Иванов Разрушаюсчие программные воздействия 2011
.pdfОтрицаемое шифрование – стохастическое преобразование, при котором получатель может убедительно продемонстрировать, что полученное число – суть криптограмма от любого произвольного набора данных; отправитель также способен показать, что криптограмма расшифровывается в поддельное сообщение, предъявив ложный секретный ключ шифрования, оставив тем самым истинное сообщение в тайне.
Ошибка 1-го рода (для антивируса) – необнаружение КВ в зараженном файле.
Ошибка 2-го рода (для антивируса) – «обнаружение» вируса в незараженном файле, иначе говоря, ложная тревога.
Ошибка 3-го рода (для антивируса) – обнаружение не «того» вируса в зараженном файле.
Пермутация (от англ. permutate) – изменение кода перестановкой его фрагментов.
Поведенческая сигнатура – строка байт, характеризующая особенности функционирования данной программы, позволяющая отличить ее от любых других программ.
Полиморфный вирус – труднообнаруживаемый вирус, не имеющий сигнатуры, так как в нем нет ни одного постоянного участка кода; два экземпляра одного и того же полиморфного вируса могут не иметь ни одного общего байта; последнее свойство достигается шифрованием тела вируса и модификацией программы-расшифровщика.
Полиморфный генератор (полиморфик-генератор) – про-
грамма для шифрования тела вируса и генерации соответствующего расшифровщика.
Потайные каналы (subliminal channels) – каналы, основанные на нестандартных способах передачи информации по легальным каналам.
Приобретенный иммунитет – система высокоспециализированных клеток, расположенных по всему организму, которые специфически реагируют на чужеродный биоматериал, обрабатывая, нейтрализуя и разрушая его.
321
Протокол – многораундовый обмен сообщениями между участниками, направленный на достижение конкретной цели (выработку общего секретного ключа, аутентификацию абонентов и пр.); протокол включает в себя: характер и последовательность действий каждого из участников, спецификацию форматов пересылаемых сообщений, спецификацию синхронизации действий участников, описание действий при возникновении сбоев.
Псевдослучайная последовательность (ПСП) – последователь-
ность ПСЧ, которая по своим статистическим свойствам не отличается от истинно случайной последовательности, но в отличие от последней может быть повторена необходимое число раз.
Расшифрование – процесс преобразования закрытых (зашифрованных) данных в открытые при известном ключе.
Ре-инжиниринг (реверс-инжиниринг) – процесс получения исходного кода программы и дальнейшее его исследования при наличии на начальном этапе только исполняемого кода программы.
Ревизор – антивирусная программа, выявляющая изменения на дисках компьютера, произошедшие с момента предшествующего запуска того же ревизора; данные обо всех изменениях сохраняются в специальных файлах-таблицах (пример – Adinf).
Секретность – гарантия невозможности доступа к информации для неавторизованных пользователей.
Сетевой вирус – вирус, который для своего распространения использует протоколы и возможности локальных и глобальных сетей (см. также сетевой червь).
Сетевой червь – разновидность РПВ, имеющих способность к самораспространению в локальной или глобальной компьютерной сети; червь обладает следующими функциями: нахождение новых целей для атак, проникновение в них, передача своего кода на удаленную машину, запуск его, проверка на зараженность локальной или удаленной машины для предотвращения повторного заражения (пример – вирус Морриса); не следует путать с файловым червем, по сути – разновидностью компаньон-вируса.
322
Сигнатура (от англ. signature) (маска) – 1) некоторая посто-
янная последовательность кода, характерная для конкретного вируса или семейства вирусов; 2) электронная подпись; 3) CRCкод (устаревш.).
Симбиотические программы (от греч. symbiosis – взаимовы-
годное сосуществование) – обозначение РПВ, активно паразитирующих на человеческих слабостях и недостатках и принуждающих своих жертв к якобы выгодной кооперации.
Симметричное шифрование (шифрование с секретным клю-
чом) – криптоалгоритм, использующий для за- и расшифрования один и тот же секретный ключ.
Система обнаружения вторжений – комплекс программных аппаратных средств, предназначенный для выявления фактов неавторизованного доступа в компьютерную систему или сеть, либо несанкционированного управления ими.
Сканер – антивирусная программа, обнаруживающая вирусы методами контроля целостности данных или идентифицирующая вирусы по сигнатурам и/или по эвристическим признакам; недостаток сканеров второго типа – необходимость постоянно пополнять антивирусные базы сигнатур и эвристических признаков
(примеры – Aidstest, DrWeb).
Скрипт (от англ. script) – сценарий, обрабатываемый ПО, понимающим язык сценариев.
Скрипт-вирусы – вирусы, создаваемые на интерпретируемых языках программирования.
Скрытые каналы (сovert channels) – каналы, которые используют сущности, обычно не отображаемые как объекты данных, для передачи информации от одного субъекта другому.
Скрытые каналы по времени – каналы, основанные на спо-
собности одного процесса сигнализировать другому процессу посредством модуляции использования системных ресурсов таким образом, что изменение наблюдаемого вторым процессом времени ответа предоставляет ему информацию.
323
Скрытые каналы по памяти – каналы, основанные на прямой или косвенной записи в ячейку хранения одним процессом и прямое или косвенное чтение этой ячейки другим процессом.
Словарная атака – разновидность атаки, при которой осуществляется систематический перебор всех возможных значений подбираемой величины.
Статистические методы – методы крипто- и стегоанализа, основанные на проведении статистических тестов, обнаруживающих закономерности в проверяемой информационной последовательности.
Стеганография – научная дисциплина, разрабатывающая методы скрытия факта передачи или хранения секретной информации.
