До intended-вірусів відносяться програми, що на перший погляд є стовідсотковими вірусами, але не спроможні розмножуватися через помилки. Наприклад, вірус, що при інфікації «забуває» передбачити активізацію вірусу, що розмножується тільки один раз - з «авторської» копії. Інфікувавши якийсь файл, вони втрачають спроможність до подальшого розмноження. Частіше всього intended-віруси з'являються при неякісній перекомпіляції якогось вже існуючого вірусу, або через недостатнє знання мови програмування, або через незнання технічних тонкощів операційної системи.
Конструктор вірусів - це програма, що призначена для виготовлення нових комп'ютерних вірусів. Відомі конструктори вірусів для DOS, Windows і макровірусів. Вони дозволяють генерувати вихідні тексти вірусів (АSM-файли), об'єктні модулі і (або) безпосередньо інфікувати файли.
Поліморфік-генератори, як і конструктори вірусів, не є вірусами в буквальному значенні цього слова, оскільки в їхній алгоритм не закладаються функції розмноження, тобто відкриття, закриття і запису у файли, читання і запису секторів і т.д. Головною функцією подібного роду програм є шифрування тіла вірусу і генерація відповідного розшифровувача. Звичайні поліморфні генератори поширюються їхніми авторами без обмежень у вигляді файла-архіву. Основним файлом в архіві будь-якого генератора є об'єктний модуль, що містить цей генератор. В усіх генераторах, що зустрічалися, цей модуль містить зовнішню (ехternal) функцію - виклик програми генератора. У такий спосіб автору вірусу, якщо він бажає створити справжній поліморфік-вірус, не потрібно розробляти власний за- чи розшифровувач. За бажанням він може підключити до свого вірусу будь-який відомий поліморфік-генератор.
II. Засоби захисту від комп'ютерних вірусів та їх особливості
Для захисту від різноманітних вірусів існує декілька видів антивірусів, які за своїм призначенням поділяють на детектори, фаги, ревізори, фільтри та вакцини. Розглянемо їх характеристики більш докладно.
Детектори (сканери) - перевіряють оперативну або зовнішню пам'ять на наявність вірусу за допомогою розрахованої контрольної суми або сигнатури і складають список ушкоджених програм. Якщо детектор - резидентний, то програма перевіряється і тільки в разі відсутності вірусів вона активується. Детекторами є, наприклад, програма MSAntiVirus.
Фаги (поліфаги) - виявляють та знешкоджують вірус (фаг) або кілька вірусів. Сучасні версії поліфагів, як правило, можуть проводити евристичний аналіз файлу, досліджуючи його на наявність коду, характерного для вірусу (додання частини однієї програми в іншу, шифрування коду тощо). Фагами є, наприклад, програми Aidstest, DrWeb.
Дуже часто функції детектора та фага суміщені в одній програмі, а вибір режиму роботи здійснюється завданням відповідних параметрів (опцій, ключів). На початку вірусної ери кожний новий вірус визначався та лікувався окремою програмою. При цьому для деяких з вірусів (наприклад, VIENNA) цих програм було не менше десятка. Згодом окремі програми почали виявляти та лікувати декілька типів вірусів, тому їх стали звати полідетекторами та поліфагами відповідно.
Сучасні антивірусні програми знаходять і знешкоджують багато тисяч різновидів вірусів і заради простоти їх звуть коротко детекторами та фагами. Серед детекторів та фагів найбільш відомими та популярними є програми Аidstest, DrWeb (фірма «ДиалогНаука», Росія), Sсаn, Сlean (фірма МсАfее Аssociates, США), NortonAntiVirus (фірма Symantec Соrporation, США). Ці програми періодично поновлюються, даючи користувачеві змогу боротися з новими вірусами.
Ревізори - програми, що контролюють можливі засоби зараження комп'ютера, тобто вони можуть виявити вірус, невідомий програмі. Ці програми перевіряють стан ВООТ-сектора, FAТ-таблиці, атрибути файлів. При створенні будь-яких змін користувачеві видається повідомлення (навіть у разі відсутності вірусів, але наявності змін).
При першому запуску ревізор утворює таблиці, куди заносить інформацію про вільну пам'ять, Раrtition Таble, Вооt-сектор, директорії, файли, що містяться у них, погані кластери тощо. При повторному запуску ревізор сканує пам'ять та диски і видає повідомлення про всі зміни, що відбулися у них з часу останнього сеансу ревізії. Нескладний аналіз цих змін дозволяє надійно визначити факт зараження комп'ютера вірусами. Серед ревізорів найбільш популярною є програма АDinf (фірма «ДиалогНаука», Росія).
Свого часу, коли не було надійних засобів боротьби з вірусами, широкого поширення набули так звані фільтри. Ці антивірусні програми блокують операцію записування на диск і виконують її тільки при вашому дозволі. При цьому легко визначити, чи то ви санкціонували команду на запис, чи то вірус 'Намагається щось заразити. До числа широко відомих свого часу фільтрів можна віднести програми VirBlk, FluShot та ін.
Зараз фільтри майже не використовують, оскільки вони, по-перше, дуже незручні, бо відволікають час на зайвий діалог, по-друге, деякі віруси можуть обманювати їх.
Сторожі - резидентні програми, які постійно зберігаються у пам'яті комп'ютера й у визначений користувачем час перевіряють оперативну пам'ять комп'ютера, файли, ВООТ-сектор, FAТ-таблицю. Сторожем є, наприклад, програма АVР.
Вакцини - це програми, які використовуються для оброблення файлів та завантажувальних секторів з метою передчасного виявлення вірусів. Існують три рубежі захисту від комп'ютерних вірусів:
1. Запобігання надходженню вірусів.
2. Запобігання вірусній атаці, якщо вірус усе-таки потрапив у комп'ютер.
3. Запобігання руйнівним наслідкам, якщо атака відбулася. Є три методи реалізації рубіжної оборони:
1.«Програмні методи захисту».
2.Апаратні методи захисту.
3.Організаційні методи захисту.
Основним засобом захисту інформації є резервне копіювання найцінніших даних. У разі втрати інформації внаслідок будь-якої з названих вище причин, жорсткий диск треба відформатувати й підготувати до нової експлуатації. На «чистий» диск установлюють операційну систему з дистрибутивного компакт-диска, потім під її керуванням треба встановити все необхідне програмне забезпечення, яке теж беруть з дистрибутивних носіїв. Відновлення комп'ютера завершують відновленням даних, які беруть з резервних носіїв.
Створюючи план заходів з резервного копіювання інформації, необхідно враховувати, що резервні копії повинні зберігатися окремо від комп'ютера. Робто, наприклад, резервне копіювання інформації на окремому жорсткому дискові того самого комп'ютера лише створює ілюзію безпеки. Відносно новим і досить надійним методом зберігання даних є зберігання їх на віддалених серверах в Інтернеті. Є служби, які безплатно надають простір для зберігання даних користувача.
Допоміжним засобом захисту інформації є антивірусні програми та засоби апаратного захисту. Рак, наприклад, просте відключення перемички на материнській платі не дозволить здійснити стирання перепрограмовуваної мікросхеми ПЗП (флеш-BIOS), незалежно від того, хто буде намагатися зробити це: комп'ютерний вірус чи неакуратний користувач.
Існує досить багато програмних засобів антивірусного захисту, їхні можливості такі:
1. Створення образу жорсткого диска на зовнішніх носіях. У разі виходу з ладу інформації в системних ділянках жорсткого диска, збережений «образ диска» може дозволити відновити якщо не всю інформацію, то принаймні її більшу частину. Цей засіб може захистити від утрати інформації під час апаратних збоїв та неакуратного форматування жорсткого диска.
2. Регулярне сканування жорсткого диска в пошуках комп'ютерних вірусів. Сканування звичайно виконують автоматично під час кожного ввімкнення комп'ютера або при розміщенні зовнішнього диска у зчитувальному пристрої. Під час сканування треба мати на увазі, що антивірусна програма шукає вірус шляхом порівняння коду програми з кодами відомих їй вірусів, що зберігаються в базі даних. Якщо база даних застаріла, а вірус є новим, то програма сканування його не виявить. Для надійної роботи варто регулярно оновлювати антивірусну програму. Так, наприклад, руйнівні наслідки атаки вірусу W95.СІМ. 1075 («Чорнобиль»), який знищив інформацію на сотнях тисяч комп'ютерів ... 26 квітня 1999 року, були пов'язані не з відсутністю засобів захисту від нього, а з тривалою затримкою (більше року) в оновленні цих засобів.
3. Контроль за змінами розмірів та інших атрибутів файлів. Оскільки на етапі розмноження деякі комп'ютерні віруси змінюють параметри заражених файлів, програма контролю може виявити їх діяльність і попередити користувача.
4. Контроль за зверненням до жорсткого диска. Оскільки найнебезпечніші операції, пов'язані з діяльністю комп'ютерних вірусів, так чи інакше спрямовані на модифікацію даних, записаних на жорсткому дискові, антивірусні програми можуть контролювати звернення до нього та попереджати користувача щодо підозрілої активності.
ЛЕКЦІЯ 6
Тема: Основи криптографії
План
1.Основні терміни та поняття.
2.Історія і законодавча база криптографії.
І. Основні терміни та поняття
Криптографія (від грецького kryptos - прихований і graphein- писати) -наука про математичні методи забезпечення конфіденційності і автентичності інформації.
Розвинулась дана наука з практичної потреби передавати важливі відомості найнадійнішим чином. Для сучасної криптографії характерне використання відкритих алгоритмів шифрування, що припускають використання обчислювальних засобів. Відомо більш десятка перевірених алгоритмів шифрування, які при використанні ключа достатньої довжини і коректної реалізації алгоритму роблять шифрований текст недоступним для криптоаналізу. Широко використовуються такі алгоритми шифрування, як Twofish, IDEA, RС4 та ін.