Анализ антивирусных средств защиты

  Программы-мониторы. Антивирусные мониторы — это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об их возникновении. К вирусоопасным относятся вызовы на открытие для записи в выполняемых файлах, запись в загрузочные секторы дисков, попытки программ остаться резидентно. Иначе говоря, вызовы генерируются вирусами в моменты их размножения.

  К достоинствам программ-мониторов относится  их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К недостаткам относятся существование путей обхода защиты монитора и большое количество ложных срабатываний. Существуют аппаратные реализации некоторых функций мониторов, в том числе встроенные в BIOS. Однако, как и в случае с программными мониторами, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS утилиты FDISK немедленно вызывает ложное срабатывание защиты.

  Программы-вакцины. Антивирусные вакцины (иммунизаторы) подразделяются на два типа: сообщающие о заражении и блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса), и при запуске файла каждый раз проверяют его на предмет обнаружения изменений. Недостаток у таких вакцин один, но он летален: абсолютная неспособность вакцины сообщить о заражении СТЕЛСвирусом. Поэтому такие иммунизаторы, как и мониторы, в настоящее время практически не используются.

  Второй  тип вакцин защищает систему от поражения  вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженными. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске зараженной программы, вирус распознает вакцину как свою резидентскую копию и не активизируется. Такой тип вакцинации не может быть универсальным, поскольку при его помощи нельзя иммунизировать файлы от всех известных вирусов. Однако несмотря на это подобные программные средства в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет детектироваться антивирусными сканерами.

  Антивирусные программные комплексы. В современных условиях лишь они могут обеспечить надежную защиту от вирусных программ, отличающихся большим разнообразием принципов построения и функционирования. Обычно современные антивирусные программные комплексы включают в свой состав монитор, сканер, ревизор и планировщик.

  Планировщик используется для координации работы разных компонентов антивирусного пакета и планирования антивирусных мероприятий в вычислительной системе.

  Вакцина вследствие своей естественной ограниченности использования низкой универсальности в настоящее время практически не применяется. 
 
 

2.3 Обобщенная структура сети ЭВМ

  Рассматривая  использующиеся в настоящее время  сети ЭВМ, можно выделить их обобщенную структуру (рис.2).

  Абонентские пункты сети могут быть объединены в единую систему с серверами локальных сетей, которые, в свою очередь, соединяются между собой. Таким образом, через линии связи объединяются несколько локальных вычислительных сетей, которые могут быть как территориально близкими, так и разнесенными на значительные удаления.

  Серверы локальной сети могут быть подключены к концентратору сообщений, объединяющему потоки информации с нескольких локальных сетей и (или) изолированных абонентских пунктов. Объединенный концентратором сообщений информационный поток поступает на коммутационную машину (коммутатор), которая в свою очередь производит логическую коммутацию передаваемых информационных потоков в другие локальные сети, их объединения, концентраторы сообщений или изолированные абонентские пункты.

  

  

  

  Абонентский      Сервер           Абонентский                                  Абонентский    Абонентский

      пункт          локальной           пункт                                             пункт  пункт

        сети    

                                                                                    Коммутатор

  

  

        Концентратор

                                                   сообщений

    Абонентский пункт

  

    Сервер

  Абонентский            Сервер            Абонентский      Абонентский     локальной

          пункт             локальной                пункт              пункт             сети

                              сети                                                                                                Абонентски

        пункт

  Рисунок 2- Обобщенная структурк сети ЭВМ

  Можно выделить следующие функционально  законченные элементы сети:

  локальные сегменты сети (с различной архитектурой). Их особенностью является возможность использования удаленных ресурсов файловых серверов или других рабочих станций, абонентских пунктов;

  коммуникационные  сегменты сети, которые производят фрагментирование и объединение пакетов данных, их коммутацию и собственно передачу.

  Как правило, рабочие станции не могут  использоваться для доступа к ресурсам коммуникационных фрагментов вне решения задач передачи сообщений или установления логических соединений.

  Для различных сегментов сети можно  выделить следующие угрозы безопасности информации:

  перехват, искажение, навязывание информации со стороны фрагментов сети;

  имитация  посылки ложных сообщений на локальные  фрагменты сети;

  имитация  логического канала (удаленный доступ) к ресурсам локальных сегментов  сети;

  внедрение в циркулирующие по сети данные кодовых  блоков, которые могут оказать деструктивное воздействие на программное обеспечение и информацию;

  перехват, навязывание, искажение информации при передаче по собственным линиям связи локальных сегментов сети;

  внедрение программных закладок в программное  обеспечение рабочих станций  или в общедоступные ресурсы (во внешней памяти файл-серверов) локальных сегментов сети.

  По  принципу действий программной закладки на компьютерную сеть можно выделить две основные группы.

