Un profilakse - failu vai operētājsistēmas inficēšanās (modifikācijas) novēršana ar ļaunprātīgu programmatūru.

Vīrusu aizsardzības metodes[ | ]

Aizsardzībai pret vīrusiem tiek izmantotas trīs metožu grupas:

1. Metodes, kuru pamatā ir failu satura analīze(gan datu faili, gan faili ar komandām). Šajā grupā ietilpst vīrusu parakstu skenēšana, kā arī integritātes pārbaude un aizdomīgu komandu skenēšana.
2. Metodes, kuru pamatā ir programmas uzvedības izsekošana tos izpildot. Šīs metodes sastāv no visu notikumu reģistrēšanas, kas apdraud sistēmas drošību un notiek vai nu testa objekta faktiskās izpildes laikā, vai tā programmatūras emulācijas laikā.
3. Metodes darba kārtības regulējums ar failiem un programmām. Šīs metodes ir administratīvie drošības pasākumi.

Parakstu skenēšanas metode(paraksta analīze, paraksta metode) ir balstīta uz failu meklēšanu pēc unikālas baitu secības - paraksti, kas raksturīga konkrētam vīrusam. Katram jaunatklātam vīrusam antivīrusu laboratorijas speciālisti veic analīzi, pamatojoties uz kuru tiek noteikts tā paraksts. Iegūtais vīrusa fragments tiek ievietots īpašā vīrusu parakstu datu bāzē, ar kuru strādā pretvīrusu programma. Šīs metodes priekšrocība ir salīdzinoši zemais viltus pozitīvu rezultātu īpatsvars, un galvenais trūkums ir principiālā neiespējamība sistēmā noteikt jaunu vīrusu, kuram antivīrusu programmas datubāzē nav paraksta, tāpēc savlaicīga parakstu datu bāzes atjaunināšana ir nepieciešams.

Integritātes kontroles metode ir balstīts uz to, ka jebkura negaidīta un bezcēloņa diska datu maiņa ir aizdomīgs notikums, kam nepieciešama īpaša pretvīrusu sistēmas uzmanība. Vīruss obligāti atstāj pierādījumus par savu klātbūtni (izmaiņas esošo (īpaši sistēmas vai izpildāmo) failu datos, jaunu izpildāmo failu parādīšanās utt.). Datu maiņas fakts - integritātes pārkāpums- ir viegli nosakāms, salīdzinot kontrolsummu (savilkumu), kas iepriekš aprēķināts testa objekta sākotnējam stāvoklim, un testa gadījuma pašreizējā stāvokļa kontrolsummu (savilkumu). Ja tie nesakrīt, tas nozīmē, ka ir pārkāpta integritāte, un tam ir pamats veikt papildu pārbaudi, piemēram, skenējot vīrusu parakstus. Šī metode darbojas ātrāk nekā parakstu skenēšanas metode, jo kontrolsummu aprēķināšanai ir nepieciešams mazāk aprēķinu nekā vīrusu fragmentu salīdzināšanai pa baitam, turklāt tā ļauj atklāt jebkādu, tostarp nezināmu, vīrusu aktivitātes pēdas. kuriem datu bāzē vēl nav parakstu.

Aizdomīgu komandu skenēšanas metode(heiristiskā skenēšana, heiristiskā metode) ir balstīta uz noteiktu skaitu aizdomīgu komandu un (vai) aizdomīgu secību pazīmju identificēšanu skenētajā failā (piemēram, komanda formatēt cieto disku vai funkcija ievietošanu darbināmā vai izpildāmā failā). process). Pēc tam tiek izdarīts pieņēmums par faila ļaunprātīgo raksturu un tiek veiktas papildu darbības, lai to pārbaudītu. Šī metode ir ātra, taču diezgan bieži tā nespēj atklāt jaunus vīrusus.

Programmas uzvedības izsekošanas metode būtiski atšķiras no iepriekš minētajām failu satura skenēšanas metodēm. Šī metode ir balstīta uz programmu darbības analīzi, kas ir salīdzināma ar noziedznieka noķeršanu “pie rokas” nozieguma vietā. Šāda veida pretvīrusu rīkiem bieži ir nepieciešama aktīva lietotāja līdzdalība, kas tiek aicināta pieņemt lēmumus, reaģējot uz daudziem sistēmas brīdinājumiem, no kuriem daudzi vēlāk var izrādīties viltus trauksmes. Viltus pozitīvu rezultātu biežums (aizdomām par vīrusu nekaitīgā failā vai ļaunprātīga faila trūkumu), kas pārsniedz noteiktu slieksni, padara šo metodi neefektīvu, un lietotājs var pārstāt reaģēt uz brīdinājumiem vai izvēlēties optimistisku stratēģiju (atļaut visas darbības visām darbojošajām programmām vai atspējot šo pretvīrusu līdzekli). Lietojot pretvīrusu sistēmas, kas analizē programmu uzvedību, vienmēr pastāv risks izpildīt vīrusu komandas, kas var sabojāt aizsargāto datoru vai tīklu. Lai novērstu šo trūkumu, vēlāk tika izstrādāta emulācijas (simulācijas) metode, kas ļauj palaist testējamo programmu mākslīgi izveidotā (virtuālā) vidē, ko mēdz dēvēt par smilšu kasti, neriskējot sabojāt informācijas vidi. Programmu uzvedības analīzes metožu izmantošana ir parādījusi to augsto efektivitāti gan zināmas, gan nezināmas ļaunprātīgas programmatūras atklāšanā.

Viltus antivīrusi [ | ]

2009. gadā sākās aktīva viltus antivīrusu izplatība [ ] - programmatūra, kas nav pretvīrusu programma (tas ir, tai nav reālas funkcionalitātes, lai cīnītos pret ļaunprātīgu programmatūru), bet tā izliekas. Faktiski viltoti antivīrusi var būt vai nu programmas, lai maldinātu lietotājus un gūtu peļņu maksājumu veidā par “vīrusu sistēmas izārstēšanu”, vai arī parasta ļaunprātīga programmatūra.

Īpaši antivīrusi[ | ]

2014. gada novembrī starptautiskā cilvēktiesību organizācija Amnesty International izlaida Detect, pretvīrusu programmu, kas paredzēta, lai atklātu ļaunprātīgu programmatūru, ko izplata valdības aģentūras, lai izspiegotu civilos aktīvistus un politiskos oponentus. Antivīruss, pēc veidotāju domām, veic dziļāku cietā diska skenēšanu nekā parastie antivīrusi.

Pretvīrusu efektivitāte[ | ]

Analītiskais uzņēmums Imperva kā daļa no Hacker Intelligence Initiative publicēja interesantu pētījumu, kas parāda vairuma antivīrusu zemo efektivitāti reālos apstākļos.

Saskaņā ar dažādu sintētisko testu rezultātiem antivīrusu vidējā efektivitāte ir aptuveni 97%, bet šie testi tiek veikti simtiem tūkstošu paraugu datu bāzēs, no kurām lielākā daļa (varbūt apmēram 97%) vairs netiek izmantota. veikt uzbrukumus.

Jautājums ir par to, cik efektīvi pretvīrusi ir pret aktuālākajiem draudiem. Lai atbildētu uz šo jautājumu, Imperva un studenti no Telavivas universitātes ieguva 82 jaunākās ļaunprogrammatūras paraugus no Krievijas pagrīdes forumiem un pārbaudīja tos pret VirusTotal, tas ir, pret 42 pretvīrusu dzinējiem. Rezultāts bija katastrofāls.

1. Antivīrusu efektivitāte pret tikko apkopotu ļaunprogrammatūru bija mazāka par 5%. Tas ir pilnīgi loģisks rezultāts, jo vīrusu radītāji vienmēr pārbauda tos pret VirusTotal datu bāzi.
2. No vīrusa parādīšanās brīža, līdz antivīrusi to sāk atpazīt, paiet četras nedēļas. Šo rādītāju sasniedz “elitārie” antivīrusi, savukārt citiem antivīrusiem periods var sasniegt pat 9-12 mēnešus. Piemēram, pētījuma sākumā 2012. gada 9. februārī tika pārbaudīts jauns viltotā Google Chrome instalēšanas programmas paraugs. Pēc pētījuma beigām 2012. gada 17. novembrī tikai 23 no 42 antivīrusiem to atklāja.
3. Antivīrusiem ar vislielāko ļaunprātīgas programmatūras noteikšanas procentuālo daļu ir arī liels viltus pozitīvu rezultātu procentuālais daudzums.
4. Lai gan pētījumu diez vai var saukt par objektīvu, jo ļaunprogrammatūras izlase bija pārāk maza, var pieņemt, ka antivīrusi ir pilnīgi nepiemēroti pret jauniem kiberdraudiem.

Pretvīrusu programmu klasifikācijas[ | ]

Pretvīrusu programmas pēc izpildes (bloķēšanas līdzekļiem) iedala:

• programmatūra;
• programmatūra un aparatūra.

Pamatojoties uz izvietojumu RAM, izšķir:

• rezidents (viņi sāk darbu, kad tiek startēta operētājsistēma, pastāvīgi atrodas datora atmiņā un automātiski skenē failus);
• nerezidenti (palaista pēc lietotāja pieprasījuma vai saskaņā ar viņiem noteikto grafiku).

Pēc aizsardzības pret vīrusiem veida (metodes) tos izšķir:

Saskaņā ar Krievijas FSTEC normatīvo aktu “Prasības tehnisko noteikumu jomā produktiem, ko izmanto, lai aizsargātu informāciju, kas veido valsts noslēpumu vai klasificēta kā cita ierobežotas pieejamības informācija, kas aizsargāta saskaņā ar Krievijas Federācijas tiesību aktiem (prasības pretvīrusu aizsardzības līdzekļi)” (apstiprināts . ar Krievijas FSTEC 2012. gada 20. marta rīkojumu Nr. 28) izšķir šādus pretvīrusu aizsardzības veidus:

• “A” tips - pretvīrusu aizsardzības rīki (pretvīrusu aizsardzības rīku komponenti), kas paredzēti informācijas sistēmas komponentos (serveros, automatizētajās darbstacijās) uzstādīto pretvīrusu aizsardzības rīku centralizētai administrēšanai;
• tips “B” - pretvīrusu aizsardzības rīki (pretvīrusu aizsardzības rīku komponenti), kas paredzēti lietošanai informācijas sistēmu serveros;
• “B” tips - pretvīrusu aizsardzības rīki (pretvīrusu aizsardzības līdzekļu komponenti), kas paredzēti lietošanai informācijas sistēmu automatizētajās darbstacijās;
• tips “G” - pretvīrusu aizsardzības rīki (pretvīrusu aizsardzības rīku komponenti), kas paredzēti lietošanai autonomās automatizētās darbstacijās.

“A” tipa pretvīrusu aizsardzības rīki informācijas sistēmās netiek izmantoti atsevišķi un ir paredzēti lietošanai tikai kopā ar “B” un (vai) “C” tipa pretvīrusu aizsardzības rīkiem.

Vārds "bot" ir saīsinājums no vārda "robots". Bots ir koda daļa, kas veic noteiktu funkcionalitāti tā īpašniekam, kurš ir šī koda autors. Boti (bot) ir ļaunprātīgas programmatūras veids, kas ir instalēts tūkstošiem datoru. Tiek izsaukts dators, kurā ir instalēts robots zombijs(zombijs). Bots saņem komandas no tā īpašnieka un liek inficētajam datoram tās izpildīt. Šādas komandas var būt surogātpasta, vīrusu sūtīšana vai uzbrukumu veikšana. Uzbrucējs dod priekšroku veikt šādas darbības, izmantojot robotprogrammatūras, nevis savu datoru, jo tas viņam ļauj izvairīties no atklāšanas un identifikācijas.

Tiek izsaukts uzbrucēja apdraudētu zombiju datoru komplekts, kurā ir instalēti roboti robottīkls (bottīkls). Lai izveidotu robottīklu, hakeri ielaužas tūkstošiem sistēmu, nosūtot ļaunprātīgu kodu dažādos veidos: kā e-pasta ziņojumu pielikumus, izmantojot apdraudētas vietnes, nosūtot saites uz ļaunprātīgām vietnēm kā e-pasta ziņojumu pielikumus utt. Ja ļaunprātīgais kods ir veiksmīgi instalēts lietotāja datorā, tas nosūta uzbrucējam ziņojumu, ka sistēma ir uzlauzta un tagad ir pieejama uzbrucējam, kurš to var izmantot pēc vēlēšanās. Piemēram, viņš var izmantot izveidoto robottīklu, lai veiktu spēcīgus uzbrukumus vai iznomātu to surogātpasta izplatītājiem. Turklāt lielākā daļa datoru, kas iekļauti robottīklā, ir nenojaušot lietotāju mājas datori.

Šī robottīkla īpašnieks kontrolē tajā iekļautās sistēmas attālināti, parasti izmantojot IRC (Internet Relay Chat) protokolu.

Tālāk ir norādītas robottīklu izveides un lietošanas pamatdarbības.

1. Hakeris izmanto dažādas metodes, lai potenciālajiem upuriem nosūtītu ļaunprātīgu kodu, kas satur robotprogrammatūru.
2. Pēc veiksmīgas instalēšanas upura sistēmā, bots izveido kontaktu ar robottīkla vadības serveri, sazinoties ar to caur IRC vai speciālu tīmekļa serveri, atbilstoši tā kodā norādītajam. Pēc tam vadības serveris pārņem kontroli pār jauno robotprogrammatūru.
3. Surogātpasta izplatītājs maksā hakeram par sava robottīkla sistēmu izmantošanu, hakeris nosūta atbilstošās komandas vadības serverim, savukārt kontroles serveris uzdod visām inficētajām sistēmām, kas iekļautas robottīklā, sūtīt surogātpastu.

Surogātpasta izplatītāji izmanto šo metodi, jo tā ievērojami palielina iespēju, ka viņu ziņojumi sasniegs adresātus, apejot viņu instalētos surogātpasta filtrus, jo. šādi ziņojumi tiks sūtīti nevis no vienas adreses, kas ātri tiks bloķēta vai pievienota visiem “melnajiem sarakstiem”, bet gan no daudzām reālām uzlauzto datoru īpašnieku adresēm.

Lai izveidotu robottīklu, tā nākamais īpašnieks vai nu visu dara pats, vai arī maksā hakeriem, lai tie izstrādātu un izplatītu ļaunprātīgu programmatūru, lai inficētu sistēmas, kas kļūs par viņa robottīkla daļu. Un tad ar botneta īpašnieku sazināsies un samaksās tie, kas vēlēsies pastāstīt par saviem jaunajiem produktiem, kā arī tie, kuriem nepieciešams uzbrukt konkurentiem, nozagt personas datus vai lietotāju paroles un daudzi citi.

Tradicionālā pretvīrusu programmatūra ļaunprātīga koda noteikšanai izmanto parakstus. Paraksti ir pretvīrusu programmatūras ražotāja izveidotā ļaunprātīga koda pirkstu nospiedumi. Paraksts ir koda fragmenti, kas iegūti no paša vīrusa. Pretvīrusu programma skenē failus, e-pastus un citus datus, kas iet caur noteiktiem datoriem, un salīdzina tos ar savu vīrusu parakstu datu bāzi. Kad tiek konstatēta atbilstība, pretvīrusu programma veic iepriekš konfigurētu darbību, kas var būt inficētā faila nosūtīšana karantīnā, mēģinājums "izārstēt" failu (noņemt vīrusu), parādīt lietotājam brīdinājuma logu un/vai ierakstot notikumu .

Ļaunprātīga koda noteikšana, pamatojoties uz parakstu ir efektīvs veids, kā atklāt ļaunprātīgu programmatūru, taču ir zināma kavēšanās, reaģējot uz jauniem draudiem. Pēc vīrusa pirmās atklāšanas antivīrusu ražotājam ir jāizpēta vīruss, jāizstrādā un jāpārbauda jauni paraksti, jāizlaiž parakstu datu bāzes atjauninājums, un visiem lietotājiem ir jālejupielādē atjauninājums. Ja ļaunprātīgais kods vienkārši sūta jūsu fotoattēlus visiem jūsu draugiem, šī aizkave nav tik kritiska. Tomēr, ja ļaunprogrammatūra ir līdzīga Slammer tārpam, šādas kavēšanās radītais kaitējums var būt katastrofāls.

PIEZĪME. Slammer tārps parādījās 2003. gadā. Viņš izmantoja Microsoft SQL Server 2000 DBVS ievainojamību, kas ļāva viņam izraisīt pakalpojuma atteikumu. Pēc dažām aplēsēm, Slammer nodarīja vairāk nekā 1 miljardu dolāru zaudējumus.

Tā kā katru dienu tiek radīta jauna ļaunprātīga programmatūra, pretvīrusu programmatūras ražotājiem ir grūti sekot līdzi. Vīrusu parakstu tehnoloģija ļauj atklāt vīrusus, kas jau ir identificēti un kuriem ir izveidots paraksts. Taču, tā kā vīrusu rakstītāji ir tik ražīgi un daudzi vīrusi var mainīt savu kodu, ir svarīgi, lai pretvīrusu programmatūrai būtu citi mehānismi ļaunprātīga koda noteikšanai.

