Исследование проблем борьбы с вирусами и антивирусные программы .
Содержание:
ВВЕДЕНИЕ
Актуальность темы. Компьютерные вирусы похожи на биологические вирусы. Биологический вирус попадает в организм, повреждает тело, распространяется на другие тела и в конечном итоге уничтожается внутренней иммунной системой или внешними средствами. Аналогично, компьютерный вирус входит в компьютерную систему и привязывается к программе. Когда приложение запускается, вирус активируется и распространяется на другие части системы. Присоединившись к другой программе, вирус получает хост. Когда выполняется хост-программа, вирус также выполняется. Каждая зараженная программа, в свою очередь, заражает другие программы, а вирус распространяется. Вирусы могут быть либо доброкачественными, либо деструктивными. Если они доброкачественны, они не нанесут реального ущерба, но могут привести к безобидным изменениям, таким как сбой дисплея на мониторе или внесение некоторых звуков или ложных тревог. Однако, если они являются разрушительными, вирусы могут нанести реальный ущерб системе, например, затормозить дисковое пространство или основную память, используя процессор. На данный момент насчитано более 40 000 различных вирусов. В последние годы число развязанных вирусов резко возросло, и степень ущерба (в утерянных данных, времени и проницаемости) оценивается в несколько миллиардов долларов США в год.
Целью данной курсовой работы является рассмотреть проблем борьбы с вирусами и анализ антивирусных программ. Для достижения поставленной цели необходимо решить следующие задачи:
- Дать определение понятию вирусы;
- Проанализировать типы вирусов;
3 Выявить методы борьбы с вирусами;
4 Выяснить принцип работы антивирусных программ.
1. КОМПЬЮТЕРНЫЕ ВИРУСЫ
1.1 Компьютерный вирус
Компьютерный вирус – это вредоносная программа, загруженная на компьютер пользователя без ведома пользователя и выполняющая вредоносные действия.
Термин «компьютерный вирус» впервые был официально определен Фредом Коэном в 1983 году. Компьютерные вирусы никогда не встречаются естественным образом. Они всегда вызваны людьми. Однако, когда они созданы и выпущены, их распространение не находится под контролем человека. После входа в компьютер вирус присоединяется к другой программе таким образом, что выполнение главной программы одновременно запускает действие вируса. Он может самореплицироваться, вставляя себя в другие программы или файлы, заражая их в процессе. Однако не все компьютерные вирусы являются разрушительными. Большинство из них выполняют действия, которые являются вредоносными по своему характеру, такие как уничтожение данных. Некоторые вирусы наносят ущерб, как только их код выполняется, а другие остаются бездействующими до тех пор, пока не начнется определенное событие (как запрограммировано), что заставляет их работать на компьютере. Вирусы распространяются, когда программное обеспечение или документы, к которым они присоединены, передаются с одного компьютера на другой с использованием сети, диска, методов совместного использования файлов или через зараженные вложения электронной почты. Некоторые вирусы используют разные стратегии скрытности, чтобы избежать их обнаружения с помощью антивирусного программного обеспечения. Например, некоторые могут заражать файлы, не увеличивая их размеры, в то время как другие пытаются избежать обнаружения, убивая задачи, связанные с антивирусным программным обеспечением, до того, как их можно будет обнаружить. Некоторые старые вирусы удостоверяются, что «последняя измененная» дата файла хоста остается неизменной при заражении файла.
1.2 История появления первых вирусов
История появления и эволюции компьютерных вирусов, сетевых червей, троянских программ представляет собой достаточно интересный для изучения предмет. Зародившись как явление весьма необычное, как компьютерный феномен, в 1980-х годах, примитивные вирусы постепенно превращались в сложные технологические разработки, осваивали новые ниши, проникали в компьютерные сети. Идея вируса, заражающего другие программы и компьютеры, за двадцать лет трансформировалась в криминальный бизнес. Будучи изначально творчеством вирусописателей-исследователей, компьютерные вирусы стали оружием в руках интернет-преступников.
Одновременно происходило зарождение и становление индустрии антивирусной. Появившись в конце 1980-х, первые антивирусные разработки получили большую популярность, через 10 лет став обязательным к использованию программным обеспечением. Программисты, увлечённые разработкой антивирусных программ, становились основателями антивирусных компаний, небольшие и совсем мелкие компании выросли, некоторые из них стали гигантами индустрии. Конечно, повезло не всем — многие по разным причинам «сошли с дистанции» или были поглощены более крупными компаниями. Но антивирусная индустрия всё еще продолжает формироваться, и её, скорее всего, ждут большие изменения.
