Мөн урьдчилан сэргийлэх - файлууд эсвэл үйлдлийн системийг хортой програм хангамжаар халдварлахаас (өөрчлөх) урьдчилан сэргийлэх.

Вирусаас хамгаалах аргууд[ | ]

Вирусаас хамгаалахын тулд гурван бүлгийн аргыг ашигладаг.

1. дээр суурилсан аргууд файлын агуулгын шинжилгээ(өгөгдлийн файлууд болон тушаал бүхий файлууд). Энэ бүлэгт вирусын гарын үсгийг сканнердах, түүнчлэн бүрэн бүтэн байдлыг шалгах, сэжигтэй командуудыг сканнердах зэрэг орно.
2. дээр суурилсан аргууд програмын зан үйлийг хянахтэдгээрийг гүйцэтгэх үед. Эдгээр аргууд нь системийн аюулгүй байдалд заналхийлж буй бүх үйл явдлыг бүртгэхээс бүрддэг бөгөөд туршилтын объектыг бодитоор гүйцэтгэх явцад эсвэл програм хангамжийг эмуляци хийх явцад тохиолддог.
3. Арга зүй ажлын горимын зохицуулалтфайлууд болон програмуудтай. Эдгээр аргууд нь захиргааны аюулгүй байдлын арга хэмжээ юм.

Гарын үсэг скан хийх арга(гарын үсгийн шинжилгээ, гарын үсгийн арга) нь өвөрмөц дарааллын байт файлуудыг хайхад суурилдаг - гарын үсэг, тодорхой вирусын шинж чанар. Шинээр илрүүлсэн вирус бүрийн хувьд вирусны эсрэг лабораторийн мэргэжилтнүүд дүн шинжилгээ хийж, түүний үндсэн дээр түүний гарын үсгийг тодорхойлдог. Үүссэн вирусын фрагментийг вирусны эсрэг программ ажилладаг вирусын гарын үсгийн тусгай мэдээллийн санд байрлуулна. Энэ аргын давуу тал нь хуурамч эерэг үзүүлэлтүүдийн харьцангуй бага хувь бөгөөд гол сул тал нь вирусны эсрэг програмын мэдээллийн санд гарын үсэг байхгүй системд шинэ вирус илрүүлэх үндсэн боломжгүй байдаг тул гарын үсгийн мэдээллийн санг цаг тухайд нь шинэчлэх нь чухал юм. шаардлагатай.

Бүрэн бүтэн байдлыг хянах аргаДиск дээрх өгөгдлийн гэнэтийн, шалтгаангүй өөрчлөлт нь вирусын эсрэг системийн онцгой анхаарал шаарддаг сэжигтэй үйл явдал юм. Вирус нь байгаа эсэхээ нотлох баримтыг заавал үлдээдэг (одоо байгаа (ялангуяа системийн эсвэл гүйцэтгэх боломжтой) файлуудын өгөгдлийн өөрчлөлт, шинэ гүйцэтгэгдэх файлуудын харагдах байдал гэх мэт). Өгөгдлийн өөрчлөлтийн баримт - бүрэн бүтэн байдлыг зөрчих- Туршилтын объектын анхны төлөвийн хувьд урьдчилан тооцоолсон хяналтын нийлбэр (диджест) болон туршилтын тохиолдлын одоогийн төлөвийн хяналтын нийлбэр (дижест) -ийг харьцуулах замаар хялбархан тогтооно. Хэрэв тэдгээр нь таарахгүй бол энэ нь бүрэн бүтэн байдал зөрчигдсөн гэсэн үг бөгөөд үүний тулд нэмэлт шалгалт хийх, жишээлбэл, вирусын гарын үсгийг сканнердах гэх мэт. Энэ арга нь гарын үсгийг сканнердах аргаас илүү хурдан ажилладаг, учир нь хяналтын нийлбэрийг тооцоолох нь вирусын хэсгүүдийг байт-байтаар харьцуулах үйл ажиллагаанаас бага тооцоо шаарддаг бөгөөд үүнээс гадна аливаа, түүний дотор үл мэдэгдэх вирусын үйл ажиллагааны ул мөрийг илрүүлэх боломжийг олгодог. мэдээллийн санд хараахан гарын үсэг байхгүй байна.

Сэжигтэй командуудыг сканнердах арга(эвристик сканнердах, эвристик арга) нь сканнердсан файлд тодорхой тооны сэжигтэй командууд ба (эсвэл) сэжигтэй дарааллын шинж тэмдгүүдийг тодорхойлоход суурилдаг (жишээлбэл, хатуу дискийг форматлах тушаал эсвэл шахах функцийг ажиллаж байгаа эсвэл гүйцэтгэх боломжтой процесст оруулах). ). Үүний дараа файлын хортой шинж чанарын талаар таамаглаж, түүнийг шалгах нэмэлт арга хэмжээ авдаг. Энэ арга нь хурдан боловч ихэнхдээ шинэ вирус илрүүлэх боломжгүй байдаг.

Програмын үйл ажиллагааг хянах аргаӨмнө дурдсан файлын агуулгыг сканнердах аргуудаас үндсэндээ ялгаатай. Энэ арга нь гэмт хэрэгтэнг хэргийн газар "гараас" барихтай харьцуулж болохуйц програмуудыг ажиллуулж буй зан төлөвт дүн шинжилгээ хийхэд суурилдаг. Энэ төрлийн вирусны эсрэг хэрэгслүүд нь системийн олон тооны сэрэмжлүүлгийн хариуд шийдвэр гаргахын тулд хэрэглэгчийн идэвхтэй оролцоог шаарддаг бөгөөд ихэнх нь хожим нь хуурамч дохиолол болж хувирдаг. Хуурамч эерэг үр дүнгийн давтамж (хоргүй файлыг вирус гэж сэжиглэх эсвэл хортой файл байхгүй байх) тодорхой босгоос давсан нь энэ аргыг үр дүнгүй болгож, хэрэглэгч анхааруулгад хариу өгөхөө болих эсвэл өөдрөг стратеги сонгох боломжтой (бүх үйлдлийг бүх ажиллаж байгаа програмуудад зөвшөөрөх эсвэл энэ вирусны эсрэг функцийг идэвхгүй болгох). Програмын үйл ажиллагаанд дүн шинжилгээ хийдэг вирусны эсрэг системийг ашиглах үед хамгаалагдсан компьютер эсвэл сүлжээнд гэмтэл учруулж болзошгүй вирусын командуудыг гүйцэтгэх эрсдэл үргэлж байдаг. Энэхүү сул талыг арилгахын тулд эмуляц (симуляци) аргыг хожим боловсруулсан бөгөөд энэ нь ихэвчлэн хамгаалагдсан хязгаарлагдмал орчин гэж нэрлэгддэг зохиомлоор үүсгэгдсэн (виртуал) орчинд мэдээллийн орчныг гэмтээх эрсдэлгүйгээр туршилтын программыг ажиллуулах боломжийг олгодог. Програмын зан төлөвт дүн шинжилгээ хийх аргуудыг ашиглах нь мэдэгдэж байгаа болон үл мэдэгдэх хортой програмыг илрүүлэх өндөр үр дүнтэй болохыг харуулж байна.

Хуурамч антивирусууд [ | ]

2009 онд хуурамч вирусны эсрэг идэвхтэй тархалт эхэлсэн [ ] - вирусны эсрэг биш (өөрөөр хэлбэл хортой програмыг эсэргүүцэх бодит функцгүй) програм хангамж. Үнэн хэрэгтээ, хуурамч вирусны эсрэг програмууд нь хэрэглэгчдийг хууран мэхлэх, "вирусын системийг эмчлэх" төлбөр хэлбэрээр ашиг олох програм эсвэл энгийн хортой програм хангамж байж болно.

Тусгай антивирусууд[ | ]

Олон улсын хүний ​​эрхийн Эмнести Интернэшнл байгууллага 2014 оны арваннэгдүгээр сард иргэний идэвхтнүүд болон улс төрийн өрсөлдөгчдийг тагнаж чагнахын тулд төрийн байгууллагуудаас тараасан хортой программыг илрүүлэх зорилготой Detect хэмээх вирусын эсрэг программыг гаргасан. Бүтээгчдийн үзэж байгаагаар антивирус нь ердийн вирусны эсрэг програмаас илүү хатуу дискийг илүү гүнзгий хайдаг.

Вирусны эсрэг үр дүнтэй[ | ]

Хакерын тагнуулын санаачилгын нэг хэсэг болох Imperva аналитик компани ихэнх антивирусын бодит нөхцөлд бага үр дүнтэй болохыг харуулсан сонирхолтой судалгааг нийтэлжээ.

Төрөл бүрийн синтетик туршилтуудын үр дүнгээс үзэхэд вирусны эсрэг програмууд дунджаар 97% орчим үр дүнтэй байдаг боловч эдгээр туршилтыг олон зуун мянган дээж бүхий мэдээллийн сан дээр хийдэг бөгөөд тэдгээрийн дийлэнх нь (магадгүй 97%) нь ашиглахаа больсон. дайралт хийх.

Асуулт бол хамгийн сүүлийн үеийн аюул заналхийллийн эсрэг вирусны эсрэг програмууд хэр үр дүнтэй байдаг вэ? Энэ асуултад хариулахын тулд Имперва болон Тель-Авивын их сургуулийн оюутнууд Оросын газар доорх форумаас хамгийн сүүлийн үеийн хортой програмын 82 дээжийг авч, VirusTotal буюу 42 вирусны эсрэг хөдөлгүүрийн эсрэг туршиж үзсэн. Үр дүн нь аймшигтай байсан.

1. Шинээр эмхэтгэсэн хортой програмын эсрэг вирусны эсрэг програмын үр нөлөө 5% -иас бага байв. Вирус бүтээгчид үүнийг үргэлж VirusTotal мэдээллийн санд туршиж үздэг тул энэ нь бүрэн логик үр дүн юм.
2. Вирус гарч ирснээс хойш вирусны эсрэг вирус танигдаж эхлэх хүртэл дөрвөн долоо хоног зарцуулдаг. Энэ үзүүлэлтийг "элит" антивирусууд гүйцэтгэдэг бол бусад антивирусын хувьд энэ хугацаа 9-12 сар хүрдэг. Жишээлбэл, 2012 оны 2-р сарын 9-нд судалгааны эхэнд хуурамч Google Chrome суулгагчийн шинэ дээжийг туршиж үзсэн. 2012 оны 11-р сарын 17-ны өдөр судалгаа дууссаны дараа 42 антивирусын ердөө 23 нь л илрүүлсэн байна.
3. Хортой програмыг илрүүлэх хамгийн өндөр хувьтай вирусны эсрэг програмууд нь хуурамч эерэг үзүүлэлттэй байдаг.
4. Хэдийгээр энэ судалгааг бодитой гэж нэрлэх боломжгүй ч хортой програмын түүврийн хэмжээ хэтэрхий бага байсан ч вирусны эсрэг програмууд шинэ кибер аюул заналхийллийн эсрэг бүрэн тохиромжгүй гэж үзэж болно.

Вирусны эсрэг программуудын ангилал[ | ]

Вирусны эсрэг программуудыг гүйцэтгэлээр нь (хаах хэрэгсэл) дараахь байдлаар хуваадаг.

• програм хангамж;
• програм хангамж, техник хангамж.

RAM-д байршуулалтаас хамааран дараахь зүйлийг ялгадаг.

• оршин суугч (үйлдлийн систем эхлэхэд тэд ажиллаж эхэлдэг, компьютерийн санах ойд байнга байдаг бөгөөд файлуудыг автоматаар скан хийдэг);
• оршин суугч бус (хэрэглэгчийн хүсэлтээр эсвэл тэдэнд заасан хуваарийн дагуу эхлүүлсэн).

Вирусаас хамгаалах төрөл (арга) дагуу тэдгээрийг дараахь байдлаар ялгадаг.

ОХУ-ын FSTEC-ийн зохицуулалтын эрх зүйн актад заасны дагуу "Төрийн нууцыг бүрдүүлсэн мэдээллийг хамгаалахад ашигладаг эсвэл ОХУ-ын хууль тогтоомжийн дагуу хамгаалагдсан бусад хязгаарлагдмал мэдээлэлд хамаарах бүтээгдэхүүнд тавигдах техникийн зохицуулалтын чиглэлээр тавигдах шаардлага (шаардлага). вирусын эсрэг хамгаалах хэрэгсэл)" (ОХУ-ын FSTEC-ийн 2012 оны 3-р сарын 20-ны өдрийн 28 тоот тушаалаар батлагдсан) вирусын эсрэг хамгаалах дараахь төрлүүдийг ялгаж үздэг.

• "А" төрөл - мэдээллийн системийн бүрэлдэхүүн хэсгүүд (серверүүд, автоматжуулсан ажлын станцууд) дээр суулгасан вирусын эсрэг хамгаалах хэрэгслийг төвлөрсөн удирдлагад зориулсан вирусын эсрэг хамгаалах хэрэгсэл (вирусын эсрэг хамгаалах хэрэгслийн бүрэлдэхүүн хэсэг);
• "B" төрөл - мэдээллийн системийн сервер дээр ашиглах зориулалттай вирусын эсрэг хамгаалах хэрэгсэл (вирусын эсрэг хамгаалах хэрэгслийн бүрэлдэхүүн хэсэг);
• "B" төрөл - мэдээллийн системийн автоматжуулсан ажлын станцуудад ашиглах зориулалттай вирусын эсрэг хамгаалах хэрэгсэл (вирусын эсрэг хамгаалах хэрэгслийн бүрэлдэхүүн хэсэг);
• "G" төрөл - бие даасан автомат ажлын станцуудад ашиглах зориулалттай вирусын эсрэг хамгаалах хэрэгсэл (вирусын эсрэг хамгаалах хэрэгслийн бүрэлдэхүүн хэсэг).

"А" төрлийн вирусын эсрэг хамгаалах хэрэгслийг мэдээллийн системд бие даан ашигладаггүй бөгөөд зөвхөн "В" ба (эсвэл) "С" төрлийн вирусын эсрэг хамгаалах хэрэгсэлтэй хамт ашиглахад зориулагдсан.

"Бот" гэдэг үг нь "робот" гэсэн үгийн товчлол юм. Бот нь энэ кодын зохиогч болох эзэмшигчийнхээ зарим функцийг гүйцэтгэдэг кодын хэсэг юм. Ботууд (bot) нь олон мянган компьютер дээр суулгасан хортой програм юм. Бот суулгасан компьютерийг дууддаг зомби(зомби). Бот нь эзэмшигчийнхээ тушаалыг хүлээн авч, халдвар авсан компьютерийг түүнийг гүйцэтгэхийг албаддаг. Ийм командууд нь спам, вирус илгээх эсвэл халдлага хийх байж болно. Халдагчид ийм үйлдлийг өөрийн компьютер гэхээсээ илүү робот ашиглан хийхийг илүүд үздэг, учир нь энэ нь түүнийг илрүүлэх, танихаас зайлсхийх боломжийг олгодог.

Халдагчийн халдлагад өртсөн, робот суулгасан зомби компьютеруудын багцыг нэрлэдэг ботнет (ботнет). Ботнет үүсгэхийн тулд хакерууд мянга мянган системд нэвтэрч, хортой кодыг янз бүрийн аргаар илгээдэг: имэйлийн хавсралт, нууцлагдсан вэбсайтуудаар дамжуулан, хортой сайтуудын холбоосыг имэйл мессежийн хавсралт болгон илгээх гэх мэт. Хэрэглэгчийн компьютерт амжилттай суулгасан бол уг хортой код нь халдагч руу систем хакердагдсан гэсэн мессежийг илгээж, халдагч үүнийг хүссэн үедээ ашиглах боломжтой болсон. Жишээлбэл, тэр бий болгосон ботнетийг ашиглан хүчирхэг халдлага хийх эсвэл спам илгээгчдэд түрээслэх боломжтой. Үүнээс гадна ботнетэд багтсан ихэнх компьютерууд нь сэжиггүй хэрэглэгчдийн гэрийн компьютерууд юм.

Энэхүү ботнетийн эзэмшигч нь ихэвчлэн IRC (Internet Relay Chat) протоколоор дамжуулан түүнд багтсан системүүдийг алсаас удирддаг.

Ботнет үүсгэх, ашиглах үндсэн алхмуудыг доор өгөв.

1. Хакер нь ботын программ хангамж агуулсан хорлонтой кодыг хохирогчдод илгээхийн тулд янз бүрийн аргыг ашигладаг.
2. Хохирогчийн системд амжилттай суулгасны дараа бот нь кодын дагуу IRC эсвэл тусгай вэб серверээр дамжуулан ботнетийн хяналтын сервертэй холбоо тогтооно. Үүний дараа хяналтын сервер шинэ роботын хяналтыг авна.
3. Спам илгээгч нь өөрийн ботнетийн системийг ашигласны төлөө хакерт мөнгө төлж, хакер нь хяналтын сервер рүү зохих тушаалуудыг илгээдэг бөгөөд хяналтын сервер нь эргээд ботнетэд орсон бүх халдвартай системд спам илгээхийг зааварчилдаг.

Спам илгээгчид энэ аргыг ашигладаг, учир нь энэ нь тэдний суулгасан спам шүүлтүүрийг алгасаж, тэдний мессеж хүлээн авагчдад хүрэх магадлалыг ихээхэн нэмэгдүүлдэг. Ийм мессежийг хурдан хаах эсвэл бүх "хар жагсаалтад" оруулах нэг хаягаас биш, харин хакердсан компьютер эзэмшигчдийн олон бодит хаягаас илгээх болно.

Ботнет үүсгэхийн тулд түүний ирээдүйн эзэн бүх зүйлийг өөрөө хийдэг эсвэл хакеруудад төлбөр төлж, түүний ботнетийн нэг хэсэг болох системийг халдварлуулах хортой програм боловсруулж, түгээдэг. Дараа нь ботнетийн эзэнтэй холбоо барьж, шинэ бүтээгдэхүүнийхээ талаар танд хэлэхийг хүссэн хүмүүс, мөн өрсөлдөгчид рүү халдах, хувийн мэдээлэл эсвэл хэрэглэгчийн нууц үгийг хулгайлах шаардлагатай хүмүүс болон бусад олон хүмүүс холбогдож, төлбөр төлөх болно.

Уламжлалт вирусны эсрэг программ нь хортой кодыг илрүүлэхийн тулд гарын үсэг ашигладаг. Гарын үсэг нь вирусны эсрэг программ хангамж үйлдвэрлэгчийн үүсгэсэн хортой кодын хурууны хээ юм. Гарын үсэг нь вирусаас гаргаж авсан кодын хэсгүүд юм. Вирусны эсрэг програм нь тодорхой системээр дамждаг файл, имэйл болон бусад өгөгдлийг сканнердаж, вирусын гарын үсгийн мэдээллийн сантай харьцуулдаг. Тохиролт илэрсэн үед вирусны эсрэг програм нь урьдчилан тохируулсан үйлдлийг гүйцэтгэдэг бөгөөд энэ нь халдвар авсан файлыг хорио цээрийн дэглэмд илгээх, файлыг "эмчлэх" оролдлого (вирусыг устгах), хэрэглэгчдэд анхааруулах цонх харуулах ба/эсвэл дахь үйл явдлын бичлэг.

Гарын үсэгт суурилсан хортой кодыг илрүүлэх Энэ нь хортой програмыг илрүүлэх үр дүнтэй арга боловч шинэ аюулд хариу үйлдэл үзүүлэхэд тодорхой саатал гардаг. Вирусыг анх илрүүлсний дараа вирусны эсрэг үйлдвэрлэгч вирусыг судалж, шинэ гарын үсэг боловсруулж, турших, гарын үсгийн мэдээллийн санд шинэчлэлт гаргах, бүх хэрэглэгчид шинэчлэлтийг татаж авах ёстой. Хэрэв хортой код таны зургийг бүх найзууд руугаа илгээж байгаа бол энэ саатал тийм ч чухал биш юм. Гэсэн хэдий ч, хэрэв хортой програм нь Slammer өттэй төстэй бол ийм саатал нь сүйрэлд хүргэж болзошгүй юм.

ЖИЧ. Slammer өт 2003 онд гарч ирсэн. Тэрээр Microsoft SQL Server 2000 DBMS-ийн сул талыг ашигласан бөгөөд энэ нь түүнд үйлчилгээ үзүүлэхээс татгалзах боломжийг олгосон. Зарим тооцоогоор Слэммер нэг тэрбум гаруй долларын хохирол учруулсан.