Vēl viena metode, ko izmanto gandrīz visi pretvīrusu programmatūras produkti, ir ļaunprātīga koda noteikšana, pamatojoties uz kuru heiristiskā analīze (heiristiskā noteikšana). Šī metode analizē ļaunprātīgā koda vispārējo struktūru, novērtē koda izpildītās instrukcijas un algoritmus, kā arī pēta ļaunprātīgās programmas izmantoto datu veidus. Tādējādi tas apkopo lielu informācijas daudzumu par koda daļu un novērtē iespējamību, ka tas pēc būtības ir ļaunprātīgs. Tas izmanto sava veida “aizdomīguma skaitītāju”, kas palielinās, antivīrusu programmai atrodot tajā jaunas potenciāli bīstamas (aizdomīgas) īpašības. Kad tiek sasniegts iepriekš noteikts slieksnis, kods tiek uzskatīts par bīstamu un pretvīrusu programma iedarbina atbilstošus aizsardzības mehānismus. Tas ļauj pretvīrusu programmatūrai atpazīt nezināmu ļaunprātīgu programmatūru, nevis tikai paļauties uz parakstiem.

Apsveriet šādu analoģiju. Ivans ir policists, viņš strādā, lai notvertu sliktos puišus un aizslēgtu. Ja Ivans gatavojas izmantot paraksta metodi, viņš salīdzina katra uz ielas redzētā cilvēka fotogrāfiju kaudzes. Ieraugot sērkociņu, viņš ātri vien noķer slikto puisi un iesēdina savā patruļmašīnā. Ja viņš gatavojas izmantot heiristisko metodi, viņš vēro aizdomīgas darbības. Piemēram, ja viņš ierauga pie bankas stāvam vīrieti slēpošanas maskā, viņš novērtē iespējamību, ka viņš ir laupītājs, nevis vienkārši auksts puisis, kurš pieprasa naudu no bankas klientiem.

PIEZĪME. Bezdiska darbstacijas ir arī neaizsargātas pret vīrusiem, neskatoties uz to, ka nav cietā diska un pilnvērtīgas operētājsistēmas. Viņi var būt inficēti ar vīrusiem, kas tiek lejupielādēti un paliek atmiņā. Šādas sistēmas var attālināti pārstartēt (remote reboot), lai notīrītu atmiņu un atgrieztu to sākotnējā stāvoklī, t.i. vīruss šādā sistēmā dzīvo īslaicīgi.

Daži pretvīrusu produkti izveido mākslīgu vidi, ko sauc par virtuālo mašīnu vai smilškaste, un ļauj dažiem aizdomīgajiem kodiem darboties aizsargātā vidē. Tas dod pretvīrusu programmai iespēju redzēt kodu darbībā, kas sniedz daudz vairāk informācijas, lai izlemtu, vai tas ir ļaunprātīgs vai nē.

PIEZĪME. Dažreiz tiek saukta virtuālā mašīna vai smilškaste emulācijas buferis(emulācijas buferis). Tas ir tas pats, kas aizsargāts atmiņas segments, tāpēc pat tad, ja kods izrādīsies ļaunprātīgs, sistēma joprojām būs droša.

Tiek izsaukta informācijas analīze par koda daļu statiskā analīze , ja palaižat koda daļu virtuālajā mašīnā, to sauc dinamiskā analīze . Abas šīs metodes tiek uzskatītas par heiristiskās noteikšanas metodēm.

Vakcinācija. Cita pieeja, ko izmantojušas dažas pretvīrusu programmas, tiek saukta vakcinācija(imunizācija). Produkti ar šo funkcionalitāti veica izmaiņas failos un diska apgabalos, lai tie izskatītos tā, it kā tie jau būtu inficēti. Šādā gadījumā vīruss var nolemt, ka fails (disks) jau ir inficēts un neveiks nekādas papildu izmaiņas, pārejot uz nākamo failu.

Vakcinācijas programma, kā likums, ir vērsta uz konkrētu vīrusu, jo katra no tām inficēšanās faktu pārbauda atšķirīgi un failā (diskā) meklē dažādus datus (parakstus). Tomēr vīrusu un citas ļaunprātīgas programmatūras skaits nepārtraukti pieaug, un līdz ar to arī aizsargājamo failu skaits, tāpēc šī pieeja šobrīd vairumā gadījumu nav praktiska, un antivīrusu ražotāji to vairs neizmanto.

Pašlaik pat ar visām šīm sarežģītajām un efektīvajām pieejām nav absolūtas garantijas pretvīrusu rīku efektivitātei, jo vīrusu rakstītāji ir ļoti viltīgi. Tā ir nemitīga kaķa un peles spēle, kas notiek katru dienu. Antivīrusu industrija atrod jaunu veidu, kā atklāt ļaunprātīgu programmatūru, un nākamnedēļ vīrusu rakstītāji atrod veidu, kā apiet šo jauno metodi. Tas liek antivīrusu ražotājiem pastāvīgi palielināt savu produktu inteliģenci, un lietotājiem katru gadu ir jāiegādājas jaunas to versijas.

Tiek saukts nākamais pretvīrusu programmatūras attīstības posms uzvedības blokatori (uzvedības bloķētājs). Pretvīrusu programmatūra, kas veic uzvedības bloķēšanu, būtībā ļauj aizdomīgam kodam darboties neaizsargātā operētājsistēmā un uzrauga tā mijiedarbību ar operētājsistēmu, pievēršot uzmanību aizdomīgām darbībām. Pretvīrusu programmatūra uzrauga šāda veida darbības:

• Rakstīšana failos, kas tiek automātiski ielādēti sistēmas startēšanas laikā, vai startēšanas sadaļās sistēmas reģistrā
• Failu atvēršana, dzēšana vai mainīšana
• Skriptu iekļaušana e-pasta ziņojumos, lai nosūtītu izpildāmo kodu
• Savienojuma izveide ar tīkla resursiem vai koplietotām mapēm
• Izpildāmā koda loģikas maiņa
• Makro un skriptu izveide vai modificēšana
• Cietā diska formatēšana vai rakstīšana sāknēšanas sektorā

Ja pretvīrusu programma konstatē dažas no šīm potenciāli bīstamajām darbībām, tā var piespiest programmu pārtraukt darbību un informēt lietotāju. Jaunās paaudzes uzvedības bloķētāji faktiski analizē šādu darbību secību, pirms tiek pieņemts lēmums, ka sistēma ir inficēta (pirmā uzvedības bloķētāju paaudze vienkārši izraisīja atsevišķas darbības, kas izraisīja lielu skaitu viltus pozitīvu rezultātu). Mūsdienu pretvīrusu programmatūra var pārtvert bīstamu koda daļu izpildi un novērst to mijiedarbību ar citiem darbojošiem procesiem. Viņi var arī atklāt. Dažas no šīm pretvīrusu programmām ļauj “atgriezt” sistēmu tādā stāvoklī, kādā tā bija pirms inficēšanās, “izdzēšot” visas ļaunprātīgā koda veiktās izmaiņas.

Šķiet, ka uzvedības bloķētāji var pilnībā atrisināt visas ar ļaunprātīgo kodu saistītās problēmas, taču tiem ir viens trūkums, kas prasa šādu ļaunprātīgā koda uzraudzību reāllaikā, pretējā gadījumā sistēma joprojām var būt inficēta. Turklāt pastāvīgai uzraudzībai ir nepieciešams liels sistēmas resursu apjoms...

PIEZĪME. Heiristiskā analīze un uz uzvedību balstīta bloķēšana tiek uzskatīta par proaktīviem paņēmieniem un var atklāt jaunu ļaunprātīgu programmatūru, ko dažreiz sauc par nulles dienas uzbrukumiem. Uz parakstu balstīta ļaunprātīgas programmatūras noteikšana nevar identificēt jaunu ļaunprātīgu programmatūru.

Lielākā daļa pretvīrusu programmu izmanto visu šo tehnoloģiju kombināciju, lai nodrošinātu vislabāko iespējamo aizsardzību. Atlasītie pretļaunatūras risinājumi ir parādīti 9-20 attēlā.

Attēls 9-20. Pretvīrusu programmatūras ražotāji izmanto dažādas metodes, lai atklātu ļaunprātīgu kodu

Mēs visi esam ļoti noguruši no e-pastiem, kuros tiek lūgts iegādāties kaut ko nevajadzīgu. Tādas vēstules sauc spams (surogātpasts) ir nevēlamas e-pasta ziņas. Surogātpasts ne tikai novērš tā adresātu uzmanību no viņu biznesa, bet arī patērē ievērojamu tīkla joslas platumu un var būt arī ļaunprātīgas programmatūras avots. Daudzi uzņēmumi savos e-pasta serveros izmanto surogātpasta filtrus, un lietotāji savos e-pasta klientos var konfigurēt surogātpasta filtrēšanas noteikumus. Taču surogātpasta izplatītāji, kā arī vīrusu rakstītāji pastāvīgi izdomā jaunus un ģeniālus veidus, kā apiet surogātpasta filtrus.

Efektīva surogātpasta noteikšana ir kļuvusi par īstu zinātni. Viena no izmantotajām metodēm tiek saukta Bajesa filtrēšana (Bayesian filtrēšana). Pirms daudziem gadiem kāds džentlmenis vārdā Tomass Bejs (matemātiķis) izstrādāja efektīvu veidu, kā, izmantojot matemātiku, paredzēt jebkādu notikumu rašanās varbūtību. Bayes teorēma ļauj noteikt varbūtību, ka notikums noticis tikai netiešu pierādījumu (datu) klātbūtnē, kas var būt neprecīzi. Konceptuāli to nav tik grūti saprast. Ja trīs reizes atsitāsi ar galvu pret ķieģeļu sienu un katru reizi nokriti, var secināt, ka turpmākie mēģinājumi novedīs pie tikpat sāpīgiem rezultātiem. Tas ir interesantāk, ja šī loģika tiek piemērota darbībām, kurās ir daudz vairāk mainīgo. Piemēram, kā darbojas surogātpasta filtrs, kas neļauj nosūtīt vēstules no jums ar piedāvājumu iegādāties Viagra, bet neliedz nosūtīt pastu no jūsu drauga, kurš ļoti interesējas par šo narkotiku un raksta jums ziņojumus par to īpašībām un iedarbību uz ķermeņa? Bayes filtrs izmanto statistisko modelēšanu vārdiem, kas veido e-pasta ziņojumus. Šiem vārdiem tiek veiktas matemātiskās formulas, lai pilnībā izprastu to attiecības vienam ar otru. Bayes filtrs veic katra vārda biežuma analīzi un pēc tam novērtē ziņojumu kopumā, lai noteiktu, vai tas ir surogātpasts.

Šis filtrs ne tikai meklē vārdus "Viagra", "sekss" utt., bet arī nosaka, cik bieži šie vārdi tiek lietoti un kādā secībā, lai noteiktu, vai ziņojums ir surogātpasts. Diemžēl surogātpasta izplatītāji zina, kā šie filtri darbojas, un manipulē ar vārdiem ziņojuma tēmas rindiņā un pamattekstā, lai mēģinātu apmānīt surogātpasta filtru. Tāpēc jūs varat saņemt surogātpasta ziņojumus ar pareizrakstības kļūdām vai vārdiem, kuros burtu vietā izmantoti simboli. Surogātpasta izplatītāji ir ļoti ieinteresēti, lai jūs saņemtu viņu ziņojumus, jo viņi ar to nopelna daudz naudas.

Lai aizsargātu uzņēmumus no dažādām ļaunprātīgām programmām, ir nepieciešams vairāk nekā tikai pretvīrusu programmatūra. Tāpat kā ar citiem komponentiem, ir jāievieš un jāuztur noteikti papildu administratīvie, fiziskie un tehniskie drošības pasākumi.

Uzņēmumam ir jābūt atsevišķai pretvīrusu politikai, vai arī antivīrusu aizsardzības jautājumi jāņem vērā vispārējā. Jāizstrādā, kas definē lietošanai uzņēmumā nepieciešamo pretvīrusu un pretspiegu programmatūras veidus, kā arī to konfigurācijas galvenos parametrus.

Programmā jāsniedz informācija par vīrusu uzbrukumiem, izmantotajiem pretvīrusu aizsardzības rīkiem, kā arī no lietotājiem sagaidāmo uzvedību. Katram lietotājam ir jāzina, kas jādara un kur jāvēršas, ja datorā tiek atklāts vīruss. Standartam ir jārisina visi jautājumi, kas saistīti ar lietotāja darbībām, kas saistītas ar ļaunprātīgu kodu, un jānorāda, kas lietotājam ir jādara un kas viņam ir aizliegts. Jo īpaši standartā jāiekļauj šādi jautājumi:

• Pretvīrusu programmatūra ir jāinstalē katrā darbstacijā, serverī, komunikatorā un viedtālrunī.
• Katrai no šīm ierīcēm ir jābūt iespējai automātiski atjaunināt pretvīrusu parakstus, kas ir jāiespējo un jākonfigurē katrā ierīcē.
• Lietotājam nevajadzētu būt iespējai atspējot pretvīrusu programmatūru.
• Iepriekš ir jāizstrādā un jāplāno vīrusa noņemšanas process, kā arī jānoskaidro un jāieceļ kontaktpersona ļaunprātīga koda atklāšanas gadījumā.
• Visi ārējie diskdziņi (USB diskdziņi utt.) ir jāskenē automātiski.
• Dublējuma faili ir jāpārbauda.
• Pretvīrusu politikas un procedūras ir jāpārskata katru gadu.
• Izmantotajai pretvīrusu programmatūrai ir jānodrošina aizsardzība pret sāknēšanas vīrusiem.
• Pretvīrusu skenēšana ir jāveic neatkarīgi vārtejā un katrā atsevišķā ierīcē.
• Pretvīrusu skenēšanai vajadzētu darboties automātiski pēc grafika. Jums nav jāpaļaujas uz lietotājiem, lai veiktu skenēšanu manuāli.
• Kritiskās sistēmas ir fiziski jāaizsargā tā, lai tajās nebūtu iespējama vietēja ļaunprātīgas programmatūras instalēšana.

Tā kā ļaunprogrammatūra var radīt miljoniem dolāru lielus zaudējumus (darbības izmaksas, zaudēta produktivitāte), daudzi uzņēmumi instalē pretvīrusu risinājumus visos tīkla ieejas punktos. Pretvīrusu skeneri var integrēt pasta servera programmatūrā vai . Šis pretvīrusu skeneris pārbauda, ​​vai visā ienākošajā trafikā nav ļaunprātīga koda, lai to noteiktu un apturētu iepriekš, pat pirms tas sasniedz iekšējo tīklu. Produkti, kas ievieš šo funkcionalitāti, var skenēt trafiku no SMTP, HTTP, FTP un, iespējams, citiem protokoliem. Bet ir svarīgi saprast, ka šāds produkts uzrauga tikai vienu vai divus protokolus, nevis visu ienākošo trafiku. Tas ir viens no iemesliem, kāpēc katrā serverī un darbstacijā ir jābūt instalētai arī pretvīrusu programmatūrai.

Krievijas Federācijas Kriminālkodeksa 273. pantā, saskaņā ar ļaunprogrammatūra attiecas uz datorprogrammām vai esošo programmu izmaiņām, kas “apzināti izraisa informācijas nesankcionētu iznīcināšanu, bloķēšanu, pārveidošanu vai kopēšanu, datora, datorsistēmas vai to tīkla darbības traucējumus”.

Korporācija Microsoft lieto terminu ļaunprogrammatūra, definējot to šādi: “ļaunprātīga programmatūra ir ļaunprātīgas programmatūras saīsinājums, ko parasti lieto kā vispārēju terminu, lai apzīmētu jebkuru programmatūru, kas īpaši izstrādāta, lai radītu bojājumus atsevišķam datoram, serverim vai datortīklam neatkarīgi no neatkarīgi no tā, vai tas ir vīruss, spiegprogrammatūra utt.

Šādas programmatūras nodarītais kaitējums var ietvert bojājumus:

• Iebrucēja uzbrukuma datora (tīkla) programmatūra un aparatūra;
• datora lietotāja dati;
• pašam datora lietotājam (netieši);
• citu datoru lietotāji (netieši).

Konkrēts kaitējums datorsistēmu un tīklu lietotājiem un (vai) īpašniekiem var būt šāds:

• vērtīgas informācijas (tostarp finanšu informācijas) noplūde un (vai) zudums;
• sistēmā instalētās programmatūras neparasta uzvedība;
• straujš ienākošās un (vai) izejošās satiksmes pieaugums;
• datortīkla palēninājums vai pilnīga atteice;
• organizācijas darbinieku darba laika zudums;
• likumpārkāpēja piekļuve korporatīvā datortīkla resursiem;
• risks kļūt par krāpšanas upuri.

Ļaunprātīgas programmatūras pazīmes ir šādas:

• savas klātbūtnes slēpšana datorsistēmā;
• pašdublēšanās ieviešana, Jūsu koda saistīšana ar citām programmām, Jūsu koda pārnešana uz iepriekš neaizņemtām datora atmiņas zonām;
• citu programmu koda sagrozīšana datora operatīvajā atmiņā;
• datu saglabāšana no citu procesu operatīvās atmiņas citās datora atmiņas zonās;
• saglabāto vai pārsūtīto datu sagrozīšana, bloķēšana, aizstāšana, kas iegūta citu programmu darbības rezultātā vai jau atrodas datora ārējā atmiņā;
• nepareiza lietotāja informēšana par darbībām, kuras it kā veic programma.

