Компьютерные вирусы. Основы антивирусологии

Содержание

Слайд 2

Определение компьютерного вируса

Компьютерным вирусом называется программа (некоторая совокупность исполняемого кода и данных),

Определение компьютерного вируса Компьютерным вирусом называется программа (некоторая совокупность исполняемого кода и
которая обладает способностью создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты и ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.
Фред Коэн, 1983

Слайд 3

История компьютерных вирусов. Основные этапы.

«Доисторический» (70-80 гг)
Первые теоретические труды
Вирусы-легенды
Возникающие инциденты
«До-интернетовский» (80-90 гг)
Появление первых

История компьютерных вирусов. Основные этапы. «Доисторический» (70-80 гг) Первые теоретические труды Вирусы-легенды
вирусов
Классические вирусы MS-DOS
Интернет-этап (90-2000 гг)
Черви
Трояны
Современный этап (2000 - современность)
Криминализация
Использование интернета в преступных целях

Слайд 4

Причины возникновения вирусов

Компьютерное хулиганство
Группа 1: Студенты и школьники
Группа 2: «Профессионалы»
Группа 3: Исследователи
Мелкое

Причины возникновения вирусов Компьютерное хулиганство Группа 1: Студенты и школьники Группа 2:
воровство
Криминальный бизнес
Обслуживание спам-бизнеса
DdoS-атаки
Отсылка платных sms-сообщений
Воровство интернет-денег
Полулегальный бизнес
Принудительная реклама
Порно-бизнес, платные Web-ресурсы

Слайд 5

Три условия существования вредоносных программ

Популярность - широкое распространение и известность данной системы
Документированность

Три условия существования вредоносных программ Популярность - широкое распространение и известность данной
- наличие разнообразной и достаточно полной документации по системе
Незащищенность системы или существование известных уязвимостей в ее безопасности и приложениях

Слайд 6

Способы проникновения вредоносных программ в систему

Социальная инженерия - тем или иным способом

Способы проникновения вредоносных программ в систему Социальная инженерия - тем или иным
заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт
Технические приемы внедрения - осуществляется это через уязвимости в системе безопасности операционных систем и в программном обеспечении. Наличие уязвимостей позволяет изготовленному злоумышленником сетевому червю или троянской программе проникнуть в компьютер-жертву и самостоятельно запустить себя на исполнение без ведома пользователя
Одновременное использование социальной инженерии и технических методов

Слайд 7

Классификация вредоносных программ

Вирусы и черви - вредоносные программы, которые обладают способностью к

Классификация вредоносных программ Вирусы и черви - вредоносные программы, которые обладают способностью
несанкционированному пользователем саморазмножению в компьютерах или компьютерных сетях, при этом полученные копии также обладают этой возможностью.
Троянские программы - вредоносные программы, которые созданы для осуществления несанкционированных пользователем действий, направленных на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей
Вредоносные утилиты - программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т.п.

Слайд 8

Правила именования вредоносных программ

Behavior.Platform.Name[.Variant]
Behavior — определяет поведение детектируемого объекта. Для вирусов и

Правила именования вредоносных программ Behavior.Platform.Name[.Variant] Behavior — определяет поведение детектируемого объекта. Для
червей поведение определяется по способу распространения; для троянских программ и вредоносных утилит — по совершаемым ими действиям; для PUPs — по функциональному назначению детектируемого объекта.
Platform — среда, в которой выполняется вредоносный или потенциально-нежелательный программный код. Может быть как программной, так и аппаратной. Для мультиплатформенных детектируемых объектов используется платформа с названием Multi.
Name — имя детектируемого объекта, позволяет выделять семейства детектируемых объектов.
Variant — модификация детектируемого объекта. Может содержать как цифровое обозначение версии программы, так и буквенное обозначение, начиная с «a»: «a» — «z», «aa» — «zz», ...