Өдөр бүр шинэ хортой програмууд бий болж байгаа тул вирусны эсрэг програм хангамж үйлдвэрлэгчид үүнийг дагаж мөрдөхөд хэцүү байдаг. Вирусын гарын үсгийн технологи нь аль хэдийн тодорхойлогдсон, гарын үсэг үүсгэсэн вирусыг илрүүлэх боломжийг олгодог. Гэхдээ вирус зохиогчид маш үр дүнтэй бөгөөд олон вирус кодыг нь өөрчилж чаддаг тул вирусны эсрэг программ нь хортой кодыг илрүүлэх өөр механизмтай байх нь чухал юм.

Бараг бүх вирусны эсрэг программ хангамжийн бүтээгдэхүүнд ашигладаг өөр нэг арга бол хортой кодыг илрүүлэх явдал юм эвристик шинжилгээ (эвристик илрүүлэх). Энэ арга нь хорлонтой кодын ерөнхий бүтцэд дүн шинжилгээ хийж, кодоор гүйцэтгэсэн заавар, алгоритмыг үнэлж, хортой програмын ашигладаг өгөгдлийн төрлийг судалдаг. Тиймээс энэ нь кодын талаар их хэмжээний мэдээлэл цуглуулж, хор хөнөөлтэй байх магадлалыг үнэлдэг. Энэ нь нэг төрлийн "сэжигтэй байдлын тоолуур" ашигладаг бөгөөд энэ нь вирусны эсрэг програм нь шинэ аюултай (сэжигтэй) шинж чанаруудыг олох тусам нэмэгддэг. Урьдчилан тогтоосон босго хэмжээнд хүрсэн тохиолдолд кодыг аюултай гэж үзэж, вирусны эсрэг програм нь хамгаалалтын зохих механизмыг эхлүүлдэг. Энэ нь вирусны эсрэг программ хангамжийг зөвхөн гарын үсэг дээр найдахын оронд үл мэдэгдэх хортой программыг таних боломжийг олгодог.

Дараах аналогийг авч үзье. Иван бол цагдаа, тэр муу хүмүүсийг барьж, түгжихийн тулд ажилладаг. Хэрэв Иван гарын үсгийн аргыг ашиглах гэж байгаа бол гудамжинд харсан хүн бүрийн гэрэл зургийг харьцуулж үздэг. Шүдэнз хараад тэр муу залууг хурдан барьж аваад эргүүлийн машиндаа суулгадаг. Хэрэв тэр эвристик аргыг ашиглах гэж байгаа бол сэжигтэй үйлдлийг ажигладаг. Жишээлбэл, цанын баг өмссөн хүн банкны өмнө зогсож байхыг харвал банкны үйлчлүүлэгчдээс мөнгө гуйж байгаа хүйтэн хүн биш харин дээрэмчин байх магадлалыг үнэлдэг.

ЖИЧ. Дискгүй ажлын станцууд нь хатуу диск, бүрэн хэмжээний үйлдлийн системгүй ч вируст өртөмтгий байдаг. Тэд татаж аваад санах ойд амьдардаг вирусээр халдварласан байж магадгүй. Ийм системийг алсаас дахин ачаалж (алсын дахин ачаалах) санах ойг цэвэрлэж, анхны байдалд нь буцаах боломжтой, өөрөөр хэлбэл. вирус ийм системд богино хугацаанд амьдардаг.

Зарим вирусны эсрэг бүтээгдэхүүн нь виртуал машин эсвэл хамгаалагдсан хязгаарлагдмал орчин гэж нэрлэгддэг хиймэл орчинг бий болгож, зарим сэжигтэй кодыг хамгаалагдсан орчинд ажиллуулах боломжийг олгодог. Энэ нь вирусны эсрэг програмд ​​кодыг хэрхэн ажиллаж байгааг харах боломжийг олгодог бөгөөд энэ нь хортой эсэхийг шийдэхэд илүү их мэдээлэл өгдөг.

ЖИЧ. Заримдаа виртуал машин эсвэл хамгаалагдсан хязгаарлагдмал орчин гэж нэрлэдэг эмуляцийн буфер(эмуляцийн буфер). Энэ нь хамгаалагдсан санах ойн сегменттэй адил тул код нь хортой болж хувирсан ч систем аюулгүй хэвээр байх болно.

Кодын тухай мэдээлэлд дүн шинжилгээ хийхийг нэрлэдэг статик шинжилгээ , хэрэв та виртуал машин дээр кодын хэсэг ажиллуулж байгаа бол үүнийг нэрлэдэг динамик шинжилгээ . Эдгээр хоёр аргыг эвристик илрүүлэх аргууд гэж үздэг.

Вакцинжуулалт.Зарим вирусны эсрэг программуудын ашигладаг өөр нэг арга гэж нэрлэдэг вакцинжуулалт(дархлаажуулалт). Энэ функцтэй бүтээгдэхүүнүүд файлууд болон дискний хэсгүүдийг аль хэдийн халдвар авсан мэт харагдуулахын тулд өөрчлөлт хийсэн. Энэ тохиолдолд вирус нь файл (диск) аль хэдийн халдварлагдсан гэж шийдэж, нэмэлт өөрчлөлт оруулахгүй бөгөөд дараагийн файл руу шилжинэ.

Вакцинжуулалтын хөтөлбөр нь дүрмээр бол тодорхой вирус руу чиглэгддэг, учир нь тус бүр нь халдварын баримтыг өөр өөрөөр шалгаж, файлаас (диск дээрх) өөр өөр өгөгдөл (гарын үсэг) хайж байдаг. Гэсэн хэдий ч вирус болон бусад хортой програм хангамжийн тоо байнга өссөөр байгаа бөгөөд хамгаалах шаардлагатай файлуудын тоо нэмэгдсээр байгаа тул энэ арга нь одоогоор ихэнх тохиолдолд практик биш бөгөөд вирусны эсрэг үйлдвэрлэгчид үүнийг ашиглахаа больсон.

Одоогоор эдгээр бүх боловсронгуй, үр дүнтэй арга барилтай байсан ч вирусны эсрэг хэрэгслийн үр дүнтэй байдлын үнэмлэхүй баталгаа байхгүй, учир нь вирус зохиогчид маш зальтай байдаг. Энэ бол өдөр бүр үргэлжилдэг муур хулгана тоглоом юм. Вирусны эсрэг салбар нь хортой програмыг илрүүлэх шинэ аргыг хайж байгаа бөгөөд ирэх долоо хоногт вирус зохиогчид энэ шинэ аргыг тойрон гарах арга замыг хайж байна. Энэ нь вирусны эсрэг үйлдвэрлэгчдийг бүтээгдэхүүнийхээ оюун ухааныг байнга нэмэгдүүлэхийг шаарддаг бөгөөд хэрэглэгчид жил бүр тэдний шинэ хувилбарыг худалдан авах шаардлагатай болдог.

Вирусны эсрэг програм хангамжийн хувьслын дараагийн үе шат гэж нэрлэдэг зан үйлийн хориглогч (зан үйлийг хориглогч). Зан төлөвийг блоклодог вирусны эсрэг программ хангамж нь үндсэндээ сэжигтэй кодыг хамгаалалтгүй үйлдлийн систем дээр ажиллуулж, үйлдлийн системтэй харьцах үйлдлийг нь хянаж, сэжигтэй үйлдэлд анхаарлаа хандуулдаг. Тодруулбал, вирусны эсрэг программ хангамж нь дараах төрлийн үйл ажиллагааг хянадаг.

• Системийг эхлүүлэх үед автоматаар ачаалагддаг файлууд эсвэл системийн бүртгэл дэх эхлүүлэх хэсгүүдэд бичих.
• Файл нээх, устгах, өөрчлөх
• Гүйцэтгэх кодыг илгээх скриптүүдийг имэйлд оруулах
• Сүлжээний нөөц эсвэл хуваалцсан фолдеруудтай холбогдож байна
• Гүйцэтгэх кодын логикийг өөрчлөх
• Макро болон скрипт үүсгэх эсвэл өөрчлөх
• Хатуу дискийг форматлах эсвэл ачаалах хэсэгт бичих

Хэрэв вирусны эсрэг програм эдгээр болзошгүй аюултай үйлдлүүдийн заримыг илрүүлбэл програмыг зогсоож, хэрэглэгчдэд мэдэгдэнэ. Шинэ үеийн зан үйлийг хориглогч нь системийг халдвартай гэж шийдэхээсээ өмнө ийм үйлдлийн дарааллыг үнэн хэрэгтээ дүн шинжилгээ хийдэг (эхний үеийн зан үйлийг хориглогч нь хувь хүний ​​үйлдлийг зүгээр л өдөөдөг байсан бөгөөд энэ нь олон тооны хуурамч эерэг үр дүнд хүргэсэн). Орчин үеийн вирусны эсрэг программ хангамж нь аюултай кодын гүйцэтгэлийг таслан зогсоож, бусад ажиллаж байгаа процессуудтай харилцахаас сэргийлж чаддаг. Тэд мөн илрүүлж чадна. Эдгээр вирусны эсрэг програмуудын зарим нь системийг халдвар авахаас өмнөх төлөв рүү буцаах, хортой кодоор хийсэн бүх өөрчлөлтийг "арилгах" боломжийг олгодог.

Зан үйлийн хориглогч нь хортой кодтой холбоотой бүх асуудлыг бүрэн шийдэж чаддаг юм шиг санагддаг, гэхдээ тэдгээр нь нэг сул талтай бөгөөд энэ нь хортой кодыг бодит цаг хугацаанд хянах шаардлагатай байдаг, эс тэгвээс систем халдвар авсан хэвээр байж магадгүй юм. Түүнчлэн байнгын хяналт тавихад системийн нөөц их шаардагддаг...

ЖИЧ. Хевристик шинжилгээ болон зан төлөвт суурилсан блоклох нь идэвхтэй арга техник гэж тооцогддог бөгөөд заримдаа тэг өдрийн халдлага гэж нэрлэгддэг шинэ хортой програмыг илрүүлж чаддаг. Гарын үсэгт суурилсан хортой програм илрүүлэх нь шинэ хортой программыг тодорхойлох боломжгүй.

Ихэнх вирусны эсрэг програмууд нь хамгийн сайн хамгаалалтыг хангахын тулд эдгээр бүх технологийг хослуулан ашигладаг. Хортой програмын эсрэг сонгосон шийдлүүдийг Зураг 9-20-д үзүүлэв.

Зураг 9-20.Вирусны эсрэг програм хангамж үйлдвэрлэгчид хортой кодыг илрүүлэхийн тулд янз бүрийн арга хэрэглэдэг

Бид бүгд бидэнд хэрэггүй зүйл худалдаж авахыг хүссэн имэйлээс маш залхаж байна. Ийм үсэг гэж нэрлэдэг спам (спам) нь хүсээгүй имэйл мессежүүд юм. Спам нь хүлээн авагчдыг бизнесээс нь сатааруулаад зогсохгүй сүлжээний зурвасын өргөнийг их хэмжээгээр зарцуулж, хортой програмын эх үүсвэр болдог. Олон компаниуд имэйл сервер дээрээ спам шүүлтүүрийг ашигладаг бөгөөд хэрэглэгчид өөрсдийн имэйл үйлчлүүлэгчид спам шүүлтүүрийн дүрмийг тохируулах боломжтой. Гэхдээ спам илгээгчид, түүнчлэн вирус зохиогчид спам шүүлтүүрийг тойрч гарах шинэ, ухаалаг аргуудыг байнга гаргаж ирдэг.

Үр дүнтэй спам илрүүлэх нь жинхэнэ шинжлэх ухаан болсон. Ашигласан аргуудын нэг нь гэж нэрлэгддэг Bayesian шүүлтүүр (Байесын шүүлтүүр). Олон жилийн өмнө Томас Бэйс (математикч) хэмээх эрхэм математикийн тусламжтайгаар аливаа үйл явдал болох магадлалыг урьдчилан таамаглах үр дүнтэй аргыг боловсруулжээ. Байесийн теорем нь буруу байж болох шууд бус нотлох баримт (өгөгдөл) байгаа тохиолдолд үйл явдал болсон байх магадлалыг тодорхойлох боломжийг олгодог. Үзэл баримтлалын хувьд үүнийг ойлгоход тийм ч хэцүү биш юм. Хэрэв та тоосгон хананд толгойгоо гурван удаа цохиж, унасан бол цаашдын оролдлого нь ижил зовлонтой үр дүнд хүргэнэ гэж дүгнэж болно. Энэ логикийг өөр олон хувьсагч агуулсан үйлдэлд хэрэглэх нь илүү сонирхолтой юм. Жишээлбэл, танаас Виагра худалдаж авах санал ирүүлсэн захидал хүлээн авахыг зөвшөөрдөггүй, харин энэ эмийг маш их сонирхож буй найзаас тань шуудан хүргэхэд саад болохгүй, түүний шинж чанар, үр нөлөөний талаар мессеж бичдэг спам шүүлтүүр хэрхэн ажилладаг вэ? бие дээр? Bayes шүүлтүүр нь имэйл мессежийг бүрдүүлдэг үгсэд статистик загварчлалыг ашигладаг. Эдгээр үгсийн харилцан хамаарлыг бүрэн ойлгохын тулд математикийн томъёог гүйцэтгэдэг. Bayes шүүлтүүр нь үг бүр дээр давтамжийн шинжилгээ хийж, дараа нь мессежийг бүхэлд нь үнэлж, энэ нь спам эсэхийг тодорхойлдог.

Энэхүү шүүлтүүр нь зөвхөн "Виагра", "секс" гэх мэт үгсийг хайх биш, тэдгээр үгсийг хэр олон удаа ашигладаг, ямар дарааллаар мессеж спам эсэхийг тодорхойлох боломжийг олгодог. Харамсалтай нь спам илгээгчид эдгээр шүүлтүүрүүд хэрхэн ажилладгийг мэддэг бөгөөд спам шүүлтүүрийг хууран мэхлэхийн тулд мессежийн гарчиг болон үндсэн хэсэгт байгаа үгсийг өөрчилдөг. Ийм учраас та үсгийн оронд тэмдэгт ашигласан үг, үсгийн алдаатай спам мессеж хүлээн авах боломжтой. Спам илгээгчид таны мессежийг хүлээн авахыг маш их сонирхож байна, учир нь тэд маш их мөнгө олдог.

Компаниудыг олон төрлийн хортой програмаас хамгаалах нь зөвхөн вирусны эсрэг программ хангамжаас илүү зүйлийг шаарддаг. Бусад бүрэлдэхүүн хэсгүүдийн нэгэн адил захиргааны, биет болон техникийн тодорхой нэмэлт хамгаалалтуудыг хэрэгжүүлэх, хадгалах шаардлагатай.

Компани нь тусдаа вирусын эсрэг бодлоготой байх ёстой, эсвэл вирусын эсрэг хамгаалах асуудлыг ерөнхийд нь авч үзэх ёстой. Компанид ашиглахад шаардлагатай вирусны эсрэг болон тагнуулын эсрэг программ хангамжийн төрлүүд, тэдгээрийн тохиргооны үндсэн параметрүүдийг тодорхойлсон байх ёстой.

Вирусын халдлага, ашигласан вирусын эсрэг хамгаалах хэрэгсэл, мөн хэрэглэгчээс хүлээж буй зан үйлийн талаарх мэдээллийг программд оруулсан байх ёстой. Хэрэглэгч бүр компьютерт нь вирус илэрсэн тохиолдолд юу хийх, хаана хандахаа мэддэг байх ёстой. Стандарт нь хортой кодтой холбоотой хэрэглэгчийн үйлдэлтэй холбоотой бүх асуудлыг шийдвэрлэх ёстой бөгөөд хэрэглэгч юу хийх ёстой, юу хийхийг хориглохыг зааж өгөх ёстой. Ялангуяа стандарт нь дараахь асуултуудыг агуулсан байх ёстой.

• Вирусны эсрэг программ хангамжийг ажлын станц, сервер, коммуникатор, ухаалаг утас бүрт суулгасан байх ёстой.
• Эдгээр төхөөрөмж бүр нь вирусны эсрэг гарын үсгийг автоматаар шинэчлэх аргатай байх ёстой бөгөөд үүнийг төхөөрөмж бүр дээр идэвхжүүлж, тохируулсан байх ёстой.
• Хэрэглэгч вирусны эсрэг программ хангамжийг идэвхгүй болгох боломжгүй байх ёстой.
• Вирусыг устгах үйл явцыг урьдчилан боловсруулж, төлөвлөх ёстой бөгөөд хортой код илэрсэн тохиолдолд холбоо барих хүнийг тодорхойлж, томилох ёстой.
• Бүх гадаад хөтчүүдийг (USB хөтчүүд гэх мэт) автоматаар сканнердах ёстой.
• Нөөц файлуудыг сканнердсан байх ёстой.
• Вирусны эсрэг бодлого, журмыг жил бүр хянаж байх ёстой.
• Таны ашигладаг вирусны эсрэг програм хангамж нь ачаалах вирусээс хамгаалах ёстой.
• Вирусны эсрэг хайлтыг гарц болон төхөөрөмж бүр дээр бие даан хийх ёстой.
• Вирусын эсрэг сканнер нь хуваарийн дагуу автоматаар ажиллах ёстой. Сканнерыг гараар ажиллуулахын тулд та хэрэглэгчдэд найдах шаардлагагүй.
• Чухал системүүд нь бие махбодийн хувьд хамгаалагдсан байх ёстой бөгөөд ингэснээр тэдгээрт хортой програм хангамжийг орон нутагт суулгах боломжгүй болно.

Хортой програм нь олон сая долларын хохирол учруулдаг (үйл ажиллагааны зардал, бүтээмж алдагдах) учир олон компаниуд сүлжээний бүх нэвтрэх цэгүүдэд вирусны эсрэг шийдлүүдийг суулгадаг. Вирусны эсрэг сканнерыг шуудангийн серверийн програм хангамжид нэгтгэж болно, эсвэл . Ийм вирусны эсрэг сканнер нь бүх ирж буй траффикийг дотоод сүлжээнд хүрэхээс өмнө илрүүлж, зогсоохын тулд хортой код байгаа эсэхийг шалгадаг. Энэ функцийг хэрэгжүүлдэг бүтээгдэхүүнүүд нь SMTP, HTTP, FTP болон бусад протоколуудаас траффикийг сканнердах боломжтой. Гэхдээ ийм бүтээгдэхүүн нь зөвхөн нэг эсвэл хоёр протоколыг хянадаг бөгөөд бүх ирж буй урсгалыг биш гэдгийг ойлгох нь чухал юм. Энэ нь сервер болон ажлын станц бүрт вирусны эсрэг программ суулгасан байх ёстой шалтгаануудын нэг юм.

ОХУ-ын Эрүүгийн хуулийн 273 дугаар зүйлд зааснаар хортой програм"Мэдээллээр зөвшөөрөлгүй устгах, хаах, мэдээллийг өөрчлөх, хуулах, компьютер, компьютерийн систем, тэдгээрийн сүлжээний үйл ажиллагааг тасалдуулахад хүргэсэн" компьютерийн программууд эсвэл одоо байгаа програмын өөрчлөлтийг хэлнэ.

Майкрософт Корпораци нь хортой програм гэсэн нэр томъёог ашигладаг бөгөөд үүнийг дараах байдлаар тодорхойлдог: "Хорлонтой програм гэдэг нь ихэвчлэн компьютер, сервер, компьютерийн сүлжээнд гэмтэл учруулах зорилгоор тусгайлан боловсруулсан аливаа програм хангамжийг нэрлэх нийтлэг нэр томъёо болгон ашигладаг хортой програм хангамжийн товчлол юм. Энэ нь вирус, тагнуул гэх мэт эсэхээс үл хамааран.

Ийм програм хангамжийн учирсан хохирол нь дараахь зүйлийг агуулж болно.

• халдагчийн халдлагад өртсөн компьютерийн (сүлжээний) програм хангамж, техник хангамж;
• компьютерийн хэрэглэгчийн өгөгдөл;
• компьютерийн хэрэглэгч өөрөө (шууд бус);
• бусад компьютерийн хэрэглэгчид (шууд бусаар).

Компьютерийн систем, сүлжээний хэрэглэгчид болон (эсвэл) эзэмшигчдэд учирсан тодорхой хохирол нь дараахь зүйлийг агуулж болно.

• үнэ цэнэтэй мэдээлэл (санхүүгийн мэдээллийг оруулаад) алдагдсан ба (эсвэл) алдагдсан;
• системд суулгасан програм хангамжийн хэвийн бус үйлдэл;
• орж ирж буй болон (эсвэл) гарах урсгалын огцом өсөлт;
• компьютерийн сүлжээний удаашрал эсвэл бүрэн доголдол;
• байгууллагын ажилчдын ажлын цаг алдагдсан;
• гэмт хэрэгтэн корпорацийн компьютерийн сүлжээний нөөцөд нэвтрэх;
• залилангийн хохирогч болох эрсдэлтэй.

Хортой програмын шинж тэмдгүүд нь дараахь зүйлийг агуулдаг.

