3204
.pdfспособен распространяться по сети. Как бы то ни было, программа AdobeR.exe явно вредоносная. Запретим всем пользователям доступ к ее файлу, а затем принудительно завершим ее процесс и удалим значение RavAV реестра.
Убедимся, что следующие два значения автозапуска соответствуют безобидным программам, и перейдем к последнему значению. Сразу бросается в глаза имя SVCHOST, выбранное для этого значения, оно явно не имеет никакого отношения к предназначению программы. Имя MDM. ЕХЕ, на которое указывает данное значение, имеет системный сервис
Machine Debug Manager, входящий в состав пакета Microsoft Visual Studio. Но этот файл должен размещаться в той же директории, где и остальные файлы Visual Studio, а запускаться сервис должен через базу сервисов, а не через значение в ключе
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
При беглом взгляде на файл С:/WINDOWS/MDM.EXE в его таблице импортов мы обнаруживаем всего пять функций, две из которых – LoadLibrary и GetProcAddress. Секции данных файла то ли упакованы, то ли зашифрованы. Явно программная закладка. Запретим выполнение этого файла всеми тремя перечисленными ранее способами и удалим значение SVCHOST из реестра.
Закончив с ключом
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
просмотрим соседние ключи RunOnce и RunOnceEx. В данном случае они пусты. Перезапустим операционную систему.
После перезагрузки обнаруживаем, что значение checkrun, указывающее на несуществующий файл
C:\windows\system32\elitehlx32.exe, восстановилось. Похоже,
этот файл реально существует, просто программная закладка использует стелс-технологию.
Проверим, так ли это. Файловые менеджеры показывают, что такого файла нет, однако командная строка сообщает:
C:\WINDOWS\system32>dir elite*.* Volume in drive С has no label.
241
Volume Serial Number is 60B1-A09E Directory of C:\WINDOWS\system32 19.08.2001 14:30 11 593 elitehlx32.exe 1 File(s) 11 593 bytes
0 Dir(s) 180 672 909 312 bytes free
Запретим всем пользователям доступ к этому файлу, удалим значение checkrun и еще раз перезапустим операционную систему. Значение checkrun исчезло окончательно. Никаких признаков присутствия вредоносных программ в системе более не наблюдается.
Таким образом, мы убедились, что при наличии определенной квалификации и определенного опыта, ручное удаление простых программных закладок вполне возможно.
242
3. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОРГАНИЗАЦИИ ИЗУЧЕНИЯ ДИСЦИПЛИНЫ
«ЗАЩИТА ПРОГРАММ И ДАННЫХ» 3.1. Анализ требований ФГОС ВПО
Рассмотрим требования ФГОС ВПО третьего поколения по направлению «Информационная безопасность» (квалификации бакалавр, специалист и магистр), на выполнение которых ориентировано изучение материала данного учебного пособия.
В наибольшей степени глубокие знания вопросов защиты программ и данных требуются при обучении по специальности 090301 – «Компьютерная безопасность» (квалификация – специалист). Закончив обучение по специальности «Компьютерная безопасность», выпускник должен обладать, в том числе, следующими компетенциями:
способен организовать защиту информации при работе с компьютерными системами техническими и программными средствами, включая приемы антивирусной защиты;
способен проводить экспериментальные исследования компьютерных систем с целью выявления уязвимостей.
Для реализации перечисленных компетенций в результате изучения дисциплины «Защита программ и данных» студент должен:
знать основные средства и методы анализа программных реализаций;
уметь применять средства антивирусной защиты и обнаружения вторжений;
владеть навыками анализа программных реализаций. Закончив обучение по специальности 090305
«Информационно-аналитические системы безопасности», выпускник должен обладать, в том числе, способностью организовать защиту информации при работе с компьютерными системами, техническими и программными средствами, включая методы и средства антивирусной защиты.
Для ее реализации студент должен в результате
243
изучения дисциплин профессионального цикла студент должен:
уметь применять средства антивирусной защиты и обнаружения вторжений;
владеть навыками анализа программных реализаций.
Встандарте по специальности 090302 «Информационная безопасность телекоммуникационных систем» компетенции, относящиеся к защите программ и данных, в явном виде также не отражены, однако в результате изучения дисциплин профессионального цикла студент должен:
уметь обеспечивать защиту от разрушающих программных воздействий;
владеть навыками защиты от изменения и контроля целостности программ.
Встандарте по специальности 090303 «Информационная безопасность автоматизированных систем» компетенции, относящиеся к защите программ и данных, в явном виде также не отражены, однако в результате изучения дисциплин профессионального цикла студент должен уметь анализировать программные, архитектурно-технические и схемотехнические решения компонентов автоматизированной системы с целью выявления потенциальных уязвимостей ее информационной безопасности.
