Р. П. Шевчук // Опорний конспект лекцій з дисципліни „Методи та засоби захисту програмного забезпечення", для студентів напрямку „Комп’ютерні науки"
ТЕМА 7. ОСОБЛИВОСТІ ЗЛАМУ АВТОМАТИЗОВАНИХ СИСТЕМ ТА
жүктеу/скачать 0.66 Mb. Pdf көрінісі
|
| ТЕМА 7. ОСОБЛИВОСТІ ЗЛАМУ АВТОМАТИЗОВАНИХ СИСТЕМ ТА
ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ 7.1. Поняття та характеристика програмних засобів, призначених для незаконного проникнення в автоматизовану систему Автоматизовані електронно-обчислювальні системи, як відомо, в інженерно- технічному аспекті складаються з підсистеми комп’ютерних програм, їх пакетів (Software), підсистеми електронно-технічних засобів (Hardware) та автоматизованих баз даних, які можуть складати автоматизований банк даних (знань). Незаконне проникнення до таких систем з метою перекручення або знищення інформації чи носіїв інформації можливе за допомогою спеціально виготовлених комп’ютерних програм та технічних засобів. Через тісну взаємопов’язаність і взаємообумовленість можливе їх конструктивне поєднання, тобто створення "апаратно-програмного комплексу". Проте існують технічні засоби, що не містять комп’ютерних програм, але можуть шкодити роботі автоматизованої системи через електромагнітні випромінювання надвисокої частоти або силу електричного струму тощо. Серед засобів для незаконного проникнення в автоматизовані системи, що здатні спричинити перекручення або знищення інформації чи носіїв інформації, найбільшого поширення набули так звані "комп’ютерні віруси". Їх ще називають "шкідливими комп’ютерними програмами" або "комп’ютерними програмами, які вчиняють шкоду". Багато з них у автоматичному режимі впроваджуються в інші комп’ютерні програми, розмножуються в певних умовах і пошкоджують інформацію в автоматизованих системах. Назву "віруси" вони отримали через схожість з біологічними вірусами, зокрема через здатність до автоматичного розмножування. При цьому не тільки в тій системі, де вони утворені, а й у інших системах певного типу. За підрахунками експертів, у "комп’ютерному світі", "кіберпросторі" існує вже понад 3500 модифікацій комп’ютерних вірусів. Кількість їх постійно збільшується. Комп’ютерна програма, всередині якої знаходиться комп’ютерний вірус, фахівцями називається "зараженою" або "інфікованою". Коли така комп’ютерна програма отримує виклик на початок роботи, то спочатку система управління комп’ютером дає команду на запуск комп’ютерної програми-вірусу. Після цього комп’ютерна програма - вірус знаходить та інфікує інші комп’ютерні програми або виконує будь-які інші шкідливі дії. Наприклад, відбувається знищення файлів або таблиці розміщення файлів на відповідному магнітному диску; переповнюється непотрібними командами чи даними ("засмічується") постійна чи оперативна пам’ять тощо. Для маскування дії вірусу щодо зараження інших комп’ютерних програм та заподіяння шкоди можуть виконуватися різні комп’ютерні команди, які не завжди починають діяти відразу, а лише при дотриманні певних умов. Наприклад, після того, як вірус виконає потрібні йому дії, він передає управління тій комп’ютерній програмі, в якій він знаходиться, і вона працює також як звичайна до певного часу або кількості повтору операцій з нею. Через це зовні робота зараженої програми 43 виглядає так само, як і незараженої. Багато різновидів вірусів побудовані так, що при запуску зараженої програми вірус залишається резидентно (тобто до перезавантаження операційної системи) в електронній пам’яті комп’ютера. При цьому час від часу відбувається зараження комп’ютерних програм чи виконуються шкідливі дії з інформацією в АС. Потрібно відзначити, що тексти комп’ютерних програм і електронних документів, інформаційні файли баз даних, таблиці табличних процесорів тощо можуть бути використані як носії для зараження вірусом, який може їх тільки зіпсувати в поєднанні з іншим програмно-математичним забезпеченням комп’ютера ("бінарні віруси"). Всі дії комп’ютерного вірусу можуть виконуватися досить швидко і без подання будь-яких помітних повідомлень, тому користувачеві дуже важко помітити, що в комп’ютері відбувається щось незвичайне. Поки в комп’ютері заражено відносно мало програм, наявність вірусу може бути практично непомітною. Та через деякий час у комп’ютері починаються шкідливі процеси. Наприклад, деякі комп’ютерні програми перестають працювати або починають працювати неправильно; на екран відеотермінала (монітора) виводяться сторонні повідомлення, символи тощо; робота комп’ютерних програм істотно сповільнюється; деякі файли виявляються зіпсованими; іноді комп’ютер самовільно перезавантажується, в результаті чого знищується вся попередньо поміщена в нього машинна інформація. На цей момент уже значна кількість (або навіть більшість) комп’ютерних програм, як правило заражені комп’ютерним вірусом, а деякі файли і магнітні диски - зіпсовані. Нерідко буває гірше - заражені комп’ютерні програми з одного комп’ютера переносяться (за допомогою дискет, інших носіїв або через мережу) в інші комп’ютери. Деякі види вірусів поводяться ще більш підступно. Вони спочатку непомітно заражають значну кількість комп’ютерних програм або магнітних дисків комп’ютера, а потім уже завдають серйозні пошкодження. Кожний конкретний різновид комп’ютерного вірусу може вражати тільки один або кілька типів електронних файлів. Найчастіше зустрічаються комп’ютерні віруси, що заражають файли типу "*. com", "*. exe" тощо. Деякі комп’ютерні віруси заражають як файли, так і завантажувальні ланки (області) магнітних дисків комп’ютерів. Набули поширення віруси, що мають файлову систему на магнітному диску. Такі віруси серед фахівців називають DIR-віруси. Вони ховають своє "тіло" в деяку ділянку магнітного диска та позначають її в спеціальній комп’ютерній таблиці розміщення електронних файлів (FAT) як кінець файла. Щоб запобігти виявленню вірусу, порушники застосовують досить хитрі прийоми маскування. Розглянемо деякі з них. "Невидимі" віруси. Деякі віруси (файлові та завантажувальні) уникають їх виявлення тим, що перехоплюють звернення операційної системи до заражених файлів і областей магнітного диска та видають їх у початковому (незараженому) вигляді. В цьому випадку ефект спостерігається тільки на першому зараженому комп’ютері, на другому ж зміни у файлах і 44 завантажувальних ланках магнітного диска можна легко виявити за допомогою відповідних комп’ютерних програм. Самомодифіційні віруси. Інший спосіб, який застосовується для того, щоб приховати виявлення - модифікація вірусу. Багато з вірусів зберігають значну частину свого "тіла" в закодованому вигляді, щоб за допомогою спеціальних комп’ютерних програм – дизасемблерів, не можна було розібратися в механізмі їх роботи. Самомодифікуючі віруси використовують цей прийом і часто змінюють параметри цього кодування, а також і свою стартову частину, яка служить для розкодування інших команд вірусу. Таким чином, у "тілі" подібного вірусу немає постійного ланцюжка запису кількості одиниць виміру його величини (байтів), за яким можна було б ідентифікувати його. Це, природно, ускладнює знаходження таких вірусів за допомогою спеціальних пакетів комп’ютерних програм - детекторами комп’ютерних вірусів. З метою систематизації всі комп’ютерні віруси класифікуються фахівцями за певними ознаками на кілька груп. Виділяються такі групи комп’ютерних вірусів: Завантажувальні комп’ютерні віруси - вражають завантажувальні сектори комп’ютерної пам’яті. Файлові комп’ютерні віруси - вражають файли, що виконують комп’ютерні команди на зразок "СОМ", "ЕХЕ", "SYS", "ВАТ"-файли і деякі інші. Комбіновані комп’ютерні віруси - зараження відбувається при завантаженні комп’ютера з носія машинної інформації (дискети тощо), що містить вірус, та при завантаженні файлів. жүктеу/скачать 0.66 Mb. Достарыңызбен бөлісу:
|