Помимо интереса теоретического, история развития вирусов может принести и практическую пользу — по ней можно предсказывать будущее развитие вредоносных программ, включая компьютерные в широком смысле этого слова, например, дальнейшую эволюцию вирусов на мобильных телефонах, проблемы безопасности «умных» домов будущего и т.п.
По-настоящему первый современный вирус появился в 1999 году 26 января. Вирус называвшийся Happy99(альтернативное название Ska) стал революционным в развитии вредосных программ. Он распространялся внедрившись в программу Microsoft Outlook, являвшимся в то время корпративным стандартом в Европе и США.
Одновременно с этим был найден относительно интересный макро-червь для
Microsoft Word — Caligula. Он имел доступ к системному реестру, просматривал ключи, соответствующие популярной программе шифрования PGP (Pretty Good Privacy), находил каталоги возможного нахождения программы и производил в них поиск базы данных ключей шифрования PGP версии 5.x. При обнаружении этой базы данных, вирус отправлял её на удалённый FTP-сервер.
В конце февраля того же года были зарегистрированы случаи с участием SK — первого вируса, заражающего файлы поддержки Windows (HLP-файлы).
Melissa — первый макро-червь для Microsoft Word, сочетавшего в себе также и функциональность интернет-червя. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал свои копии по первым 50 найденным адресам. В автоматизированных системах документооборота письма с червём обрабатывались без участия человека — в результате эпидемия Melissa моментально достигла своего пика и нанесла ощутимый ущерб компьютерным системам мира: такие гиганты индустрии, как Microsoft, Intel, Lockheed Martin были вынуждены временно отключить свои корпоративные службы электронной почты.
Gala (полное название GaLaDRieL) – первый вирус для графического пакета CorelDRAW. Написанный на скрипт-языке Corel Script, стал первым, кто оказался способен заражать файлы как самого CorelDRAW, так и Corel PHOTO-PAINT и Corel Ventura.
Infis — первый вирус, внедряющийся на самый низкий уровень безопасности — область системных драйверов Windows. Эта особенность делала вирус труднодоступным, антивирусные программы того времени были неспособны удалить вирус из системной памяти.
Bubbleboy, KakWorm — новое поколения червей, распространявшихся по электронной почте — уже без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал KakWorm. Все вирусы этого типа использовали «дыру», обнаруженную в системе безопасности Internet Explorer.
Babylonia — крайне сложный и опасный вирус, который также открыл новую страницу в области создания вирусов. Это был первый вирус-червь, который имел функции удаленного самообновления: ежеминутно он пытался соединиться с сервером, находящимся в Японии, и загрузить оттуда список вирусных модулей. В случае если в этом списке находился более «свежий» модуль, нежели уже установленный на зараженном компьютере, то вирус автоматически его загружал. Позднее технология удаленного самообновления была применена в червях Sonic, Hybris и многих других.
В те времена, вирусы действительно вызывали глобальную эпидемию. Это можно связать с только-только зарождением технологии, программных обеспечении и слабой развитостью сферы информационной защиты. В наши дни, отрасль по борьбе с вирусами невороятно продвинулся, поэтому большинство случаев заряжения происходят по вине незнания самого пользователя.
1.3 Типы вирусов
В этом разделе представлена широкая классификация вирусов. Большинство вирусов представляют собой «гибридные» комбинации различных свойств из нескольких классов.
Файловые вирусы — они чаще всего привязываются к программным файлам, но могут заражать любой файл исполняемым кодом, включая программные конфигурационные файлы. Когда программа, сценарий или конфигурация выполняются, вирус также выполняется.
Загрузочный вирус — компьютерный вирус, записывающийся в первый сектор гибкого или жёсткого диска и выполняющийся при загрузке компьютера с идущих после главной загрузочной записи, но до первого загрузочного сектора раздела. Перехватив обращения к дискам, вирус либо продолжает загрузку операционной системы, либо нет. Размножается вирус записью в загрузочную область других накопителей компьютера.
Многосторонние вирусы — заражают загрузочные записи, а также файлы. С его гибридным характером многопартийный вирус наследует худшие качества каждого из своих родителей и, следовательно, гораздо более заразителен и разрушителен, чем любой.
Макровирусы — это тип компьютерного вируса, разработанного на макроязыках, встроенных в прикладные программные пакеты, такие как Microsoft Office. Для их воспроизведения такие вирусы используют возможности макроязыков и с их помощью переносятся из одного зараженного файла в другой. Большинство этих вирусов написаны для MS Word.
