- •Понятие информационной безопасности
- •Основные определения и классификация угроз
- •Классификация сетевых атак
- •Пассивная атака
- •Активная атака
- •Определение проблематики иб
- •Законодательный, административный и процедурный уровни
- •Оранжевая книга
- •Обзор российского законодательства в области иб
- •Стандарты информационной безопасности
- •Административные меры информационной безопасности
- •Процедурный уровень информационной безопасности
- •Программно-технические меры
- •Криптография Основные понятия
- •Структура алгоритма симметричного шифрования
- •Сеть Фейштеля
- •Раунд сети Фейштеля
- •Алгоритм des
- •Описание раунда des
- •Алгоритм тройной des
- •Алгоритм гост 28147
- •Описание раунда гост 28147
- •Основные требования к алгоритмам асимметричного шифрования
- •Шифрование с открытым ключом
- •Создание и проверка подписи
- •Алгоритм rsa
- •Алгоритм обмена ключа Диффи-Хеллмана
- •Хэш-функции
- •Хэш-функция md5
- •Хэш-функция sha-1
- •Хэш-функции sha-2
- •Хэш-функция гост 3411
- •Требования к цифровой подписи
- •Прямая и арбитражная цифровые подписи
- •Стандарт цифровой подписи dss
- •Отечественный стандарт цифровой подписи гост 3410
- •Идентификация и аутентификация
- •Эволюция механизмов аутентификации
- •Аутентификация на основе паролей
- •Механизмы одноразовой аутентификации
- •Аутентификация "запрос-ответ"
- •Неявный запрос на базе времени
- •Аутентификация с использованием хэш-функции
- •Аутентификация Kerberos
- •Получение пользователем билета tgt на билеты
- •Получение пользователем билета на доступ к серверу
- •Аутентификация пользователя сервером
- •Аутентификация сервера пользователем
- •Аутентификация при помощи сертификатов
- •Взаимная аутентификация на базе сертификатов
- •Удостоверяющий центр
- •Экранирование
- •Межсетевые экраны прикладного уровня
- •Межсетевые экраны с пакетной фильтрацией
- •Системы за пределами межсетевого экрана
- •Построение набора правил межсетевого экрана
- •Виртуальные частные сети
- •Операционная система FreeBsd
- •Интернет шлюз на FreeBsd
- •Прокси-сервер squid
- •Пример реализации настроек squid
- •Понятие компьютерного вируса
- •Классификация компьютерных вирусов
- •Операционная система
- •Загрузочные вирусы
- •Файловые вирусы
- •Полиморфные вирусы
- •Классификация антивирусных программ
- •Антивирусные программы
- •Принципы работы антивирусных программ
- •Сканирование
- •Эвристический анализ
- •Обнаружение изменений
- •Резидентные мониторы
- •Основные меры по защите от вирусов
- •Библиография
Полиморфные вирусы
Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.
Классификация антивирусных программ
Классифицируются антивирусные программы на чистые антивирусы и антивирусы двойного назначения.
Рис.14. Схема классификации антивирусных программ
Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access-продукты называют мониторами, а on demand-продукты — сканерами.
Оn demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт — это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.
Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.
Программы двойного назначения — это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Например, CRC-checker — ревизор изменений на основе контрольных сумм — может использоваться не только для ловли вирусов. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их. От классического антивируса с антивирусным ядром, распознающего и лечащего от вирусов, которые анализировались в лаборатории и которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов они не умеют, поскольку ничего о них не знают. Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это сегодня приобретает особую актуальность, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.
Антивирусные программы
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
программы-детекторы
программы-доктора или фаги
программы-ревизоры
программы-фильтры
программы-вакцины или иммунизаторы.
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.
Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
попытки коррекции файлов с расширениями COM, EXE
изменение атрибутов файла
прямая запись на диск по абсолютному адресу
запись в загрузочные сектора диска
загрузка резидентной программы
При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги.
Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время.