Вирусы и средства борьбы с ними

Самоучитель по программированию систем защиты

Операционная система Windows NT и ее следующий представитель Windows 2000, благодаря своим современным принципам построения, защищенности, гибкости, а также встроенной сетевой поддержке и мощным сетевым возможностям, получила широкое распространение. Поэтому встает насущная проблема реализации систем защиты, которые могли бы встраиваться в ОС Windows NT, расширяя ее возможности и обеспечивая функции защиты сетевой информации.
Отметим сразу, что базовая архитектура ядра ОС Windows NT практически не изменилась при переходе к Windows 2000, поэтому почти все, что описано в этой книге верно как для ОС Windows NT, так и для Windows 2000.

Введение
Что такое драйвер
Общая архитектура Windows NT
Объектная модель
Сетевая архитектура Windows NT
Анализ сетевой архитектуры
Общие вопросы обеспечения безопасности в операционной среде Windows NT/2000

Вирусы и средства борьбы с ними

Pervading Animal (конец 60-х - начало 70-х) — так назывался первый известный вирус-игра для машины Univac 1108. С помощью наводящих вопросов программа пыталась определить имя животного, задуманного играющим. Благодаря наличию функции добавления новых вопросов, когда модифицированная игра записывалась поверх старой версии плюс копировалась в другие директории, через некоторое время диск становился переполненным.
Первый сетевой вирус Creeper появился в начале 70-х в военной компьютерной сети Arpanet3), прототипе Интернет. Программа была в состоянии самостоятельно выйти в сеть через модем и сохранить свою копию на удаленной машине. На зараженных системах вирус обнаруживал себя сообщением: "I'M THE CREEPER : CATCH ME IF YOU CAN". Для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper. По сути это был вирус, выполнявший некоторые функции, свойственные антивирусу: он распространялся по вычислительной сети и в случае обнаружения тела вируса Creeper уничтожал его.

Первые вирусы
Возможности первых вирусов были сильно ограничены малой функциональностью существующих на тот момент вычислительных машин. Только в конце семидесятых, вслед за выпуском нового поколения персональных компьютеров Apple (Apple II) и впоследствии IBM Personal Computer (1981 год), стали возможны вирусные эпидемии. Появление BBS (Bulletin Board System) обеспечило быстрый обмен информацией между даже самыми отдаленными точками планеты.

Результат Фреда Коэна
Когда говорят о компьютерных вирусах, всегда подразумевают некий класс программ, обладающих определенными свойствами. Кроме того, для каждого нового вируса существует некая процедура согласно которой антивирусные эксперты решают - вирус это или нет, прежде чем вносить его сигнатуру в вирусную базу

Практическое определение вируса
Определение компьютерного вируса — исторически проблемный вопрос, поскольку достаточно сложно дать четкое определение вируса, очертив при этом свойства, присущие только вирусам и не касающиеся других программных систем. Наоборот, давая жесткое определение вируса как программы, обладающей определенными свойствами, практически сразу же можно найти пример вируса, таковыми свойствами не обладающего.

Технологии обнаружения вирусов
Сигнатурный анализ - метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов. Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.

Возможные схемы защиты
Прежде чем говорить о том, с какими угрозами способен справиться обобщенный антивирус на шлюзе, необходимо остановиться на имеющихся реализациях подобных антивирусов, поскольку из ограничений реализации будут следовать и ограничения на защиту от разного рода угроз.

Методические указания к лабораторной работе
Антивирус Касперского для MS ISA-серверов выполняет функции фильтра, который перехватывает данные, передаваемые по протоколам HTTP и FTP, выделяет из них контролируемые объекты, анализирует их на наличие вирусов и блокирует проникновение в локальную сеть зараженных файлов и веб-документов.

