Операционная система Windows


 

Меню

Реклама
Похожие статьи:

Популярные записи



  • Программы детекторы и доктори

    Первые исследования искусственных конструкций, что саморозмножуються, проводились в середине нынешнего столетия. В работах фон Неймана, Винера и других авторов, даны определения и проведено математический анализ конечных автоматов, в том числе и что самовоспроизводятся. Срок «компьютерный вирус» появился позже - официально считается, что его впервые употребил сотрудник Лехайского университету США Ф. Коэн в 1984 г. на 7-й конференции по безопасности информации, которая проходила в США. С тех пор прошло немало времени, острота проблемы вирусов многоразово выросла, однако строгого определения, что же такое компьютерный вирус, так и не данный, невзирая на то, что попытки дать такое определение начинались неоднократно.

    Основные трудности, которые возникают при попытках дать строгое определение вируса, заключается в том, что практически все отличительные черты вируса внедрения в другие объекты, скрытность, потенциальная опасность, и проч. или свойственные другим программам, что в любом случае вирусами не является, или существуют вирусы, которые не содержат отмеченные выше отличительные черты за исключением возможности распространения.

    Например, если как отличительную характеристику вируса принимается скрытность, то легко привести пример вируса, который не прячет своего распространения. Такой вирус перед заражением любого файла выводит сообщение, которое говорит, что в компьютере находится вирус и этот вирус готовый поразить дежурный файл, потом выводит имя этого файла и спрашивает разрешение пользователя на внедрение вируса в файл.

    Если как отличительную черту вируса приводится возможность уничтожения им программ и данных на дисках, то в качестве контрпримера к данной отличительной черте можно привести десятки совсем безобидных вирусов, что кроме своего распространения ничем больше не отличаются.

    Основная же особенность компьютерных вирусов - возможность их непроизвольного внедрения в разные объекты операционной системы - свойственная многим программам, которые не являются вирусами. Например, самая распространенная операционная система MS-DOS имеет в себе все необходимое, чтобы непроизвольный устанавливаться на не-dоsъовски диски. Для этого достаточно на загрузочный флоппи-диск, который содержит DOS, записать файл AUTOEXEC. ОАО следующего содержания:

    SYS A:

    COPY. A:\

    SYS B:

    COPY. B:\

    SYS C:

    COPY. C:\

    ...

    Модифицирована таким способом DOS сама станет самим действительным вирусом с точки зрения практически любого существующего определения компьютерного вируса.

    Таким образом, первой из причин, которые не позволяют дать точное определение вируса, есть невозможность однозначно выделить отличительные признаки, которые отвечали бы только вирусам.

    Вторыми же трудностями, которые возникают при формулировке определения компьютерного вируса есть то, что данное определение должно быть привязано к конкретной операционной системе, в которой этот вирус распространяется. Например, теоретически могут существовать операционные системы, в которых наличие вируса просто невозможно. Таким примером может служить система, где запрещенная создавать и изменять области выполняемого кода, то есть запрещено изменять объекты, что или уже выполняются, или могут выполняться системой при каких-либо условиях.

    Потому представляется возможным сформулировать только обязательное условие для того, чтобы некоторая последовательность выполняемого кода была вирусом.

    ОБЯЗАТЕЛЬНЫМ НЕОБХОДИМЫМ СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты не обязательно совпадающие с оригиналом и внедрять их в вычислительные сети и/чи файлы, системные области компьютера и другие выполняемые объекты. При этом дубликаты хранят способность к последующему распространению.

    Следует отметить, что это условие не является достаточным то есть окончательным, поскольку выплывая вышеприведенному примеру операционная система MS-DOS удовлетворяет данному свойству, но вирусом, скорее всего, не является.

    Вот почему точного определения вируса нет доныне, и вряд ли оно появится в доступном для обзора будущему. Следовательно нет точно определенного закона, по которому «красивые» файлы можно отличить от «вирусов». Более того, иногда даже для конкретного файла достаточно сложно определить, есть он или вирусом нет.

    Вот два примеры: вирус KOH и программа ALREADY. COM.

    Внимательный читатель, может отрицать:

    Стип. Hазва «вирусы» относительно программ пришло из биологии именно по признаку самого размножения. КО этому условию отвечает, следовательно это есть вирус или комплекс, который включает вирусный компонент...

    В таком случае DOS является вирусом или комплексом, который включает вирусный компонент, поскольку в нем есть команда SYS и COPY. А если на диске присутствует файл AUTOEXEC. ОАО, приведенный несколькими абзацами выше, то для размножения не будет нужно даже вмешательство пользователя. Плюс к этому: если принять за необходимый и достаточный признак вируса возможность самого размножения, то тогда любая программа, которая имеет инсталлятор, является вирусом. Вместе: аргумент не проходит.

    ... что, если под вирусом понимать не просто « код, что саморозмножуеться", но « код, щосаморозмножуеться, не исполняющих полезных или действий даже приносит вред, без привлечения/информирования пользователя»...

    Вирус KOH является программой, которая шифрует диски по пароли, что вводится пользователем. _уси_ свои действия KOH комментирует на экране и спрашивает разрешению пользователя. Плюс до того имеет деинсталлятор - расшифровывает диски и удаляет из них свой код. Однако все ровно - вирус!

    Если в случае с ALREADY. COM привлечь субъективные критерии корисний/не полезная, входит в комплект/самостийна и т. п., то, возможно, это и не стоит называть вирусом/червяком. Но стоит ли привлекать эти самые субъективные критерии?