Скрытые вирусы. Скрытые вирусы используют некоторые методы для предотвращения обнаружения. Одна из техник заключается в перенаправлении адресов внутри программы, указывающих на другие программы или системную информацию, и вместо этого они указывают на файл вируса. Когда программа требует эту дополнительную программу или системную информацию, она фактически запускает вирусный код. Это заражает файл без фактического ввода дополнительного кода, который может проявляться в качестве симптома для программного обеспечения для сканирования вирусов. Другая распространенная техника скрытности изменяет файл, но дисплей имеет размер, который был до заражения. Таким образом, он сводит на нет способность использовать длину файла в качестве индикатора заражения.
Зашифрованные вирусы. Зашифрованные вирусы пользуются преимуществами другого зашифрованного материала. Изначально зашифрованные вирусы появляются не как вирусы, а как безнадежные тарабарщины. Но когда запущена зараженная программа, небольшая часть простого, незашифрованного кода расшифровывает остальную часть вируса, а затем продолжает наносить ущерб. Когда и если обнаружен зашифрованный вирус, его очень сложно проанализировать, поскольку он не подвержен обратной инженерии, такой как незашифрованные вирусы. Это затрудняет определение структуры вируса и точного объема его полезной нагрузки. Шифрование наиболее полезно в сочетании с полиморфной стратегией.
Полиморфные вирусы. Полиморфные вирусы пытаются избежать обнаружения путем изменения их структуры или методов шифрования. Каждый раз, когда происходит заражение, полиморфный вирус меняет свою форму, запутывая программное обеспечение для сканирования вирусов (обнаружения). Поскольку антивирусные сканеры используют определенные уникальные характеристики «сигнатуру» для идентификации вирусов, любой вирус, который меняет его форму, представляет собой грозную новую проблему.
2. МЕТОДЫ БОРЬБЫ С КОМПЬЮТЕРНЫМИ ВИРУСАМИ
Для того, чтобы как-то противодействовать вирусу, в первую очередь необходимо отыскать его. Проблема заключается в том, что с точки зрения рядового пользователя он (вирус) ничем не отличается от обычной программы (если речь идет о трояне или черве), ну, а если речь идет о файловом вирусе, который заражает исполняемый файл? Тут даже опытный пользователь окажется бессилен (хотя, стоит заметить, подобные вирусы утратили свою актуальность на сегодняшний день и встречаются все реже, но об этом позже).
И теперь, на самом деле, я попытаюсь объяснить суть этого старого, но довольно эффективного метода обнаружения вирусов. Представьте, что вы являетесь следователем, который прибывает на место преступления. Где начинается каждое расследование? Правильно, с помощью отпечатка пальца! Я думаю, для вас не секрет, что отпечатки пальцев каждого человека уникальны, и шансы встретить такие отпечатки пальцев у других людей имеют тенденцию к нулю. Зная, кто владеет этими отпечатками, мы можем легко понять преступника. Так называемая «сигнатурная» проверка вирусов основана на аналогичном принципе.
Когда новый вирус попадает в руки исследователей, в первую очередь они выделяют «подпись» - конкретную последовательность байтов, соответствующую конкретному вирусу (или семейству вирусов), после чего он добавляется в антивирусную базу (из конечно, не забывая добавить метод лечения и просто удалить зараженный файл), и успешно начать использовать для обнаружения / удаления вредоносных программ путем проверки всех файлов, хранящихся на жестком диске. Как вы могли понять, все довольно просто, но именно эта техника остается одной из основных, используемых в антивирусах. В результате у нас есть механизм, позволяющий поймать довольно большую долю вирусов. Но, несмотря на это, у нее все еще есть недостатки. Одна из главных - необходимость постоянно обновлять базы данных подписи - я думаю, здесь все очевидно. Как уже упоминалось ранее, сигнатура представляет собой последовательность байтов, характерную для конкретного файла. И что произойдет, если несколько байтов из этой последовательности будут изменены или полностью исключены? Как будет вести себя антивирус? В такой ситуации все зависит от совести тех людей, которые разработали антивирусный движок. Если бы они подошли к этому процессу с умом и не кипятили, то, теоретически, нам следует предупредить, что файл подозрительный или является модификацией вируса. Но, к сожалению, это случается довольно редко, и большинство современных продуктов, направленных на защиту от такого типа угрозы, не справляются с этой задачей, которая угрожает заразить компьютер. Я не буду упоминать названия тех продуктов, которые подвержены этой «болезни» для антирекламы, но, поверьте, это один из самых популярных продуктов в России / Европе / Америке.
