Иванов Разрушаюсчие программные воздействия 2011

Отрицаемое шифрование – стохастическое преобразование, при котором получатель может убедительно продемонстрировать, что полученное число – суть криптограмма от любого произвольного набора данных; отправитель также способен показать, что криптограмма расшифровывается в поддельное сообщение, предъявив ложный секретный ключ шифрования, оставив тем самым истинное сообщение в тайне.

Ошибка 1-го рода (для антивируса) – необнаружение КВ в зараженном файле.

Ошибка 2-го рода (для антивируса) – «обнаружение» вируса в незараженном файле, иначе говоря, ложная тревога.

Ошибка 3-го рода (для антивируса) – обнаружение не «того» вируса в зараженном файле.

Пермутация (от англ. permutate) – изменение кода перестановкой его фрагментов.

Поведенческая сигнатура – строка байт, характеризующая особенности функционирования данной программы, позволяющая отличить ее от любых других программ.

Полиморфный вирус – труднообнаруживаемый вирус, не имеющий сигнатуры, так как в нем нет ни одного постоянного участка кода; два экземпляра одного и того же полиморфного вируса могут не иметь ни одного общего байта; последнее свойство достигается шифрованием тела вируса и модификацией программы-расшифровщика.

Полиморфный генератор (полиморфик-генератор) – про-

грамма для шифрования тела вируса и генерации соответствующего расшифровщика.

Потайные каналы (subliminal channels) – каналы, основанные на нестандартных способах передачи информации по легальным каналам.

Приобретенный иммунитет – система высокоспециализированных клеток, расположенных по всему организму, которые специфически реагируют на чужеродный биоматериал, обрабатывая, нейтрализуя и разрушая его.

321

Протокол – многораундовый обмен сообщениями между участниками, направленный на достижение конкретной цели (выработку общего секретного ключа, аутентификацию абонентов и пр.); протокол включает в себя: характер и последовательность действий каждого из участников, спецификацию форматов пересылаемых сообщений, спецификацию синхронизации действий участников, описание действий при возникновении сбоев.

Псевдослучайная последовательность (ПСП) – последователь-

ность ПСЧ, которая по своим статистическим свойствам не отличается от истинно случайной последовательности, но в отличие от последней может быть повторена необходимое число раз.

Расшифрование – процесс преобразования закрытых (зашифрованных) данных в открытые при известном ключе.

Ре-инжиниринг (реверс-инжиниринг) – процесс получения исходного кода программы и дальнейшее его исследования при наличии на начальном этапе только исполняемого кода программы.

Ревизор – антивирусная программа, выявляющая изменения на дисках компьютера, произошедшие с момента предшествующего запуска того же ревизора; данные обо всех изменениях сохраняются в специальных файлах-таблицах (пример – Adinf).

Секретность – гарантия невозможности доступа к информации для неавторизованных пользователей.

Сетевой вирус – вирус, который для своего распространения использует протоколы и возможности локальных и глобальных сетей (см. также сетевой червь).

Сетевой червь – разновидность РПВ, имеющих способность к самораспространению в локальной или глобальной компьютерной сети; червь обладает следующими функциями: нахождение новых целей для атак, проникновение в них, передача своего кода на удаленную машину, запуск его, проверка на зараженность локальной или удаленной машины для предотвращения повторного заражения (пример – вирус Морриса); не следует путать с файловым червем, по сути – разновидностью компаньон-вируса.

322

Сигнатура (от англ. signature) (маска) – 1) некоторая посто-

янная последовательность кода, характерная для конкретного вируса или семейства вирусов; 2) электронная подпись; 3) CRCкод (устаревш.).

Симбиотические программы (от греч. symbiosis – взаимовы-

годное сосуществование) – обозначение РПВ, активно паразитирующих на человеческих слабостях и недостатках и принуждающих своих жертв к якобы выгодной кооперации.

Симметричное шифрование (шифрование с секретным клю-

чом) – криптоалгоритм, использующий для за- и расшифрования один и тот же секретный ключ.

Система обнаружения вторжений – комплекс программных аппаратных средств, предназначенный для выявления фактов неавторизованного доступа в компьютерную систему или сеть, либо несанкционированного управления ими.

Сканер – антивирусная программа, обнаруживающая вирусы методами контроля целостности данных или идентифицирующая вирусы по сигнатурам и/или по эвристическим признакам; недостаток сканеров второго типа – необходимость постоянно пополнять антивирусные базы сигнатур и эвристических признаков

(примеры – Aidstest, DrWeb).

Скрипт (от англ. script) – сценарий, обрабатываемый ПО, понимающим язык сценариев.

Скрипт-вирусы – вирусы, создаваемые на интерпретируемых языках программирования.

Скрытые каналы (сovert channels) – каналы, которые используют сущности, обычно не отображаемые как объекты данных, для передачи информации от одного субъекта другому.

Скрытые каналы по времени – каналы, основанные на спо-

собности одного процесса сигнализировать другому процессу посредством модуляции использования системных ресурсов таким образом, что изменение наблюдаемого вторым процессом времени ответа предоставляет ему информацию.

323

Скрытые каналы по памяти – каналы, основанные на прямой или косвенной записи в ячейку хранения одним процессом и прямое или косвенное чтение этой ячейки другим процессом.

Словарная атака – разновидность атаки, при которой осуществляется систематический перебор всех возможных значений подбираемой величины.

Статистические методы – методы крипто- и стегоанализа, основанные на проведении статистических тестов, обнаруживающих закономерности в проверяемой информационной последовательности.

