Автор: Пользователь скрыл имя, 18 Декабря 2014 в 23:06, доклад
Компьютерные вирусы - вредоносные самораспространяющиеся программы; основным признаком компьютерного вируса является его способность создавать собственные копии (не всегда похожие на оригинал) и внедрять их в исполняемые объекты (программы, системные области).
Чигир В.С., гр.351001
Компьютерные вирусы
Компьютерные вирусы - вредоносные самораспространяющиеся программы; основным признаком компьютерного вируса является его способность создавать собственные копии (не всегда похожие на оригинал) и внедрять их в исполняемые объекты (программы, системные области).
Вредоносный программный код обычно замаскирован под что-нибудь полезное и выполняет незапланированные либо нежелательные действия, например повреждение данных.
Компьютерный вирус может заразить очень ограниченное число файлов. Перечислим эти файлы. В первую очередь это исполняемые файлы с расширением .com и .ехе, затем - драйверы устройств с расширениями .sys и тем же .ехе. динамические библиотеки (расширение dll).
Существуют вирусы, заражающие пакетные .bat файлы, но эти вирусы крайне примитивны и поступают очень просто: они вставляют в пакетные файлы команды своего вызова. Поймать такие вирусы не представляет труда.
Также могут быть подвергнуты заражению файлы документов и шаблонов редакторов, в которых при открытии документа предусмотрено выполнение макрокоманд. В частности, это .doc и .dot файлы текстового редактора Word, .xls и ,xlt файлы табличного редактора Excel.
Ни при каких условиях не могут быть подвергнуты заражению текстовые (.txt) и графические файлы (.tif, .gif, .bmp и т. п.), файлы данных и информационные файлы.
Заразиться компьютерным вирусом можно только в очень ограниченном количестве случаев:
Компьютер не может быть заражён, если:
Переписывание на компьютер заражённого вирусом файла ещё не означает заражения его вирусом. Чтобы заражение произошло нужно либо запустить заражённую программу, либо подключить заражённый драйвер, либо открыть заражённый документ (либо, естественно, загрузиться с заражённой дискеты).
Не стоит приписывать все сбои в работе оборудования или программ действию компьютерного вируса. Вирус - это обычная программа причём небольшого размера.
Типы вирусов
Вирусы - спутники. Наиболее примитивный тип вирусов. Для каждого файла с расширением .ехе создают файл с тем же именем, но с расширением .com. содержащий тело вируса. При запуске файла операционная система вначале ищет .com файлы, а потом .ехе файлы. Поэтому вначале управление получает вирус, а затем уже он сам вызывает необходимый ехе файл.
Файловые вирусы. Поражают файлы с расширением .com, .ехе, реже .sys или оверлейные модули .ехе файлов. Эти вирусы дописывают своё тело в начало, середину или конец файла и изменяют его таким образом, чтобы первыми получить управление. Некоторые из этих вирусов не заботятся о сохранение заражаемого файла, в результате чего он оказывается неработоспособным; и, что самое печальное, такой файл нельзя восстановить. Часть этих вирусов остаётся в памяти резидентно.
Загрузочные вирусы. Поражают загрузочные сектора дисков. Инфицирование новых дисков происходит в тот момент, когда в заражённый компьютер вставляют новую дискету и начинают с ней работать. Часто вирус не помешается целиком в загрузочной записи, туда пишется только его начало, а продолжение тела вируса сохраняется в другом месте диска. После запуска остаются в памяти резидентно.
Вирусы, сочетающие в себе свойства файловых и загрузочных вирусов. Такие вирусы могут поражать как файлы, так и загрузочные сектора.