С увеличением числа вирусов число антивирусов выросло - так рано или поздно новые версии вредоносного ПО попадут во все антивирусные базы! Одним из переходных моментов было появление первых полиморфных вирусов - вредоносных программ, способных частично (в разной степени) изменять их тело во время их воспроизведения (ну, это не совсем точно сказано - на самом деле это полиморфизм дескриптора) , Это означало, что поиск «доброй старой» подписи оказался бесполезным. Поскольку у вируса нет четкой структуры, это означает, что невозможно выделить четкую подпись ... Я думаю, что теперь все стало ясно. Кстати, стоит отметить, что полиморфы не появились сразу - этой технологии предшествовали так называемые «самошифрующие» вирусы.
Фактически, они состояли из 2 частей: тела самого вируса и кодировщика / декодера. Во время воспроизведения основное тело было зашифровано разными ключами (иногда с разными алгоритмами), и был добавлен код дешифрования. Когда вы запускаете зараженный файл (я немного бегу впереди, я скажу, что эта технология получила новое изменение сегодня), декодер восстанавливает основную часть вируса и передает управление ему. Результат был почти полностью отличен от оригинала. Опять же, для обнаружения был использован сложный подход подписи. Т.е. в качестве исходной подписи использовались постоянные секции декодера, если подпись совпала, тогда была использована предопределенная процедура дешифрования, и к декодированному коду была применена общая база сигнатур! Мы можем сразу же заключить, что этот подход не очень эффективен, но в основном трудоемкий (написание процедур дешифрования - это длительный процесс, требующий детального изучения кода вируса). Но вернемся к полиморфным вирусам. Они работали над аналогичными принципами и, например, также могли быть самошифруемыми, и для их защиты генерирует полиморфный декодер!
С их появлением значительная часть антивирусных продуктов, которые существовали в то время, умерла, потому что они не могли обеспечить защиту от них. Конечно, они также могут быть обнаружены с использованием подхода процедурной подписи, но ситуация осложнялась тем, что число полиморфизмов росло экспоненциально! Разработчикам физически не хватало времени, чтобы написать процедуру обнаружения для всех. И все же решение было найдено ... Изначально это оказалось обычной трассировкой программы!
Трассировка - это пошаговое выполнение программы. Детали реализации не следует рассматривать - я буду только отмечать, что все отладчики основаны на этом принципе. Таким образом, мы можем определить определенную логику программы, выделить характерные признаки, которые являются действительными при выполнении конкретного вируса, и сделать наш вердикт. Но, увы, очень легко противодействовать этому - существует огромное количество способов узнать, находимся ли мы под следствием. В лучшем случае вирус может завершить себя, заблокировав работу антивируса, а в худшем - запустить деструктивный код для выполнения.
Идеологическим продолжением было создание эмулятора кода. В этом случае непосредственно фрагмент кода помещается в специальную среду (буфер), в которой он разбирается в инструкции и запускается для псевдо-исполнения! Но везде есть некоторые нюансы, и довольно сложно правильно обрабатывать любую ситуацию, поэтому в разработку эмуляторов прилагаются большие усилия. Другим недостатком является понятие времени эмуляции - предельное время, после которого процесс псевдопроизводства будет прекращен. Грубо говоря, эмулятор может висеть или переходить в бесконечный цикл, и если вы потратите много времени на эмуляцию каждого файла, процесс сканирования может занять несколько дней.
Существует также проблема, связанная с тем, что если эмулятор не знает каких-либо инструкций или неверно истолковывает логику фрагмента кода, он либо останавливает свою работу, либо запускает неправильный процесс эмуляции, в результате чего он будет прекращен после некоторое время (время эмуляции). Именно эти недостатки используются разработчиками вирусов - они часто вставляют такие ловушки в свои творения. Но, несмотря на это, эмуляторы часто выходят из сложных ситуаций «с чистой совестью».
И в конце я хотел бы сказать о достойном наследнике полиморфизма - метаморфизме. Суть этого метода заключается в том, чтобы полностью изменить тело вируса без изменения его функциональности. Нет общих решений для обнаружения такого семейства вирусов - индивидуального подхода. Единственный вариант, который может применяться в обычных ситуациях, - это построить график потока. Имея одну (несколько) копии, мы, грубо говоря, помним ее логику и сравниваем ее с логикой проверяемой программы, т. Е. Мы оцениваем их семантически, а не синтаксически! Эти методы довольно сложно реализовать, и я не мог найти никаких других понятных решений этой проблемы.