  1. Существуют закладки вирусного типа, которые способны уничтожать или искажать информацию, нарушать работу программного обеспечения. Закладки такого типа особенно опасны для абонентских пунктов сети и рабочих станций локальных вычислительных сетей. Они могут распространяться от одного абонентского пункта к другому с потоком передаваемых файлов или инфицировать программное обеспечение рабочей станции при использовании удаленных ресурсов (при запуске инфицированных программ в оперативной памяти рабочей станции даже без экспорта 
выполняемого,модуля с файл-сервера).

  2. В сетях могут функционировать специально написанные зак 
ладки типа «троянркий конь» и «компьютерный червь». «Троянский конь» включается, и проявляет себя в определенных усло 
виях (по времени, ключевым сообщениям и т.п.). «Троянские 
кони» могут разрушать и (или) искажать информацию, копировать фрагменты конфиденциальной информации или пароли (ключи), засылать сообщения не по адресу или блокировать прием (отправку) сообщений. Закладки этого типа, как правило, жестко функциональны и учитывают различные особенности и свой 
ства программно-аппаратной среды, в которой работают. Информация для их работы доставляется закладками следующего типа — «компьютерный червь».

  «Компьютерные черви» нацелены на проникновение в  системы разграничения доступа пользователей к ресурсам сети. Такие закладки могут приводить к утере (компрометации) матриц установления полномочий пользователей, нарушению работы всей сети в целом и системы разграничения доступа в частности. Примером закладки этого типа является известный репликатор Морриса.

  Возможно  создание закладок, объединяющих в  себе черты и свойства как «троянских коней», так и «компьютерных червей».

  Программные закладки представляют опасность как  для абонентских пунктов с их программным обеспечением, так и для коммутационной машины и серверов локальных сетей.

  Возможны  следующие пути проникновения (внедрения) программных закладок в сеть:

  заражение программного обеспечения абонентских  пунктов вирусами и деструктивными программами типа «троянских коней» и «компьютерных червей» вследствие нерегламентированных действий пользователей (запуска посторонних программ, игр, иных внешне привлекательных программных средств — архиваторов, ускорителей и т.п.);

  умышленное  внедрение в программное обеспечение  абонентских пунктов закладок типа «компьютерных червей» путем их ассоциирования с выполняемыми модулями или программами начальной загрузки;

  передача  деструктивных программ и вирусов  с пересылаемыми файлами на другой абонентский пункт и заражение его в результате пользования зараженными программами;

  распространение вирусов внутри совокупности абонентских  пунктов, объединенных в локальную сеть общего доступа;

  внедрение в программное обеспечение абонентских  пунктов вирусов при запуске программ с удаленного терминала;

  внедрение вирусов и закладок в пересылаемые файлы на коммутационной машине и (или) на сервере локальной сети.

  Телекоммуникационные  сети, как правило, имеют неоднородную операционную среду, поэтому передача вирусов по направлению абонентский пункт — коммутатор чрезвычайно затруднена: пользователи с абонентских пунктов не могут получить доступ к программному обеспечению коммутатора, поскольку информация на коммутаторе представляется в фрагментированном виде (в виде пакетов) и не контактирует с программным обеспечением коммутационной машины. В этом случае заражение вирусами может наступать только при пользовании коммутационной машиной как обычной ЭВМ (для игр или выполнения нерегламентированных работ). При этом возможны заражение коммуникационного программного обеспечения и негативное влияние на целостность и достоверность передаваемых пакетов.

  Исходя  из перечисленных путей проникновения  вирусов и возникновения угроз в сети можно детализировать вирусные угрозы.

Для абонентских  пунктов:

искажение (разрушение) файлов и системных областей DOS;

  уменьшение  скорости работы, неадекватная реакция  на команды оператора и т.д.;

  вмешательство в процесс обмена сообщениями  по сети путем непрерывной посылки хаотических сообщений;

  блокирование  принимаемых или передаваемых сообщений, их искажение;

имитация физических сбоев (потери линии) и т.д.;

  имитация  пользовательского интерфейса или  приглашений для ввода пароля (ключа), с целью запоминания этих паролей (ключей);

  накопление  обрабатываемой конфиденциальной информации в скрытых областях внешней памяти;

  копирование содержания оперативной памяти для  выявления ключевых таблиц или фрагментов ценной информации;

  искажение программ и данных в оперативной  памяти абонентских пунктов.

Для серверов локальных  сетей:

  искажение проходящей через сервер информации (при обмене между абонентскими пунктами);

  сохранение  проходящей информации в скрытых  областях внешней памяти;

  искажение или уничтожение собственной  информации сервера (в частности, идентификационных таблиц) и вследствие этого нарушение работы локальной сети;