А.И. Куприянов - Основы защиты информации (1022813), страница 49
Текст из файла (страница 49)
7.2.3. Использование СТЕЛС технологии в вирусных программах СТЕЛС вирусы обладают способностью скрывать свое присутствие в системе. Известны СТЕЛС вирусы всех типов за исключе- 226 ':;::,: нием %пк1оюз вирусов: загрузочные вирусы, файловые ООБ вирусы и даже макровирусы. Загрузочные СТЕЛС вирусы для скрытия своего кода исполь':;. зуют два основных способа. Первый способ заключается в том, что вирус перехватывает команды чтения зараженного сектора (ПЧТ 13Ь) и подставляет вместо него незараженный оригинал. Этот спо,', соб делает вирус невидимым для любой программы, включая ан:: тивирусы, не способные лечить оперативную память компьютера.
': Возможен перехват команд чтения секторов на уровне более низ.:: ком, чем 1ХТ 13Ь. Второй способ направлен против антивирусов, подцерживаю,: щих команды прямого чтения секторов через порты контроллера диска. Такие вирусы при запуске любой программы (включая ан:. тивирус) восстанавливают зараженные сектора, а после оконча', ния ее работы снова заражают диск. Поскольку для этого вирусу :. приходится перехватывать запуск и окончание работы программ, :;: то он должен перехватывать также ВОЯ прерывание 1ХТ 21Ь.
С некоторыми оговорками СТЕЛС вирусами можно назвать ви: русы, которые вносят минимальные изменения в заражаемый сектор (например, при заражении МВК правят только активный ад: рес загрузочного сектора — изменению подлежат только 3 байт) : либо маскируются'под код стандартного загрузчика. Большинство файловых СТЕЛС вирусов либо перехватывают :,' ООБ вызовы обращения к файлам (1ИТ 21Ь), либо временно лечат файл при его открытии и заражают при закрытии. Существу': ют файловые вирусы, использующие для своих СТЕЛС функций :, перехват прерываний более низкого уровня — вызовы драйверов : РОЯ, 1ХТ 25Ь и даже 1ХТ 13Ь. Некоторые вирусы используют часть функции полноценного ' СТЕЛС вируса.
Чаще всего они перехватывают функции ООБ Г1пс1Г1гвт и ГикПЧехт (ПЧТ 21Ь, АН ИЬ, 121, 4ЕЬ, 4ГЬ) и уменьшают размер зараженных файлов. Такой вирус невозможно иден:: тифицировать по изменению размеров файлов, если, конечно, :: он резидентно находится в памяти. Программы, которые не обра: щаются к увязанным функциям РОЯ (например, утилиты Хог1оп), , а напрямую используют содержимое секторов, хранящих каталог, : показывают правильную длину зараженных файлов. Реализация СТЕЛС алгоритмов в макровирусах является, на:,. верное, наиболее простой задачей — достаточно всего лишь зап:- ретить вызов меню Г11е/Тетр1атез или Тоо1з/ХМасго. Достигается ::: это либо удалением этих пунктов меню иа списка, либо их заме: ной на макросы Г11еТетр1атев и Тоо1зМасго. Частично СТЕЛС вирусами можно назвать небольшую группу :.
макровирусов, которые хранят свой основной код не в самом мак:; росе, а в других областях документа: в его переменных или в ';. Ааотех1. 227 7.3. Программные средства борьбы с вирусами К настоящему времени разработана довольно широкая и полная система программных средств борьбы с вирусами ~1Ц. Это программы-фаги (сканеры), программы-ревизоры, программы- мониторы, программы-вакцины (иммунизаторы).
Самыми популярными и эффективными антивирусными программами считаются антивирусные фаги (иначе эти программы называются сканерами или полифагами) и ревизоры (СКС сканеры). Часто обе приведенные разновидности объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Реже используют различного типа мониторы (блокировщики) и вакцины (иммунизаторы). Следует, однако, иметь в виду, что, в принципе, нельзя создать универсальное и абсолютно надежное средство борьбы со всеми существующими и будущими вирусами. Программы-фагн. Принцип работы антивирусных программфагов (сканеров) основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов.
Для поиска известных вирусов используются маски или, как их еще называют, сигнатуры — некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы.
