Диссертация (1091136), страница 12
Текст из файла (страница 12)
Отношение скорости прокруткиленты к количеству выполняемых шагов виртуальной машиной соответствуетмасштабу обобщения по времени выполнения. Графическое представление работыпрограммы приведено на Рисунке 31.9393Рисунок 31- Графическое представление ленты активности памяти94На ленте активности памяти могут быть выделены интервалы адресов,различные по функциональному назначению и имеющие характеристики прианализесостояниянадежностивычислительнойсистемы,т.е.прифункционировании исследуемого программного продукта.
Такой способ анализасостояния системы был впервые апробирован при разработке программного макетасистемы визуализации тракта данных в электронной вычислительной системе.На основании изложенного можно сделать следующие выводы:1. В результате совместного анализа графика используемых областей памятии контроля протокола работы исследуемого программного продукта можноутверждать о наличии или отсутствии в нем потенциально опасных конструкций.2. Потенциальноопасныеконструкциимогутбытьзаложеныцеленаправленно или их появление связано с наличием ошибок из-занедобросовестной разработки исследуемого программного продукта.3. Приведённая выше методика не может быть использована какединственный вид исследования в силу следующих причин:а) в случае наличия защиты от исполнения в виртуальной среде исследованияпроводятся с применением дизассемблирования;б) в случае наличия защиты от отладки исследование в полной мере провестине представляется возможным.в) указанная методика в достаточной мере автоматизирует процесс оценкикачества и надежности программного продукта без исходных текстов, однако, всилу своей новизны, исследование целесообразно проводить в сочетании с другимиизвестными приемами.3.7.1 Структурная схема комплекса95Для проверки теоретических положений, изложенных в главе 3мнаконкретных программных продуктах, предложена следующая структурная схемакомплекса, изображенная на Рисунке 34.Рабочий образ представляет собой операционную систему MS DOS 6.22,обоснование выбора которой представлено в разделе 1.6 главы 1, и исследуемыйпрограммный продукт.
Детальное выполнение эксперимента и оценка результатовприведена в главе 4. Указанный образ формируется исследователем передпроведением работ. Затем запускается виртуальная машина, управляемая черезконсоль, в которую помещается рабочий образ. При работе с образом подуправлением виртуальной машины, создается ее журнал. Журнал поступает наобработку в специализированный программный комплекс, таким образом, кжурналу применяется разработанный алгоритм (раздел 3.2), формируется лентавизуализации активности памяти, а результатом анализа служит фиксация работыисследуемой программы (чтение, запись и исполнение) на контролируемыхобластях памяти.96ОперационнаясистемаКонсольуправления ВМИсследуемоепрограммноеобеспечениеВиртуальнаямашинаРабочий образЖурнал работывиртуальноймашиныАлгоритм интерпретацииадресов памятиАлгоритм формирования«предложения» и поискаодинаковых «слов»Алгоритм анализаиспользованных областейпамятиЛента визуализацииактивности памятиРезультат анализаСпециализированныйпрограммый комплексРисунок 34 - Структурная схема комплекса973.7.
2 Алгоритм представления результатов анализа использованияпамяти программным продуктомЛюбой программный продукт, в том числе и исследуемый, в процессе работыиспользует выделяемую память. Было показано, что выделяемую виртуальноймашиной оперативную память, можно определить вплоть до адреса и определитьтип действия, совершаемого процессором с каждой ячейкой. На Рисунке 34представленалгоритм,которыйформируетвизуальноепредставлениеиспользования интервалов оперативной памяти исследуемой программой. Дляточности определения действий с областями памяти, разработанный программныйкомплекс,позволяетисследователюинтересующие его интервалы.в«ручномрежиме»устанавливатьНачало1ИНТЕРВАЛ – область памяти.НАЧАЛО ИНТЕРВАЛА - физическийадрес первой ячейки интервала.ДЛИНА ИНТЕРВАЛА – количествоячеек интервала.ГРАФИЧЕСКАЯ ШИРИНА ИНТЕРВАЛА– количество точек в графическойстроке при визуализации интервала.АДРЕС ПРИНАДЛЕЖИТ ИНТЕРВАЛУесли адрес больше или равен началуинтервала и меньше или равен сумменачала интервала и длины интервалаКоординатныйкоэффициент K дляинтервала I равенотношению длиныинтервала I к егографческой ширинеX=0Для каждого интервалаI в коллекции CIСмещение D по интервалу Iравно разности междуадресом A и началоминтервала IA? IНетПрибавить к X графическуюширину интервала IДа1X=X+D*KКонецРисунок 34 – Алгоритм формирования визуального представления использования интервалов оперативной памяти98КОЛЛЕКЦИЯ ИНТЕРВАЛОВ –упорядоченное множество интервалов,наблюдаемых при визуализации.Множество упорядочено повозрастанию начал интервалов.Входные данные:Коллекция интервалов CIФизический адрес A993.8.
Технология применения метода анализа программного продуктабез исходных текстовЧастично технология применения метода анализа программного продуктабыла описана в разделе 3.4. На Рисунке 35, жирной чертой выделены объекты,разработанные в рамках диссертационной работы, показана очередность действий,проводимых при их выполнении. Следует обратить внимание на простотуразработанного метода оценки качества, так как в виде эксперта может выступатьчеловек со средним уровнем квалификации в области оценки качества инадежности программных продуктов и навыками программирования, достаточнознаний в данной предметной области.ИсследуемыйпрограммныйпродуктРисунок 35 – Схема метода анализа программного продукта без исходныхтекстов1003.9. Выводы к главе 3В третьей главе работы решены следующие задачи:1.