Ļaunprātīgai programmai var būt tikai viena no iepriekš minētajām īpašībām vai to kombinācija. Acīmredzot iepriekš minētais saraksts nav pilnīgs.

Pamatojoties uz materiālo labumu esamību, ļaunprātīgo programmatūru (programmatūru) var iedalīt:

• tieša materiāla labuma nesniegšana personai, kura izstrādājusi (instalējusi) kaitīgo programmu (izstrādāta, pamatojoties uz huligānismu, “joku”, vandālismu, tai skaitā reliģisku, nacionālistisku, politisku iemeslu dēļ, pašapliecināšanos un vēlmi apliecināt savu kvalifikāciju);
• tieša materiāla labuma gūšana likumpārkāpējam konfidenciālas informācijas zādzības veidā, tai skaitā piekļuve bankas-klienta sistēmām, kredītkaršu PIN kodu un citu lietotāja personas datu iegūšana, kā arī kontroles iegūšana pār attālinātām datorsistēmām lai izplatītu surogātpastu no daudziem “inficētiem” datoriem (zombiju datoriem).

Pamatojoties uz izstrādes mērķi, ļaunprātīgu programmatūru var iedalīt:

• Programmatūra, kas sākotnēji tika izstrādāta speciāli, lai iegūtu nesankcionētu piekļuvi datorā glabātajai informācijai ar mērķi nodarīt kaitējumu informācijas īpašniekam un (vai) datora (datortīkla) īpašniekam;
• Programmatūra, kas sākotnēji nebija īpaši izstrādāta, lai iegūtu nesankcionētu piekļuvi datorā glabātajai informācijai, un sākotnēji nebija paredzēta, lai radītu kaitējumu informācijas īpašniekam un (vai) datora (datortīkla) īpašniekam.

Nesen ļaunprātīgas programmatūras izveides nozare ir kvalificēta kā kriminālatbildība, kā rezultātā:

• konfidenciālas informācijas (komercnoslēpumu, personas datu) zādzība;
• izveidot zombiju tīklus (“robottīklus”), kas paredzēti surogātpasta, izplatītu pakalpojumu atteikuma uzbrukumu (DDoS uzbrukumu) sūtīšanai un Trojas starpniekserveru ieviešanai;
• lietotāja informācijas šifrēšana ar sekojošām šantāžas un izpirkuma prasībām;
• uzbrukumi pretvīrusu produktiem;
• tā sauktā skalošana (pastāvīgs pakalpojuma atteikums - PDoS).

Pakalpojuma atteikuma uzbrukumi tagad tiek izmantoti ne tik daudz kā līdzeklis naudas izspiešanai no upuriem, bet gan kā politiskās un konkurences kara līdzeklis. Ja iepriekš DoS uzbrukumi bija rīks tikai izspiedēju hakeru vai huligānu rokās, tad tagad tie ir kļuvuši par tādu pašu preci kā surogātpasta vēstules vai pēc pasūtījuma izgatavota ļaunprogrammatūra. DoS uzbrukuma pakalpojumu reklamēšana ir kļuvusi par ikdienu, un cenas jau ir salīdzināmas ar surogātpasta sūtījumu organizēšanas izmaksām.

Uzņēmumi, kas specializējas datoru un tīklu drošībā, pievērš uzmanību jauna veida draudiem - tā sauktajam pastāvīgajam pakalpojumu liegumam (ROoS). Jaunais uzbrukuma veids saņēma citu nosaukumu - pietvīkums. Tas, iespējams, spēj nodarīt sistēmai daudz lielāku kaitējumu nekā jebkura cita veida ļaunprātīga tīkla darbība, jo tā ir vērsta uz datortehnikas atspējošanu. RooB uzbrukumi ir efektīvāki un lētāki nekā tradicionālie uzbrukumu veidi, kuros hakeris mēģina upura sistēmā instalēt ļaunprātīgu programmatūru. Mirgojot, uzbrukuma mērķis ir VUB zibatmiņā esošās programmas un ierīču draiveri, kas, ja tiek bojāti, traucē ierīču darbību un potenciāli spēj tās fiziski iznīcināt.

Cits uzbrukuma veids, kura mērķis ir nozagt konfidenciālu informāciju, ir tad, kad uzbrucēji uzņēmuma informācijas sistēmā ievieš ļaunprātīgu programmu, kas var bloķēt sistēmas darbību. Nākamajā posmā uzbrukušais uzņēmums saņem vēstuli no noziedzniekiem, kas pieprasa naudu par paroli, kas ļaus viņiem atbloķēt uzņēmuma datorsistēmu. Vēl viens līdzīgs veids, kā nelegāli nopelnīt naudu tiešsaistē, ir datorā palaist Trojas programmas, kas var šifrēt datus. Atšifrēšanas atslēgu sūta arī noziedznieki par noteiktu naudas atlīdzību.

Uzbrucēju interesējošos uzbrukuma datora lietotāja personas datos ietilpst:

• dokumenti un citi lietotāja dati, kas saglabāti datora atmiņā;
• kontu vārdi un paroles, lai piekļūtu dažādiem tīkla resursiem (elektroniskās naudas un maksājumu sistēmas, interneta izsoles, interneta peidžeri, e-pasts, interneta vietnes un forumi, tiešsaistes spēles);
• citu lietotāju e-pasta adreses, citu tīklā esošo datoru 1P adreses.

Pateicoties jaunajām interneta sniegtajām iespējām un īpaši sociālo tīklu plašajai izplatībai, arvien lielāks skaits cilvēku regulāri vēršas pie interneta resursiem un kļūst par upuriem arvien sarežģītākiem uzbrukumiem, kuru mērķis ir gan nozagt konfidenciālus lietotāju datus, gan “zombēt”. ” ar saviem datoriem, lai pārkāpēji vēlāk izmantotu savus resursus.

“Zombiju” tīkla efektīvu darbību nosaka trīs komponenti, no kuriem tas parasti sastāv:

• ielādēšanas programma, kuras uzdevums ir izplatīt savu kodu un galveno darbu veicošās bota programmas kodu;
• robotprogrammatūra, kas apkopo un pārraida konfidenciālu informāciju, sūta surogātpastu, piedalās EEoB uzbrukumā un citās darbībās, kuras tai ir noteicis pārkāpējs;
• robottīkla vadības modulis, kas apkopo informāciju no bot programmām un nosūta tām atjauninājumus un, ja nepieciešams, jaunus konfigurācijas failus, kas “retarget” robotprogrammas.

Lietotājam instalētas pretvīrusu programmatūras piemēri, lai cīnītos pret ļaunprātīgu programmatūru:

• pretvīrusu skenera vai monitora piespiedu apturēšana;
• drošības sistēmas iestatījumu maiņa, lai atvieglotu kaitīgās programmas ieviešanu un darbību;
• automātiska noklikšķināšana uz pogas “Izlaist” pēc tam, kad lietotājs ir saņēmis brīdinājumu par atklātu ļaunprātīgu programmatūru;
• savas klātbūtnes slēpšana sistēmā (tā sauktie “rootkit”);
• sarežģīt pretvīrusu analīzi, izmantojot ļaunprātīga koda papildu pārveidošanu (šifrēšana, aptumšošana vai neskaidrība, polimorfisms, iesaiņošana).

Līdz pēdējiem gadiem pretvīrusu programmu darbība balstījās tikai uz skenētā objekta satura analīzi. Tajā pašā laikā agrākā uz parakstiem balstītā vīrusu noteikšanas metode (tā sauktā skenēšana) izmantoja fiksētu baitu secību meklēšanu, bieži vien ar noteiktu nobīdi no objekta sākuma, kas ietvertas ļaunprātīgas binārajā kodā. programma. Heiristiskā analīze, kas parādījās nedaudz vēlāk, arī pārbaudīja skenējamā objekta saturu, taču tā balstījās uz brīvāku, varbūtību balstītu baitu secību meklēšanu, kas raksturīga potenciāli ļaunprātīgai programmai. Acīmredzot ļaunprātīga programma viegli apies šādu aizsardzību, ja katra tās kopija ir jauna baitu kopa.

Tieši šo problēmu atrisina polimorfisms un metamorfisms, kuras būtība ir tāda, ka, veidojot savu nākamo kopiju, kaitīgā programma pilnībā mainās tās baitu kopas līmenī, no kuras tā sastāv. Tomēr tā funkcionalitāte paliek nemainīga.

Paši šifrēšana un apmulsēšana (koda aptumšošana) galvenokārt ir vērsta uz to, lai apgrūtinātu programmas koda analīzi, taču, ieviesti noteiktā veidā, tie izrādās polimorfisma veidi (piemēram, šifrējot katru vīrusa kopiju ar unikālu atslēgu). ). Pati apmulsināšana tikai sarežģī analīzi, bet, izmantojot jaunā veidā katrā ļaunprogrammatūras kopijā, traucē pretvīrusu skenēšanu.

Polimorfisms salīdzinoši plaši izplatījās tikai vīrusu laikmetā, kas inficē failus. Tas izskaidrojams ar to, ka polimorfā koda rakstīšana ir ļoti sarežģīts un resursietilpīgs uzdevums, un tas ir attaisnojams tikai gadījumos, kad kaitīgā programma patstāvīgi reproducē: katra jauna tās kopija ir vairāk vai mazāk unikāla baitu kopa. Lielākajai daļai mūsdienu ļaunprātīgas programmatūras, kurai nav pašreplicēšanas funkcijas, tas neattiecas. Tāpēc pašlaik polimorfisms ļaunprogrammatūrā nav īpaši izplatīts.

Gluži pretēji, apmulsināšana, kā arī citas koda modifikācijas metodes, kas lielā mērā atrisina tā heiristiskās analīzes sarežģītības problēmu, nevis uzdevumu sarežģīt skenēšanu, šī apstākļa dēļ nezaudē savu nozīmi.

Lai samazinātu faila lielumu ar ļaunprātīgu programmu, tiek izmantoti tā sauktie pakotāji - īpašas programmas, kas apstrādā failu pēc arhivētāja principa. Iepakotāju izmantošanas blakusefekts un labvēlīgs (no pretvīrusu programmu apkarošanas viedokļa) ir tas, ka pretvīrusu skenēšana ir nedaudz sarežģīta.

Tas izskaidrojams ar to, ka, izstrādājot jaunu kaitīgās programmas modifikāciju, tās autors parasti maina vairākas koda rindiņas, atstājot tās kodolu neskartu. Izpildāmajā kodā mainās baiti noteiktā faila sadaļā, un, ja pretvīrusu programmas izmantotais paraksts nesastāvēja no šīs sadaļas, ļaunprātīgā programma joprojām tiks atklāta. Programmas apstrāde ar pakotāju šo problēmu atrisina, jo, mainot pat vienu baitu avota izpildāmajā kodā, pakotajā failā tiek iegūts pilnīgi jauns baitu kopums.

Daudzi mūsdienu pakotāji papildus avota faila saspiešanai nodrošina to ar papildu pašaizsardzības funkcijām, kuru mērķis ir apgrūtināt faila izpakošanu un analizēšanu, izmantojot atkļūdotāju.

Ļaunprātīga programmatūra (dažreiz saukta arī destruktīva programmatūras ietekme) Ir ierasts iekļaut datorvīrusus un programmatūras grāmatzīmes. Pirmo reizi termiņš datorvīruss ASV speciālists F. Koens ieviesa 1984. gadā. “Klasiskais” datorvīruss ir autonomi funkcionējoša programma, kurai vienlaikus piemīt trīs īpašības:

• iespēja iekļaut savu kodu citu objektu korpusos (datnēs un datora atmiņas sistēmas apgabalos);
• turpmāka neatkarīga īstenošana;
• neatkarīga izplatīšana datorsistēmās.

Datorvīrusi neizmanto tīkla pakalpojumus, lai iekļūtu citos tīkla datoros. Vīrusa kopija sasniedz attālos datorus tikai tad, ja inficētais objekts kāda iemesla dēļ, ko vīruss nevar kontrolēt, tiek aktivizēts citā datorā, piemēram:

• inficējot lietotājam pieejamos tīkla diskus, vīruss iekļuva failos, kas atrodas šajos tīkla resursos;
• vīruss ir pārkopējies noņemamajā datu nesējā vai inficēts tajā esošajos failos;
• Lietotājs nosūtīja e-pastu ar vīrusu inficētu pielikumu.

Svarīgs fakts ir tas, ka vīrusiem nav līdzekļu, lai izplatītos ārpus viena datora robežām. Tas var notikt tikai tad, ja ir inficēts noņemams datu nesējs (disketes, zibatmiņas disks) vai arī lietotājs pats tīklā pārsūta ar vīrusu inficētu failu uz citu datoru.

Boot vīrusi inficēt cietā diska galveno sāknēšanas sektoru (Master Boot Record — MBR) vai cietā diska nodalījuma, sistēmas disketes vai sāknēšanas kompaktdiska (Boot Record — BR) sāknēšanas sektoru, aizstājot tajos esošās sāknēšanas un operētājsistēmas sāknēšanas programmas. ar viņu kodu. Šo sektoru sākotnējais saturs tiek glabāts vienā no diska brīvajiem sektoriem vai tieši vīrusa korpusā.

Pēc MBR inficēšanas, kas ir cietā diska nulles cilindra nulles galvas pirmais sektors, vīruss iegūst kontroli tūlīt pēc aparatūras pārbaudes procedūras (POST), BIOS Setup programmas (ja to izsauca lietotājam), BIOS procedūras un to paplašinājumi. Pēc kontroles saņemšanas sāknēšanas vīruss veic šādas darbības:

• 1) sava koda kopēšana datora RAM beigās, tādējādi samazinot tā brīvās daļas izmēru;
• 2) vairāku BIOS pārtraukumu ignorēšana, kas galvenokārt saistīti ar piekļuvi diskiem;
• 3) datora operatīvajā atmiņā ielādēt patieso sāknēšanas programmu, kuras funkcijās ietilpst cietā diska nodalījuma tabulas apskate, aktīvā nodalījuma noteikšana, ielāde un vadības nodošana aktīvā nodalījuma operētājsistēmas sāknēšanas programmai;
• 4) vadības nodošana patiesajai sāknēšanas programmai.

Sāknēšanas vīruss VY darbojas līdzīgi, aizstājot operētājsistēmas sāknēšanas programmu. Izplatīts datora inficēšanās veids ar sāknēšanas vīrusu ir nejaušs mēģinājums sāknēt no nesistēmas disketes (vai CO diska), kura sāknēšanas sektors ir inficēts ar vīrusu. Šī situācija rodas, ja inficēta diskete paliek diskdzinī, kad operētājsistēma tiek atsāknēta. Kad cietā diska galvenais sāknēšanas sektors ir inficēts, vīruss izplatās, pirmo reizi piekļūstot neinficētam disketim.

Boot vīrusi parasti pieder pie rezidentu vīrusu grupas. Boot vīrusi bija diezgan izplatīti pagājušā gadsimta 90. gados, bet praktiski izzuda līdz ar pāreju uz 32 bitu operētājsistēmām un atteikšanos no diskešu kā galvenās informācijas apmaiņas metodes izmantošanas. Teorētiski ir iespējams, ka varētu parādīties sāknēšanas vīrusi, kas inficē SP diskus un zibatmiņas diskus, taču līdz šim šādi vīrusi nav atklāti.

Failu vīrusi inficēt dažāda veida failus:

• programmu faili, ierīces draivera faili un citi operētājsistēmas moduļi;
• dokumentu faili, kas var saturēt makro;
• dokumentu faili, kas var saturēt skriptus (skriptus) vai atsevišķus skriptu failus utt.

Kad fails ir inficēts, vīruss ieraksta savu kodu faila sākumā, vidū vai beigās vai vairākās vietās vienlaikus. Avota fails tiek modificēts tā, lai pēc faila atvēršanas kontrole nekavējoties tiktu pārnesta uz vīrusa kodu. Pēc kontroles saņemšanas vīrusa kods veic šādu darbību secību:

• 1) citu failu (kombinēto vīrusu) un diska atmiņas sistēmas apgabalu inficēšana;
• 2) savu rezidentu moduļu (rezidentu vīrusu) uzstādīšana operatīvajā atmiņā;
• 3) citu darbību veikšana atkarībā no vīrusa realizētā algoritma;
• 4) ierastās datnes atvēršanas procedūras turpināšana (piemēram, vadības nodošana inficētās programmas pirmkodam).

Programmu failos esošie vīrusi, kad tie ir inficēti, maina savu galveni tā, ka pēc programmas ielādes operatīvajā atmiņā kontrole tiek nodota vīrusa kodam. Piemēram, operētājsistēmu Windows un OS/2 portatīvajam izpildāmajam faila formātam (Portable Executable — PE) ir šāda struktūra:

• 1) galvene operētājsistēmas MS-DOS formātā;
• 2) reālā procesora režīma programmas kods, kas pārņem vadību, mēģinot palaist Windows aplikāciju MS-DOS operētājsistēmas vidē;
• 3) PE faila galvene;
• 4) papildu (pēc izvēles) PE faila galvene;
• 5) visu lietojumprogrammu segmentu galvenes un korpusi (programmas kods, tā statiskie dati, programmas eksportētie dati, programmas importētie dati, atkļūdošanas informācija utt.).

