В. Столлингс - Операционные системы (1114679), страница 152
Текст из файла (страница 152)
° Автомакрос (аи$отасго). Автомакрос запускается в результате наступления определенного события. Таким событием может быть открытие или закрытие документа, создание нового документа или выход из приложения Жогй. ° Командный макрос (согптапй гпасго). Если нмя макроса, имеющегося в глобальном Файле макросов или вложенного в документ, совпадает с именем существующей команды ЪЧогс1, то при вызове этой команды запускается такой макрос (например„Г' ).еЯаче).
Общепринятый метод распространения макровирусов состоит в следующем. Автомакрос, или командный макрос, вкладывается в документ ЪЧоЫ, который передается в систему с помощью электронной почты или копирования с дискеты. Спустя некоторое время после открытия документа начинает работать макрос. Он копирует сам себя в глобальный файл макросов. В начале следующего сеанса работы пользователя с приложением %'ого активизируется глобальный макрос. При запуске этого макроса он может размножаться и причинять вред. Следующие один за другим выпуски приложения %'огсз обеспечивают все более надежную защиту от макровирусов. Например, фирма М1сгозой предлагает устанавливаемый по желанию инструмент Масго Чичи Рго1есЫоп, который выявляет подозрительные Файлы в Формате ъчогй и предупреждает клиента о потенциальном риске, возникающем при открытии Файлов с макросами.
другие производители антивирус. ных программных продуктов также имеют в своем арсенале инструменты для выяв- Глава 1б. Безопасность Часть 7. снОоть акровирусов В борьбе с макровирусами происходит окка вооружений'*, как и в отношении вирусов других типов. ~одходь1 к борьбе с вирусами Идеальным решением проблемы вирусной угрозы является предотвращение: ревалируют меры, не допускающие проникновения вируса в систему. Этой цен, вообще говоря, достичь невозможно, но предотвращение может сократить оличество успешных вирусных атак. Хорошо организованная защита должна ыть в состоянии реализовать такие действия.
е Выявление. Как только произойдет заражение, необходимо обнаружить наличие вируса и его местонахождение. е Идентификация. Если произойдет заражение, необходимо идентифицировать вирус, который заразил программу. е Удаление. После идентификации вируса необходимо удалить все следы его присутствия в зараженной программе и восстановить ее до первоначального состояния. Нужно избавиться от вируса во всех удаленных системах, чтобы инфекция больше не могла распространяться.
Если вирус выявлен, но невозможно его идентифицировать или избавиться ~т него, то выход состоит в том, чтобы избавиться от зараженной программы и ~агрузить ее чистую версию, воспользовавшись дубликатом. Достижения в области технологии вирусов и антивирусных программ идут ~ука об руку. Ранние вирусы имели вид сравнительно простых фрагментов кода, ~ можно было их легко идентифицировать, а также избавиться от них с помо:цью сравнительно простых антивирусных программных пакетов. По мере нагнегания "гонки вооружений" как вирусные, так и (соответственно) антивирусные программы становились все сложнее и сложнее. Появлялись и продолжают появляться все более изощренные антивирусные подходы и соответствующие продуктьг.
В этом подразделе освещены два важнейших подхода. Обобщенное дешифрование Технология обобщенного дешифрования (лепет)с ЙесгурИоп — СП) позволяет антивирусной программе легко обнаруживать даже самые сложные полиморфные вирусы, поддерживая в то же время высокую скорость сканирования ~ХАСН97]. Вспомним, что при запуске файла, содержащего полиморфный вирус, этот вирус перед активизацией должен дешифровать сам себя. Чтобы обнаружить такую структуру, исполняемые Файлы пропускаются через сканер обобщенного дешифрования, в котором содержатся такие элементы. Эмулятор центрального процессора.
Виртуальный компьютер, реализованный программными средствами. Команды исполняемых Файлов, вместо того чтобы выполняться на системном процессоре, интерпретируются эмулятором, который содержит в себе программные реализации всех регистров и других аппаратных компонентов процессора. Поэтому выполняющиеся на эмуляторе программы не затрагивают системный процессор. ° Средство обнаружения сигнатур вирусов. Модуль, который сканирует исследуемый код, отыскивая в нем сигнатуры известных вирусов. Модуль управления эмуляцией. Управляет выполнением исследуемого кода. В начале каждой имитации эмулятор начинает по очереди интерпретиро вать каждую команду исследуемого кода.
