Og forebygging - forhindre infeksjon (modifisering) av filer eller operativsystemet med skadelig programvare.

Virusbeskyttelsesmetoder[ | ]

Tre grupper av metoder brukes for å beskytte mot virus:

1. Metoder basert på analyse av filinnhold(både datafiler og filer med kommandoer). Denne gruppen inkluderer skanning etter virussignaturer, samt integritetskontroll og skanning etter mistenkelige kommandoer.
2. Metoder basert på sporing av programmets oppførsel når du utfører dem. Disse metodene består i å logge alle hendelser som truer sikkerheten til systemet og oppstår enten under selve utføringen av testobjektet eller under programvareemuleringen.
3. Metoder regulering av arbeidsprosedyrer med filer og programmer. Disse metodene er administrative sikkerhetstiltak.

Signaturskanningsmetode(signaturanalyse, signaturmetode) er basert på å søke filer etter en unik sekvens av byte - signaturer, karakteristisk for et bestemt virus. For hvert nyoppdaget virus utfører en analyse, basert på hvilken signaturen bestemmes. Det resulterende virusfragmentet plasseres i en spesiell database med virussignaturer, som antivirusprogrammet fungerer med. Fordelen med denne metoden er den relativt lave andelen falske positiver, og den største ulempen er den grunnleggende umuligheten av å oppdage et nytt virus i systemet som det ikke er noen signatur for i antivirusprogramdatabasen, så rettidig oppdatering av signaturdatabasen er nødvendig.

Integritetskontrollmetode er basert på det faktum at enhver uventet og årsaksløs endring i data på disken er en mistenkelig hendelse som krever spesiell oppmerksomhet fra antivirussystemet. Viruset etterlater nødvendigvis bevis på sin tilstedeværelse (endringer i dataene til eksisterende (spesielt system- eller kjørbare) filer, utseendet til nye kjørbare filer, etc.). Faktum om dataendring - integritetsbrudd- etableres enkelt ved å sammenligne kontrollsummen (digest), beregnet på forhånd for testobjektets starttilstand, og kontrollsummen (digest) for den nåværende tilstanden til testsaken. Dersom de ikke stemmer overens betyr det at integriteten er krenket og det er all grunn til å foreta en ekstra sjekk for dette, for eksempel ved å skanne virussignaturer. Denne metoden fungerer raskere enn signaturskanningsmetoden, siden beregning av kontrollsummer krever mindre beregninger enn operasjonen av byte-for-byte-sammenligning av virusfragmenter, i tillegg lar den deg oppdage spor av aktiviteten til alle, inkludert ukjente, virus for som det ikke er noen signaturer i databasen ennå.

Metode for å skanne mistenkelige kommandoer(heuristisk skanning, heuristisk metode) er basert på å identifisere i den skannede filen et visst antall mistenkelige kommandoer og (eller) tegn på mistenkelige sekvenser (for eksempel en kommando for å formatere en harddisk eller en funksjon for å sette inn i en kjørende eller kjørbar fil prosess). Etter dette blir det gjort en antagelse om filens ondsinnede natur, og det tas ytterligere skritt for å sjekke den. Denne metoden er rask, men ganske ofte er den ikke i stand til å oppdage nye virus.

Metode for å spore programatferd er fundamentalt forskjellig fra skannemetodene for filinnhold nevnt tidligere. Denne metoden er basert på å analysere oppførselen til kjørende programmer, sammenlignet med å fange en kriminell "i hånden" på åstedet. Antivirusverktøy av denne typen krever ofte aktiv deltakelse fra brukeren, som blir bedt om å ta beslutninger som svar på en rekke systemadvarsler, hvorav mange senere kan vise seg å være falske alarmer. Frekvensen av falske positiver (mistenker et virus for en ufarlig fil eller mangler en ondsinnet fil) over en viss terskel gjør denne metoden ineffektiv, og brukeren kan slutte å svare på advarsler eller velge en optimistisk strategi (tillat alle handlinger for alle kjørende programmer eller deaktiver denne antivirusfunksjonen). Når du bruker antivirussystemer som analyserer oppførselen til programmer, er det alltid en risiko for å utføre viruskommandoer som kan forårsake skade på den beskyttede datamaskinen eller nettverket. For å eliminere denne ulempen ble det senere utviklet en emuleringsmetode (simuleringsmetode), som lar deg kjøre programmet som testes i et kunstig skapt (virtuelt) miljø, som ofte kalles en sandkasse, uten risiko for å skade informasjonsmiljøet. Bruken av metoder for å analysere programatferd har vist sin høye effektivitet i å oppdage både kjent og ukjent skadelig programvare.

Falske antivirus [ | ]

I 2009 begynte den aktive spredningen av falske antivirus [ ] - programvare som ikke er anti-virus (det vil si ikke har reell funksjonalitet for å motvirke skadelig programvare), men som utgir seg for å være det. Faktisk kan falske antivirus enten være programmer for å lure brukere og tjene penger i form av betalinger for å "kurere systemet for virus", eller vanlig skadelig programvare.

Spesielle antivirus[ | ]

I november 2014 ga den internasjonale Amnesty International ut Detect, et antivirusprogram utviklet for å oppdage skadevare distribuert av offentlige etater for å spionere på sivile aktivister og politiske motstandere. Antiviruset, ifølge skaperne, utfører en dypere skanning av harddisken enn konvensjonelle antivirus.

Antivirus effektivitet[ | ]

Analyseselskapet Imperva, som en del av Hacker Intelligence Initiative, publiserte en interessant studie som viser den lave effektiviteten til de fleste antivirus under reelle forhold.

I følge resultatene av ulike syntetiske tester viser antivirus en gjennomsnittlig effektivitet på rundt 97 %, men disse testene er utført på databaser med hundretusenvis av prøver, hvorav de aller fleste (kanskje rundt 97 %) ikke lenger er vant til utføre angrep.

Spørsmålet er hvor effektive antivirus er mot de mest aktuelle truslene. For å svare på dette spørsmålet innhentet Imperva og studenter fra Tel Aviv University 82 prøver av den nyeste malware fra russiske undergrunnsfora og testet dem mot VirusTotal, det vil si mot 42 antivirusmotorer. Resultatet var katastrofalt.

1. Effektiviteten til antivirus mot nylig kompilert skadelig programvare var mindre enn 5 %. Dette er et helt logisk resultat, siden virusskapere alltid tester dem mot VirusTotal-databasen.
2. Det tar opptil fire uker fra viruset dukker opp til det begynner å bli gjenkjent av antivirus. Dette tallet oppnås av "elite" antivirus, mens for andre antivirus kan perioden nå opptil 9-12 måneder. For eksempel, i begynnelsen av studien 9. februar 2012, ble en ny prøve av det falske Google Chrome-installasjonsprogrammet testet. Etter slutten av studien 17. november 2012, oppdaget bare 23 av 42 antivirus det.
3. Antivirus med den høyeste prosentandelen av skadelig programvare har også en høy prosentandel av falske positiver.
4. Selv om studien neppe kan kalles objektiv, fordi utvalget av skadevare var for lite, kan det antas at antivirus er helt uegnet mot nye cybertrusler.

Klassifikasjoner av antivirusprogrammer[ | ]

Antivirusprogrammer er delt inn etter kjøring (blokkeringsmidler) i:

• programvare;
• programvare og maskinvare.

Basert på plassering i RAM, skilles følgende ut:

• resident (de begynner arbeidet når operativsystemet starter, er konstant i datamaskinens minne og skanner automatisk filer);
• ikke-bosatt (lansert på brukerens forespørsel eller i samsvar med tidsplanen spesifisert for dem).

I henhold til typen (metoden) for beskyttelse mot virus, skilles de ut:

I samsvar med den forskriftsmessige rettsakten til FSTEC i Russland "Krav innen teknisk regulering for produkter som brukes til å beskytte informasjon som utgjør en statshemmelighet eller klassifisert som annen informasjon med begrenset tilgang beskyttet i samsvar med lovgivningen i Den russiske føderasjonen (krav for antivirusbeskyttelsesmidler)” (godkjent . etter ordre fra FSTEC i Russland datert 20. mars 2012 nr. 28) skilles følgende typer antivirusbeskyttelse:

• type "A" - antivirusbeskyttelsesverktøy (komponenter av antivirusbeskyttelsesverktøy), beregnet for sentralisert administrasjon av antivirusbeskyttelsesverktøy installert på informasjonssystemkomponenter (servere, automatiserte arbeidsstasjoner);
• type "B" - antivirusbeskyttelsesverktøy (komponenter av antivirusbeskyttelsesverktøy) beregnet for bruk på informasjonssystemservere;
• type "B" - antivirusbeskyttelsesverktøy (komponenter av antivirusbeskyttelsesverktøy) beregnet for bruk på automatiserte arbeidsstasjoner i informasjonssystemer;
• type "G" - antivirusbeskyttelsesverktøy (komponenter av antivirusbeskyttelsesverktøy) beregnet for bruk i autonome automatiserte arbeidsstasjoner.

Antivirusbeskyttelsesverktøy av type "A" brukes ikke i informasjonssystemer uavhengig og er kun beregnet for bruk i forbindelse med antivirusbeskyttelsesverktøy av typene "B" og (eller) "C".

Ordet "bot" er en forkortelse for ordet "robot". En bot er et stykke kode som utfører en viss funksjonalitet for eieren, som er forfatteren av denne koden. Bots (bot) er en type skadelig programvare som er installert på tusenvis av datamaskiner. Datamaskinen som boten er installert på kalles zombie(zombie). Boten mottar kommandoer fra eieren og tvinger den infiserte datamaskinen til å utføre dem. Slike kommandoer kan være å sende spam, virus eller utføre angrep. Angriperen foretrekker å utføre slike handlinger ved hjelp av roboter i stedet for sin egen datamaskin, siden dette lar ham unngå oppdagelse og identifikasjon.

Et sett med zombiedatamaskiner som er kompromittert av en angriper som roboter er installert på kalles botnett (botnett). For å lage et botnett bryter hackere seg inn i tusenvis av systemer, og sender ondsinnet kode på en rekke forskjellige måter: som vedlegg til e-postmeldinger, gjennom kompromitterte nettsteder, ved å sende lenker til ondsinnede nettsteder som vedlegg til e-postmeldinger, etc. Hvis den er installert på brukerens datamaskin, sender den ondsinnede koden en melding til angriperen om at systemet har blitt hacket og nå er tilgjengelig for angriperen, som kan bruke den etter eget ønske. Han kan for eksempel bruke det opprettede botnettet til å utføre kraftige angrep eller leie det ut til spammere. Dessuten er de fleste datamaskinene som er inkludert i botnettet hjemmedatamaskiner til intetanende brukere.

Eieren av dette botnettet fjernkontrollerer systemene som er inkludert i det, vanligvis gjennom IRC-protokollen (Internet Relay Chat).

De grunnleggende trinnene for å opprette og bruke botnett er gitt nedenfor:

1. Hackeren bruker ulike metoder for å sende potensielle ofre ondsinnet kode som inneholder bot-programvare.
2. Etter vellykket installasjon på offerets system, etablerer boten kontakt med botnettets kontrollserver, kommuniserer med den via IRC eller en spesiell webserver, i samsvar med det som er spesifisert i koden. Etter dette overtar kontrollserveren kontrollen over den nye boten.
3. Spammeren betaler hackeren for å bruke systemene til botnettet hans, hackeren sender de riktige kommandoene til kontrollserveren, og kontrollserveren instruerer på sin side alle infiserte systemer inkludert i botnettet om å sende spam.

Spammere bruker denne metoden fordi den øker sannsynligheten betraktelig for at meldingene deres når mottakere, og omgår de installerte spamfiltrene deres. slike meldinger vil ikke bli sendt fra én adresse, som raskt vil bli blokkert eller lagt til alle "svartelister", men fra mange reelle adresser til eierne av hackede datamaskiner.

For å lage et botnett gjør dens fremtidige eier enten alt selv eller betaler hackere for å utvikle og distribuere skadelig programvare for å infisere systemer som vil bli en del av botnettet hans. Og så vil eieren av botnettet bli kontaktet og betalt av de som vil fortelle deg om sine nye produkter, samt de som trenger å angripe konkurrenter, stjele personlige data eller brukerpassord og mange andre.

