирусе Мелисса.
Вирусы часто имеют двойные расширения, такие как .txt.vbs, .mpg.exe, и .gif.scr. Файлы, прикрепленные к почтовым сообщениям, посланными этими вирусами, могут быть невинными файлами типа: текст (.txt), фильм (.mpg), изображение (.gif) или другие типы файла, тогда как фактически файл – злонамеренный сценарий или программа, например, .vbs, .exe, .scr. Если вы используете операционную систему Microsoft Windows, знайте, что операционная система по умолчанию скрывает расширения известных файлов. Чтобы сделать расширения файла видимыми, щелкните по иконке Мой Компьютер (My Computer) на рабочем столе, затем из меню Инструменты (Tools), выберите Параметры Папки...( Folder Options...) Щелкните по пункту меню View (вид), и снимите отметку скрыть расширения файла для известных файлов (Hide file extensions for known file types).
Пример вируса со спрятанным расширением: Love Bug (любимый жук)
Этот вирус приходит как почтовое вложение, LOVE-LETTER-FOR-YOU.TXT.vbs. Как только вы открываете вложение, вирус переписывает большинство файлов с музыкой, графикой, документов, таблиц и Web-файлов на вашем диске. Затем вирус отправляет себя по почте каждому пользователю из вашей адресной книги. Потери вследствие эпидемии Love Bug стоили до 8.7 миллиардов долларов из-за снижения производительности и необходимости восстановления систем согласно
Для получения дополнительной информации о вирусах, зайдите на CERT Computer Virus Resource page.
Троянский конь
Троянский конь – программа, которая как бы выполняет одно задание, в то время как злонамеренная задача выполняется в фоновом режиме. Она может попасть на ваш компьютер как почтовое вложение, обычно как забавное или, на вид полезное, программное обеспечение, чтобы соблазнить вас открыть его. Как только вы открываете вложение, программа Троянского коня может найти вашу пользовательскую информацию, украсть ваши имена логинов и копировать ваши пароли. Некоторые Троянские программы могут удалить, изменить или передать файлы с вашего компьютера. Некоторые Троянские программы могут содержать вирусы, червей или другие Троянские программы. Троянские программы могут использовать привилегии вашей учетной записи, чтобы установить другие программы, например программы, обеспечивающие несанкционированный сетевой доступ. Или, они могут использовать вашу учетную запись, чтобы напасть на другие системы и сделать ваш сайт источником нападения.
Кроме того, эти Троянские программы могут далее использовать уязвимость вашей системы, чтобы расширить уровень доступа после запуска пользователем Троянского коня, например, получить административный доступ. Как только злоумышленник получает административный доступ, он может делать все, что может администратор, например, менять логины и пароли на других компьютерах и устанавливать программное обеспечение. Когда злоумышленник получает административный доступ к вашим системам, становится слишком трудным доверять машине без переустановки системного программного обеспечения.
Несмотря на разрушительную силу Троянских программ, эти программы не могут выполняться, если они не будут запущены на целевой системе. Злоумышленник может обмануть пользователя, чтобы выполнить программу. Понимая различные методы, которые злоумышленник может использовать, чтобы заставить пользователей запустить Троянскую программу на их компьютере, вы можете лучше идентифицировать атаку Троянского коня и избежать превращения в жертву такой атаки.
Злоумышленник может заманить пользователя запустить Троян, подделывая email так, словно это представитель Microsoft информирует пользователя открыть вложение письма для процедур, которые могут исправить слабое звено безопасности. Тогда пользователь может открыть документ, на самом деле являющийся Трояном. Злоумышленник может также использовать обман, используя методы социальной инженерии, такие например, как вызов системного администратора и выдачу себя за законного системного пользователя, который не может запустить определенные программные приложения. Так злоумышленник может манипулировать системным администратором для запуска Троянской программы.
Самозванцы могут использовать сайты загрузки программного обеспечения и заменять законные версии программ Троянскими версиями. Злоумышленник может обмануть пользователей, перенаправляя их на веб-узел, чтобы загрузить Троянскую программу. Кроме того, Троянская программа может размещаться на веб-узле в форме компонентов Java, JavaScript или ActiveX. Заметьте что Java, JavaScript и ActiveX также известны как мобильные коды. Эти программы выполняются веб-браузером при обращении к сайту. Чтобы избежать Троянских нападений через подобные веб-узлы, вы можете отключить Java, JavaScript и ActiveX в вашем веб-браузере. Однако, отключение этих возможностей может затруднить просмотр некоторых веб-узлов. Хорошая практика – отключить Java, JavaScript и ActiveX и разрешать их только тогда, когда необходимо.
Вы можете узнать больше о ActiveX security (Безопасности ActiveX) на сайте CERT.