Если в этом коде содержится процеду ра дешифрования, что может свидетельствовать о наличии вируса, такой код ин терпретируется, и вирус выполняет работу антивирусной программы, выявляя себя. Управляющий модуль периодически прерывает интерпретацию, чтобы про верить исследуемый код на наличие сигнатур вирусов. В процессе интерпретации исследуемый код не может причинить вред вы числительной среде персонального компьютера, потому что он интерпретируется в полностью контролируемой среде. Самое сложное при разработке компьютерных средств обобщенного скани рования — определить, как долго должна продолжаться каждая интерпретация. Обычно элементы вирусов активизируются вскоре после запуска программы, но это вовсе не обязательно, Чем дольше сканер выполняет эмуляцию программы, тем с большей вероятностью он найдет в ней спрятанные вирусы.
Однако анти вирусные программы должны выполняться в течение ограниченного времени и занимать ограниченные ресурсы, иначе пользователи будут недовольны. Цифровая иммунная система Цифровая иммунная система представляет собой комплексный подход к защите от вирусов, разработанный компанией 1ВМ 1КЕРН97а, КЕРН97Ь]. Эта разработка появилась в связи с постоянно возрастающей угрозой распространения вирусов через 1п1егпеС.
Сначала скажем несколько слов об этой угрозе, а затем кратко изложим подход компании 1ВМ. В настоящее время вирусная угроза характеризуется сравнительно небольшими скоростями распространения новых вирусов и их новых разновидностей. Антивирусные программы обычно ежемесячно обновляются, что позволяет обеспечить достаточный контроль над ситуацией. Кроме того, в наши дни 1пФегпе$ играет сравнительно малую роль в распространении вирусов.
Однако в 1СНЕБ97] отмечается, что две приведенные ниже основные тенденции развития технологии сети 1п$егпей будут оказывать все более возрастающее влияние на скорость распространения вирусов в будущем. ° Интегрированные почтовые системы. Такие системы, как 1о1пв Хорев и М)сговор Ои11ооК существенно упрощают процедуру пересылки чего угодно кому угодно, а также работу с полученными объектами. ° Системы мобильных программ.
Возможности дача и Асйн~еХ позволяют программам самостоятельно переходить из одной системы в другую. В связи с угрозой, связанной с возможностями 1пФегпе1, Фирма 1ВМ разработала прообраз цифровой иммунной системы. Она основана на использовании эмуляции программ, которая обсуждалась в предыдущем подразделе, и предоставляет возможность общей эмуляции и систему обнаружения вирусов.
Цель этой системы — обеспечить малое время отклика, чтобы можно было удалить вирусы вскоре после их появления. При появлении в организации нового вируса иммунная система автоматически захватывает его, анализирует, пополняется соответствующими средствами обнаружения и противодействия, удаляет этот вирус и передает информацию о нем в системы, на которых работает программа 1ВМ АпИУ)гааз. После этого данный вирус, где бы он ни появился, будет выявлен еще до того, как он сможет активизироваться. Часть- 7. Безопасность Глава 15.
Безопасность :.:а, -т, Машина Административная машина для анализа вирусов Анализ поведения и структуры ви са Частная Машина- тлиент Извлечение сипетуры распространение предписаний Время достижения Оцениваемый пика численности ущерб Вирус Гад Тип запуска Административная машина Другая частная Клиент 350 млн. (все вирусы за 5 лет) 350 млн.
Да 5385 млн- 1990 . еке Файл 3 года Отлельиый пользователь Макрос Жагд 4 месяца Использует электронную 4 дня почту, макрос %'огс1 Рис. 15.8. Цифровая иммунная система Лтобавнсе письмо 2000 Оа ге 1еттег) д Э15 млрд. Использует электронную 5 часов почту, основан на ттВ8 Рлана 15. Безопасность На рис. 15.8 проиллюстрированы типичные действия, выполняемые в ходе работы цифровой иммунной системы.
1. Управляющая программа на каждом персональном компьютере использует разнообразные эвристические методы, основанные на наблюдении за поведением системы, подозрительными изменениями программ или сигнатур, свидетельствующими о возможном присутствии вируса. Копию любой программы, которую она сочтет зараженной, управляющая программа пересылает на административную машину организации. 2. Административная машина шифрует полученный образец и отправляет его на центральную машину, где проводится анализ на наличие вирусов.
3. При анализе используются такие методы, как эмуляция или создание защищенной среды, в которой можно запустить и проконтролировать подозрительную программу. Затем машина, на которой анализируется вирус, создает рекомендации по идентификации и удалению данного вируса. 4. Результирующее предписание отправляется обратно на административную машину. б. Административная машина пересылает это предписание инфицированному клиенту. 6.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