• компьютерийн системд байгаа гэдгээ нуух;
• Өөрийгөө хуулбарлах, кодыг бусад програмуудтай холбох, кодыг компьютерийн санах ойн өмнө нь ашиглагдаагүй хэсгүүдэд шилжүүлэх;
• компьютерийн RAM дахь бусад програмын кодыг гажуудуулах;
• компьютерийн санах ойн бусад хэсэгт бусад процессуудын RAM-аас өгөгдлийг хадгалах;
• бусад програмын үйл ажиллагааны үр дүнд олж авсан эсвэл компьютерийн гадаад санах ойд аль хэдийн байрлуулсан хадгалагдсан эсвэл дамжуулагдсан өгөгдлийг гажуудуулах, хаах, орлуулах;
• програмын гүйцэтгэсэн гэх үйлдлийн талаар хэрэглэгчдэд буруу мэдээлэл өгөх.

Хортой програм нь дээр дурдсан шинж чанаруудын зөвхөн нэг буюу тэдгээрийн хослолтой байж болно. Мэдээжийн хэрэг, дээрх жагсаалт нь бүрэн гүйцэд биш юм.

Материаллаг ашиг тусаас хамааран хортой програм хангамжийг (програм хангамж) дараахь байдлаар хувааж болно.

• хорлонтой хөтөлбөрийг боловсруулсан (суулгасан) хүнд материаллаг ашиг тусыг нь шууд авчрахгүй байх (танхайрах, "онигоо", сүйтгэх, тэр дундаа шашин шүтлэг, үндсэрхэг үзэл, улс төрийн үндэслэл, өөрийгөө батлах, мэргэшлээ баталгаажуулах хүсэлд үндэслэн боловсруулсан);
• Банкны үйлчлүүлэгчийн системд нэвтрэх, зээлийн картын PIN код болон хэрэглэгчийн бусад хувийн мэдээллийг олж авах, түүнчлэн алсын зайн компьютерийн системийг хянах зэрэг нууц мэдээллийг хулгайлах хэлбэрээр гэмт этгээдэд шууд эд материалын ашиг тус хүргэх. Олон тооны "халдвар авсан" компьютерээс (зомби компьютер) спам түгээх зорилго.

Хөгжлийн зорилгоос хамааран хортой програмыг дараахь байдлаар хувааж болно.

• Мэдээллийн эзэмшигч болон (эсвэл) компьютерийн (компьютерийн сүлжээ) эзэмшигчид хохирол учруулах зорилгоор компьютерт хадгалагдсан мэдээлэлд зөвшөөрөлгүй нэвтрэх зорилгоор анх тусгайлан боловсруулсан програм хангамж;
• Компьютер дээр хадгалагдсан мэдээлэлд зөвшөөрөлгүй нэвтрэх зорилгоор анхлан боловсруулагдаагүй, мэдээллийн эзэн болон (эсвэл) компьютерийн эзэмшигчид (компьютерийн сүлжээ) хохирол учруулахаар төлөвлөөгүй програм хангамж.

Сүүлийн үед хортой программ үүсгэх салбарыг гэмт хэрэгт тооцож, дараах үр дүнд хүргэсэн.

• нууц мэдээллийг хулгайлах (арилжааны нууц, хувийн мэдээлэл);
• спам илгээх зориулалттай зомби сүлжээг ("ботнет") бий болгох, үйлчилгээний халдлагаас татгалзах (DDoS халдлага) болон Трояны прокси серверүүдийг нэвтрүүлэх;
• дараачийн шантааж, золиослолын шаардлагын дагуу хэрэглэгчийн мэдээллийг шифрлэх;
• вирусны эсрэг бүтээгдэхүүн рүү халдлага;
• угаах гэж нэрлэгддэг (үйлчилгээний байнгын татгалзах - PDoS).

Үйлчилгээний халдлагыг үгүйсгэх нь одоо хохирогчдоос мөнгө авах хэрэгсэл биш, харин улс төрийн болон өрсөлдөөнт дайны хэрэгсэл болгон ашиглаж байна. Хэрэв өмнө нь DoS халдлага нь зөвхөн хулгайн хакерууд эсвэл хулигануудын гарт байдаг хэрэгсэл байсан бол одоо спам шуудан эсвэл захиалгат хортой програмтай ижил бүтээгдэхүүн болжээ. DoS халдлагын үйлчилгээг сурталчлах нь энгийн үзэгдэл болсон бөгөөд үнэ нь спам шуудангийн зохион байгуулалтын зардалтай аль хэдийн харьцуулагдах боломжтой болсон.

Компьютер, сүлжээний аюулгүй байдлын чиглэлээр мэргэшсэн компаниуд шинэ төрлийн аюул заналхийлэлд анхаарлаа хандуулж байна - байнгын үйлчилгээнээс татгалзах (ROoS). Шинэ төрлийн довтолгоо нь өөр нэр авсан - улайх. Энэ нь компьютерийн төхөөрөмжийг идэвхгүй болгоход чиглэгддэг тул бусад төрлийн сүлжээний хортой үйлдлээс илүү системд илүү их хор хөнөөл учруулж болзошгүй юм. RooB халдлага нь хакер хохирогчийн системд хортой програм суулгахыг оролддог уламжлалт халдлагаас илүү үр дүнтэй бөгөөд хямд байдаг. Анивчих үед халдлагын зорилго нь VUB флаш санах ойн программууд болон төхөөрөмжийн драйверууд бөгөөд тэдгээр нь гэмтсэн тохиолдолд төхөөрөмжийн ажиллагааг тасалдуулж, тэдгээрийг бие махбодийн хувьд устгах чадвартай байдаг.

Нууц мэдээллийг хулгайлах зорилготой халдлагын өөр нэг төрөл бол халдагчид компанийн мэдээллийн системд системийн ажиллагааг хааж болох хортой программыг нэвтрүүлэх явдал юм. Дараагийн шатанд халдлагад өртсөн компани гэмт хэрэгтнүүдээс компанийн компьютерийн системийн түгжээг тайлах нууц үг авахыг хүссэн захидал хүлээн авдаг. Онлайнаар хууль бусаар мөнгө олох өөр нэг ижил төстэй арга бол өгөгдлийг шифрлэх боломжтой Trojan программуудыг компьютер дээрээ ажиллуулах явдал юм. Шифрийг тайлах түлхүүрийг гэмт хэрэгтнүүд тодорхой мөнгөн шагналаар илгээдэг.

Халдлагад өртсөн компьютерийн хэрэглэгчийн хувийн мэдээлэл нь халдагчийн сонирхлыг татдаг.

• компьютерийн санах ойд хадгалагдсан баримт бичиг болон бусад хэрэглэгчийн өгөгдөл;
• янз бүрийн сүлжээний нөөцөд нэвтрэх дансны нэр, нууц үг (цахим мөнгө, төлбөрийн систем, интернет дуудлага худалдаа, интернет пейжер, цахим шуудан, интернет сайт, форум, онлайн тоглоомууд);
• бусад хэрэглэгчдийн имэйл хаягууд, сүлжээн дэх бусад компьютеруудын 1P хаягууд.

Интернэтээс олгож буй шинэ боломжууд, ялангуяа нийгмийн сүлжээний өргөн тархалтын ачаар улам бүр нэмэгдэж буй хүмүүс интернетийн эх сурвалжид тогтмол хандаж, хэрэглэгчийн нууц мэдээллийг хулгайлах, зомби гэх мэт улам бүр боловсронгуй халдлагын хохирогч болж байна. ” зөрчигчид өөрсдийн нөөцийг дараа нь ашиглах зорилгоор тэдний компьютерийг ашиглан.

"Зомби" сүлжээний үр дүнтэй үйл ажиллагаа нь ердийн байдлаар бүрддэг гурван бүрэлдэхүүн хэсэгээр тодорхойлогддог.

• Өөрийн код болон үндсэн ажлыг гүйцэтгэдэг бот програмын кодыг түгээх үүрэг бүхий дуудагч програм;
• нууц мэдээллийг цуглуулах, дамжуулах, спам илгээх, EEoB халдлагад оролцох болон зөрчил гаргагчийн өгсөн бусад үйлдэлд оролцдог бот програм;
• бот програмуудаас мэдээлэл цуглуулж, шинэчлэлтүүдийг илгээдэг ботнетийн удирдлагын модуль бөгөөд шаардлагатай бол бот програмуудыг "дахин чиглүүлдэг" шинэ тохиргооны файлууд.

Хортой програмаас сэргийлэхийн тулд хэрэглэгч дээр суулгасан вирусны эсрэг программ хангамжийн жишээнүүд нь:

• вирусын эсрэг сканнер эсвэл мониторыг албадан зогсоох;
• хортой програмыг хэрэгжүүлэх, ажиллуулахад туслах хамгаалалтын системийн тохиргоог өөрчлөх;
• хэрэглэгч илрүүлсэн хортой програмын талаар анхааруулга хүлээн авсны дараа "Алгасах" товчийг автоматаар дарах;
• системд байгаа гэдгээ нуух ("rootkits" гэж нэрлэдэг);
• хортой кодыг нэмэлт хувиргах замаар вирусын эсрэг шинжилгээг хүндрүүлэх (шифрлэлт, далдлах эсвэл бүдгэрүүлэх, полиморфизм, савлагаа).

Сүүлийн жилүүдэд вирусын эсрэг программуудын ажил нь зөвхөн сканнердсан объектын агуулгыг шинжлэхэд үндэслэсэн байв. Үүний зэрэгцээ, вирус илрүүлэхийн өмнөх гарын үсэгт суурилсан арга (сканнердах гэж нэрлэдэг) нь ихэвчлэн хортой үйлдлийн хоёртын кодонд агуулагдах объектын эхнээс тодорхой зөрүүтэй байтын тогтмол дарааллыг хайхад ашигладаг байсан. хөтөлбөр. Хэсэг хугацааны дараа гарч ирсэн эвристик шинжилгээ нь сканнердаж буй объектын агуулгыг шалгасан боловч хортой програмын шинж чанартай байт дарааллыг илүү чөлөөтэй, магадлалаар хайхад үндэслэсэн. Хэрэв хуулбар бүр нь шинэ байт багц байвал хортой програм нь ийм хамгаалалтыг амархан давах нь ойлгомжтой.

Энэ нь яг л полиморфизм ба метаморфизмын шийддэг асуудал бөгөөд түүний мөн чанар нь дараагийн хуулбарыг үүсгэх үед хортой програм нь түүний бүрдсэн байтуудын түвшинд бүрэн өөрчлөгддөг явдал юм. Гэсэн хэдий ч түүний функц өөрчлөгдөөгүй хэвээр байна.

Шифрлэлт ба будлиан (кодын бүдүүлэг) нь үндсэндээ програмын кодыг шинжлэхэд хүндрэл учруулахад чиглэгддэг боловч тодорхой арга замаар хэрэгжүүлснээр полиморфизмын төрөл болж хувирдаг (жишээлбэл, вирусын хуулбар бүрийг өвөрмөц түлхүүрээр шифрлэх). ). Түгшүүр нь өөрөө дүн шинжилгээ хийхэд хүндрэл учруулдаг боловч хортой програмын хуулбар бүрт шинэ аргаар ашигласнаар вирусын эсрэг сканнер хийхэд саад болдог.

Полиморфизм нь зөвхөн файлуудыг халдварладаг вирусын эрин үед харьцангуй өргөн тархсан. Үүнийг полиморф код бичих нь маш нарийн төвөгтэй, нөөц их шаарддаг ажил бөгөөд зөвхөн хортой програм бие даан хуулбарлах тохиолдолд л зөвтгөгддөг: түүний шинэ хуулбар бүр нь бага эсвэл бага өвөрмөц байт багц байдаг. Өөрийгөө хуулбарлах функцгүй орчин үеийн ихэнх хортой програмуудын хувьд энэ нь хамааралгүй юм. Тиймээс полиморфизм нь одоогоор хортой програм хангамжид тийм ч түгээмэл биш юм.

Үүний эсрэгээр, сканнердах ажлыг хүндрүүлэх бус харин эвристик шинжилгээг хүндрүүлэх асуудлыг голчлон шийддэг кодын будлиан, түүнчлэн кодыг өөрчлөх бусад аргууд нь энэ нөхцөл байдлаас шалтгаалан хамааралтай байдлаа алдахгүй байна.

Хортой програм бүхий файлын хэмжээг багасгахын тулд архивлагчийн зарчмын дагуу файлыг боловсруулдаг тусгай программуудыг ашигладаг. Баглагчид ашиглахын нэг тал ба ашигтай (вирусны эсрэг программыг эсэргүүцэх үүднээс) үр нөлөө нь вирусны эсрэг сканнердах нь зарим талаараа хэцүү байдаг.

Энэ нь хортой програмын шинэ өөрчлөлтийг боловсруулахдаа зохиогч нь ихэвчлэн хэд хэдэн мөр кодыг өөрчилдөг бөгөөд үндсэн үндсэн хэсгийг нь хэвээр үлдээдэгтэй холбон тайлбарладаг. Гүйцэтгэх кодонд файлын тодорхой хэсэг дэх байтууд өөрчлөгддөг бөгөөд хэрэв вирусны эсрэг програмын ашигласан гарын үсэг нь энэ хэсгээс бүрдээгүй бол хортой програм илэрсэн хэвээр байх болно. Програмыг багцлагчаар боловсруулах нь энэ асуудлыг шийддэг, учир нь эх сурвалжийн гүйцэтгэгдэх кодын нэг байтыг ч өөрчлөхөд савласан файлд цоо шинэ байт багц бий болдог.

Орчин үеийн олон савлагчид эх файлыг шахахаас гадна түүнийг задлах, дибаггер ашиглан дүн шинжилгээ хийхэд хүндрэлтэй болгох зорилготой нэмэлт өөрийгөө хамгаалах функцээр хангадаг.

Хортой програм (заримдаа гэж нэрлэдэг програм хангамжийн хор хөнөөлтэй нөлөө)Компьютерийн вирус, програм хангамжийн хавчуурга оруулах нь заншилтай байдаг. Анхны хугацаа компьютерийн вирус 1984 онд АНУ-ын мэргэжилтэн Ф.Коэн танилцуулсан. "Сонгодог" компьютерийн вирус нь бие даасан байдлаар ажилладаг програм бөгөөд нэгэн зэрэг гурван шинж чанартай байдаг.

• өөрийн кодыг бусад объектын биед (компьютерийн санах ойн файлууд болон системийн хэсгүүд) оруулах чадвар;
• дараагийн бие даасан хэрэгжилт;
• компьютерийн систем дэх бие даасан хуваарилалт.

Компьютерийн вирус нь сүлжээний бусад компьютерт нэвтрэхийн тулд сүлжээний үйлчилгээг ашигладаггүй. Вирусын хуулбар нь вирусын хяналтаас гадуур ямар нэг шалтгаанаар өөр компьютер дээр идэвхжсэн тохиолдолд л алсын компьютерт хүрдэг, жишээлбэл:

• хэрэглэгчийн хүртээмжтэй сүлжээний хөтчүүдийг халдварлах үед вирус нь эдгээр сүлжээний нөөц дээр байрлах файлуудад нэвтэрсэн;
• вирус нь зөөврийн зөөвөрлөгч эсвэл халдвартай файл руу хуулсан;
• Хэрэглэгч вирусын халдвартай хавсралт бүхий имэйл илгээсэн.

Нэг чухал баримт бол вирус нь нэг компьютерийн хил хязгаараас цааш тархах хэрэгсэлгүй байдаг. Энэ нь зөөврийн хадгалах хэрэгсэл (уян диск, флаш диск) халдвар авсан эсвэл хэрэглэгч өөрөө вирусын халдвартай файлыг сүлжээгээр өөр компьютерт шилжүүлэх үед л тохиолдож болно.

Ачаалах вирусуудхатуу дискний үндсэн ачаалах хэсэг (Master Boot record - MBR) эсвэл хатуу дискний хуваалтын ачаалах хэсэг, системийн уян диск эсвэл ачаалагдах CD (Boot Record - BR) -ийг халдварлаж, тэдгээрт агуулагдах ачаалах болон үйлдлийн системийн ачаалах програмуудыг орлуулна. тэдний кодтой. Эдгээр секторуудын анхны агуулга нь дискний чөлөөт секторуудын аль нэгэнд эсвэл вирусын биед шууд хадгалагддаг.

Хатуу дискний тэг цилиндрийн 0 толгойн эхний салбар болох MBR-ийг халдварласны дараа вирус нь тоног төхөөрөмжийн туршилтын процедур (POST), BIOS Setup програм (хэрэв үүнийг дуудсан бол) дууссаны дараа шууд хяналтаа авдаг. хэрэглэгч), BIOS-ийн процедур ба түүний өргөтгөлүүд. Хяналтыг хүлээн авсны дараа ачаалах вирус дараах үйлдлүүдийг гүйцэтгэдэг.

• 1) өөрийн кодыг компьютерийн RAM-ийн төгсгөлд хуулж, ингэснээр түүний чөлөөт хэсгийн хэмжээг багасгах;
• 2) BIOS-ийн хэд хэдэн тасалдлыг хүчингүй болгох, голчлон диск рүү хандахтай холбоотой;
• 3) хатуу дискний хуваалтын хүснэгтийг үзэх, идэвхтэй хуваалтыг тодорхойлох, идэвхтэй хуваалтын үйлдлийн системийн ачаалах програм руу хяналтыг ачаалах, шилжүүлэх функцууд нь компьютерийн RAM санах ойд жинхэнэ ачаалах програмыг ачаалах;
• 4) хяналтыг жинхэнэ ачаалах програм руу шилжүүлэх.

VY дахь ачаалах вирус нь ижил төстэй байдлаар ажилладаг бөгөөд үйлдлийн системийн ачаалах програмыг орлуулдаг. Компьютерийг ачаалах вирусээр халдварлах нийтлэг хэлбэр бол ачаалах хэсэг нь вирусээр халдварласан системийн бус уян диск (эсвэл CO диск) -ээс санамсаргүйгээр ачаалах оролдлого юм. Үйлдлийн системийг дахин ачаалах үед халдвар авсан уян диск дискэнд үлдэх үед ийм нөхцөл байдал үүсдэг. Хатуу дискний үндсэн ачаалах хэсэг халдварлагдсаны дараа ямар ч халдваргүй уян диск рүү анх удаа вирус тархдаг.

Ачаалагч вирус нь ихэвчлэн суурин вирусын бүлэгт багтдаг. Өнгөрсөн зууны 90-ээд онд ачаалах вирусууд нэлээд түгээмэл байсан боловч 32 битийн үйлдлийн системд шилжиж, мэдээлэл солилцох үндсэн арга болох уян дискийг ашиглахаа больсноор бараг алга болсон. Онолын хувьд SP диск болон флаш дискийг халдварладаг ачаалах вирус гарч ирэх боломжтой ч одоогоор ийм вирус илрээгүй байна.

Файлын вирусуудянз бүрийн төрлийн файлуудыг халдварлах:

• програмын файлууд, төхөөрөмжийн драйверын файлууд болон бусад үйлдлийн системийн модулиуд;
• макро агуулсан байж болох баримт бичгийн файлууд;
• скрипт (скрипт) эсвэл тусдаа скрипт файл гэх мэт байж болох баримт бичгийн файлууд.

Файл халдварлагдсан үед вирус өөрийн кодыг файлын эхэн, дунд, төгсгөлд эсвэл нэг дор хэд хэдэн газар бичдэг. Эх файлыг өөрчилсөн тул файлыг нээсний дараа удирдлага шууд вирусын код руу шилждэг. Хяналтыг хүлээн авсны дараа вирусын код дараах дарааллыг гүйцэтгэдэг.

• 1) бусад файлууд (хосолсон вирусууд) болон дискний санах ойн системийн талбайн халдвар;
• 2) RAM-д өөрийн оршин суугч модулиудыг (резидент вирус) суулгах;
• 3) вирусын хэрэгжүүлсэн алгоритмаас хамааран бусад үйлдлүүдийг хийх;
• 4) файл нээх ердийн процедурыг үргэлжлүүлэх (жишээлбэл, халдвар авсан програмын эх код руу хяналтыг шилжүүлэх).

Програмын файлууд дахь вирусууд халдвар авсан тохиолдолд програмыг RAM-д ачаалсны дараа удирдлага нь вирусын код руу шилждэг тул толгойгоо өөрчилдөг. Жишээлбэл, Windows болон OS/2 үйлдлийн системүүдийн зөөврийн гүйцэтгэх файлын формат (Portable Executable - PE) нь дараах бүтэцтэй байна.