Стегоанализ – научная дисциплина, оценивающая надежность стегосистем, разрабатывающая способы анализа стойкости стеганографических методов защиты и способы их вскрытия.
Стелс-вирус (от англ. stelth) – вирус-невидимка, в состав которого входят средства защиты от обнаружения; например, вирус может использовать сжатие, для того чтобы длина инфицированного файла была в точности равна длине предыдущего, или перехватывать обращения к функциям ввода-вывода и при попытках прочитать подозрительные части диска с помощью этих функций, возвращать оригинальные неинфицированные данные или код.
Стохастический метод защиты – метод, основанный на ис-
пользовании непредсказуемых преобразований (генерации псевдослучайных чисел или хеширования).
Точка входа – первая команда в программе, которой передается управление после загрузки программы на исполнение в память.
Троянская программа (троянец, «троянский конь») – полез-
ная или кажущаяся полезной программа или командная процедура, содержащая скрытый код, который после запуска про- граммы-носителя выполняет нежелательные или разрушительные функции.
Уязвимость (vulnerability) – слабое место системы, присутствие которого позволяет провести атаку; уязвимость может быть
324
результатом ошибок программирования или недостатков, допущенных при проектировании системы; уязвимость может существовать только теоретически либо иметь известный эксплойт.
Файловая сигнатура – последовательность байт из определенного места программы, уникально идентифицирующая данную программу во множестве всех возможных.
Фаг (полифаг) – антивирусная программа, которая не только обнаруживает вирусы, но и, в отличие от детектора, удаляет их; при лечении зараженных файлов фаг выполняет (если это возможно) действия, обратные тем, которые производились вирусом при заражении; файлы, которые невозможно восстановить, удаляются.
Цифровая подпись – см. электронная подпись.
Хеширование – необратимое сжатие данных с использованием хеш-функции.
Хеш-образ – результат действия хеш-функции; иногда называемый дайджестом сообщения или массива данных.
Хеш-функция – необратимая функция сжатия, принимающая на входе массив данных произвольной длины и дающая на выходе хеш-образ фиксированной длины; результат действия хешфункции зависит от всех бит исходного массива данных и от их взаимного расположения; используется для организации парольных систем, для реализации протокола электронной подписи, для формирования контрольного кода целостности (кода MDC).
Целостность (integrity) – отсутствие случайных или умышленных (несанкционированно внесенных) искажений информации.
Шелл (от англ. shell) – командный интерпретатор ОС, ответственный за запуск программ, выполнение скриптов и некоторых других базовых операций ОС (в Windows NT это обычно
«cmd.exe», в Linux – «bash» или «csh»).
Шифр – совокупность алгоритмов за- и расшифрования. Шифрование – процедура заили расшифрования. Эвристический анализ – метод оценки информации на предмет
наличия в ней вирусного кода; его суть – анализ последовательности команд, операторов и прочего в проверяемом объекте, на-
325
бор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта.
Эксплойт (от англ. exploit — использовать) – общий термин для обозначения фрагмента программного кода, который, используя возможности, предоставляемые уязвимостью системы, приводит к запуску на удаленной машине произвольного кода (например, приводящего к повышению привилегий в системе или отказу в обслуживании).
Электронная подпись (цифровая подпись, электронная циф-
ровая подпись) – результат шифрования хеш-образа подписываемого массива данных на секретном ключе подписывающего; электронная подпись, в отличие от обычной, допускает неограниченное копирование подписанной информации и может существовать отдельно от нее; процедура проверки электронной подписи для своего выполнения не требует никакой секретной информации.
Электронная цифровая подпись – см. электронная подпись.
Эмуляция (процессора) – программная реализация виртуального компьютера; команды эмулируемой программы выполняются не реальным процессором, а интерпретируются эмулятором, содержащем программные модели регистров и других аппаратных средств процессора, в результате последний оказывается вне зоны действия потенциально опасной программы.
Backdoor – 1) люк или «черный ход»: оставленная разработчиком (умышленно или неумышленно) недокументированная возможность взаимодействия с системой, чаще всего – входа в нее; 2) скрытое администрирование системы.
CRC-код (cyclic redundancy code) – контрольный код целост-
ности, идеальное средство защиты целостности при случайных деструктивных воздействиях; для защиты от умышленных воздействий не пригоден из-за простоты «обмана».
DoS-атака (Denial of Service) – атака типа «отказ в обслуживании».
DDoS-атака (Distributed Denial of Service) – распределенная
(несколько участников) атака типа «отказ в обслуживании».
326
MAC (Message Authentication Code) – код аутентификации со-
общений; в отличие от кода MDC для своего вычисления требует знания секретного ключа.
Root – суперпользователь, имеющий неограниченные права.
327
А.Б. Вавренюк, Н.П. Васильев, Е.В. Вельмякина, Д.В. Гуров, М.А. Иванов, И.В. Матвейчиков, Н.А. Мацук, Д.М. Михайлов, Л.И. Шустова
РАЗРУШАЮЩИЕ ПРОГРАММНЫЕ ВОЗДЕЙСТВИЯ
Под редакцией М.А. Иванова
Учебно-методическое пособие
Редактор Н.В. Шумакова Оригинал-макет подготовлен М.А. Ивановым
Подписано в печать 15.12.2010. |
|
Формат 60х84 1/16 |
|
Печ. л. 20,5. |
Уч.-изд. л. 22,75. |
Тираж 100 экз. |
|
|
Изд. № 1/1/17. |
Заказ № 4 |
Национальный исследовательский ядерный университет «МИФИ». 115409, Москва, Каширское шоссе, д. 31.
ООО «Полиграфический комплекс «Курчатовский». 144000, Московская область, г. Электросталь, ул. Красная, д. 42