Вирусы DIR*. Интересный класс вирусов, появившийся недавно. Эти вирусы изменяют файловую систему диска очень хитрым образом. В таблице размещения файлов (FAT) для всех исполняемых файлов ссылки на начало заменяются ссылками на тело вируса. Адреса же начала файлов в закодированном виде помещаются в неиспользуемые элементы директории. В результате, как только вы запускаете любую программу, управление автоматически получает вирус. Он остаётся в памяти резидентно и при работе восстанавливает правильные ссылки на начала файлов. Если диск, заражённый вирусом DIR, попадает на чистый компьютер, считать с него данные, естественно, оказывается невозможным (читается только один кластер). При попытке протестировать файловую структуру - скажем Norton Disk Doctor - на экран выдаётся сообщение об огромном количестве ошибок, но стоит запустить хоть одну программу с заражённого диска, как файловая система тут же "восстанавливается".На самом же деле происходит инфицирование ещё одного компьютера.
Макровирусы. Весьма оригинальный класс вирусов (хотя вирусами в полном смысле этого слова их даже нельзя назвать), заражающий документы, в которых предусмотрено выполнение макрокоманд. При открытии таких документов вначале исполняются макрокоманды (специальные программы высокого уровня), содержащиеся в этом документе, -макровирус как раз ипредставляет собой такую макрокоманду. Таким образом, как только будет открыт заражённый документ,вирус получит управление и совершит все вредный действия (в частности, найдёт и заразит ещё не заражённые документы).
Механизмы защиты вирусов от обнаружения
Как правило вирусы легко обнаруживаются по особым участкам кода тела вируса. Правда, в последнее время широкое распространение получили два новых типа вирусов - вирусы-невидимки (или стелс-вирусы) и самомодифицирующиеся вирусы (вирусы-призраки).
Стелс-вирусы (от английского stealth - Стелс-вирус - вирус, тем или иным способом скрывающий свое присутствие в системе.) реализуют очень хитрый механизм, затрудняющий их обнаружение. При заражении эти вирусы остаются в памяти резидентно и при обращении к заражённым файлам и областям диска подменяют информацию так, что "заказчик" получает её в незаражённом, исходном виде. Достигается это перехватыванием обращений DOS и установкой своих векторов прерываний. Увидеть такой вирус можно либо на незаражённом компьетере (например, загрузившись с заведомо чистой дискеты), либо в том случае, когда программа не пользуется средствами DOS а напрямую обращается к диску.
Вирусы-призраки маскируются с помощью другого механизма. Эти вирусы постоянно модифицируют себя таким. образом', что не содержат одинаковых фрагментов. Такие вирусы хранят своё тело в закодированном виде и постоянно меняют параметры этой кодировки. Стартовая же часть, занимающаяся декодированием непосредственно самого тела, может генерироваться весьма сложным способом. При переносе вируса данного типа с компьютера на компьютер код вируса изменяется таким образом, что уже не имеет ничего общего со своим предыдущим вариантом. А часть вирусов может самомодифицироваться и в пределах одного компьютера. Обнаружение таких вирусов весьма осложнено, хотя часть антивирусных программ пытается находить их по участкам кода, характерным для стартовой части.
Хакерство
Вернемся на полвека назад, в 1960-е годы, когда ЭВМ постепенно стали проникать в нашу жизнь. Хакерство началось еще тогда, с попыток использовать технику не по назначению. Например, чтобы запустить на ней тобой же написанную игру. В те времена понятие «хакер» — это очень увлеченный человек, пытающийся сделать с системой что-то нестандартное. Доступ к компьютерам ведь был в основном у сотрудников университетов, причем процессорного времени каждому выделялось не так уж много. Тебе, буквально, позволялось поработать с вычислительной машиной всего несколько часов в неделю, по строгому расписанию. Но даже в таких условиях людям удавалось выкраивать время на эксперименты. Хакерам того времени было интересно не просто решить какую-то вычислительную задачу, они хотели понять, как устроена и работает машина. Культура хакерства вышла из очень увлеченных людей.
В 70-е хакерство окончательно
сформировалось как попытка «поиграть»
с информационной системой, обходя ее
ограничения. Интернета тогда еще не было,
но уже была телефония. Поэтому появилось
такое явление как фрикинг. Отцом фрикинга
считается Джон Дрейпер, известный под
ником «Капитан Кранч». Однажды он нашел
в пачке кукурузных хлопьев «Captain Crunch»
подарок — свисток. Телефонные линии в
то время были аналоговыми и телефонные
аппараты общались друг с другом посредством
обмена тоновыми сигналами. Оказалось,
что тональность обнаруженного Дрейпером
свистка совпадает с тоном, используемым
телефонным оборудованием для передачи
команд. Фрикеры (так назвали энтузиастов
«игр» с АТС) стали при помощи свистков
эмулировать систему команд и бесплатно
дозванивались из уличных телефонов в
соседние города и штаты. Следующим шагом
стало создание «blue box» — аппарата, эмулировавшего
все те же тоновые команды. Он позволял
не только дозваниваться до нужных номеров,
но и пользоваться секретными служебными
линиями. Подав сигнал на частоте 2600 Гц
можно было перевести телефонные системы
в административный режим и дозвониться
на недоступные обычному человеку номера,
например в Белый Дом. Развлечение продолжалось
до конца 80-х, когда популярной газете
была опубликована большая статься о «blue
box», которая привлекла к фрикерам внимание
полиции. Многие фрикеры, в том числе и
сам Дрейпер, были арестованы. Позже все
же удалось разобраться, что делали они
это все не ради денег, а скорее из спортивного
интереса и баловства. В то время в уголовном
кодексе просто не существовало никаких
статей, относящихся к мошенничеству с
информационными системами, так что вскоре
все фрикеры были отпущены на свободу.
В 80-е годы слово «хакер»
впервые получило негативный оттенок.
В сознании людей уже стал формироваться
образ хакера как человека, который может
делать что-то незаконное для получения
прибыли. В 1983 году на обложке Newsweek появился
один из основателей хакерской группы
«414s», ставшей известной благодаря серии
взломов серьезных компьютерных систем.
У хакеров появляются и собственные журналы
и другие способы обмена информации.
В эти же годы власти
западных стран начинают формировать
законы, связанные с компьютерной безопасностью.
Впрочем, масштаб, конечно, не идет ни в
какое сравнение с сегодняшним днем. Так,
много шума случилось вокруг дела Кевина
Поулсена, который, благодаря своим фрикерским
навыкам, первым дозвонился в эфир радиостанции
KIIS-FM, что позволило ему выиграть автомобиль
Porsche в рамках проходящего конкурса. По
сравнению с современными атаками, которые
позволяют уводить со счетов миллионы
долларов — это просто мелочь, но тогда
эта история вызвала очень большой резонанс.
Девяностые – это эра
активного развития интернета, в это же
время за хакерством окончательно закрепляется
криминальный оттенок. На протяжении девяностых
дважды был осужден один из самых знаменитых
хакеров двадцатого века — Кевин Митник,
взломавший внутреннюю сеть компании
DEC. Персональные компьютеры уже стали
относительно доступны простым людям,
при этом о безопасности никто особенно
не задумывался. Появлялось огромное количество
готовых программ, с помощью которых можно
было взламывать пользовательские компьютеры,
не имея каких-то серьезных технических
навыков и способностей. Чего стоит только
известная программа winnuke, которая позволяла
отправить Windows 95/98 в «синий экран» путем
отправки одного-единственного IP-пакета.
Вообще, девяностые считаются золотыми
годами темных хакеров: возможностей для
мошенничества полно, компьютерные системы
соединены через интернет, а серьезных
механизмов безопасности в массовых ОС
в эти годы еще нет.
Еще одна отличительная
особенность девяностых — огромное количество
голливудских фильмов «про хакеров» как
иллюстрация того факта, что взлом компьютерных
систем постепенно становится «обыденной
диковинкой» для широких масс. Помните,
почти в каждом таком фильме обязательно
фигурировал какой-нибудь вирус, который
взрывал мониторы ;). Может быть, именно
из-за киноиндустрии у пользователей в
голове сложился стереотип «безопасность
— это вирусы», что, конечно, помогло многим
антивирусным компаниям сделать свое
состояние.