Например, перебор всех возможных вариантов кода вирусов. Этот способ эффективно используется для детектирования полиморфных вирусов. Во многих полифагах используются алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие мягкого решения («возможно, заражен» или «не заражен») для каждого проверяемого объекта.
К достоинствам сканеров относится их универсальность, к недостаткам — низкая скорость сканирования, а также необходимость постоянного обновления антивирусных баз. Принцип работы типичного алгоритма сканирования сводится к следующему. После загрузки с дискеты, на которой операционная система гарантированно свободна от вируса, программа проверяет дерево каталогов диска, логическое имя которого указывается в виде параметра при запуске. При нахождении '.ехе или '.сот модуля проверяется его длина.
Если длина модуля больше 4 Кбайт, в теле программы ищется сигнатура вируса по соответствующему смещению. Если вирус найден, восстанавливаются скрытые в теле вируса байты начала модуля, после чего длина файла уменьшается на длину вируса и вирус удаляется из зараженного модуля.
После этого восстанавливаются исходные время и дата создания файла. 228 Программы-ревизоры. Они подсчитывают контрольные суммы для присутствующих на диске файлов и системных секторов. Эти суммы сохраняются в базе данных антивируса вместе с некоторой другой информацией: размерами файлов, датами их последней модификации и т.п. При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, ревизоры сигнализируют о том, что файл был изменен или заражен вирусом. Ревизоры, использующие антиСТЕЛС алгоритмы, являются , довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления в компьютере.
Существенным недостатком таких средств ", борьбы с вирусами является то, что программы-ревизоры распознают наличие вируса в системе уже после его распростране: ния. Кроме того, они не распознают вирусы в новых, только что полученных или записанных файлах, поскольку в их базах дан:::. ных отсутствует информация об этих файлах. Периодически по. являются вирусы, которые используют эту слабость ревизоров, заражая только вновь создаваемые файлы. Такие вирусы остают- ся невидимыми Программы-мониторы. Антивирусные мониторы — это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об их возникновении.
К вирусоопасным относятся вызовы на открытие для записи в выполняемых файлах, запись в . загрузочные секторы дисков, попытки программ остаться резидентно. Иначе говоря, вызовы генерируются вирусами в моменты —, их размножения. К достоинствам программ-мониторов относится их способносп '- обнаруживать и блокировать вирус на самой ранней стадии его размножения, что бывает очень полезно в случаях, когда давно ; известный вирус постоянно «выползает неизвестно откуда». К не: достаткам относятся существование путей обхода защиты монитора и большое количество ложных срабатываний.
Существуют аппаратные реализации некоторых функций мониторов, в том чи:: сле встроенные в В10Б. Однако, как и в случае с программными , мониторами, такую защиту легко обойти прямой записью в пор: ты контроллера диска, а запуск РОЯ утилиты НЭ1БК немедленно ' вызывает ложное срабатывание защиты. Программы-вакцины. Антивирусные вакцины (иммунизаторы) подразделяются на два типа: сообщающие о заражении и блоки: рующие заражение каким-либо типом вируса.
Первые обычно записываются в конец файлов (по принципу файлового вируса), и : при запуске файла каждый раз проверяют его на предмет обнару:: жения изменений. Недостаток у таких вакцин один, но он лета: лен: абсолютная неспособность вакцины сообщить о заражении 229 СТЕЛСвирусом. Поэтому такие иммунизаторы, как и мониторы, в настоящее время практически не используются. Второй тип вакцин защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженными. Для зашиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса.
При запуске зараженной программы, вирус распознает вакцину как свою резидентс кую копию и не активизируется, Такой тип вакцинации не может быть универсальным, поскольку при его помощи нельзя иммун— зировать файлы от всех известных вирусов. Однако несмотря на это подобные программные средства в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет детектировиъся антивирусными сканерами.
Антивирусные программные комплексы. В современных условиях лишь они могут обеспечить надежную защиту от вирусных программ, отличающихся большим разнообразием принципов построения и функционирования. Обычно современные антивирусные программные комплексы включают в свой состав монитор, сканер, ревизор и планировщик. Планировщик используется для координации работы разных компонентов антивирусного пакета и планирования антивирусных мероприятий в вычислительной системе. Вакцина вследствие своей естественной ограниченности использования низкой универсальности в настоящее время практически не применяется.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