Tradisjonell antivirusprogramvare bruker signaturer for å oppdage skadelig kode. Signaturer er fingeravtrykk av ondsinnet kode laget av antivirusprogramvareprodusenten. Signaturen er kodefragmenter hentet fra selve viruset. Et antivirusprogram skanner filer, e-poster og andre data som går gjennom bestemte datamaskiner og sammenligner dem med databasen med virussignaturer. Når et samsvar oppdages, utfører antivirusprogrammet en forhåndskonfigurert handling, som kan være å sende den infiserte filen i karantene, forsøke å "kurere" filen (fjerne viruset), vise et advarselsvindu for brukeren, og/eller ta opp en hendelse i .

Signaturbasert gjenkjenning av ondsinnet kode er en effektiv måte å oppdage skadelig programvare på, men det er visse forsinkelser i å svare på nye trusler. Etter at et virus først er oppdaget, må antivirusprodusenten studere viruset, utvikle og teste nye signaturer, gi ut en oppdatering til signaturdatabasen, og alle brukere må laste ned oppdateringen. Hvis den ondsinnede koden ganske enkelt sender bildene dine til alle vennene dine, er ikke denne forsinkelsen så kritisk. Men hvis skadevaren ligner på Slammer-ormen, kan skaden fra en slik forsinkelse være katastrofal.

MERK. Slammer-ormen dukket opp i 2003. Han utnyttet en sårbarhet i Microsoft SQL Server 2000 DBMS som tillot ham å forårsake tjenestenekt. Etter noen estimater forårsaket Slammer mer enn 1 milliard dollar i skade.

Med ny skadelig programvare som opprettes daglig, er det vanskelig for produsenter av antivirusprogramvare å følge med. Virussignaturteknologi lar deg oppdage virus som allerede er identifisert og som det er opprettet en signatur for. Men fordi virusforfattere er så produktive og mange virus kan endre koden, er det viktig at antivirusprogramvare har andre mekanismer for å oppdage skadelig kode.

En annen metode som nesten alle antivirusprogramvareprodukter bruker, er å oppdage ondsinnet kode basert på heuristisk analyse (heuristisk deteksjon). Denne metoden analyserer den generelle strukturen til den skadelige koden, evaluerer instruksjonene og algoritmene som utføres av koden, og studerer datatypene som brukes av det skadelige programmet. Dermed samler den inn en stor mengde informasjon om et stykke kode og vurderer sannsynligheten for at det er ondsinnet. Den bruker en slags "mistenkelighetsteller", som øker etter hvert som antivirusprogrammet finner nye potensielt farlige (mistenkelige) egenskaper i den. Når en forhåndsbestemt terskel er nådd, anses koden som farlig, og antivirusprogrammet setter i gang passende forsvarsmekanismer. Dette lar antivirusprogramvare gjenkjenne ukjent skadelig programvare i stedet for å bare stole på signaturer.

Tenk på følgende analogi. Ivan er en politimann, han jobber for å fange skurkene og låse dem inne. Hvis Ivan skal bruke signaturmetoden, sammenligner han stabler med fotografier av hver person han ser på gaten. Når han ser en fyrstikk, fanger han raskt den slemme fyren og setter ham i patruljebilen sin. Hvis han skal bruke en heuristisk metode, ser han etter mistenkelige aktiviteter. Hvis han for eksempel ser en mann i skimaske stå foran en bank, vurderer han sannsynligheten for at han er en raner og ikke bare en kald fyr som ber om vekslepenger fra bankkunder.

MERK. Diskløse arbeidsstasjoner er også sårbare for virus, til tross for mangelen på en harddisk og et fullverdig operativsystem. De kan være infisert med virus som laster ned og lever i minnet. Slike systemer kan restartes eksternt (remote reboot) for å tømme minnet og returnere det til sin opprinnelige tilstand, dvs. viruset lever kort i et slikt system.

Noen antivirusprodukter lager et kunstig miljø kalt en virtuell maskin eller sandkasse og lar noe av den mistenkelige koden kjøres i et beskyttet miljø. Dette gir antivirusprogrammet muligheten til å se koden i aksjon, noe som gir mye mer informasjon for å avgjøre om den er skadelig eller ikke.

MERK. En virtuell maskin eller sandkasse kalles noen ganger emuleringsbuffer(emuleringsbuffer). Dette er det samme som et beskyttet minnesegment, så selv om koden viser seg å være skadelig, vil systemet fortsatt være trygt.

Å analysere informasjon om en kodebit kalles statisk analyse , hvis du kjører et stykke kode på en virtuell maskin, kalles dette dynamisk analyse . Begge disse metodene regnes som heuristiske deteksjonsmetoder.

Vaksinasjon. En annen tilnærming som noen antivirusprogrammer har brukt kalles vaksinasjon(immunisering). Produkter med denne funksjonaliteten gjorde endringer i filer og diskområder for å få dem til å se ut som om de allerede var infisert. I dette tilfellet kan viruset bestemme at filen (disken) allerede er infisert og vil ikke gjøre noen ytterligere endringer, og gå videre til neste fil.

Et vaksinasjonsprogram er som regel rettet mot et spesifikt virus, siden hver av dem sjekker infeksjonen forskjellig og ser etter forskjellige data (signaturer) i filen (på disk). Imidlertid øker antallet virus og annen skadelig programvare stadig, og det samme er antallet filer som må beskyttes, så denne tilnærmingen er foreløpig ikke praktisk i de fleste tilfeller, og antivirusprodusenter bruker den ikke lenger.

For øyeblikket, selv med alle disse sofistikerte og effektive tilnærmingene, er det ingen absolutt garanti for effektiviteten til antivirusverktøy, siden virusforfattere er veldig utspekulerte. Det er et konstant spill med katt og mus som foregår hver dag. Antivirusindustrien finner en ny måte å oppdage skadelig programvare på, og neste uke finner virusskribenter en vei rundt denne nye metoden. Dette tvinger antivirusprodusenter til stadig å øke intelligensen til produktene sine, og brukere må kjøpe nye versjoner av dem hvert år.

Det neste trinnet i utviklingen av antivirusprogramvare kalles atferdsblokkere (atferdsblokker). Antivirusprogramvare som utfører atferdsblokkering tillater i hovedsak mistenkelig kode å kjøre på et ubeskyttet operativsystem og overvåker interaksjonen med operativsystemet, og tar hensyn til mistenkelig aktivitet. Spesielt overvåker antivirusprogramvare for følgende typer aktivitet:

• Skrive til filer som lastes automatisk ved systemstart eller til oppstartsseksjoner i systemregisteret
• Åpne, slette eller endre filer
• Inkludert skript i e-postmeldinger for å sende kjørbar kode
• Kobler til nettverksressurser eller delte mapper
• Endring av logikken til kjørbar kode
• Opprette eller endre makroer og skript
• Formatere harddisken eller skrive til oppstartssektoren

Hvis et antivirusprogram oppdager noen av disse potensielt farlige aktivitetene, kan det tvinge programmet til å avslutte og varsle brukeren. Den nye generasjonen atferdsblokkere analyserer faktisk rekkefølgen av slike handlinger før de bestemmer seg for at systemet er infisert (den første generasjonen av atferdsblokkere utløste ganske enkelt individuelle handlinger, noe som førte til et stort antall falske positive). Moderne antivirusprogramvare kan avskjære kjøringen av farlige stykker kode og hindre dem i å samhandle med andre kjørende prosesser. De kan også oppdage. Noen av disse antivirusprogrammene lar deg "rulle tilbake" systemet til tilstanden det var i før infeksjonen, og "slette" alle endringer gjort av den skadelige koden.

Det ser ut til at atferdsblokkere fullstendig kan løse alle problemene forbundet med ondsinnet kode, men de har en ulempe, som krever slik overvåking av ondsinnet kode i sanntid, ellers kan systemet fortsatt være infisert. I tillegg krever konstant overvåking en stor mengde systemressurser...

MERK. Heuristisk analyse og atferdsbasert blokkering regnes som proaktive teknikker og kan oppdage ny skadelig programvare, noen ganger kalt zero-day-angrep. Signaturbasert oppdagelse av skadelig programvare kan ikke identifisere ny skadelig programvare.

De fleste antivirusprogrammer bruker en kombinasjon av alle disse teknologiene for å gi best mulig beskyttelse. Utvalgte anti-malware-løsninger er vist i figur 9-20.

Figur 9-20. Produsenter av antivirusprogramvare bruker forskjellige metoder for å oppdage ondsinnet kode

Vi er alle veldig lei av e-poster som ber oss kjøpe noe vi ikke trenger. Slike bokstaver kalles spam (spam) er uønskede e-postmeldinger. Spam distraherer ikke bare mottakerne fra virksomheten deres, men bruker betydelig nettverksbåndbredde og kan også være en kilde til skadelig programvare. Mange selskaper bruker spamfiltre på e-postserverne sine, og brukere kan konfigurere spamfiltreringsregler i e-postklientene sine. Men spammere, så vel som virusskribenter, kommer stadig opp med nye og geniale måter å omgå spamfiltre på.

Effektiv spam-deteksjon har blitt en ekte vitenskap. En av metodene som brukes kalles Bayesiansk filtrering (Bayesiansk filtrering). For mange år siden utviklet en herremann ved navn Thomas Bayes (matematiker) en effektiv måte å forutsi sannsynligheten for forekomst av hendelser ved hjelp av matematikk. Bayes' teorem lar oss bestemme sannsynligheten for at en hendelse skjedde i nærvær av kun indirekte bevis (data), som kan være unøyaktige. Konseptuelt er dette ikke så vanskelig å forstå. Hvis du slår hodet mot en murvegg tre ganger og falt hver gang, kan du konkludere med at ytterligere forsøk vil føre til de samme smertefulle resultatene. Det er mer interessant når denne logikken brukes på handlinger som inneholder mange flere variabler. For eksempel, hvordan fungerer et spamfilter som ikke tillater brev fra deg med tilbud om å kjøpe Viagra, men som ikke forhindrer levering av post fra vennen din som er veldig interessert i dette stoffet og skriver meldinger om dets egenskaper og effekter på kroppen? Bayes-filteret bruker statistisk modellering på ordene som utgjør e-postmeldinger. Matematiske formler utføres på disse ordene for fullt ut å forstå deres forhold til hverandre. Bayes-filteret utfører frekvensanalyse på hvert ord og evaluerer deretter meldingen som helhet for å avgjøre om det er spam eller ikke.

Dette filteret ser ikke bare etter ordene "Viagra", "sex" osv., det ser på hvor ofte disse ordene brukes og i hvilken rekkefølge for å avgjøre om en melding er spam. Dessverre vet spammere hvordan disse filtrene fungerer og manipulerer ord i emnelinjen og brødteksten i meldingen for å prøve å lure spamfilteret. Dette er grunnen til at du kan motta spammeldinger med feilstavinger eller ord som bruker symboler i stedet for bokstaver. Spammere er veldig interessert i at du mottar meldingene deres fordi de tjener mye penger på det.

Å beskytte selskaper mot et bredt spekter av skadelig programvare krever mer enn bare antivirusprogramvare. Som med andre komponenter, kreves det visse ekstra administrative, fysiske og tekniske sikkerhetstiltak som skal implementeres og vedlikeholdes.

Bedriften må ha en egen antiviruspolicy, eller det må tas hensyn til antivirusbeskyttelsesproblemer i den generelle. Må utvikles som definerer typene antivirus- og antispywareprogramvare som kreves for bruk i selskapet, samt hovedparametrene for deres konfigurasjon.

