Телевизионные системы видеонаблюдения

     Эвристическим анализатором кода называется набор  подпрограмм, анализирующих код  исполняемых файлов, памяти или загрузочных  секторов для обнаружения в нем разных типов компьютерных вирусов. Основной частью эвристического анализатора является эмулятор кода. Эмулятор кода работает в режиме просмотра, то есть его основная задача — не эмулировать код, а выявлять в нем всевозможные события, т. е. совокупность кода или вызов определенной функции операционной системы, направленные на преобразование системных данных, работу с файлами или часто используемые вирусные конструкции. Грубо говоря, эмулятор просматривает код программы и выявляет те действия, которые эта программа совершает. Если действия этой программы укладываются в какую-то определенную схему, то делается вывод о наличии в программе вирусного кода.

     Конечно, вероятность как пропуска, так  и ложного срабатывания весьма высока. Однако правильно используя механизм эвристики, пользователь может самостоятельно прийти к верным выводам. Например, если антивирус выдает сообщение о подозрении на вирус для единичного файла, то вероятность ложного срабатывания весьма высока. Если же такое повторяется на многих файлах (а до этого эвристик ничего подозрительного в этих файлах не обнаруживал), то можно говорить о заражении вашей системы вирусом с вероятностью, близкой к 100%. Наиболее мощным эвристическим анализатором в настоящее время обладает антивирус Dr.Web (http://www.drweb.ru). Если и уступает ему, то ненамного AVP (http://www.avp.com).

     Использование эвристического анализатора, помимо всего  вышеперечисленного, позволяет также  бороться с вирус-генераторами и  полиморфными вирусами. Классический метод с определением вирусов по сигнатуре в этом случае вообще оказывается неэффективен. Вирус-генераторы — это специализированный набор библиотек, который позволяет легко сконструировать свой собственный вирус, даже имея слабые познания в программировании. Написав несложную программу, вы далее подключаете к этой программе библиотеки генератора, вставляете в нужных местах вызовы внешних процедур — и вот ваш элементарный вирус превратился в достаточно сложный продукт. Самое печальное, что в этом случае сигнатура вируса будет каждый раз другая, поэтому отследить вирус оказывается возможным только по характерным вызовам внешних процедур — а это уже работа эвристического анализатора. Полиморфный вирус имеет еще более сложную структуру. Само тело вируса видоизменяется от заражения к заражению, при этом сохраняя свое функциональное наполнение.

     В простейшем случае — если разбросать в теле вируса случайным образом  ничего не делающие операторы (типа “ mov ax, ax” или “nop”), то тело вирусного  кода претерпит значительные изменения, а алгоритм останется прежним. В этом случае на помощь также приходит эвристический анализатор.

     Антивирусные  блокировщики- это программы, перехватывающие  “вирусоопасные” ситуации и сообщающие об этом пользователю. К таким ситуациям  относится, например, запись в загрузочный сектор диска. Эта запись происходит при установке на компьютер новой операционной системы или при заражении загрузочным вирусом.

     Наибольшее  распространение получили антивирусные блокировщики в BIOS таким образом, что  будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами.

     К достоинствам блокировщиков относится  их способность обнаруживать и останавливать  вирус на самой ранней стадии его  размножения.

     Антивирусные  программы-ревизоры позволяют обнаружить вирус. Чаще всего обнаружением вируса дело и заканчивается. Существует блок лечения для популярного антивируса-ревизора Adinf, так называемый Cure Module, но такой  блок позволяет лечить лишь те файлы, которые были не заражены на момент создания базы данных программы. Однако обнаружить вирус на компьютере (или даже подозрение на него) антивирусы-ревизоры могут с большой степенью надежности. Обычно наиболее оптимальным является связка полифаг и ревизор. Ревизор служит для обнаружения факта заражения системы. Если система заражена, то в дело пускается полифаг. Если же ему не удалось уничтожить вирус, то можно обратиться к разработчику антивирусных средств, — скорее всего на ваш компьютер попал новый, неизвестный разработчикам вирус.

     Недостаток  ревизоров состоит в том, что  они не могут обнаружить вирус  в новых файлах (на дискетах, при  распаковке файлов из архива, в электронной  почте), поскольку в их базах данных отсутствует информация об этих файлах.

