Курсовая работа: Основные угрозы безопасности информации и нормального функционирования информационных систем

--PAGE_BREAK--Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на магнитных носителях.
Физическая структура компьютерного вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост – это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост, — сегментированными.
Наиболее существенные признаки компьютерных вирусов позволяют провести следующую их классификацию (рисунок 1).
<shapetype id="_x0000_t32" coordsize=«21600,21600» o:spt=«32» o:oned=«t» path=«m,l21600,21600e» filled=«f»><path arrowok=«t» fillok=«f» o:connecttype=«none»><lock v:ext=«edit» shapetype=«t»><shape id="_x0000_s1064" type="#_x0000_t32" o:connectortype=«straight»><shapetype id="_x0000_t202" coordsize=«21600,21600» o:spt=«202» path=«m,l,21600r21600,l21600,xe»><path gradientshapeok=«t» o:connecttype=«rect»><shape id="_x0000_s1038" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1039" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1040" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1041" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1042" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1043" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1044" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1050" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1051" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1052" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1053" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1054" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1055" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1058" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1059" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1062" type="#_x0000_t32" o:connectortype=«straight»><shape id="_x0000_s1063" type="#_x0000_t32" o:connectortype=«straight»><img width=«43» height=«125» src=«dopb303179.zip» alt=«Подпись: Без маскировки» v:shapes="_x0000_s1035" v:dpi=«96»><img width=«44» height=«125» src=«dopb303180.zip» alt=«Подпись: Stealth — вирусы» v:shapes="_x0000_s1036" v:dpi=«96»><img width=«41» height=«125» src=«dopb303181.zip» alt=«Подпись: Вирусы — мутанты» v:shapes="_x0000_s1037" v:dpi=«96»><img width=«43» height=«125» src=«dopb303182.zip» alt=«Подпись: Обычные» v:shapes="_x0000_s1060" v:dpi=«96»><img width=«44» height=«125» src=«dopb303183.zip» alt=«Подпись: Полиморфные» v:shapes="_x0000_s1061" v:dpi=«96»><img width=«584» height=«548» src=«dopb303184.zip» v:shapes="_x0000_s1064 _x0000_s1026 _x0000_s1027 _x0000_s1028 _x0000_s1029 _x0000_s1030 _x0000_s1031 _x0000_s1032 _x0000_s1033 _x0000_s1034 _x0000_s1038 _x0000_s1039 _x0000_s1040 _x0000_s1041 _x0000_s1042 _x0000_s1043 _x0000_s1044 _x0000_s1045 _x0000_s1046 _x0000_s1047 _x0000_s1048 _x0000_s1049 _x0000_s1050 _x0000_s1051 _x0000_s1052 _x0000_s1053 _x0000_s1054 _x0000_s1055 _x0000_s1056 _x0000_s1057 _x0000_s1058 _x0000_s1059 _x0000_s1062 _x0000_s1063">  

