Модели и методы антивирусной защиты на основе контроля штатного функционирования системного ПО

Военно-космическая  академия имени А.Ф. Можайского

 

 

 

 

курсовое проектирование по дисциплине

«Защита информации вычислительных комплексов и сетей»

 

ТЕМА:

Модели и методы антивирусной защиты на основе контроля штатного функционирования системного ПО

 

 

 

                                  Выполнил: курсант 673 учебной группы

ефрейтор Лукашев А.В.

 

Проверил: старший преподаватель 63 кафедры

подполковник Егоров М.В.

 

 

 

Санкт – Петербург

2012 год

Содержание

1. Введение……………………………………………………………….……….3
2. Компьютерные вирусы, их свойства и классификация………......................6
1. . Свойства компьютерных вирусов ...…………...………………………7
2. . Классификация компьютерных вирусов ……………….……………..8
3. Методы защиты от компьютерных вирусов..……………………..………..10
1. . Сканирование…………………………………………………………..11
2. . Обнаружение изменений, или контроль целостности……………....12
3. . Эвристический анализ…………………………………………………13
4. . Метод резидентного сторожа…………………………………………13
5. . Вакцинирование программ………………………………………...….13
4. Типы антивирусных средств………………………………………………..14

4.1. Программы-детекторы………………………………………………...14

4.2. Программы-мониторы………………………………………………....16

4.3. Программы-ревизоры……………………………………………….....19

5. Защита на основе штатного функционирования…………………….……21

5.1. Защита от сторонних процессов……………………………………...25

5.2 Защита от атак со стороны санкционированных процессов ………..29

6. Заключение……… …………………………………………………………41
7. Литература…………………………………………………………………..43

 

 

1. Введение

Чтобы эффективно бороться с вирусами, необходимо иметь представление  о «привычках» вирусов и ориентироваться  в методах противодействия вирусам. Вирусом называется специально созданная  программа, способная самостоятельно распространяться в компьютерной среде. Если вирус попал в компьютер  вместе с одной из программ или  с файлом документа, то через некоторое  время другие программы или файлы  на этом компьютере будут заражены. Если компьютер подключен к локальной  или глобальной сети, то вирус может  распространиться и дальше, на другие компьютеры. Авторы вирусных программ создают их из разных побуждений, однако результаты работы вирусов оказываются, как правило, схожими: инфекции портят программы и документы, находящиеся  на компьютере, что часто приводит к их утрате. Некоторые вирусы способны уничтожать вообще всю информацию на дисках компьютеров, стоимость которой  может в десятки и сотни  раз превышать стоимость самого компьютера.

 Для защиты от вирусов  можно использовать:

 – общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;

 – профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

 –  специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вируса.  
Имеются две основные разновидности этих средств: 

  –  копирование информации – создание копий файлов и системных областей дисков; 

 – разграничение доступа  предотвращает несанкционированное  использование информации, в частности,  защиту от изменений программ  и данных вирусами, неправильно  работающими программами и ошибочными  действиями пользователей. 

Существуют три рубежа защиты от компьютерных вирусов:

- предотвращение поступления вирусов;

- предотвращение вирусной атаки, если вирус все-таки поступил на ПК;

- предотвращение разрушительных последствий, если атака все-таки произошла.

Существуют три метода реализации защиты:

- Программные методы защиты;

- Аппаратные методы защиты;

- Организационные методы защиты.

Большинство антивирусных средств защиты содержат в своей основе механизмы контроля (контроль сигнатур и поведенческие анализаторы). Вместе с тем, известно, что основу эффективной защиты информации составляет реализация разграничительной политики доступа к ресурсам, механизмы контроля (например, контроля целостности) здесь вторичны, как правило, они используются в том случае, когда невозможно корректно решить задачу механизмами разграничения прав доступа к ресурсам. И это вполне объяснимо, механизмы контроля не только очень ресурсоемки, но и в принципе не могут эффективно решить задачу защиты. Например, возьмите современные сигнатурные анализаторы. Во-первых, они могут обнаруживать лишь известные вирусы (вирусы, для которых разработчиками выявлена сигнатура) – о какой же эффективности защиты при этом можно говорить.

Группы  оперативного  реагирования  на  чрезвычайные  ситуации  в  компьютерной области  (AusCERT)  утверждает,  что  распространенные  антивирусные  приложения блокируют  лишь около 20 процентов недавно появившихся  вредоносных программ. При этом популярные антивирусы пропускают  до  80  процентов новых троянов, шпионов  и других вредоносных программ. Это  означает, что в восьми из десяти  случаев  недавно  появившийся  вирус  может  проникнуть на  компьютер  пользователя».

Во-вторых, базы сигнатур уже  давно «перевалили» за сотни тысяч. Если контроль только системного диска  может составлять несколько часов, как часто мы будем использовать такое средство? Что же в результате мы имеем, с одной стороны, нет никакой гарантии выявить вновь созданный вирус, с другой стороны, не понятно, как использовать – редко бессмысленно, часто невозможно. Главное, что все это понимают, но мало, что «на деле» меняется – проблема эффективной антивирусной защиты и по сей день остается одной из ключевых проблем информационной безопасности.

Наверное, давно назрела необходимость в использовании принципиально иных подходов к антивирусной защите. Об одном из таких апробированных подходов и пойдет речь в данной работе.

 

2. Компьютерные вирусы, их свойства и классификация

Компьютерные вирусы – это программы, которые умеют воспроизводить себя в нескольких экземплярах, возможно, приписываясь к другим программам, и, возможно, совершать некоторые побочные действия.

При заражении компьютера вирусом очень важно своевременно его обнаружить. Для этого следует  знать об основных признаках проявления вирусов:

-  мерцание экрана.

-  медленная работа компьютера.

-  появление на экране непредусмотренного сообщения.

-  блокировка ввода с клавиатуры.

-  изменение размеров файла, даты создания программ.

-  значительное увеличение файлов на диске.

-  частые зависания и сбои в работе компьютера.

-  уничтожение файлов или частичное разрушение.

-  блокировка записи на жесткий диск.

Особенно опасным для  пользователя является такое действие вируса, как форматирование жесткого диска, что может привести к быстрой  потере всей хранящейся там информации. Поскольку от проникновения вируса не застрахован ни один пользователь, то можно сократить возможные  последствия от присутствия в  компьютере вируса. Для этого необходимо соблюдать некоторые правила:

 

- Каждый свой носитель, если он «побывал» на другом компьютере, следует проверить любой антивирусной программой. Программы такого рода могут не только обнаружить вирус, но и «вылечить» носитель.

- Аналогичные проверки необходимо устраивать для файлов, полученных через сеть.

- Антивирусные программы необходимо периодически обновлять, так как они очень быстро стареют.

- При работе с электронной почтой не открывать файлы если тема письма и само письмо пустые, удалять все подозрительные файлы.

-  Не следует заниматься нелицензионным и нелегальным копированием программного обеспечения с других компьютеров.

2.1 Свойства компьютерных вирусов

Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность  для опасности, которая получила название компьютерного вируса.

Прежде всего, вирус - это  программа. Такое простое утверждение  само по себе способно развеять множество  легенд о необыкновенных возможностях компьютерных вирусов. Вирус может  перевернуть изображение на вашем  мониторе, но не может перевернуть  сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством  вывода на экран смертельной цветовой  гаммы 25-м кадром» также не стоит  относиться серьезно. К сожалению, некоторые  авторитетные издания время от времени  публикуют «самые свежие новости  с компьютерных фронтов», которые при ближайшем  рассмотрении оказываются следствием не вполне ясного понимания предмета.

 Вирус - программа,  обладающая способностью к самовоспроизведению.  Такая способность является единственным  средством, присущим всем типам  вирусов. Но не только вирусы  способны к самовоспроизведению.  Любая операционная система и  еще множество программ способны  создавать собственные копии.  Копии же вируса не только  не обязаны полностью совпадать  с оригиналом, но, и могут вообще  с ним не совпадать!

Вирус не может существовать в «полной изоляции»: сегодня  нельзя представить себе вирус, который  не использует код других программ, информацию о файловой структуре  или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.

2.2 Классификация  вирусов

В настоящее время известно более 5000 программных вирусов, их можно  классифицировать по  следующим  признакам:

-     среде обитания

-     способу заражения среды обитания

-     воздействию

-     особенностям алгоритма

В зависимости от среды  обитания вирусы можно разделить  на сетевые, файловые, загрузочные и  файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным  образом в исполняемые модули, т. е. в файлы, имеющие расширения  COM  и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения  вирусы делятся на резидентные и  нерезидентные. Резидентный вирус  при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая  потом перехватывает обращение  операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в  памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными  ограниченное время.

По степени воздействия  вирусы можно разделить на следующие  виды:

-     неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

-     опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

-   очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма  вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут  быть достаточно легко обнаружены и  уничтожены.

 

 Можно отметить вирусы-репликаторы,  называемые червями, которые распространяются  по компьютерным сетям, вычисляют  адреса сетевых компьютеров и  записывают по этим адресам  свои копии. 

Известны вирусы-невидимки, называемые стелс-вирусами, которые  очень трудно обнаружить и обезвредить, так как они перехватывают  обращения операционной системы  к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря  которым копии одного и того же вируса не имеют ни одной повторяющейся  цепочки байтов. Имеются и так  называемые квазивирусные или «троянские»  программы, которые  хотя и не способны к самораспространению, но очень  опасны, так как, маскируясь под полезную программу, разрушают загрузочный  сектор и файловую систему дисков.

3. Методы защиты  от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов. Для защиты от вирусов можно использовать:

-  общие средства защиты информации, которые полезны и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;