Требования к антивирусному комплексу для проверки почтового потока
Общие требования — требования, которые диктует жизненная необходимость - продукт должен быть дешевым, надежным, быстрым и пр. Все параметры, которые могут быть перечислены в этом разделе, относятся и к другим антивирусным комплексам, да и вообще ко всему, разрабатываемому с целью дальнейшего использования.Требования к основному функционалу. Требования к основному функционалу следует также разделить на две части - собственно, функционал комплекса и функционал его антивирусной составляющей.

Архитектура Сервера безопасности
Перехватчик почтовых сообщений - осуществляет перехват объектов, поступающих на Microsoft Exchange Server, и направляет их в подсистему антивирусной проверки. Компонент встраивается в процессы Microsoft Exchange Server по технологии VSAPI 2.0 и 2.5.Подсистема антивирусной проверки - осуществляет антивирусную проверку объектов. Компонент представляет собой несколько процессов, в каждом из которых находится по одному антивирусному ядру.



Основные требования к системе администрирования
В данном случае требования можно сформулировать еще до обзора условий эксплуатации и применяемых технологий, поскольку в принципе требования к системе администрирования являются обобщением требований к управлению, обновлению и диагностике отдельных антивирусных комплексов

Системные задачи проверки по требованию (5 задач)
Обновление сигнатур угроз и модулей приложения - задача, выполняющая загрузку новых версий антивирусных баз, антиспамовых баз, списков потенциально опасных интернет ресурсов, сигнатур сетевых атак и модулей приложения с серверов обновления Лаборатории Касперского. Может выполнять копирование сигнатур угроз и модулей приложения в указанный локальный или сетевой каталог для ретрансляции обновлений в пределах локальной сети.Откат обновления - задача отката к предыдущей версии сигнатур угроз.

Установка Сервера администрирования
Развертывание Kaspersky Administration Kit начинается с установки центрального элемента системы управления - Сервера администрирования. Прежде чем приступать к установке Сервера администрирования, следует учесть ряд требований к окружению.

Добавление подчиненного Сервера администрирования
В окне Адрес Сервера администрирования можно указать адрес подчиненного Сервера, но можно этого и не делать. Во втором случае изменения будут внесены только в настройки главного Сервера администрирования и для завершения подключения потребуется менять также настройки подчиненного Сервера администрирования. Если же указать адрес, то добавление можно завершить в рамках работы мастера.

Сетевые черви
Червь (сетевой червь) - тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных систем, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, осуществлению иного вредоносного воздействия

Компьютерный вирус - понятие и классификация

Компьютерный вирус - это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может "приписывать" себя  к другим  программам ("заражать" их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д.,  а  также  выполнять различные  нежелательные действия  на компьютере.

Продолжение

Искусство обмана

Некоторые хакеры стирают чужие файлы или целые жёсткие диски; их называют кракерами или вандалами. Некоторые из хакеров?новичков не заботятся об изучении технологии, они просто скачивают хакерский инструмент для взлома компьютерных систем; их называют script kiddies. Более опытные хакеры с навыками в программировании разрабатывают хакерские программы и рассылают их по сети и ББСкам. И ещё, есть индивидуумы, которые не интересуются технологией, они просто используют компьютер для захвата чужих денег, товаров или услуг. Не смотря на миф о Кевине Митнике, созданный медиа, я не злонамеренный хакер. То, что я делал, даже не было противозаконно, когда я это начал, но стало преступлением после принятия нового законодательства. Я всё равно продолжал это делать и был пойман. Моя тяжба с правительством была основана не на преступлениях, а на создании из моего случая прецедента. Я не заслужил, чтобы меня преследовали как террориста или опасного преступника: обыскивали мою квартиру с неподписанным ордером; сажали в одиночную камеру на целые месяцы; отказывали в фундаментальных конституционных правах, гарантированных любому преступнику; отказывали не только в залоге, но и в слушании залога; и годами бороться, чтобы получить правительственные улики, чтобы мои адвокаты смогли подготовиться к моей защите.

От телефонного фрикинга к хакингу
Исскуство дружелюбного убеждения