Рисунок 1 — Классификация вирусов

По режиму функционирования:
Ø     резидентные вирусы (вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам);
Ø     транзитные вирусы (вирусы, которые выполняются только в момент запуска зараженной программы).
По объекту внедрения:
Ø     файловые вирусы (вирусы, заражающие файлы с программами);
Ø     загрузочные вирусы (вирусы, заражающие программы, хранящиеся в системных областях дисков).
В свою очередь, файловые вирусы подразделяются на вирусы, заражающие:
Ø     исполняемые файлы;
Ø     командные файлы и файлы конфигурации;
Ø     составляемые на макроязыках программирования, или файлы, содержащие макросы (макровирусы - разновидность компьютерных вирусов разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office);
Ø     файлы с драйверами устройств;
Ø     файлы с библиотеками исходных, объектных, загрузочных и оверлейных модулей, библиотеками динамической компоновки и т.п.
Загрузочные вирусы подразделяются на вирусы, заражающие:
Ø     системный загрузчик, расположенный в загрузочном секторе и логических дисков;
Ø     внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков.
По степени и способу маскировки:
Ø     вирусы, не использующие средств маскировки;
Ø     stealth-вирусы (вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных);
Ø     вирусы-мутанты (MtE-вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса).
В свою очередь, MtE-вирусы делятся:
Ø     на обычные вирусы-мутанты, в разных копиях которых различаются только зашифрованные тела, а дешифрованные тела вирусов совпадают;
Ø     полиморфные вирусы, в разных копиях которых различаются не только зашифрованные тела, но и их дешифрованные тела.
Наиболее распространенные типы вирусов характеризуются следующими основными особенностями.
Файловый транзитный вирус целиком размещается в исполняемом файле, в связи с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.
Файловый резидентный вирус отличается от нерезидентного логической структурой и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая подпрограмма вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования резидентные вирусы могут реализовывать самые разные способы инфицирования.
Наиболее распространенными способами являются инфицирование запускаемых программ, а также файлов при их открытии или чтении. Отличительной особенностью последних является инфицирование загрузочного сектора магнитного носителя. Голова загрузочного вируса всегда находится в загрузочном секторе (единственном для гибких дисков и одном из двух – для жестких), а хвост – в любой другой области носителя. Наиболее безопасным для вируса способом считается размещение хвоста в так называемых псевдосбойных кластерах, логически исключенных из числа доступных для использования. Существенно, что хвост загрузочного вируса всегда содержит копию оригинального (исходного) загрузочного сектора.
Stealth-вирусы пользуются слабой защищенностью некоторых операционных систем и заменяют некоторые их компоненты (драйверы дисков, прерывания) таким образом, что вирус становится невидимым (прозрачным) для других программ.
Полиморфные вирусы содержат алгоритм порождения дешифрованных тел вирусов, непохожих друг на друга. При этом в алгоритмах дешифрования могут встречаться обращения практически ко всем командам процессора Intel и даже использоваться некоторые специфические особенности его реального режима функционирования.
Макровирусы распространяются под управлением прикладных программ, что делает их независимыми от операционной системы. Подавляющее число макровирусов функционирует под управлением текстового процессора Microsoft Word. В то же время известны макровирусы, работающие под управлением таких приложений, как Microsoft Excel, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes, в операционных системах фирм Microsoft и Apple.
Сетевые вирусы, называемые также автономными репликативными программами, или, для краткости, репликаторами, используют для размножения средства сетевых операционных систем. Наиболее просто реализуется размножение в тех случаях, когда сетевыми протоколами возможно и в тех случаях, когда указанные протоколы ориентированы только на обмен сообщениями. Классическим примером реализации процесса электронной почты является репликатор Морриса. Текст репликатора передается от одной ЭВМ к другой как обычное сообщение, постепенно заполняющее буфер, выделенный в оперативной памяти ЭВМ-адресата. В результате переполнения буфера, инициированного передачей, адрес возврата в программу, вызвавшую программу приема сообщения, замещается на адрес самого буфера, где к моменту возврата уже находится текст вируса.
Тем самым вирус получает управление и начинает функционировать на ЭВМ-адресате.
«Лазейки», подобные описанной выше обусловленные особенностями реализации тех или иных функций в программном обеспечении, являются объективной предпосылкой для создания и внедрения репликаторов злоумышленниками. Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие группы:
Ø     искажение информации в файлах либо в таблице размещения файлов (FAT-таблице), которое может привести к разрушению файловой системы в целом;
Ø     имитация сбоев аппаратных средств;
Ø     создание звуковых и визуальных эффектов, включая, например, отображение сообщений, вводящих оператора в заблуждение или затрудняющих его работу;
Ø     инициирование ошибок в программах пользователей или операционной системе.

