новая папка 1 / 302199

так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости – это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загр у- зить и выполнить машинный код, в результате чего вирус -червь попадает в операционную систему и, как правило, начинает действия по заражению др у-

гих компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для

DDoS-атак.

1.4.2. Меры предупреждения

Во времена широкого использования операционной системы MS-DOS были распространены стелс-вирусы, перехватывающие прерывания для обращения к операционной системе. Вирус таким образом мог скрывать свои файлы из дерева каталогов или подставлять вместо зараженного файла исходную копию.

С широким распространением антивирусных сканеров, проверяющих перед запуском любой код на наличие последовательности байтов, которая вполне определенно характеризует вирус (сигнатур) или выполнение подозрительных действий, этой технологии стало недостаточно. Сокрытие вируса из списка процессов или дерева каталогов для того, чтобы не привлекать лишнее внимание пользователя, является базовым приемом, однако для борьбы с ан-

тивирусами требуются более изощренные методы. Для противодействия сканированию на наличие сигнатур применяется шифрование кода и полиморфизм. Эти техники часто применяются вместе, поскольку для расшифровывания зашифрованной части вируса необходимо оставлять расшифровщик нез а- шифрованным, что позволяет обнаруживать его по сигнатуре. Поэтому для изменения расшифровщика применяют полиморфизм – модификацию последовательности команд, не изменяющую выполняемых действий. Это возможно благодаря весьма разнообразной и гибкой системе команд процессоров

11

Intel, в которой одно и то же элементарное действие, например, сложение двух чисел, может быть выполнено несколькими последовательностями команд.

Также применяется перемешивание кода, когда отдельные команды случайным образом разупорядочиваются и соединяются безусловными переходами. Передовым фронтом вирусных технологий считается метаморфизм, кото-

рый часто путают с полиморфизмом. Расшифровщик полиморфного вируса относительно прост, его функция – расшифровать основное тело вируса после внедрения, то есть после того, как его код будет проверен антивирусом и з а- пущен. Он не содержит самого полиморфного движка, который находится в зашифрованной части вируса и генерирует расшифровщик. Метаморфный же вирус может вообще не применять шифрование, поскольку сам при каждой репликации переписывает весь свой код.

1.5. Антивирусные программы

Антивирусная программа – специализированная программа для обнару-

жения компьютерных вирусов, а также нежелательных программ вообще и восстановления заражённых такими программами файлов, а также для профилактики – предотвращения заражения файлов или операционной системы вредоносным кодом.

1.5.1. Подходы к обнаружению и устранению компьютерных вирусов

Технологии, применяемые в антивирусных программах, можно разбить на две группы:

–технологии сигнатурного анализа;

–технологии вероятностного анализа.

Сигнатурный анализ – метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов. Сигнатурный анализ являетс я наиболее известным методом обнаружения вирусов и используется практич е-

12

ски во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.

Антивирусная база – база данных, в которой хранятся сигнатуры вирусов. Ввиду того, что сигнатурный анализ предполагает проверку файлов на наличие сигнатур вирусов, антивирусная база нуждается в периодическом о б-

новлении для поддержания актуальности антивируса. Сам принцип работы сигнатурного анализа также определяет границы его функциональности – возможность обнаруживать лишь известные вирусы – против новых вирусов сигнатурный сканер бессилен.

С другой стороны, наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, обнаруженных при помощи сигнатурного анализа. Однако, лечение допустимо не для всех вирусов – трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба.

Грамотная реализация вирусной сигнатуры позволяет обнаруживать из-

вестные вирусы со стопроцентной вероятностью.

Технологии вероятностного анализа, в свою очередь, подразделяются на три категории:

–эвристический анализ;

–поведенческий анализ;

–анализ контрольных сумм.

Эвристический анализ – технология, основанная на вероятностных алгоритмах, цель которых – выявление подозрительных объектов. В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.

Эвристический анализ применяется для обнаружения неизвестных виру-

13

сов, и, как следствие, не предполагает лечения. Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.

Поведенческий анализ – технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций.

Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий. Например, для внедрения в систему почти каждый макровирус использует один и тот же алгоритм: в ка- кой-нибудь стандартный макрос, автоматически запускаемый средой Microsoft Office при выполнении стандартных команд (например, «Save», «SaveAs», «Open», и т.д.), записывается код, заражающий основной файл шаблонов normal.dot и каждый вновь открываемый документ.

Средства защиты, вшиваемые в BIOS, также можно отнести к поведенческим анализаторам. При попытке внести изменения в главную загрузочную запись (MBR) компьютера, анализатор блокирует действие и выводит соответствующее уведомление пользователю.

Помимо этого, поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жестких дисков и т.д. Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы – все подозрительные программы априори считаются неизвестными вирусами. Анало-

гично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения.

Как и в предыдущем случае, возможно выделение действий, однозначно трактующихся как неправомерные – форматирование жестких дисков без за-

14

проса, удаление всех данных с логического диска, изменение загрузочной записи дискеты без соответствующих уведомлений и пр. Тем не менее, наличие действий неоднозначных – например, макрокоманда создания каталога на жестком диске, заставляет также задумываться о ложных срабатываниях и, зачастую, о тонкой ручной настройке поведенческого блокиратора.

Анализ контрольных сумм – это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений – одновременность, массовость, идентичные изменения длин файлов – можно делать вывод о заражении системы.