Sadaļā, kurā ir neobligātā PE faila galvene, ir ietverts lauks, kurā ir lietojumprogrammas ievades punkta adrese. Tieši pirms ievades punkta lietojumprogrammas koda segmentā ir importēšanas adrešu tabula (IAT), kas tiek aizpildīta ar derīgām adresēm, kad izpildāmais kods tiek ielādēts procesa adrešu telpā.

Kad vīruss inficē programmas failu, lietojumprogrammas ieejas punkta adrese tiek mainīta, lai norādītu uz vīrusa koda sākumu un nodrošinātu, ka tā automātiski pārņem vadību, kad tiek ielādēts programmas fails. Ir iespējams arī modificēt operētājsistēmas kodola moduļus (piemēram, kernel32.dll), lai pārtvertu izsaukumus uz dažām sistēmas funkcijām (piemēram, CreateProcess, CreateFile, ReadFile, WriteFile, CloseHandle), lai inficētu citus failus.

Failu vīrusu veids ir vīrusi, kas atrodas inficētā loģiskā diska vai disketes kopās. Kad vīruss ir inficēts, vīrusa kods tiek kopēts uz kādu no brīvo disku klasteriem, kas Failu piešķiršanas tabulā (FAT) ir atzīmēts kā pēdējais failu klasteris. Pēc tam tiek mainīti direktorijā esošo programmu failu apraksti - failam piešķirtā pirmā klastera numura vietā tiek ievietots vīrusa kodu saturošā klastera numurs. Šajā gadījumā inficētā faila pirmā klastera patiesais numurs tiek šifrēts un saglabāts, piemēram, direktorijā esošā faila apraksta neizmantotā daļā.

Kad tiek palaists inficēts fails, kontroli iegūst vīrusa kods, kas:

• 1) instalē savu pastāvīgo moduli RAM, kas pēc tam pārtvers visu piekļuvi inficētajam diskam;
• 2) ielādē avota programmas failu un nodod tam kontroli.

Pēc tam piekļūstot direktorijam ar inficētiem failiem, vīrusa rezidentā daļa pārsūta uz operētājsistēmu inficētajiem failiem piešķirto pirmo klasteru numuru patiesās vērtības.

Vīrusi dokumentu failos, kas izveidoti, piemēram, ar Microsoft Office programmām, tiek izplatīti, izmantojot tajos iekļautos makro (procedūras Visual Basic for Applications - VBA programmēšanas valodā). Tāpēc šādus vīrusus dažreiz sauc par makrovīrusiem vai vienkārši makrovīrusi.

Makro programmēšanas valodas, īpaši VBA, ir universālas valodas, kas atbalsta objektorientētas programmēšanas tehnoloģijas, kurām ir liela standarta makro komandu bibliotēka un kas ļauj izveidot diezgan sarežģītas procedūras. Turklāt tas atbalsta automātisku makro palaišanu, kas ir saistīti ar noteiktiem notikumiem (piemēram, dokumenta atvēršanu) vai noteiktām lietotāja darbībām (piemēram, izsaucot komandu, lai saglabātu dokumentu failā).

Automātiski darbināmu makro piemēri, kas saistīti ar konkrētiem Microsoft Word dokumentu apstrādes notikumiem:

• AutoExec (tiek izpildīts automātiski, startējot Microsoft Word tekstapstrādes programmu, ja tas atrodas veidnes normal.dot failā vai failā Microsoft Office mapes apakšmapē Startup);
• AutoNew (automātiski pārņem vadību, veidojot jaunu dokumentu);
• AutoOpen (tiek automātiski izpildīts, atverot dokumentu);
• AutoClose (automātiski izpilda, aizverot dokumentu);
• Automātiskā iziešana (automātiski pārņem vadību, kad beidzas Microsoft Word tekstapstrādes programma).

Microsoft Excel izklājlapu procesors atbalsta tikai dažus no automātiski izpildītajiem makro, un šo makro nosaukumi ir nedaudz mainīti - Auto_open un Auto_close.

Microsoft Word tekstapstrādes programma definē arī makro, kas automātiski saņem kontroli, kad lietotājs izsauc kādu no standarta komandām - File Save (File | Save), FileSaveAs (File | Save As), Tools-Macro (Rīki | Makro | Makro), ToolsCustomize. (Pakalpojums | Iestatījumi) utt.

Microsoft Office dokumentā var būt arī makro, kas automātiski saņem kontroli, kad lietotājs nospiež noteiktu tastatūras taustiņu kombināciju vai sasniedz noteiktu laika punktu (datumu, diennakts laiku).

Jebkuru makro (tostarp automātiski izpildītos) no atsevišķa dokumenta var ierakstīt veidnes normal.dot failā (un otrādi) un tādējādi kļūt pieejams, rediģējot jebkuru Microsoft Word dokumentu. Makro ierakstīšanu failā normal.dot var veikt, izmantojot standarta makrokomandu MacroCopy (WordBasic), lietojumprogrammas objekta metodi OrganizerCopy vai standarta objektu Organizer (Microsoft Word) un Sheets (Microsoft Excel) metodes Kopēt.

Lai manipulētu ar failiem, kas atrodas datora ārējā atmiņā, makro var izmantot standarta makro komandas Open (esoša faila atvēršana vai jauna faila izveide), SetAttr (faila atribūtu maiņa), Name (faila vai mapes pārdēvēšana), Get (datu lasīšana). no atvērta faila), Put (rakstīt datus atvērtā failā), Meklēt (mainīt pašreizējo rakstīšanas vai lasīšanas pozīciju no faila), Aizvērt (aizvērt failu), Kill (dzēst failu), RmDir (dzēst mapi). ), MkDir (izveidot jaunu mapi), ChDir (mainīt pašreizējās mapes) utt.

Standarta Shell makro komanda ļauj izpildīt jebkuru datorā instalēto programmu vai sistēmas komandu.

Tādējādi makrovīrusu autori var izmantot VBA programmēšanas valodu, lai izveidotu ļoti bīstamu kodu. Vienkāršākais makrovīruss Microsoft Word dokumentā inficē citus dokumentu failus šādi:

• 1) atverot inficētu dokumentu, tiek kontrolēts makro, kurā ir vīrusa kods;
• 2) vīrusu normal.dot veidnes failā ievieto citus makro ar savu kodu (piemēram, FileOpen, FileSaveAs un FileSave);
• 3) vīruss uzstāda atbilstošo karogu Windows reģistrā un (vai) Microsoft Word inicializācijas failā, norādot, ka infekcija ir notikusi;
• 4) pēc tam palaižot Microsoft Word, pirmais atvērtais fails faktiski ir jau inficētais veidnes fails normal.dot, kas ļauj vīrusa kodam automātiski pārņemt kontroli, un var rasties citu dokumentu failu inficēšanās, kad tie tiek saglabāti, izmantojot standarta Microsoft Word. komandas.

Var teikt, ka lielākā daļa makrovīrusu pieder rezidentu vīrusu grupai, jo daļa to koda pastāvīgi atrodas datora operatīvajā atmiņā, kamēr darbojas programma no Microsoft Office pakotnes.

Makrovīrusa koda ievietošanu Microsoft Office dokumentā var norādīt diezgan shematiski, jo dokumenta faila formāts ir ļoti sarežģīts un satur dažādu formātu datu bloku secību, kas apvienoti viens ar otru, izmantojot lielu pakalpojumu datu apjomu. Makrovīrusu īpatnība ir tāda, ka tie var inficēt dokumentu failus dažādu platformu datoros, ne tikai IBM personālajos datoros. Inficēšanās būs iespējama, ja datorā būs instalētas biroja programmas, kas ir pilnībā savietojamas ar programmām no Microsoft Office komplekta.

Saglabājot dokumentu failus, tie ietver arī nejaušus datus, kas nav saistīti ar dokumenta saturu, bet ir ietverti RAM blokos, kas tiek piešķirti, bet nav pilnībā aizpildīti, rediģējot dokumentu. Tāpēc, pievienojot dokumentam jaunus datus, tā lielums var neparedzami mainīties, tostarp samazināties. Tas neļauj spriest, vai dokumenta fails ir inficēts ar makrovīrusiem, jo ​​arī tā lielums pēc inficēšanās neprognozējami mainīsies. Mēs arī atzīmējam, ka informācija, kas nejauši saglabāta kopā ar publisku dokumentu failu, var saturēt konfidenciālu informāciju.

Lielākā daļa zināmo makrovīrusu ievieto savu kodu tikai makro. Tomēr dokumentu failu makro ir arī vīrusu veidi, kuros vīrusa kods tiek glabāts ne tikai makro. Šie vīrusi ietver nelielu galvenā vīrusa koda makro ielādētāju, kas izsauc Microsoft Office iebūvēto makro redaktoru, izveido jaunu makro ar vīrusa kodu, izpilda to un pēc tam izdzēš izveidoto makro, lai paslēptu tā klātbūtnes pēdas. Šajā gadījumā galvenais vīrusa kods atrodas kā virkņu masīvs vai nu ielādētāja makro pamattekstā, vai inficētā dokumenta mainīgajā apgabalā.

Norm.dot veidnes faila inficēšana nav vienīgais veids, kā makro vīrusi var izplatīties lietotāja datorā. Iespējams, ka var tikt inficēti papildu veidņu faili, kas atrodas Microsoft Office mapes mapē Startup. Vēl viens veids, kā inficēt lietotāja dokumentu failus ar makrovīrusiem, ir ievadīt tos Microsoft Word pievienojumfailos, kas atrodas Microsoft Office mapes mapē Addins. Makrovīrusus, kas neievieto savu kodu parastajā normal.dot veidnē, var klasificēt kā nerezidentus vīrusus. Lai inficētu citus failus, šie makrovīrusi vai nu izmanto standarta makro komandas darbam ar VBA valodas failiem un mapēm, vai arī izmanto lietotāja nesen rediģēto failu sarakstu, kas atrodas Microsoft Word un citu Microsoft Office apakšizvēlnē “Fails”. programmas.

Microsoft Excel izklājlapu procesors neizmanto veidnes failu normal.dot, tāpēc faili no mapes Startup tiek izmantoti citu lietotāju dokumentu failu inficēšanai. Makrovīrusu, kas inficē Excel izklājlapu failus, īpatnība ir tāda, ka tos var rakstīt, izmantojot ne tikai VBA programmēšanas valodu, bet arī Microsoft Excel “veco” versiju makro valodu, kas tiek atbalstīta arī jaunākajās šī izklājlapu procesora versijās. .

Microsoft Access datu bāzes pārvaldības sistēmā makro, kas rakstīti īpašā skriptu valodā, kurai ir ļoti ierobežotas iespējas, tiek izmantoti, lai automātiski iegūtu kontroli, kad notiek kāds notikums (piemēram, atverot datubāzi). Taču šie automātiski izpildītie skriptu makro (piemēram, AutoExec makro, kas automātiski pārņem vadību, startējot Microsoft Access) var izsaukt pilnus makro, kas rakstīti VBA. Tāpēc, lai inficētu Microsoft Access datu bāzi, vīrusam ir jāizveido vai jāaizstāj automātiski izpildīts makro skripts un inficētajā datu bāzē jāiekopē modulis ar makro, kas satur vīrusa koda galveno daļu.

Ir zināmi kombinēti vīrusi, kas var inficēt gan Microsoft Access datu bāzes, gan Microsoft Word dokumentus. Šāds vīruss sastāv no divām galvenajām daļām, no kurām katra inficē sava tipa dokumentu failus (.doc vai .mdb). Taču abas šāda vīrusa daļas spēj pārsūtīt savu kodu no vienas Microsoft Office lietojumprogrammas uz citu. Pārsūtot vīrusa kodu no Microsoft Access, mapē Startup tiek izveidots inficēts papildu veidnes fails (.dot fails), savukārt, pārsūtot vīrusa kodu no Microsoft Word, tiek izveidots inficētais Access datu bāzes fails, kas tiek nodots kā parametrs Microsoft Access lietojumprogramma, ko palaiž ar vīrusa kodu (msaccess .exe).

Antivīrusu kompānijas ziņo par jaunu vīrusu izplatības tendenci. Pēc e-pasta un skriptu vīrusu viļņa zibatmiņas diski, kas savienoti ar datoru, izmantojot USB, tagad ir viens no populārākajiem ļaunprātīgas programmatūras izplatīšanas veidiem. Tas kļuva iespējams, pateicoties Windows operētājsistēmas vājumam, kas pēc noklusējuma automātiski palaiž autorun.inf failu no noņemamā diska.

Pēc dažu ekspertu domām, INF/Autorun pakalpojumu Windows OS var uzskatīt par galveno drošības robu datorsistēmās. Atšķirībā no inficēto programmu sūtīšanas pa e-pastu, šajā gadījumā pat kompetents lietotājs praktiski nespēj novērst inficēšanos, jo vienkārši ievietojot inficēto ierīci USB savienotājā, process kļūst neatgriezenisks. Vienīgā profilakse var būt automātiskās palaišanas atspējošana, ko iesaka pat pašas Microsoft drošības eksperti.

Varētu teikt, ka zināmā mērā vīrusu izplatīšanās uz USB diskdziņiem ir atgriešanās pie vīrusu radīšanas pirmsākumiem, kad internets vēl nepastāvēja. Toreiz vīrusi izplatījās no datora uz datoru, izmantojot disketes.

Programmatūras grāmatzīme ir programma, kas ir ārēja vai iekšēja datorsistēmai, kurai uzbrūk un kurai ir noteiktas destruktīvas funkcijas saistībā ar šo sistēmu:

• izplatīšana izplatītajās datorsistēmās, lai īstenotu vienu vai otru apdraudējumu informācijas drošībai (datoru vai tīkla tārpi, kuriem atšķirībā no datorvīrusiem nevajadzētu būt īpašībai iekļaut savu kodu citu failu korpusos);
• dažādu lietotāja neatļautu darbību veikšana (konfidenciālas informācijas vākšana un nodošana pārkāpējam, lietotāja informācijas iznīcināšana vai tīša pārveidošana, datora darbības pārtraukšana, datora resursu izmantošana nepiedienīgiem mērķiem (“Trojas” programmas vai vienkārši “Trojas zirgi”) );
• CS programmatūras iznīcināšana vai darbības pārveidošana, tajā apstrādāto datu iznīcināšana vai maiņa pēc kāda nosacījuma izpildes vai kāda ziņojuma saņemšanas no ārpus CS (“loģiskās bumbas”);
• atsevišķu CS drošības apakšsistēmas funkciju aizstāšana vai “slazdu” izveide tajā, lai īstenotu apdraudējumus informācijas drošībai CS (piemēram, šifrēšanas līdzekļu aizstāšana, emulējot CS uzstādītas aparatūras šifrēšanas plates darbību) ;
• CS lietotāju paroļu pārtveršana, imitējot uzaicinājumu to ievadīt vai pārtvert visu lietotāja ievadi no tastatūras;
• informācijas plūsmas pārtveršana starp izplatītās CS objektiem (monitoriem);
• Oportūnistiskas programmas, ko izstrādājuši likumīgi ražotāji, bet satur potenciāli bīstamas funkcijas, kuras var izmantot uzbrucējs.

Parasti, lai tīkla tārps sāktu savu darbu, jums ir jāpalaiž pa e-pastu saņemts fails (vai sekojiet saitei, kas atrodas tieši e-pasta ziņojumā). Bet ir arī tārpi, kuru aktivizēšanai nav nepieciešama cilvēka iejaukšanās:

• tārps ir ietverts pašā vēstules tekstā un tiek palaists, kad lietotājs vienkārši atver ziņojumu (vai tas tiek atvērts pasta klienta loga priekšskatījuma rūtī) (šajā gadījumā vēstule ir teksts valodā, kurā ir skripts ar tārpa kods);
• Tārps izmanto operētājsistēmu un citu programmu (piemēram, e-pasta) drošības sistēmu “caurumus” (nepilnības, ievainojamības).

Lai mudinātu lietotāju palaist pa e-pastu saņemtu failu, noziedznieki izmanto ļoti sarežģītas tehnoloģijas, ko sauc par sociālo inženieriju. Piemēram, piedāvājums aizpildīt vēstulei pievienoto veidlapu, lai saņemtu lielu naudas balvu, ko lietotājs it kā laimējis. Vai arī slēpts kā oficiāls sūtījums no pazīstama programmatūras uzņēmuma (jums jāzina, ka šie uzņēmumi nekad neizsūta failus bez lietotāja pieprasījuma) utt.

Pēc palaišanas tārps var nosūtīt savu kodu pa e-pastu, izmantojot e-pasta programmas “adrešu grāmatu”. Pēc tam tiek inficēti arī inficētā datora lietotāja draugu datori.

Galvenā atšķirība starp tīkla tārpiem un klasiskajiem vīrusiem ir tieši spēja pašvairot tīklā, kā arī tas, ka nav nepieciešams inficēt citus lokālos objektus inficētajā datorā.

Lai izplatītos, tīkla tārpi izmanto dažādus datoru un mobilos tīklus: e-pastu, tūlītējās ziņojumapmaiņas sistēmas, failu koplietošanas (P2P) un IRC tīklus, lokālos tīklus (LAN), datu apmaiņas tīklus starp mobilajām ierīcēm (tālruņiem, PDA) utt. .d.