В 2002 году Билл Гейтс
написал своим сотрудникам в компании
«Микрософт» письмо о том, что ситуацию
нужно исправлять, и пора начинать разрабатывать
ПО с оглядкой на безопасность. Данная
инициатива получила название «Trustworthy
computing», и развивается она до сих пор. Начиная
с Windows Vista эта идея начала воплощаться
в жизнь. Количество уязвимостей в ОС от
«Микрософт» заметно снизилось, эксплойты
под них все реже появляются в публичном
доступе. Как ни удивительно это звучит,
но с точки зрения подхода к безопасности
последние версии Windows гораздо надежнее
других распространенных операционных
систем. Так, в OS X только в последнее время
стали появляться механизмы, которые затрудняют
эксплуатацию уязвимостей.
Нулевые годы нашего
века. Цифровой криминал выходит на новый
уровень. Каналы связи стали толще, стало
проще совершать массированные DDoS-атаки.
Никто уже не занимается взломом компьютерных
систем просто ради удовольствия, это
многомиллиардный бизнес. Расцветают
ботнеты: огромные системы, состоящие
из миллионов зараженных компьютеров.
Другой характерной
особенностью последнего десятилетия
является тот факт, что фокус атакующего
сместился на пользователя, на его персональный
компьютер. Системы становятся сложнее,
современный браузер — это уже не просто
программа, которая умеет рендерить HTML,
показывать текст и картинки. Это очень
сложный механизм, полноценное окно в
интернет. Почти никто уже не пользуется
отдельными мессенджерами и почтовыми
клиентами, все взаимодействие с интернетом
происходит именно через браузер. Неудивительно,
что один из основных методов заражения
пользователей в наш дни — drive-by-downloads —
происходит как раз при помощи браузера.
Конечно, в современных браузерах стали
появляться механизмы борьбы с этим, пользователей
стараются предупреждать, что посещаемый
сайт может быть опасен. Но браузер по-прежнему
остается одним из основных посредников
при заражении пользовательских машин.
Еще один большой канал
распространения вредоносных программ
— мобильные устройства. Если в официальных
магазинах приложений программы хоть
как-то проверяют на вредоносность, то
из неофициальных источников можно занести
на свой девайс практически все, что угодно.
Да и вообще безопасность мобильных устройств
сейчас — довольно молодая и немного сумбурная
отрасль, что связано с той скоростью,
с которой современные мобильные платформы
ворвались в нашу жизнь.
Давайте подведем итог
о том, что такое хакерство сегодня, и что
нам стоит ожидать в ближайшем будущем.
В начале двухтысячных, если обнаруживалась
какая-нибудь уязвимость в Windows, практически
сразу в свободном доступе появлялся эксплойт,
который позволял получить контроль на
пользовательским компьютером. Тогда
над монетизацией уязвимостей практически
не задумывались. Конечно, были программы,
которые воровали данные пользователей,
уводили компьютеры в ботнеты, но сами
уязвимости, приводящие к компрометации
компьютера, было относительно просто
эксплуатировать, а значит, написать эксплоит.
Примерно последние пять лет найти в публичном
доступе рабочий эксплоит для недавно
обнаруженной уязвимости стало очень
непросто. Теперь это огромный бизнес.
Ведь написать эксплоит для уязвимости
в системе, в которой внедрены механизмы
вроде DEP и ASLR, значительно сложнее.
Последние годы также
показывают, что всех нас ждут проблемы
безопасности так называемого «интернета
вещей». Компьютеры с доступом в интернет
сейчас все чаще в том или ином виде присутствуют
в самых разнообразных бытовых и медицинских
приборах, а также автомобилях. И уязвимости
в них точно такие же, как в обычных компьютерах.
Исследования по взлому привычных нам
вещей становятся популярной темой на
ведущих мировых конференциях по безопасности.
Ведь если злоумышленники начнут пользоваться
такими уязвимостями, это будет представлять
серьезную опасность для здоровья и жизни
пользователей. Тем важнее становится
роль специалиста по безопасности.