Структура файлового нерезидентного вируса

Файловые вирусы являются наиболее распространенной разновидностью компьютерных вирусов. Принципиально они заражают любой тип исполняемых файлов: COM, EXE, OVL и т.д. Однако основными объектами заражения являются файлы типа COM и файлы типа EXE. Наиболее просто осуществляется заражение COM-файлов, которые представляют собой почти точную копию участка памяти с загруженной программой. Единственная требуемая настройка при загрузке COM-файлов состоит в загрузке сегментных регистров значениями, соответствующими месту загрузки программы. Значительная часть COM-файлов начинается с команды перехода, обходящей содержащие в начале программы данные.

При заражении COM-файлов вирус запоминает в своем теле первые три или больше байтов программы и вместо них записывает переход на начало собственного кода. Так поступает большинство файловых вирусов, заражающих COM-файлы, но не все. Дело в том, что при дописывании тела вируса в конец заражаемого файла весь код вируса должен быть написан специальным образом, обычно называемым позиционно-независимым программированием: при выполнении программы все ссылки должны адресоваться через соответствующее смещение, которое обычно хранится в одном из регистров.

Структура файлового резидентного вируса

Файловые резидентные вирусы, помимо отдельных файлов, заражают, если так можно выразиться, и память компьютера. Предельно упрощая, память компьютера можно рассматривать как еще один файл, который можно заражать, дописываясь в голову, т.е. в область младших адресов свободного участка памяти, в хвост, т.е. в область старших адресов свободного участка памяти и наконец, в середину, т.е. в область адресов, уже используемых операционной системой или какой-нибудь программой (старшие адреса вектора прерываний, буфера и т.д.).

Вместе с тем, структура резидентного вируса существенно отличается от структуры нерезидентного вируса. Резидентный вирус можно представлять как состоящий из двух относительно независимых частей: инсталлятора и модуля обработки прерываний. Последний, в свою очередь, состоит из ряда программ обработки. Несколько упрощая, можно считать, что на каждое перехватываемое прерывание приходится своя программа обработки.

Инсталлятор получает управление при выполнении зараженной программы и играет роль своеобразной ракеты-носителя, запускающей вирус на орбиту, т.е. в оперативную память. Он отрабатывает один раз у после запуска зараженной программы и его целесообразно рассматривать как специализированный файловый вирус, заражающий оперативную память и, возможно, обычные файлы. В последнем случае инсталлятор можно рассматривать как доработанный для заражения оперативной памяти файловый вирус.

Как работает вирус

После запуска программы вирус, как правило, начинает с того, что заражает другие программы на этой машине, после чего выполняет свою полезную нагрузку, то есть запускает ту часть программы, для которой и писался вирус. Во многих случаях эта программа может не запускаться, пока не наступит определенная дата или пока вирус гарантированно не распространится на большое число компьютеров. Выбранная дата может даже быть привязана к какому-либо политическому событию (например, к столетию или 500-летию обиды, нанесенной этнической группе автора).

26.Методы криптографических преобразований данных.

Процесс шифрованиязаключается в проведении обратимых

математических, логических, комбинаторных и других преобразо-

ваний исходной информации, в результате которых зашифрован-

ная информация представляет собой хаотический набор букв,

цифр, других символов и двоичных кодов.

Для шифрования информации используются алгоритм преоб-

разования и ключ. Как правило, алгоритм для определенного ме-

тода шифрования является неизменным. Исходными данными для

алгоритма шифрования служат информация, подлежащая зашиф-

рованию, и ключ шифрования. Ключ содержит управляющую ин-

формацию, которая определяет выбор преобразования на опреде-

ленных шагах алгоритма и величины операндов, используемые

при реализации алгоритма шифрования.

В отличие от других методов криптографического преобразо-

вания информации, методы стеганографии[2] позволяют скрыть

не только смысл хранящейся или передаваемой информации, но и

сам факт хранения или передачи закрытой информации. В ком-

пьютерных системах практическое использование стеганографии

только начинается, но проведенные исследования показывают ее

перспективность. В основе всех методов стеганографии лежит

маскирование закрытой информации среди открытых файлов. Об-

работка мультимедийных файлов в КС открыла практически не-

ограниченные возможности перед стеганографией.

Существует несколько методов скрытой передачи информа-

ции. Одним из них является простой метод скрытия файлов при

работе в операционной системе MS DOS. За текстовым открытым

файлом записывается скрытый двоичный файл, объем которого

много меньше текстового файла. В конце текстового файла поме-

щается метка EOF (комбинация клавиш Control и Z). При обраще-

нии к этому текстовому файлу стандартными средствами ОС счи-

тывание прекращается по достижению метки EOF и скрытый

файл остается недоступен. Для двоичных файлов никаких меток в

конце файла не предусмотрено. Конец такого файла определяется

при обработке атрибутов, в которых хранится длина файла в бай-

тах. Доступ к скрытому файлу может быть получен, если файл

открыть как двоичный. Скрытый файл может быть зашифрован.

Если кто-то случайно обнаружит скрытый файл, то зашифрован-

ная информация будет воспринята как сбой в работе системы.

Графическая и звуковая информация представляются в число-

вом виде. Так в графических объектах наименьший элемент изо-

бражения может кодироваться одним байтом. В младшие разряды

определенных байтов изображения в соответствии с алгоритмом

криптографического преобразования помещаются биты скрытого

файла. Если правильно подобрать алгоритм преобразования и

изображение, на фоне которого помещается скрытый файл, то че-

ловеческому глазу практически невозможно отличить полученное

изображение от исходного. Очень сложно выявить скрытую ин-

формацию и с помощью специальных программ. Наилучшим об-

разом для внедрения скрытой информации подходят изображения

местности: фотоснимки со спутников, самолетов и т. п. С помо-

щью средств стеганографии могут маскироваться текст, изобра-

жение, речь, цифровая подпись, зашифрованное сообщение. Ком-

плексное использование стеганографии и шифрования много-

кратно повышает сложность решения задачи обнаружения и рас-

крытия конфиденциальной информации.

Содержанием процесса кодированияинформации является

замена смысловых конструкций исходной информации (слов,

предложений) кодами. В качестве кодов могут использоваться

сочетания букв, цифр, букв и цифр. При кодировании и обратном

преобразовании используются специальные таблицы или словари.

Кодирование информации целесообразно применять в системах с

ограниченным набором смысловых конструкций. Такой вид крип-

тографического преобразования применим, например, в команд-

ных линиях АСУ. Недостатками кодирования конфиденциальной

информации является необходимость хранения и распространения

кодировочных таблиц, которые необходимо часто менять, чтобы

избежать раскрытия кодов статистическими методами обработки

перехваченных сообщений.

Сжатиеинформации может быть отнесено к методам крипто-

графического преобразования информации с определенными ого-

ворками. Целью сжатия является сокращение объема информа-

ции. В то же время сжатая информация не может быть прочитана

или использована без обратного преобразования. Учитывая дос-

тупность средств сжатия и обратного преобразования, эти методы

нельзя рассматривать как надежные средства криптографического

преобразования информации. Даже если держать в секрете алго-

ритмы, то они могут быть сравнительно легко раскрыты статисти-

ческими методами обработки. Поэтому сжатые файлы конфиден-

циальной информации подвергаются последующему шифрова-

нию.

27.Классификация компьютерных вирусов по деструктивным возможностям.

По деструктивным возможностям вирусы можно разделить на следующие:

1. Базовые, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения).

2. Неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графически и пр. эффектами.

3. Опасные вирусы, которые могут привести к серьезным ошибкам и сбоям в работе .

4. Очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

Безвредные вирусы, как правило, производят различные визуальные или звуковые эффекты. Диапозон проявления безвредных вирусов очень широк – от простейшего стирания содержимого экрана до сложных эффектов переворачивания изображения, создания иллюзии «вращения» или «опадания» (например, вирус Cascade-1701).

Выполняемые вредными вирусами деструктивные функции тоже чрезвычайно разнообразны.В процессе своего распространения некоторые вирусы повреждают или искажают некоторые выполняемые программы, дописывая в начало уничтожаемой программы некий код без сохранения исходной последовательности байт. Некоторые вирусы при определенных условиях выполняют форматирование диска, точнее его нулевой дорожки, тем самым уничтожая важную информацию о хранящихся на диске файлах. Другие через определенные (как правило, случайные) промежутки времени перезагружают компьютер, приводя к потере несохраненных данных. В последнее время появилось огромное количество вирусов, направленных на борьбу с антивирусными программами. Некоторые из них при просмотре каталогов ищут программы, в именах которых имеются фрагметы, характерные для антивирусных программ (ANTI, AIDS, SCAN), и при обнаружении таковых пытаются нанести им какой-либо вред: стереть с диска, изменить код в теле программы и др.

28.Классификация компьютерных вирусов по особенностям алгоритма работы.

В соответствии с особенностями алгоритма функциониро-

вания вирусы можно разделить на два класса:

• вирусы, не изменяющие среду обитания (файлы и секто-

ры) при распространении;

• вирусы, изменяющие среду обитания при распростране-

нии.

В свою очередь, вирусы, не изменяющие среду обитания,

могут быть разделены на две группы:

• вирусы-?спутники? (companion);

• вирусы-?черви? (worm).

Вирусы-?спутники? не изменяют файлы. Механизм их дейст-

вия состоит в создании копий исполняемых файлов. Например, в

MS DOS такие вирусы создают копии для файлов, имеющих рас-

ширение .ЕХЕ. Копии присваивается то же имя, что и исполняе-

мому файлу, но расширение изменяется на .СОМ. При запуске

файла с общим именем операционная система первым загружает

на выполнение файл с расширением .СОМ, который является про-

граммой-вирусом. Файл-вирус запускает затем и файл с расшире-

нием .ЕХЕ.

Вирусы-?черви? попадают в рабочую станцию из сети, вычис-

ляют адреса рассылки вируса по другим абонентам сети и осуще-

ствляют передачу вируса. Вирус не изменяет файлов и не записы-

вается в загрузочные секторы дисков. Некоторые вирусы-?черви?

создают рабочие копии вируса на диске, другие — размещаются

только в оперативной памяти ЭВМ.

По сложности, степени совершенства и особенностям маски-

ровки алгоритмов вирусы, изменяющие среду обитания, делятся

на:

• студенческие;

• ?стеле? — вирусы (вирусы-невидимки);

• полиморфные.

К студенческим относят вирусы, создатели которых имеют

низкую квалификацию. Такие вирусы, как правило, являются не-

резидентными, часто содержат ошибки, довольно просто обнару-

живаются и удаляются.

6- 16В

?Стеле?- вирусы и полиморфные вирусы создаются квалифи-

цированными специалистами, хорошо знающими принцип работы

аппаратных средств и операционной системы, а также владеющи-

ми навыками работы с машиноориентированными системами

программирования.

?Стелс?-вирусы маскируют свое присутствие в среде обита-

ния путем перехвата обращений операционной системы к пора-

женным файлам, секторам и переадресуют ОС к незараженным

участкам информации. Вирус является резидентным, маскируется

под программы ОС, может перемещаться в памяти. Такие вирусы

активизируются при возникновении прерываний, выполняют оп-

ределенные действия, в том числе и по маскировке, и только за-

тем управление передается на программы ОС, обрабатывающие

эти прерывания. ?Стеле?- вирусы обладают способностью проти-

водействовать резидентным антивирусным средствам.

Полиморфные вирусы не имеют постоянных опознавательных

групп — сигнатур. Обычные вирусы для распознавания факта за-

ражения среды обитания размещают в зараженном объекте специ-

альную опознавательную двоичную последовательность или по-

следовательность символов (сигнатуру), которая однозначно

идентифицирует зараженность файла или сектора. Сигнатуры ис-

пользуются на этапе распространения вирусов для того, чтобы

избежать многократного заражения одних и тех же объектов, так

как при многократном заражении объекта значительно возрастает

вероятность обнаружения вируса. Для устранения демаскирую-

щих признаков полиморфные вирусы используют шифрование

тела вируса и модификацию программы шифрования. За счет та-

кого преобразования полиморфные вирусы не имеют совпадений

кодов.

29.Классификация компьютерных вирусов по среде обитания.

Средой обитания сетевых вирусов являются элементы ком-

пьютерных сетей.

Файловые вирусы размещаются в исполняемых

файлах.

Загрузочные вирусы находятся в загрузочных секторах

(областях) внешних запоминающих устройств (boot-секторах).

Иногда загрузочные вирусы называют бутовыми.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Комбинированные вирусы размещаются в нескольких средах обитания. Приме-

ром таких вирусов служат загрузочно-файловые вирусы. Эти ви-

русы могут размещаться как в загрузочных секторах накопителей

на магнитных дисках, так и в теле загрузочных файлов.

30.Общий алгоритм обнаружения вируса.

Шаг 1. Выключить ЭВМ для уничтожения резидентных виру-

сов.

Шаг 2. Осуществить загрузку эталонной операционной систе-

мы со сменного носителя информации, в которой отсутствуют

вирусы.

Шаг 3. Сохранить на сменных носителях информации важные

для вас файлы, которые не имеют резервных копий.

Шаг 4. Использовать антивирусные средства для удаления ви-

русов и восстановления файлов, областей памяти. Если работо-

способность ЭВМ восстановлена, то осуществляется переход к

шагу 8, иначе — к шагу 5.

Шаг 5. Осуществить полное стирание и разметку (форматиро-

вание) несъемных внешних запоминающих устройств. В ПЭВМ

для этого могут быть использованы программы MS-DOS FDISK и

FORMAT. Программа форматирования FORMAT не удаляет

главную загрузочную запись на жестком диске, в которой может

находиться загрузочный вирус [55]. Поэтому необходимо выпол-

нить программу FDISK с недокументированным параметром

MBR,создать с помощью этой же программы разделы и логиче-

ские диски на жестком диске. Затем выполняется программа

FORMAT для всех логических дисков.

Шаг 6. Восстановить ОС, другие программные системы и

файлы с дистрибутивов и резервных копий, созданных до зараже-

ния.

Шаг 7. Тщательно проверить файлы, сохраненные после обна-

ружения заражения, и, при необходимости, удалить вирусы и вос-

становить файлы;

Шаг 8. Завершить восстановление информации всесторонней

проверкой ЭВМ с помощью всех имеющихся в распоряжении

пользователя антивирусных средств.

При выполнении рекомендаций по профилактике заражения

компьютерными вирусами, а также при умелых и своевременных

действиях в случае заражения,вирусами, ущерб информационным

ресурсам КС может быть сведен к минимуму.

31.«Вирусоподобные» программы и их характеристики.

Троянские программы (логические бомбы)

К троянским программам относятся программы, наносящие какие-либо разрушительные действия в зависимости от каких-либо условий. Например, уничтожение информации на дисках при каждом запуске или по определенному графику и т. д. Большинство известных троянских программ являются программами, которые маскируются под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Очень часто они рассылаются по электронным конференциям. По сравнению с вирусами троянские программы не получают широкого распространения по достаточно простым причинам – они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем. К троянским программам также относятся так называемые дропперы вирусов – зараженные файлы, код которых подправлен таким образом, что известные версии антивирусов не определяют присутствие вируса в файле. Например, файл шифруется или упаковывается неизвестным архиватором, что не позволяет антивирусу увидеть заражение.

Отметим еще один тип программ (программы – злые шутки), которые используются для устрашения пользователя, о заражении вирусом или о каких либо предстоящих действиях с этим связанных, т. е. сообщают о несуществующих опасностях, вынуждая пользователя к активным действиям. Например, к злым шуткам относятся программы, которые пугают пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в незараженных файлах, выводят странные вирусоподобные сообщения и т. д. К категории злых шуток можно отнести также заведомо ложные сообщения о новых супер-вирусах. Такие сообщения периодически появляются в Интернете и обычно вызывают панику среди пользователей.

^ 2.3.4. Утилиты скрытого администрирования

Утилиты скрытого администрирования являются разновидностью логических бомб (троянских программ), которые используются злоумышленниками для удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые различными фирмами-производителями программных продуктов. Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске такая программа устанавливает себя в систему и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях программы в системе. Чаще всего ссылка на такую программу отсутствует в списке активных приложений. В результате пользователь может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Внедренные в операционную систему утилиты скрытого управления позволяют делать с компьютером все, что в них заложил их автор: принимать/отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти программы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п.

Intended-вирусы

К таким вирусам относятся программы, которые, на первый взгляд, являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении не помещает в начало файла команду передачи управления на код вируса, либо записывает в нее неверный адрес своего кода, либо неправильно устанавливает адрес перехватываемого прерывания (в большинстве приводит к зависанию компьютера) и т. д. К категории intended также относятся вирусы, которые по приведенным выше причинам размножаются только один раз – из авторской копии. Заразив какой-либо файл, они теряют способность к дальнейшему размножению. Появляются intended-вирусы чаще всего из-за неумелой перекомпиляции какого-либо уже существующего вируса, либо по причине недостаточного знания языка программирования, либо по причине незнания технических тонкостей операционной системы.

^ Конструкторы вирусов

К данному виду вредных программ относятся утилиты, предназначенные для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макровирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули, и/или непосредственно зараженные файлы. Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса и т. п.

^ Полиморфные генераторы

Полиморфик-генераторы, как и конструкторы вирусов, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т. е. открытия, закрытия и записи в файлы, чтения и записи секторов и т. д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика. Обычно полиморфные генераторы распространяются в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор.

32.Основные правила защиты от компьютерных вирусов.

Правило первое. Использование программных продуктов, по-

лученных законным официальным путем.

Вероятность наличия вируса в пиратской копии во много раз

выше, чем в официально полученном программном обеспечении.

Правило второе. Дублирование информации.

Прежде всего, необходимо сохранять дистрибутивные носите-

ли программного обеспечения. При этом запись на носители, до-

пускающие выполнение этой операции, должна быть, по возмож-

ности, заблокирована. Следует особо позаботиться о сохранении

рабочей информации. Предпочтительнее регулярно создавать ко-

пии рабочих файлов на съемных машинных носителях информа-

ции с защитой от записи. Если создается копия на несъемном но-

сителе, то желательно ее создавать на других ВЗУ или ЭВМ. Ко-

пируется либо весь файл, либо только вносимые изменения.По-

следний вариант применим, например, приработе сбазами дан-

ных.

Правило третье. Регулярно использовать антивирусные

средства. Перед началом работы целесообразно выполнять про-

граммы-сканеры и программы-ревизоры (Aidstest и Adinf). Анти-

вирусные средства должны регулярно обновляться.

Правило четвертое. Особую осторожность следует прояв-

лять при использовании новых съемных носителей информации и

новых файлов. Новые дискеты обязательно должны быть прове-

рены на отсутствие загрузочных и файловых вирусов, а получен-

ные файлы — на наличие файловых вирусов. Проверка осуществ-

ляется программами-сканерами и программами, осуществляющи-

ми эвристический анализ (Aidstest, Doctor Web, AntiVirus). При

первом выполнении исполняемого файла используются резидент-

ные сторожа. При работе с полученными документами и таблица-

ми целесообразно запретить выполнение макрокоманд средства-

ми, встроенными в текстовые и табличные редакторы (MS Word,

MS Excel), до завершения полной проверки этих файлов.

Правило пятое. При работе в распределенных системах или в

системах коллективного пользования целесообразно новые смен-

ные носители информации и вводимые в систему файлы прове-

рять на специально выделенных для этой цели ЭВМ. Целесооб-

разно для этого использовать автоматизированное рабочее место

администратора системы или лица, отвечающего за безопасность

информации. Только после всесторонней антивирусной проверки

дисков и файлов они могут передаваться пользователям системы.

Правило шестое. Если не предполагается осуществлять за-

пись информации на носитель, то необходимо заблокировать вы-

полнение этой операции. На магнитных дискетах 3,5 дюйма для

этого достаточно открыть квадратное отверстие.

Постоянное следование всем приведенным рекомендациям по-

зволяет значительно уменьшить вероятность заражения про-

граммными вирусами и защищает пользователя от безвозвратных

потерь информации.

В особо ответственных системах для борьбы с вирусами необ-

ходимо использовать аппаратно-программные средства.

33.Антивирусные программы и их классификации.

Для обнаружения, удаления и защиты от компьютерных вирусов существуют специальные программы, которые называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как профилактические средства, так и средства лечения вирусов и восстановления данных. Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам:

Стабильность и надежность работы.
Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой): с учетом постоянного появления новых вирусов база данных должна регулярно обновляться.
Возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы).
Наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск).
Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование).
Возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы.
Процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).
Кроссплатформенность (наличие версий программы под различные операционные системы).

Классификация антивирусных программ:

Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение.

Различают детекторы:

универсальные — используют в своей работе проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы
специализированные — выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.

Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором. Недостатком таких антивирусных про грамм является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора (фаги) не только находят зараженные вирусами файлы, но и лечат их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к лечению файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов.

Такими действиями могут являться:

попытки коррекции файлов с расширениями СОМ и ЕХЕ;
изменение атрибутов файлов;
прямая запись на диск по абсолютному адресу;
запись в загрузочные сектора диска;
загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия сторож посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не лечат файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их назойливость (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Программы-вакцины (иммунизаторы) — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, лечащие этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Существует большое количество платных и бесплатных антивирусных программ. Среди платных можно выделить следующие популярные торговые марки: Symantec McAfee Dr.Web Лаборатория Касперского ESET Nod32 Trend Micro BitDefender

Среди бесплатных: AntiVir (Avira) Avast! AVG Comodo

34.Проблемы зашиты информации от вирусов в Internet.

Проблема №1. Количество и разнообразие вредоносных программ неуклонно растет год за годом. В результате многие антивирусные компании просто не в состоянии угнаться за этим потоком, они проигрывают в вирусной «гонке вооружений», а пользователи этих программ оказываются защищены далеко не от всех современных компьютерных угроз. Увы, продукты далеко не всех антивирусных компаний можно назвать действительно антивирусными.

Проблема №2.

Скорость распространения современных вредоносных программ заставляет антивирусные компании выпускать защитные обновления как можно чаще — чтобы максимально быстро прикрыть своих пользователей от новоявленного компьютерного «зверя». Увы, далеко не все антивирусные компании достаточно расторопны. Часто обновления от таких компаний доставляются пользователям слишком поздно.

Проблема №3. Удаление обнаруженного вредоносного кода из зараженной системы. Часто вирусы и троянские программы предпринимают специальные действия, чтобы скрыть факт своего присутствия в системе, или встраиваются в нее так глубоко, что задача его «выковыривания» становится достаточно нетривиальной. К сожалению, иногда антивирусные программы не в состоянии благополучно и без всяких побочных последствий изъять вирусный код и полностью восстановить работоспособность системы.

Проблема №4. Целесообразность потребления ресурсов компьютера. Проблема не решаемая — как показывает практика, все самые «скорострельные» антивирусы очень сильно «дырявы» и пропускают вирусы и троянские программы, как дуршлаг воду. Обратное неверно: далеко не все «тормознутые» антивирусы защищают вас достаточно хорошо.

Проблема №5. Технологическая исключительность, т.е. несовместимость различных антивирусных программ между собой. В подавляющем большинстве случаев (за редкими исключениями) установить два различных антивируса на один компьютер (чтобы обеспечить двойную защиту) невозможно по техническим причинам, и они просто не уживаются друг с другом.

35.Концепция правового обеспечения информационной безопасности Российской Федерации.

В соответствии с Законом о безопасности и содержанием Концепции национальной безопасности РФ под информационной безопасностью будем понимать состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере.

Совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерациипредставлена в Доктрине информационной безопасности РФ.

На основе анализа положений, содержащихся в доктринальных и нормативных правовых документах, можно выделить следующие жизненно важные интересы в информационной сфере:

а) для личности:

соблюдение и реализация конституционных прав и свобод человека и гражданина на поиск, получение, передачу, производство и распространение объективной информации;

реализация права граждан на неприкосновенность частной жизни, защита информации, обеспечивающей личную безопасность;

использование информации в интересах не запрещенной законом деятельности, физического, духовного и интеллектуального развития;

защита права на объекты интеллектуальной собственности;

обеспечение права граждан на защиту своего здоровья от неосознаваемой человеком вредной информации;

б) для общества:

обеспечение интересов личности в информационной сфере;

построение правового социального государства;

упрочение демократии, построение информационного общества;

духовное обновление общества, сохранение его нравственных ценностей, утверждение в обществе идеалов высокой нравственности, патриотизма и гуманизма, развитие многовековых духовных традиций Отечества, пропаганда национального культурного наследия, норм морали и общественной нравственности;

достижение и поддержание общественного согласия;

предотвращение манипулирования массовым сознанием;

приоритетное развитие современных телекоммуникационных технологий, сохранение и развитие отечественного научного и производственного потенциала;

в) для государства:

создание условий для реализации интересов личности и общества в информационной сфере и их защита;

формирование институтов общественного контроля за органами государственной власти;

безусловное обеспечение законности и правопорядка;

создание условий для гармоничного развития российской информационной инфраструктуры;

формирование системы подготовки, принятия и реализации решений органами государственной власти, обеспечивающей баланс интересов личности, общества и государства;

защита государственных информационных систем и государственных информационных ресурсов, в том числе государственной тайны;

защита единого информационного пространства страны;

развитие равноправного и взаимовыгодного международного сотрудничества.

К основным задачам в области обеспечения информационной безопасности относятся:

формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализация конституционных прав и свобод граждан в сфере информационной деятельности;

разработка и создание механизмов формирования и реализации государственной информационной политики России, в том числе разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;

совершенствование законодательства Российской Федерации в области обеспечения информационной безопасности;

определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации, органов местного самоуправления и ответственности их должностных лиц, юридических лиц и граждан в области обеспечения информационной безопасности;

развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;

координация деятельности органов государственной власти по обеспечению информационной безопасности;

совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации; разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств; развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем;

обеспечение технологической независимости Российской Федерации, развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения информационного оружия;

разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, прежде всего, используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;

создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;

защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса, в том числе государственной тайны;

создание условий для успешного развития негосударственного компонента в сфере обеспечения информационной безопасности, осуществления эффективного гражданского контроля за деятельностью органов государственной власти;

защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);

сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий;

пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;

повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств — участников СНГ;

создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;

противодействие угрозе развязывания противоборства в информационной сфере;

создание единой системы подготовки кадров в области обеспечения информационной безопасности;

организация международного сотрудничества по обеспечению информационной безопасности при интеграции России в мировое информационное пространство на условиях равноправного партнерства.

Представляется, что юридическая наука в той или иной мере должна принимать участие в решении всех задач и реализации соответствующих целей, однако ее приоритет просматривается в двух областях:

во-первых, в определении разумного баланса между правом субъектов на свободное получение информации путем ее сбора или доступа к имеющимся ресурсам и правом субъектов на установление ограничений в указанных действиях со стороны иных лиц по отношению к сведениям, обладателями которых они являются,

во-вторых, в разработке и реализации правовых мер защиты информации, доступ к которой должен ограничиваться по правомерным основаниям, а также в обеспечении сохранности информационных ресурсов.

36.Государственная система обеспечения информационной безопасности.

Структура и основные функции государственной системы защиты информации от ее утечки по техническим каналам и организация работ по защите информации определены в Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденном Постановлением Правительства от 15 сентября 1993 г. № 912-51.

Этим Положением предусматривается, что мероприятия по защите информации, обрабатываемой техническими средствами, являются составной частью управленческой, научной и производственной деятельности учреждений и предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению установленного федеральными законами Об информации, информатизации и защите информации и О государственной тайне комплекса мер по защите сведений, составляющих государственную и служебную тайну.

В то же время эти мероприятия являются составной частью работ по созданию и эксплуатации систем информатизации учреждений и предприятий, располагающих такой информацией, и должны осуществляться в установленном нормативными документами » порядке в виде системы защиты секретной информации.

Основные задачи государственной системы защиты информации:

• проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

• исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных специальных программно-технических воздействий на информацию с целью ее разрушения, уничтожения, искажения или блокирования в процессе обработки, передачи и хранения;

• принятие в пределах компетенции нормативно-правовых актов, регулирующих отношения в области защиты информации;

• общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты;

• контроль за проведением работ по защите информации в органах государственного управления, объединениях, на предприятиях, в организациях и учреждениях (независимо от форм собственности).

В соответствии с Указом Президента Российской Федерации № 212 от 19,02.99 г., межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную и служебную тайну, осуществляет коллегиальный орган — Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссии России).

В соответствии с Законом Российской Федерации О федеральных органах правительственной связи и информации, к основным функциям Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) в рассматриваемой области относится:

• осуществление координации деятельности по вопросам безопасности информационно-аналитических сетей, комплексов технических средств баз данных;

• осуществление координации деятельности в области разработки, производства и поставки шифровальных средств и оборудования специальной связи, по обеспечению криптографической и инженерно-технической безопасности шифрованной связи.

Федеральным законом от 03.04.95 г. N 40-ФЗ Об органах Федеральной службы безопасности в Российской Федерации к компетенции ФСБ в рассматриваемой области отнесены следующие вопросы:

• участие в разработке и реализации мер по защите сведений, составляющих государственную тайну;

• осуществление контроля за обеспечением сохранности сведений, составляющих государственную тайну, в государственных органах, воинских формированиях, на предприятиях, в учреждениях и организациях независимо от форм собственности;

• осуществление мер, связанных с допуском граждан к сведениям, составляющим государственную тайну.

Статьи к прочтению:

Видео #22. Файловая система Linux

Похожие статьи: