Студопедия
Новини освіти і науки:
Контакти
 


Тлумачний словник






Загальна характеристика і класифікація комп'ютерних вірусів

МЕТОДИ І ЗАСОБИ ЗАХИСТУ ПРОГРАМ ВІД КОМП'ЮТЕРНИХ ВІРУСІВ

РОЗДІЛ 2. ЗАБЕЗПЕЧЕННЯ ЕКСПЛУАТАЦІЙНОЇ БЕЗПЕКИ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ

Під комп'ютерним вірусом (або просто вірусом) розуміється автономно функціонуюча програма, що володіє здібністю до самостійного впровадження в тіла інших програм і подальшого самовідтворення і саморозповсюдження в інформаційно-обчислювальних мережах і окремих ЕОМ. Попередниками вірусів прийнято вважати так звані троянські програми, тіла яких містять приховані послідовності команд (модулі), що виконують дії, що завдають шкоди користувачам. Найбільш поширеним різновидом троянських програм є широко відомі програми масового застосування (редактори, ігри, транслятори і т.д.), в які вбудовані так звані "логічні бомби", що спрацьовують після настання деякої події. Слід зазначити, що троянські програми не є такими, що саморозмножуються.

Принципова відмінність вірусу від троянської програми полягає в тому, що вірус після його активізації існує самостійно (автономно) і в процесі свого функціонування заражає (інфікує) програми шляхом включення (імплантації) в них свого тексту. Таким чином, комп'ютерний вірус можна розглядати як своєрідний "генератор троянських програм". Програми, заражені вірусом, називаються вірусоносіями.

Зараження програми, як правило, виконується таким чином, щоб вірус отримав управління раніше самої програми. Для цього він або вбудовується в початок програми, або імплантується в її тіло так, що першою командою зараженої програми є безумовний перехід на комп'ютерний вірус, текст якої закінчується аналогічною командою безумовного переходу на команду вірусоносія, що була першою до зараження. Отримавши управління, вірус вибирає наступний файл, заражає його, можливо, виконує які-небудь інші дії, після чого віддає управління вірусоносію.

"Первинне" зараження відбувається в процесі надходження інфікованих програм з пам'яті однієї машини в пам'ять іншої, причому як засіб переміщення цих програм можуть використовуватися як магнітні носії (дискети), так і канали обчислювальних мереж. Віруси, що використовують для розмноження мережеві засоби, прийнято називати мережевими. Цикл життя вірусу зазвичай включає наступні періоди: впровадження, інкубаційний, реплікації (саморозмноження) і прояву. Протягом інкубаційного періоду вірус пасивний, що ускладнює задачу його пошуку і нейтралізації. На етапі прояву вірус виконує властиві йому цільові функції, наприклад незворотну корекцію інформації в комп'ютері або на магнітних носіях.

Фізична структура комп'ютерного вірусу достатньо проста. Він складається з голови і, можливо, хвоста. Під головою вірусу розуміється його компонента, що одержує управління першою. Хвіст - це частина вірусу, розташована в тексті зараженої програми окремо від голови. Віруси, що складаються з однієї голови, називають несегментованими, тоді як віруси, що містять голову і хвіст, - сегментованими.

Найбільш істотні ознаки комп'ютерних вірусів дозволяють провести наступну їх класифікацію.

По режиму функціонування:

  • резидентні віруси - віруси, які після активізації постійно знаходяться в оперативній пам'яті ком'ютера і контролюють доступ до його ресурсів;
  • транзитні віруси - віруси, які виконуються тільки у момент запуску зараженої програми.

По об'єкту впровадження:

  • файлові віруси - віруси, що заражають файли з програмами;
  • завантажувальні (бутові) віруси - віруси, що заражають програми, які зберігаються в системних областях дисків.

У свою чергу файлові віруси діляться на віруси, що заражають:

  • виконувані файли;
  • командні файли і файли конфігурації;
  • файли, створені на макромовах програмування, або файли, що містять макроси (макровіруси);
  • файли з драйверами пристроїв;
  • файли з бібліотеками вихідних, об'єктних, завантажувальних і оверлейних модулів, бібліотеками динамічної компоновки і т.п.

Завантажувальні віруси діляться на віруси, що заражають:

  • системний завантажувач, розташований в завантажувальному секторі дискет і логічних дисків;
  • позасистемний завантажувач, розташований в завантажувальному секторі жорстких дисків.

По ступеню і способу маскування:

  • віруси, що не використовують засобів маскування;
  • stealth-віруси - віруси, що намагаються бути невидимими на основі контролю доступу до заражених елементів даних;
  • віруси-мутанти (MtE-віруси) - віруси, що містять в собі алгоритми шифрування, що забезпечують відмінність різних копій вірусу.

MtE-віруси діляться на:

  • звичайні віруси-мутанти, в різних копіях яких розрізняються тільки зашифровані тіла, а дешифровщики співпадають;
  • поліморфні віруси, в різних копіях яких розрізняються не тільки зашифровані тіла, але і їх дешифровщики.

Найбільш поширені типи вірусів характеризуються наступними основними особливостями.

Файловий транзитний вірус цілком розміщується у виконуваному файлі, у зв'язку з чим він активізується тільки у разі активізації вірусоносія, а після виконання необхідних дій повертає управління самій програмі. При цьому вибір чергового файлу для зараження здійснюється вірусом за допомогою пошуку за каталогом. Файловий резидентний вірус відрізняється від нерезидентного логічною структурою і загальним алгоритмом функціонування. Резидентний вірус складається з так званого інсталятора та програм обробки переривань. Інсталятор отримує управління при активізації вірусоносія та інфікує оперативну пам'ять шляхом розміщення в ній керуючої частини вірусу і заміни адрес в елементах вектора переривань на адреси своїх програм, що оброблюють ці переривання. На так званій фазі стеження, наступній за описаною фазою інсталяції, при виникненні якого-небудь переривання управління отримує відповідна підпрограма вірусу. У зв'язку з істотно більш універсальною в порівнянні з нерезидентними вірусами загальною схемою функціонування, резідентні віруси можуть реалізовувати різноманітні способи інфікування.

Найбільш поширеними способами є інфікування програм, що запускаються, а також файлів при їх відкритті або читанні. Відмінною особливістю останніх є інфікування завантажувального сектора (бут-сектора) магнітного носія. Голова бутового вірусу завжди знаходиться в бут-секторі (єдиному для гнучких дисків і одному з двох - для жорстких), а хвіст - в будь-якій іншій області носія. Найбільш безпечним для вірусу способом вважається розміщення хвоста в так званих псевдозбійних кластерах, логічно виключених з числа доступних для використання.

Істотно, що хвіст бутового вірусу завжди містить копію оригінального (вихідного) бут-сектора. Механізм інфікування, що реалізовується бутовими вірусами, наприклад, при завантаженні MS DOS, такий. При завантаженні операційної системи з інфікованого диска вірус, завдяки своєму положенню на ньому (незалежно від того, з дискети або з вінчестера здійснюється завантаження), отримує управління і копіює себе в оперативну пам'ять. Потім він модифікує вектор переривань так чином, щоби переривання, які стосуються звертання до диска оброблялися власним обробником переривань вірусу, і запускає завантажувач операційної системи. Завдяки перехопленню переривань бутові віруси можуть реалізовувати такий же широкий набір способів інфікування і цільових функцій, як і файлові резидентні віруси.

Stealth-віруси користуються слабкою захищеністю деяких операційних систем і замінюють деякі їх компоненти (драйвери дисків, переривання) таким чином, що вірус стає невидимим (прозорим) для інших програм. Для цього замінюються функції DOS таким чином, що для зараженого файлу підставляються його оригінальна копія і зміст, яким вони були до зараження.

Поліморфні віруси містять алгоритм породження дешифровщиків (з розміром породжуваних дешифровщиків від 0 до 512 байтів) несхожих один на одного. При цьому в дешифровщиках можуть зустрічатися практично всі команди процесора Intel і навіть використовуватися деякі специфічні особливості його реального режими функціонування.

Макровіруси розповсюджуються під управлінням прикладних програм, що робить їх незалежними від операційної системи. Переважне число макровірусів функціонують під управлінням системи Microsoft Word for Windows. В той же час, відомі макровіруси, що працюють під управлінням таких прикладних програм як Microsoft Exel for Windows, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes, в операційних системах фірм Microsoft і Apple.

Мережеві віруси, які також називають автономними реплікативними програмами, або, скорочено, реплікаторами, використовують для розмноження засоби мережевих операційних систем. Найпростіше реалізується розмноження в тих випадках, коли мережевими протоколами передбачено обмін програмами. Проте, розмноження можливе і в тих випадках, коли вказані протоколи орієнтовані тільки на обмін повідомленнями. Класичним прикладом реалізації процесу розмноження з використанням тільки стандартних засобів електронної пошти є реплікатор Моріса. Текст реплікатора передається від однієї ЕОМ до іншої як звичайне повідомлення, що поступово заповнює буфер, виділений в оперативній пам'яті ЕОМ-адресата. В результаті переповнення буфера, ініційованого передачею, адреса повернення в програму, що викликала програму прийому повідомлення, заміщається на адресу самого буфера, де в момент повернення вже знаходиться текст вірусу.

Тим самим вірус отримує управління і починає функціонувати на ЕОМ-адресаті.

"Лазівки", подібні описаній вище й обумовлені особливостями реалізації тих або інших функцій в програмному забезпеченні, є об'єктивною передумовою для створення і впровадження реплікаторів зловмисниками.

Ефекти, що викликаються вірусами в процесі реалізації ними цільових функцій, прийнято ділити на наступні групи:

  • спотворення інформації у файлах або таблиці розміщення файлів (FAT-таблиці), яке може призвести до руйнування файлової системи в цілому;
  • імітація збоїв апаратних засобів;
  • створення звукових і візуальних ефектів, включаючи, наприклад, відображення повідомлень, що вводять оператора в оману або утрудняють його роботу;
  • ініціація помилок в програмах користувачів або операційної системи.

Можливе також створення "вірусних черв'яків" - руйнуючих програм, які непомітно переміщуються між вузлами обчислювальної мережі, не завдаючи ніякої шкоди доти, доки не дістануться до цільового вузла. У ньому програма розташовується і перестає розмножуватися.

Оскільки в майбутньому слід чекати появи все більш і більш прихованих форм комп'ютерних вірусів, знищення осередків інфекції в локальних і глобальних мережах не стане простіше. Час комп'ютерних вірусів "загального призначення" йде в минуле.




<== попередня сторінка | наступна сторінка ==>
Елементи моделі загроз експлуатаційній безпеці ПЗ | Загальна характеристика засобів нейтралізації комп'ютерних вірусів

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

 

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.001 сек.