Informasjon om virusangrep, antivirusbeskyttelsesverktøy som brukes, samt atferd som forventes av brukere, bør gis i programmet. Hver bruker bør vite hva de bør gjøre og hvor de skal gå hvis det oppdages et virus på datamaskinen. Standarden skal adressere alle problemstillinger knyttet til brukerhandlinger knyttet til ondsinnet kode, og skal angi hva brukeren må gjøre og hva han har forbud mot å gjøre. Spesielt bør standarden inneholde følgende spørsmål:

• Antivirusprogramvare må være installert på hver arbeidsstasjon, server, kommunikator og smarttelefon.
• Hver av disse enhetene må ha en måte å automatisk oppdatere antivirussignaturer på, som må være aktivert og konfigurert på hver enhet.
• Brukeren skal ikke kunne deaktivere antivirusprogramvare.
• Virusfjerningsprosessen må utvikles og planlegges på forhånd, og en kontaktperson må identifiseres og utpekes i tilfelle skadelig kode oppdages.
• Alle eksterne stasjoner (USB-stasjoner osv.) skal skannes automatisk.
• Sikkerhetskopier filer bør skannes.
• Antivirus retningslinjer og prosedyrer bør gjennomgås årlig.
• Antivirusprogramvaren du bruker må gi beskyttelse mot oppstartsvirus.
• Antivirusskanning må utføres uavhengig på gatewayen og på hver enkelt enhet.
• Antivirusskanning skal kjøres automatisk etter en tidsplan. Du trenger ikke stole på at brukerne kjører skanninger manuelt.
• Kritiske systemer må være fysisk beskyttet på en slik måte at lokal installasjon av skadelig programvare på dem er umulig.

Fordi skadelig programvare kan forårsake millioner av dollar i skade (i driftskostnader, tapt produktivitet), installerer mange selskaper antivirusløsninger ved alle nettverksinnganger. En antivirusskanner kan integreres i e-postserverprogramvaren, eller . Denne antivirusskanneren sjekker all innkommende trafikk for tilstedeværelse av skadelig kode for å oppdage og stoppe den på forhånd, selv før den når det interne nettverket. Produkter som implementerer denne funksjonaliteten kan skanne trafikk fra SMTP, HTTP, FTP og muligens andre protokoller. Men det er viktig å forstå at et slikt produkt overvåker kun én eller to protokoller, og ikke all innkommende trafikk. Dette er en av grunnene til at hver server og arbeidsstasjon også bør ha antivirusprogramvare installert.

I artikkel 273 i den russiske føderasjonens straffelov, under skadevare refererer til dataprogrammer eller endringer i eksisterende programmer som "bevisst fører til uautorisert ødeleggelse, blokkering, modifikasjon eller kopiering av informasjon, forstyrrelse av driften av en datamaskin, datasystem eller deres nettverk."

Microsoft Corporation bruker begrepet skadelig programvare, og definerer det som følger: "skadelig programvare er en forkortelse for skadelig programvare, vanligvis brukt som et vanlig begrep for å referere til programvare som er spesielt utviklet for å forårsake skade på en individuell datamaskin, server eller datanettverk, uavhengig av enten det er et virus, spionprogram osv.

Skaden forårsaket av slik programvare kan omfatte skade på:

• programvare og maskinvare til datamaskinen (nettverket) angrepet av inntrengeren;
• databrukerdata;
• til datamaskinbrukeren selv (indirekte);
• brukere av andre datamaskiner (indirekte).

Spesifikk skade på brukere og (eller) eiere av datasystemer og nettverk kan omfatte følgende:

• lekkasje og (eller) tap av verdifull informasjon (inkludert finansiell informasjon);
• unormal oppførsel av programvare installert i systemet;
• en kraftig økning i innkommende og (eller) utgående trafikk;
• nedgang eller fullstendig svikt i datanettverket;
• tap av arbeidstid for organisasjonens ansatte;
• lovbryterens tilgang til ressursene til bedriftens datanettverk;
• risiko for å bli utsatt for svindel.

Tegn på skadelig programvare inkluderer følgende:

• skjule din tilstedeværelse i et datasystem;
• implementering av selvduplikering, assosiering av koden din med andre programmer, overføring av koden til tidligere ledige områder av datamaskinens minne;
• forvrengning av koden til andre programmer i datamaskinens RAM;
• lagre data fra RAM-en til andre prosesser i andre områder av datamaskinens minne;
• forvrengning, blokkering, erstatning av lagrede eller overførte data oppnådd som et resultat av driften av andre programmer eller som allerede er plassert i datamaskinens eksterne minne;
• feilaktig informere brukeren om handlingene som angivelig er utført av programmet.

Et ondsinnet program kan bare ha én av egenskapene som er oppført ovenfor eller en kombinasjon av dem. Det er klart at listen ovenfor ikke er uttømmende.

Basert på tilstedeværelsen av materielle fordeler, kan skadelig programvare (programvare) deles inn i:

• ikke gi direkte materiell fordel til personen som utviklet (installerte) det ondsinnede programmet (utviklet basert på hooliganisme, "spøk", hærverk, inkludert på religiøse, nasjonalistiske, politiske grunner, selvbekreftelse og ønsket om å bekrefte ens kvalifikasjoner);
• bringe direkte materiell fordel til lovbryteren i form av tyveri av konfidensiell informasjon, inkludert tilgang til bank-klientsystemer, innhenting av PIN-koder for kredittkort og andre personopplysninger om brukeren, samt få kontroll over eksterne datasystemer for formålet med å distribuere spam fra en rekke "infiserte" datamaskiner (zombie-datamaskiner).

Basert på formålet med utviklingen, kan skadelig programvare deles inn i:

• Programvare som opprinnelig ble utviklet spesielt for å få uautorisert tilgang til informasjon som er lagret på en datamaskin med sikte på å forårsake skade på eieren av informasjonen og (eller) eieren av datamaskinen (datanettverket);
• Programvare som i utgangspunktet ikke ble utviklet spesielt for å få uautorisert tilgang til informasjon som er lagret på en datamaskin, og som i utgangspunktet ikke var ment å forårsake skade på eieren av informasjonen og (eller) eieren av datamaskinen (datanettverket).

Nylig har det vært en kriminalisering av skadevareindustrien, noe som har resultert i følgende:

• tyveri av konfidensiell informasjon (forretningshemmeligheter, personopplysninger);
• opprette zombienettverk ("botnettverk") designet for å sende spam, distribuerte denial of service-angrep (DDoS-angrep), og introdusere trojanske proxy-servere;
• kryptering av brukerinformasjon med påfølgende krav om utpressing og løsepenger;
• angrep på antivirusprodukter;
• såkalt flushing (permanent denial of service - PDoS).

Denial of service-angrep brukes nå ikke så mye som et verktøy for å presse penger fra ofre, men som et middel for politisk og konkurransedyktig krigføring. Hvis tidligere DoS-angrep kun var et verktøy i hendene på utpressingshackere eller hooligans, har de nå blitt den samme varen som spam-utsendelser eller skreddersydd skadevare. Annonsering av DoS-angrepstjenester har blitt vanlig, og prisene er allerede sammenlignbare med kostnadene ved å organisere spam-utsendelser.

Bedrifter som spesialiserer seg på data- og nettverkssikkerhet tar hensyn til en ny type trussel – såkalt permanent denial of service (ROoS). Den nye typen angrep fikk et annet navn - rødming. Det er potensielt i stand til å forårsake mye mer skade på systemet enn noen annen type ondsinnet nettverksaktivitet, siden den er rettet mot å deaktivere datautstyr. RooB-angrep er mer effektive og billigere enn tradisjonelle typer angrep, der hackeren prøver å installere skadevare på offerets system. Når du blinker, er målet for angrepet programmer i VUB-flashminnet og enhetsdrivere, som, når de er skadet, forstyrrer driften av enhetene og potensielt er i stand til å ødelegge dem fysisk.

En annen type angrep rettet mot å stjele konfidensiell informasjon er når angripere introduserer et ondsinnet program i et selskaps informasjonssystem som kan blokkere driften av systemet. På neste trinn mottar det angrepne selskapet et brev fra kriminelle som krever penger for et passord som lar dem låse opp selskapets datasystem. En annen lignende måte å tjene penger ulovlig på nett er å starte trojanske programmer på datamaskinen din som kan kryptere data. Dekrypteringsnøkkelen sendes også av kriminelle for en viss pengebelønning.

Personopplysningene til brukeren av den angrepne datamaskinen som er av interesse for angriperen inkluderer:

• dokumenter og andre brukerdata lagret i datamaskinens minne;
• kontonavn og passord for tilgang til ulike nettverksressurser (elektroniske penger og betalingssystemer, Internett-auksjoner, Internett-personsøkere, e-post, Internett-sider og -fora, nettspill);
• e-postadresser til andre brukere, 1P-adresser til andre datamaskiner på nettverket.

Takket være de nye mulighetene Internett gir, og spesielt den utbredte spredningen av sosiale nettverk, henvender et økende antall mennesker seg regelmessig til Internett-ressurser og blir ofre for stadig mer sofistikerte angrep, hvis formål er å både stjele konfidensiell brukerdata og «zombie» " datamaskinene deres med det formål å senere bruke ressursene deres av overtredere.

Den effektive driften av et "zombie"-nettverk bestemmes av tre komponenter som det konvensjonelt består av:

• et lasteprogram hvis oppgave er å distribuere sin egen kode og koden til bot-programmet som utfører hovedarbeidet;
• et bot-program som samler inn og overfører konfidensiell informasjon, sender spam, deltar i et EEoB-angrep og andre handlinger som er tildelt det av overtrederen;
• en botnett-kontrollmodul som samler informasjon fra bot-programmer og sender dem oppdateringer og om nødvendig nye konfigurasjonsfiler som "retarget" bot-programmene.

Eksempler på antivirusprogramvare installert på brukeren for å motvirke skadelig programvare er:

• tvungen stopp av antivirusskanneren eller skjermen;
• endre sikkerhetssysteminnstillingene for å lette implementeringen og driften av det skadelige programmet;
• automatisk klikk på "Hopp over"-knappen etter at brukeren mottar en advarsel om oppdaget skadelig programvare;
• skjule din tilstedeværelse i systemet (såkalte "rootkits");
• komplisere antivirusanalyse gjennom ytterligere transformasjon av ondsinnet kode (kryptering, tilsløring eller tilsløring, polymorfisme, pakking).

Inntil de siste årene var arbeidet med antivirusprogrammer utelukkende basert på analyse av innholdet i det skannede objektet. Samtidig brukte den tidligere signaturbaserte metoden for å oppdage virus (den såkalte skanningen) et søk etter faste sekvenser av byte, ofte med en viss forskyvning fra begynnelsen av objektet, inneholdt i den ondsinnede koden. program. Heuristisk analyse, som dukket opp litt senere, sjekket også innholdet i objektet som ble skannet, men var basert på et friere, sannsynlighetssøk etter bytesekvenser som er karakteristiske for et potensielt skadelig program. Åpenbart vil et ondsinnet program lett omgå slik beskyttelse hvis hver kopi av det er et nytt sett med byte.

Dette er nettopp problemet som polymorfisme og metamorfisme løser, hvis essens er at når du lager sin neste kopi, endres det ondsinnede programmet fullstendig på nivået av settet med byte som det består av. Imidlertid forblir funksjonaliteten uendret.

Kryptering og obfuskering (kodeobfuskering) i seg selv er først og fremst rettet mot å gjøre det vanskelig å analysere programkode, men implementert på en bestemt måte viser de seg å være typer polymorfi (for eksempel kryptering av hver kopi av et virus med en unik nøkkel ). Tilsløring i seg selv kompliserer bare analyse, men brukt på en ny måte i hver kopi av skadelig programvare, forstyrrer den antivirusskanning.

Polymorfisme ble relativt utbredt bare i en tid med virus som infiserer filer. Dette forklares av det faktum at å skrive polymorf kode er en veldig kompleks og ressurskrevende oppgave og er berettiget bare i tilfeller der det ondsinnede programmet reproduserer uavhengig: hver ny kopi av den er et mer eller mindre unikt sett med byte. For de fleste moderne skadevare som ikke har en selvreplikeringsfunksjon, er ikke dette relevant. Derfor er polymorfisme ikke veldig vanlig i skadelig programvare for tiden.

Tvert imot, tilsløring, så vel som andre metoder for å modifisere kode, som i stor grad løser problemet med å komplisere dens heuristiske analyse, og ikke oppgaven med å komplisere skanning, på grunn av denne omstendigheten mister ikke sin relevans.

For å redusere størrelsen på en fil med et ondsinnet program, brukes såkalte pakkere – spesielle programmer som behandler filen etter prinsippet om en arkiver. En sideeffekt og fordelaktig (ut fra et synspunkt om å motvirke antivirusprogrammer) ved å bruke pakkere er at antivirusskanning er noe vanskelig.