• 1) MS-DOS үйлдлийн системийн форматын толгой;
• 2) MS-DOS үйлдлийн системийн орчинд Windows програмыг ажиллуулахыг оролдох үед хяналтыг авдаг бодит процессор горимын програмын код;
• 3) PE файлын толгой хэсэг;
• 4) нэмэлт (заавал биш) PE файлын толгой;
• 5) бүх хэрэглээний сегментийн толгой ба бие (програмын код, түүний статик өгөгдөл, програмаар экспортолсон өгөгдөл, програмаар импортолсон өгөгдөл, дибаг хийх мэдээлэл гэх мэт).

Нэмэлт PE файлын толгой хэсгийг агуулсан хэсэг нь програмын нэвтрэх цэгийн хаягийг агуулсан талбарыг агуулна. Програмын кодын сегмент дэх нэвтрэх цэгийн өмнөхөн Импортын хаягийн хүснэгт (IAT) байдаг бөгөөд энэ нь гүйцэтгэх кодыг процессын хаягийн зайд ачаалах үед хүчинтэй хаягуудаар дүүргэгддэг.

Вирус програмын файлд халдсан тохиолдолд програмын нэвтрэх цэгийн хаягийг вирусын кодын эхлэл рүү чиглүүлэхээр өөрчилдөг бөгөөд програмын файлыг ачаалах үед автоматаар хяналтаа авдаг. Мөн үйлдлийн системийн цөмийн модулиудыг (жишээ нь, kernel32.dll) өөрчилснөөр системийн зарим функц (жишээ нь, CreateProcess, CreateFile, ReadFile, WriteFile, CloseHandle) бусад файлуудыг халдварлахын тулд дуудлагыг таслан зогсоох боломжтой.

Файлын вирусын төрөл нь халдвартай логик диск эсвэл уян дискний кластерт байдаг вирусууд юм. Халдвар авсан үед вирусын кодыг файлын хуваарилалтын хүснэгтэд (FAT) сүүлчийн файлын кластер гэж тэмдэглэсэн чөлөөт дискний кластеруудын аль нэгэнд хуулдаг. Дараа нь лавлах дахь програмын файлуудын тайлбарыг өөрчилнө - файлд хуваарилагдсан эхний кластерын дугаарын оронд вирусын код агуулсан кластерын дугаарыг байрлуулна. Энэ тохиолдолд халдвар авсан файлын эхний кластерын жинхэнэ дугаарыг шифрлэж хадгална, жишээлбэл, лавлах дахь файлын тайлбарын ашиглагдаагүй хэсэгт.

Халдвар авсан файлыг ажиллуулах үед хяналтыг вирусын кодоор олж авдаг бөгөөд үүнд:

• 1) өөрийн оршин суугч модулийг RAM-д суулгаж, дараа нь халдвар авсан диск рүү нэвтрэх бүх хандалтыг таслан зогсоох болно;
• 2) програмын эх файлыг ачаалж, түүнд хяналтыг шилжүүлнэ.

Дараа нь халдвар авсан файл бүхий лавлах руу нэвтрэх үед вирусын оршин суугч хэсэг нь халдвар авсан файлуудад хуваарилагдсан эхний кластеруудын тоонуудын жинхэнэ утгыг үйлдлийн систем рүү дамжуулдаг.

Жишээлбэл, Microsoft Office програмаар үүсгэсэн баримт бичгийн файлууд дахь вирусууд нь тэдгээрт багтсан макро ашиглан тархдаг (Visual Basic for Applications - VBA програмчлалын хэл). Тиймээс ийм вирусыг заримдаа макро эсвэл энгийн вирус гэж нэрлэдэг макровирусууд.

Макро програмчлалын хэл, ялангуяа VBA нь объект хандалтат програмчлалын технологийг дэмждэг, стандарт макро командуудын том номын сантай, нэлээд төвөгтэй процедурыг бий болгох боломжийг олгодог бүх нийтийн хэл юм. Нэмж дурдахад, энэ нь тодорхой үйл явдлуудтай (жишээлбэл, баримтыг нээх) эсвэл хэрэглэгчийн тодорхой үйлдэлтэй (жишээлбэл, баримтыг файлд хадгалах командыг дуудах үед) холбоотой автоматаар ажиллаж байгаа макронуудыг дэмждэг.

Тодорхой Microsoft Word баримт боловсруулах үйл явдлуудтай холбоотой автоматаар ажиллаж буй макроуудын жишээнд:

• AutoExec (хэрэв normal.dot загварын файл эсвэл Microsoft Office хавтасны Startup дэд хавтас дотор байгаа бол Microsoft Word текст процессор ажиллаж эхлэхэд автоматаар гүйцэтгэгддэг);
• AutoNew (шинэ баримт үүсгэх үед автоматаар хяналтыг авдаг);
• AutoOpen (баримт бичгийг нээх үед автоматаар гүйцэтгэгддэг);
• AutoClose (баримт бичгийг хаах үед автоматаар гүйцэтгэгддэг);
• Автоматаар гарах (Microsoft Word текст процессор дуусах үед автоматаар хяналтыг авдаг).

Microsoft Excel хүснэгтийн процессор нь зөвхөн автоматаар гүйцэтгэгддэг макросуудын заримыг дэмждэг бөгөөд эдгээр макронуудын нэр бага зэрэг өөрчлөгдсөн - Auto_open болон Auto_close.

Microsoft Word текст процессор нь мөн файл хадгалах (Файл | Хадгалах), FileSaveAs (Файл | Хадгалах), Tools-Макро (Хэрэгслүүд | Макро | Макро), ToolsCustomize гэсэн стандарт командуудын аль нэгийг дуудах үед автоматаар хяналтыг хүлээн авах макронуудыг тодорхойлдог. (Үйлчилгээ | Тохиргоо) гэх мэт.

Microsoft Office-ын баримт бичиг нь хэрэглэгч гар дээрх товчлууруудын тодорхой хослолыг дарах эсвэл тодорхой цаг (огноо, өдрийн цаг) хүрэх үед автоматаар удирдлагыг хүлээн авах макро агуулж болно.

Тусдаа баримт бичигт байгаа дурын макро (автоматаар гүйцэтгэгдэхийг оруулаад) normal.dot загварын файлд (болон эсрэгээр) бичиж болох бөгөөд ингэснээр ямар ч Microsoft Word баримт бичгийг засварлахад ашиглах боломжтой болно. Normal.dot файлд макро бичихдээ стандарт MacroCopy макро команд (WordBasic), Application объектын OrganizerCopy арга, эсвэл стандарт Organizer (Microsoft Word) болон Sheets (Microsoft Excel) объектуудын Copy аргуудыг ашиглан хийж болно.

Компьютерийн гадаад санах ойд байрлах файлуудыг удирдахын тулд макро нь Open (одоо байгаа файлыг нээх эсвэл шинээр үүсгэх), SetAttr (файлын шинж чанарыг өөрчлөх), Нэр (файл эсвэл фолдерын нэрийг өөрчлөх), Get (өгөгдөл унших) гэсэн стандарт макро командуудыг ашиглаж болно. нээлттэй файлаас), Пут (нээлттэй файл руу өгөгдөл бичих), хайх (файлаас бичих эсвэл унших одоогийн байрлалыг өөрчлөх), Хаах (файлыг хаах), Kill (файлыг устгах), RmDir (хавтас устгах) ), MkDir (шинэ хавтас үүсгэх), ChDir (одоо байгаа фолдеруудыг өөрчлөх) гэх мэт.

Стандарт Shell макро команд нь таны компьютер дээр суулгасан аливаа програм эсвэл системийн командуудыг гүйцэтгэх боломжийг олгодог.

Тиймээс макро вирус зохиогчид VBA програмчлалын хэлийг маш аюултай код үүсгэхэд ашиглаж болно. Microsoft Word баримт бичгийн хамгийн энгийн макро вирус нь бусад баримт бичгийн файлуудыг дараах байдлаар халдварладаг.

• 1) халдвар авсан баримт бичгийг нээх үед вирусын код агуулсан макро хяналтыг өгдөг;
• 2) вирус нь normal.dot загварын файлд (жишээлбэл, FileOpen, FileSaveAs болон FileSave) өөрийн кодтой бусад макронуудыг байрлуулдаг;
• 3) вирус нь Windows бүртгэл болон (эсвэл) Microsoft Word програмыг эхлүүлэх файлд харгалзах тугийг байрлуулж, халдвар авсан болохыг илтгэнэ;
• 4) Microsoft Word-ыг дараа нь эхлүүлэх үед нээгдсэн анхны файл нь вирусын кодыг автоматаар хянах боломжийг олгодог normal.dot загвар файл бөгөөд тэдгээрийг стандарт Microsoft Word ашиглан хадгалсан тохиолдолд бусад баримт бичгийн файлууд халдвар авч болно. тушаалууд.

Ихэнх макро вирусууд нь резидент вирусуудын бүлэгт багтдаг гэж хэлж болно, учир нь тэдний кодын нэг хэсэг нь Microsoft Office багцын програм ажиллаж байх үед компьютерийн RAM-д байнга байдаг.

Макро вирусын кодыг Microsoft Office баримт бичигт байрлуулахыг бүдүүвчилсэн байдлаар зааж өгч болно, учир нь баримт бичгийн файлын формат нь маш нарийн төвөгтэй бөгөөд олон тооны үйлчилгээний өгөгдлийг ашиглан өөр хоорондоо хослуулсан янз бүрийн форматтай мэдээллийн блокуудын дарааллыг агуулдаг. Макро вирусуудын нэг онцлог нь зөвхөн IBM PC биш төрөл бүрийн платформын компьютер дээрх баримт бичгийн файлуудыг халдварлах чадвартай байдаг. Компьютер дээр Microsoft Office багцын програмуудтай бүрэн нийцэх оффисын програмуудыг суулгасан тохиолдолд халдвар авах боломжтой.

Баримт бичгийн файлуудыг хадгалахдаа тэдгээр нь баримт бичгийн агуулгад хамааралгүй санамсаргүй өгөгдлийг агуулдаг боловч баримт бичгийг засварлах үед хуваарилагдсан боловч бүрэн дүүргэгдээгүй RAM-ийн блокуудад агуулагддаг. Тиймээс, баримт бичигт шинэ өгөгдөл нэмэх үед түүний хэмжээ урьдчилан таамаглах боломжгүй байдлаар өөрчлөгдөж, тэр дундаа буурах боломжтой. Энэ нь баримт бичгийн файлыг макро вирусээр халдварласан эсэхийг дүгнэх боломжийг олгодоггүй, учир нь халдвар авсны дараа түүний хэмжээ нь урьдчилан таамаглах аргагүй өөрчлөгдөх болно. Олон нийтийн баримт бичгийн файлын хамт санамсаргүйгээр хадгалсан мэдээлэл нь нууц мэдээллийг агуулж болохыг бид мөн анхаарна уу.

Ихэнх мэдэгдэж байгаа макро вирусууд нь зөвхөн макрод өөрийн кодыг байрлуулдаг. Гэсэн хэдий ч баримт бичгийн файлын макронд вирусын код нь зөвхөн макронд хадгалагддаггүй вирусын төрлүүд байдаг. Эдгээр вирусууд нь үндсэн вирусын кодын жижиг макро ачаалагчийг агуулдаг бөгөөд энэ нь Microsoft Office-д суурилуулсан макро засварлагчийг дуудаж, вирусын кодтой шинэ макро үүсгэж, түүнийг ажиллуулж, дараа нь үүсгэсэн макро устгаж, түүний байгаа ул мөрийг нуух болно. Энэ тохиолдолд вирусын үндсэн код нь дуудагч макроны биед эсвэл халдвар авсан баримт бичгийн хувьсах талбарт мөрийн массив хэлбэрээр байдаг.

Normal.dot загварын файлыг халдварлах нь хэрэглэгчийн компьютерт макро вирус тархах цорын ганц арга биш юм. Мөн Microsoft Office хавтас доторх Startup хавтсанд байрлах нэмэлт загвар файлууд халдвар авсан байж болзошгүй. Хэрэглэгчийн баримт бичгийн файлуудыг макро вирусээр халдварлах өөр нэг арга бол тэдгээрийг Microsoft Office хавтасны Addins хавтсанд байрлах Microsoft Word нэмэлт файлд оруулах явдал юм. Энгийн normal.dot загварт кодоо байршуулдаггүй макро вирусыг оршин суугч бус вирус гэж ангилж болно. Бусад файлуудыг халдварлахын тулд эдгээр макро вирусууд нь VBA хэлний файл, хавтастай ажиллах стандарт макро командуудыг ашиглах эсвэл Microsoft Word болон бусад Microsoft Office програмын "Файл" дэд цэсэнд байгаа хэрэглэгчийн саяхан засварласан файлуудын жагсаалтыг ашигладаг. хөтөлбөрүүд.

Microsoft Excel хүснэгтийн процессор нь normal.dot загвар файлыг ашигладаггүй тул Startup хавтсанд байгаа файлуудыг бусад хэрэглэгчийн баримт бичгийн файлуудыг халдварлахад ашигладаг. Excel хүснэгтийн файлуудыг халдварладаг макро вирусуудын нэг онцлог шинж чанар нь тэдгээрийг зөвхөн VBA програмчлалын хэлээр бус Microsoft Excel-ийн "хуучин" хувилбаруудын макро хэлийг ашиглан бичих боломжтой бөгөөд энэ хүснэгтийн процессорын дараагийн хувилбаруудад мөн дэмжигддэг. .

Microsoft Access өгөгдлийн сангийн удирдлагын системд маш хязгаарлагдмал чадвартай тусгай скрипт хэлээр бичигдсэн макронууд нь зарим үйл явдал тохиолдоход автоматаар хяналтыг олж авахад ашиглагддаг (жишээлбэл, мэдээллийн сан нээх). Гэхдээ эдгээр автоматаар гүйцэтгэгддэг скриптийн макронууд (жишээ нь, Microsoft Access-ийг эхлүүлэх үед автоматаар удирддаг AutoExec макро) VBA дээр бичигдсэн бүрэн макронуудыг дуудаж болно. Иймд Microsoft Access мэдээллийн санд халдахын тулд вирус нь автоматаар гүйцэтгэгддэг макро скрипт үүсгэх буюу солих, вирусын кодын үндсэн хэсгийг агуулсан макро бүхий модулийг халдвартай мэдээллийн сан руу хуулах ёстой.

Microsoft Access мэдээллийн сан болон Microsoft Word баримт бичгийг хоёуланг нь халдварлах боломжтой хосолсон вирусууд мэдэгдэж байна. Ийм вирус нь үндсэн хоёр хэсгээс бүрдэх бөгөөд тус бүр нь өөрийн төрлийн баримт бичгийн файлуудыг (.doc эсвэл .mdb) халдварладаг. Гэхдээ ийм вирусын хоёр хэсэг нь нэг Microsoft Office програмаас нөгөө рүү кодоо шилжүүлэх чадвартай. Microsoft Access-ээс вирусын кодыг шилжүүлэх үед Startup хавтсанд халдвартай нэмэлт загвар файл (.dot файл) үүсдэг ба Microsoft Word програмаас вирусын кодыг шилжүүлэх үед халдвартай Access мэдээллийн сангийн файл үүсгэгддэг бөгөөд энэ файлыг параметр болгон дамжуулдаг. Вирусын кодоор (msaccess .exe) эхлүүлсэн Microsoft Access програм.

Вирусын эсрэг компаниуд вирусын тархалтын шинэ хандлагыг мэдээлж байна. Имэйл болон скрипт вирусын давалгааны дараа компьютерт USB-ээр холбогдсон флаш дискүүд одоо хортой програмыг түгээх хамгийн түгээмэл аргуудын нэг болжээ. Энэ нь Windows үйлдлийн системийн сул байдлаас болж боломжтой болсон бөгөөд энэ нь анхдагчаар autorun.inf файлыг зөөврийн дискнээс автоматаар ажиллуулдаг.

Зарим шинжээчдийн үзэж байгаагаар Windows үйлдлийн систем дэх INF/Autorun үйлчилгээг компьютерийн системийн аюулгүй байдлын гол цоорхой гэж үзэж болно. Халдвар авсан програмыг имэйлээр илгээхээс ялгаатай нь энэ тохиолдолд чадварлаг хэрэглэгч хүртэл халдвараас урьдчилан сэргийлэх боломжгүй байдаг, учир нь халдвартай төхөөрөмжийг USB холбогч руу оруулахад л үйл явц эргэлт буцалтгүй болдог. Цорын ганц урьдчилан сэргийлэх арга бол автоматаар ажиллуулахыг идэвхгүй болгох явдал бөгөөд үүнийг Microsoft-ын аюулгүй байдлын мэргэжилтнүүд ч зөвлөдөг.

Зарим талаараа USB хөтчүүд дээр вирус тархсан нь интернет хараахан байхгүй байсан үед вирус үүсгэсэн эх сурвалж руу буцаж ирсэн гэж хэлж болно. Тэр үед вирус нь уян диск ашиглан компьютерээс компьютерт тархдаг байсан.

Програм хангамжийн хавчуургаЭнэ нь халдлагад өртөж буй компьютерийн системийн гадна эсвэл дотоод програм бөгөөд энэ системтэй холбоотой тодорхой хор хөнөөлтэй функцтэй байдаг.

• мэдээллийн аюулгүй байдалд нэг буюу өөр аюул заналхийллийг хэрэгжүүлэхийн тулд тархсан компьютерийн системд түгээх (компьютерийн вирусээс ялгаатай нь кодыг бусад файлын биед оруулахгүй байх ёстой компьютер эсвэл сүлжээний өтнүүд);
• хэрэглэгчийн зөвшөөрөлгүй янз бүрийн үйлдэл хийх (нууц мэдээллийг цуглуулах, зөрчигчид шилжүүлэх, хэрэглэгчийн мэдээллийг устгах, санаатайгаар өөрчлөх, компьютерийг тасалдуулах, компьютерийн нөөцийг зохисгүй зорилгоор ашиглах ("Троян" програмууд эсвэл зүгээр л "Троянууд"). );
• CS програм хангамжийн ажиллагааг устгах, өөрчлөх, зарим нөхцөлийг биелүүлсний дараа эсвэл CS-ийн гаднаас ямар нэгэн мессеж хүлээн авсны дараа түүнд боловсруулсан өгөгдлийг устгах, өөрчлөх ("логик бөмбөг");
• CS аюулгүй байдлын дэд системийн бие даасан функцийг солих эсвэл CS дахь мэдээллийн аюулгүй байдалд заналхийлсэн заналхийллийг хэрэгжүүлэхийн тулд түүнд "хавх" бий болгох (жишээлбэл, CS-д суулгасан техник хангамжийн шифрлэлтийн самбарын ажиллагааг дуурайлган шифрлэлтийн хэрэгслийг орлуулах) ;
• CS хэрэглэгчийн нууц үгийг оруулах урилгыг дуурайлган хийх эсвэл хэрэглэгчийн бүх оролтыг гараас таслан зогсоох;
• тархсан CS (монитор) объектуудын хооронд дамжуулж буй мэдээллийн урсгалыг таслан зогсоох;
• Хууль ёсны үйлдвэрлэгчдийн боловсруулсан, гэхдээ халдагчид ашиглаж болох аюултай функцуудыг агуулсан оппортунист програмууд.

Дүрмээр бол сүлжээний хорхойг ажиллуулж эхлэхийн тулд та цахим шуудангаар хүлээн авсан файлыг ажиллуулах хэрэгтэй (эсвэл шууд имэйл зурваст байгаа холбоосыг дагах). Гэхдээ идэвхжүүлэлт нь хүний ​​оролцоо шаарддаггүй өтнүүд байдаг.

• өт нь захидлын текстэнд агуулагддаг бөгөөд хэрэглэгч зүгээр л мессежийг нээх үед (эсвэл энэ нь шуудангийн клиент цонхны урьдчилан харах хэсэгт нээгддэг) (энэ тохиолдолд үсэг нь скрипт агуулсан хэл дээрх текст юм) өт код);
• Хорхой нь үйлдлийн систем болон бусад програмуудын (жишээлбэл, цахим шуудангийн) хамгаалалтын систем дэх "цоорхой" (цоорхой, эмзэг байдал) ашигладаг.

Хэрэглэгчийг цахим шуудангаар хүлээн авсан файлыг ажиллуулахын тулд гэмт хэрэгтнүүд нийгмийн инженерчлэл гэж нэрлэгддэг маш нарийн технологийг ашигладаг. Жишээлбэл, хэрэглэгч хожсон гэх их хэмжээний мөнгөн шагнал авахын тулд захидалд хавсаргасан маягтыг бөглөх санал. Эсвэл алдартай програм хангамжийн компанийн албан ёсны захидлын дүрд хувирсан (эдгээр компаниуд хэрэглэгчийн хүсэлтгүйгээр хэзээ ч файл илгээдэггүй гэдгийг та мэдэх ёстой) гэх мэт.

