Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
в тесте понятия, аббревиатуры и знания по лекциям
14. Защита предприятия. Антивирусное ПО. Проблемы и решения. Классификация вирусов.
Классификация вирусов Вирус - программный код, со свойствами (проблемы): самокопирование, не всегда точь в точь, механизм внедрения, деструктивность, скрытность
Классифицировать вирусы можно по: среда обитания, операционная система (OC), особенности алгоритма работы, деструктивные возможности
Основная классификация - По среде:
− файловые(одно из 3х:) -внедряются в выполняемые файлы (наиболее распростр.) -создают файлы-двойники (компаньон-вирусы), -используют особенности организации файловой системы (link-вирусы)
− загрузочные(бутовые)(одно из 2х:) -в загрузочный сектор диска (boot-сектор), -в сектор, содержащий системный загрузчик винчестера (Master Boot Record). замещают код программы, получающей управление при загрузке системы, оригинальный boot-сектор обычно переносится в какой-либо другой сектор диска.
− макровирусы заражают макропрограммы(MS Office и др.) используют возможности макроязыков, переносят себя из одного файла в другие
− сетевые(червь) используют протоколы/команды сетей и эл. почты. интернет- черви (распространяются по Интернету), LAN-черви (распространяются по локальной сети), IRC-черви (Internet Relay Chat – распространяются через чаты).
- ещё бывают комбинированные пр: сетевой макровирус, заражает редактируемые документы, рассылает свои копии по эл. почте. пр: файлово-загрузочные вирусы, заражающие файлы и загрузочные сектора дисков
По ОС: Каждый файловый/ сетевой вирус заражает файлы какой-либо 1 или нескольких
ОС: DOS, Windows 95/98,XP,7… На определенные форматы расположения системных данных в загрузочных секторах дисков также ориентированы загрузочные вирусы.
Другие вредоносные проги: троянские программы; логические бомбы(при определенных условиях выполняют вредоносные действия. достижении даты, когда в БД появится/ исчезнет запись); хакерские утилиты скрытого администрирования удаленных компьютеров; программы, ворующие пароли доступа к ресурсам Интернета и прочую конфиденциальную информацию.
мб встроены друг в друга
Классические способы распространения Электронная почта, «Троянские» Web-сайты, Локальные сети, Другие: (пиратские копии ПО, эл. конференции и файл-серверы FTP и BBS)
Антивирусное ПО Методы и средства защиты (решение): общие методы и средства защиты информации, спец. ПО, профилактические меры.
две основных разновидности этих средств: средства копирования файлов и сист. областей дисков, средства разграничения доступа.
Методы обнаружения компьютерных вирусов:
− метод сравнения с эталоном Самый простой. Маска вируса - постоянная последовательность кода, специфичная для этого вируса. Антивирус сканирует файлы на предмет содержания масок только уже известных вирусов. Шифрующиеся и полиморфные вирусы (могут изменять свой код) => невозможно выделить маску
− эвристический анализ Эвристический анализатор (часть антивирусного ядра) проверяет проги и загрузочные секторы дисков, обнаружить в них код (на действия: копирование в память, запись в сектора…) позволяет обнаруживать неизвестные ранее вирусы. Пример: сканер McAffee VirusScan.
− антивирусный мониторинг позволяет проверять все запускаемые программы, файлы, файлы из Инета, скопированные с диска. сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие. Пример сторож Spider Guard, входит в Dr. Web
− метод обнаружения изменений антивирус запоминает предварительно характеристики всех областей диска, которые могут подвергнуться нападению, а затем периодически проверяет их.
может обнаружить изменения, сделанные как известным, так и неизвестным вирусом.
− встраивание антивирусов в BIOS компьютера и др В системные платы встраивают простейшие средства защиты от вирусов. контролируют все обращения к главной загрузочной записи жестких дисков и обычных. защита не очень надежна. Известны вирусы, которые пытаются отключить
антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.
Виды антивирусных программ:
− программы-фаги (сканеры) метод сравнения с эталоном, метод эвристического анализа и др. Сканируют опер.память(поис маски вируса), уничтож. вирус, лечат файлы. Полифаги - для большого количества вирусов 1.)Универсальные для всех вирусов вне зависимости от ОС или класса. 2.)Специализированные для ограниченного числа или только одного класса а.)резидентные мониторы (быстрое реагирование - надежнее защита) сканирование «на лету» б.)нерезидентные проверка только по запросу Пр: Aidstest, Scan, Norton AntiVirus, Dr. Web Достоинства: универсальность Недостатки: маленькая скорость, огромные антивир. базы, быстро устаревают => часто нужно обновление
− программы-ревизоры (CRC-сканеры) метод обнаружения изменений. подсчет
CRC-сумм (кодов циклического контроля) для файлов/системных секторов. В БД антивируса хранятся эти суммы, длины файлов, даты последней модификации. Обычно сравнение происходит после запуски ОС => сигнал об измененных/зараженных файлах
CRC-сканеры с антистелс-алгоритмами – мощные! 99% вирусов ловят.
Недостаток: не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии или распаковываемых из архива
Пр: Adinf (Advanced Diskinfoscope) и ревизор AVP Inspector.
− программы-блокировщики метод антивирусного мониторинга. Это резидентные программы, перехватывают вирусоопасные ситуации и сообщают челу (запретить/разрешить).
Достоинство: на самой ранней стадии размножения
Недостаток: не лечат файлы и диски, назойливы, есть пути обхода их. Пр(распространенный): встроенная в BIOS защита от записи в MBR жесткого диска
− программы-иммунизаторы предотвращают заражение 1.)сообщающие(не используются почти) записываются в конец файла, при запуске проверяют на изменение. недостаток: не могут обнаружить заражение стелс-вирусом. 2.)блокирующие защищает от вируса опр. вида, модифицирует программу/диск, вирус будет воспринимать их
Зараженными, не внедрится. недостаток: не мб универсальным