Dette forklares av det faktum at når du utvikler en ny modifikasjon av et ondsinnet program, endrer forfatteren vanligvis flere linjer med kode, og lar kjernen være intakt. I den kjørbare koden endres bytene i en bestemt del av filen, og hvis signaturen som ble brukt av antivirusprogrammet ikke bestod av denne spesielle delen, vil det skadelige programmet fortsatt bli oppdaget. Å behandle programmet med en pakker løser dette problemet, siden endring av til og med én byte i den kjørbare kildekoden resulterer i et helt nytt sett med byte i den pakkede filen.

Mange moderne pakkere, i tillegg til å komprimere kildefilen, gir den ekstra selvforsvarsfunksjoner som tar sikte på å gjøre det vanskelig å pakke ut filen og analysere den ved hjelp av en debugger.

Skadelig programvare (noen ganger også kalt destruktiv programvarepåvirkning) Det er vanlig å inkludere datavirus og programvarebokmerker. Første termin datavirus introdusert av den amerikanske spesialisten F. Cohen i 1984. Et "klassisk" datavirus er et autonomt fungerende program som samtidig har tre egenskaper:

• muligheten til å inkludere koden din i kroppen til andre objekter (filer og systemområder i datamaskinens minne);
• påfølgende uavhengig implementering;
• uavhengig distribusjon i datasystemer.

Datavirus bruker ikke nettverkstjenester for å trenge inn i andre datamaskiner på nettverket. En kopi av viruset når eksterne datamaskiner bare hvis det infiserte objektet, av en eller annen grunn utenfor virusets kontroll, er aktivert på en annen datamaskin, for eksempel:

• ved infisering av brukertilgjengelige nettverksstasjoner, trengte viruset inn i filer som ligger på disse nettverksressursene;
• viruset har kopiert seg selv til flyttbare medier eller infiserte filer på det;
• Brukeren sendte en e-post med et virusinfisert vedlegg.

Et viktig faktum er at virus ikke har midler til å spre seg utover grensene til én datamaskin. Dette kan bare skje når et flyttbart lagringsmedium (diskett, flash-stasjon) er infisert eller når brukeren selv overfører en virusinfisert fil til en annen datamaskin over nettverket.

Boot virus infisere hovedoppstartssektoren til en harddisk (Master Boot record - MBR) eller oppstartssektoren til en harddiskpartisjon, systemdiskett eller oppstarts-CD (Boot Record - BR), og erstatte oppstarts- og opi dem med koden deres. Det originale innholdet i disse sektorene er lagret i en av de frie sektorene på disken eller direkte i viruskroppen.

Etter å ha infisert MBR, som er den første sektoren av nullhodet til nullsylinderen på harddisken, får viruset kontroll umiddelbart etter fullføringen av maskinvaretestprosedyren (POST), BIOS Setup-programmet (hvis det ble kalt av brukeren), BIOS-prosedyrer og dens utvidelser. Etter å ha mottatt kontroll, utfører oppstartsviruset følgende handlinger:

• 1) kopiere koden til slutten av datamaskinens RAM, og dermed redusere størrelsen på den ledige delen;
• 2) overstyre flere BIOS-avbrudd, hovedsakelig relatert til tilgang til disker;
• 3) laste et ekte oppstartsprogram inn i datamaskinens RAM-minne, hvis funksjoner inkluderer å se på harddiskpartisjonstabellen, bestemme den aktive partisjonen, laste inn og overføre kontroll til operativsystemets oppstartsprogram for den aktive partisjonen;
• 4) overføring av kontroll til det ekte bootstrap-programmet.

Et oppstartsvirus i VY fungerer på lignende måte, og erstatter oppstartsprogrammet for operativsystemet. En vanlig form for infeksjon av en datamaskin med et oppstartsvirus er et utilsiktet forsøk på å starte opp fra en ikke-systemdiskett (eller CO-disk), hvis oppstartssektor er infisert med et virus. Denne situasjonen oppstår når en infisert diskett forblir i stasjonen når operativsystemet startes på nytt. Når hovedoppstartssektoren på en harddisk er infisert, sprer viruset seg første gang en uinfisert diskett åpnes.

Oppstartsvirus tilhører vanligvis gruppen av fastboende virus. Oppstartsvirus var ganske vanlig på 90-tallet av forrige århundre, men forsvant praktisk talt med overgangen til 32-biters operativsystemer og forlatelse av bruken av disketter som hovedmetoden for å utveksle informasjon. Teoretisk sett er det mulig at det kan dukke opp oppstartsvirus som infiserer SP-disker og flash-disker, men så langt har ingen slike virus blitt oppdaget.

Fil virus infisere filer av forskjellige typer:

• programfiler, enhetsdriverfiler og andre operativsystemmoduler;
• dokumentfiler som kan inneholde makroer;
• dokumentfiler som kan inneholde skript (skript) eller separate skriptfiler osv.

Når en fil er infisert, skriver viruset sin kode til begynnelsen, midten eller slutten av filen, eller til flere steder samtidig. Kildefilen endres slik at når filen er åpnet, overføres kontrollen umiddelbart til viruskoden. Etter å ha mottatt kontroll, utfører viruskoden følgende handlingssekvens:

• 1) infeksjon av andre filer (kombinert virus) og systemområder av diskminne;
• 2) installasjon av egne residente moduler (resident virus) i RAM;
• 3) utføre andre handlinger avhengig av algoritmen implementert av viruset;
• 4) fortsettelse av den vanlige prosedyren for å åpne en fil (for eksempel overføring av kontroll til kildekoden til det infiserte programmet).

Virus i programfiler, når de er infisert, endrer overskriften på en slik måte at etter å ha lastet programmet inn i RAM, overføres kontrollen til viruskoden. For eksempel har det bærbare kjørbare filformatet til Windows- og OS/2-operativsystemene (Portable Executable - PE) følgende struktur:

• 1) overskrift i formatet til MS-DOS-operativsystemet;
• 2) koden til det virkelige prosessormodusprogrammet, som tar kontroll når du prøver å starte en Windows-applikasjon i MS-DOS-operativsystemmiljøet;
• 3) PE-filoverskrift;
• 4) ekstra (valgfritt) PE-filoverskrift;
• 5) overskrifter og kropper for alle applikasjonssegmenter (programkode, dens statiske data, data eksportert av programmet, data importert av programmet, feilsøkingsinformasjon, etc.).

Seksjonen som inneholder den valgfrie PE-filoverskriften inkluderer et felt som inneholder adressen til applikasjonens inngangspunkt. Umiddelbart før inngangspunktet i applikasjonskodesegmentet er en Import Address Table (IAT), som fylles ut med gyldige adresser når den kjørbare koden lastes inn i prosessens adresserom.

Når et virus infiserer en programfil, endres applikasjonens inngangspunktadresse til å peke på begynnelsen av viruskoden og sikre at den automatisk tar kontroll når programfilen lastes. Det er også mulig å endre operativsystemets kjernemoduler (for eksempel kernel32.dll) for å fange opp kall til noen systemfunksjoner (for eksempel CreateProcess, CreateFile, ReadFile, WriteFile, CloseHandle) for å infisere andre filer.

En type filvirus er virus i klynger på en infisert logisk disk eller diskett. Når den er infisert, kopieres viruskoden til en av de ledige diskklyngene, som er merket i File Allocation Table (FAT) som den siste filklyngen. Deretter endres beskrivelsene av programfilene i katalogen - i stedet for nummeret til den første klyngen som er tildelt filen, plasseres nummeret til klyngen som inneholder viruskoden. I dette tilfellet krypteres det sanne nummeret til den første klyngen av den infiserte filen og lagres for eksempel i en ubrukt del av filbeskrivelsen i katalogen.

Når en infisert fil startes, oppnås kontroll av viruskoden, som:

• 1) installerer sin residente modul i RAM, som deretter vil avskjære all tilgang til den infiserte disken;
• 2) laster kildeprogramfilen og overfører kontrollen til den.

Når du senere får tilgang til katalogen med infiserte filer, overfører den fastboende delen av viruset til operativsystemet de sanne verdiene av tallene til de første klyngene som er tildelt de infiserte filene.

Virus i dokumentfiler opprettet, for eksempel av Microsoft Office-programmer, distribueres ved hjelp av makroer inkludert i dem (prosedyrer i Visual Basic for Applications - VBA-programmeringsspråk). Derfor kalles slike virus noen ganger makrovirus eller ganske enkelt makrovirus.

Makroprogrammeringsspråk, spesielt VBA, er universelle språk som støtter objektorientert programmeringsteknologi, har et stort bibliotek med standard makrokommandoer og lar deg lage ganske komplekse prosedyrer. I tillegg støtter den automatisk kjørende makroer som er knyttet til bestemte hendelser (for eksempel åpne et dokument) eller visse brukerhandlinger (for eksempel når du kaller en kommando for å lagre et dokument til en fil).

Eksempler på automatisk kjørende makroer knyttet til spesifikke Microsoft Word-dokumentbehandlingshendelser inkluderer:

• AutoExec (utføres automatisk når Microsoft Word-tekstbehandleren starter, hvis den ligger i malfilen normal.dot eller i en fil i undermappen Oppstart i Microsoft Office-mappen);
• AutoNew (tar automatisk kontroll når du oppretter et nytt dokument);
• AutoOpen (utføres automatisk når et dokument åpnes);
• AutoClose (utføres automatisk når et dokument lukkes);
• Auto Exit (tar automatisk kontroll når Microsoft Word-tekstbehandleren avsluttes).

Microsoft Excel-regnearkprosessoren støtter bare noen av de automatisk utførte makroene, og navnene på disse makroene er litt endret - Auto_open og Auto_close.

Microsoft Word-tekstbehandleren definerer også makroer som automatisk mottar kontroll når brukeren kaller en av standardkommandoene - File Save (File | Save), FileSaveAs (File | Save As), Tools-Macro (Verktøy | Makro | Makroer), ToolsCustomize ( Tjeneste | Innstillinger) osv.

Et Microsoft Office-dokument kan også inneholde makroer som automatisk får kontroll når brukeren trykker på en bestemt kombinasjon av taster på tastaturet eller når et bestemt tidspunkt (dato, klokkeslett).

Enhver makro (inkludert automatisk utførte) fra et separat dokument kan skrives til normal.dot-malfilen (og omvendt) og dermed bli tilgjengelig når du redigerer et hvilket som helst Microsoft Word-dokument. Å skrive en makro til normal.dot-filen kan gjøres ved å bruke standard MacroCopy-makrokommando (WordBasic), OrganizerCopy-metoden for Application-objektet, eller Copy-metodene til standard Organizer (Microsoft Word) og Sheets (Microsoft Excel)-objekter.

For å manipulere filer som ligger i datamaskinens eksterne minne, kan makroer bruke standard makrokommandoer Åpne (åpne en eksisterende eller lage en ny fil), SetAttr (endre filattributter), Navn (gi nytt navn til en fil eller mappe), Get (lese data) fra en åpen fil), Put (skriv data til en åpen fil), Seek (endre gjeldende posisjon for skriving eller lesing fra en fil), Close (lukk en fil), Kill (slett en fil), RmDir (slett en mappe) ), MkDir (opprett en ny mappe), ChDir (endre gjeldende mapper) osv.

En standard Shell-makrokommando lar deg utføre et hvilket som helst program eller systemkommando som er installert på datamaskinen.

Dermed kan VBA-programmeringsspråket godt brukes av forfattere av makrovirus for å lage svært farlig kode. Det enkleste makroviruset i et Microsoft Word-dokument infiserer andre dokumentfiler som følger:

• 1) når et infisert dokument åpnes, gis kontroll til makroen som inneholder viruskoden;
• 2) viruset plasserer andre makroer med sin egen kode i normal.dot-malfilen (for eksempel FileOpen, FileSaveAs og FileSave);
• 3) viruset setter det tilsvarende flagget i Windows-registret og (eller) i Microsoft Word-initieringsfilen som indikerer at infeksjonen har skjedd;
• 4) når Microsoft Word deretter lanseres, er den første filen som åpnes faktisk den allerede infiserte malfilen normal.dot, som lar viruskoden automatisk ta kontroll, og infeksjon av andre dokumentfiler kan oppstå når de lagres med standard Microsoft Word kommandoer.