     Основу работы ревизоров составляет контроль за изменениями, характерными для работы вирусных программ. Далее мы рассмотрим, как этот контроль осуществляется. Как уже говорилось выше, в качестве примера будет рассматриваться работа антивируса AP’98. При установке программы создаются специальные таблицы. В них содержится информация: о контрольных суммах неизменяемых файлов, содержимом системных областей, адресах обработчиков прерываний, размере доступной оперативной памяти и т. п. Вся остальная работа ревизора состоит в сравнении текущего состояния диска с ранее сохраненными данными, поэтому крайне важно, чтобы все контрольные таблицы создавались не на зараженной машине. Только в этом случае работа ревизора будет достаточно эффективной. Итак, перейдем к стадиям работы программы-ревизора.

     Контроль  оперативной памяти. Эта стадия проверки включает в себя процедуры обнаружения  следов активных загрузочных и stealth-вирусов  в памяти компьютера. Если такие  алгоритмы будут найдены, вы получите соответствующее предупреждение. Сначала программа ищет уже знакомые вирусы. Далее программа проверяет, изменился ли обработчик Int13h. Если он изменился, то с вероятностью 90% можно сказать, что компьютер инфицирован загрузочным вирусом (загрузочные вирусы вынуждены перехватывать это прерывание с тем, чтобы после своей активизации передать управление “нормальному” загрузочному сектору и система загрузилась без сбоев). Ревизор выдаст вам предупреждение об этом и сообщит адрес в памяти, по которому находится новый обработчик Int13h. В принципе информация о местонахождении обработчика необходима программистам и системным администраторам, а рядовому пользователю следует обратить внимание на предупреждение.EXE удается обнаружить истинный адрес обработчика Int13h в BIOS и работать, используя его. Если по каким-либо причинам ревизору не удалось получить реальный адрес обработчика, то выдается предупреждение. Истинный адрес обработчика прерывания достигается путем пошагового просмотра тела вируса (по алгоритму своей работы загрузочный вирус вынужден в конце концов передавать управление оригинальному обработчику). Некоторые вирусы блокируют трассировку прерываний: при попытке трассировать их коды они “завешивают” систему, перезагружают компьютер и т. д. Поэтому, если при трассировке прерываний компьютер начинает вести себя “странно”, то следует быть очень осторожным — не исключено, что оперативная память поражена вирусом.

     Важным  параметром является и размер свободной  оперативной памяти. Обычно ревизор  запускается самым первым, до загрузки каких-либо еще программ. Если же размер оперативной памяти уменьшился — это верный признак присутствия в ОЗУ еще какой-то программы. Скорее всего программа эта — вирус.

     Контроль  системных областей. Контроль системных  областей предназначен для обнаружения  вирусов, которые используют для своей активации механизм загрузки. Как известно, первой с диска загружается загрузочная запись (boot record), которая содержит в себе мини-программу, управляющую дальнейшей загрузкой. Для жесткого диска первой производится загрузка главной загрузочной записи (MasterBootRecord или MBR).

     Тут необходимо сделать очередное “лирическое” отступление, посвященное обнаружению  загрузочных вирусов. В случае, если система поражена загрузочным вирусом, то именно ему передается управление при попытке загрузиться с пораженного диска. В этом сила вируса — если поражен жесткий диск, то управление вирусу будет передаваться при каждом включении компьютера. Загрузочные вирусы в чистом виде передаются исключительно через дискеты, причем заражение осуществляется при попытке загрузиться с пораженной дискеты. Со временем использование дискет вообще и загрузочных дискет, в частности, сократилось до минимума. Однако способ захвата управления оказался столь удобен, что в настоящее время очень распространены вирусы, которые могут поражать как файлы, так и загрузочные сектора. Попав на “чистый” копьютер, такие вирусы первым делом поражают главную загрузочную запись. Однако методы обнаружения именно загрузочных вирусов в настоящее время крайне эффективны и приближаются к 100% надежности. Чтобы понять, как происходит обнаружение вируса, рассмотрим обнаружение такого вируса “вручную”.