Стеганография – научная дисциплина, разрабатывающая методы скрытия факта передачи или хранения секретной информации.

Стегоанализ – научная дисциплина, оценивающая надежность стегосистем, разрабатывающая способы анализа стойкости стеганографических методов защиты и способы их вскрытия.

Стелс-вирус (от англ. stelth) – вирус-невидимка, в состав которого входят средства защиты от обнаружения; например, вирус может использовать сжатие, для того чтобы длина инфицированного файла была в точности равна длине предыдущего, или перехватывать обращения к функциям ввода-вывода и при попытках прочитать подозрительные части диска с помощью этих функций, возвращать оригинальные неинфицированные данные или код.

Стохастический метод защиты – метод, основанный на ис-

пользовании непредсказуемых преобразований (генерации псевдослучайных чисел или хеширования).

Точка входа – первая команда в программе, которой передается управление после загрузки программы на исполнение в память.

Троянская программа (троянец, «троянский конь») – полез-

ная или кажущаяся полезной программа или командная процедура, содержащая скрытый код, который после запуска про- граммы-носителя выполняет нежелательные или разрушительные функции.

Уязвимость (vulnerability) – слабое место системы, присутствие которого позволяет провести атаку; уязвимость может быть

324

результатом ошибок программирования или недостатков, допущенных при проектировании системы; уязвимость может существовать только теоретически либо иметь известный эксплойт.

Файловая сигнатура – последовательность байт из определенного места программы, уникально идентифицирующая данную программу во множестве всех возможных.

Фаг (полифаг) – антивирусная программа, которая не только обнаруживает вирусы, но и, в отличие от детектора, удаляет их; при лечении зараженных файлов фаг выполняет (если это возможно) действия, обратные тем, которые производились вирусом при заражении; файлы, которые невозможно восстановить, удаляются.

Цифровая подпись – см. электронная подпись.

Хеширование – необратимое сжатие данных с использованием хеш-функции.

Хеш-образ – результат действия хеш-функции; иногда называемый дайджестом сообщения или массива данных.

Хеш-функция – необратимая функция сжатия, принимающая на входе массив данных произвольной длины и дающая на выходе хеш-образ фиксированной длины; результат действия хешфункции зависит от всех бит исходного массива данных и от их взаимного расположения; используется для организации парольных систем, для реализации протокола электронной подписи, для формирования контрольного кода целостности (кода MDC).

Целостность (integrity) – отсутствие случайных или умышленных (несанкционированно внесенных) искажений информации.

Шелл (от англ. shell) – командный интерпретатор ОС, ответственный за запуск программ, выполнение скриптов и некоторых других базовых операций ОС (в Windows NT это обычно

«cmd.exe», в Linux – «bash» или «csh»).

Шифр – совокупность алгоритмов за- и расшифрования. Шифрование – процедура заили расшифрования. Эвристический анализ – метод оценки информации на предмет

наличия в ней вирусного кода; его суть – анализ последовательности команд, операторов и прочего в проверяемом объекте, на-

325

бор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта.

Эксплойт (от англ. exploit — использовать) – общий термин для обозначения фрагмента программного кода, который, используя возможности, предоставляемые уязвимостью системы, приводит к запуску на удаленной машине произвольного кода (например, приводящего к повышению привилегий в системе или отказу в обслуживании).

Электронная подпись (цифровая подпись, электронная циф-

ровая подпись) – результат шифрования хеш-образа подписываемого массива данных на секретном ключе подписывающего; электронная подпись, в отличие от обычной, допускает неограниченное копирование подписанной информации и может существовать отдельно от нее; процедура проверки электронной подписи для своего выполнения не требует никакой секретной информации.

Электронная цифровая подпись – см. электронная подпись.

Эмуляция (процессора) – программная реализация виртуального компьютера; команды эмулируемой программы выполняются не реальным процессором, а интерпретируются эмулятором, содержащем программные модели регистров и других аппаратных средств процессора, в результате последний оказывается вне зоны действия потенциально опасной программы.

Backdoor – 1) люк или «черный ход»: оставленная разработчиком (умышленно или неумышленно) недокументированная возможность взаимодействия с системой, чаще всего – входа в нее; 2) скрытое администрирование системы.

CRC-код (cyclic redundancy code) – контрольный код целост-

ности, идеальное средство защиты целостности при случайных деструктивных воздействиях; для защиты от умышленных воздействий не пригоден из-за простоты «обмана».

DoS-атака (Denial of Service) – атака типа «отказ в обслуживании».

DDoS-атака (Distributed Denial of Service) – распределенная

(несколько участников) атака типа «отказ в обслуживании».

326

MAC (Message Authentication Code) – код аутентификации со-

общений; в отличие от кода MDC для своего вычисления требует знания секретного ключа.

Root – суперпользователь, имеющий неограниченные права.

327

А.Б. Вавренюк, Н.П. Васильев, Е.В. Вельмякина, Д.В. Гуров, М.А. Иванов, И.В. Матвейчиков, Н.А. Мацук, Д.М. Михайлов, Л.И. Шустова

РАЗРУШАЮЩИЕ ПРОГРАММНЫЕ ВОЗДЕЙСТВИЯ

Под редакцией М.А. Иванова

Учебно-методическое пособие

Редактор Н.В. Шумакова Оригинал-макет подготовлен М.А. Ивановым

Национальный исследовательский ядерный университет «МИФИ». 115409, Москва, Каширское шоссе, д. 31.

ООО «Полиграфический комплекс «Курчатовский». 144000, Московская область, г. Электросталь, ул. Красная, д. 42