Нэгэнт ажиллуулсны дараа өт нь цахим шуудангийн программын "хаягийн дэвтэр" ашиглан өөрийн кодыг имэйлээр илгээх боломжтой. Үүний дараагаар халдвар авсан компьютерийн хэрэглэгчийн найзуудын компьютерууд мөн халдвар авсан байна.

Сүлжээний өтнүүд болон сонгодог вирусуудын гол ялгаа нь сүлжээгээр өөрөө тархах чадвар, түүнчлэн халдвар авсан компьютер дээрх бусад локал объектуудыг халдварлах шаардлагагүй байдаг.

Сүлжээний өтүүд тархахын тулд төрөл бүрийн компьютер, гар утасны сүлжээг ашигладаг: имэйл, шуурхай мессежийн систем, файл хуваалцах (P2P) болон IRC сүлжээ, дотоод сүлжээ (LAN), хөдөлгөөнт төхөөрөмжүүдийн (утас, PDA) хооронд өгөгдөл солилцох сүлжээ гэх мэт. .d.

Ихэнх мэдэгдэж буй өтнүүд нь файл хэлбэрээр тархдаг: имэйлийн хавсралт, ICQ болон IRC мессеж дэх зарим вэб эсвэл FTP мессеж дээрх халдвартай файлын холбоос, P2P солилцооны лавлах дахь файл гэх мэт. Зарим өтнүүд ( тиймээс- "файлгүй" эсвэл "пакет" өт гэж нэрлэгддэг) сүлжээний пакет хэлбэрээр тархаж, компьютерийн санах ой руу шууд нэвтэрч, кодыг нь идэвхжүүлдэг.

Зарим өт нь бусад төрлийн хортой програмын шинж чанартай байдаг. Жишээлбэл, зарим өтнүүд нь халдвар авсан компьютерийн хэрэглэгчийн нууц мэдээллийг цуглуулах, халдагчид дамжуулах функцийг агуулдаг эсвэл халдвар авсан компьютерийн локал диск дээрх гүйцэтгэх боломжтой файлуудыг халдварлах чадвартай, өөрөөр хэлбэл тэд Трояны програмын шинж чанартай байдаг. (эсвэл) компьютерийн вирус.

Зураг дээр. Хүснэгт 4.1-д 2008 онд (Касперскийн лабораторийн мэдээлснээр) компьютерийн вирус (вирус) болон сүлжээний янз бүрийн ангиллын хорхойн (өт) тархалтыг харуулсан өгөгдлийг харуулав.

Цагаан будаа. 4.1.

Зарим ангиллын троян програмууд нь халдвар авсан компьютерт гэмтэл учруулахгүйгээр алсын компьютер болон сүлжээнд гэмтэл учруулдаг (жишээлбэл, алсын сүлжээний нөөцөд их хэмжээний DDoS халдлага хийх зориулалттай троян программууд).

Троян нь өт, вирусээс ялгаатай нь бусад файлуудыг гэмтээхгүй бөгөөд өөрийн гэсэн тархах хэрэгсэлгүй байдаг. Эдгээр нь зүгээр л халдвар авсан компьютерийн хэрэглэгчдэд хортой үйлдлүүдийг гүйцэтгэдэг, жишээлбэл, интернетэд нэвтрэх нууц үгийг таслан зогсоох програмууд юм.

Одоогоор Касперскийн лабораторийн мэргэжилтнүүд Трояны программуудын ангилалд гурван үндсэн зан үйлийн бүлгийг тодорхойлж байна.

• Backdoor (халдагчид халдвар авсан компьютерийг алсаас удирдах боломжийг олгодог), Trojan-Downloader (бусад хортой програмыг хэрэглэгчийн компьютерт хүргэх), Trojan-PSW (нууц үг таслах), Trojan (бусад Trojan програмууд), хамгийн түгээмэл Троян. хөтөлбөрүүд;
• Trojan-Spy (тагнуулч програм), Trojan-Dropper (бусад хортой програмыг суулгагчид);
• Trojan-Proxy (“Trojan” прокси серверүүд), Trojan-Clicker (Интернет дарагч), Rootkit (компьютерийн системд байгаа эсэхээ нуун дарагдуулдаг), Trojan-DDoS (үйлчилгээний тархалтаас татгалзах халдлагад оролцох програмууд), Trojan- SMS (“ гар утасны троянууд" нь хөдөлгөөнт төхөөрөмжүүдэд хамгийн их аюул учруулж байна).

Зарим програмууд нь хэд хэдэн нөхцөл хангагдсан тохиолдолд л хэрэглэгчдэд хор хөнөөл учруулж болох олон функцтэй байдаг. Түүнээс гадна ийм программыг хууль ёсны дагуу зарж, өдөр тутмын ажилд, жишээлбэл, системийн администраторууд ашиглаж болно. Гэсэн хэдий ч халдагчийн гарт ийм программууд нь хэрэглэгчдэд хохирол учруулах хэрэгсэл болж хувирдаг. Касперскийн лабораторийн мэргэжилтнүүд ийм программыг нөхцөлт аюултай програмуудын тусдаа бүлэгт ангилдаг (тэдгээрийг аюултай эсвэл аюулгүй гэж хоёрдмол утгагүй ангилах боломжгүй).

Энэ төрлийн программыг хэрэглэгч ухамсартайгаар вирусын эсрэг мэдээллийн санг өргөтгөсөн багц сонговол вирусны эсрэг программууд илрүүлдэг. Өргөтгөсөн мэдээллийн санг ашиглах үед илрүүлсэн программууд нь хэрэглэгчдэд танил бөгөөд тэдгээр нь түүний өгөгдөлд хор хөнөөл учруулахгүй гэдэгт 100% итгэлтэй байвал (жишээлбэл, хэрэглэгч өөрөө энэ програмыг худалдаж авсан, түүний функцийг мэддэг бөгөөд хууль ёсны зорилгоор ашигладаг. ), дараа нь хэрэглэгч өргөтгөсөн вирусын эсрэг мэдээллийн санг цаашид ашиглахаас татгалзах эсвэл ийм програмыг "үл хамаарах" жагсаалтад нэмж болно (цаашид илрүүлэх идэвхгүй болох програмууд).

Аюултай байж болзошгүй программуудад RiskWare (хууль ёсоор тархсан аюултай байж болзошгүй программууд), Порнограф (порнограф мэдээлэл үзүүлэх программ) болон AdWare (сурталчилгааны программ) зэрэг программууд орно.

RiskWare ангиллын програмуудад хууль эрх зүйн программууд (тэдгээрийн зарим нь чөлөөтэй зарагдаж, хууль эрх зүйн зорилгоор өргөн хэрэглэгддэг) багтдаг бөгөөд энэ нь халдагчийн гарт байгаа нь хэрэглэгч болон түүний өгөгдөлд хор хөнөөл учруулж болзошгүй юм. Ийм программуудаас та хууль ёсны алсын удирдлагын хэрэгслүүд, IRC клиент програмууд, автомат залгагч програмууд ("залгагч"), татаж авах програмууд ("татаж авагч"), аливаа үйл ажиллагааны монитор (монитор), нууц үгтэй ажиллах хэрэгслүүд, түүнчлэн FTP, Web, Proxy, Telnet үйлчилгээнд зориулсан олон тооны интернет серверүүд.

Эдгээр бүх программууд нь өөрөө хортой биш боловч халдагчид хэрэглэгчдэд хохирол учруулахын тулд давуу талтай байдаг. Жишээлбэл, алсын удирдлагатай программ нь алсын компьютерийн интерфэйс рүү нэвтрэх боломжийг олгодог бөгөөд алсын машиныг удирдах, хянахад ашигладаг. Ийм програм нь бүрэн хууль ёсны, чөлөөтэй тархсан, системийн администраторууд эсвэл бусад техникийн мэргэжилтнүүдийн ажилд шаардлагатай байж болно. Гэсэн хэдий ч зөрчил гаргагчдын гарт ийм програм нь хэн нэгний компьютерт алсаас бүрэн нэвтрэх замаар хэрэглэгч болон түүний өгөгдөлд хор хөнөөл учруулж болзошгүй юм.

Өөр нэг жишээ болгон, IRC сүлжээний үйлчлүүлэгч болох хэрэгслийг авч үзье: ийм хэрэгслийн дэвшилтэт функцийг зөрчигчид болон тэдгээрийн түгээдэг Трояны програмууд (ялангуяа Backdoor) ашиглаж болно. тэдний ажилд үйлчлүүлэгч. Тиймээс Трояны програм нь хэрэглэгчийн мэдэлгүйгээр IRC клиентийн тохиргооны файлд өөрийн скриптийг нэмж, халдвар авсан машин дээр өөрийн устгах функцийг амжилттай гүйцэтгэх чадвартай. Энэ тохиолдолд хэрэглэгч түүний компьютер дээр хортой Trojan програм ажиллаж байна гэж сэжиглэхгүй байх болно.

Ихэнхдээ хортой програмууд нь IRC клиентийг хэрэглэгчийн компьютер дээр бие даан суулгаж, дараа нь өөрсдийн зорилгодоо ашигладаг. Энэ тохиолдолд байршил нь ихэвчлэн Windows хавтас болон түүний дэд хавтаснууд юм. Эдгээр фолдеруудаас IRC клиентийг олох нь компьютер ямар нэгэн төрлийн хортой програмаар халдварласан болохыг илтгэнэ.

Зар сурталчилгааны програм хангамж (Adware, Advware, Spyware, Browser Hijackers) нь зар сурталчилгааны мессежийг (ихэнхдээ график баннер хэлбэрээр) харуулах, хайлтын асуулгыг зар сурталчилгааны вэб хуудас руу чиглүүлэхэд зориулагдсан. Зар сурталчилгаа үзүүлэхээс бусад тохиолдолд ийм програмууд нь дүрмээр бол системд байгаа эсэхээ ямар ч байдлаар харуулахгүй. Ерөнхийдөө Adware программуудад устгах журам байдаггүй.

• зар сурталчилгааны бүрэлдэхүүн хэсгүүдийг үнэгүй болон shareware програм хангамжид (үнэгүй, shareware) оруулах замаар;
• Хэрэглэгч "халдвар авсан" вэб хуудсанд зочлох үед зар сурталчилгааны бүрэлдэхүүн хэсгүүдийг зөвшөөрөлгүй суулгах замаар.

Үнэгүй болон shareware ангиллын ихэнх программууд зар сурталчилгааг худалдаж авсны дараа болон/эсвэл бүртгүүлсний дараа харуулахаа больдог. Ийм программууд нь ихэвчлэн гуравдагч талын үйлдвэрлэгчдийн суулгасан Adware хэрэгслийг ашигладаг. Зарим тохиолдолд эдгээр Adware хэрэгслүүд нь хэрэглэгчийн системд анх нэвтэрсэн програмаа бүртгүүлсний дараа ч хэрэглэгчийн компьютер дээр суусан хэвээр үлддэг. Үүний зэрэгцээ аливаа програмын зар сурталчилгааг үзүүлэхэд ашигладаг Adware бүрэлдэхүүн хэсгийг устгах нь энэ програмын доголдолд хүргэж болзошгүй юм.

Энэ төрлийн зар сурталчилгааны програмын үндсэн зорилго нь хэрэглэгчдэд сурталчилгааны мэдээллийг үзүүлэх замаар хийгддэг програм хангамжийн төлбөрийн далд хэлбэр юм (сурталчлагч нь зар сурталчилгаагаа үзүүлэхийн тулд зар сурталчилгааны агентлагт төлбөр төлдөг, зар сурталчилгааны агентлаг нь Adware хөгжүүлэгчээс төлбөр төлдөг). Зар сурталчилгааны програм хангамж нь програм хангамж хөгжүүлэгчид (Adware-аас олох орлого нь шинэ програм бичих, одоо байгаа програмаа сайжруулахад тусалдаг) болон хэрэглэгчдийн өөрсдийнх нь зардлыг бууруулахад тусалдаг.

Хэрэглэгч "халдвар авсан" вэб хуудсанд зочлох үед зар сурталчилгааны бүрэлдэхүүн хэсгүүдийг суулгах тохиолдолд ихэнх тохиолдолд хакерын технологи ашигладаг (Интернэт хөтчийн хамгаалалтын системийн цоорхойгоор дамжуулан компьютерт нэвтрэх, түүнчлэн "Троян" ашиглах. ” программ хангамжийг далд суулгах зориулалттай програмууд). Ийм байдлаар ажилладаг зар сурталчилгааны программуудыг ихэвчлэн "Хөтөч дээрэмчид" гэж нэрлэдэг.

Зар сурталчилгаа хүргэхээс гадна олон зар сурталчилгааны програмууд нь компьютер болон хэрэглэгчийн талаарх нууц мэдээллийг (IP хаяг, үйлдлийн систем болон интернет хөтчийн хувилбар, хамгийн их ашиглагддаг интернетийн нөөцийн жагсаалт, хайлтын асуулга болон зар сурталчилгааны зорилгоор ашиглаж болох бусад мэдээлэл) цуглуулдаг. ).

Ийм учраас зар сурталчилгааны программуудыг ихэвчлэн тагнуул гэж нэрлэдэг (Spyware ангиллын зар сурталчилгааны програмыг Trojan-Spy spyware-тэй андуурч болохгүй). Adware ангилалд багтах програмууд нь зөвхөн цаг хугацаа алдах, хэрэглэгчийн анхаарлыг сарниулахаас гадна нууц мэдээлэл задрах бодит аюул заналхийлэлтэй холбоотой хор хөнөөл учруулдаг.

RiskWare болон PornWare ангиудын программуудын зан төлөвөөр хуваарилалтыг дугуй диаграм хэлбэрээр үзүүлж болно (Зураг 4.2, Касперскийн лабораторийн дагуу).

AdTool нь төрөл бүрийн зар сурталчилгааны модулиуд бөгөөд тэдгээр нь шаардлагатай хууль эрх зүйн шинж чанаруудтай тул AdWare гэж ангилагдах боломжгүй: тэдгээр нь лицензийн гэрээгээр тоноглогдсон, компьютер дээр байгаа гэдгээ харуулж, хэрэглэгчдэд өөрсдийн үйлдлийн талаар мэдээлдэг.

Цагаан будаа. 4.2.

Порно залгагчид бие даан (хэрэглэгчдэд мэдэгдэлгүйгээр) дээд зэрэглэлийн дугаартай утсаар холбогддог бөгөөд энэ нь захиалагч болон тэдний утасны компаниудын хооронд маргаан үүсгэдэг.

Мониторын ангилалд хамаарах програмууд нь албан ёсоор үйлдвэрлэгдэж, худалдаалагддаг хууль ёсны "түлхүүр бүртгэгчид" (товчлуурын даралтыг хянах програмууд) багтдаг боловч хэрэв тэдгээр нь системд байгаа гэдгээ нуух функцтэй бол эдгээр програмуудыг бүрэн хэмжээний тагнуулын троян болгон ашиглаж болно. .

PSW-Tool ангиллын программууд нь мартагдсан нууц үгээ сэргээхэд зориулагдсан боловч гэмт хэрэгтнүүд сэжиглээгүй хохирогчийн компьютерийн санах ойноос эдгээр нууц үгийг амархан гаргаж авах боломжтой. Татаж авах ангиллын программуудыг гэмт хэрэгтнүүд хохирогчийн компьютерт хортой контент татаж авахад ашиглаж болно.

Бусад хортой програмууд нь ажиллаж байгаа компьютерт шууд аюул учруулахгүй, гэхдээ бусад хортой програм үүсгэх, алсын серверүүд дээр DDoS халдлага зохион байгуулах, бусад компьютерийг хакердах гэх мэт олон төрлийн програмуудыг агуулдаг.

Ийм программуудад вирусын хууран мэхлэгч (Худал) болон хуурамч вирусны эсрэг программууд (FraudTool), алсын компьютерийг "хакердах" "хакер" програмууд (Exploit, HackTool), хортой програмыг бүтээгч, багцлагч (Constructor, VirTool, Packed), программууд орно. спам илгээх, "бөглөх" халдлага (SpamTool, IM-Flooder, Flooder), хэрэглэгчийг төөрөгдүүлэх програмууд (BadJoke).

FraudTool-ийн үндсэн төрөл нь хуурамч-антивирус гэж нэрлэгддэг програмууд бөгөөд бүрэн хэмжээний вирусны эсрэг хэрэгсэл мэт дүр эсгэдэг програмууд юм. Үүнийг компьютерт суулгасны дараа тэд "цэвэр" компьютерийн системээс ч гэсэн ямар нэгэн төрлийн вирусыг "олж", "эмчилгээнд" зориулж төлбөртэй хувилбараа худалдаж авахыг санал болгодог. Эдгээр программууд нь хэрэглэгчдийг шууд хуурахаас гадна AdWare функцийг агуулдаг. Үнэн хэрэгтээ энэ нь хэрэглэгчдийн хортой програмаас айдаг жинхэнэ луйвар юм.

Exploit болон HackTool ангиллын хакерын хэрэгслүүд нь алсын компьютеруудыг цааш нь хянах (арын хаалганы троян програмуудыг ашиглах) эсвэл хакердсан системд бусад хортой програмуудыг нэвтрүүлэх зорилгоор нэвтрэн ороход зориулагдсан. “Мөлжих” гэх мэт хакерын хэрэгслүүд нь халдлагад өртсөн компьютерт суулгасан үйлдлийн систем эсвэл програмын сул талыг ашигладаг.

Вирус ба трояны программ бүтээгчид нь шинэ компьютерийн вирус, трояны морь үүсгэх зориулалттай хэрэгслүүд юм. DOS, Windows болон макро вирусуудад зориулсан вирус зохион бүтээгчид алдартай. Эдгээр нь танд вирусын эх бичвэр, объектын модуль болон (эсвэл) шууд халдвар авсан файлуудыг үүсгэх боломжийг олгодог.

Зарим бүтээгчид стандарт график интерфэйсээр тоноглогдсон байдаг бөгөөд цэсийн системийг ашиглан та вирусын төрөл, өртөх объект, шифрлэлт байгаа эсэх, дибаг хийгчийн эсэргүүцэл, дотоод текстийн мөр, эффект зэргийг сонгох боломжтой. вирусын ажиллагааг дагалдах гэх мэт. Бусад бүтээгчид интерфэйсгүй бөгөөд тэдгээрийн тохиргооны файлаас үүсгэгдсэн вирусын төрлийн талаарх мэдээллийг уншдаг.

Nuker ангиллын хэрэгслүүд нь сүлжээнд байгаа халдлагад өртсөн компьютеруудад тусгайлан боловсруулсан хүсэлтийг илгээдэг бөгөөд үүний үр дүнд халдлагад өртсөн систем ажиллахаа болино. Эдгээр программууд нь сүлжээний үйлчилгээ болон үйлдлийн системийн программ хангамжийн сул талыг ашигладаг бөгөөд үүний үр дүнд тусгай төрлийн сүлжээний хүсэлт нь халдлагад өртсөн програмд ​​ноцтой алдаа үүсгэдэг.

Муу-Хошигнол, Хуурамч ангилалд багтсан программууд нь компьютерт шууд хор хөнөөл учруулахгүй, гэхдээ ийм гэмтэл аль хэдийн үүссэн, эсвэл ямар ч нөхцөлд үүсэх болно гэсэн мессежийг харуулдаг, эсвэл байхгүй байгаа талаар хэрэглэгчдэд анхааруулдаг програмуудыг агуулдаг. аюул. "Муу хошигнол" гэдэгт жишээлбэл, хатуу дискийг форматлах талаар хэрэглэгчдэд мессеж харуулдаг (хэдийгээр ямар ч формат хийгдээгүй), халдвар аваагүй файлаас вирус илрүүлэх, вирустай төстэй хачирхалтай мессежүүдийг харуулах гэх мэт програмууд орно.

Полиморф генераторууд нь үгийн шууд утгаараа вирус биш, учир нь тэдгээрийн алгоритм нь нөхөн үржихүйн функцийг агуулдаггүй. Энэ төрлийн програмын гол үүрэг нь вирусын биеийг шифрлэх, тохирох шифрлэгчийг үүсгэх явдал юм.

Ерөнхийдөө полиморф үүсгэгчийг зохиогчид нь архивын файл хэлбэрээр хязгаарлалтгүйгээр тараадаг. Аливаа генераторын архивын үндсэн файл нь энэ генераторыг агуулсан объектын модуль юм.

Хортой програм хангамжийн үйл ажиллагааны хувьсал нь нэг модулиудаас нарийн төвөгтэй, харилцан үйлчлэлийн төслүүд хүртэл энэ зууны эхээр эхэлсэн. Хортой програмын үйл ажиллагааны шинэ загвар нь олон тооны шинэ хортой төслүүдийн стандарт болж зогсохгүй цаашид улам боловсронгуй болох ёстой.

Энэ загварын гол шинж чанарууд нь дараах байдалтай байна.

