Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4603 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Государственный университет телекоммуникаций
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ИТ / М 2 Системне програмне забезпечення / Тема 4. Сервісне системне програмне забезпечення ПК / ІТ Зан_19 Т4 Л_10 - Нейтралізація комп’ютерних вірусів.doc
Скачиваний:
48
Добавлен:
19.02.2016
Размер:
121.34 Кб
Скачать
►Содержание►

2. Класифікація методів захисту від комп'ютерних вірусів

Проблему захисту від вірусів необхідно розглядати в загальному контексті проблеми захисту інформації від несанкціонованого доступу та технологічної та експлуатаційної безпеки програмного забезпечення в цілому. Основний принцип, який повинен бути покладений в основу розробки технології захисту від вірусів, полягає у створенні багаторівневої розподіленої системи захисту, що включає:

  • регламентацію проведення робіт на ПЕОМ,

  • застосування програмних засобів захисту,

  • використання спеціальних апаратних засобів.

При цьому кількість рівнів захисту залежить від цінності інформації, яка обробляється на ПЕОМ. Для захисту від комп'ютерних вірусів в даний час використовуються наступні методи:

Архівування. Полягає в копіюванні системних областей магнітних дисків і щоденному веденні архівів змінених файлів.

Архівування є одним з основних методів захисту від вірусів. Решта методів захисту доповнюють його, але не можуть замінити повністю.

Вхідний контроль. Перевірка всіх вхідних програм детекторами, а також перевірка довжин і контрольних сум програм, які надходять на відповідність значенням, що вказані в документації. Більшість відомих файлових і бутових вірусів можна виявити на етапі вхідного контролю. Для цієї мети використовується перелік (кілька послідовно запускаються програм) детекторів. Набір детекторів досить широкий, і постійно поповнюється по мірі появи нових вірусів. Однак при цьому можуть бути виявлені не всі віруси, а тільки ті, що розпізнаються детектором. Наступним елементом вхідного контролю є контекстний пошук у файлах слів та повідомлень, які можуть належати вірусу (наприклад, Virus, COMMAND.COM, Kill і т.д.). Підозрілим є відсутність в останніх 2-3 кілобайтах файлу текстових рядків - це може бути ознакою вірусу, який шифрує своє тіло.

Розглянутий контроль може бути виконаний за допомогою спеціальної програми, яка працює з базою даних "підозрілих" слів і повідомлень, і формує список файлів для подальшого аналізу. Після проведеного аналізу нові програми рекомендується кілька днів експлуатувати в карантинному режимі. При цьому доцільно використовувати прискорення календаря, тобто змінювати поточну дату при повторних запусках програми. Це дозволяє виявити віруси, які спрацьовують у певні дні тижня (п'ятниця, 13 число місяця, неділю і т.д.).

Профілактика. Для профілактики зараження необхідно організувати роздільне зберігання (на різних магнітних носіях) вхідних програм та програм, які раніше експлуатувалися, мінімізацію періодів доступності дискет для запису, поділ загальних магнітних носіїв між конкретними користувачами.

Ревізія. Аналіз отриманих програм спеціальними засобами (детекторами), контроль цілісності перед зчитуванням інформації, а також періодичний контроль стану системних файлів.

Карантин. Кожна нова програма перевіряється на відомі типи вірусів протягом певного проміжку часу. Для цих цілей доцільно виділити спеціальну ПЕОМ, на якій не проводяться інші роботи. У разі неможливості виділення ПЕОМ для карантину програмного забезпечення, для цієї мети використовується машина, відключена від локальної мережі і не містить особливо цінної інформації.

Сегментація. Припускає розбивку магнітного диска на ряд логічних томів (розділів), частина з яких має статус READ_ONLY (тільки читання). У даних розділах зберігаються виконувані програми та системні файли. Бази даних повинні зберігається в інших секторах, окремо від виконуваних програм. Важливим профілактичним засобом у боротьбі з файловими вірусами є виключення значної частини завантажувальних модулів зі сфери їх досяжності. Цей метод називається сегментацією і заснований на поділі магнітного диска (вінчестера) за допомогою спеціального драйвера, що забезпечує присвоєння окремим логічним томам атрибуту READ_ONLY (тільки читання), а також підтримує схеми парольного доступу. При цьому в захищені від запису розділи диска поміщаються виконувані програми і системні утиліти, а також системи управління базами даних та транслятори, тобто компоненти програмного забезпечення, найбільш схильні до небезпеки зараження. В якості такого драйвера доцільно використовувати програми типу ADVANCED DISK MANAGER (програма для форматування та підготовки жорсткого диска), яка не тільки дозволяє розбити диск на розділи, а й організувати доступ до них за допомогою паролів.