Раздел 2. Практическая часть.
2.1 Общая характеристика средств нейтрализации компьютерных вирусов Наиболее распространенным средством нейтрализации компьютерных вирусов являются антивирусные программы (антивирусы). Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делить на следующие группы:
Ø    детекторы;
Ø    фаги;
Ø    вакцины;
Ø    прививки;
Ø    ревизоры;
Ø    мониторы.
Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых сигнатур – устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусов. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.
Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.
В отличие от детекторов и фагов вакцины по своему принципу действия подобны вирусам. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней. Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после поражения запуске произойдет следующее. Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе. В последней, с вою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия запомненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина программы, ее контрольная сумма и т.д.
Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает инфицируемые программы каким-либо признаком, с тем чтобы не выполнять их повторное заражение. В ином случае имело бы место многократное инфицирование, сопровождаемое существенным и поэтому легко обнаруживаемым увеличение объема зараженных программ. Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который таким образом после активизации и проверки наличия указанного признака считает ее инфицированной и «оставляет в покое».
Ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняемому файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов. Если при этом обнаруживается, что, согласно имеющейся системной информации, файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным. Характеристики исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле (файлах), в связи с чем увеличение длин исполняемых файлов, имеющее место при вакцинации, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизоров требует его повторного запуска.
Монитор представляет собой резидентную программу, обеспечивающую перехват потенциально опасных прерываний, характерных вирусов, и запрашивающую у пользователей подтверждение на выполнение операции, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блокирует выполнение пользовательской программы.
2.2 Классификация методов защиты от компьютерных вирусов Проблему защиты от вирусов необходимо рассматривать в общем контексте проблемы защиты информации от несанкционированного доступа и технологической и эксплуатационной безопасности компьютерных технологий в целом. Основной принцип, который должен быть положен в основу разработки технологии защиты от вирусов, состоит в создании многоуровневой распределенной системы защиты.
Для решения задач антивирусной зашиты должен быть реализован комплекс известных и хорошо отработанных организационно-технических мероприятий:
Ø    использование сертифицированного программного обеспечения;
Ø    организация автономного испытательного стенда для проверки на вирусы нового программного обеспечения и данных. Предварительная проверка на автономном стенде нового программного обеспечения и данных позволяет значительно снизить вероятность проникновения в систему вирусов при ошибочных действиях пользователей. Это мероприятие эффективно для систем, обрабатывающих особо ценную информацию. Однако в случае эксплуатации компьютерной сети проверка на стенде входящих данных значительно снижает оперативность обработки информации;
Ø   ограничение пользователей системы на ввод программ и данных с посторонних носителей информации. Отключение пользовательских дисководов для магнитных и оптических носителей информации, которые являются основным каналом проникновения вирусов в систему, позволяет значительно повысить уровень антивирусной зашиты при работе в компьютерной сети.
Для защиты от компьютерных вирусов в настоящее время используются методы, указанные на рисунке 2.
<img width=«80» height=«123» src=«dopb303185.zip» alt=«Подпись: Ревизия» v:shapes="_x0000_s1069" v:dpi=«96»><img width=«69» height=«123» src=«dopb303186.zip» alt=«Подпись: Карантин» v:shapes="_x0000_s1070" v:dpi=«96»><img width=«60» height=«123» src=«dopb303187.zip» alt=«Подпись: Сегментация» v:shapes="_x0000_s1071" v:dpi=«96»><img width=«476» height=«335» src=«dopb303188.zip» v:shapes="_x0000_s1068 _x0000_s1065 _x0000_s1067 _x0000_s1074 _x0000_s1075 _x0000_s1066 _x0000_s1073 _x0000_s1072"> 

Рис.2 — Классификация антивирусов
Архивирование. Заключается в копировании системных областей магнитных дисков и ежедневном ведении архивов измененных файлов. Архивирование является одним из основных методов защиты от вирусов. Остальные методы защиты дополняют его, но не могут заменить полностью.
Входной контроль. Проверка всех поступающих программ детекторами, а также проверка длин и контрольных сумм, вновь поступающих программ на соответствие значениям, указанным в документации. Большинство известных файловых и бутовых вирусов можно выявить на этапе входного контроля. Для этой цели используется батарея детекторов (несколько последовательно запускаемых программ). Набор детекторов достаточно широк и постоянно пополняется по мере появления новых вирусов. Однако при этом могут быть обнаружены не все вирусы, а только распознаваемые детектором. Следующим элементом входного контроля является контекстный поиск в файлах слов и сообщений, которые могут принадлежать вирусу (например, Virus, COMMAND.COM, Kill и т. д.). Подозрительным является отсутствие в последних 2-3 кб файла текстовых строк – это может быть признаком вируса, который шифрует свое тело.
    продолжение
--PAGE_BREAK--