Разработан и описан алгоритм контроля обращений процессора кобластям памяти, используемой программным продуктом.2. Разработан и описан алгоритм контроля использования областей памятипрограммным продуктом без исходных текстов.3. Разработан принцип оценки качества функционирования программногопродукта без исходных текстов на основе визуализации событий выполненияпрограммы.4. Разработан программный комплекс оценки качества и надежностипрограммных продуктов без исходных текстов.5. Разработан и описан алгоритм представления результатов анализаиспользования памяти программными продуктами.6. Описанатехнологияпримененияметодаанализапрограммныхпродуктов без исходных текстов.В четвертой главе приведены результаты применения программногокомплекса оценки качества и надежности программных продуктов без исходныхтекстов, а также выполнена вероятностная оценка надежности его работы.101ГЛАВА 4 РЕЗУЛЬТАТЫ ПРИМЕНЕНИЯ ПРОГРАММНОГОКОМПЛЕКСА ОЦЕНКИ КАЧЕСТВА И НАДЕЖНОСТИ ПРОГРАММНЫХПРОДУКТОВ БЕЗ ИСХОДНЫХ ТЕКСТОВ4.1.
Оценка качества и надежности программного продукта безисходных текстовВ данном разделе приведены результаты экспериментов, выполненныеметодом оценки качества программных продуктов, который основан на алгоритмеконтроля обращений процессора к областям памяти используемой программнымпродуктом и визуализации процесса его функционирования.Эксперименты выполнены над десятью вирусами и двумя штатнымипрограммами. Были выявлены потенциально опасные (раздел 1.4 главы 1)возможности, которые реализуют программы, результаты, показанные на Рисунке4. Исследования проводились с использованием разработанного программногокомплекса [2].Ниже подробно описаны результаты экспериментов с двумя вирусами Abbas1100 и Bomzh 3809.
Диалоговое окно программного комплекса приведено наРисунке 36.Главное окно комплекса разделяется на две области: начальные настройки иокно визуализации. Настройки позволяют задать количество графических линийвизуализации, а также количество операций процессора на эту линию. Чем большеопераций на строку, тем меньше подробность визуализации. Комплекс позволяетвизуализировать области памяти, которые задаются согласно адресам.Визуализируются следующие области:1. INT - вектора прерываний;2. BIOS DATA - данные BIOS (информация о портах ввода/вывода);3. PROGRAM MEM - память программ общего назначения, куда грузитсяоперационная система DOS и программы, функционирующие под ее управлением;4.
VODEO MEM – видеопамять;1025. BIOS - код BIOS;6. ACPI - доступ к ACPI;7.APIC - доступ к APIC.Областям определяется свой цвет. Обозначение процессов работыследующее: зеленое - чтение, красное - запись, а синее - выполнение.На Рисунке 36 показан старт работы виртуальной машины. Выполняетсязагрузка начальных адресов памяти (1). Затем управление передаётся коду BIOS(2), который копирует часть своего кода в память программ (3) и обратно в BIOS(4). Сообщение о загрузке виртуальной машины, отображающееся на экране,фиксируется в области (5).Рисунок 36 - Диалоговое окно программного комплекса4.1.1. Исследование работы резидентного вируса Abbas 1100103Вирус Abbas1100 активирует функцию размножения при каждом четвёртомзапуске любой программы.Условие и порядок выполнения эксперимента:1) Действия выполняются на чистой системе.2) Запускаются штатные программы MEM и TREE на чистой системе.3) Выполняется заражение (инфицирование) системы.4) Повторяем запуски штатных программ в инфицированной системе с цельюих заражения.5) Фиксируем области памяти, в которых выполняются программы.6) Определяем скрытые угрозы, реализуемые программным продуктом безисходного кода.4.1.1.1 Запуск программы MEM на чистой системеНа Рисунке37 приведена лента событий, сформированная в процессезапуска штатной программы MEM из комплекта DOS на «чистой» системе.
Кругомотмечен фрагмент исполнения кода программы, который будет модифицированвирусом.Рисунок 37- Запуск программы MEM на чистой системе4.1.1.2 Повторный запуск программы MEM на чистой системе104На Рисунке 38 показанная лента событий эквивалентна предыдущей.
Темсамым приводится повторяемость эксперимента.Рисунок 38- Повторный запуск программы MEM на чистой системе4.1.1.3 Запуск программы TREE на чистой системеЗапустим программу TREE из комплекта DOS на не инфицированнойсистеме (Рисунок 39). Из ленты видно, что на не инфицированной системезапущена другая программа, при этом её выполнение аналогично программе MEM.Ромбом обозначен фрагмент процесса загрузки программы, который типичен дляштатного запуска программы.Рисунок 39 - Запуск программы TREE на чистой системе.4.1.1.4 Активизация вирусаВ центре круга отмечена вертикальная черта, это работа кода вируса на этаперазмножения. Он заражает операционную систему (Рисунок 40).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