Из студентов, осваивающих квалификацию бакалавр направления подготовки 090900 «Информационная безопасность», защите программ и данных в первую очередь следует уделить внимание обучаемым по профилю «Безопасность компьютерных систем», которые должны реализовать следующие компетенции:
способен выполнять работу по самостоятельному построению алгоритмов, проведению их анализа и реализации
всовременных программных комплексах;
способен проводить экспериментальное |
исследование |
компьютерных систем с целью выявления уязвимостей. |
|
При этом в результате изучения |
дисциплин |
244
профессионального цикла студент (квалификации бакалавр) должен:
знать принципы и методы противодействия несанкционированному информационному воздействию на вычислительные системы и системы передачи информации;
владеть навыками выявления и уничтожения компьютерных вирусов.
Обучающийся по уровню подготовки магистр должен реализовать, в том числе, следующие компетенции:
способен анализировать фундаментальные и прикладные проблемы информационной безопасности в условиях становления современного информационного общества;
способен анализировать угрозы информационной безопасности объектов и разрабатывать методы противодействия им.
Для реализации указанных компетенций студент должен:
знать основные принципы организации технического, программного и информационного обеспечения защищенных информационных систем;
уметь обосновывать принципы организации технического, программного и информационного обеспечения информационной безопасности.
Таким образом, изучение на основе предлагаемого пособия вопросов защиты программ и данных способствует освоению знаний и умений, направленных на реализацию компетенций в соответствии с ФГОС ВПО третьего поколения по направлению подготовки «Информационная безопасность» (квалификации бакалавр, специалист и магистр). Закрепление теоретических знаний о моделях безопасности компьютерных систем, практических навыков их использования и окончательное формирование компетенций предусматривается в процессе производственных и преддипломных практик и при выполнении дипломной работы.
245
3.2. Организация изучения защиты программ и данных
Изучение вопросов защиты программ и данных основано на дисциплинах вида: «Информатика», «Математическая логика и теория алгоритмов», «Языки программирования», «Основы информационной безопасности».
Знания и практические навыки, полученные при изучении защиты программ и данных, обеспечивают освоение дисциплин вида: «Модели безопасности компьютерных систем», «Основы построения защищенных операционных систем», а также используются обучаемыми при разработке курсовых и дипломных работ.
Преподавателю важно учесть, что материал пособия имеет практическую направленность, при этом набольшее значение для его усвоения имеют практические занятия, на которых студенты непосредственно усваивают преподаваемые умения и навыки. Особенно полезно в этом плане долгосрочное домашнее задание, при выполнении которого студенту предлагается самостоятельно проанализировать реализацию специально подготовленной учебной программы и изменить ее функциональность, не имея доступа к исходному тексту программы. Практический опыт преподавания показывает, что студенты относятся к таким заданиям с большим энтузиазмом, поскольку выполнение задания позволяет студенту почувствовать себя хакером.
При изучении защиты программ и данных бакалавру целесообразно изучить как минимум следующие вопросы:
основные методы анализа программных реализаций без учета особенностей анализа оверлейного и параллельного кода, кода, выполняющегося в режиме ядра операционной системы, а также кода, защищенного от анализа
(подразд. 1.1 – 1.4, 1.5.2– 1.5.3);
базовые сведения о программных закладках (подразд. 2.1 –2.3), методы внедрения программных закладок (подразд. 2.5), базовые сведения о компьютерных вирусах
246
(подразд. 2.6), средства и ме тоды защиты от программных закладок (подразд. 2.7).
Дополнительно специалисту (особенно по специальностям «Компьютерная безопасность», «Информационно-аналитические системы безопасности» и «Информационная безопасность телекоммуникационных систем») и магистру целесообразно изучить следующие вопросы:
особенности анализа оверлейного кода (подразд. 1.5.1), парал лельного кода (подразд. 1.5.4), кода, выполняющегося в режиме ядра операционной системы (подразд. 1.5.5);
вспомогательные инструменты анализа программ (подразд. 1.6);
средства и методы защиты программ от анализа (подразд. 1.7);
предпосылки к внедрению программных закладок (подразд. 2.4);
комплексный подход к организации антивирусной защиты (под-разд.2.8);
выявление программных закладок в ручном режиме (подразд. 2.9).
В соответствии со спецификой вуза, специальностью и квалификацией, реализуемыми образовательной программой, в процессе изучения защиты программ и данных методически целесообразно из каждого раздела дисциплины выделить наиболее важные подразделы и акцентировать на них внимание. При этом при необходимости возможно сокращение времени на анализ рассмотренных в пособии вопросов и изучение других вопросов защиты программ и данных.