     Произведем  загрузку с чистой дискеты (при этом прерывание 13h гарантировано не будет  перехвачено загрузочным вирусом) и рассмотрим сектор 0/0/1 винчестера (это физический адрес сектора главной загрузочной записи). Если винчестер разделен (при помощи fdisk) на логические диски, то код занимает приблизительно половину сектора и начинается с байтов FAh 33h COh (вместо 33h иногда может быть 2Bh). Заканчиваться код должен текстовыми строками типа “Missing operating system”. В конце сектора размещаются внешне разрозненные байты таблицы разделов. Нужно обратить внимание на размещение активного раздела в таблице разделов. Если операционная система расположена на диске С, а активен 2, 3 или 4 раздел, то вирус мог изменить точку старта, сам разместившись в начале другого логического диска (заодно нужно посмотреть и там). Но также это может говорить о наличии на машине нескольких операционных систем и какого-либо boot-менеджера, обеспечивающего выборочную загрузку. Проверяем всю нулевую дорожку. Если она чистая, то есть ее сектора содержат только байт-заполнитель, все в порядке. Наличие мусора, копий сектора 0/0/1 и прочего может говорить о присутствии загрузочного вируса. Впрочем, антивирусы при лечении загрузочных вирусов лишь “обезглавливают” противника (восстанавливают исходное значение сектора 0/0/1), оставляя тело “догнивать” на нулевой дорожке. Проверяем boot-сектор MS-DOS, он обычно расположен в секторе в 0/1/1. Его внешний вид для сравнения можно найти как в книге Е. Касперского, так и на любой “чистой” машине.

     Примерно  таким же способом действуют и  программы-ревизоры. Их особенность  в том, что они не могут судить об изначальной “чистоте” оперативной памяти, поэтому чтение Master Boot Record происходит тремя различными способами:

     (bios) — прямым обращением в BIOS; (i13h) — чтением через BIOS-прерывание Int13h; (i25h) — чтением средствами  операционной системы (прерывание Int25h).

     Если  считанная информация не совпадает, налицо действие stealth-алгоритмов. Для большей надежности AP’98 производит чтение MBR через IDE-порты жесткого диска. На сегодня в “дикой природе” не встречались вирусы, которые могут маскироваться от ревизора, обладающего такой функцией.

     Аналогичным образом проводится проверка и простого (не главного) загрузочного сектора.

     Обычно  за счет того, что ревизор сохраняет  резервную копию системных областей, восстановление повреждений от загрузочного вируса происходит довольно прозаично: если пользователь дает на то свое согласие, ревизор просто записывает системные области заново, используя сохраненные ранее данные.

     Контроль  неизменяемых файлов. Последняя стадия проверки, направленная на обнаружение  деятельности файловых вирусов —  контроль изменения файлов. Для всех файлов, которые активно используются и в то же время не должны изменяться (обычно это программы типа win.com и т. п.) создаются контрольные таблицы. В них содержатся значения контрольных сумм и размеров файлов. Затем, в ходе дальнейшего использования ревизора, информация с дисков сравнивается с эталонной, хранящейся в таблицах. Если информация не совпадает, то весьма вероятно нахождение в системе файлового вируса. Самый явный признак — изменение размера или содержимого файла без изменения даты создания файла.

     В принципе, рекомендуется внести в  разряд “неизменяемых” те исполняемые  файлы, путь к которым указан в  переменной PATH. Они чаще всего становятся жертвой файловых вирусов.

     Чтобы не дать stealth-вирусам “обмануть” систему, чтение данных также происходит как средствами операционной системы, так и средствами BIOS. Если эти данные не совпали, то можно говорить о том, что в системе активно действует вирус-“невидимка”.

     После того как все файлы проверены, ревизоры часто сохраняют дополнительные области памяти, которые могут быть испорчены вирусами. Это FLASH- и CMOS-память. Эти области памяти также изменяются достаточно редко и поэтому их изменения могут быть подозрительны.

     Еще раз скажем, что наиболее эффективной  антивирусной защитой будет использование “связки” ревизор — полифаг. Ревизор позволяет отследить активность вируса на вашем диске, а полифаг служит для проверки новых файлов, а также удаления уже известных вирусов. Но при работе с антивирусными средствами надо четко представлять их реальные возможности, общие алгоритмы работы и следовать тем рекомендациям, которые мы вам дали.

2. Телевизионные системы видеонаблюдения (ТВС)

2.1.Классификация ТВС

  Классификация ТСВ по категории значимости объекта  приведена в таблице 1.

  Таблица 1

2.2.Применение ТВС

  1. ТСВ являются техническими средствами  охраны, предназначенными для противодействия  преступным посягательствам на  охраняемые объекты и должны применяться, как правило, совместно с другими техническими средствами охраны: средствами охранной, пожарной и тревожной сигнализации, системами контроля доступа.