    А которые могут быть объективные критерии вируса? Само размножение, скрытность и деструктивные свойства? Но ведь на каждый объективный критерий можно привести два контрпримера - а примеры вируса, который не подходит под критерий, и b пример не-вирусу, что подходит под критерий:

    само Размножение:

    1. Intended-вируси, которые не умеют размножаться из-за большого количества ошибок, розмножаються ли только при очень ограниченных условиях.

    2. MS-DOS и вариации на тему Sys+copy.

    Скрытность:

    1. Вирусы «KOH», «Virdem», «Macro. Word. Polite» и некоторые другие информируют пользователя о своем присутствии и размножении.

    2. Сколько приблизительно с точностью до десятка драйверов сидит под стандартной Windows95 ? Тайком сидит, между прочим.

    Деструктивные свойства:

    1. Безобидные вирусы, типа «Yankee», что прекрасно живут в DOS, Windows 3.x, Win95, NT и ничего никуда не гадять.

    2. Старые версии Norton Disk Dосtоrъа на диске с длинными именами файлов. Запуск NDD в этом случае превращает Disk Dосtоrъа в Disk Dеstrоуеrъа.

    Потому тема «нормального» определения компьютерного вируса остается открытой. Есть только несколько точных вех: например, файл COMMAND. COM вирусом не является, а печально известная программа с текстом «Dis is one half» является стопроцентным вирусом »Onehalf». Все, что лежит между ними, может как оказаться вирусом, так и нет.

    <а name="_toc448983304">класификация компьютерных вирусив

    Вирусы можно разделить на классы по следующим основных признаках:

    · среда существования;

    · операционная система OC;

    · особенности алгоритма работы;

    · деструктивные возможности.

    По СРЕДЕ СУЩЕСТВОВАНИЯ вирусы можно разделить на:

    · файловые;

    · загрузочные;

    · макро;

    · сетевые.

    Файловые вирусы или разные способы внедряются в выполняемые файлы наиболее распространен тип вирусов, или создают файлы-двойники компаньоны-вирусы, или используют особенности организации файловой системы link-вируси.

    Загрузочные вирусы записывают себя или в загрузочный сектор диска boot-сектор, или в сектор, что содержит системный завантажник винчестера Master Boot Record, или изменяют указатель на активный boot-сектор.

    Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

    Сетевые вирусы используют для своего распространения или протоколы команды компьютерных сетей и электронной почты.

    Существует большое количество соединений - например, файлово-загрузочни вирусы, которые заражают как файлы, так и загрузочные секторы дисков. Такие вирусы, как правило, имеют достаточно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологиї. Другой пример такого соединения - сетевой макро-вирус, который не только заражает документы, которые редактируются, но и рассылает свои копии по электронной почте.

    Операционная СИСТЕМА, которая заражается, вернее, ОС, объекты которой подданные заражению являются вторым уровнем распределения вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/nt, Os/2 и так далее Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

    Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:

    · резидентнисть;

    · использование стелс-алгоритмив;

    · сама шифровка и полиморфичность;

    · использование нестандартных приемов.

    РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения и внедряется в них. вирусы находятся в памяти и являются активными вплоть до выключения или компьютера перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и хранят активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

    Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие «перезагрузки операционной системы» трактуется как выход из редактора.

    В многозадачных операционных системах время «жизни» резидентного DOS-вирусу также может быть ограничено моментом закрытия зараженного DOS-викна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

    Использование Стелс-алгоритмив позволяет вирусам или полностью частично спрятать себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вируси при этом или временно лечат их, или «подставляют» вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрещение вызовов меню пересмотра макросов. Один из первых файловых стелс-вирусов — вирус «Frodo», первый загрузочный стелс-вирус, — «Brain».

    САМА ШИФРОВКА и Полиморфичнисть используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру выявления вируса. Полиморфик-вируси polymorphic - это достаточно важковиявлени вирусы, которые не имеют сигнатуры, то есть не удерживающие ни одного постоянного участка кода. В большинстве случаев два образца того же полиморфик-вируса не будет иметь ни одного совпадения. Это достигается шифровкой основного тела вируса и модификациями программы-розшифровувача.

    Разные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы глубочайше спрятать себя в ядре OC как это делает вирус «3apa3a», защитить от выявления свою резидентную копию вирусы «TPVO», «Trout2», затруднить лечение от вируса например, поместив свою копию в FLASH-BIOS и т. д.

    По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:

    · безвредные, то есть никак что не влияют на работу компьютера кроме уменьшения свободной памяти на диске в результате своего распространения;

    · безопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и др. эффектами;

    · опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

    · очень опасные, в алгоритм работы которых сознательно заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как говорит одна из непроверенных компьютерных легенд, способствовать быстрому сносу частей механизмов, которые двигаются, - вводить в резонанс и разрушать головки некоторых типов винчестеров.

    Но даже если в алгоритме вируса не найдено отраслей, которые наносят убыток системе, этот вирус нельзя с полной уверенностью назвать безвредным, потому что проникновение его в компьютер может вызывать непредвиденные и временами катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков например, полностью безобидный на первый взгляд вирус «Denzuk» достаточно корректно работает с 360k дискетами, но может уничтожить информацию на дискетах большего объема. Доныне потрапляються вирусы, которые определяют «COM или EXE» не по внутреннем формате файла, а по его расширению. Естественно, что при расхождении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также «заклинивание» резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими могучими программными системами. И так далее.