Анализаторы контрольных сумм (также используется название «ревизо-

ры изменений») как и поведенческие анализаторы не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Большая популярность анализа контрольных сумм связана с воспоминаниями об однозадачных операционных системах, когда количество вирусов было относительно небольшим, файлов было немного и менялись они редко. Сегодня ревизоры изменений утратили свои позиции и используются в антивирусах достаточно редко. Чаще подобные технологии применяются в сканерах при доступе – при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

1.5.2. Классификация антивирусных программ

Различают следующие виды антивирусных программ:

–программы-детекторы;

–программы-доктора или фаги;

–программы-ревизоры;

–программы-сторожа или фильтры;

15

– программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Их недостатком является то, что они могут находить только те вирусы, которые известны разработчикам этих про-

грамм.

Программы-доктора или фаги не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «леч е-

нию» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Наиболее известные из них: Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программыдетекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а з а- тем периодически или по желанию пользователя сравнивают текущее состоя-

ние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического ко н- троля (контрольная сумма файла), дата и время модификации, другие пар а- метры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнару-

живают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой небольшие

16

резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими дейс твиями могут являться:

–попытки коррекции файлов с расширениями .com, .exe;

–изменение атрибутов файла;

–прямая запись на диск по абсолютному адресу;

–запись в загрузочные сектора диска;

–загрузка резидентной программы;

При попытке какой-либо программы произвести указанные действия «сторож» посылает сообщение и предлагает запретить или разрешить соответ-

ствующее действие. Они способны обнаружить вирус на самой ранней стадии его существования, еще до размножения.

Они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например, фаги.

К недостаткам программ-сторожей можно отнести их «назойливость»

(например, они постоянно выдают предупреждение о любой попытке копир о- вания исполняемого файла), а также возможные конфликты с другим пр о- граммным обеспечением.

Вакцины или иммунизаторы – это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют програм-

мы-доктора, «лечащие» этот вирус. Вакцинация возможна только от извес т- ных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не станет внедряться. В настоящее время применение этих программ ограничено.

17

1.6. Сканеры уязвимостей

Сканеры уязвимостей – это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющие сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устр а-

нять уязвимости.

Сканеры уязвимостей позволяют проверить различные приложения в системе на предмет наличия «дыр», которыми могут воспользоваться злоумышленники. Также могут быть использованы низкоуровневые средства, такие как сканер портов, для выявления и анализа возможных приложений и протоколов, выполняющихся в системе.

Работу сканера уязвимостей можно разбить на 4 шага:

1) обычно сканер сначала обнаруживает активные IP-адреса, открытые порты, запущенную операционную систему и приложения;

2) составляется отчёт о безопасности (необязательный шаг); 3) попытка определить уровень возможного вмешательства в операци-

онную систему или приложения (может повлечь сбой); 4) на заключительном этапе сканер может воспользоваться уязвимостью,

вызвав сбой операционной системы или приложения.

Сканеры могут быть вредоносными или «дружественными». Последние обычно останавливаются в своих действиях на шаге 2 или 3, но никогда не доходят до шага 4.

Среди сканеров уязвимостей можно выделить:

–сканер портов;

–сканеры, исследующие топологию компьютерной сети;

–сканеры, исследующие уязвимости сетевых сервисов;

–сетевые черви;

–CGI-сканеры («дружественные» – помогают найти уязвимые скрипты).

18

2.Указания к выполнению лабораторной работы

2.1.Цель работы

Приобретение навыков использования антивирусного программного обеспечения, ознакомление с системами поиска уязвимостей вычислительных сетей и операционных систем персональных компьютеров.

2.2.Задание

1)установить в соответствии с вариантом (табл.) антивирусное программное обеспечение и сканер уязвимостей;

2)ознакомиться со справкой по работе с выбранными продуктами;

3) выполнить поиск вирусов в папке C:\WINDOWS, настроив поведение сканера таким образом, чтобы заражённые файлы помещались в карантин. Исключить из поиска файлы с расширением *.sys. Привести снимок (скриншот) настроек. Привести снимок отчёта о проверке;

4)выполнить поиск вирусов в папке C:\Program Files, включив «высокий уровень» эвристик и настроив поведение сканера таким образом, чтобы заражённые файлы удалялись без подтверждения. Исключить из поиска файлы с расширением *.dll. Привести снимок настроек. Привести снимок отчёта о проверке;

5)выполнить поиск уязвимостей. Привести снимок отчёта о поиске. Описать возможные способы использования злоумышленником найденных уязвимостей, а также пути их устранения.

Антивирусы

1)Dr. Web (http://download.drweb.com/demoreq/?lng=ru);

2)Kaspersky Anti-Virus (http://www.kaspersky.ru/free-trials/multi-device-security);

3)Avira Free Antivirus (http://www.avira.com/ru/avira-free-antivirus).

19

Сканеры уязвимостей

1)GFI LANguard (http://www.gfi.ru/dyn/);

2)X-Scan (http://www.xfocus.org/programs/).

Замечание

Некоторые антивирусы не могут быть установлены вместе с антивирусами других производителей. Все варианты программного обеспечения есть в свободном доступе в качестве триальных или демо-версий. Для выполнения лабораторной работы рекомендуется использовать чистую виртуальную машину, сделанную в среде виртуализации VirtualBox.

Таблица

Варианты выбора программного обеспечения