Lielākā daļa zināmo tārpu tiek izplatīti failu veidā: e-pasta pielikums, saite uz inficētu failu kādā Web vai FTP ziņojumā ICQ un IRC ziņojumos, fails P2P apmaiņas direktorijā utt. Daži tārpi ( tā- ko sauc par “bezfailu” vai “pakešu” tārpiem), izplatās tīkla pakešu veidā, iekļūstot tieši datora atmiņā un aktivizējot to kodu.

Dažiem tārpiem ir arī cita veida ļaunprātīgas programmatūras īpašības. Piemēram, daži tārpi satur funkcijas inficētā datora lietotāja konfidenciālas informācijas vākšanai un pārsūtīšanai iebrucējam vai spēj inficēt izpildāmos failus inficētā datora lokālajā diskā, t.i., tiem piemīt Trojas programmas īpašības un (vai) datorvīruss.

Attēlā 4.1. tabulā parādīti dati, kas parāda datorvīrusu (vīrusu) un dažādu kategoriju tīkla tārpu (tārpu) izplatību 2008. gadā (saskaņā ar Kaspersky Lab).

Rīsi. 4.1.

Noteiktas Trojas programmu kategorijas rada bojājumus attāliem datoriem un tīkliem, nekaitējot inficētajam datoram (piemēram, Trojas programmas, kas paredzētas masveida DDoS uzbrukumiem attāliem tīkla resursiem).

Atšķirībā no tārpiem un vīrusiem, Trojas zirgi nebojā citus failus un tiem nav savu izplatīšanās līdzekļu. Tās ir vienkārši programmas, kas veic inficētā datora lietotājam kaitīgas darbības, piemēram, pārtver paroli, lai piekļūtu internetam.

Pašlaik Trojas programmu klasē Kaspersky Lab eksperti identificē trīs galvenās uzvedības grupas:

• Backdoor (nodrošina uzbrucējam iespēju attāli administrēt inficētu datoru), Trojas zirgs-Downloader (citu ļaunprātīgu programmu piegāde lietotāja datorā), Trojas zirgs-PSW (paroles pārtveršana), Trojas zirgs (citas Trojas programmas), visizplatītākais Trojas zirgs programmas;
• Trojan-Spy (spiegprogrammatūra), Trojan-Dropper (citu ļaunprātīgu programmu instalētāji);
• Trojan-Proxy (“Trojas” starpniekserveri), Trojan-Clicker (interneta klikšķinātāji), Rootkit (slēpj to klātbūtni datorsistēmā), Trojan-DDoS (programmas dalībai izplatītos pakalpojumu liegšanas uzbrukumos), Trojan-SMS (“ mobilie Trojas zirgi” ir vissteidzamākais drauds mobilajām ierīcēm).

Dažām programmām ir funkciju kopums, kas var kaitēt lietotājam tikai tad, ja ir izpildīti vairāki nosacījumi. Turklāt šādas programmas var legāli pārdot un izmantot ikdienas darbā, piemēram, sistēmu administratori. Taču iebrucēja rokās šādas programmas var pārvērsties par rīku, ar kuru var nodarīt kaitējumu lietotājam. Kaspersky Lab speciālisti šādas programmas klasificē atsevišķā nosacīti bīstamo programmu grupā (tās nevar viennozīmīgi klasificēt kā bīstamas vai drošas).

Šāda veida programmas pēc izvēles nosaka pretvīrusu programmas, ja lietotājs apzināti izvēlas paplašinātu pretvīrusu datu bāzu kopu. Ja programmas, kas atklātas, izmantojot paplašinātās datu bāzes, lietotājam ir pazīstamas un viņš ir 100% pārliecināts, ka tās nenodarīs kaitējumu viņa datiem (piemēram, lietotājs pats iegādājās šo programmu, ir iepazinies ar tās funkcijām un izmanto tās likumīgiem mērķiem ), tad lietotājs var vai nu atteikties no paplašināto pretvīrusu datu bāzu turpmākas izmantošanas, vai arī pievienot šādas programmas “izņēmumu” sarakstam (programmas, kurām turpmāka noteikšana tiks atspējota).

Potenciāli bīstamās programmās ietilpst programmas RiskWare (legāli izplatītas potenciāli bīstamas programmas), Porn Ware (programmas pornogrāfiskas informācijas parādīšanai) un AdWare (reklāmas programmatūra).

RiskWare programmu klasē ietilpst legālas programmas (dažas no tām tiek brīvi pārdotas un plaši izmantotas legāliem mērķiem), kuras tomēr, nonākot iebrucēja rokās, var nodarīt kaitējumu lietotājam un viņa datiem. Šādās programmās var atrast legālas attālinātās administrēšanas utilītas, IRC klientu programmas, automātiskās zvanītājprogrammas (“zvanītājprogrammas”), lejupielādes programmas (“lejupielādes”), jebkuras darbības monitorus (monitoru), utilītus darbam ar parolēm, kā arī daudzi interneta serveri FTP, Web, starpniekservera un Telnet pakalpojumiem.

Visas šīs programmas pašas par sevi nav ļaunprātīgas, taču tām ir iespējas, ko uzbrucēji var izmantot, lai nodarītu kaitējumu lietotājiem. Piemēram, attālās administrēšanas programma ļauj piekļūt attālā datora saskarnei un tikt izmantota, lai pārvaldītu un pārraudzītu attālo mašīnu. Šāda programma var būt pilnīgi legāla, brīvi izplatīta un nepieciešama sistēmas administratoru vai citu tehnisko speciālistu darbā. Tomēr pārkāpēju rokās šāda programma var nodarīt kaitējumu lietotājam un viņa datiem, iegūstot pilnu attālo piekļuvi kāda cita datoram.

Kā citu piemēru apsveriet utilītu, kas ir IRC tīkla klients: šādas utilītas uzlabotās funkcionalitātes priekšrocības var izmantot pārkāpēji un viņu izplatītās Trojas programmas (jo īpaši Backdoor), kas izmanto šādas utilīta funkcijas. klients savā darbā. Tādējādi Trojas programma spēj pievienot savus skriptus IRC klienta konfigurācijas failam bez lietotāja ziņas un veiksmīgi veikt savas destruktīvās funkcijas inficētajā datorā. Šajā gadījumā lietotājam pat nebūs aizdomas, ka viņa datorā darbojas ļaunprātīga Trojas programma.

Bieži vien ļaunprātīgas programmas patstāvīgi instalē IRC klientu lietotāja datorā, lai to vēlāk izmantotu saviem mērķiem. Šajā gadījumā atrašanās vieta parasti ir Windows mape un tās apakšmapes. IRC klienta atrašana šajās mapēs gandrīz noteikti norāda, ka dators ir inficēts ar kādu ļaunprātīgu programmatūru.

Reklāmas programmatūra (Adware, Advware, Spyware, Browser Hijackers) ir paredzēta reklāmas ziņojumu attēlošanai (visbiežāk grafisku reklāmkarogu veidā) un meklēšanas vaicājumu novirzīšanai uz reklāmas tīmekļa lapām. Izņemot reklāmu rādīšanu, šādas programmas, kā likums, nekādā veidā neuzrāda savu klātbūtni sistēmā. Parasti Adware programmām nav atinstalēšanas procedūras.

• iegulstot reklāmas komponentus bezmaksas un koplietošanas programmatūrā (freeware, shareware);
• nesankcionēti instalējot reklāmas komponentus, kad lietotājs apmeklē “inficētās” tīmekļa lapas.

Lielākā daļa programmu, kas ietilpst bezmaksas un koplietošanas programmu kategorijās, pārtrauc reklāmu rādīšanu pēc to iegādes un/vai reģistrēšanas. Šādās programmās bieži tiek izmantotas trešo pušu ražotāju iebūvētās Adware utilītas. Dažos gadījumos šīs Adware utilītas paliek instalētas lietotāja datorā pat pēc to programmu reģistrēšanas, ar kurām tās sākotnēji tika ievadītas lietotāja sistēmā. Tajā pašā laikā, noņemot Adware komponentu, ko joprojām izmanto jebkura programma, lai parādītu reklāmu, var rasties šīs programmas darbības traucējumi.

Šāda veida reklāmprogrammatūras pamatmērķis ir netiešs maksājuma veids par programmatūru, kas tiek veikts, rādot lietotājam reklāmas informāciju (reklāmdevēji maksā reklāmas aģentūrai par viņu reklāmas rādīšanu, bet reklāmas aģentūra maksā Adware izstrādātājam). Adware palīdz samazināt izmaksas gan programmatūras izstrādātājiem (ieņēmumi no Adware mudina rakstīt jaunas un uzlabot esošās programmas), gan pašiem lietotājiem.

Reklāmas komponentu instalēšanas gadījumā, kad lietotājs apmeklē “inficētas” Web lapas, vairumā gadījumu tiek izmantotas hakeru tehnoloģijas (iekļūšana datorā caur interneta pārlūkprogrammas drošības sistēmas spraugu, kā arī “Trojas zirgu” izmantošana. ” programmas, kas paredzētas programmatūras slēptai instalēšanai). Reklāmprogrammatūras, kas darbojas šādi, bieži tiek sauktas par "pārlūkprogrammu nolaupītājiem".

Daudzas reklāmas programmas papildus reklāmu piegādei ievāc arī konfidenciālu informāciju par datoru un lietotāju (IP adrese, OS un interneta pārlūkprogrammas versija, biežāk izmantoto interneta resursu saraksts, meklēšanas vaicājumi un cita informācija, ko var izmantot reklāmas nolūkos ).

Šī iemesla dēļ Adware programmas bieži sauc arī par spiegprogrammatūru (reklāmprogrammatūru kategorijā Spyware nevajadzētu jaukt ar Trojan-Spy spiegprogrammatūru). Programmas kategorijā Adware rada kaitējumu, kas saistīts ne tikai ar laika zudumu un lietotāja uzmanības novēršanu no darba, bet arī ar ļoti reāliem konfidenciālu datu noplūdes draudiem.

RiskWare un PornWare klašu programmu sadalījumu pēc uzvedības var attēlot sektoru diagrammas veidā (4.2. att., saskaņā ar Kaspersky Lab).

AdTool ir dažādi reklāmas moduļi, kurus nevar klasificēt kā AdWare, jo tiem ir nepieciešamie juridiskie atribūti: tie ir aprīkoti ar licences līgumu, demonstrē savu klātbūtni datorā un informē lietotāju par savām darbībām.

Rīsi. 4.2.

Porn-Dialers neatkarīgi (nepaziņojot lietotājam) veic tālruņa savienojumus ar maksas numuriem, kas bieži noved pie tiesvedības starp abonentiem un viņu telefona kompānijām.

Programmu kategorijā Monitor ir legālie “atslēgu reģistrētāji” (taustiņsitienu izsekošanas programmas), kas tiek oficiāli ražoti un pārdoti, taču, ja tiem ir funkcija slēpt savu klātbūtni sistēmā, šādas programmas var izmantot kā pilnvērtīgus spiegprogrammatūras Trojas zirgus. .

Programmas kategorijā PSW-Tool ir paredzētas aizmirsto paroļu atkopšanai, taču noziedznieki tās var viegli izmantot, lai izņemtu šīs paroles no nenojaušot upura datora atmiņas. Programmas kategorijā Downloader var izmantot noziedznieki, lai upura datorā lejupielādētu ļaunprātīgu saturu.

Citas ļaunprogrammatūras ietver dažādas programmas, kas tieši neapdraud datoru, kurā tās tiek izpildītas, bet ir paredzētas citu kaitīgu programmu izveidei, DDoS uzbrukumu organizēšanai attāliem serveriem, citu datoru uzlaušanai utt.

Šādas programmas ietver vīrusu viltus (Hoax) un viltus pretvīrusu programmas (FraudTool), "hakeru" programmas attālo datoru "uzlaušanai" (Exploit, HackTool), ļaunprātīgu programmu konstruktorus un pakotnes (Constructor, VirTool, Packed), programmas surogātpasta sūtīšana un “aizsērēšanas” uzbrukumi (SpamTool, IM-Flooder, Flooder), programmas lietotāja maldināšanai (BadJoke).

Galvenais FraudTool veids ir tā sauktais negodīgais antivīruss - programmas, kas izliekas par pilnvērtīgiem pretvīrusu rīkiem. Pēc instalēšanas datorā viņi vienmēr “atrod” kaut kādu vīrusu pat absolūti “tīrā” datorsistēmā un piedāvā iegādāties savu maksas versiju “ārstēšanai”. Papildus tiešai lietotāju maldināšanai šīs programmas satur arī AdWare funkciju. Patiesībā šī ir īsta krāpniecība, kuras pamatā ir lietotāju bailes no ļaunprātīgas programmatūras.

Hacker utilītas Exploit un HackTool kategorijās ir paredzētas, lai iekļūtu attālos datoros, lai tos turpmāk kontrolētu (izmantojot Trojas zirgu programmas) vai ieviestu uzlauztajā sistēmā citas ļaunprātīgas programmas. Hakeru utilītas, piemēram, “izmantot”, izmanto ievainojamības operētājsistēmās vai lietojumprogrammās, kas instalētas uzbruktajā datorā.

Vīrusu un Trojas zirgu programmu konstruktori ir utilītas, kas paredzētas jaunu datorvīrusu un Trojas zirgu radīšanai. Ir zināmi DOS, Windows un makrovīrusu vīrusu dizaineri. Tie ļauj ģenerēt vīrusu avota tekstus, objektu moduļus un (vai) tieši inficētus failus.

Daži konstruktori ir aprīkoti ar standarta grafisko interfeisu, kurā, izmantojot izvēlņu sistēmu, var izvēlēties vīrusa veidu, ietekmējamos objektus, šifrēšanas esamību vai neesamību, izturību pret atkļūdotāju, iekšējās teksta virknes, kā arī efektus. pavada vīrusa darbību utt. Citiem konstruktoriem nav interfeisa un informāciju par veidojamā vīrusa veidu nolasa no sava konfigurācijas faila.

Nuker kategorijas utilītas sūta speciāli izstrādātus pieprasījumus uzbruktajiem tīkla datoriem, kā rezultātā uzbruktā sistēma pārstāj darboties. Šīs programmas izmanto tīkla pakalpojumu un operētājsistēmu programmatūras ievainojamības, kā rezultātā īpaša veida tīkla pieprasījums izraisa kritisku kļūdu uzbruktajā lietojumprogrammā.

Programmas kategorijās Bad-Joke un Hoax ietver programmas, kas nerada tiešu kaitējumu datoram, bet parāda ziņojumus, kas norāda, ka šāds kaitējums jau ir nodarīts vai tiks nodarīts jebkuros apstākļos, vai brīdina lietotāju par neesošu. briesmas. “Ļaunie joki” ietver, piemēram, programmas, kas lietotājam parāda ziņojumus par cietā diska formatēšanu (lai gan formatējums faktiski nenotiek), atklāj vīrusus neinficētos failos, parāda dīvainus vīrusiem līdzīgus ziņojumus utt.

Polimorfie ģeneratori nav vīrusi vārda tiešajā nozīmē, jo to algoritms neietver reproducēšanas funkcijas. Šāda veida programmas galvenā funkcija ir šifrēt vīrusa ķermeni un ģenerēt atbilstošu atšifrētāju.

Parasti polimorfos ģeneratorus to autori bez ierobežojumiem izplata arhīva faila veidā. Galvenais fails jebkura ģeneratora arhīvā ir objekta modulis, kurā ir šis ģenerators.

Ļaunprātīgas programmatūras darbības evolūcija no atsevišķiem moduļiem līdz sarežģītiem un mijiedarbīgiem projektiem sākās šī gadsimta sākumā. Jaunajam ļaunprogrammatūras darbības modelim ne tikai jākļūst par standartu daudziem jauniem ļaunprātīgiem projektiem, bet arī jāattīsta tālāk.

Šī modeļa galvenās iezīmes ir šādas:

• viena kontroles centra trūkums inficētu datoru tīklam;
• aktīva pretdarbība trešo pušu izpētes un kontroles pārtveršanas mēģinājumiem;
• Vienlaicīga ļaunprātīga koda masveida un īslaicīga izplatīšana;
• kompetenta sociālās inženierijas rīku izmantošana;
• izmantojot dažādas izplatīšanas metodes un pakāpeniski likvidējot redzamākās (e-pasts);
• izmantojot dažādus moduļus dažādu funkciju īstenošanai (nevis vienu universālu).

Pēc analoģijas ar labi zināmo terminu Web 2.0, jaunās paaudzes ļaunprogrammatūru var saukt par MalWare 2.0.

Klātbūtnes slēpšanas paņēmiens sistēmā (rootkit) tiks izmantots ne tikai Trojas programmās, bet arī failu vīrusos. Tādējādi notiks atgriešanās pie MS-DOS operētājsistēmas laikiem, kad pastāvēja slepenie vīrusi. Šī ir pretvīrusu programmu apkarošanas metožu loģiska attīstība. Ļaunprātīgas programmas tagad cenšas “izdzīvot” sistēmā pat pēc atklāšanas.

Vēl viens bīstams veids, kā slēpt programmas klātbūtni datorā, ir diska sāknēšanas sektora inficēšanas tehnoloģija - tā sauktie “sāknēšanas komplekti”. Šī ir vēl viena vecā tehnikas atgriešanās, kas ļauj ļaunprātīgajai programmai iegūt kontroli pirms operētājsistēmas galvenās daļas (un pretvīrusu programmu) ielādes. Sāknēšanas komplekti ir sakņu komplekti, kuru funkcija ir ielādēt no jebkuras ierīces sāknēšanas sektoriem. Viņu bīstamība slēpjas apstāklī, ka ļaunprātīgais kods iegūst kontroli pat pirms OS un līdz ar to arī pretvīrusu programmas palaišanas.

Viens no spilgtākajiem bootkit tehnoloģijas ieviešanas piemēriem ir vbootkit. Vienkāršota vbootkit darbību secība izskatās šādi. Pēc datora ieslēgšanas un BIOS programmu palaišanas tiek aktivizēts Vbootkit kods (no kompaktdiska vai citas ierīces). Pēc tam tiek izpildīta sāknēšanas programma no MBR un Windows Vista sāknēšanas ielādētājs, pēc tam vadība tiek nodota šīs operētājsistēmas kodolam.

Kad vbootkit iegūst kontroli pār sistēmu, tas aktivizē BIOS 13 pārtraukumu un pēc tam meklē parakstus operētājsistēmai Windows Vista. Pēc atklāšanas tas sāk modificēt Windows Vista, vienlaikus slēpjot sevi (ievietojot savu kodu mazos gabaliņos dažādās RAM vietās). Šīs modifikācijas ietver drošības pasākumu apiešanu, piemēram, elektronisko ciparparakstu pārbaudi, jaucējkodu pārbaudi un noteiktu darbību veikšanu, lai saglabātu sistēmas kontroli gan sāknēšanas procesa pirmajā, gan otrajā fāzē.

Otrais posms ietver operētājsistēmas kodola paplašināšanu, lai vbootkit saglabātu kontroli pār to, līdz tas tiek restartēts. Tādā veidā lietotājs Windows Vista kodolā ielādēs vbootkit.

Sāknēšanas komplekti sāknēšanas sektorā glabā tikai minimālo daudzumu, kas nepieciešams galvenā koda palaišanai. Šis pamatkods tiek glabāts citos sektoros, kuru saturu sāknēšanas komplekts slēpj, pārtverot BIOS pārtraukumus, lai nolasītu sektoru.

Sociālo tīklu lietotāji var kļūt par galveno tā dēvētās pikšķerēšanas mērķi. Pārkāpēju vidū būs ļoti pieprasīti dažādu tīkla pakalpojumu abonentu akreditācijas dati. Tā būs svarīga alternatīva ļaunprogrammatūras ievietošanai uzlauztajās vietnēs. Trojas programmas var izplatīt precīzi caur sociālo tīklu lietotāju kontiem, izmantojot viņu emuārus un profilus.

Vēl viena ar sociālajiem tīkliem saistīta problēma var būt XSSPHPSQL-aTaKH. Atšķirībā no pikšķerēšanas, kas balstās tikai uz maldināšanu un sociālās inženierijas paņēmieniem, šie uzbrukumi izmanto kļūdas un ievainojamības Web 2.0 pakalpojumos un var ietekmēt pat ļoti izglītotus lietotājus. Šajā gadījumā pārkāpēju mērķis ir lietotāju personas dati, kas nepieciešami, lai izveidotu noteiktas datu bāzes un sarakstus turpmāku uzbrukumu veikšanai, izmantojot “tradicionālās” metodes.

Galvenie faktori, kas nodrošina lietotāju un hakeru vienlaicīgu interesi par Web 2.0 pakalpojumiem, ir:

• lietotāja datu pārsūtīšana no personālā datora uz internetu;
• viena konta izmantošana vairākiem dažādiem pakalpojumiem;
• detalizētas informācijas par lietotājiem pieejamība;
• informācijas pieejamība par lietotāju pieslēgumiem, kontaktiem un paziņām;
• vietas nodrošināšana jebkuras informācijas publicēšanai;
• uzticamas attiecības starp kontaktiem.

Šī problēma jau ir diezgan nopietna, un, pēc ekspertu domām, tai ir visas iespējas kļūt par lielu informācijas drošības problēmu.

Kas attiecas uz mobilajām ierīcēm un galvenokārt mobilajiem tālruņiem, draudi tiem tiek izplatīti starp primitīvām Trojas programmām un dažādām ievainojamībām operētājsistēmās un viedtālruņu lietojumprogrammās.

Saskaņā ar programmatūras grāmatzīmju ieviešanas metodēm CS un iespējamām to izvietošanas vietām sistēmā grāmatzīmes var iedalīt šādās grupās:

• programmatūras grāmatzīmes, kas saistītas ar BIOS;
• grāmatzīmes, kas saistītas ar operētājsistēmas sāknēšanas un sāknēšanas programmām;
• grāmatzīmes, kas saistītas ar operētājsistēmas draiveriem un citiem sistēmas moduļiem;
• grāmatzīmes, kas saistītas ar vispārējas nozīmes lietojumprogrammatūru (piemēram, arhivētājiem);
• programmu faili, kas satur tikai grāmatzīmes kodu un ir ieviesti, izmantojot pakešfailus;
• grāmatzīmes, kas tiek maskētas kā vispārējas nozīmes lietojumprogrammatūra;
• grāmatzīmes, kas maskētas kā spēļu un izglītības programmatūra (lai atvieglotu to sākotnējo ieviešanu datorsistēmā).

1. nodaļa. APKAROŠANAS ĪPAŠĪBAS ♦ Ļaunprātīga programmatūra KRITiski

SVARĪGI INFORMĀCIJAS SFĒRAS SEGMENTI.

1.1. Ļaunprātīgas programmas kā draudu avots informācijas sfēras kritiskajiem segmentiem.

1.2. Cīņa pret ļaunprātīgu programmatūru kritiskajos informācijas sfēras segmentos.

1.3. Problēmas izklāsts saistībā ar ļaunprātīgas programmatūras apkarošanas efektivitātes visaptverošu novērtējumu kritiskajos informācijas sfēras segmentos.

1.4. Secinājumi.

2. nodaļa. RĀDĪTĀJU VEIDOŠANA

Ļaunprātīgas programmatūras apkarošanas efektivitāte INFORMĀCIJAS Sfēras KRITISKAS SEGMENTOS.

2.1. Metodika veiktspējas rādītāju strukturēšanai pret ļaunprātīgu programmatūru.

2.2. Antiļaunprātīgo programmu efektivitātes rādītāju hierarhiskās struktūras sintezēšanas metodika.

2.3. Vienots antiļaunprātīgo programmu darbības rādītāju struktūras apraksts

2.4. Secinājumi.

3. nodaļa. MATEMĀTISKĀ MODELĒŠANA

PROCESS Ļaunprātīgai programmatūrai INFORMĀCIJAS KRITISKAS SEGMENTOS.

3.1. Matemātiskā modeļa sintēzes iezīmes ļaunprātīgas programmatūras apkarošanas efektivitātes novērtēšanai.

3.2. Formāls pretļaunatūras rīku darbības procesu izklāsts.

3.3. Simulācijas modelis ļaunprātīgas programmatūras apkarošanas īslaicīgās efektivitātes novērtēšanai

3.4. Analītiskie modeļi ļaunprātīgas programmatūras apkarošanas efektivitātes varbūtības rādītāju novērtēšanai. ^

3.5. Sākotnējo datu prezentēšana ļaunprātīgas programmatūras apkarošanas efektivitātes varbūtības rādītāju novērtēšanai.

3.6. Secinājumi.

4. nodaļa. DATORU EKSPERIMENTI, LAI NOVĒRTĒTU Ļaunprātīgas programmatūras APKAROŠANAS EFEKTIVITĀTI KRITiski SVARĪGOS INFORMĀCIJAS Sfēras SEGMENTOS.

4.1. Metodoloģija skaitļošanas eksperimentu plānošanai, lai novērtētu ļaunprātīgas programmatūras apkarošanas efektivitāti

4.2. Skaitļošanas eksperimentu rezultāti.

4.3. Piedāvātās metodes efektivitātes analīze, lai novērtētu pretdarbību pret ļaunprātīgu programmatūru.

4.4. Secinājumi.

Ieteicamais disertāciju saraksts

• Matemātiskie modeļi informācijas sfēras segmentu drošības apdraudējumu apkarošanas efektivitātes vispārinātam novērtējumam 2006, tehnisko zinātņu kandidāts Ļihodedovs, Deniss Jurijevičs

• Ļaunprātīgas ietekmes funkcionālā modelēšana informācijas sfēras kritiskajos segmentos 2008, tehnisko zinātņu kandidāts Modestovs, Aleksejs Albertovičs

• Iekšlietu iestāžu automatizēto kontroles sistēmu darbības modelēšana un optimizēšana ļaunprātīgas programmatūras apkarošanas kontekstā 1999, tehnisko zinātņu doktors Skrils, Sergejs Vasiļjevičs

• Kritisko objektu automatizēto vadības kompleksu informācijas sistēmu sintēzes teorētiskie pamati un praktiskā realizācija 2009, tehnisko zinātņu doktors Krupeņins, Aleksandrs Vladimirovičs

• Algoritmu izpēte un izstrāde ļaunprogrammatūras atpazīšanai, cīnoties pret nesankcionētu ietekmi uz drošu datortīklu informācijas resursiem 2004, tehnisko zinātņu kandidāts Kiseļevs, Vadims Vjačeslavovičs

Ievads promocijas darbā (kopsavilkuma daļa) par tēmu “Algoritmu izstrāde un izpēte ļaunprātīgas programmatūras apkarošanas efektivitātes visaptverošai novērtēšanai kritiskajos informācijas sfēras segmentos”

Pētījuma tēmas atbilstība. Informācijas tehnoloģiju intensīvā attīstība un pilnveide rada nepieciešamību uzskatīt informācijas sfēras paplašināšanos par dominējošo tendenci. Tas noveda pie atsevišķas šīs sfēras elementu klases rašanās, tās tā sauktie kritiskie segmenti - valsts iestāžu darbību atbalstošās informācijas sistēmas /1/, sakaru infrastruktūras vadības sistēmas /2/, finanses /3/, enerģētika /4 /, transports 151 un avārijas dienesti 161. Vienlaikus informācijas sfēras paplašināšanās ir izraisījusi dažāda veida apdraudējumu rašanos informācijas sfēras elementiem 111. Tajā pašā laikā tās kritiskie segmenti ir kļuvuši par galvenajiem. šādu draudu objekts. Tas radīja nepieciešamību risināt vairākas problēmas, kas saistītas ar informācijas sfēras aizsardzības organizēšanu, lai novērstu kaitējumu, ko rada tās drošības pārkāpumi dažādu apdraudējuma avotu klātbūtnē /8 - 13/.

Viens no nopietnākajiem draudu avotiem informācijas sfērā ir ļaunprogrammatūra /14 - 16/ - viens no galvenajiem instrumentiem nelikumīgai manipulācijai ar informāciju /17/ savos datortīklos /18/. Ļaunprātīgas programmas izstrādā augsti kvalificēti speciālisti /19/ kā vīrusa tipa programmas /20 - 26/, kas ļauj izmantot tādas datorvīrusu priekšrocības kā izomorfā struktūra, iespēja izveidot savas kopijas un izpausties tikai pie noteiktiem skaitļošanas vides parametri /27 - 28/. Šie rekvizīti ļauj ļaunprātīgām programmām ārkārtīgi īsos laika periodos īstenot nelegālas informācijas manipulācijas funkcijas, kas būtiski apgrūtina spēju tās atklāt un novērst, kā rezultātā šādas programmas tiek ierindotas vienā no vismodernākajiem rīkiem. par nelikumīgām darbībām informācijas sfērā šodien /29/.

Ļaunprātīgas programmas, pirmkārt, ietekmē informācijas sfēras elementu pagaidu raksturlielumus, jo to ietekme rada ievērojamus īslaicīgus zaudējumus, kas saistīti ar informācijas procesu pareizības atjaunošanu.

Šajā sakarā kļūst acīmredzams, ka ļaunprātīgas programmas ir faktors, kas būtiski samazina izmantošanas efektivitāti, pirmkārt, informācijas sfēras kritiskos segmentus, jo to darbība ir vērsta uz ienākošās informācijas ātru apstrādi. Tas savukārt ļauj klasificēt ļaunprogrammatūru kā atsevišķu nopietnāko apdraudējumu informācijas sektora drošībai klasē.

Līdz ar to aktuāla kļūst problēma par informācijas sfēras kritisko segmentu aizsardzību pret šāda veida draudiem. Ir acīmredzams, ka tā risinājums ir jāveic sistemātiski, pamatojoties uz visaptverošu pretļaunatūras tehnoloģiju izpēti. Fakts, ka šādām tehnoloģijām ir raksturīgi daudzi neviendabīgi parametri, padara to pētniecības jautājumus sarežģītus gan zinātniski, gan praktiski.

Līdzīgi pētījumi liecina:

Veikt sistēmas analīzi par aizsardzības stāvokli pret ļaunprātīgu programmatūru kopumā informācijas sfērā un tās atsevišķos kritiskajos segmentos;

Efektīvu ļaunprātīgas programmatūras apkarošanas metožu un līdzekļu izpēte;

Pretļaunatūras tehnoloģiju novērtējums informācijas sfēras kritiskajos segmentos.

Tas viss ir radījis nepieciešamību meklēt metodes, lai novērtētu ļaunprātīgas programmatūras apkarošanas efektivitāti, kas sistemātiski ņemtu vērā visas izmantoto tehnoloģiju daudzās īpašības.

Kā liecina problēmas stāvokļa analīze /30/, viens no daudzsološākajiem šīs problēmas risināšanas veidiem ir kompleksa indikatora sintezēšana, kas raksturo ļaunprātīgas programmatūras apkarošanai izmantoto tehnoloģiju iespējas. Tajā pašā laikā kompleksa indikatora sintēzei ir vairākas pazīmes, kas saistītas ar daudzu virzienu klātbūtni gan dažādu tehnoloģiju spēju klasificēšanā, lai cīnītos pret ļaunprātīgu programmatūru, gan matemātisko rīku izmantošanā pētniecībai.

Tas ļāva piedāvāt principiāli jaunu pieeju, lai atrisinātu problēmu, kas saistīta ar ļaunprātīgas programmatūras apkarošanas efektivitātes visaptverošu novērtējumu kritiskajos informācijas sfēras segmentos.

Šīs pieejas būtība ir izstrādāt saprātīgus noteikumus visaptveroša ļaunprātīgas programmatūras apkarošanas efektivitātes indikatora sintēzei, kura forma būs optimāla no izmantoto pretdarbības tehnoloģiju iespēju atspoguļošanas viedokļa.

Neskatoties uz to, ka informācijas drošības nodrošināšanas teorijas un prakses pilnveidošana ir kļuvusi par ārkārtīgi aktuālu problēmu, tiek veikti īpaši pētījumi saistībā ar uzdevumiem visaptveroši novērtēt ļaunprātīgo programmu apkarošanas efektivitāti informācijas sfērā kopumā un ļaunprātīgo programmu apkarošanas jomā. īpaši kritiskie segmenti nav veikti.

Tā kā piedāvātā ļaunprātīgas programmatūras apkarošanas efektivitātes novērtēšanas metode pieejamajā literatūrā nav aplūkota un zināmās metodes neļauj visaptveroši novērtēt ļaunprātīgas programmatūras novēršanas rīku iespējas, tas dod pamatu apgalvot, ka uzdevums izstrādāt metodes šo instrumentu efektivitātes vispusīgai novērtēšanai ir ārkārtīgi aktuāls, un ar šo jomu saistītie jautājumi ir nopietni jāpēta gan metodiskā, gan lietišķā aspektā. Tas viss norāda uz šī promocijas darba tēmas aktualitāti, kas veikta saskaņā ar Krievijas Federācijas Informācijas drošības doktrīnu 111, kā arī saskaņā ar Krievijas Iekšlietu ministrijas Voroņežas institūta zinātnisko virzienu, kas saistīts ar to. informācijas drošības līdzekļu un sistēmu prasību pamatojumam.

Pētījuma objekts ir tehnoloģijas, lai cīnītos pret ļaunprātīgu programmatūru kritiskos informācijas sfēras segmentos.

Pētījuma priekšmets ir metodes, lai vispusīgi novērtētu ļaunprātīgas programmatūras apkarošanas efektivitāti kritiskajos informācijas sfēras segmentos.

Promocijas darba mērķis ir pilnveidot ļaunprātīgas programmatūras pretdarbības novērtēšanas metodes informācijas sfēras kritiskajos segmentos, pamatojoties uz izmantoto pretdarbības tehnoloģiju efektivitātes visaptveroša indikatora sintēzi.