Vi kan si at de fleste makrovirus tilhører gruppen av fastboende virus, siden en del av koden deres konstant er tilstede i datamaskinens RAM mens programmet fra Microsoft Office-pakken kjører.

Plasseringen av makroviruskoden i et Microsoft Office-dokument kan angis ganske skjematisk, siden dokumentfilformatet er veldig komplekst og inneholder en sekvens av datablokker i forskjellige formater, kombinert med hverandre ved hjelp av en stor mengde tjenestedata. En spesiell egenskap ved makrovirus er at de kan infisere dokumentfiler på datamaskiner på ulike plattformer, ikke bare IBM-PCer. Infeksjon vil være mulig dersom kontorprogrammer som er fullt kompatible med programmer fra Microsoft Office-pakken er installert på datamaskinen.

Når du lagrer dokumentfiler, inkluderer de også tilfeldige data som ikke er relatert til innholdet i dokumentet, men som finnes i blokker med RAM som er allokert, men som ikke er fullstendig fylt ved redigering av dokumentet. Derfor, når du legger til nye data i et dokument, kan størrelsen endres på en uforutsigbar måte, inkludert avtagende. Dette tillater oss ikke å bedømme om en dokumentfil er infisert med makrovirus, siden størrelsen etter infeksjon også vil endre seg uforutsigbart. Vi gjør også oppmerksom på at informasjon som ved et uhell er lagret sammen med en offentlig dokumentfil kan inneholde konfidensiell informasjon.

De fleste kjente makrovirus plasserer koden sin bare i makroer. Det finnes imidlertid også typer virus i dokumentfilmakroer der viruskoden ikke bare er lagret i makroer. Disse virusene inkluderer en liten makrolaster av hovedviruskoden, som kaller makroredigeringsprogrammet innebygd i Microsoft Office, oppretter en ny makro med viruskoden, kjører den og sletter den opprettede makroen for å skjule spor av dens tilstedeværelse. I dette tilfellet er hovedviruskoden til stede som en rekke strenger enten i hoveddelen av loader-makroen eller i det variable området til det infiserte dokumentet.

Å infisere normal.dot-malfilen er ikke den eneste måten makrovirus kan spre seg på en brukers datamaskin. Det er også mulig at flere malfiler som ligger i oppstartsmappen inne i Microsoft Office-mappen kan bli infisert. En annen måte å infisere brukerdokumentfiler med makrovirus er å injisere dem i Microsoft Word-tilleggsfiler som ligger i Addins-mappen i Microsoft Office-mappen. Makrovirus som ikke plasserer koden sin i den vanlige normal.dot-malen kan klassifiseres som ikke-residente virus. For å infisere andre filer, bruker disse makrovirusene enten standard makrokommandoer for å jobbe med VBA-språkfiler og -mapper, eller bruker listen over nylig redigerte filer av brukeren, som finnes i "Fil"-undermenyen til Microsoft Word og andre Microsoft Office programmer.

Microsoft Excel-regnearkprosessoren bruker ikke malfilen normal.dot, så filer fra Oppstart-mappen brukes til å infisere andre brukerdokumentfiler. En spesiell egenskap ved makrovirus som infiserer Excel-regnearkfiler er at de kan skrives ved hjelp av ikke bare VBA-programmeringsspråket, men også makrospråket til "gamle" versjoner av Microsoft Excel, som også støttes i senere versjoner av denne regnearkprosessoren .

I Microsoft Access-databasebehandlingssystemet brukes makroer skrevet i et spesielt skriptspråk som har svært begrensede muligheter for automatisk å få kontroll når en hendelse inntreffer (for eksempel åpning av en database). Men disse automatisk utførte skriptmakroene (for eksempel AutoExec-makroen som automatisk tar kontroll når du starter Microsoft Access) kan kalle opp hele makroer skrevet i VBA. Derfor, for å infisere en Microsoft Access-database, må et virus opprette eller erstatte et automatisk utført makroskript og kopiere en modul med makroer som inneholder hoveddelen av viruskoden til den infiserte databasen.

Det er kjent kombinerte virus som kan infisere både Microsoft Access-databaser og Microsoft Word-dokumenter. Et slikt virus består av to hoveddeler, som hver infiserer dokumentfiler av sin egen type (.doc eller .mdb). Men begge deler av et slikt virus er i stand til å overføre koden fra en Microsoft Office-applikasjon til en annen. Ved overføring av viruskode fra Microsoft Access opprettes en infisert tilleggsmalfil (.dot-fil) i oppstartsmappen, og ved overføring av viruskode fra Microsoft Word opprettes en infisert Access-databasefil, som sendes som en parameter til Microsoft Access-applikasjonen lansert av viruskoden (msaccess .exe).

Antivirusselskaper rapporterer om en ny trend i spredning av virus. Etter en bølge av e-post- og skriptvirus er flash-stasjoner koblet til en datamaskin via USB nå en av de mest populære måtene å distribuere skadelig programvare på. Dette ble mulig på grunn av svakheten til Windows-operativsystemet, som som standard automatisk starter autorun.inf-filen fra en flyttbar stasjon.

I følge noen eksperter kan INF/Autorun-tjenesten i Windows OS betraktes som det viktigste sikkerhetshullet i datasystemer. I motsetning til å sende infiserte programmer via e-post, i dette tilfellet, er til og med en kompetent bruker praktisk talt ute av stand til å forhindre infeksjon, fordi du ganske enkelt setter inn en infisert enhet i en USB-kontakt, og prosessen blir irreversibel. Den eneste forebyggingen kan være å deaktivere autorun, som anbefales selv av sikkerhetseksperter fra Microsoft selv.

Du kan si at på noen måter er spredningen av virus på USB-stasjoner en tilbakevending til opprinnelsen til virusskaping, da Internett ennå ikke eksisterte. Den gang spredte virus seg fra datamaskin til datamaskin ved hjelp av disketter.

Programvare bokmerke er et program eksternt eller internt i datasystemet som blir angrepet som har visse destruktive funksjoner i forhold til dette systemet:

• distribusjon i distribuerte datasystemer for å implementere en eller annen trussel mot informasjonssikkerhet (datamaskin- eller nettverksormer, som, i motsetning til datavirus, ikke skal ha egenskapen til å inkludere koden deres i kroppen til andre filer);
• utføre ulike handlinger uautorisert av brukeren (innsamling av konfidensiell informasjon og overføring av den til overtrederen, ødeleggelse eller forsettlig endring av brukerinformasjon, forstyrrelse av datamaskinen, bruk av dataressurser til upassende formål ("trojanske" programmer eller ganske enkelt "trojanere" );
• ødeleggelse eller endring av funksjonen til CS-programvaren, ødeleggelse eller endring av data behandlet i den etter oppfyllelse av en betingelse eller mottak av en melding fra utenfor CS ("logiske bomber");
• erstatning av individuelle funksjoner i CS-sikkerhetsundersystemet eller opprettelse av "feller" i det for å implementere trusler mot sikkerheten til informasjon i CS (for eksempel erstatning av krypteringsmidler ved å emulere driften av et maskinvarekrypteringskort installert i CS) ;
• avskjære CS-brukerpassord ved å simulere en invitasjon til å angi den eller avskjære alle brukerinndata fra tastaturet;
• avskjæring av strømmen av informasjon som overføres mellom objekter i en distribuert CS (monitorer);
• Opportunistiske programmer som er utviklet av legitime produsenter, men som inneholder potensielt farlige funksjoner som kan brukes av en angriper.

Som regel, for at en nettverksorm skal begynne arbeidet, må du starte en fil mottatt via e-post (eller følge koblingen direkte i e-postmeldingen). Men det er også ormer hvis aktivering ikke krever menneskelig inngripen:

• ormen er inneholdt i teksten til selve brevet og startes når brukeren bare åpner meldingen (eller den åpnes i forhåndsvisningsruten i e-postklientvinduet) (bokstaven i dette tilfellet er tekst på et språk som inneholder et skript med ormekoden);
• Ormen utnytter "hull" (hull, sårbarheter) i sikkerhetssystemene til operativsystemer og andre programmer (for eksempel e-post).

For å få en bruker til å kjøre en fil mottatt via e-post, bruker kriminelle svært sofistikerte teknologier kalt sosial ingeniørkunst. For eksempel et tilbud om å fylle ut skjemaet vedlagt brevet for å motta en stor pengepremie som brukeren angivelig vant. Eller forkledd som en offisiell utsendelse fra et kjent programvareselskap (du bør vite at disse selskapene aldri sender ut noen filer uten brukerens forespørsel), etc.

Når den er lansert, er ormen i stand til å sende koden sin via e-post ved å bruke "adresseboken" til e-postprogrammet. Etter dette blir også datamaskinene til venner til brukeren av den infiserte datamaskinen infisert.

Hovedforskjellen mellom nettverksormer og klassiske virus er nettopp evnen til å forplante seg selv på tvers av nettverket, samt fraværet av behovet for å infisere andre lokale objekter på den infiserte datamaskinen.

For å spre seg bruker nettverksormer en rekke datamaskin- og mobilnettverk: e-post, direktemeldingssystemer, fildeling (P2P) og IRC-nettverk, lokale nettverk (LAN), datautvekslingsnettverk mellom mobile enheter (telefoner, PDAer), etc. .d.

De fleste kjente ormer distribueres i form av filer: et vedlegg til en e-post, en lenke til en infisert fil på en nett- eller FTP-melding i ICQ- og IRC-meldinger, en fil i en P2P-utvekslingskatalog, osv. Noen ormer ( f.eks. kalt "filløse" eller "pakke"-ormer) spres i form av nettverkspakker, trenger direkte inn i datamaskinens minne og aktiverer koden deres.

Noen ormer har også egenskaper til andre typer skadelig programvare. For eksempel inneholder noen ormer funksjoner for innsamling og overføring til inntrengeren konfidensiell informasjon om brukeren av den infiserte datamaskinen eller er i stand til å infisere kjørbare filer på den lokale disken til den infiserte datamaskinen, dvs. de har egenskapene til et trojansk program og (eller) et datavirus.

I fig. Tabell 4.1 viser data som viser distribusjonen av datavirus (virus) og ulike kategorier av nettverksormer (orm) i 2008 (ifølge Kaspersky Lab).

Ris. 4.1.

Visse kategorier av trojanske programmer forårsaker skade på eksterne datamaskiner og nettverk uten å skade den infiserte datamaskinen (for eksempel trojanske programmer utviklet for massive DDoS-angrep på eksterne nettverksressurser).

I motsetning til ormer og virus, skader ikke trojanere andre filer og har ikke sine egne måter å spre seg på. Dette er ganske enkelt programmer som utfører handlinger som er skadelige for brukeren av en infisert datamaskin, for eksempel å avskjære et passord for å få tilgang til Internett.

For tiden, innenfor klassen av trojanske programmer, identifiserer Kaspersky Lab-eksperter tre hovedgrupper av atferd:

• Backdoor (gir en angriper muligheten til å eksternt administrere en infisert datamaskin), Trojan-Downloader (levering av andre skadelige programmer til brukerens datamaskin), Trojan-PSW (passordavskjæring), Trojan (andre trojanske programmer), den vanligste trojaneren programmer;
• Trojan-Spy (spyware), Trojan-Dropper (installasjonsprogrammer for andre skadelige programmer);
• Trojan-Proxy ("Trojan" proxy-servere), Trojan-Clicker (Internett-klikkere), Rootkit (skjuler deres tilstedeværelse i et datasystem), Trojan-DDoS (programmer for å delta i distribuerte denial of service-angrep), Trojan-SMS (" mobile trojanere" er den mest presserende trusselen mot mobile enheter).

Noen programmer har et sett med funksjoner som bare kan skade brukeren hvis en rekke betingelser er oppfylt. Dessuten kan slike programmer lovlig selges og brukes i det daglige arbeidet, for eksempel av systemadministratorer. Men i hendene på en inntrenger kan slike programmer bli til et verktøy som kan brukes til å skade brukeren. Kaspersky Lab-spesialister klassifiserer slike programmer i en egen gruppe betinget farlige programmer (de kan ikke entydig klassifiseres som enten farlige eller trygge).

Denne typen program oppdages valgfritt av antivirusprogrammer hvis brukeren bevisst velger et utvidet sett med antivirusdatabaser. Hvis programmene som oppdages ved bruk av utvidede databaser er kjent for brukeren og han er 100% sikker på at de ikke vil skade dataene hans (for eksempel brukeren selv kjøpte dette programmet, er kjent med dets funksjoner og bruker dem til juridiske formål ), så kan brukeren enten nekte videre bruk av utvidede antivirusdatabaser, eller legge til slike programmer i listen over "unntak" (programmer som videre deteksjon vil bli deaktivert for).

Potensielt farlige programmer inkluderer programmer av klassene RiskWare (lovlig distribuerte potensielt farlige programmer), Porn Ware (programmer for visning av pornografisk informasjon) og AdWare (annonseringsprogramvare).

RiskWare-klassen av programmer inkluderer lovlige programmer (noen av dem selges fritt og brukes mye for lovlige formål), som likevel, i hendene på en inntrenger, kan forårsake skade på brukeren og hans data. I slike programmer kan du finne lovlige fjernadministrasjonsverktøy, IRC-klientprogrammer, autooppringingsprogrammer ("oppringere"), nedlastingsprogrammer ("nedlastere"), overvåkere av enhver aktivitet (monitor), verktøy for å jobbe med passord, samt mange Internett-servere for FTP, Web, Proxy og Telnet-tjenester.

Alle disse programmene er ikke skadelige i seg selv, men de har muligheter som angripere kan dra nytte av for å skade brukere. For eksempel lar et eksternt administrasjonsprogram deg få tilgang til grensesnittet til en ekstern datamaskin og brukes til å administrere og overvåke den eksterne maskinen. Et slikt program kan være helt lovlig, fritt distribuert og nødvendig i arbeidet til systemadministratorer eller andre tekniske spesialister. Men i hendene på overtredere kan et slikt program forårsake skade på brukeren og hans data ved å få full ekstern tilgang til andres datamaskin.

Som et annet eksempel, tenk på et verktøy som er en klient til et IRC-nettverk: den avanserte funksjonaliteten til et slikt verktøy kan utnyttes av overtredere og de trojanske programmene de distribuerer (spesielt Backdoor), som bruker funksjonene til et slikt verktøy. klient i sitt arbeid. Dermed er et trojansk program i stand til å legge til sine egne skript til IRC-klientens konfigurasjonsfil uten brukerens viten og lykkes med å utføre destruktive funksjoner på den infiserte maskinen. I dette tilfellet vil brukeren ikke engang mistenke at et ondsinnet trojansk program opererer på datamaskinen hans.

Ofte installerer ondsinnede programmer uavhengig en IRC-klient på brukerens datamaskin for senere bruk til egne formål. I dette tilfellet er plasseringen vanligvis Windows-mappen og dens undermapper. Å finne en IRC-klient i disse mappene indikerer nesten helt sikkert at datamaskinen har blitt infisert med en slags skadelig programvare.

Annonseringsprogramvare (Adware, Advware, Spyware, Browser Hijackers) er utviklet for å vise reklamemeldinger (oftest i form av grafiske bannere) og omdirigere søk til annonseringswebsider. Med unntak av visning av annonser, viser slike programmer som regel ikke sin tilstedeværelse i systemet på noen måte. Vanligvis har ikke Adware-programmer en avinstallasjonsprosedyre.

• ved å bygge inn reklamekomponenter i gratis og shareware-programvare (freeware, shareware);
• gjennom uautorisert installasjon av reklamekomponenter når brukeren besøker "infiserte" nettsider.

De fleste programmer i kategoriene freeware og shareware slutter å vise annonser etter at de er kjøpt og/eller registrert. Slike programmer bruker ofte innebygde Adware-verktøy fra tredjepartsprodusenter. I noen tilfeller forblir disse Adware-verktøyene installert på brukerens datamaskin selv etter registrering av programmene som de opprinnelig kom inn i brukerens system med. Samtidig kan fjerning av adware-komponenten som fortsatt brukes av et hvilket som helst program for å vise reklame føre til funksjonsfeil i dette programmet.

Det grunnleggende formålet med denne typen adware er en implisitt form for betaling for programvare, utført ved å vise reklameinformasjon til brukeren (annonsører betaler reklamebyrået for å vise reklamen deres, og reklamebyrået betaler Adware-utvikleren). Adware bidrar til å redusere kostnadene både for programvareutviklere (inntekter fra Adware oppfordrer dem til å skrive nye og forbedre eksisterende programmer) og for brukerne selv.

Ved installasjon av reklamekomponenter når en bruker besøker "infiserte" nettsider, brukes i de fleste tilfeller hackerteknologier (penetrering inn i datamaskinen gjennom et gap i sikkerhetssystemet til nettleseren, samt bruk av "trojansk " programmer utviklet for å installere programvare i det skjulte). Adware-programmer som fungerer på denne måten kalles ofte «Browser Hijackers».

I tillegg til å levere annonser, samler mange reklameprogrammer også inn konfidensiell informasjon om datamaskinen og brukeren (IP-adresse, OS og nettleserversjon, liste over de mest brukte Internett-ressurser, søk og annen informasjon som kan brukes til reklameformål ).

Av denne grunn kalles Adware-programmer ofte også Spyware (adware i Spyware-kategorien må ikke forveksles med Trojan-Spy spyware). Programmer i Adware-kategorien forårsaker skade, ikke bare knyttet til tap av tid og distraksjon av brukeren fra jobben, men også med den virkelige trusselen om å lekke konfidensiell data.

Fordelingen av programmer i RiskWare- og PornWare-klassene etter atferd kan presenteres i form av et kakediagram (fig. 4.2, ifølge Kaspersky Lab).

AdTool er forskjellige annonsemoduler som ikke kan klassifiseres som AdWare, siden de har de nødvendige juridiske egenskapene: de er utstyrt med en lisensavtale, demonstrerer sin tilstedeværelse på datamaskinen og informerer brukeren om handlingene deres.

Ris. 4.2.

Porno-oppringere oppretter uavhengig (uten å varsle brukeren) telefonforbindelser til premiumnumre, noe som ofte fører til rettssaker mellom abonnenter og deres telefonselskaper.

Programmer i Monitor-kategorien inkluderer lovlige "tasteloggere" (programmer for sporing av tastetrykk), som er offisielt produsert og solgt, men hvis de har funksjonen til å skjule sin tilstedeværelse i systemet, kan slike programmer brukes som fullverdige spyware-trojanere .

Programmer i kategorien PSW-Tool er utviklet for å gjenopprette glemte passord, men kan enkelt brukes av kriminelle til å trekke ut disse passordene fra datamaskinens minne til et intetanende offer. Programmer i kategorien Nedlaster kan brukes av kriminelle til å laste ned ondsinnet innhold til en offerets datamaskin.

Annen skadelig programvare inkluderer en rekke programmer som ikke direkte utgjør en trussel mot datamaskinen de kjøres på, men er designet for å lage andre ondsinnede programmer, organisere DDoS-angrep på eksterne servere, hacke andre datamaskiner osv.

Slike programmer inkluderer virushoaxers (Hoax) og falske antivirusprogrammer (FraudTool), "hacker"-programmer for "hacking" av eksterne datamaskiner (Exploit, HackTool), konstruktører og pakkere av skadelige programmer (Constructor, VirTool, Packed), programmer for sending av spam og "tilstopping"-angrep (SpamTool, IM-Flooder, Flooder), programmer for å villede brukeren (BadJoke).

Hovedtypen FraudTool er det såkalte rogue-antivirus - programmer som utgir seg for å være fullverdige antivirusverktøy. Etter å ha installert det på en datamaskin, "finner" de alltid en slags virus, selv på et helt "rent" datasystem, og tilbyr å kjøpe deres betalte versjon for "behandling". I tillegg til å direkte lure brukere, inneholder disse programmene også AdWare-funksjonen. Faktisk er dette en ekte svindel basert på brukernes frykt for skadelig programvare.

Hackerverktøy i kategoriene Exploit og HackTool er designet for å trenge inn i eksterne datamaskiner med det formål å kontrollere dem ytterligere (ved å bruke bakdørs trojanske programmer) eller for å introdusere andre skadelige programmer i det hackede systemet. Hackerverktøy som "utnytter" utnyttelsessårbarheter i operativsystemer eller applikasjoner installert på den angrepne datamaskinen.

Virus- og trojanske programkonstruktører er verktøy utviklet for å lage nye datavirus og trojanske hester. Virusdesignere for DOS, Windows og makrovirus er kjent. De lar deg generere viruskildetekster, objektmoduler og (eller) direkte infiserte filer.

Noen konstruktører er utstyrt med et standard grafisk grensesnitt, der du ved hjelp av et menysystem kan velge type virus, objekter som skal påvirkes, tilstedeværelse eller fravær av kryptering, motstand mot feilsøkeren, interne tekststrenger, samt effekter følger med driften av viruset osv. Andre konstruktører har ikke grensesnitt og leser informasjon om typen virus som opprettes fra konfigurasjonsfilen deres.

Verktøy i Nuker-kategorien sender spesialdesignede forespørsler til angrepne datamaskiner på nettverket, som et resultat av at det angrepne systemet slutter å fungere. Disse programmene utnytter sårbarheter i programvaren til nettverkstjenester og operativsystemer, som et resultat av at en spesiell type nettverksforespørsel forårsaker en kritisk feil i det angrepne programmet.

Programmer i kategoriene Bad-Joke og Hoax inkluderer programmer som ikke forårsaker direkte skade på datamaskinen, men som viser meldinger som indikerer at slik skade allerede er forårsaket, eller vil bli forårsaket under alle forhold, eller advarer brukeren om en ikke-eksisterende fare. "Onde vitser" inkluderer for eksempel programmer som viser meldinger til brukeren om formatering av harddisken (selv om ingen formatering faktisk forekommer), oppdager virus i uinfiserte filer, viser merkelige viruslignende meldinger osv.

Polymorfe generatorer er ikke virus i ordets bokstavelige betydning, siden deres algoritme ikke inkluderer reproduksjonsfunksjoner. Hovedfunksjonen til denne typen program er å kryptere kroppen til viruset og generere en tilsvarende dekryptering.

Vanligvis distribueres polymorfe generatorer av forfatterne uten begrensninger i form av en arkivfil. Hovedfilen i arkivet til enhver generator er objektmodulen som inneholder denne generatoren.

Utviklingen av funksjonen til skadelig programvare fra enkeltmoduler til komplekse og samvirkende prosjekter begynte på begynnelsen av dette århundret. Den nye modellen for funksjon av skadelig programvare bør ikke bare bli standarden for en rekke nye skadelige prosjekter, men også videreutvikles.

Hovedtrekkene til denne modellen er følgende:

• mangel på et enkelt kontrollsenter for et nettverk av infiserte datamaskiner;
• aktiv motvirkning mot forsøk fra tredjepartsforskning og avskjæring av kontroll;
• Samtidig masse og kortsiktig distribusjon av ondsinnet kode;
• kompetent bruk av sosiale ingeniørverktøy;
• bruke ulike distribusjonsmetoder og fase ut de mest synlige (e-post);
• bruke forskjellige moduler for å implementere forskjellige funksjoner (i stedet for en universell).

I analogi med det velkjente begrepet Web 2.0 kan den nye generasjonen malware kalles MalWare 2.0.

Teknikken for å skjule tilstedeværelse i et system (rootkits) vil bli brukt ikke bare i trojanske programmer, men også i filvirus. Dermed vil det være en tilbakevending til tidene til MS-DOS-operativsystemet, da det fantes residente stealth-virus. Dette er en logisk utvikling av metoder for å motvirke antivirusprogrammer. Ondsinnede programmer streber nå etter å "overleve" på systemet selv etter å ha blitt oppdaget.

En annen farlig måte å skjule tilstedeværelsen av et program på en datamaskin er teknologien for å infisere oppstartssektoren til en disk - de såkalte "bootkits". Dette er nok en tilbakevending til en gammel teknikk, som lar det ondsinnede programmet få kontroll før hoveddelen av operativsystemet (og antivirusprogrammene) lastes. Bootkits er rootkits med funksjonen å laste fra oppstartssektorene til en hvilken som helst enhet. Faren deres ligger i det faktum at den ondsinnede koden får kontroll allerede før operativsystemet, og dermed antivirusprogrammet, starter.