Довольно загадочный, но часто используемый в рекламных кампаниях слово греческого происхождения. Он обычно используется, когда дело доходит до обнаружения неизвестных вирусов. Ну, давайте поймем с самого начала. На мой взгляд, эта технология, скорее всего, является попыткой выделиться на рынке антивирусных продуктов, а не на самом деле придумывать технологию борьбы с неизвестными вредоносными программами. Хотя очень сложно отличить вирус от обычной программы, есть ряд признаков, которые в совокупности позволяют полагать, что у нас есть вредоносная или зараженная программа. Ну, для начала рассмотрим файловые вирусы - при заражении исполняемого файла они должны каким-то образом добавить к нему свой код.
Существует три основных метода: создание нового раздела или увеличение размера последнего в исполняемом файле, затем размещение кода в новом пространстве или вставка его в пустые части файла (например, пространство между разделами файлов ). Кроме того, каждый исполняемый файл (для простоты мы будем называть его файлом PE) имеет строго определенную структуру и свой собственный заголовок, с помощью которого вы можете перемещаться по этой структуре. Таким образом, одним из полей заголовка является поле, которое указывает на точку входа (Entery Point - EP). EP - это место (адрес), с которого начинается программа. При заражении он управляет этим полем и меняет адрес на тот, где начинается его собственный код. После запуска зараженной программы сначала будет запущен корпус вируса, а затем он перенесет управление в исходную программу EP. Таким образом, у нас есть зараженный файл, в то время как он сохраняет свою производительность. Итак, как эвристика помогает нам в таких случаях?
Очень редко точка входа неинфицированного файла находится в последнем разделе и даже больше, поэтому он не может (с точки зрения правильной программы) находиться между другими разделами. Используя это, антивирус заключает, что у нас есть Unknown_WIN32_Virus. Набор аналогичных правил также включает списки подозрительных команд (или, опять же, их комбинацию), подозрительные строки внутри двоичного файла, функции API, которые использует приложение и т.д. Этот метод является попыткой подражать процессу человеческого мышления , Но, на мой взгляд, это не совсем успешная попытка, поскольку часто встречаются случаи ложных срабатываний, а иногда они превышают правильные числа.
Полностью изобретательный метод, который появился недавно. Не всем антивирусам удалось это получить, но многие уже стремятся к этому. Начнем, как всегда, с самого начала. Когда вирус (мы рассматриваем троянскую программу как пример), попадает на компьютер, в первую очередь он должен быть исправлен в системе: поместите его копию в любой системный каталог, поскольку обычные пользователи там не смотрят. Следующим шагом в консолидации является запись в автозагрузку (есть много способов сделать это, поэтому чем больше таких мест известно для проактивной защиты, тем лучше), ну, а затем полезная нагрузка / установка вспомогательных драйверов в системе (довольно популярный метод), меняя память других процессов (в частности, внедрение библиотеки dll в адресное пространство доверенного процесса - например, интернет-браузер), кража конфиденциальных данных. Как эта очень активная защита помогает нам? Его основная задача - предотвратить потенциально опасные действия, выполняемые в системе, но есть один недостаток. Система не может принимать решения сама по себе, выбор действий предоставляется самому пользователю (фактически, он либо допускает потенциально опасное действие, либо нет). В большинстве случаев он может выбрать адекватное действие для данной ситуации, но, как всегда, человеческий фактор играет определенную роль, поэтому даже наличие такой системы не в состоянии полностью защитить нас от угрозы.
Но есть более солидные решения, в которых есть серьезный аналитический компонент, который сам может принимать участие в решениях без вмешательства пользователя. Я возьму на себя смелость отнести некоторые функции брандмауэра к активной защите (и в большинстве случаев они полностью обладают этим). Как вы могли догадаться, это доступ к интернет-приложениям - даже если антивирус не смог обнаружить троян, эта возможность просто заблокировала бы его работу с сетью, поэтому вся похищенная информация не будет передаваться. Я не буду вдаваться в технологию создания проактивной защиты - я просто скажу ключевую фразу, что вы должны войти в поисковую систему, и она даст вам целую кучу статей об этом. Перехват функций API - вы получите необходимые результаты для этого запроса. И теперь, как всегда, маленькая муха в мазе. Поскольку технология относительно молода, в ее реализации часто возникают грубые ошибки, которые приводят к зависанию системы или появлению BSOD (Blue Screen Of Dead) или даже иногда создаются механизмы, которые могут отключить этот тип защита. Как уже упоминалось, этот метод также называется словом HIPS. Существует также отрасль этой технологии - песочница (от английской «песочницы») - хотя это скорее логическое продолжение эмулятора, но я нашел полную реализацию этой «песочницы» только в одном антивирусе. Его разработчики пошли намного дальше, чем остальные. Мы можем сказать, что они могли эмулировать работу операционной системы в защищенной среде, помещать в нее вирус и анализировать его поведение (копирование в системные папки, запись в реестр, попытку доступа к сети, активное использование файлов , и многое другое). Это может не только отметить его как потенциальный вирус (не только трояны, но и все другие классификации), но даже определить его тип.