Дополнительная информация, относящаяся к рискам, изложена в документе (разрушительный код в веб-ссылках), который можно найти на сайте CERT.
Пример троянского коня: Back Orifice (BO)
Back Orifice – программа обхода защиты Windows 95/98. Будучи однажды неосторожно установленной, она разрешает злоумышленникам, знающим номер порта прослушания и пароль BO, управлять машиной дистанционно. Злоумышленники могут выполнять привилегированные операции, например, выполнять команды, смотреть списки файлов, передавать и загружать файлы. Вы можете больше прочитать о Back Orifice и других троянских программах обхода защиты.
Червь
Червь – злонамеренное программное обеспечение, запускающее себя на зараженной удаленной машине. По сравнению с вирусами, которые заражают файлы и распространяются через зараженные файлы и почтовые сообщения, черви могут проникнуть в компьютерные системы более просто, так как им не требуется запуск пользователем. Черви могут выполнять различные действия от показа раздражающих сообщений до разрушения данных.
Большинство червей путешествуют в составе почтовых сообщений и пакетов TCP/IP, копируясь с одного компьютера на другой. Червь может прибыть как часть массовой рассылки, которую он отправляет каждому адресату из адресной книги зараженного компьютера. Чтобы скрыть свой путь, червь в массовой рассылке может установить в строке сообщения "От:" случайно выбранный адрес из адресной книги email.
Пример червя: Worm 911
Этот червь также известен как Chode, Worm.Firkin и под другими именами. Он ищет среди ряда IP -адресов известные IP-адреса для поиска доступного компьютера, имеющего незащищенное паролем коллективно используемое устройство (shared drive). Он использует это устройство для копирования своих файлов на другие компьютеры. Как только на инфицированном компьютере загружается Windows, запускается скрипт на языке Visual Basic. 19-го числа этот скрипт удаляет файлы из следующих директорий:
C:\windows C:\windows\system C:\windows\command C:\
Затем, выдает сообщение о том, что машина инфицирована.
Вы можете узнать больше о черве 911 на сайте Symantec.
Предотвращение
Самый эффективный путь предотвращения враждебных атак программного кода – избегать открывать неизвестные почтовых сообщения или вложения. Нужно быть осторожными и использовать проверенные средства для загрузки данных и программ. Вы не должны запускать программы, если вы не доверяете отправителю информации или соглашаться с тем, чтобы принять вложение. Также следует избегать пересылки программ, полученных из неизвестных источников, другим пользователям.
Вы должны также быть осторожны, выполняя содержимое таких апплетов как Java, JavaScript или Active X, управляемых веб-страницами. Чтобы уменьшить восприимчивость вашего компьютера к червям, вы, возможно, захотите сконфигурировать ваш браузер, чтобы отключить автоматическое выполнение содержимого веб-страницы. Вы, возможно, также хотите отключить макросы в любой программе, которая содержит макроязык. Например, чтобы отключить выполнение макросов в Microsoft Word, нажмите на Инструменты (Tools), выберите Macro, а затем Защиту (Security). Выберите уровень защиты – либо «высокий» ("High"), либо «средний» ("Medium"). "Высокий" игнорирует макрокод, "средний" позволяет выполнить или отключить макрокод.
Многие слабые стороны безопасности, относящиеся к операционным системам, обсуждаются в списке рассылок. Фирмы-разработчики программного обеспечения, такие как Microsoft, выпускают пакеты обновления или заплаты, которые ставятся для закрытия дыр в защите, но если эти изменения не поставлены своевременно, ваша операционная система остается уязвимой для атак. Также важно ощущать появление вирусов, червей и Троянов. Вы можете проконсультироваться в Календаре вирусов McAfee's по последним вирусам.
Определение
Самые заметные симптомы заражения враждебным программным кодом это:
-
Необъяснимые изменения размеров файлов или отметок даты и времени
-
Медленное начало или запуск, так как вирус забирает ресурсы компьютера
-
Непредвиденные или частые отказы системы
-
Уменьшение объема доступной дисковой памяти
-
Ненормальное поведение программ
Ответные меры
: Если вы обнаружили, что в вашу систему попал вирус:
1. Пробуйте сдержать вирус.
2. Пробуйте идентифицировать вирус.
3. Пробуйте восстановить поврежденные данные.
4. Как только вы определили источник заражения, предупредите других о вирусе.
Есть различные средства, такие как сканеры вирусов, чтобы помочь вам выявить известные вирусы. Вы можете также использовать антивирусные мониторы для выявления приложений, ведущих себя как вирусы. Эти типы средств будут более подробно обсуждаться в разделе 6.3.2 Средства обнаружения проникновения.
Вы может найти больше информации о вредоносном программном коде на сайте CERT.