• халдвар авсан компьютеруудын сүлжээг удирдах нэгдсэн төв байхгүй;
• гуравдагч этгээдийн судалгаа, хяналтыг таслан зогсоох оролдлогыг идэвхтэй эсэргүүцэх;
• Хортой кодыг нэгэн зэрэг масс болон богино хугацаанд түгээх;
• нийгмийн инженерийн хэрэгслийг чадварлаг ашиглах;
• түгээлтийн янз бүрийн аргуудыг ашиглах, хамгийн харагдахуйц (и-мэйл) ашиглахаас татгалзах;
• өөр өөр функцуудыг хэрэгжүүлэхийн тулд өөр өөр модулиудыг ашиглах (нэг бүх нийтийн нэгээс илүү).

Web 2.0 хэмээх алдартай нэр томъёоны адилаар шинэ үеийн хорт программыг MalWare 2.0 гэж нэрлэж болно.

Системд байгаа эсэхийг нуух техник (rootkits) нь зөвхөн Трояны програмуудад төдийгүй файлын вирусуудад ашиглагдах болно. Тиймээс MS-DOS үйлдлийн системд үл үзэгдэх вирусууд байсан үе рүү буцах болно. Энэ бол вирусны эсрэг программтай тэмцэх аргуудын логик хөгжил юм. Хортой програмууд одоо илэрсэн ч системд "амьд үлдэх" хандлагатай болсон.

Компьютер дээр програм байгаа эсэхийг нуух өөр нэг аюултай арга бол "bootkits" гэж нэрлэгддэг дискний ачаалах хэсгийг халдварлах технологи юм. Энэ бол үйлдлийн системийн үндсэн хэсэг (болон вирусны эсрэг программ) ачаалагдахаас өмнө хортой программыг хяналтандаа авах боломжийг олгодог хуучин техникийг дахин сэргээсэн явдал юм. Ачаалах хэрэгсэл нь аливаа төхөөрөмжийн ачаалах хэсгүүдээс ачаалах функцтэй rootkits юм. Тэдний аюул нь үйлдлийн систем, улмаар вирусны эсрэг програм эхлэхээс өмнө хортой код хяналтыг олж авдагт оршино.

Bootkit технологийн хэрэгжилтийн хамгийн тод жишээнүүдийн нэг бол vbootkit юм. Vbootkit үйлдлийн хялбаршуулсан дараалал нь иймэрхүү харагдаж байна. Компьютерийг асаагаад BIOS програмуудыг ажиллуулсны дараа Vbootkit код (CD эсвэл бусад төхөөрөмжөөс) идэвхждэг. Дараа нь MBR болон Windows Vista ачаалагчаас ачаалах програмыг ажиллуулж, дараа нь хяналтыг энэ үйлдлийн системийн цөмд шилжүүлнэ.

Vbootkit нь системийн хяналтыг олж авмагц BIOS 13 тасалдлыг өдөөж, дараа нь Windows Vista-д зориулсан гарын үсгийг хайж байна. Энэ нь илрүүлсний дараа өөрийгөө нууж байхдаа Windows Vista-г өөрчилж эхэлдэг (RAM-ийн өөр өөр хэсэгт кодыг жижиг хэсгүүдэд байрлуулснаар). Эдгээр өөрчлөлтүүд нь цахим дижитал гарын үсгийг шалгах, хэшийг шалгах, ачаалах үйл явцын эхний болон хоёр дахь үе шатанд системийн хяналтыг хадгалахын тулд тодорхой үйлдлүүдийг хийх зэрэг аюулгүй байдлын арга хэмжээг тойрон гарах явдал юм.

Хоёрдахь үе шат нь үйлдлийн системийн цөмийг өргөтгөх, ингэснээр vbootkit нь дахин ачаалах хүртэл түүний хяналтыг хадгалах явдал юм. Ингэснээр хэрэглэгч Windows Vista цөмд ачаалагдсан vbootkit байх болно.

Ачаалах хэрэгсэл нь үндсэн кодыг ажиллуулахад шаардлагатай хамгийн бага хэсгийг л ачаалах хэсэгт хадгалдаг. Энэхүү үндсэн код нь бусад секторуудад хадгалагддаг бөгөөд ачаалах хэрэгсэл нь тухайн салбарыг уншихын тулд BIOS-ийн тасалдлыг таслан нууж нуудаг.

Нийгмийн сүлжээний хэрэглэгчид фишинг гэж нэрлэгддэг гол бай болж чаддаг. Сүлжээний янз бүрийн үйлчилгээний захиалагчдын итгэмжлэл зөрчил гаргагчдын дунд эрэлт ихтэй байх болно. Энэ нь хакердсан вэб сайтууд дээр хортой програм байрлуулах техникийн чухал хувилбар байх болно. Трояны программуудыг нийгмийн сүлжээний хэрэглэгчдийн данс, блог, профайлаар дамжуулан яг таг тарааж болно.

Нийгмийн сүлжээтэй холбоотой өөр нэг асуудал бол XSSPHPSQL-aTaKH байж болно. Зөвхөн хууран мэхлэлт, нийгмийн инженерчлэлийн арга барилд тулгуурладаг фишингээс ялгаатай нь эдгээр халдлага нь Вэб 2.0 үйлчилгээн дэх алдаа болон сул талуудыг ашигладаг бөгөөд өндөр мэдлэгтэй хэрэглэгчдэд ч нөлөөлж болно. Энэ тохиолдолд зөрчил гаргагчдын зорилго нь "уламжлалт" аргыг ашиглан дараагийн халдлага хийх тодорхой мэдээллийн сан, жагсаалтыг бий болгоход шаардлагатай хэрэглэгчдийн хувийн мэдээлэл юм.

Вэб 2.0 үйлчилгээнд хэрэглэгчид болон хакеруудын нэгэн зэрэг сонирхлыг хангах гол хүчин зүйлүүд нь:

• хэрэглэгчийн мэдээллийг хувийн компьютерээс интернет рүү дамжуулах;
• хэд хэдэн өөр үйлчилгээнд нэг данс ашиглах;
• хэрэглэгчдийн талаарх дэлгэрэнгүй мэдээлэл байгаа эсэх;
• хэрэглэгчдийн холболт, холбоо барих, танил хүмүүсийн талаархи мэдээлэл байгаа эсэх;
• аливаа мэдээллийг нийтлэх байраар хангах;
• харилцах хоорондын итгэлцлийн харилцаа.

Энэ асуудал аль хэдийн нэлээд ноцтой болсон бөгөөд шинжээчдийн үзэж байгаагаар мэдээллийн аюулгүй байдлын томоохон асуудал болох бүрэн боломжтой юм.

Хөдөлгөөнт төхөөрөмж, ялангуяа гар утаснуудын хувьд тэдэнд аюул заналхийлэл нь анхдагч трояны програмууд болон үйлдлийн систем, ухаалаг гар утасны програмуудын янз бүрийн эмзэг байдлын хооронд тархдаг.

Програм хангамжийн хавчуургыг CS-д нэвтрүүлэх арга, тэдгээрийг системд байрлуулах боломжтой газруудын дагуу хавчуургуудыг дараах бүлгүүдэд хувааж болно.

• BIOS-тэй холбоотой програм хангамжийн хавчуурга;
• үйлдлийн системийн ачаалах болон ачаалах програмуудтай холбоотой хавчуурга;
• үйлдлийн системийн драйверууд болон бусад системийн модулиудтай холбоотой хавчуурга;
• ерөнхий хэрэглээний програм хангамжтай холбоотой хавчуурга (жишээлбэл, архивлагч);
• зөвхөн хавчуургын код агуулсан, багц файлуудыг ашиглан хэрэгжүүлсэн програмын файлууд;
• ерөнхий хэрэглээний программ хангамжийн дүрд хувирсан хавчуурга;
• тоглоомын болон боловсролын програм хангамжийн дүрд хувирсан хавчуурга (тэдгээрийг компьютерийн системд анх нэвтрүүлэхэд хялбар болгох).

Бүлэг 1. СЭРГИЙЛЭХ ОНЦЛОГ ♦ CritICAL дахь хорлонт програм

МЭДЭЭЛЛИЙН САЛБАРЫН ЧУХАЛ СЕГМЕНТҮҮД.

1.1. Хортой програмууд нь мэдээллийн салбарын чухал сегментүүдэд заналхийллийн эх үүсвэр болдог.

1.2. Мэдээллийн салбарын эгзэгтэй хэсгүүдэд хортой програмтай тэмцэх.

1.3. Мэдээллийн салбарын чухал сегментүүдэд хортой програмтай тэмцэх үр нөлөөг цогцоор нь үнэлэх асуудлын талаархи мэдэгдэл.

1.4. Дүгнэлт.

БҮЛЭГ 2. ҮЗҮҮЛЭЛТҮҮДИЙГ БҮРДҮҮЛЭХ

МЭДЭЭЛЛИЙН СҮЙЛЧИЛГЭЭНИЙ ШҮҮХ ЗҮЙЛСҮҮДИЙН ХОР ХАМТРАН СЭРГИЙЛЭХ ҮР ДҮН.

2.1. Хортой програм хангамжийн эсрэг гүйцэтгэлийн үзүүлэлтүүдийг бүтэцжүүлэх арга зүй.

2.2. Хортой програмын эсрэг үр дүнтэй байдлын үзүүлэлтүүдийн шаталсан бүтцийг нэгтгэх арга зүй.

2.3. Хортой програмын эсрэг гүйцэтгэлийн үзүүлэлтүүдийн бүтцийн нэгдсэн тайлбар

2.4. Дүгнэлт.

Бүлэг 3. МАТЕМАТИК ЗАГВАРЧИЛГАА

МЭДЭЭЛЛИЙН СҮЙЛЧИЛГЭЭНИЙ ШҮҮХ ХЭСГҮҮДИЙН ХОР ХАМТРАН СЭРГИЙЛЭХ ҮЙЛ ЯВЦ.

3.1. Хортой програмтай тэмцэх үр нөлөөг үнэлэх математик загварын синтезийн онцлог.

3.2. Хортой програмын эсрэг хэрэгслийн үйл ажиллагааны албан ёсны танилцуулга.

3.3. Хортой програмтай тэмцэх түр зуурын үр нөлөөг үнэлэх симуляцийн загвар

3.4. Хортой програмтай тэмцэх үр дүнтэй байдлын магадлалын үзүүлэлтүүдийг үнэлэх аналитик загварууд. ^

3.5. Хортой програмтай тэмцэх үр дүнтэй байдлын магадлалын үзүүлэлтүүдийг үнэлэх анхны өгөгдлийг танилцуулах.

3.6. Дүгнэлт.

Бүлэг 4. МЭДЭЭЛЛИЙН САЛБАРЫН нэн чухал ач холбогдолтой СЕГМЕНТҮҮДИЙН ХОР ХАМТРАЛТАЙ СЭРГИЙЛЭХ ҮР ДҮНГ ҮНЭЛЭХ ТООЦООНЫ ТУРШИЛТ.

4.1. Хортой програмтай тэмцэх үр нөлөөг үнэлэх тооцооллын туршилтыг төлөвлөх аргачлал

4.2. Тооцооллын туршилтын үр дүн.

4.3. Хортой програмын эсрэг үйл ажиллагааг үнэлэх санал болгож буй аргын үр нөлөөний дүн шинжилгээ.

4.4. Дүгнэлт.

Зөвлөмж болгож буй диссертацийн жагсаалт

• Мэдээллийн хүрээний сегментүүдийн аюулгүй байдалд заналхийлсэнтэй тэмцэх үр дүнтэй байдлын ерөнхий үнэлгээний математик загварууд 2006, Техникийн шинжлэх ухааны нэр дэвшигч Лиходедов, Денис Юрьевич

• Мэдээллийн салбарын чухал сегментүүдэд үзүүлэх хортой нөлөөллийн функциональ загварчлал 2008 он, техникийн шинжлэх ухааны нэр дэвшигч Модестов, Алексей Альбертович

• Хортой програмтай тэмцэх хүрээнд дотоод хэргийн байгууллагуудын автоматжуулсан хяналтын системийн ажиллагааг загварчлах, оновчтой болгох. 1999 он, техникийн шинжлэх ухааны доктор Скрыл, Сергей Васильевич

• Чухал объектуудын автоматжуулсан хяналтын цогцолборуудын мэдээллийн системийн синтезийн онолын үндэс ба практик хэрэгжилт. 2009, Техникийн шинжлэх ухааны доктор Крупенин, Александр Владимирович

• Аюулгүй компьютерийн сүлжээний мэдээллийн нөөцөд зөвшөөрөлгүй нөлөөллийн эсрэг тэмцэхэд хортой програмыг таних алгоритмыг судлах, хөгжүүлэх. 2004 он, Техникийн шинжлэх ухааны нэр дэвшигч Киселев, Вадим Вячеславович

Диссертацийн танилцуулга (конспектийн хэсэг) "Мэдээллийн салбарын эгзэгтэй сегментүүдэд хортой програмтай тэмцэх үр нөлөөг иж бүрэн үнэлэх алгоритмыг боловсруулах, судлах" сэдвээр

Судалгааны сэдвийн хамаарал. Мэдээллийн технологийг эрчимтэй хөгжүүлж, сайжруулж байгаа нь мэдээллийн хүрээг тэлэхийг зонхилох чиг хандлага гэж үзэх хэрэгцээг бий болгож байна. Энэ нь төрийн байгууллагуудын үйл ажиллагааг дэмждэг мэдээллийн систем /1/, харилцаа холбооны дэд бүтцийн удирдлагын систем /2/, санхүү /3/, эрчим хүч /4 гэсэн чухал сегмент гэж нэрлэгддэг тус салбарын элементүүдийн тусдаа анги гарч ирэхэд хүргэсэн. /, тээвэр 151, онцгой байдлын алба 161. Үүний зэрэгцээ мэдээллийн хүрээ өргөжиж байгаа нь мэдээллийн хүрээний элементүүдэд янз бүрийн төрлийн аюул заналхийлэхэд хүргэсэн 111. Үүний зэрэгцээ түүний чухал сегментүүд гол хэсэг болсон. ийм аюул заналхийллийн объект. Энэ нь аюул заналхийллийн янз бүрийн эх үүсвэр байгаа тохиолдолд мэдээллийн аюулгүй байдлыг зөрчихөөс үүсэх хохирлоос урьдчилан сэргийлэхийн тулд мэдээллийн хүрээг хамгаалах ажлыг зохион байгуулахтай холбоотой хэд хэдэн асуудлыг шийдвэрлэх шаардлагатай болсон /8 - 13/.

Мэдээллийн салбарын аюул заналхийллийн хамгийн ноцтой эх үүсвэрийн нэг нь компьютерийн сүлжээн дэх мэдээллийг хууль бусаар ашиглах гол хэрэгслүүдийн нэг болох /14 - 16/ хортой программ /17/ /18/ юм. Хортой программуудыг өндөр мэргэшсэн мэргэжилтнүүд /19/ вирусын төрлийн программууд /20 - 26/ хэлбэрээр бүтээдэг бөгөөд энэ нь компьютерийн вирусын изоморф бүтэц, өөрийн хуулбарыг үүсгэх, зөвхөн тодорхой нөхцөлд л илрэх зэрэг давуу талыг ашиглах боломжийг олгодог. тооцоолох орчны параметрүүд /27 - 28/. Эдгээр шинж чанарууд нь хортой програмуудад мэдээллийг хууль бусаар ашиглах функцийг маш богино хугацаанд хэрэгжүүлэх боломжийг олгодог бөгөөд энэ нь тэдгээрийг илрүүлэх, арилгах чадварыг ихээхэн хүндрүүлдэг бөгөөд үр дүнд нь ийм програмыг хамгийн дэвшилтэт хэрэгслийн нэг ангилалд оруулдаг. мэдээллийн салбарт хийсэн хууль бус үйлдлүүд /29/.

Хортой програмууд нь юуны түрүүнд мэдээллийн хүрээний элементүүдийн түр зуурын шинж чанарт нөлөөлдөг, учир нь тэдгээрийн нөлөөлөл нь мэдээллийн үйл явцын зөв байдлыг сэргээхтэй холбоотой түр зуурын томоохон алдагдалд хүргэдэг.

Үүнтэй холбогдуулан хортой програмууд нь хамгийн түрүүнд мэдээллийн салбарын чухал сегментүүдийн ашиглалтын үр ашгийг мэдэгдэхүйц бууруулах хүчин зүйл болох нь тодорхой болж байна, учир нь тэдний үйл ажиллагаа нь ирж буй мэдээллийг хурдан боловсруулахад чиглэгддэг. Энэ нь эргээд мэдээллийн салбарын аюулгүй байдалд заналхийлдэг хамгийн ноцтой аюулуудын тусдаа ангилалд хортой програмыг ангилах боломжийг бидэнд олгодог.

Иймээс мэдээллийн салбарын чухал сегментүүдийг энэ төрлийн аюулаас хамгаалах асуудал тулгамдаж байна. Үүний шийдлийг хортой програмын эсрэг технологийг иж бүрэн судалсны үндсэн дээр системтэйгээр хийх ёстой нь ойлгомжтой. Ийм технологиуд нь олон янзын параметрүүдээр тодорхойлогддог нь тэдний судалгааны асуудлыг шинжлэх ухаан, практикийн хувьд нарийн төвөгтэй болгодог.

Үүнтэй төстэй судалгаанууд:

Мэдээллийн хүрээ, түүний бие даасан чухал сегмент дэх хортой програмаас хамгаалах төлөв байдалд системийн шинжилгээ хийх;

Хортой програмтай тэмцэх үр дүнтэй арга, хэрэгслийг судлах;

Мэдээллийн салбарын эгзэгтэй сегмент дэх хортой програмын эсрэг технологийн үнэлгээ.

Энэ бүхэн нь ашиглагдаж буй технологийн бүх шинж чанарыг системтэйгээр харгалзан үзэх хортой програмын эсрэг үр нөлөөг үнэлэх арга замыг эрэлхийлэх шаардлагатай болсон.

Асуудлын төлөв байдлын дүн шинжилгээнээс харахад /30/ энэ асуудлыг шийдвэрлэх хамгийн ирээдүйтэй арга замуудын нэг нь хортой програмыг эсэргүүцэхэд ашигладаг технологийн чадавхийг тодорхойлдог цогц үзүүлэлтийг нэгтгэх явдал юм. Үүний зэрэгцээ нарийн төвөгтэй индикаторын нийлэгжилт нь хортой програмыг эсэргүүцэх янз бүрийн технологийн чадавхийг ангилах, судалгаанд математикийн хэрэгслийг ашиглах зэрэг олон чиглэлтэй холбоотой хэд хэдэн онцлог шинж чанартай байдаг.

Энэ нь мэдээллийн салбарын чухал сегментүүдэд хортой програмтай тэмцэх үр нөлөөг цогцоор нь үнэлэх асуудлыг шийдвэрлэх цоо шинэ хандлагыг санал болгох боломжийг олгов.

Энэхүү аргын мөн чанар нь хортой програмтай тэмцэх үр дүнтэй байдлын иж бүрэн үзүүлэлтийг нэгтгэх үндэслэлтэй дүрмийг боловсруулахад оршино, түүний хэлбэр нь ашиглаж буй эсрэг тэмцэх технологийн чадавхийг тусгах үүднээс оновчтой байх болно.

Мэдээллийн аюулгүй байдлыг хангах онол, практикийг боловсронгуй болгох нь туйлын тулгамдсан асуудал болоод байгаа хэдий ч мэдээллийн салбар дахь хортой програмуудтай тэмцэх үр нөлөөг цогцоор нь үнэлэх, түүний хүрээнд хортой програмуудтай тэмцэхэд чиглэсэн тусгай судалгааг хийж байна. ялангуяа чухал сегментүүд хийгдээгүй байна.

Хортой програмтай тэмцэх үр нөлөөг үнэлэх санал болгож буй арга нь одоо байгаа ном зохиолд тусгагдаагүй, мэдэгдэж буй аргууд нь вирусын эсрэг хэрэгслийн чадавхийг иж бүрэн үнэлэх боломжийг олгодоггүй тул энэ нь хор хөнөөлтэй програм хангамжийн эсрэг хэрэгслийн чадавхийг цогцоор нь үнэлэх боломжийг олгодоггүй. Эдгээр хэрэгслүүдийн үр нөлөөг иж бүрэн үнэлэх арга зүйг боловсруулах нь маш чухал бөгөөд энэ чиглэлтэй холбоотой асуудлыг арга зүйн болон хэрэглээний талаас нь нухацтай судлах шаардлагатай байна. Энэ бүхэн нь ОХУ-ын Мэдээллийн аюулгүй байдлын сургаал 111, түүнчлэн ОХУ-ын Дотоод хэргийн яамны Воронежийн хүрээлэнгийн шинжлэх ухааны чиглэлийн дагуу хийгдсэн энэхүү диссертацийн ажлын сэдвийн хамааралтай болохыг харуулж байна. мэдээллийн аюулгүй байдлын хэрэгсэл, системд тавигдах шаардлагыг үндэслэл болгох.