Для людей, которые не знакомы с этим термином, я попытаюсь четко объяснить, что такое руткиты. Таким образом, вирус не может быть вызван, потому что они не обладают никакими деструктивными действиями, не размножаются, не крадут конфиденциальную информацию. Это всего лишь метод, используемый для скрытого присутствия в системе. Как ни странно, но все HIPS основаны именно на технологии, которая была первоначально включена в руткиты. Так что они делают? Прежде всего, они способны скрывать файлы на жестком диске, ключи реестра, загруженные драйверы, процессы, сетевые подключения, входящий / исходящий трафик. Уже, наверное, стало очевидно, что это будет означать. Без специальных программ невозможно определить наличие вирусов с использованием этого метода сокрытия в системе (Rku, AVZ, GMER).
Каждый уважающий себя антивирус просто обязан иметь способы противодействовать руткитам. Другим важным моментом является то, что обычно компонент rootkit находится в драйвере (я упоминал ранее, используя драйверы), что позволяет ему работать в Ring0 (ring zero) - в этом режиме все разрешено ... Конечно, антивирусы также прибегают к доступ к этому режиму для борьбы с руткитами, но поскольку в этом режиме нет ограничений, охота за руткитом напоминает игру «кошки-мышки» - вирусописатели прибегают к недокументированным функциям операционной системы, что добавляет головную боль к разработчики антивирусов. Никто не показывает сами методы поиска, но если вы хорошо ищите в Интернете, вы можете найти несколько способов. Обсуждать их - это тема отдельной статьи. Я могу только сказать, что антивирусы уверенно справляются только с теми руткитами, которые используют стандартные технологии (в настоящее время существует так много способов реализовать эту технику), и есть очень сложные случаи, которые шли в Интернете в течение очень долгого времени, и нет один не был обнаружен (пример: руткит Rustok).
В последнее время вся индустрия создания вирусов перешла на коммерческую основу. Если до того, как вирусы были разработаны только за счет чистого энтузиазма, теперь ситуация изменилась в корни. Файловые вирусы стали совершенно невостребованными, потому что, помимо эстетического удовольствия и разрушения, они не имеют ничего. Таким образом, способность получать подобный тип вируса очень мала. Трояны стали более популярными. Их основная функция - украсть любые данные, такие как пароли. Боты DdoS и Spam находятся в особом положении. Это также целая индустрия, приносящая огромную прибыль владельцам сетей бот-сетей. В настоящее время обязанности в этой области строго распределены - те люди, которые создают трояны / боты, сами не используют их, а продают. И цена зависит от полезной нагрузки. Также есть случаи развития на заказ. И теперь я обращусь к главному.
Представьте себе: плохой человек заказал создание индивидуального трояна и какое-то время начинает использовать его для своих эгоистических целей. Вскоре вирус входит в анализ в антивирусных лабораториях, и он уже начинает обнаруживаться людьми. А что произойдет, если владелец этого трояна? Конечно, он не хочет давать N-ю сумму (которая может достигать нескольких тысяч долларов) для создания нового трояна. Ну, в принципе, он может попросить «очистить» того, кто его разработал, но иногда либо возникают некоторые проблемы, либо стоимость этой услуги превышает допустимую. Именно здесь крипторы / упаковщики приходят ему на помощь. Первоначально они использовались для защиты от дизассемблирования и сжатия исполняемого файла, но это вызывает, так сказать, побочный эффект, а именно, код троянца полностью изменяется (поскольку он зашифрован и / или сжат). В то же время крипторы основаны на методе «самошифрующих» вирусов - как говорится, «все новое хорошо забыто старым». Да, и упаковщики не сильно отличаются друг от друга. Из-за этого подписи становятся бесполезными, и вирус не обнаруживается снова. Но это всего лишь минимальная нагрузка, которую они могут нести - почти все современные крипторы используют полиморфизм, во-вторых, они также включают в себя компоненты для обхода проактивной защиты и брандмауэров, различные методы для усложнения ее анализа, антиэмуляции и анти-отладочных трюков. В общем, полный букет. В то же время стоимость таких утилит находится в приемлемом ценовом диапазоне (если речь идет о покупке самого криптографа).