Слайд 10

Классификация компьютерных вирусов

По среде обитания вируса
Файловые вирусы
Загрузочные вирусы
Сетевые вирусы
Макро вирусы
Flash-вирусы
По способу заражения
Резидентные

Классификация компьютерных вирусов По среде обитания вируса Файловые вирусы Загрузочные вирусы Сетевые
вирусы
Нерезидентные вирусы
По деструктивным возможностям
Безвредные
Нарушение работоспособности компьютера
Потеря или кража информации
Отказ работы «железа»

Слайд 11

Особенности современных вирусов и алгоритмов их работы

Stealth (стелс, невидимость) – способность вируса

Особенности современных вирусов и алгоритмов их работы Stealth (стелс, невидимость) – способность
заражать файлы скрытно, не давая пользователю повода заподозрить неладное
Polymorph (полиморфизм) – способность вируса шифровать свое тело так, чтобы никакие две копии вируса не были похожи друг на друга
Armored (защита, бронирование) – способность вируса сопротивляться отладке и дизассемблированию
Multipartite (многосторонность) – способность вируса заражать и программы, и загрузочные сектора дисков

Слайд 12

Правовые аспекты. Статья 272 УК РФ

Неправомерный доступ к компьютерной информации
Неправомерный доступ к

Правовые аспекты. Статья 272 УК РФ Неправомерный доступ к компьютерной информации Неправомерный
охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Слайд 13

Правовые аспекты. Статья 273 УК РФ

Создание, использование и распространение вредоносных программ для

Правовые аспекты. Статья 273 УК РФ Создание, использование и распространение вредоносных программ
ЭВМ
Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами- наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

Слайд 14

Правовые аспекты. Статья 274 УК РФ

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или

Правовые аспекты. Статья 274 УК РФ Нарушение правил эксплуатации ЭВМ, системы ЭВМ
их сети
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред,- наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

Слайд 15

Работа файлового вируса

Работа файлового вируса

Слайд 16

Загрузка и выполнение COM-программы

Запускаемой программе отводится вся свободная в данный момент ОП.

Загрузка и выполнение COM-программы Запускаемой программе отводится вся свободная в данный момент
Сегментная часть начального адреса этой памяти обычно называется начальным сегментом программы.
По нулевому смещению в сегменте, определяемом начальным сегментом программы, EXEC строит специальную служебную структуру PSP (Program Segment Prefix), в котором содержится информация,необходимая для правильной работы программы . Заполняет PSP операционная система ( ОС ), а его размер всегда равен 100h ( 256 ) байт .
Сразу вслед за PSP загружается сама COM - программа
EXEC выполняет настройку регистров процессора:
CS = DS = SS = ES указывают на начальный сегмент программы,
регистр IP инициализируется числом 100h
регистр SP инициализируется числом 0fffeh .
Теперь загруженную COM - программу можно исполнить . Для этого EXEC передает управление по адресу CS : 100h.

Слайд 17

Работа вируса в зараженной программе

Восстанавливает в памяти компьютера исходные три байтa зараженной

Работа вируса в зараженной программе Восстанавливает в памяти компьютера исходные три байтa
программы
Ищет на диске подходящий COM - файл
Записывает свое тело в конец этого файла
Заменяет первые три байта заражаемой программы командой перехода на свой код, сохранив предварительно исходные три байта в своей области данных
Выполняет вредные действия, предусмотренные автором
Передает управление зараженной программе . Поскольку в COM - файле точка входа всегда равна CS : 100h, можно не выполнять сложных расчетов, а просто выполнить переход на этот адрес

Слайд 18

Параметры антивирусов

Надежность и удобство работы — отсутствие «зависаний» антивируса и прочих технических

Параметры антивирусов Надежность и удобство работы — отсутствие «зависаний» антивируса и прочих
проблем, требующих от пользователя специальной подготовки.
Качество обнаружения вирусов всех распространенных типов - сканирование внутри файлов-документов/таблиц (MS Word, Excel, Office97), упакованных и архивированных файлов. Отсутствие «ложных срабатываний». Возможность лечения зараженных объектов. Для сканеров (см. ниже), как следствие, важной является также периодичность появления новых версий (апдейтов), т.е. скорость настройки сканера на новые вирусы.
Существование версий антивируса под все популярные платформы (DOS, Windows, Windows95, Windows NT, Novell NetWare, OS/2, Alpha, Linux и т.д.), присутствие не только режима «сканирование по запросу», но и «сканирование на лету», существование серверных версий с возможностью администрирования сети.
Скорость работы и прочие сервисные опции (планировщик, фильтры, встроенная помощь, утилиты и т.п.).
Имя файла: Компьютерные-вирусы.-Основы-антивирусологии.pptx
Количество просмотров: 30
Количество скачиваний: 0