Судалгааны объект нь мэдээллийн салбарын эгзэгтэй хэсгүүдэд хортой программ хангамжтай тэмцэх технологи юм.

Судалгааны сэдэв нь мэдээллийн салбарын чухал сегментүүдэд хортой програмтай тэмцэх үр нөлөөг иж бүрэн үнэлэх арга юм.

Диссертацийн ажлын зорилго нь мэдээллийн салбарын эгзэгтэй сегмент дэх хортой програмын эсрэг үйл ажиллагааг үнэлэх арга барилыг сайжруулахад ашигладаг.

Зорилгодоо хүрэхийн тулд дараахь шинжлэх ухааны зорилтуудыг шийдвэрлэв.

Мэдээллийн салбарын чухал сегментүүдэд хортой програмтай тэмцэх үр дүнтэй байдлын цогц үзүүлэлтийг нэгтгэх системийн шаардлагуудын онолын үндэслэл;

Ийм үзүүлэлтийг нэгтгэх алгоритмыг боловсруулах;

Ашигласан хортой програмын эсрэг технологийн үр ашгийн хувийн үзүүлэлтүүдийн оновчтой бүтцийг бий болгох;

Ашигласан вирусын эсрэг технологийн үр ашгийн үзүүлэлтүүдийн үнэлгээг өгдөг аналитик болон симуляцийн загваруудыг боловсруулах;

Мэдээллийн салбарын чухал сегментүүдэд хортой програмтай тэмцэх үр нөлөөг цогцоор нь үнэлэх алгоритмын туршилтын туршилт.

Судалгааны аргууд. Уг ажилд системийн шинжилгээний аргууд, мэдээллийн аюулгүй байдлын онол, олонлогын онол, графикийн онол, математик загварчлал, магадлалын онол ба математик статистик, санамсаргүй үйл явцын онол зэргийг ашигласан.

Хүлээн авсан үр дүнгийн үнэн зөв, найдвартай байдлыг дараахь байдлаар баталгаажуулна.

Хортой програмтай тэмцэх үйл явцыг албан ёсны болгох явцад батлагдсан математик хэрэгслийг ашиглах;

Боловсруулсан математик загваруудын туршилтын баталгаажуулалт, олж авсан үр дүн нь шинжлэх ухааны уран зохиолоос мэдэгдэж буй тохиолдлуудад нийцэж байна.

Диссертацид олж авсан үр дүнгийн шинжлэх ухааны шинэлэг байдал, онолын ач холбогдол нь дараах байдалтай байна.

1. Мэдээллийн салбарын эгзэгтэй сегментүүдэд хортой программ хангамжийн эсрэг үр нөлөөг цогцоор нь үнэлэх алгоритмыг боловсруулсан бөгөөд энэ нь ижил төстэй асуудлыг шийдвэрлэх аргуудаас ялгаатай нь тодорхой үзүүлэлтүүдийг нэгтгэх нь тэдгээрийн нөлөөллийг харгалзан үзэх явдал юм. зорилтот функц дээр - мэдээллийн салбарт түүний аюулгүй байдлыг зөрчихөөс урьдчилан сэргийлэх зэрэг.

2. Загварчлал, аналитик загварчлалыг хослуулах арга зүйн хандлагыг вирусын эсрэг технологийн тодорхой үзүүлэлтүүдийг үнэлэхийг санал болгож байгаа бөгөөд энэ нь аналогиас ялгаатай нь судалж буй үйл явцын нарийвчилсан түвшинг хянах боломжийг олгодог.

3. Санамсаргүй хэмжигдэхүүний сонгодог дүрслэлийг эсэргүүцэхэд ашигладаг технологийн тодорхой үзүүлэлтүүдийн ижил төстэй байдлыг ашиглахад тулгуурлан хортой программыг эсэргүүцэх математик загвар бүтээх шинэ шийдлүүдийг санал болгосон.

Судалгааны практик үнэ цэнэ нь дараахь чиг үүргийг гүйцэтгэдэг мэдээллийн салбарын чухал сегментүүдэд хортой програмыг эсэргүүцэхэд ашигладаг технологийг үнэлэх үр дүнтэй шийдвэрийг дэмжих системийг боловсруулахад оршдог.

Ашигласан арга хэмжээний технологийн янз бүрийн практик сонголтуудын хувьд хортой програмтай тэмцэх тодорхой үзүүлэлтүүдэд дүн шинжилгээ хийх, нэгтгэх;

Практик ойлгоход тохиромжтой хортой програмын эсрэг технологийн шинжилгээний схемийг бүтээх;

Төрөл бүрийн вирусын эсрэг технологийн үр ашгийн үзүүлэлтүүдийн харьцуулалт.

Онолын болон туршилтын судалгааны үр дүнг дараахь шинжлэх ухаан, хэрэглээний асуудлыг шийдвэрлэхэд ашиглаж болно.

Мэдээллийн салбарын эгзэгтэй сегментүүдэд хортой програмтай тэмцэх ажлыг зохион байгуулах шинэ хандлагын үндэслэл;

Ашиглалтын явцад хортой програмыг эсэргүүцэх одоо байгаа технологид дүн шинжилгээ хийх.

Хүлээн авсан үр дүнг мэдээллийн аюулгүй байдлын үндсийг судлах, түүнчлэн мэдээллийн салбарын чухал сегментүүдийн аюулгүй байдлыг хариуцдаг боловсон хүчнийг давтан сургахад дээд боловсролын байгууллагуудын лекц, сургалтын материалд ашиглаж болно.

Диссертацийн ажлын дараах үндсэн заалтуудыг хамгаалалтад авна.

1. Хувийн үзүүлэлтүүдийн оновчтой бүтцийг бий болгох, түүнийг хортой програмтай тэмцэхэд ашигладаг технологийн үр нөлөөг үнэлэхэд ашиглахад үндэслэн мэдээллийн салбарын чухал сегментүүдэд хортой програмтай тэмцэх үр дүнтэй байдлын иж бүрэн үзүүлэлтийг нэгтгэх асуудлыг шийдвэрлэх мэдэгдэл, үр дүн .

2. Хорлонт програмын эсрэг технологийн тодорхой үзүүлэлтүүдийг үнэлэхийн тулд симуляци болон аналитик загварчлалыг хослуулах арга зүйн хандлага.

Ажлын үр дүнг хэрэгжүүлэх. Диссертацийн ажлын үр дүнг дараахь чиглэлээр хэрэгжүүлэв.

ОХУ-ын Батлан ​​хамгаалах яамны Радио электроникийн цэргийн дээд сургууль;

ОХУ-ын Дотоод хэргийн яамны Воронежийн дээд сургууль;

Воронеж мужийн Дотоод хэргийн ерөнхий газар;

Тамбов мужийн Дотоод хэргийн хэлтэс.

Үр дүнгийн хэрэгжилтийг холбогдох актуудаар баталгаажуулсан.

Ажлын баталгаажуулалт. Судалгааны үндсэн арга зүй, практик үр дүнг дараах хурал дээр танилцуулав.

Судалгааны үндсэн арга зүй, практик үр дүнг дараах хурал дээр танилцуулав.

1. Бүх Оросын шинжлэх ухаан, практикийн бага хурал "Гэмт хэрэгтэй тэмцэх орчин үеийн асуудал" - Воронеж, 2002 /48/.

2. “Мэдээлэл ба аюулгүй байдал” бүс хоорондын эрдэм шинжилгээ, практикийн бага хурал - Воронеж, 2002 /56/.

3. “Аюулгүй байдал, аюулгүй байдал, харилцаа холбоо” Бүх Оросын шинжлэх ухаан, практикийн IV бага хурал - Воронеж, 2003 /49/.

4. Бүх Оросын шинжлэх ухаан, практикийн бага хурал "Гэмт хэрэгтэй тэмцэх орчин үеийн асуудал" - Воронеж, 2005 /57/.

Хамтран хэвлэгдсэн бүтээлүүдэд өргөдөл гаргагч биечлэн санал болгосон: /28/-д - компьютерийн вирусыг тэдгээрийн ассоциатив, хуулбарлах, изоморфизмын шинж чанарын цогц шинж чанарыг харгалзан ангилах; -д /29/ - компьютерийн систем дэх мэдээлэлд зөвшөөрөлгүй нэвтрэх ерөнхий стратегийн үе шатуудыг хэрэгжүүлэхдээ компьютерийн вирусын янз бүрийн шинж чанарыг халдагчид ашиглах тухай дүрслэл; /30/-д тэдгээрийн идэвхжил, оршин тогтнох чадварыг хортой програмуудын шинж чанарын үндсэн ангилах шинж чанар гэж үзэх; -д /35/ - хууль сахиулах байгууллагын үйл ажиллагааг нууцлах шаардлагатайг тодорхойлсон нөхцөл байдлыг системчлэх; -д /48/ - хоёр түвшний системийг ашиглан компьютерийн мэдээллийн салбарт хууль бус үйлдлийг илрүүлэх, эхний түвшинд хууль бус үйлдлийн баримтыг илрүүлэх, хоёрдугаарт - ийм нөлөөллийн ул мөрийг тогтоох; -д /49/ - тооцоолох үйл явцын мэдээллийн параметрүүдийн семантик хяналтыг ашиглан компьютерийн сүлжээн дэх мэдээлэлд хууль бусаар нөлөөлсөн баримтуудыг тодорхойлох; -д /50/ - компьютерийн гэмт хэргийг илрүүлэх үндсэн зарчмын хувьд компьютерийн систем дэх мэдээлэлд зөвшөөрөлгүй нэвтрэх стратегийн шаталсан тодорхойлолтын зарчим; -д /53/ - компьютерийн гэмт хэргийн мөрдөн байцаалтын ажиллагаанд шүүхийн ач холбогдол бүхий мэдээллийн эх сурвалж болгон түгээсэн мэдээллийн хамгаалалтын технологийг ашиглах; -д /54/ - энэ төрлийн хууль бус үйлдлийн иж бүрэн шинж тэмдэг байгаа нь компьютерийн гэмт хэргийн илрүүлэлтийг нэмэгдүүлэх гол хүчин зүйл гэж үзэх; -д /56/ - мэдээлэл, харилцаа холбооны системийн аюулгүй байдлыг мэдээллийн аюулгүй байдалд заналхийлж буй аюулаас үнэлэх аргачлалыг үзүүлэлтүүдийн шаталсан бүтцийг бүрдүүлэх журам болгон авч үзэх, мэдээллийн функциональ загварын жишээ болгон тусгай хүчний дэглэмийн үйл ажиллагааг авч үзэх. ажилчдыг албан ёсны бичиг баримтаар хангах үйлчилгээ; -д /57/ - хувийн шалгуур үзүүлэлтүүдийн шаталсан бүтцэд тулгуурлан хортой програмтай тэмцэх үр нөлөөг үнэлэх цогц үзүүлэлтийг бүрдүүлэх; -д /67/ - мэдээллийн үйл явцын функциональ тодорхойлолтыг тэдгээрийг албажуулах зайлшгүй үе шат болгон ашиглах.

Ажлын бүтэц, хамрах хүрээ. Диссертаци нь 164 хуудастай бөгөөд удиртгал, дөрвөн бүлэг, дүгнэлт, ашигласан уран зохиолын ном зүй, хавсралтаас бүрдэх бөгөөд 51 зураг, 19 хүснэгтээс бүрдэнэ.

Үүнтэй төстэй диссертаци "Мэдээллийн аюулгүй байдал, мэдээллийн аюулгүй байдлын арга, систем" мэргэжлээр, 05.13.19 код VAK

• Мэдээллийн аюулгүй байдлын янз бүрийн хэрэгслийг ашиглан мэдээлэл, харилцаа холбооны системд зөвшөөрөлгүй нэвтрэхийг эсэргүүцэх математик загвар нь тооцооллын нөөцийн анхаарлыг сарниулахыг багасгадаг. 2002 он, техникийн шинжлэх ухааны нэр дэвшигч Кочедыков, Сергей Сергеевич

• Мэдээллийн аюулгүй байдалд заналхийлж буй заналхийлэлтэй тэмцэх хүрээнд дотоод хэргийн байгууллагуудын мэдээлэл, харилцаа холбооны нэгдсэн системийн нутаг дэвсгэрийн сегмент дэх мэдээллийн үйл явцыг загварчлах, оновчтой болгох. 2006, Техникийн шинжлэх ухааны нэр дэвшигч Чагина, Людмила Владимировна

• Компьютерийн мэдээллийн талбар дахь хууль бус үйлдлийг илрүүлэхийн тулд хамгаалагдсан мэдээллийн системд үзүүлэх хортой нөлөөллийн загварчлал. 2005 он, Техникийн шинжлэх ухааны нэр дэвшигч Тюнякин, Роман Николаевич

• Марковын далд загварууд дээр суурилсан хортой програмыг таних 2012 он, Техникийн шинжлэх ухааны нэр дэвшигч Козачок, Александр Васильевич

• Техникийн мэдээллийг хамгаалах чиглэлээр үйлчилгээ үзүүлэх хувийн хамгаалалтын нэгжүүдийн үр нөлөөг үнэлэх математик загварууд 2005, Техникийн шинжлэх ухааны нэр дэвшигч Федоров, Иван Семенович

Диссертацийн дүгнэлт "Мэдээллийн аюулгүй байдал, мэдээллийн аюулгүй байдлын арга, систем" сэдвээр Сушков, Павел Феликсович

4.4. дүгнэлт

1. Тооцооллын туршилтын төлөвлөгөөний дагуу эсрэг арга хэмжээг ашиглах янз бүрийн хувилбаруудад дүн шинжилгээ хийсний үндсэн дээр мэдээллийн салбарын чухал сегментүүдэд хортой програмын эсрэг үр нөлөөг үнэлэх нь зүйтэй.

2. Мэдээллийн салбарын чухал сегментүүдэд хортой програмтай тэмцэх үр нөлөөг үнэлэх диссертацид боловсруулсан аргуудыг ашиглах нь ашигласан математик загваруудын хүрээг 50% бууруулах боломжийг бидэнд олгодог.

3. Магадлалын хуваарийг ашигласны улмаас диссертацид санал болгож буй шалгуур үзүүлэлтүүдийн шаталсан бүтцийн нарийвчлалын шинж чанар нь мэдэгдэж буй нэгдсэн индикаторын бүтцийн нарийвчлалын шинж чанараас дор хаяж хоёр дахин өндөр байна.

4. Мэдээллийн салбарын эгзэгтэй сегментүүдэд хортой програмтай тэмцэх үр нөлөөг үнэлэх диссертацид боловсруулсан аргыг мэдээллийн объектын аюулгүй байдлыг үнэлэх бүх нийтийн арга гэж үзэж болно.

5-р түвшин

Мэдээллийн хамгаалалтын зорилго нь мэдээллийн аюулгүй байдлын зөрчлөөс үүсэх хохирлоос урьдчилан сэргийлэх явдал юм

4-р түвшин

3-р түвшин

2-р түвшин

Мэдээллийн нууцлалыг зөрчихөөс (алдагдах) урьдчилан сэргийлэх боломжууд

Инфоформацины бүрэн бүтэн байдлыг зөрчихөөс урьдчилан сэргийлэх боломжууд

Хажуугийн цахилгаан соронзон цацраг, хөндлөнгийн нөлөөллөөс болж мэдээлэл алдагдахаас хамгаалах боломжууд

Мэдээллийн хүртээмжийг (хаах) зөрчихөөс урьдчилан сэргийлэх боломжууд

Мэдээллийг зөвшөөрөлгүй нэвтрэхээс хамгаалах боломжууд

Ярианы мэдээллийг хамгаалах боломжууд (акустик сувгаар дамжихаас)

Аюул заналхийлэл үүсэхэд таатай нөхцөл байдлаас урьдчилан сэргийлэх боломжууд

NSD аюулаас урьдчилан сэргийлэх боломжууд 1

Физик талбараар дамжуулан мэдээлэл алдагдах аюулаас урьдчилан сэргийлэх боломжууд

Илрүүлсэн аюулын эх үүсвэрийн боломжууд

Woam< южк» ста по закрытию доступа в обход системы защиты и и форма-цкн

Төвийг сахисан ба сөрөг аюул заналхийллийн боломжууд NSD X X

Физик талбараар дамжуулан мэдээлэл алдагдах аюулыг саармагжуулах боломжууд X

NSD аюулыг илрүүлэх, нөлөөлөх боломжууд

PEMIN сувгаар дамжуулан мэдээлэл алдагдах аюулын нөлөөллийг илрүүлэх боломжууд

Акустик X сувгаар мэдээлэл алдагдах аюулыг илрүүлэх, нөлөөлөх боломжууд

NSD-ийн аюулд өртсөний дараа мэдээллийг сэргээх боломжууд

Ghemim сувгаар мэдээлэл алдагдах аюулд өртсөний дараа мэдээллийг сэргээх талаар BOiMG&HdCTtt

Боломж сэргээгдсэн!! акустик сувагт мэдээлэл алдагдах аюулд өртсөний дараа yu мэдээлэл

Магадгүй*

1-р түвшин

Магадгүй Магадгүй

Мэдээллийн нөөцийн нөөцөд хандах хандалтыг хязгаарлах удирдамж

ITKS ITKS

Мэдээллийн сувгаас цацраг туяа, хөндлөнгийн оролцоог нуух боломжууд (физик талбарууд)

Магадгүй

Хуурамч мэдээллийн талаархи STA (цацраг туяа, хөндлөнгийн оролцоог дуурайлган)

Мэдээллийг криптографийн хувиргалт хийх боломжууд

Магадгүй

TSOI болон ITKS-ийн элементүүдийг (элементүүдийн төлөв) хянах заавар

RF-ийн үүднээс TSIOI-ийн үйл ажиллагааны талаархи мэдээллийг бүртгэх боломжтой

Хэрэглэсэн болон ашиглагдаагүй мэдээллийг цаг тухайд нь устгах боломж

Хууль бус үйл ажиллагааны илрэл, заналхийллийн дохио өгөх боломж

PEMIN сувгаар мэдээлэл алдагдах аюулын илрэлийг дохиолох боломжууд

Аюул заналхийллийн илрэлд хариу үйлдэл үзүүлэхийн тулд акустик сувгаар мэдээлэл алдагдах аюулын илрэлийг дохио өгөх боломжууд (аюул заналхийллийг арилгах)

NSD-ийн илрэл, заналхийллийг англичлах боломжууд

Акустик сувгаар аюул заналхийллийн илрэл (аюул саармагжуулах) боломжтой.

Цагаан будаа. 4.3.2. Мэдээлэл, харилцаа холбооны системийн янз бүрийн техникийн систем, мэдээллийн аюулгүй байдлын хэрэгслийн үзүүлэлтүүдийн бүтэц

ДҮГНЭЛТ

Диссертацийн ажлын явцад олж авсан шинжлэх ухааны үндсэн үр дүн нь дараах байдалтай байна.

1. Мэдээллийн салбарын эгзэгтэй сегмент дэх хортой програмтай тэмцэх системийн үр нөлөөг ерөнхийд нь үнэлэх аргыг онолын хувьд үндэслэлтэй бөгөөд эсрэг арга хэмжээний тодорхой үзүүлэлтүүдийн бүтэц дээр үндэслэн практикт хэрэгжүүлдэг.

2. Хортой програмтай тэмцэх хувийн үзүүлэлтүүдийн бүтцийг оновчтой болгох аргыг боловсруулсан. Үүний дагуу дараахь зүйлийг санал болгож байна.

Эсрэг арга хэмжээний шинж чанарыг тууштай нэгтгэсэн шаталсан бүтэц хэлбэрээр эсрэг арга хэмжээний шалгуур үзүүлэлтүүдийг танилцуулах;

Шаталсан бүтцийн түвшинг мэдээллийн салбарын материаллаг баазыг бүрдүүлдэг компьютерийн сүлжээний аюулгүй байдлыг хангах эсрэг арга хэмжээ авах чадварын үндсэн ангилалд тохирсон шалгуур үзүүлэлтүүдийн багц хэлбэрээр үзүүлэв;

Хортой програмтай тэмцэх үр нөлөөг судлах хэрэгсэл болгон, эсрэг арга хэмжээний үйл явцыг дүрсэлсэн симуляци, аналитик загваруудыг ашигла.

3. Диссертацид боловсруулсан математик загваруудыг ашиглан тооцоолох туршилтын онолын зарчимд үндэслэн компьютерийн сүлжээг вирусын эсрэг хэрэгслээр тоноглох янз бүрийн хувилбаруудыг үнэлэх аргачлалыг боловсруулсан.

Диссертацид дараах шинэ практик үр дүнгүүд гарав.