Et av de mest slående eksemplene på implementering av bootkit-teknologi er vbootkit. En forenklet sekvens av vbootkit-handlinger ser slik ut. Etter å ha slått på datamaskinen og kjørt BIOS-programmer, aktiveres Vbootkit-koden (fra en CD eller annen enhet). Oppstartsprogrammet fra MBR og Windows Vista boot loader kjøres deretter, hvoretter kontrollen overføres til kjernen til dette operativsystemet.

Når vbootkit får kontroll over systemet, utløser det et BIOS 13-avbrudd, og søker deretter etter signaturer for Windows Vista. Når den er oppdaget, begynner den å modifisere Windows Vista mens den skjuler seg selv (ved å plassere koden i små biter i forskjellige områder av RAM). Disse modifikasjonene inkluderer å omgå sikkerhetstiltak som å sjekke elektroniske digitale signaturer, sjekke hashes og utføre visse handlinger for å opprettholde kontroll over systemet under både den første og andre fasen av oppstartsprosessen.

Det andre trinnet innebærer å utvide operativsystemkjernen slik at vbootkit beholder kontrollen over den til den startes på nytt. På denne måten vil brukeren ha et vbootkit lastet inn i Windows Vista-kjernen.

Bootkits lagrer i oppstartssektoren bare det minimum som er nødvendig for å kjøre hovedkoden. Denne kjernekoden er lagret i andre sektorer, hvis innhold oppstartssettet skjuler ved å avskjære BIOS-avbrudd for å lese sektoren.

Brukere av sosiale nettverk kan bli hovedmålet for såkalt phishing. Påloggingsinformasjonen til abonnenter av ulike nettverkstjenester vil være etterspurt blant overtredere. Dette vil være et viktig alternativ til teknikken for å plassere skadevare på hackede nettsteder. Trojanske programmer kan distribueres nøyaktig gjennom kontoene til brukere av sosiale nettverk, gjennom deres blogger og profiler.

Et annet problem relatert til sosiale nettverk kan være XSSPHPSQL-aTaKH. I motsetning til phishing, som utelukkende er avhengig av bedrag og sosiale ingeniørteknikker, utnytter disse angrepene feil og sårbarheter i Web 2.0-tjenester i seg selv og kan påvirke selv svært kunnskapsrike brukere. I dette tilfellet er målet for overtrederne personopplysningene til brukerne, som er nødvendige for å lage visse databaser og lister for å utføre påfølgende angrep ved bruk av "tradisjonelle" metoder.

Hovedfaktorene som sikrer brukernes og hackernes samtidige interesse for Web 2.0-tjenester er:

• overføring av brukerdata fra en personlig datamaskin til Internett;
• bruke én konto for flere forskjellige tjenester;
• tilgjengelighet av detaljert informasjon om brukere;
• tilgjengelighet av informasjon om tilkoblinger, kontakter og bekjentskaper til brukere;
• gi et sted for publisering av all informasjon;
• tillitsfulle forhold mellom kontakter.

Dette problemet er allerede ganske alvorlig og har ifølge eksperter alle muligheter til å bli et stort informasjonssikkerhetsproblem.

Når det gjelder mobile enheter, og først og fremst mobiltelefoner, er trusler mot dem fordelt mellom primitive trojanske programmer og ulike sårbarheter i operativsystemer og applikasjoner for smarttelefoner.

I samsvar med metodene for å introdusere programvarebokmerker i CS og mulige steder for deres plassering i systemet, kan bokmerker deles inn i følgende grupper:

• programvarebokmerker knyttet til BIOS;
• bokmerker knyttet til oppstarts- og oppstartsprogrammer i operativsystemet;
• bokmerker knyttet til operativsystemdrivere og andre systemmoduler;
• bokmerker knyttet til generell applikasjonsprogramvare (for eksempel arkivere);
• programfiler som bare inneholder bokmerkekoden og implementert ved hjelp av batch-batchfiler;
• bokmerker som maskerer seg som generell applikasjonsprogramvare;
• bokmerker forkledd som spill- og pedagogisk programvare (for å lette deres første implementering i datasystemet).

Kapittel 1. FUNKSJONER FOR MOTING ♦ SKADELIG VARE I KRITISK

VIKTIGE SEGMENTER AV INFORMASJONSSFEREN.

1.1. Ondsinnede programmer som en kilde til trusler mot kritiske deler av informasjonssfæren.

1.2. Motvirke skadelig programvare i kritiske deler av informasjonssfæren.

1.3. Uttalelse av problemet med en omfattende vurdering av effektiviteten av å motvirke skadelig programvare i kritiske deler av informasjonssfæren.

1.4. Konklusjoner.

Kapittel 2. DANNING AV INDIKATORER

EFFEKTIVITETEN AV Å MOTTE MALWARE I KRITISKE SEGMENT AV INFORMASJONSSFEREN.

2.1. Metodikk for å strukturere ytelsesindikatorer mot skadelig programvare.

2.2. Metodikk for å syntetisere den hierarkiske strukturen til effektivitetsindikatorer mot skadelig programvare.

2.3. En enhetlig beskrivelse av strukturen til ytelsesindikatorer for anti-malware

2.4. Konklusjoner.

Kapittel 3. MATEMATISK MODELLERING

PROSESSER FOR Å MOTTE MALWARE I KRITISKE SEGMENT AV INFORMASJONSFÆREN.

3.1. Funksjoner ved syntesen av en matematisk modell for å vurdere effektiviteten av å motvirke skadelig programvare.

3.2. Formell presentasjon av prosessene for funksjon av anti-malware-verktøy.

3.3. Simuleringsmodell for å vurdere den tidsmessige effektiviteten av å motvirke skadelig programvare

3.4. Analytiske modeller for å vurdere sannsynlighetsindikatorer for effektiviteten av å motvirke skadelig programvare. ^

3.5. Presentasjon av innledende data for å vurdere sannsynlighetsindikatorer for effektiviteten av å motvirke skadelig programvare.

3.6. Konklusjoner.

Kapittel 4. DATAEKSPERIMENT FOR Å VURDERE EFFEKTIVITETEN AV Å MOTTE MALWARE I KRITISK VIKTIGE SEGMENTER AV INFORMASJONSSFEREN.

4.1. Metodikk for planlegging av beregningseksperimenter for å vurdere effektiviteten av å motvirke skadelig programvare

4.2. Resultater av beregningseksperimenter.

4.3. Analyse av effektiviteten til den foreslåtte metoden for å vurdere motvirkning mot skadelig programvare.

4.4. Konklusjoner.

Anbefalt liste over avhandlinger

• Matematiske modeller for generalisert vurdering av effektiviteten av å motvirke trusler mot sikkerheten til deler av informasjonssfæren 2006, kandidat for tekniske vitenskaper Likhodedov, Denis Yurievich

• Funksjonell modellering av ondsinnede påvirkninger på kritiske deler av informasjonssfæren 2008, kandidat for tekniske vitenskaper Modestov, Alexey Albertovich

• Modellering og optimalisering av funksjonen til automatiserte kontrollsystemer for interne anliggender i sammenheng med å motvirke skadelig programvare 1999, doktor i tekniske vitenskaper Skryl, Sergey Vasilievich

• Teoretisk grunnlag og praktisk implementering av syntese av informasjonssystemer for automatiserte kontrollkomplekser av kritiske objekter 2009, doktor i tekniske vitenskaper Krupenin, Alexander Vladimirovich

• Forskning og utvikling av algoritmer for å gjenkjenne skadevare ved motvirking av uautorisert påvirkning på informasjonsressurser i sikre datanettverk 2004, kandidat for tekniske vitenskaper Kiselev, Vadim Vyacheslavovich

Introduksjon av avhandlingen (del av abstraktet) om emnet "Utvikling og forskning av algoritmer for omfattende vurdering av effektiviteten av å motvirke skadelig programvare i kritiske deler av informasjonssfæren"

Forskningstemaets relevans. Den intensive utviklingen og forbedringen av informasjonsteknologier fører til behovet for å vurdere utvidelsen av informasjonssfæren som en dominerende trend. Dette førte til fremveksten av en egen klasse av elementer i denne sfæren, dens såkalte kritiske segmenter - informasjonssystemer som støtter virksomheten til statlige organer /1/, styringssystemer for kommunikasjonsinfrastruktur /2/, finans /3/, energi /4 /, transport 151 og nødetater 161. Samtidig har utvidelsen av informasjonssfæren ført til fremveksten av ulike typer trusler mot elementer av informasjonssfæren 111. Samtidig har dens kritiske segmenter blitt de viktigste. gjenstand for slike trusler. Dette nødvendiggjorde behovet for å løse en rekke problemer knyttet til organisering av beskyttelsen av informasjonssfæren for å forhindre skade fra brudd på sikkerheten i nærvær av ulike kilder til trusler /8 - 13/.

En av de mest alvorlige kildene til trusler i informasjonssfæren er skadelig programvare /14 - 16/ - et av hovedverktøyene for ulovlig manipulering av informasjon /17/ i datanettverkene /18/. Ondsinnede programmer er designet av høyt kvalifiserte spesialister /19/ som virustypeprogrammer /20 - 26/, noe som gjør det mulig å bruke slike fordeler ved datavirus som isomorf struktur, muligheten til å lage sine egne kopier og manifestere seg kun under visse parametere for datamiljøet /27 - 28/. Disse egenskapene lar ondsinnede programmer implementere funksjonene til ulovlig manipulering av informasjon i ekstremt korte tidsperioder, noe som betydelig kompliserer muligheten til å oppdage og eliminere dem, og som et resultat plasserer slike programmer i kategorien et av de mest avanserte verktøyene for ulovlige handlinger i informasjonssfæren i dag /29/.

Ondsinnede programmer påvirker først og fremst de midlertidige egenskapene til elementer i informasjonssfæren, siden deres innvirkning resulterer i betydelige midlertidige tap forbundet med å gjenopprette korrektheten til informasjonsprosesser.

I denne forbindelse blir det åpenbart at ondsinnede programmer er en faktor i en betydelig reduksjon i effektiviteten av bruk, først av alt, av kritiske segmenter av informasjonssfæren, siden deres aktiviteter er fokusert på rask behandling av innkommende informasjon. Dette lar oss igjen klassifisere skadelig programvare som en egen klasse av de mest alvorlige truslene mot sikkerheten til informasjonssektoren.

Derfor blir problemet med å beskytte kritiske deler av informasjonssfæren mot denne typen trusler påtrengende. Det er åpenbart at løsningen må utføres systematisk, basert på en omfattende studie av anti-malware-teknologier. Det faktum at slike teknologier er preget av mange heterogene parametere gjør deres forskningsspørsmål komplekse, både vitenskapelig og praktisk.

Lignende studier tyder på:

Gjennomføre en systemanalyse av beskyttelsestilstanden mot skadelig programvare som helhet i informasjonssfæren og dens individuelle kritiske segmenter;

Forskning på effektive metoder og midler for å motvirke skadelig programvare;

Vurdering av anti-malware-teknologier i kritiske deler av informasjonssfæren.

Alt dette har nødvendiggjort søket etter tilnærminger for å vurdere effektiviteten av å motvirke skadelig programvare som systematisk tar hensyn til alle de mange egenskapene til teknologiene som brukes.

Som en analyse av tilstanden til problemet /30/ viser, er en av de mest lovende måtene å løse dette problemet på å syntetisere en kompleks indikator som karakteriserer egenskapene til teknologiene som brukes til å motvirke skadelig programvare. Samtidig har syntesen av en kompleks indikator en rekke funksjoner knyttet til tilstedeværelsen av mange retninger både i klassifisering av evnene til ulike teknologier for å motvirke skadelig programvare, og i bruken av matematiske verktøy for forskning.

Dette gjorde det mulig å foreslå en fundamentalt ny tilnærming for å løse problemet med omfattende vurdering av effektiviteten av å motvirke skadelig programvare i kritiske deler av informasjonssfæren.

