Лекция 16. Особенности обеспечения информационной безопасности в компьютерных сетях

Вопросы для самоконтроля

Выводы по теме

Общий алгоритм обнаружения вируса

При анализе алгоритма вируса необходимо выяснить:

· способ(ы) размножения вируса;

· характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках;

· метод лечения оперативной памяти и зараженных файлов (секторов).

При анализе файлового вируса необходимо выяснить, какие файлы (COM, EXE, SYS) поражаются вирусом, в какое место (места) в файле записывается код вируса - в начало, конец или середину файла, в каком объеме возможно восстановление файла (полностью или частично), в каком месте вирус хранит восстанавливаемую информацию.

При анализе загрузочного вируса основной задачей является выяснение адреса (адресов) сектора, в котором вирус сохраняет первоначальный загрузочный сектор.

Для резидентного вируса требуется также выделить участок кода, создающий резидентную копию вируса. Необходимо также определить, каким образом и где в оперативной памяти вирус выделяет место для своей резидентной копии.

Для анализа макровирусов необходимо получить текст их макросов. Для нешифрованных ("не-стелс") вирусов это достигается при помощи меню Сервис/Макрос. Если же вирус шифрует свои макросы или использует "стелс"-приемы, то необходимо воспользоваться специальными утилитами просмотра макросов. Такие специализированные утилиты есть практически у каждой фирмы-производителя антивирусов, однако, они являются утилитами "внутреннего пользования" и не распространяются за пределы фирм.

В любом случае, если есть возможность, правильнее всего передавать зараженные файлы специалистам антивирусных лабораторий.

· Некоторые загрузочные вирусы практически сразу можно обнаружить по наличию различных текстовых строк выводимых на экран при активизации вируса.

· Отсутствие или изменение строки-заголовка boot-сектора (строка, название фирмы-производителя программного обеспечения) также может служить сигналом о заражении вирусом.

· Если в компьютере обнаружены следы деятельности вируса, но видимых изменений в файлах и системных секторах дисков не наблюдается, то вполне возможно, что компьютер поражен одним из "стелс"-вирусов.

· Обнаружить резидентный Windows-вирус можно, если загрузить DOS и проверить запускаемые файлы Windows.

· Для проверки системы на предмет наличия вируса можно использовать пункт меню Сервис/макрос, если обнаружены неизвестные макросы, то они могут принадлежать вирусу.

· Сигналом о вирусе являются и изменения в файлах и системной конфигурации Word, Excel и Windows.

· При анализе алгоритма вируса необходимо выяснить: способ(ы) размножения вируса, характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках, метод лечения оперативной памяти и зараженных файлов (секторов).

· Как обнаружить загрузочный вирус?

· Как обнаружить резидентный вирус?

· Характерные черты макровируса.

· Как проверить систему на наличие макровируса?

· Является ли наличие скрытых листов в Excel признаком заражения макровирусом?

· Перечислите основные этапы алгоритма обнаружения вируса.