Кількість використовуваних логічних томів і їх розміри залежать від розв'язуваних завдань і обсягу вінчестера. Рекомендується використовувати 3 - 4 логічних томи, причому на системному диску, з якого виконується завантаження, слід залишити мінімальну кількість файлів (системні файли, командний процесор, а також програми - пастки).

Фільтрація. Полягає у використанні програм-сторожів, для виявлення спроб виконати несанкціоновані дії.

Вакцинація. Спеціальна обробка файлів, дисків, що імітує поєднання умов, які використовуються певним типом вірусу для визначення, заражена вже програма чи ні.

Автоконтроль цілісності. Полягає у використанні спеціальних алгоритмів, які дозволяють після запуску програми визначити, чи були внесені зміни в її файл.

Терапія. Передбачає дезактивацію конкретного вірусу в заражених програмах спеціальними програмами (фагами). Програми фаги "викусують" вірус із зараженої програми і намагаються відновити її код до вихідного стану (стану до моменту зараження).

У загальному випадку технологічна схема захисту може складатися з наступних етапів:

вхідний контроль нових програм;

сегментація інформації на магнітному диску;

захист операційної системи від зараження;

систематичний контроль цілісності інформації.

Необхідно відзначити, що не слід прагнути забезпечити глобальний захист всіх файлів, що є на диску. Це істотно ускладнює роботу, знижує продуктивність системи і, в кінцевому рахунку, погіршує захист через часту роботу у відкритому режимі. Аналіз показує, що тільки 20-30% файлів має бути захищені від запису.

При захисті операційної системи від вірусів необхідно правильне розташування її та ряду утиліт, яке можна гарантувати, що після початкового завантаження операційна система ще не заражена резидентним файловим вірусом. Це забезпечується при розміщенні командного процесора на захищеному від запису диску, з якого після початкового завантаження виконується копіювання на віртуальний (електронний) диск. У цьому випадку при вірусній атаці буде заражений дубль командного процесора на віртуальному диску. При повторному завантаженні інформація на віртуальному диску знищується, тому поширення вірусу через командний процесор стає неможливим.

Розміщення робочої копії командного процесора на віртуальному диску дозволяє використовувати його в якості програми-пастки. Для цього може використовуватися спеціальна програма, яка періодично контролює цілісність командного процесора, та інформує про її порушення. Це дозволяє організувати раннє виявлення факту вірусної атаки.

Аналіз розглянутих методів і засобів захисту показує, що ефективний захист може бути забезпечений при комплексному використанні різних засобів в рамках єдиного операційного середовища. Для цього необхідно розробити інтегрований програмний комплекс, що підтримує розглянуту технологію захисту. До складу програмного комплексу повинні входити такі компоненти:

  • Каталог детекторів.Детектори, включені в каталог, повинні запускатися з операційного середовища комплексу. При цьому повинна бути забезпечена можливість підключення до каталогу нових детекторів, а також зазначення параметрів їх запуску з діалогової середовища. За допомогою даної компоненти може бути організована перевірка програмного забезпечення на етапі вхідного контролю.

  • Програма-пастка вірусів.Дана програма породжується в процесі функціонування комплексу, тобто не зберігається на диску, тому оригінал не може бути заражений. У процесі тестування ПЕОМ програма-пастка неодноразово виконується, змінюючи при цьому поточну дату і час (організовує прискорений календар). Поряд з цим програма-пастка при кожному запуску контролює свою цілісність (розмір, контрольну суму, дату і час створення). У разі виявлення зараження програмний комплекс переходить в режим аналізу зараженої програми-пастки і намагається визначити тип вірусу.

  • Програма для вакцинації.Призначена для зміни середовища функціонування вірусів таким чином, щоб вони втрачали здатність до розмноження. Відомо, що ряд вірусів позначає заражені файли для запобігання повторного зараження. Використовуючи цю властивість можливе створення програми, яка обробляла б файли таким чином, щоб вірус вважав, що вони вже заражені.

  • База даних про віруси і їх характеристики.Передбачається, що в базі даних буде зберігатися інформація про існуючі віруси, їх особливості та сигнатури, а також рекомендована стратегія лікування. Інформація з бази даних може використовуватися при аналізі зараженої програми-пастки, а також на етапі вхідного контролю програмного забезпечення. Крім того, на основі інформації, що зберігається в базі даних, можна виробити рекомендації щодо використання найбільш ефективних детекторів і фагів для лікування від конкретного типу вірусу.

  • Резидентні засоби захисту.Окрема компонента може резидентно розміщатися в пам'яті і постійно контролювати цілісність системних файлів і командного процесора. Перевірка може виконуватися за перериваннями від таймера або при виконанні операцій читання і запису у файл.

Соседние файлы в папке Тема 4. Сервісне системне програмне забезпечення ПК
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности