algemene karakteristieken middel van neutralisatie computer virussen
De meest gebruikelijke manier om computervirussen te neutraliseren is antivirusprogramma's (antivirussen). Antivirussen worden, gebaseerd op de daarin geïmplementeerde aanpak voor het identificeren en neutraliseren van virussen, gewoonlijk onderverdeeld in de volgende groepen (Fig. 8.2):
Detectoren;
Vaccins;
Vaccinaties;
Accountants;
Monitoren.
| Detectoren | Antivirussen | Monitoren | |
| Fagen | Accountants | ||
| Vaccins | Vaccinaties | ||
Rijst. 8.2 Classificatie van antivirusprogramma's
Detectoren bieden virusdetectie door middel van scannen uitvoerbare bestanden en het zoeken naar zogenaamde handtekeningen: stabiele reeksen bytes gevonden in de lichamen van bekende virussen. De aanwezigheid van een handtekening in een bestand geeft aan dat het is geïnfecteerd met het overeenkomstige virus. Er wordt een antivirusprogramma genoemd dat de mogelijkheid biedt om naar verschillende handtekeningen te zoeken polydetector.
Fagen voeren functies uit die typisch zijn voor detectoren, maar ‘genezen’ bovendien geïnfecteerde programma’s door virussen uit hun lichaam te ‘bijten’. Naar analogie met polydetectoren worden fagen genoemd die zich richten op het neutraliseren van verschillende virussen polyfagen.
In tegenstelling tot detectoren en fagen vaccins qua werkingsprincipe lijken ze op virussen. Het vaccin wordt in het beschermde programma geïmplanteerd en onthoudt een aantal kwantitatieve en structurele kenmerken van dit laatste. Als het gevaccineerde programma op het moment van vaccinatie niet geïnfecteerd was, zal het volgende gebeuren bij de eerste lancering na infectie. Activering van de virusdrager zal leiden tot beheersing van het virus, dat, nadat het is voltooid, zal leiden objectieve functies, zal de controle overdragen aan het gevaccineerde programma. In dit laatste geval zal het vaccin op zijn beurt eerst controle ondergaan, die zal controleren of de kenmerken die het zich herinnert, overeenkomen met de soortgelijke kenmerken die zijn verkregen in dit moment. Als de gespecificeerde sets kenmerken niet overeenkomen, wordt geconcludeerd dat de tekst van het gevaccineerde programma door het virus is gewijzigd. De kenmerken die door vaccins worden gebruikt, kunnen de lengte van het programma, de controlesom, enz. zijn.
Operatie principe vaccinaties is gebaseerd op het feit dat elk virus in de regel de geïnfecteerde programma's met een bepaald kenmerk markeert om te voorkomen dat ze opnieuw worden geïnfecteerd. Anders zouden er meerdere infecties plaatsvinden, die gepaard zouden gaan met een aanzienlijke en dus gemakkelijk waarneembare toename van het aantal geïnfecteerde programma's. De vaccinatie markeert het, zonder enige andere wijziging in de tekst van het beschermde programma, met hetzelfde teken als het virus, dat het dus, na activering en controle van de aanwezigheid van het gespecificeerde teken, als geïnfecteerd beschouwt en ‘het met rust laat’.
Accountants zorgen voor monitoring van de status van het bestandssysteem, met behulp van een aanpak die vergelijkbaar is met die geïmplementeerd in vaccins. Tijdens zijn werking voert het auditprogramma voor elk uitvoerbaar bestand een vergelijking uit van de huidige kenmerken met soortgelijke kenmerken verkregen tijdens de vorige bestandsbeoordeling. Als wordt ontdekt dat het bestand, volgens de beschikbare systeeminformatie, niet door de gebruiker is bijgewerkt sinds de vorige weergave, en dat de vergeleken sets kenmerken niet overeenkomen, dan wordt het bestand als geïnfecteerd beschouwd. De kenmerken van uitvoerbare bestanden die tijdens de volgende weergave worden verkregen, worden opgeslagen in apart bestand(bestanden), en dus de toename van de lengte van uitvoerbare bestanden die optreedt tijdens vaccinatie, in in dit geval gebeurt niet. Een ander verschil tussen auditors en vaccins is dat elke inspectie van uitvoerbare bestanden door de auditor vereist dat deze opnieuw wordt gestart.
Het probleem van de virusbescherming moet worden gezien in de algemene context van het probleem van de bescherming van informatie tegen ongeoorloofde toegang en de technologische en operationele veiligheid van software in het algemeen. Het basisprincipe dat de basis zou moeten vormen voor de ontwikkeling van virusbeschermingstechnologie is het creëren van een gedistribueerd beschermingssysteem op meerdere niveaus, inclusief:
regulering van werk op een pc;
sollicitatie software bescherming;
gebruik van speciale hardwarebescherming.
In dit geval hangt het aantal beschermingsniveaus af van de waarde van de informatie die op de pc wordt verwerkt.
De volgende methoden worden momenteel gebruikt om u te beschermen tegen computervirussen.
Archiveren. Bestaat uit kopieersysteemgebieden magnetische schijven en dagelijks onderhoud van archieven van gewijzigde bestanden. Archiveren is een van de belangrijkste methoden om u tegen virussen te beschermen. Andere beschermingsmethoden vullen het aan, maar kunnen het niet volledig vervangen.
Inkomende controle. Het controleren van alle binnenkomende programma's met detectoren, evenals het controleren van de lengtes en controlesommen van nieuw ontvangen programma's op naleving van de waarden gespecificeerd in de documentatie. De meeste bekende bestands- en opstartvirussen kunnen worden gedetecteerd tijdens de inkomende inspectiefase. Voor dit doel wordt het gebruikt accudetectoren(verschillende opeenvolgend gelanceerde programma's). Het bereik aan detectoren is vrij breed en wordt voortdurend bijgewerkt als er nieuwe virussen verschijnen. Niet alle virussen kunnen echter worden gedetecteerd, maar alleen de virussen die door de detector worden herkend. Het volgende element van inkomende controle is contextueel zoeken in bestanden met woorden en berichten die mogelijk bij een virus horen (bijvoorbeeld Virus, COMMAND.COM, Kill, enz.). De afwezigheid van tekstreeksen in de laatste 2-3 kilobytes van het bestand is verdacht - dit kan een teken zijn van een virus dat de inhoud ervan versleutelt.
De overwogen controle kan worden uitgevoerd met behulp van een speciaal programma dat werkt met een database met “verdachte” woorden en berichten en een lijst met bestanden genereert voor verdere analyse. Na de analyse wordt aanbevolen om nieuwe programma's enkele dagen in quarantainemodus te gebruiken. In dit geval is het raadzaam om kalenderversnelling te gebruiken, d.w.z. wijziging huidige datum bij het opnieuw opstarten van het programma. Hiermee kunt u virussen detecteren die op bepaalde dagen van de week (vrijdag, 13e van de maand, zondag, enz.) worden geactiveerd.
Preventie. Om infectie te voorkomen, is het noodzakelijk om aparte opslag (in verschillende) te organiseren magnetische media) nieuw ontvangen en eerder gebruikte programma's, waardoor de perioden waarin diskettes beschikbaar zijn voor opname tot een minimum worden beperkt, en gewone magnetische media worden verdeeld over specifieke gebruikers.
Herziening. Analyse van nieuw ontvangen programma's met behulp van speciale middelen (detectoren), integriteitsbewaking vóór het lezen van informatie, evenals periodieke statusbewaking systeembestanden.
Quarantaine. Elk nieuw programma wordt gedurende een bepaalde periode gecontroleerd op bekende virussen. Voor deze doeleinden is het raadzaam om een speciale pc toe te wijzen waarop geen andere werkzaamheden worden uitgevoerd. Als het onmogelijk is om een pc toe te wijzen voor softwarequarantaine, wordt hiervoor een machine gebruikt die is losgekoppeld van het lokale netwerk en geen bijzonder waardevolle informatie bevat.
Segmentatie. Hierbij wordt een magnetische schijf opgedeeld in een aantal logische volumes (partities), waarvan sommige de status READ_ONLY (alleen-lezen) hebben. Op deze partities worden uitvoerbare programma's en systeembestanden opgeslagen. Databases moeten in andere sectoren worden opgeslagen, los van de programma's die worden uitgevoerd. Een belangrijke preventieve maatregel in de strijd tegen bestandsvirussen is het uitsluiten van een aanzienlijk deel van de opstartmodules van hun bereik. Deze methode heet segmentatie en is gebaseerd op deling magnetische schijf(harde schijf) met behulp van een speciaal stuurprogramma dat ervoor zorgt dat individuele logische volumes het READ_ONLY-attribuut (alleen-lezen) krijgen toegewezen, en ondersteunt ook wachtwoordtoegangsschema's. Tegelijkertijd worden uitvoerbare programma's en systeemhulpprogramma's, evenals databasebeheersystemen en vertalers, op schrijfbeveiligde schijfpartities geplaatst, d.w.z. softwarecomponenten die het grootste risico lopen op infectie. Als een dergelijk stuurprogramma is het raadzaam om programma's als ADVANCEDDISKMANAGER (een programma voor het formatteren en voorbereiden van een harde schijf) te gebruiken, waarmee u niet alleen de schijf in partities kunt opsplitsen, maar ook de toegang ertoe kunt organiseren met behulp van wachtwoorden. Het aantal gebruikte logische volumes en hun grootte zijn afhankelijk van de taken die worden opgelost en de grootte van de harde schijf. Het wordt aanbevolen om 3 - 4 logische volumes te gebruiken, enzovoort systeem schijf waarvan u opstart, moet u een minimum aantal bestanden achterlaten (systeembestanden, shell- en hook-programma's).
Filtratie. Het bestaat uit het gebruik van watchdog-programma's om pogingen om ongeoorloofde acties uit te voeren te detecteren.
Vaccinatie. Speciale verwerking van bestanden en schijven die een combinatie van omstandigheden simuleert die door een bepaald type virus worden gebruikt om te bepalen of een programma al is geïnfecteerd of niet.
Automatische integriteitscontrole. Het bestaat uit het gebruik van speciale algoritmen waarmee u na het starten van het programma kunt bepalen of er wijzigingen in het bestand zijn aangebracht.
Behandeling. Het gaat om de deactivering van een specifiek virus in geïnfecteerde programma's door speciale programma's (fagen). Faagprogramma's 'bijten' het virus uit het geïnfecteerde programma en proberen de code terug te brengen naar de oorspronkelijke staat (de staat van vóór het moment van infectie). Over het algemeen kan het technologische beschermingsschema uit de volgende fasen bestaan:
invoercontrole van nieuwe programma's;
segmentatie van informatie op een magnetische schijf;
bescherming besturingssysteem van infectie;
systematische controle van de informatie-integriteit.
Opgemerkt moet worden dat u er niet naar moet streven om globale bescherming te bieden voor alle bestanden op de schijf. Dit belemmert de werking aanzienlijk, vermindert de systeemprestaties en vermindert uiteindelijk de veiligheid als gevolg van veelvuldig werk in open modus. Uit analyse blijkt dat slechts 20-30% van de bestanden tegen schrijven beveiligd zou moeten zijn.
Wanneer u uw besturingssysteem tegen virussen beschermt, moet u dit doen juiste plaatsing it en een aantal hulpprogramma's die dat daarna kunnen garanderen bootstrap het besturingssysteem is nog niet geïnfecteerd met een lokaal bestandsvirus. Door plaatsing wordt dit gewaarborgd opdrachtverwerker op een tegen schrijven beveiligde schijf, waarvandaan het na de eerste keer opstarten naar een virtuele (elektronische) schijf wordt gekopieerd. In dit geval wordt tijdens een virusaanval een duplicaat van de opdrachtprocessor ingeschakeld virtuele schijf. Bij het opnieuw opstarten wordt de informatie op de virtuele schijf vernietigd, waardoor het voor het virus onmogelijk wordt zich via de opdrachtprocessor te verspreiden.
Om het besturingssysteem te beschermen, kan bovendien een niet-standaard opdrachtprocessor worden gebruikt (bijvoorbeeld de 4DOS-opdrachtprocessor ontwikkeld door J.P. Software), die beter bestand is tegen infecties. Door een werkkopie van de shell op een virtuele schijf te plaatsen, kan deze als lokprogramma worden gebruikt. Hiervoor kan een speciaal programma worden gebruikt dat periodiek de integriteit van de opdrachtprocessor bewaakt en informeert over de overtreding ervan. Hierdoor is een vroegtijdige detectie van een virusaanval mogelijk.
Als alternatief voor MS DOS zijn er verschillende besturingssystemen ontwikkeld die beter bestand zijn tegen infecties. Hiervan moeten DR DOS en Hi DOS worden vermeld. Elk van deze systemen is ‘virusbestendiger’ dan MS DOS. Tegelijkertijd, hoe moeilijker en het virus is gevaarlijker, hoe kleiner de kans dat het op een alternatief besturingssysteem draait.
Uit analyse van de beschouwde beschermingsmethoden en -middelen blijkt dat effectieve bescherming kan worden gegarandeerd als deze op samenhangende wijze wordt gebruikt verschillende middelen binnen één enkele werkomgeving. Om dit te doen, is het noodzakelijk om een geïntegreerd systeem te ontwikkelen software pakket, ter ondersteuning van de weloverwogen beveiligingstechnologie. Het softwarepakket moet de volgende componenten bevatten.
Familie (batterij) detectoren. Detectoren die tot de familie behoren, moeten worden gelanceerd vanuit de besturingsomgeving van het complex. Tegelijkertijd zou het mogelijk moeten zijn om nieuwe detectoren op de familie aan te sluiten, en om de parameters voor hun lancering vanuit de dialoogomgeving te specificeren. Met behulp van deze component kunnen softwaretests worden georganiseerd in de fase van de inkomende inspectie.
Virusvalprogramma. Dit programma wordt gegenereerd tijdens het functioneren van het complex, d.w.z. wordt niet op schijf opgeslagen, dus het origineel kan niet worden geïnfecteerd. Tijdens het testen van de pc wordt het trap-programma herhaaldelijk uitgevoerd, waarbij de huidige datum en tijd worden gewijzigd (organiseert een versnelde kalender). Daarnaast bewaakt het lokprogramma de integriteit ervan (grootte, controlesom, datum en tijd van creatie). Als er een infectie wordt gedetecteerd, schakelt het softwaresysteem over naar de analysemodus van het geïnfecteerde programma – een valstrik – en probeert het type virus te bepalen.
Vaccinatie programma. Ontworpen om de werkomgeving van virussen te veranderen, zodat ze het vermogen om zich te reproduceren verliezen. Het is bekend dat een aantal virussen geïnfecteerde bestanden markeren om herinfectie te voorkomen. Met behulp van deze eigenschap is het mogelijk een programma te maken dat bestanden zo verwerkt dat het virus denkt dat ze al geïnfecteerd zijn.
Database over virussen en hun kenmerken. Er wordt verwacht dat de database informatie zal opslaan over bestaande virussen, hun kenmerken en handtekeningen, evenals de aanbevolen behandelingsstrategie. Informatie uit de database kan worden gebruikt bij het analyseren van een geïnfecteerd lokprogramma, maar ook in de fase van binnenkomende softwarecontrole. Bovendien, op op basis van informatie opgeslagen in de database, is het mogelijk aanbevelingen te ontwikkelen voor het gebruik van de meest effectieve detectoren en fagen voor de behandeling van specifiek soort virus.
Bescherming van woningen. Deze tools kunnen zich in het geheugen bevinden en voortdurend de integriteit van systeembestanden en de shell controleren. De controle kan worden uitgevoerd met behulp van timer-interrupts of bij het uitvoeren van lees- en schrijfbewerkingen op een bestand.
Stuur uw goede werk naar de kennisbank is eenvoudig. Gebruik onderstaand formulier
Studenten, promovendi en jonge wetenschappers die de kennisbasis gebruiken in hun studie en werk zullen je zeer dankbaar zijn.
Er is nog geen HTML-versie van het werk.
U kunt het archief van het werk downloaden door op de onderstaande link te klikken.
Soortgelijke documenten
De geschiedenis van de opkomst van computervirussen als een soort programma waarvan de functie zelfreplicatie is. Classificatie van computervirussen, manieren van verspreiding ervan. Voorzorgsmaatregelen tegen computerinfectie. Anti-vergelijking virusprogramma's.
cursuswerk, toegevoegd op 08/06/2013
De oorsprong van computervirussen. Paden waarlangs virussen een computer kunnen binnendringen en het mechanisme voor het verspreiden van virusprogramma's. Tekenen van virussen. Virusneutralisatie. Preventiemaatregelen. Classificatie van virussen volgens destructieve mogelijkheden.
samenvatting, toegevoegd 12/01/2006
Concept, kenmerken, classificatie en kenmerken malware. Verscheidenheid aan computervirussen en classificatie antivirusprogramma's. Methoden en algemene tekenen van een computer die is geïnfecteerd met een virus. Commercialisering van de virusschrijfindustrie.
cursuswerk, toegevoegd op 24/11/2014
Concept en classificatie van computervirussen. Beschermingsmethoden tegen malware, hun varianten. Tekenen van een computervirusinfectie. Het probleem van informatiebeveiliging. Werken met MS Office-applicaties. Analyse bestandsvirussen, hackerhulpprogramma's.
cursuswerk, toegevoegd op 01/12/2015
Algemene informatie, concept en soorten computervirussen. Creëren van computervirussen als een vorm van misdaad. Paden van penetratie van virussen en tekenen van hun verschijning in een computer. Antivirusproducten. Vergelijkende analyse antivirusprogramma's.
cursuswerk, toegevoegd 06/03/2009
Classificatie en eigenschappen van computervirussen. Kenmerken van de actie Trojaanse paarden, softwarebladwijzers En netwerk wormen. Manieren van hun penetratie in het computer- en distributiemechanisme. Tekenen van infectie en beschermingsmethoden. Analyse van antivirusprogramma's.
cursuswerk, toegevoegd 03/08/2015
Het concept van computervirussen en de redenen die programmeurs dwingen deze te creëren. Typen en kenmerken van malware, manieren van verspreiding ervan. Algemene middelen informatiebescherming, preventieve maatregelen en gespecialiseerde software om virussen te bestrijden.
test, toegevoegd op 08/06/2013
Alleen typen malware er zijn er heel veel bekend. Maar elk type bestaat uit enorme hoeveelheid monsters verschillen ook van elkaar. Om ze allemaal te bestrijden, moet u elk kwaadaardig programma op unieke wijze kunnen classificeren en het gemakkelijk kunnen onderscheiden van andere kwaadaardige programma's.
Kaspersky Lab classificeert alle soorten kwaadaardige programma's software en mogelijk ongewenste objecten op basis van hun activiteit op gebruikerscomputers. Het voorgestelde systeem vormt ook de basis voor de classificatie van veel andere aanbieders van antivirussoftware.
Malware-classificatieboom
Het classificatiesysteem van Kaspersky Lab beschrijft elk gedetecteerd object duidelijk en wijst een specifieke locatie toe in de classificatieboom, weergegeven in het onderstaande diagram van de classificatieboom:
- soorten gedrag die representeren het kleinste gevaar getoond onderkant kaartgebieden;
- soorten gedrag met maximaal gevaren worden weergegeven bovenkant delen van het diagram.
Functierijke malware
Individuele malware voert vaak meerdere kwaadaardige functies uit en gebruikt meerdere distributiemethoden, zonder enige extra classificatieregels dit kan tot verwarring leiden.
Bijvoorbeeld. Er bestaat malware die adressen verzamelt E-mail op een geïnfecteerde computer zonder medeweten van de gebruiker. Het wordt echter zowel als e-mailbijlagen als als bestanden via P2P-netwerken verspreid. Dan kan het programma worden geclassificeerd als Email-Worm, P2P-Worm of Trojan-Mailfinder. Om dergelijke verwarring te voorkomen, wordt een reeks regels gebruikt die het mogelijk maken om een kwaadaardig programma ondubbelzinnig te classificeren op basis van specifiek gedrag, ongeacht secundaire eigenschappen. De regels zijn alleen van toepassing op malware en houden geen rekening met Adware, Riskware, Pornware en andere objecten die worden gedetecteerd door proactieve bescherming (die worden aangegeven met de PDM: voorvoegsel) of heuristische analysator (in dit geval wordt de HEUR: voorvoegsel gebruikt ).
Het classificatieboomdiagram laat zien dat aan elk gedrag een ander ernstniveau is toegewezen. Gedrag dat een grotere bedreiging vormt, wordt gerangschikt boven gedrag dat een minder bedreiging vormt. En aangezien in ons voorbeeld het gedrag van Email-Worm meer vertegenwoordigt hoog niveau gevaarlijker dan het gedrag van P2P-Worm of Trojan-Mailfinder, kan de malware in ons voorbeeld worden geclassificeerd als Email-Worm.
De regel op basis waarvan gedrag wordt geselecteerd maximaal niveau gevaar, geldt alleen voor Trojaanse paarden, virussen en wormen. Het is niet van toepassing op kwaadaardige hulpprogramma's.
Meerdere functies met hetzelfde gevaarsniveau
Als de malware meerdere functies heeft met hetzelfde gevaarsniveau (zoals Trojan-Ransom, Trojan-ArcBomb, Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Dropper, Trojan-IM, Trojan-Notifier, Trojan-Proxy , Trojan -SMS, Trojan-Spy, Trojan-Mailfinder, Trojan-GameThief, Trojan-PSW of Trojan-Banker), is het geclassificeerd als een Trojaans programma.
Als een malware meerdere functies heeft met hetzelfde ernstniveau, zoals IM-Worm, P2P-Worm of IRC-Worm, wordt deze geclassificeerd als een worm.
Bescherm uw apparaten en gegevens tegen alle soorten malware.
Gebaseerd op materiaal van de website kaspersky.ru