1. Мэдээллийн салбарын эгзэгтэй сегментүүдэд хортой программ хангамжийн эсрэг боловсруулсан математик загваруудыг ашиглан хийсэн судалгаа нь дараахь зүйлийг батлах үндэслэл болж байна.

Мэдээллийн салбарын чухал сегмент дэх хортой програмын эсрэг үйл ажиллагааг үнэлэх диссертацид боловсруулсан аргуудыг ашиглах нь ашигласан математик загваруудын хүрээг 50% бууруулах боломжтой болгодог.

Магадлалын хуваарийг ашигласантай холбоотойгоор диссертацид санал болгож буй шалгуур үзүүлэлтүүдийн шаталсан бүтцийн нарийвчлалын шинж чанар нь мэдэгдэж буй нэгдсэн индикаторын бүтцийн нарийвчлалын шинж чанараас дор хаяж хоёр дахин өндөр байна.

Эдгээр үр дүнгийн практик ач холбогдол нь мэдээллийн салбарын эгзэгтэй сегментүүдэд хортой програмтай тэмцэх арга хэмжээг хэрэгжүүлэх боломжийн хэмжээг тооцоолох боломжийг олгодог.

2. Боловсруулсан арга, загвар, алгоритмууд нь мэдээллийн салбарын чухал сегментүүдэд хортой програмтай тэмцэх үр нөлөөг үнэлэх практик асуудлыг шийдвэрлэх арга зүйн дэмжлэгийг илэрхийлдэг. Мэдээллийн объектуудын мэдээллийн аюулгүй байдалд тулгарч буй ижил төстэй аюулаас хамгаалах аюулгүй байдлыг үнэлэхэд ижил төстэй асуудлыг шийдвэрлэхэд ашиглаж болно.

Диссертацийн судалгааны эх сурвалжийн жагсаалт Техникийн шинжлэх ухааны нэр дэвшигч Сушков, Павел Феликсович, 2005 он

1. Харилцаа холбоо. Дэлхий ба Орос. Төр, хөгжлийн чиг хандлага / Клещев Н.Т., Федулов А.А., Симонов В.М., Борисов Ю.А., Осенмук М.П., ​​Селиванов С.А. М.: Радио, харилцаа холбоо, 1999. - 480 х.

2. Хомяков Н.Н., Хомяков Д.Н. Террорист халдлагын үеийн атомын цахилгаан станцын аюулгүй байдалд хийсэн дүн шинжилгээ. // Аюулгүй байдлын систем. 2002. - No 2(44). - хуудас 74-76.

3. Мошков Г.Ю. Тээврийн хэрэгслийн аюулгүй байдлыг хангах нь бидний тэргүүлэх чиглэл юм. // Аюулгүй байдлын систем. - 2003. - No 6(48). - P. 8-9.

4. Агапов А.Н. Цөмийн болон цацрагийн аюулгүй байдал. Онцгой байдлын бэлэн байдал. // Аюулгүй байдлын систем. 2003. - No 2(50). - P. 8-10.

5. ОХУ-ын мэдээллийн аюулгүй байдлын сургаал // Российская газета 2000 оны 9-р сарын 28.

6. Герасименко В.А. Мэдээлэл боловсруулах автоматжуулсан систем дэх мэдээллийн хамгаалалт: 2 номонд: Ном. 1. М .: Energoatomizdat, 1994. - 400 х.

7. Герасименко В.А. Мэдээлэл боловсруулах автоматжуулсан систем дэх мэдээллийн хамгаалалт: 2 номонд: Ном. 2. М .: Energoatomizdat, 1994. - 176

8. Герасименко В.А., Малюк А.А. Мэдээллийн аюулгүй байдлын үндэс: ОХУ-ын Ерөнхий болон мэргэжлийн боловсролын яамны дээд боловсролын байгууллагуудад зориулсан сурах бичиг М.: MEPhI, 1997. - 538 х.

9. Мэдээллийн аюулгүй байдлын үндэс: ОХУ-ын Дотоод хэргийн яамны дээд боловсролын байгууллагуудад зориулсан сурах бичиг / Ed. Минаева, В.А. болон Skryl S.V. - Воронеж: ОХУ-ын Дотоод хэргийн яамны Воронежийн хүрээлэн, 2001. - 464 х.

10. Щербаков А.А. Хор хөнөөлтэй програм хангамжийн нөлөө. М.: "Эдел" хэвлэлийн газар, 1993. 64 х.

11. Мухин В.И. Мэдээлэл, програм хангамжийн зэвсэг. Хор хөнөөлтэй програм хангамжийн нөлөө. // Шинжлэх ухаан, арга зүйн материал. М.: Их Петрийн нэрэмжит Стратегийн пуужингийн цэргийн цэргийн академи, 1998.-44 х.

12. Скрил С.В. Автоматжуулсан мэдээллийн систем дэх мэдээллийг хулгайлах, гажуудуулах програм хангамжийн ангилал // Технологи, анагаах ухаан, боловсролын өндөр технологи: Их сургууль хоорондын цуглуулга. шинжлэх ухааны tr., 2-р хэсэг. Воронеж: VSTU, 1997. - P. 131-137.

13. Компьютерийн сүлжээ. Зарчим, технологи, протокол: Их дээд сургуулиудад зориулсан сурах бичиг. / В.Г. Олифер, Н.А. Олифер СПб.: Петр, 2003. - 864 х.

14. Сырков Б.Ю. Хакерын нүдээр компьютерийн систем // Технологи ба харилцаа холбоо. -1998. No 6. P. 98-100

15. Безруков Н.Н. Компьютерийн вирус судлалын танилцуулга. Үйл ажиллагааны ерөнхий зарчим, MS-DOS дахь хамгийн түгээмэл вирусуудын ангилал, каталог. Киев, 1989. - 196 х.

16. Безруков Н.Н. Компьютерийн вирус судлал: Лавлах гарын авлага. - Киев, 1991 он.

17. Безруков Н.Н. Компьютерийн вирусууд. - М., 1991. - 132 х.

18. Касперский Е.В. MS-DOS дахь компьютерийн вирусууд. М.: Эдель хэвлэлийн газар, 1992. - 120 х.

19. Касперский Е.В. Компьютерийн вирусууд, тэдгээр нь юу вэ, тэдэнтэй хэрхэн тэмцэх вэ. М .: "SK Press", 1998. - 288 х.

20. Fights F., Johnston P., Kratz M. Компьютерийн вирус: асуудал ба таамаглал. -М.: Мир, 1993. 175 х.

21. Гулиев Н.А. Компьютерийн вирус, дотроос нь харахад. М.: ДМК, 1998.-304 х.

22. Компьютерийн вирус дээр суурилсан хортой програмыг хөгжүүлэх технологи // E.G. Геннадьева, К.А. Разинкин, Ю.М. Сафонов, П.Ф. Сушков, Р.Н. Тюнякин // Мэдээлэл ба аюулгүй байдал. 1-р асуудал. - Воронеж: VSTU, 2002. - хуудас 79-85.

23. Хортой программыг вирусологийн аргаар бичих // JI.B. Чагина, К.С. Скрил, П.Ф. Сушков // Үйлдвэрлэлийн шинжлэх ухаан, 2005. - Дугаар 6. - хуудас 12-17.

24. Минаев В.А., Скрил С.В. Компьютерийн вирусууд нь системийн хор хөнөөл. // Хамгаалалтын систем SB-2002: Олон улсын мэдээлэлжүүлэлтийн форумын шинжлэх ухаан, техникийн XI бага хурлын материалууд - М.: GPS Академи, 2002. - P. 18-24.

25. Мэдээлэл дамжуулах систем, сүлжээ: Сурах бичиг. / M.V. Гаранин, В.И. Журавлев, С.В. Кунегин М.: Радио, харилцаа холбоо, 2001. - 336 х.

26. Харилцаа холбооны систем ба сүлжээ: Сурах бичиг 3 боть. 1-р боть Орчин үеийн технологи / B.I. Крук, В.Н. Попантонопуло, В.П. Шувалов - М.: Шуурхай утас - Телеком, 2003. - 647 х.

27. Компьютерийн систем, сүлжээн дэх мэдээллийг хамгаалах. / Романец Ю.В., Тимофеев П.А., Шангин В.Ф. М .: Радио, харилцаа холбоо, 2001. - 376 х.

28. Дотоод хэргийн байгууллагын үйл ажиллагаанд мэдээлэл авах эрхийг хязгаарлах зохион байгуулалт, эрх зүйн асуудлууд / Асяев П.И., Пожилых В.А., Сушков П.Ф., Белоусова И.А., Потанина И.В., Разинкин К.А. // Мэдээлэл ба аюулгүй байдал. - Дугаар 1. Воронеж: VSTU, 2002. - P. 43-47.

29. Kaspersky K. Сүлжээний халдлагын техник. Эсрэг үйл ажиллагааны техник. М.: Солон-Р, 2001.-397 х.

30. Сердюк В.А. Мэдээллийн халдлагыг илрүүлэх ирээдүйтэй технологиуд. // Аюулгүй байдлын систем. 2002. - No 5(47). - хуудас 96-97.

31. Мэдээллийн аюулгүй байдлын алгоритмыг програмчлах: Сурах бичиг. / Домашев А.В. Грунтович М.М., Попов В.О., Правиков Д.И., Прокофьев И.В., Щербаков А.Ю. М .: Мэдлэг, 2002. - 416 х.

32. Грушо А.А., Тимонина Е.Е. Мэдээллийн аюулгүй байдлын үндэс. М.: Дарвуулт онгоц, 1996.-192 х.

33. Хэлтсийн мэдээлэл, харилцаа холбооны системийн аюулгүй байдал. / Гетманцев А.А., Липатников В.А., Плотников А.М., Сапаев Е.Г. VAS, 1997. 200 х.

34. Скрил С.В. Хортой програмтай тэмцэх хүрээнд дотоод хэргийн байгууллагуудын автоматжуулсан хяналтын системийн ажиллагааг загварчлах, оновчтой болгох: Докторын диссертацийн хураангуй. технологи. Шинжлэх ухаан М.: ОХУ-ын Дотоод хэргийн яамны Төрийн галын албаны академи, 2000. - 48 х.

35. Joel T. Patz Antivirus програмууд / PC Magazine / Орос хэвлэл, 1996, No3 (46), хуудас 70-85

36. Doctor Web антивирусын ухаалаг технологи. / ХК "Диалогнаука". // Аюулгүй байдлын систем. 2002. - No 2(44). - хуудас 84-85.

37. Антимонов С.Г. Вирус-антивирусын фронт дахь оюуны сөргөлдөөн. // Мэдээлэл, аюулгүй байдал: Бүс хоорондын шинжлэх ухаан, практик ажлын материал. conf. Мэдээлэл, аюулгүй байдал. - Дугаар 2. - Воронеж: VSTU, 2002. - P. 39-46.

38. Воробьев В.Ф., Герасименко В.Г., Потанин В.Е., Скрыл С.В. Компьютерийн гэмт хэргийн ул мөрийг илрүүлэх хэрэгслийн загвар. Воронеж: ОХУ-ын Дотоод хэргийн яамны Воронежийн хүрээлэн, 1999. - 136 х.

39. Компьютерийн гэмт хэргийн ул мөр / Войналович В.Ю., Завгород-ний М.Г., Скрил С.В., Сумин В.И. // "Хууль сахиулах тогтолцоог мэдээлэлжүүлэх" олон улсын бага хурлын илтгэлийн хураангуй, 2-р хэсэг. М.: ОХУ-ын Дотоод хэргийн яамны Удирдлагын академи, 1997. х. 53-55.

40. Өндөр технологийн салбарын гэмт хэргийг мөрдөн шалгах анхан шатны мөрдөн байцаалтын ажиллагаа явуулах арга зүй. / Сушков П.Ф., Кочедыков С.С., Киселев В.В., Артемов А.А. ОХУ-ын VI Дотоод хэргийн яамны мэдээллийн 2(9)" 2001 - Воронеж: ОХУ-ын VI Дотоод хэргийн яам 2001. - P. 152-155.

41. Компьютерийн гэмт хэргийн илрүүлэлтийн түвшинг нэмэгдүүлэх // Богачев С.Ю., А.Н. Обухов, П.Ф. Сушков // Мэдээлэл ба аюулгүй байдал. Боть. 2. - Воронеж: VSTU, 2004. - P. 114 - 115.

42. Хууль бус үйлдлийн компьютер, техникийн шалгалт. // Сушков П.Ф. // ОХУ-ын Дотоод хэргийн яамны Воронежийн хүрээлэнгийн мэдээллийн товхимол. T. 4(19). -2004.-№4(19) - P. 52-55.

43. Мамиконов А.Г., Кулба В.В., Щелков А.Б. Автомат удирдлагын систем дэх мэдээллийн найдвартай байдал, хамгаалалт, нөөцлөлт. М .: Energoatomizdat, 1986. - 304 х.

44. Соколов А.В., Шангин В.Ф. Түгээмэл корпорацийн систем дэх мэдээллийн хамгаалалт. М .: DMK Press, 2002. - 656 х.

45. Хасин Е.В. Мэдээлэл, тооцооллын системийг хянах нэгдсэн арга. // MEPhI 2002 оны шинжлэх ухааны хуралдаан: Бүх Оросын шинжлэх ухаан, практикийн IX бага хурлын материал. conf. - М.: MEPhI, 2002. - P. 110-111.

46. ​​Бусленко Н.П. Нарийн төвөгтэй системийг загварчлах / N.P. Бусленко. - М.: Наука, 1978.-400 х.

47. Советов Б.Я. Системийн загварчлал: Их дээд сургуулиудад мэргэшүүлэх сурах бичиг. “Автомат удирдлагын систем” / Б.Я. Советов, С.А. Яковлев. - М.: Дээд сургууль, 1985. - 271 х.

48. Iglehart D.L. Дарааллын сүлжээг нөхөн сэргээх загварчлал: Per. англи хэлнээс / Д.Л. Иглехарт, Д.С. Шедлер. М .: Радио, харилцаа холбоо, 1984. - 136 х.

49. Бусленко В.Н. Нарийн төвөгтэй системийн симуляцийн загварчлалын автоматжуулалт / V.N. Бусленко. - М.: Наука, 1977. - 239 х.

50. Тараканов К.В. Системийг судлах аналитик аргууд / K.V. Тараканов, Л.А. Овчаров, А.Н. Тырышкин. - М.: Зөвлөлтийн радио, 1974. 240 х.

51. Вилкас Е.Ж., Майминас Э.З. Шийдэл: онол, мэдээлэл, загварчлал. М.: Радио, харилцаа холбоо, 1981. - 328 х. хуудас 91-96.

52. Тусгай зориулалтын мэдээллийн системийн хамгаалалтын үйл явцын бүтэцчилсэн загварчлалын зарчим. / П.И. Асяев, В.Н. Асеев, А.Р. Можайтов, В.Б. Щербаков, П.Ф. Сушков // Радио инженерчлэл (сэтгүүл доторх сэтгүүл), 2002, №11.

53. Татг У. Графикийн онол: Орч. англи хэлнээс М.: Мир, 1988. - 424 х.

54. Ventzel E.S. Магадлалын онол. М.: Физик-математикийн уран зохиолын хэвлэлийн газар, 1958. - 464 х.

55. Фортран дахь шинжлэх ухааны хөтөлбөрүүдийн цуглуулга. Боть. 1. Статистик. Нью Йорк, 1970. / Орч. англи хэлнээс М.: "Статистик", 1974. - 316 х.

56. Заряев А.В. Мэдээллийн аюулгүй байдлын мэргэжилтнүүдийн сургалт: менежментийн загвар: Монограф М.: "Радио ба харилцаа холбоо", 2003. - 210 х.

57. Kini P.JI., Raiffa X. Давуу болон орлуулах олон шалгуурын дагуу шийдвэр гаргах. М.: Радио, харилцаа холбоо, 1981. - 560 х.

58. Ларичев О.И. Шийдвэр гаргах шинжлэх ухаан ба урлаг. М.: Наука, 1979.-200 х.

59. Яковлев С.А. Мэдээллийн системийн дизайн дахь загварчлалын туршилтыг төлөвлөх асуудал. // Мэдээлэл боловсруулах, удирдах автоматжуулсан систем. Л.: 1986. - 254 х.

60. Doctor Web антивирусын ухаалаг технологиуд. / ХК "Диалогнаука". // Аюулгүй байдлын систем. 2002. - No 2(44). - хуудас 84-85.

61. Компьютерийн вирусын нэвтэрхий толь. / ТИЙМ. Козлов, А.А. Парандовский, А.К. Парандовский М.: "Солон-Р", 2001. - 457 х.

62. Joel T. Patz Antivirus програмууд / PC Magazine / Russian Edition, 1996, No 3 (46), 70-85 хуудас.

63. Мэдээллийн аюулгүй байдлын шаардлагын дагуу мэдээллийн аюулгүй байдлын хэрэгслийг баталгаажуулах систем No ROSS RU.OOI.OIBHOO. Мэдээллийн аюулгүй байдлын баталгаажсан хэрэгслийн улсын бүртгэл. ОХУ-ын Улсын техникийн комиссын албан ёсны вэбсайт, 2004 он.

64. Скрил С.В. Хортой програмтай тэмцэх хүрээнд дотоод хэргийн байгууллагуудын автоматжуулсан хяналтын системийн ажиллагааг загварчлах, оновчтой болгох: Докторын диссертацийн хураангуй. технологи. Шинжлэх ухаан М.: ОХУ-ын Дотоод хэргийн яамны Төрийн галын албаны академи, 2000. - 48 х.

65. Мэдээлэл, харилцаа холбооны систем дэх мэдээллийн аюулгүй байдлын үнэлгээ. / Минаев В.А., Скрыл С.В., Потанин В.Е., Дмитриев Ю.В. // Эдийн засаг ба үйлдвэрлэл. 2001. - No 4. - хуудас 27-29.

66. Ventzel E.S. Үйл ажиллагааны судалгаа М.: Зөвлөлтийн радио, 1972 - 552 х.

67. Задех Ж1.А. Хэл шинжлэлийн хувьсагчийн тухай ойлголт ба түүнийг ойролцоо шийдвэр гаргахад хэрэглэх. М.: Мир, 1976. - 168 х.

68. Поспелов Д.А. Хяналтын систем дэх логик хэл шинжлэлийн загварууд. М.: Эрчим хүч, 1981.-231 х.

69. Поспелов Д.А. Нөхцөл байдлын менежмент: онол ба практик. -М.: Наука, 1986.-284 х.

70. Raifa G. Шийдвэрийн дүн шинжилгээ (тодорхойгүй нөхцөлд сонголт хийх асуудлын талаархи танилцуулга). М.: Наука, 1977. - 408 х.

71. Хэл шинжлэлийн хувьсагч дээр суурилсан шийдвэр гаргах загварууд / A.N. Борисов, A.V. Алексев, О.А. Крумберг нар Рига: Зинатне, 1982. - 256 х.

72. Кофман А. Тодорхой бус олонлогийн онолын танилцуулга. М.: Радио, харилцаа холбоо, 1982. - 432 х.

73. Удирдлагын болон хиймэл оюун ухааны загвар дахь бүдэг олонлогууд. / Ред. ТИЙМ. Поспелов. М.: Наука, 1986. - 312 х.

74. судалгааны үр дүнг хэрэгжүүлэх акт

75. УМБГ-ын “К” хэлтсийн дэд дарга, цагдаагийн дэд хурандаа1. Комиссын гишүүд: Урлаг. УМБГ-ын “К” хэлтсийн мөрдөгч, цагдаагийн ахмад, УМБГ-ын “К” хэлтсийн мөрдөгч, цагдаагийн дэслэгч1. Соколовский I.V.1. Повалухин А.А.1. Раздымалин Р.С.41. БИ БАТЛСАН

76. Орлогч Тамбов мужийн Дотоод хэргийн газрын дарга, цагдаагийн дэд хурандаа1. Комиссын гишүүд: 1. B.J.I. Воротников

77. Тамбов мужийн ДТГ-ын “К” хэлтсийн дарга, цагдаагийн хошууч

78. Тамбов мужийн Дотоод хэргийн яамны USTM-ийн Дотоод хэргийн хэлтсийн ахлах мөрдөгч, цагдаагийн хошууч1. R.V. Белевитин1. А.В. Богданов

Дээр дурдсан шинжлэх ухааны эх бичвэрүүд нь зөвхөн мэдээллийн зорилгоор нийтлэгдсэн бөгөөд диссертацийн эх бичвэрийг таних (OCR) ашиглан олж авсан болохыг анхаарна уу. Тиймээс тэдгээр нь төгс бус таних алгоритмтай холбоотой алдаануудыг агуулж болно. Бидний хүргэж буй диссертаци, хураангуйн PDF файлд ийм алдаа байхгүй.