Есть также «crypt-services», которые за очень небольшие деньги могут стереть подпись трояна - их цена обычно колеблется от 10 центов до нескольких долларов! Вот почему эта услуга настолько популярна - она требует минимальных затрат и времени.
Я также хотел бы упомянуть джоинеры (Joiners). Их единственная задача - объединить вирусный файл с какой-то безобидной программой. На входе у нас есть 2 или более файлов, на выходе - 1. Если вы запустите этот файл, обе программы, которые были первоначально подготовлены, начнутся одновременно. Пользователь думает, что все в порядке, потому что программа с ярким интерфейсом и приятным для глаз действительно началась, но в то время вирус уже был исправлен в системе и начал собственный бизнес. Итак, давайте перейдем к самым методам борьбы с ними. Если вы внимательно прочитали предыдущие части статьи, можно предположить, что одним из методов обнаружения является эмулятор кода - на самом деле именно для этого он был создан. Но это не всегда помогает, поэтому многие разработчики антивирусных программ взяли более простой путь (и более ненадежный с точки зрения защиты). Они создают еще одну базу, в которой хранятся шифровальные / пакерные подписи, ну или алгоритмы, которые могут их обнаружить (если мы говорим о полиморфных гибридах), и базу процедур распаковки. Но они не полностью распаковываются, но только та часть программы, к которой может применяться обычное сканирование подписи. Но иногда они приходят еще проще: если к ним попадает вирус, защищенный криптографией, и этот криптор специально предназначен для скрытия сигнатур вирусов, они не страдают от написания распакованных процедур, а просто извлекают подпись декодера и добавляют его к база данных как вирус. Весьма интересным моментом является то, что антивирус все еще удается обмануть, объединив несколько крипторов и / или упаковщика - это не всегда работает, но многие антивирусы не адекватно реагируют на такой симбиоз и пропускают файл как чистый.
3. АНТИВИРУСНЫЕ ПРОГРАММЫ
Антивирусная программа используется в качестве меры безопасности и средства защиты от компьютерных вирусов. Задачей антивирусной программы является сканирование, обнаружение и предотвращение вирусов.
Антивирусные программы — это необходимый инструмент, который вы должны установить на своем компьютере или в сети. Антивирусные программы обеспечивают защиту компьютера в режиме реального времени, доступа и защиты по требованию. Способ работы программ основан на версии вашей антивирусной программы. Антивирусные программы могут быть автономными или могут быть включены в комплект защиты и распределены в 32 и 64-разрядных версиях на нескольких операционных системах, таких как Windows, Linux и Mac, что позволяет защитить все различные типы компьютеров от вредоносного программного обеспечения.
Первой и самой важной задачей антивирусной программы является защита, предотвращение или блокирование любой вредоносной активности на вашем компьютере или в домашней и офисной сети в режиме реального времени. Защита в реальном времени должна инициировать предупреждение или обеспечивать автоматическое действие всякий раз, когда обнаружена подозрительная или положительно идентифицированная активность вредоносного ПО. Большинство антивирусных программ будут отслеживать только некоторые критические области вашего компьютера.
Когда установлена антивирусная программа, она начнет отслеживать активность системы, просматривая файлы, к которым осуществляется доступ, переносится или сохраняется на жестких дисках и внешних / съемных дисках. Сканируются файлы, загружаемые из Интернета. Если обнаружена подозрительная активность, антивирусная программа автоматически удалит файл или остановит процессы, которые создают риск для вашей системы, ваших контактов или других компьютеров или устройств в вашей сети, если вы не доверяете файлу, который вы получаете.
Антивирусные программы предлагают несколько типов методов обнаружения для выявления вредоносных программ, но наиболее распространенными методами обнаружения являются эвристический анализ и использование традиционного обнаружения вирусов (на основе сигнатур).
