Вирусы и защита от них
Анализ вредоносных программ
Сравнение всех типов вредоносных программ
Вредоносные программы и борьба с ними
· Сокеты Windows
· Вирусы и антивирус
-Реализации угроз для информации
-Скрытое нецелевое использование ресурсов КС
-Действие, препятствующие нормальному функционированию КС
Самые распространённые вредоносные программы: вирусы, трояны, черви.
Жизненный цикл malware:
1. Проникновение в систему
2. Активация
3. Поиск жертвы (она ведь должна что-то сделать плохое, она должна найти где это делать)
4. Подготовка копий
5. Внедрение копий
6. Деструктивная активность
| Вирусы | Черви | Трояны |
| Способны создавать свои копии и внедрять в файлы и системные области компьютера | Распространяются по сети | Вредоносное воздействие |
| Проникновение в систему | ||
| Вместе с заражёнными файлами | Классифицирующий признак, называются по-разному, в зависимости от того, как они проникают в систему -почтовые черви -im-черви -p2p-черви -сетевые черви … | Маскируются под хорошие программы, либо кооперируются с червями |
| Активация | ||
| Классифицирующий признак - Файловые вирусы - Бутовые вирусы - Скрипт-вирусы - Макровирусы (живут в макрокомандах Office) | Можно разделить на 2 типа: когда требуется активное участие пользователя либо не требуется участие пользователя (пассивное) либо вообще без действия пользователя | Аналогично червям |
| Поиск жертвы | ||
| - Единоразовый поиск (один раз ищет жертву) - Постоянный поиск (постоянно ищет, кого бы заразить) | - Единоразовый - Постоянный | - |
| Подготовка копий | ||
| Могут готовить копии так: - Обычное копирование (каждый раз, когда находит, копирует) - Копирование с шифрованием - Полиморфизм (каждый раз меняет свою копию, изменение кода без изменения функциональности) | Аналогично | - |
| Внедрение копий | ||
| - полностью заменяется объект - частично заменяется объект - добавляется объект | Аналогично | - |
| Деструктивная активность | ||
| - неопасные - опасные (сбои) - особо опасные (убивают информацию, убивают аппаратуру) | - DDOS-атаки - Перегрузка сети | Классифицирующий признак - spyware - backdoor - downloader - psw (крадёт пароли и т.д.) |
Будем анализировать:
· Трояны-бэкдоры
· Трояны-даунлоадеры
Этапы
1. Поиск в Интернете информации
2. Статический анализ файла
Используется дизассемблер IDA, Hiew32
3. Динамический
Запуск под отладчиком (опасно)
Используется OllyDbg
VirtualBox
Также есть специальные утилиты: TCPView, ProcessMonitor, FileMon, SmallHttpServer
Вирус – программа, которая размножается и действует помимо воли пользователя. Также есть некоторые вирусные технологии, которые могут быть или не быть, применяются для затруднения поиска вируса: он может маскироваться (скрывать свой размер, дату изменения и т.д.). Вирус мутирует (полиморфизм), шифруется, запаковывается, мешает обнаружению себя под отладчиком.
Причины появления вирусов:
· Программная совместимость
· Фон Неймановская архитектура