КОМПЬЮТЕРНЫЕ СИСТЕМЫ ПОДГОТОВКИ ТЕКСТОВЫХ ДОКУМЕНТОВ

Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.

Детекторы обеспечивают выявление вирусов посредством про­смотра исполняемых файлов и поиска так называемых сигнатур — устойчивых последовательностей байтов, имеющихся в телах из­вестных вирусов. Наличие сигнатуры в каком-либо файле свиде­тельствует о его заражении соответствующим вирусом. Антиви­рус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.

Общая характеристика средств нейтрализации компьютерных вирусов

 

Наиболее распространенным средством нейтрализации компь­ютерных вирусов являются антивирусные программы (антивиру­сы). Антивирусы, исходя из реализованного в них подхода к выяв­лению и нейтрализации вирусов, принято делить на следующие группы (рис. 8.2):

— детекторы;

— фаги;

— вакцины;

— прививки;

— ревизоры;

— мониторы.


 

Детекторы Антивирусы Мониторы
Фаги Ревизоры
  Вакцины Прививки  
       

 

 

Рис. 8.2 Классификация антивирусов

 

В отличие от детекторов и фагов вакцины по своему принципу действия подобны вирусам. Вакцина имплантируется в защищае­мую программу и запоминает ряд количественных и структурных характеристик последней. Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее. Активизация вирусоносителя приведет к получению управления вирусом, кото­рый, выполнив свои целевые функции, передаст управление вак­цинированной программе. В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соот­ветствия запомненных ею характеристик аналогичным характе­ристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении тек­ста вакцинированной программы вирусом. Характеристиками, ис­пользуемыми вакцинами, могут быть длина программы, ее конт­рольная сумма и т. д.

Принцип действия прививок основан на учете того обстоятель­ства, что любой вирус, как правило, помечает инфицируемые про­граммы каким-либо признаком, с тем чтобы не выполнять их по­вторное заражение. В ином случае имело бы место многократное инфицирование, сопровождаемое существенным и поэтому легко обнаруживаемым увеличением объема зараженных программ. Прививка, не внося никаких других изменений в текст защищае­мой программы, помечает ее тем же признаком, что и вирус, кото­рый таким образом после активизации и проверки наличия ука­занного признака считает ее инфицированной и «оставляет в покое».

Ревизоры обеспечивают слежение за состоянием файловой сис­темы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функциониро­вания выполняет применительно к каждому исполняемому файлу сравнение erg текущих характеристик с аналогичными характери­стиками, полученными в ходе предшествующего просмотра фай­лов. Если при этом обнаруживается, что, согласно имеющейся сис­темной информации, файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характери­стик не совпадают, то файл считается инфицированным. Характе­ристики исполняемых файлов, получаемые в ходе очередного про­смотра, запоминаются в отдельном файле (файлах), в связи с чем увеличение длин исполняемых файлов, имеющее место при вакци­нации, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых фай­лов ревизором требует его повторного запуска.

Монитор представляет собой резидентную программу, обеспе­чивающую перехват потенциально опасных прерываний, харак­терных для вирусов, и запрашивающую у пользователей подтвер­ждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блоки­рует выполнение пользовательской программы.

 

Классификация методов защиты от компьютерных вирусов

 

Проблему защиты от вирусов необходимо рассматривать в об­щем контексте проблемы защиты информации от несанкциониро­ванного доступа и технологической и эксплуатационной безопаснос­ти компьютерных технологий в целом. Основной принцип, который должен быть положен в основу разработки технологии защиты от вирусов, состоит в создании многоуровневой распределенной сис­темы защиты, включающей:

— регламентацию проведения работ на ПЭВМ;

— применение программных средств защиты;

— использование специальных аппаратных средств защиты.

При этом количество уровней защиты зависит от ценности ин­формации, которая обрабатывается на ПЭВМ.

Для защиты от компьютерных вирусов в настоящее время ис­пользуются методы, указанные на рис. 8.3.


 

  Терапия    
Архиви­рование Методы защиты от компьютерных вирусов   Авто­контроль  
Входной контроль Вакци­нация  
Профи­лактика Фильт­рация  
  Ревизия Карантин Сегмен­тация  
           

Рис. 8.3. Методы защиты от компьютерных вирусов

Архивирование. Заключается в копировании системных облас­тей магнитных дисков и ежедневном ведении архивов измененных файлов. Архивирование является одним из основных методов за­щиты от вирусов. Остальные методы защиты дополняют его, но не могут заменить полностью.

Входной контроль. Проверка всех поступающих программ де­текторами, а также проверка длин и контрольных сумм вновь по­ступающих программ на соответствие значениям, указанным в до­кументации. Большинство известных файловых и бутовых виру­сов можно выявить на этапе входного контроля. Для этой цели используется батарея детекторов (несколько последовательно за­пускаемых программ). Набор детекторов достаточно широк и по­стоянно пополняется по мере появления новых вирусов. Однако при этом могут быть обнаружены не все вирусы, а только распоз­наваемые детектором. Следующим элементом входного контроля является контекстный поиск в файлах слов и сообщений, которые могут принадлежать вирусу (например, Virus, COMMAND.COM, Kill и т. д.). Подозрительным является отсутствие в последних 2—3 Кб файла текстовых строк — это может быть признаком вируса, кото­рый шифрует свое тело.

Рассмотренный контроль может быть выполнен с помощью спе­циальной программы, которая работает с базой данных «подозри­тельных» слов и сообщений и формирует список файлов для даль­нейшего анализа. После проведенного анализа новые программы рекомендуется несколько дней эксплуатировать в карантинном ре­жиме. При этом целесообразно использовать ускорение календаря, т. е. изменять текущую дату при повторных запусках программы. Это позволяет обнаружить вирусы, срабатывающие в определен­ные дни недели (пятница, 13-е число месяца, воскресенье и т. д.).

Профилактика. Для профилактики заражения необходимо орга­низовать раздельное хранение (на разных магнитных носителях) вновь поступающих и ранее эксплуатировавшихся программ, ми­нимизацию периодов доступности дискет для записи, разделение общих магнитных носителей между конкретными пользователями.

Ревизия. Анализ вновь полученных программ специальными средствами (детекторами), контроль целостности перед считыва­нием информации, а также периодический контроль состояния си­стемных файлов.

Карантин. Каждая новая программа проверяется на известные типы вирусов в течение определенного промежутка времени. Для этих целей целесообразно выделить специальную ПЭВМ, на кото­рой не проводятся другие работы. В случае невозможности выде­ления ПЭВМ для карантина программного обеспечения для этой цели используется машина, отключенная от локальной сети и не содержащая особо ценной информации.

Сегментация. Предполагает разбиение магнитного диска на ряд логических томов (разделов), часть из которых имеет статус READ_ONLY (только чтение). В данных разделах хранятся выпол­няемые программы и системные файлы. Базы данных должны хра­ниться в других секторах, отдельно от выполняемых программ. Важным профилактическим средством в борьбе с файловыми ви­русами является исключение значительной части загрузочных модулей из сферы их досягаемости. Этот метод называется сегмен­тацией и основан на разделении магнитного диска с помощью спе­циального драйвера, обеспечивающего присвоение отдельным ло­гическим томам атрибута READ_ONLY (только чтение), а также поддерживающего схемы парольного доступа. При этом в защи­щенные от записи разделы диска помещаются исполняемые про­граммы и системные утилиты, а также системы управления база­ми данных и трансляторы, т. е. компоненты программного обеспе­чения, наиболее подверженные опасности заражения. В качестве такого драйвера целесообразно использовать программы типа ADVANCED DISK MANAGER (программа для форматирования и подготовки жесткого диска), которые позволяют не только разбить диск на разделы, но и организовать доступ к ним с помощью паро­лей. Количество используемых логических томов и их размеры за­висят от решаемых задач и объема винчестера. Рекомендуется ис­пользовать 3—4 логических тома, причем на системном диске, с которого выполняется загрузка, следует оставить минимальное количество файлов (системные файлы, командный процессор, а так­же программы-ловушки).

Фильтрация. Заключается в использовании программ-сторо­жей для обнаружения попыток выполнить несанкционированные действия.

Вакцинация. Специальная обработка файлов и дисков, имити­рующая сочетание условий, которые используются некоторым ти­пом вируса для определения, заражена уже программа или нет.

Автоконтроль целостности. Заключается в использовании спе­циальных алгоритмов, позволяющих после запуска программы оп­ределить, были ли внесены изменения в ее файл.

Терапия. Предполагает дезактивацию конкретного вируса в за­раженных программах специальными программами (фагами). Про­граммы-фаги «выкусывают» вирус из зараженной программы и пытаются восстановить ее код в исходное состояние (состояние до момента заражения). В общем случае технологическая схема за­щиты может состоять из следующих этапов:

— входной контроль новых программ;

— сегментация информации на магнитном диске;

— защита операционной системы от заражения;

— систематический контроль целостности информации.

Необходимо отметить, что не следует стремиться обеспечить глобальную защиту всех файлов, имеющихся на диске. Это су­щественно затрудняет работу, снижает производительность сис­темы и в конечном счете ухудшает защиту из-за частой работы в открытом режиме. Анализ показывает, что только 20—30% фай­лов должны быть защищены от записи.

Анализ рассмотренных методов и средств защиты показывает, что эффективная защита может быть обеспечена при комплексном использовании различных средств в рамках единой операционной среды. Для этого необходимо разработать интегрированный про­граммный комплекс, поддерживающий рассмотренную техноло­гию защиты. В состав программного комплекса должны входить компоненты, указанные на рис. 8.4.

  Семейство (батарея) детекторов  
Программа – ловушка вирусов Программный комплекс защиты от компьютерных вирусов Программа для вакцинации
  База данных о вирусах и их характеристиках Резидентные средства защиты  
       

 

Рис. 8.4. Состав программного комплекса защиты от компьютерных вирусов

Семейство (батарея) детекторов. Детекторы, включенные в се­мейство, должны запускаться из операционной среды комплекса. При этом должна быть обеспечена возможность подключения к се­мейству новых детекторов, а также указание параметров их за­пуска из диалоговой среды. С помощью данной компоненты может быть организована проверка ПО на этапе входного контроля.

Программа — ловушка вирусов. Данная программа порождает­ся в процессе функционирования комплекса, т. е. не хранится на диске, поэтому оригинал не может быть заражен. В процессе тес­тирования ПЭВМ программа-ловушка неоднократно выполняется, изменяя при этом текущую дату и время (организует ускоренный календарь). Наряду с этим программа-ловушка при каждом запус­ке контролирует свою целостность (размер, контрольную сумму, дату и время создания). В случае обнаружения заражения про­граммный комплекс переходит в режим анализа зараженной про­граммы-ловушки и пытается определить тип вируса.

Программа для вакцинации. Предназначена для изменения среды функционирования вирусов таким образом, чтобы они теря­ли способность к размножению. Известно, что ряд вирусов помеча­ет зараженные файлы для предотвращения повторного зараже­ния. Используя это свойство, возможно создание программы, кото­рая обрабатывала бы файлы таким образом, чтобы вирус считал, что они уже заражены.

База данных о вирусах и их характеристиках. Предполагается, что в базе данных будет храниться информация о существующих вирусах, их особенностях и сигнатурах, а также рекомендуемая стратегия лечения. Информация из БД может использоваться при анализе зараженной программы-ловушки, а также на этапе вход­ного контроля ПО. Кроме того, на основе информации, хранящейся в БД, можно выработать рекомендации по использованию наибо­лее эффективных детекторов и фагов для лечения от конкретного типа вируса.

Резидентные средства защиты. Эти средства могут резидентно разместиться в памяти и постоянно контролировать целостность системных файлов и командного процессора. Проверка может вы­полняться по прерываниям от таймера или при выполнении опера­ций чтения и записи в файл.


Глава 9