1. Характеристики программы. Это называется эвристическим сканированием. Эвристические механизмы сканирования работают по принципу, что вирусы обычно используют определенные «трюки» или методы заражения, поэтому, если программа выглядит так, как будто она может использовать эти трюки, существует вероятность, что программа является вирусом. Звучит просто? Нет, не совсем, на самом деле невероятно сложно написать надежный 100% эффективный механизм эвристики. (Двигатель, просто говоря, просто слово, которое мы используем, чтобы описать бит, который управляет детектором вирусов, и сравнивает файлы с базой данных известных инфекционных агентов). Более агрессивный эвристический сканер может обнаруживать большое количество так называемых «ложных положительных», т.е. файлы, которые действительно полностью невиновны, но похоже, что они могут изменять другие файлы, менее агрессивные могут пропустить файлы, которые действительно являются вирусами. Метод эвристического анализа предназначен для того, чтобы антивирусная программа декомпилировала подозрительную программу, а затем проанализировала исходный код, содержащийся внутри. В действительности эвристика работает достаточно хорошо для некоторых типов вирусов, таких как вирусы макросов, но не так хорошо для других типов. Тем не менее, они представляют собой разумную попытку обеспечить защиту от неизвестных в настоящее время вирусов. Преимущество этого метода заключается в том, что нет времени, когда компьютер не защищен после выпуска определенных вирусов. К недостаткам относится тот факт, что могут возникать ложные срабатывания, и некоторые вирусы не могут быть идентифицированы во время сканирования. Первые эвристические двигатели были введены для обнаружения вирусов DOS в 1989 году. Однако в настоящее время существуют эвристические механизмы для почти всех классов вирусов.
2. Поиск на месте или подписи на основе вирусной программы. Вирусная подпись - это конкретный шаблон «бит» или информация, содержащаяся в вирусе, который не отображается ни в одном другом файле или программе в мире, кроме этого вируса. Этот метод является наиболее распространенным методом, используемым для идентификации вирусов, и ложные срабатывания очень редки. Он сравнивает следы вируса с библиотекой известных следов, которые соответствуют вирусам. Отпечаток - это шаблон в данных, включенных в файл. Используя этот метод, вирусы должны быть идентифицированы как вирусы, а затем добавлены в библиотеку следов. Преимущество этого метода заключается в том, что ложные срабатывания очень редки. Недостатком этого метода является тот факт, что существует период времени, в течение которого вирус освобождается, когда обновляется библиотека известных следов. В течение этого периода времени вирус не будет распознаваться и может заразить компьютер.
Из самых лучших антивирусных программ можно назвать следующие:
– Kaspersky Anti-Virus 2019
– Bitdefender Antivirus Plus 2019
– Avast Free Antivirus
– ESET NOD32 Antivirus
– Norton AntiVirus Basic 2018
– Panda Antivirus Pro
ЗАКЛЮЧЕНИЕ
Компьютерные вирусы существуют уже более тридцати лет. До сих пор насчитано более 40 000 различных вирусов. В последние годы число вирусов резко возросло. По оценкам, убытки, которые они вызывают, составляют несколько миллиардов долларов США в год. Чаще всего происхождение вируса трудно отслеживать. Мы выяснили, что антивирусное программное обеспечение необходимо постоянно обновлять, чтобы справляться с новыми типами вирусов. Развитие интернета позволило вирусам быстро распространяться в массовом масштабе, воспользовавшись несколькими лазейками безопасности. Постоянная задача состоит в том, чтобы быстро и эффективно реагировать на эти вирусные атаки.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Климентьев К.Е. Компьютерные вирусы и антивирусы: взгляд программиста. - М.: ДМК-Пресс, 2013.
2. Rune Skardhamar Virus: Detection and Elimination.
3. Фролов А., Фролов Г. Осторожно: компьютерные вирусы. – М.: Диалог-МИФИ, 2002.
4. История вредносных программ https://encyclopedia.kaspersky.ru/knowledge/history-of-malicious-programs/
5. Fred Cohen Computer Viruses — Theory and Experiments.
6. Blunden B. The Rootkit Arsenal / Bill Blunden. — Plano, Texas: Wordware Publishing, Inc., 2009.
- Понятие и виды наследования (разновидности)
- Нотариат в РФ
- Правовое регулирование российского нотариата
- Нотариальные действия
- Способы представления данных в информационных системах
- Состав и свойства вычислительных систем. Информационное и математическое обеспечение вычислительных систем (изучение состава и свойств)
- Менеджмент человеческих ресурсов (Лидер)
- Практические основы бухгалтерского учета имущества организации. Счета и двойная запись
- Счета и двойная запись
- Контроль за профессиональной деятельностью нотариуса (Контроль и надзор в сфере нотариата)
- Особенности коммуникаций в организации «Trade Master»
- ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИИ ОПЕРАЦИЙ БИЗНЕС-ПРОЦЕССА «АНАЛИЗ И ИЗУЧЕНИЕ КОНКУРЕНЦИИ »