Mērķa sasniegšanai tiek risināti šādi zinātniskie uzdevumi:

Sistēmas prasību teorētiskais pamatojums visaptveroša ļaunprogrammatūras apkarošanas efektivitātes indikatora sintēzei kritiskajos informācijas sfēras segmentos;

Algoritma izstrāde šāda rādītāja sintēzei;

Optimālas privāto rādītāju struktūras izveide izmantoto pretļaunatūras tehnoloģiju efektivitātes noteikšanai;

Analītisko un simulācijas modeļu komplekta izstrāde, kas nodrošina izmantoto pretļaunatūras tehnoloģiju efektivitātes rādītāju novērtējumu;

Algoritmu eksperimentāla pārbaude, lai visaptveroši novērtētu ļaunprātīgas programmatūras apkarošanas efektivitāti informācijas sfēras kritiskajos segmentos.

Pētījuma metodes. Darbā tiek izmantotas sistēmu analīzes metodes, informācijas drošības teorija, kopu teorija, grafu teorija, matemātiskā modelēšana, varbūtību teorija un matemātiskā statistika un nejaušo procesu teorija.

Iegūto rezultātu pamatotību un ticamību nodrošina:

Pārbaudītu matemātisko rīku izmantošana ļaunprātīgas programmatūras apkarošanas procesu formalizēšanas procesā;

Izstrādāto matemātisko modeļu eksperimentālā pārbaude un iegūto rezultātu atbilstība no zinātniskās literatūras zināmiem gadījumiem.

Promocijas darbā iegūto rezultātu zinātniskā novitāte un teorētiskā nozīme ir šāda:

1. Ir izstrādāti algoritmi, lai visaptveroši novērtētu ļaunprātīgas programmatūras apkarošanas efektivitāti informācijas sfēras kritiskajos segmentos, kas atšķiras no zināmajām līdzīgu problēmu risināšanas metodēm ar to, ka konkrētu rādītāju integrācija tiek veikta, ņemot vērā to ietekmi. par mērķa funkciju - informācijas sfēras bojājumu novēršanas pakāpe no tās drošības pārkāpuma.

2. Atsevišķu pretļaunatūras tehnoloģiju rādītāju novērtēšanai piedāvāta metodoloģiska pieeja simulācijas un analītiskās modelēšanas apvienošanai, kas atšķirībā no analogiem ļauj kontrolēt pētāmo procesu detalizācijas pakāpi.

3. Ir piedāvāti jauni risinājumi matemātisko modeļu konstruēšanai ļaunprogrammatūras apkarošanai, pamatojoties uz privāto rādītāju līdzības izmantošanu tehnoloģijām, kuras izmanto, lai novērstu nejaušo mainīgo klasisko attēlojumu.

Pētījuma praktiskā vērtība slēpjas efektīvas lēmumu atbalsta sistēmas izstrādē, lai novērtētu tehnoloģijas, kas tiek izmantotas cīņai pret ļaunprātīgu programmatūru kritiskajos informācijas sfēras segmentos, kas veic šādas funkcijas:

Konkrētu ļaunprātīgas programmatūras apkarošanas indikatoru analīze un vispārināšana, lai izmantotu dažādas praktiskas iespējas izmantotajām pretdarbības tehnoloģijām;

Pretļaunatūras tehnoloģiju analīzes shēmu izveide, kas ir ērta praktiskai izpratnei;

Dažādu pretļaunatūras tehnoloģiju efektivitātes rādītāju salīdzinājums.

Teorētisko un eksperimentālo pētījumu rezultātus var izmantot šādu zinātnisku un lietišķu problēmu risināšanai:

Jaunu pieeju pamatojums, lai organizētu pretdarbību ļaunprātīgai programmatūrai kritiskajos informācijas sfēras segmentos;

Esošo tehnoloģiju analīze, lai novērstu ļaunprātīgu programmatūru to lietošanas laikā.

Iegūtos rezultātus var izmantot lekciju kursos un mācību materiālos augstskolās, apgūstot informācijas drošības pamatus, kā arī pārkvalificējot par informācijas sfēras kritisko segmentu drošību atbildīgo personālu.

Aizstāvēšanai tiek iesniegti šādi galvenie promocijas darba nosacījumi:

1. Problēmas risināšanas paziņojums un rezultāti par ļaunprātīgas programmatūras apkarošanas efektivitātes visaptveroša indikatora sintezēšanu informācijas sfēras kritiskajos segmentos, pamatojoties uz optimālas privāto rādītāju struktūras izveidošanu un tās pielietojumu, lai novērtētu ļaunprātīgas programmatūras apkarošanai izmantoto tehnoloģiju efektivitāti. .

2. Metodoloģiskā pieeja simulācijas un analītiskās modelēšanas apvienošanai, lai novērtētu specifiskus pretļaunatūras tehnoloģiju rādītājus.

Darba rezultātu realizācija. Promocijas darba rezultāti tiek realizēti:

Krievijas Federācijas Aizsardzības ministrijas Militārais radioelektronikas institūts;

Krievijas Federācijas Iekšlietu ministrijas Voroņežas institūts;

Voroņežas apgabala galvenais iekšlietu departaments;

Tambovas apgabala iekšlietu departaments.

Rezultātu ieviešanu apstiprina attiecīgie akti.

Darba aprobācija. Pētījuma galvenie metodoloģiskie un praktiskie rezultāti tika prezentēti šādās konferencēs:

Pētījuma galvenie metodoloģiskie un praktiskie rezultāti tika prezentēti šādās konferencēs:

1. Viskrievijas zinātniskā un praktiskā konference “Noziedzības apkarošanas mūsdienu problēmas” - Voroņeža, 2002 /48/.

2. Starpreģionālā zinātniskā un praktiskā konference “Informācija un drošība” - Voroņeža, 2002 /56/.

3. IV Viskrievijas zinātniski praktiskā konference “Drošība, drošība un sakari” - Voroņeža, 2003 /49/.

4. Viskrievijas zinātniskā un praktiskā konference “Noziedzības apkarošanas mūsdienu problēmas” - Voroņeža, 2005 /57/.

Līdzautorībā publicētajos darbos pieteicējs personīgi ierosināja: /28/ - klasificēt datorvīrusus, ņemot vērā to komplekso asociativitātes, replikativitātes un izomorfisma īpašību izpausmi; /29/ - ilustrācija par to, kā uzbrucēji izmanto dažādas datorvīrusu īpašības, īstenojot vispārējas stratēģijas posmus nesankcionētai piekļuvei informācijai datorsistēmās; in /30/ uzskata to darbību un izdzīvošanu par galvenajām ļaunprātīgo programmu īpašību klasifikācijas pazīmēm; in /35/ - to apstākļu sistematizēšana, kas nosaka nepieciešamību turēt slepenībā tiesībsargājošo iestāžu rīcību; in /48/ - identificēt prettiesiskas darbības datorinformācijas jomā, izmantojot divu līmeņu sistēmu, kuras pirmais līmenis nodrošina prettiesiskas darbības fakta noteikšanu, bet otrais - šādas ietekmes pēdas; in /49/ - identificēt faktus par nelikumīgu ietekmi uz informāciju datortīklos, izmantojot skaitļošanas procesu informācijas parametru semantisko kontroli; in /50/ - kā datornoziegumu identificēšanas pamatprincips, hierarhiska stratēģijas apraksta princips nesankcionētai piekļuvei datorsistēmu informācijai; in /53/ - datornoziegumu izmeklēšanā izmantot izplatītās informācijas aizsardzības tehnoloģijas kā kriminālistikas ziņā nozīmīgas informācijas avotu; in /54/ - uzskata, ka šāda veida nelikumīgas darbības identificējošas pazīmes ir pilna komplekta klātbūtne par dominējošo faktoru datornoziegumu atklāšanas līmeņa paaugstināšanā; in /56/ - uzskatīt metodiku informācijas un telekomunikāciju sistēmu drošības novērtēšanai no apdraudējumiem to informācijas drošībai kā procedūru hierarhiskas rādītāju struktūras veidošanai, par funkcionāla informācijas modeļa piemēru uzskatīt speciālo spēku režīma aktivitātes. pakalpojumu darbinieku nodrošināšanā ar oficiālu dokumentāciju; in /57/ - izveidot visaptverošu indikatoru ļaundabīgo programmu apkarošanas efektivitātes novērtēšanai, pamatojoties uz privāto rādītāju hierarhisku strukturēšanu; in /67/ - izmantot informācijas procesu funkcionālo aprakstu kā nepieciešamo to formalizācijas posmu.

Darba struktūra un apjoms. Promocijas darbs ir uz 164 lappusēm un sastāv no ievada, četrām nodaļām, noslēguma, izmantotās literatūras saraksta un pielikuma, satur 51 attēlu un 19 tabulām.

Līdzīgas disertācijas specialitātē "Informācijas drošības metodes un sistēmas, informācijas drošība", 05.13.19 kods VAK

• Matemātiskais modelis cīņai pret nesankcionētu piekļuvi informācijai un telekomunikāciju sistēmām, izmantojot dažāda veida informācijas drošības līdzekļus, vienlaikus samazinot skaitļošanas resursu izklaidi 2002, tehnisko zinātņu kandidāts Kočedikovs, Sergejs Sergejevičs

• Informācijas procesu modelēšana un optimizācija iekšlietu iestāžu vienotās informācijas un telekomunikāciju sistēmas teritoriālajos segmentos informācijas drošības apdraudējumu apkarošanas kontekstā 2006, tehnisko zinātņu kandidāte Čagina, Ludmila Vladimirovna

• Ļaunprātīgas ietekmes modelēšana uz aizsargātajām informācijas sistēmām, lai identificētu nelikumīgas darbības datorinformācijas jomā 2005, tehnisko zinātņu kandidāts Tjuņakins, Romāns Nikolajevičs

• Ļaunprātīgas programmatūras atpazīšana, pamatojoties uz slēptiem Markova modeļiem 2012, tehnisko zinātņu kandidāts Kozačoks, Aleksandrs Vasiļjevičs

• Matemātiskie modeļi privāto apsardzes vienību efektivitātes novērtēšanai pakalpojumu sniegšanā informācijas tehniskās aizsardzības jomā 2005, tehnisko zinātņu kandidāts Fjodorovs, Ivans Semenovičs

Promocijas darba noslēgums par tēmu “Informācijas drošības metodes un sistēmas, informācijas drošība”, Suškovs, Pāvels Feliksovičs

4.4. secinājumus

1. Ir ieteicams novērtēt ļaunprātīgas programmatūras apkarošanas efektivitāti informācijas sfēras kritiskajos segmentos, pamatojoties uz dažādu pretpasākumu izmantošanas iespēju analīzi saskaņā ar skaitļošanas eksperimentu plānu.

2. Promocijas darbā izstrādāto metožu izmantošana ļaunprogrammatūras apkarošanas efektivitātes novērtēšanai kritiskajos informācijas sfēras segmentos ļauj samazināt izmantoto matemātisko modeļu klāstu par 50%.

3. Promocijas darbā piedāvātie rādītāju hierarhiskās struktūras precizitātes raksturlielumi, pateicoties varbūtības skalas izmantošanai, ir vismaz par divām kārtām augstāki nekā zināmo integrēto indikatoru struktūru precizitātes raksturlielumi.

4. Promocijas darbā izstrādātā metode ļaunprogrammatūras apkarošanas efektivitātes novērtēšanai kritiskajos informācijas sfēras segmentos uzskatāma par universālu metodi informācijas objektu drošības novērtēšanai.

5. līmenis

Informācijas aizsardzības mērķis ir novērst kaitējumu informācijas drošības pārkāpumu dēļ

4. līmenis

3. līmenis

2. līmenis

Iespējas novērst informācijas konfidencialitātes pārkāpumus (nopludināšanu).

Iespējas novērst informacīna integritātes pārkāpumus

Iespējas aizsargāt informāciju no noplūdes sānu elektromagnētiskā starojuma un traucējumu dēļ

Informācijas pieejamības pārkāpumu (bloķēšanas) novēršanas iespējas

Iespējas aizsargāt informāciju no nesankcionētas piekļuves

Iespējas aizsargāt runas informāciju (no noplūdes caur akustisko kanālu)

Iespējas novērst draudu rašanās labvēlīgus apstākļus

Iespējas novērst NSD draudu rašanos 1

Iespējas novērst informācijas noplūdes draudu rašanos caur fiziskajiem laukiem

Iespējas atklāt draudu avotus

Woam< южк» ста по закрытию доступа в обход системы защиты и и форма-цкн

Iespējas neitrāliem un negatīviem draudiem NSD X X

Iespējas neitralizēt informācijas noplūdes draudus caur fiziskajiem laukiem X

NSD draudu atklāšanas un ietekmes iespējas

Iespējas atklāt informācijas noplūdes draudu ietekmi, izmantojot PEMIN kanālus

Informācijas noplūdes draudu atklāšanas un ietekmes iespējas caur akustisko kanālu X

Iespējas atgūt informāciju pēc NSD apdraudējuma iedarbības

BOiMG&HdCTtt par informācijas atgūšanu pēc saskares ar informācijas noplūdes draudiem, izmantojot ghemim kanālus

Iespējas atjaunotas!! yu informāciju pēc informācijas noplūdes draudiem akustiskajā kanālā

Var būt*

1. līmenis

Iespējams Iespējams

Vadlīnijas piekļuves ierobežošanai informācijas resursiem

ITKS ITKS

Iespējas slēpt starojumu un traucējumus no informatīvajiem kanāliem (fiziskiem laukiem)

Var būt

STA par dezinformāciju (radiācijas un traucējumu imitācija)

Informācijas kriptogrāfiskās transformācijas iespējas

Var būt

Vadlīnijas TSOI un ITKS elementu (elementu stāvokļa) monitoringam

Ir iespējams reģistrēt informāciju par TSIOI darbību no RF viedokļa

Iespējas savlaicīgai iztērētās un neizmantotās informācijas iznīcināšanai

Iespējas signalizēt par nelegālu darbību izpausmēm un draudiem

Iespējas signalizēt par informācijas noplūdes draudu izpausmēm caur PEMIN kanāliem

Iespējas signalizēt par informācijas noplūdes draudu izpausmēm, izmantojot akustiskos kanālus, lai reaģētu uz draudu izpausmēm (draudu likvidēšana)

NSD izpausmju un draudu angliskuma iespējas

Reaģēt uz draudu izpausmēm (neitralizēt draudus) iespējams pa akustiskiem kanāliem

Rīsi. 4.3.2. Neviendabīgu tehnisko sistēmu un informācijas un telekomunikāciju sistēmu informācijas drošības līdzekļu indikatoru struktūra

SECINĀJUMS

Galvenie zinātniskie rezultāti, kas iegūti promocijas darbā, ir:

1. Teorētiski pamatota un praktiski realizēta, balstoties uz konkrētu pretpasākumu rādītāju strukturēšanu, sistēmas efektivitātes vispārināta novērtējuma metode cīņai pret ļaunprātīgu programmatūru kritiskajos informācijas sfēras segmentos.

2. Izstrādāta metode privāto rādītāju struktūras optimizēšanai ļaunprogrammatūras apkarošanai. Saskaņā ar to tiek ierosināts:

Uzrādīt pretpasākumu rādītāju kopumu hierarhiskas struktūras veidā ar konsekventu pretpasākumu īpašību vispārinājumu;

Hierarhiskās struktūras līmeņi tiek uzrādīti indikatoru kopu veidā, kas atbilst galvenajām pretpasākumu spēju klasēm, lai nodrošinātu informācijas sfēras materiālo bāzi veidojošo datortīklu drošību;

Kā rīku ļaunprātīgas programmatūras apkarošanas efektivitātes izpētei izmantojiet simulācijas un analītiskos modeļus, kas apraksta pretpasākumu darbības procesus.

3. Izstrādāta metodoloģija dažādu iespēju izvērtēšanai datortīklu aprīkošanai ar pretvīrusu rīkiem, balstoties uz skaitļošanas eksperimentu teorijas principiem, izmantojot promocijas darbā izstrādātos matemātiskos modeļus.

Promocijas darbā tika iegūti šādi jauni praktiskie rezultāti:

1. Pētījumi, kas veikti, izmantojot izstrādātus matemātiskos modeļus, lai apkarotu ļaunprātīgu programmatūru kritiskos informācijas sfēras segmentos, dod pamatu apgalvot, ka:

Promocijas darbā izstrādāto metožu izmantošana ļaunprogrammatūras pretdarbības novērtēšanai informācijas sfēras kritiskajos segmentos ļauj samazināt izmantoto matemātisko modeļu klāstu par 50%.

Promocijas darbā piedāvātie rādītāju hierarhiskās struktūras precizitātes raksturlielumi, pateicoties varbūtības skalas izmantošanai, ir vismaz par divām kārtām augstāki nekā zināmo integrēto indikatoru struktūru precizitātes raksturlielumi.

Šo rezultātu praktiskā nozīme ir tāda, ka tie ļauj kvantitatīvi novērtēt ļaunprātīgas programmatūras apkarošanas pasākumu veikšanas iespējamību kritiskajos informācijas sfēras segmentos.

2. Izstrādātās metodes, modeļi un algoritmi kopā veido metodoloģisku atbalstu praktiskās problēmas risināšanai, kā novērtēt ļaunprātīgas programmatūras apkarošanas efektivitāti kritiskajos informācijas sfēras segmentos. To var izmantot līdzīgu problēmu risināšanai, novērtējot informācijas objektu drošību no līdzīgiem draudiem to informācijas drošībai.

Atsauču saraksts disertācijas pētījumam Tehnisko zinātņu kandidāts Suškovs, Pāvels Feliksovičs, 2005

1. Telekomunikācijas. Pasaule un Krievija. Stāvoklis un attīstības tendences / Kleshchev N.T., Fedulov A.A., Simonov V.M., Borisov Yu.A., Osenmuk M.P., Selivanov S.A. M.: Radio un sakari, 1999. - 480 lpp.

2. Homjakovs N.N., Homjakovs D.N. Atomelektrostacijas drošības analīze teroristu uzbrukumu laikā. // Drošības sistēmas. 2002. - Nr.2(44). - 74.-76.lpp.

3. Moškovs G.Ju. Transporta objektu drošības nodrošināšana ir mūsu prioritāte. // Drošības sistēmas. - 2003. - Nr.6(48). - 8.-9.lpp.

4. Agapovs A.N. Kodoldrošība un radiācijas drošība. Gatavība ārkārtas situācijām. // Drošības sistēmas. 2003. - Nr.2(50). - 8.-10.lpp.

5. Krievijas Federācijas informācijas drošības doktrīna // Rossiyskaya Gazeta, 2000. gada 28. septembris.

6. Gerasimenko V.A. Informācijas aizsardzība automatizētās datu apstrādes sistēmās: 2 grāmatās: Grāmata. 1. M.: Energoatomizdat, 1994. - 400 lpp.

7. Gerasimenko V.A. Informācijas aizsardzība automatizētās datu apstrādes sistēmās: 2 grāmatās: Grāmata. 2. M.: Energoatomizdat, 1994. - 176

8. Gerasimenko V.A., Malyuk A.A. Informācijas drošības pamati: Mācību grāmata Krievijas Federācijas Vispārējās un profesionālās izglītības ministrijas augstākās izglītības iestādēm M.: MEPhI, 1997. - 538 lpp.

9. Informācijas drošības pamati: mācību grāmata Krievijas Iekšlietu ministrijas augstākās izglītības iestādēm / Red. Minaeva, V.A. un Skryl S.V. - Voroņeža: Krievijas Iekšlietu ministrijas Voroņežas institūts, 2001. - 464 lpp.

10. Ščerbakovs A.A. Destruktīva programmatūras ietekme. M.: Izdevniecība "Ēdel", 1993. 64 lpp.

11. Muhins V.I. Informācijas un programmatūras ieroči. Destruktīva programmatūras ietekme. // Zinātniskie un metodiskie materiāli. M.: Pētera Lielā vārdā nosauktā Stratēģisko raķešu spēku militārā akadēmija, 1998.-44 lpp.

12. Skryl S.V. Programmatūras klasifikācija informācijas zādzībai un sagrozīšanai automatizētās informācijas sistēmās // Augstās tehnoloģijas tehnoloģijās, medicīnā un izglītībā: Starpaugstskolu kolekcija. zinātnisks tr., 2. daļa. Voroņeža: VSTU, 1997. - P. 131-137.

13. Datortīkli. Principi, tehnoloģijas, protokoli: Mācību grāmata augstskolām. / V.G. Olifers, N.A. Olifers SPb.: Pēteris, 2003. - 864 lpp.

14. Syrkov B.Yu. Datorsistēma hakera acīm // Tehnoloģijas un sakari. -1998. Nr 6. P. 98-100

15. Bezrukovs N.N. Ievads datorvirusoloģijā. Vispārīgie darbības principi, MS-DOS izplatītāko vīrusu klasifikācija un katalogs. Kijeva, 1989. - 196 lpp.

16. Bezrukovs N.N. Datoru virusoloģija: uzziņu rokasgrāmata. - Kijeva, 1991.

17. Bezrukovs N.N. Datorvīrusi. - M., 1991. - 132 lpp.

18. Kaspersky E.V. Datorvīrusi MS-DOS. M.: Izdevniecība Ēdel, 1992. - 120 lpp.

19. Kaspersky E.V. Datorvīrusi, kas tie ir un kā ar tiem cīnīties. M.: "SK Press", 1998. - 288 lpp.

20. Fights F., Johnston P., Kratz M. Datorvīruss: problēmas un prognoze. -M.: Mir, 1993. 175 lpp.

21. Guliev N.A. Datorvīrusi, ieskats no iekšpuses. M.: DMK, 1998.-304 lpp.

22. Uz datorvīrusiem balstītas ļaunprātīgas programmatūras izstrādes tehnoloģijas // E.G. Gennadieva, K.A. Razinkins, Yu.M. Safonovs, P.F. Suškovs, R.N. Tyunyakin // Informācija un drošība. 1. izdevums. - Voroņeža: VSTU, 2002. - 79.-85.lpp.

23. Ļaunprātīgu programmu virusoloģiskā tipizēšana // JI.B. Čagina, K.S. Skrils, P.F. Suškovs // Ražošanas zinātne, 2005. - 6. izdevums. - 12.-17.lpp.

24. Minaev V.A., Skryl S.V. Datorvīrusi kā sistēmisks ļaunums. // Drošības sistēmas SB-2002: Starptautiskā Informatizācijas foruma XI zinātniski tehniskās konferences materiāli - M.: GPS akadēmija, 2002. - 18.-24.lpp.

25. Datu pārraides sistēmas un tīkli: Mācību grāmata. / M.V. Garaņins, V.I. Žuravļevs, S.V. Kunegins M.: Radio un sakari, 2001. - 336 lpp.

26. Telekomunikāciju sistēmas un tīkli: Mācību grāmata 3 sējumos. 1.sējums Mūsdienu tehnoloģijas / B.I. Kruks, V.N. Popantonopoulo, V.P. Šuvalovs - M.: Karstā līnija - Telecom, 2003. - 647 lpp.

27. Informācijas aizsardzība datorsistēmās un tīklos. / Romanets Yu.V., Timofejevs P.A., Shangin V.F. M.: Radio un sakari, 2001. - 376 lpp.

28. Informācijas pieejamības ierobežošanas organizatoriski un juridiskie aspekti iekšlietu struktūru darbībā / Asyaev P.I., Pozhilykh V.A., Sushkov P.F., Belousova I.A., Potanina I.V., Razinkin K.A. // Informācija un drošība. - 1. izdevums. Voroņeža: VSTU, 2002. - 43.-47. lpp.

29. Kaspersky K. Tīkla uzbrukuma paņēmieni. Pretdarbības paņēmieni. M.: Solon-R, 2001.-397 lpp.

30. Serdjuks V.A. Daudzsološas tehnoloģijas informācijas uzbrukumu noteikšanai. // Drošības sistēmas. 2002. - Nr.5(47). - 96.-97.lpp.

31. Informācijas drošības algoritmu programmēšana: Mācību grāmata. / Domaševs A.V. Gruntovičs M.M., Popovs V.O., Pravikovs D.I., Prokofjevs I.V., Ščerbakovs A.Ju. M.: Zināšanas, 2002. - 416 lpp.

32. Grušo A.A., Timonina E.E. Informācijas drošības pamati. M.: Jahtnieks, 1996.-192 lpp.

33. Resoru informācijas un telekomunikāciju sistēmu drošība. / Getmantsevs A.A., Lipatņikovs V.A., Plotņikovs A.M., Sapajevs E.G. VAS, 1997. 200 lpp.

34. Skryl S.V. Iekšlietu iestāžu automatizēto kontroles sistēmu darbības modelēšana un optimizēšana ļaunprātīgas programmatūras apkarošanas kontekstā: Dr. tech. Zinātnes M.: Krievijas Iekšlietu ministrijas Valsts ugunsdzēsības dienesta akadēmija, 2000. - 48 lpp.

35. Joel T. Patz Antivirus programmas / PC Magazine / Russian Edition, 1996, Nr. 3 (46), 70.-85. lpp.

36. Doctor Web antivīrusa inteliģentās tehnoloģijas. / AS "Dialognauka". // Drošības sistēmas. 2002. - Nr.2(44). - 84.-85.lpp.

37. Antimonovs S.G. Intelektuālās konfrontācijas priekšējā līnijā Vīruss-antivīruss. // Informācija un drošība: Starpreģionālā zinātniskā un praktiskā darba materiāli. konf. Informācija un drošība. - 2. izdevums. - Voroņeža: VSTU, 2002. - P. 39-46.

38. Vorobjovs V.F., Gerasimenko V.G., Potaņins V.E., Skrils S.V. Traceoloģiskās identifikācijas rīku projektēšana datornoziegumiem. Voroņeža: Krievijas Iekšlietu ministrijas Voroņežas institūts, 1999. - 136 lpp.

39. Datornoziegumu pēdas / Voynalovich V.Yu., Zavgorod-niy M.G., Skryl S.V., Sumin V.I. // Starptautiskās konferences “Tiesībaizsardzības sistēmu informatizācija” referātu tēzes, 2. daļa. M.: Krievijas Iekšlietu ministrijas Vadības akadēmija, 1997. lpp. 53-55.

40. Primārās izmeklēšanas darbību veikšanas metodika, izmeklējot noziegumus augsto tehnoloģiju jomā. / Sushkov P.F., Kochedykov S.S., Kiseļevs V.V., Artemovs A.A. VI Krievijas Iekšlietu ministrijas biļetens 2(9)" 2001 - Voroņeža: VI Krievijas Iekšlietu ministrija 2001. - P. 152-155.

41. Datornoziegumu atklāšanas līmeņa paaugstināšana // Bogachev S.Yu., A.N. Obuhovs, P.F. Suškovs // Informācija un drošība. Vol. 2. - Voroņeža: VSTU, 2004. - 114. - 115. lpp.

42. Prettiesisku darbību datorizētā un tehniskā ekspertīze. // Suškovs P.F. // Krievijas Iekšlietu ministrijas Voroņežas institūta biļetens. T. 4(19). -2004.-№4(19) - P. 52-55.

43. Mamikonovs A.G., Kulba V.V., Ščelkovs A.B. Informācijas uzticamība, aizsardzība un dublēšana automatizētajās vadības sistēmās. M.: Energoatomizdat, 1986. - 304 lpp.

44. Sokolovs A.V., Šangins V.F. Informācijas aizsardzība sadalītās korporatīvajās sistēmās. M.: DMK Press, 2002. - 656 lpp.

45. Hasins E.V. Integrēta pieeja informācijas un skaitļošanas sistēmu uzraudzībai. // Zinātniskā sesija MEPhI 2002: IX Viskrievijas zinātniskās un praktiskās konferences materiāli. konf. - M.: MEPhI, 2002. - P. 110-111.

46. ​​Buslenko N.P. Sarežģītu sistēmu modelēšana / N.P. Busļenko. - M.: Nauka, 1978.-400 lpp.

47. Sovetov B.Ya. Sistēmu modelēšana: Mācību grāmata augstskolām par specializāciju. “Automatizētās vadības sistēmas” / B.Ya. Sovetovs, S.A. Jakovļevs. - M.: Augstskola, 1985. - 271 lpp.

48. Igleharts D.L. Rindas tīklu reģeneratīvā modelēšana: Per. no angļu valodas / D.L. Igleharts, D.S. Šedlers. M.: Radio un sakari, 1984. - 136 lpp.

49. Busļenko V.N. Sarežģītu sistēmu simulācijas modelēšanas automatizācija / V.N. Busļenko. - M.: Nauka, 1977. - 239 lpp.

50. Tarakanovs K.V. Analītiskās metodes sistēmu izpētei / K.V. Tarakanovs, L.A. Ovčarovs, A.N. Tiriškins. - M.: Padomju radio, 1974. 240 lpp.

51. Vilkas E.J., Mayminas E.Z. Risinājumi: teorija, informācija, modelēšana. M.: Radio un sakari, 1981. - 328 lpp. 91.-96.lpp.

52. Speciālo informācijas sistēmu drošības procesu strukturētas modelēšanas principi. / P.I. Asjajevs, V.N. Asejevs, A.R. Mozhaitovs, V.B. Ščerbakovs, P.F. Suškovs // Radiotehnika (žurnāls žurnālā), 2002, Nr. 11.

53. Tatg U. Grafu teorija: Tulk. no angļu valodas M.: Mir, 1988. - 424 lpp.

54. Ventzel E.S. Varbūtību teorija. M.: Fizikālās un matemātiskās literatūras apgāds, 1958. - 464 lpp.

55. Zinātnisko programmu kolekcija Fortrānā. Vol. 1. Statistika. Ņujorka, 1970. / Tulk. no angļu valodas M.: “Statistika”, 1974. - 316 lpp.

56. Zarjajevs A.V. Informācijas drošības speciālistu apmācība: vadības modeļi: Monogrāfija M.: “Radio un sakari”, 2003. - 210 lpp.

57. Kini P.JI., Raiffa X. Lēmumu pieņemšana saskaņā ar vairākiem priekšroka un aizstāšanas kritērijiem. M.: Radio un sakari, 1981. - 560 lpp.

58. Laričevs O.I. Lēmumu pieņemšanas zinātne un māksla. M.: Nauka, 1979.-200 lpp.

59. Jakovļevs S.A. Simulācijas eksperimentu plānošanas problēmas informācijas sistēmu projektēšanā. // Automatizētas datu apstrādes un pārvaldības sistēmas. L.: 1986. - 254 lpp.

60. Doctor Web antivīrusa inteliģentās tehnoloģijas. / AS "Dia-lognauka". // Drošības sistēmas. 2002. - Nr.2(44). - 84.-85.lpp.

61. Datorvīrusu enciklopēdija. / JĀ. Kozlovs, A.A. Parandovskis, A.K. Parandovskis M.: “Solon-R”, 2001. - 457 lpp.

62. Joel T. Patz Antivirus programmas / PC Magazine / Russian Edition, 1996, Nr.3 (46), 70.-85.lpp.

63. Informācijas drošības rīku sertifikācijas sistēma atbilstoši informācijas drošības prasībām Nr.ROSS RU.OOI.OIBHOO. Sertificēto informācijas drošības rīku valsts reģistrs. Krievijas Valsts tehniskās komisijas oficiālā vietne, 2004.

64. Skryl S.V. Iekšlietu iestāžu automatizēto kontroles sistēmu darbības modelēšana un optimizēšana ļaunprātīgas programmatūras apkarošanas kontekstā: Dr. tech. Zinātnes M.: Krievijas Iekšlietu ministrijas Valsts ugunsdzēsības dienesta akadēmija, 2000. - 48 lpp.

65. Informācijas drošības novērtējums informācijas un telekomunikāciju sistēmās. / Minajevs V.A., Skrils S.V., Potaņins V.E., Dmitrijevs Ju.V. // Ekonomika un ražošana. 2001. - Nr.4. - 27.-29.lpp.

66. Ventzel E.S. Operāciju izpēte M.: Padomju Radio, 1972 - 552 lpp.

67. Zadeh J1.A. Lingvistiskā mainīgā jēdziens un tā pielietojums aptuvenā lēmumu pieņemšanā. M.: Mir, 1976. - 168 lpp.

68. Pospelovs D.A. Loģiski lingvistiskie modeļi vadības sistēmās. M.: Enerģētika, 1981.-231 lpp.

69. Pospelovs D.A. Situācijas vadība: teorija un prakse. -M.: Nauka, 1986.-284 lpp.

70. Raifa G. Lēmumu analīze (ievads izvēles problēmā nenoteiktības apstākļos). M.: Nauka, 1977. - 408 lpp.

71. Lēmumu pieņemšanas modeļi, kuru pamatā ir lingvistiskie mainīgie / A.N. Borisovs, A.V. Aleksevs, O.A. Krumberg et al Rīga: Zinatne, 1982. - 256 lpp.

72. Kofman A. Ievads izplūdušo kopu teorijā. M.: Radio un sakari, 1982. - 432 lpp.

73. Izplūdušās kopas kontroles un mākslīgā intelekta modeļos. / Red. JĀ. Pospelovs. M.: Nauka, 1986. - 312 lpp.

74. Pētījumu rezultātu ieviešanas akti

75. Centrālās iekšlietu direkcijas “K” nodaļas priekšnieka vietnieks, policijas pulkvežleitnants1. Komisijas locekļi: art. Galvenās iekšlietu direkcijas “K” nodaļas detektīvs, policijas kapteinis, Centrālās iekšlietu pārvaldes “K” nodaļas detektīvs, policijas leitnants1. Sokolovskis I.V.1. Povaļihins A. A.1. Razdymalin R.S.41. ES APSTIPRINĀJU

76. Deputāts Tambovas apgabala Iekšlietu pārvaldes priekšnieks, policijas pulkvežleitnants1. Komisijas locekļi: 1. B.J.I. Vorotņikovs

77. Tambovas apgabala USTM Iekšlietu departamenta “K” nodaļas vadītājs, policijas majors

78. Tambovas apgabala USTM Iekšlietu departamenta Iekšlietu departamenta vecākais detektīvs, policijas majors1. R.V. Belēvitīns1. A.V. Bogdanovs

Lūdzu, ņemiet vērā, ka iepriekš sniegtie zinātniskie teksti ir publicēti tikai informatīviem nolūkiem un tika iegūti, izmantojot oriģinālo disertācijas teksta atpazīšanu (OCR). Tāpēc tajos var būt kļūdas, kas saistītas ar nepilnīgiem atpazīšanas algoritmiem. Mūsu piegādātajos disertāciju un kopsavilkumu PDF failos šādu kļūdu nav.