Реферат: Автоматизация учета исполнения бюджета Краснодарского края
“Первичное” заражение происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители, так и каналы ЛВС. Вирусы, использующие для размножения каналы ЛВС, принято называть сетевыми.
Цикл жизни вируса обычно включает следующие периоды: внедрения, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например, необратимую коррекцию информации на магнитных носителях.
Физическая структура вируса достаточно проста. Он состоит из “головы” и, возможно, “хвоста”. Под головой вируса подразумевается его компонента, получающая управление первой. Хвост — это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, состоящие из головы и хвоста — сегментированными.
По характеру размещения в памяти ПЭВМ принято делить вирусы на файловые нерезидентные, файловые резидентные, бутовые, гибридные и пакетные.
Файловый нерезидентный вирус целиком располагается в исполняемом файле, в связи с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.
Файловый резидентный вирус отличается от нерезидентного тем, что заражает не только исполняемые файлы, находящиеся во внешней памяти, но и оперативную память ПЭВМ. С чисто технологической точки зрения ОП можно считать файлом, к которому применимы все описанные выше способы имплантации. Однако, резидентный вирус отличается от нерезидентного как логической структурой, так и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая программа вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования, резидентные вирусы могут реализовывать самые разные способы инфицирования. Наиболее распространенными способами являются инфицирование запускаемых программ, а также файлов при их открытии или чтении.
Одной из разновидностей резидентных вирусов являются так называемые “бутовые” вирусы. Отличительной особенностью последних является инфицирование загрузочного (бут-сектора) магнитного носителя (гибкого или жесткого диска). При этом инфицированными могут быть как загружаемые, так и не загружаемые дискеты. Голова бутового вируса всегда находится в бут-секторе (единственном для гибких дисков и одном из двух — для жестких), а хвост — в любой другой области носителя. Наиболее безопасным для вируса способом является размещение хвоста в так называемых псевдосбойных кластерах, логически исключенных из числа доступных для использования. Существенно, что хвост бутового вируса всегда содержит копию оригинального (исходного) бут-сектора. Механизм инфицирования, реализуемый бутовыми вирусами, таков. При загрузке операционной системы с инфицированного диска, вирус, в силу своего положения на нем (независимо от того, с дискеты или с винчестера производится загрузка) получает управление и копирует себя в оперативную память. Затем он модифицирует вектор прерываний таким образом, чтобы прерывание по обращению к диску обрабатывалось собственным обработчиком прерываний вируса, и запускает загрузчик операционной системы. Благодаря перехвату прерываний “бутовые вирусы” могут реализовать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.
Близость механизмов функционирования бутовых и файловых резидентных вирусов сделала возможным и естественным проявление файлово-бутовых, или гибридных, вирусов, инфицирующих как файлы, так и бут-секторы.
Особенностью пакетного вируса является размещение его головы в пакетном файле. При этом голова представляет собой строку или программу на языке управления заданиями операционной системы.
Сетевые вирусы, называемые, также, автономными репликативными программами, или, для краткости, репликаторами, используют для размножения средства сетевых операционных систем ЛВС. Наиболее просто реализуется размножение в тех случаях, когда протоколами ЛВС предусмотрен обмен программами. Однако, как показывает опыт, размножение возможно и в тех случаях, когда указанные протоколы ориентированы только на обмен сообщениями.
Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие целевые группы:
искажение информации в файлах либо таблице размещения файлов;
имитация сбоев аппаратных средств;
создание звуковых и визуальных эффектов, таких, например, как отображение сообщений, вводящих оператора в заблуждение или затрудняющих его работу;
инициирование ошибок в программах пользователей или операционной системы.
Наиболее распространенным средством нейтрализации вирусов является использование программных антивирусов. Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делить на следующие группы: детекторы, фаги, вакцины, прививки, ревизоры и мониторы.
Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых сигнатур — устойчивой последовательности байтов имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует об его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.
Фаги выполняют функции, свойственные детекторам, но, кроме того, “излечивают” инфицированные программы посредством “выкусывания” (“пожирания”) вирусов из их тел. По аналогии с полидетекторами, фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.
В отличие от детекторов и фагов, вакцины, по своему принципу действия напоминают сами вирусы. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней. Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее. Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе. В последней, в свою очередь сначала управление получит вакцина, которая выполнит проверку соответствия запомненных ею характеристик аналогичным характеристикам полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина программы, ее контрольная сумма и т.п..
Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает инфицируемые программы каким-либо признаком, с тем чтобы не выполнять их повторное заражение. В ином случае имело бы место многократное заражение, сопровождаемое существенным и поэтому легко обнаруживаемым увеличением программы. Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком что и вирус, который, таким образом, после активизации и проверки наличия указанного признака, считает ее инфицированной и “оставляет в покое”.
Ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняемому файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов. Если при этом обнаружится, что согласно имеющейся системной информации файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным. Характеристики исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле (файлах), в связи с чем увеличение длин исполняемых файлов, имеющего место при вак