Вирусы и защита от них
Анализ вредоносных программ
Сравнение всех типов вредоносных программ
Вредоносные программы и борьба с ними
· Сокеты Windows
· Вирусы и антивирус
-Реализации угроз для информации
-Скрытое нецелевое использование ресурсов КС
-Действие, препятствующие нормальному функционированию КС
Самые распространённые вредоносные программы: вирусы, трояны, черви.
Жизненный цикл malware:
1. Проникновение в систему
2. Активация
3. Поиск жертвы (она ведь должна что-то сделать плохое, она должна найти где это делать)
4. Подготовка копий
5. Внедрение копий
6. Деструктивная активность
Вирусы | Черви | Трояны |
Способны создавать свои копии и внедрять в файлы и системные области компьютера | Распространяются по сети | Вредоносное воздействие |
Проникновение в систему | ||
Вместе с заражёнными файлами | Классифицирующий признак, называются по-разному, в зависимости от того, как они проникают в систему -почтовые черви -im-черви -p2p-черви -сетевые черви … | Маскируются под хорошие программы, либо кооперируются с червями |
Активация | ||
Классифицирующий признак - Файловые вирусы - Бутовые вирусы - Скрипт-вирусы - Макровирусы (живут в макрокомандах Office) | Можно разделить на 2 типа: когда требуется активное участие пользователя либо не требуется участие пользователя (пассивное) либо вообще без действия пользователя | Аналогично червям |
Поиск жертвы | ||
- Единоразовый поиск (один раз ищет жертву) - Постоянный поиск (постоянно ищет, кого бы заразить) | - Единоразовый - Постоянный | - |
Подготовка копий | ||
Могут готовить копии так: - Обычное копирование (каждый раз, когда находит, копирует) - Копирование с шифрованием - Полиморфизм (каждый раз меняет свою копию, изменение кода без изменения функциональности) | Аналогично | - |
Внедрение копий | ||
- полностью заменяется объект - частично заменяется объект - добавляется объект | Аналогично | - |
Деструктивная активность | ||
- неопасные - опасные (сбои) - особо опасные (убивают информацию, убивают аппаратуру) | - DDOS-атаки - Перегрузка сети | Классифицирующий признак - spyware - backdoor - downloader - psw (крадёт пароли и т.д.) |
Будем анализировать:
· Трояны-бэкдоры
· Трояны-даунлоадеры
Этапы
1. Поиск в Интернете информации
2. Статический анализ файла
Используется дизассемблер IDA, Hiew32
3. Динамический
Запуск под отладчиком (опасно)
Используется OllyDbg
VirtualBox
Также есть специальные утилиты: TCPView, ProcessMonitor, FileMon, SmallHttpServer
Вирус – программа, которая размножается и действует помимо воли пользователя. Также есть некоторые вирусные технологии, которые могут быть или не быть, применяются для затруднения поиска вируса: он может маскироваться (скрывать свой размер, дату изменения и т.д.). Вирус мутирует (полиморфизм), шифруется, запаковывается, мешает обнаружению себя под отладчиком.
Причины появления вирусов:
· Программная совместимость
· Фон Неймановская архитектура