247
ЗАКЛЮЧЕНИЕ
Разумеется, предлагаемое вниманию студентов учебное пособие не может охватить всей широты проблемы обеспечения компьютерной безопасности, даже в ее программной части. Однако материал пособия позволит учащимся глубже изучить такие угрозы, как анализ оверлейных и графических программ, параллельного кода и кода в режиме ядра.
Довольно подробно в пособии можно ознакомиться с предпосылками к внедрению программных закладок, включая переполнение буферов, проверку входных данных, некорректных контекст безопасности, устаревшие функции.
Как особый класс программных закладок в пособии рассматриваются компьютерные вирусы, столь популярные среди злоумышленников.
Вышеуказанный материал полезен для старшекурсников специальностей в сфере информационной безопасности, особенно при реализации самостоятельных и других работ в части обеспечения компьютерной безопасности.
248
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1.Девянин, П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах [Текст] / П. Н. Девянин – М. : Радио и связь, 2006.
2.Защита программ и данных [Текст]: учеб. пособие / П. Ю. Белкин, О. О. Михальский, А. С. Першаков, Д. И. Правиков и др. – М. : Радио и связь, 1999.
3.Касперски, К. Образ мышления – дизассемблер IDA [Текст] / К. Касперски. – М. :Солон-Р, 2001.
4.Касперски, К. Техника и философия хакерских атак [Текст] / К. Касперски. – М. : Солон-Пресс, 2004.
5.Касперски, К. Фундаментальные основы хакерства [Текст] / К. Касперски. – М.: Солон-Р, 2002.
6.Колегов, Д. Н. Анализ безопасности информационных потоков по памяти в компьютерных системах с функционально и параметрически ассоциированными сущностями [Текст] / Д. Н. Колегов // Прикладная дискретная математика. – 2009. – № 1(3).
7.Колисниченко, Д. Н. Rootkits под Windows. Теория и практика программирования «шапок-невидимок», позволяющих скрывать от системы данные, процессы, сетевые соединения [Текст] / Д. Н. Колисниченко. – СПб.: Наука и техника, 2006.
8.Проскурин, В. Г. Автоматизированная банковская система глазами хакера [Текст] / В. Г. Проскурин // Аналитический банковский журнал. – 1998. –№ 7.
9.Проскурин, В. Г. Защита в операционных системах [Текст] / В. Г. Проскурин, С. В. Крутов, И. В. Мацкевич. – М. : Радио и связь, 2000.
10.Проскурин, В. Г. Microsoft Windows и
программные закладки [Текст] / В. Г. Проскурин // Защита информации. Конфидент. – 2000. – №3.
11.Проскурин, В. Г. Некоторые мифы компьютерной безопасности [Текст] / В. Г. Проскурин // Банковские технологии. – 1998. – № 9.
249
12.Проскурин, В. Г. Программные закладки в защищенных системах [Текст] / В. Г. Проскурин // Банковские технологии. – 1998. – № 6.
13.Проскурин, В. Г. Типовые программные средства защиты информации и оценка их надежности [Текст] / В. Г. Проскурин, Г. В. Проскурин. – М. : МИЭМ, 1997.
14.Руссинович, М. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP и Windows 2000 [Текст] / M. Руссинович, Д. Соломон. – СПб. : Питер, 2005.
15.Спинеллис, Д. Анализ программного кода [Текст]
/Д. Спинеллис. – М. : Вильяме, 2004.
16.Шрайбер, С. Недокументированные возможности Windows 2000 [Текст] / С. Шрайбер. – СПб.: Питер, 2002.
17.Вирусы и антивирусы [Электронный ресурс]. –
Режим доступа: http://83.102.140.71/bezopasnost/virasy_i_ antivirusy.
18.Поздеев, В. Вредоносные программы и вирусы [Электронный ресурс] /В. Поздеев. – Режим доступа: http://www.whatis.ru/razn/razn20. shtml.
19.Проскурин, В. Г. Проблемы защиты сетевых соединений в Windows NT [Электронный ресурс] / B. Г. Проскурин. – Режим доступа: http://bugtraq.ru/library/ internals/admintrap. html.
20.Лицензионные игры опасны: взлом StarForce как способ спасти компьютер [Электронный ресурс]. – Режим доступа: http://www.thg.ra/game/starforce/index. html.
21.Обфускация и защита программных продуктов [Электронный ресурс]. – Режим доступа: http://citforum.ru/ security/articles/obius.
22.Протекторы исполняемых файлов [Электронный ресурс]. – Режим доступа: http://xndits.ru/index.php
23.Снятие защиты StarForce любых версий [Электронный ресурс]. – Режим доступа: http://www.shram.kiev.ua/hacker/starforce.shtml.
24.Anti-Debugging & Software Protection Advice
[Электронный |
ресурс]. |
– |
Режим |
доступа: |
250