Essensen av denne tilnærmingen er å utvikle rimelige regler for syntese av en omfattende indikator på effektiviteten av å motvirke skadelig programvare, hvis form vil være optimal fra synspunktet om å gjenspeile egenskapene til motvirkningsteknologiene som brukes.

Til tross for at forbedring av teorien og praksisen for å sikre informasjonssikkerhet har blitt et ekstremt presserende problem, har spesielle studier i forhold til oppgavene med en omfattende vurdering av effektiviteten av å motvirke ondsinnede programmer i informasjonssfæren generelt og motvirke ondsinnede programmer i sin Spesielt kritiske segmenter har ikke blitt utført.

På grunn av det faktum at den foreslåtte metoden for å vurdere effektiviteten av å motvirke skadelig programvare ikke er dekket i tilgjengelig litteratur, og de kjente metodene ikke tillater en helhetlig vurdering av mulighetene til anti-malware-verktøy, gir dette grunnlag for å hevde at oppgaven med å utvikle metoder for omfattende vurdering av effektiviteten til disse verktøyene er ekstremt relevant, og problemstillingene knyttet til dette området trenger seriøse studier både i metodologiske og anvendte termer. Alt dette indikerer relevansen av emnet for dette avhandlingsarbeidet, utført i samsvar med den russiske føderasjonens informasjonssikkerhetsdoktrine 111, så vel som i samsvar med den vitenskapelige retningen til Voronezh-instituttet til Russlands innenriksdepartement. til underbyggelse av krav til informasjonssikkerhetsmidler og systemer.

Målet med forskningen er teknologier for å motvirke skadelig programvare i kritiske deler av informasjonssfæren.

Temaet for forskningen er metoder for helhetlig vurdering av effektiviteten av å motvirke skadelig programvare i kritiske deler av informasjonssfæren.

Målet med avhandlingsarbeidet er å forbedre metoder for å vurdere motvirkning mot skadevare i kritiske deler av informasjonssfæren basert på syntese av en omfattende indikator på effektiviteten til motvirkende teknologier som brukes.

For å nå målet løses følgende vitenskapelige oppgaver:

Teoretisk begrunnelse for systemkrav for syntese av en omfattende indikator på effektiviteten av å motvirke skadelig programvare i kritiske deler av informasjonssfæren;

Utvikling av en algoritme for syntese av en slik indikator;

Konstruksjon av en optimal struktur av private indikatorer for effektiviteten til anti-malware-teknologiene som brukes;

Utvikling av et sett med analytiske og simuleringsmodeller som gir vurdering av effektivitetsindikatorene til de brukte anti-malware-teknologiene;

Eksperimentell testing av algoritmer for omfattende vurdering av effektiviteten av å motvirke skadelig programvare i kritiske deler av informasjonssfæren.

Forskningsmetoder. Arbeidet bruker metoder for systemanalyse, informasjonssikkerhetsteori, settteori, grafteori, matematisk modellering, sannsynlighetsteori og matematisk statistikk, og teori om tilfeldige prosesser.

Gyldigheten og påliteligheten til de oppnådde resultatene sikres ved:

Bruk av utprøvde matematiske verktøy i prosessen med å formalisere prosessene for å motvirke skadelig programvare;

Eksperimentell verifisering av de utviklede matematiske modellene og samsvar mellom resultatene oppnådd med tilfeller kjent fra vitenskapelig litteratur.

Den vitenskapelige nyheten og den teoretiske betydningen av resultatene oppnådd i avhandlingen er som følger:

1. Algoritmer er utviklet for en omfattende vurdering av effektiviteten av å motvirke skadelig programvare i kritiske segmenter av informasjonssfæren, som skiller seg fra kjente metoder for å løse lignende problemer ved at integrasjonen av bestemte indikatorer utføres basert på å ta hensyn til deres innflytelse på målfunksjonen - graden av forebygging av skade på informasjonssfæren fra et brudd på sikkerheten.

2. En metodisk tilnærming for å kombinere simulering og analytisk modellering foreslås for å evaluere spesielle indikatorer på anti-malware-teknologier, som, i motsetning til analoger, gjør det mulig å kontrollere detaljnivået til prosessene som studeres.

3. Nye løsninger har blitt foreslått for å konstruere matematiske modeller for å motvirke skadelig programvare, basert på bruk av likheter mellom private indikatorer for teknologiene som brukes for å motvirke den klassiske representasjonen av tilfeldige variabler.

Den praktiske verdien av forskningen ligger i utviklingen av et effektivt beslutningsstøttesystem for å vurdere teknologiene som brukes for å motvirke skadelig programvare i kritiske deler av informasjonssfæren, som utfører følgende funksjoner:

Analyse og generalisering av spesielle indikatorer for å motvirke skadelig programvare for ulike praktiske alternativer for brukte motvirkningsteknologier;

Konstruksjon av analyseskjemaer for anti-malware-teknologier som er praktiske for praktisk forståelse;

Sammenligning av effektivitetsindikatorer for ulike anti-malware-teknologier.

Resultatene av teoretisk og eksperimentell forskning kan brukes til å løse følgende vitenskapelige og anvendte problemer:

Begrunnelse for nye tilnærminger for å organisere motarbeid mot skadevare i kritiske deler av informasjonssfæren;

Analyse av eksisterende teknologier for å motvirke skadelig programvare under bruk.

Resultatene som oppnås kan brukes i forelesningskurs og utdanningsmateriell ved høyere utdanningsinstitusjoner når man studerer grunnleggende informasjonssikkerhet, samt i omskolering av personell med ansvar for sikkerheten til kritiske deler av informasjonssfæren.

Følgende hovedbestemmelser i avhandlingsarbeidet sendes inn til forsvar:

1. Uttalelse og resultater for å løse problemet med å syntetisere en omfattende indikator for effektiviteten av å motvirke skadelig programvare i kritiske deler av informasjonssfæren basert på å konstruere en optimal struktur av private indikatorer og dens anvendelse for å vurdere effektiviteten til teknologiene som brukes for å motvirke skadelig programvare .

2. En metodisk tilnærming for å kombinere simulering og analytisk modellering for å evaluere spesifikke indikatorer for anti-malware-teknologier.

Implementering av arbeidsresultater. Resultatene av avhandlingsarbeidet er implementert i:

Militært institutt for radioelektronikk ved Forsvarsdepartementet i Den russiske føderasjonen;

Voronezh-instituttet ved den russiske føderasjonens innenriksdepartement;

Hovedavdelingen for indre anliggender i Voronezh-regionen;

Institutt for indre anliggender i Tambov-regionen.

Gjennomføringen av resultatene bekreftes av relevante lover.

Godkjenning av arbeid. De viktigste metodiske og praktiske resultatene av forskningen ble presentert på følgende konferanser:

De viktigste metodiske og praktiske resultatene av forskningen ble presentert på følgende konferanser:

1. All-russisk vitenskapelig og praktisk konferanse "Moderne problemer med å bekjempe kriminalitet" - Voronezh, 2002 /48/.

2. Interregional vitenskapelig og praktisk konferanse "Informasjon og sikkerhet" - Voronezh, 2002 /56/.

3. IV All-russisk vitenskapelig og praktisk konferanse "Sikkerhet, sikkerhet og kommunikasjon" - Voronezh, 2003 /49/.

4. All-russisk vitenskapelig og praktisk konferanse "Moderne problemer med å bekjempe kriminalitet" - Voronezh, 2005 /57/.

I arbeidene publisert i medforfatterskap foreslo søkeren personlig: i /28/ - å klassifisere datavirus under hensyntagen til deres komplekse manifestasjon av egenskapene til assosiativitet, replikativitet og isomorfisme; i /29/ - en illustrasjon av angripernes bruk av ulike egenskaper ved datavirus når de implementerer stadiene i en generell strategi for uautorisert tilgang til informasjon i datasystemer; i /30/ vurdere deres aktivitet og overlevelse som de viktigste klassifiseringsegenskapene til egenskapene til ondsinnede programmer; i /35/ - systematisering av omstendighetene som bestemmer behovet for å holde handlingene til rettshåndhevende byråer hemmelige; i /48/ - identifisere ulovlige handlinger innen datainformasjon ved hjelp av et to-nivå system, hvor det første nivået sikrer identifisering av faktum av en ulovlig handling, og det andre - spor av slike påvirkninger; i /49/ - identifisere fakta om ulovlig innflytelse på informasjon i datanettverk ved å bruke semantisk kontroll av informasjonsparametere for dataprosesser; i /50/ - som et grunnleggende prinsipp for å identifisere datakriminalitet, prinsippet om en hierarkisk beskrivelse av strategier for uautorisert tilgang til informasjon i datasystemer; i /53/ - bruke distribuert isom en kilde til rettsmedisinsk viktig informasjon i etterforskningen av datakriminalitet; i /54/ - vurdere tilstedeværelsen av et komplett sett med identifiserende tegn på denne typen ulovlige handlinger som den dominerende faktoren for å øke oppdagelsesraten for datakriminalitet; i /56/ - vurdere metodikken for å vurdere sikkerheten til informasjons- og telekommunikasjonssystemer fra trusler mot deres informasjonssikkerhet som en prosedyre for å danne en hierarkisk struktur av indikatorer, vurdere som et eksempel på en funksjonell informasjonsmodell aktivitetene til spesialstyrkeregimet tjeneste ved å gi ansatte offisiell dokumentasjon; i /57/ - å danne en omfattende indikator for å vurdere effektiviteten av å motvirke skadelig programvare basert på hierarkisk strukturering av private indikatorer; i /67/ - bruk en funksjonell beskrivelse av informasjonsprosesser som et nødvendig stadium i deres formalisering.

Arbeidets struktur og omfang. Avhandlingen er presentert på 164 sider og består av en introduksjon, fire kapitler, en konklusjon, en litteraturliste over brukt litteratur og et vedlegg, inneholder 51 figurer og 19 tabeller.

Lignende avhandlinger i spesialiteten "Metoder og systemer for informasjonssikkerhet, informasjonssikkerhet", 05.13.19 kode VAK

• Matematisk modell for å motvirke uautorisert tilgang til informasjons- og telekommunikasjonssystemer ved å bruke ulike typer informasjonssikkerhetsmidler samtidig som distraksjonen fra dataressurser minimeres 2002, kandidat for tekniske vitenskaper Kochedykov, Sergey Sergeevich

• Modellering og optimalisering av informasjonsprosesser i territoriale segmenter av det enhetlige informasjons- og telekommunikasjonssystemet til interne anliggender i sammenheng med å motvirke trusler mot informasjonssikkerhet 2006, kandidat for tekniske vitenskaper Chagina, Lyudmila Vladimirovna

• Modellering av ondsinnede påvirkninger på beskyttede informasjonssystemer for å identifisere ulovlige handlinger innen datainformasjon 2005, kandidat for tekniske vitenskaper Tyunyakin, Roman Nikolaevich

• Skadevaregjenkjenning basert på skjulte Markov-modeller 2012, kandidat for tekniske vitenskaper Kozachok, Alexander Vasilievich

• Matematiske modeller for å vurdere effektiviteten til private sikkerhetsenheter i å tilby tjenester innen teknisk informasjonsbeskyttelse 2005, kandidat for tekniske vitenskaper Fedorov, Ivan Semenovich

Konklusjon på avhandlingen om emnet "Metoder og systemer for informasjonssikkerhet, informasjonssikkerhet", Sushkov, Pavel Feliksovich

4.4. konklusjoner

1. Det er tilrådelig å vurdere effektiviteten av å motvirke skadelig programvare i kritiske segmenter av informasjonssfæren basert på en analyse av ulike alternativer for å bruke mottiltak i samsvar med planen for beregningseksperimenter.

2. Bruken av metoder utviklet i avhandlingen for å vurdere effektiviteten av å motvirke skadelig programvare i kritiske segmenter av informasjonssfæren gjør at vi kan redusere omfanget av matematiske modeller som brukes med 50 %.

3. Nøyaktighetskarakteristikkene til den hierarkiske strukturen til indikatorer foreslått i avhandlingen, på grunn av bruken av en sannsynlighetsskala, er minst to størrelsesordener høyere enn nøyaktighetsegenskapene til kjente integrerte indikatorstrukturer.

4. Metoden utviklet i avhandlingen for å vurdere effektiviteten av å motvirke skadevare i kritiske segmenter av informasjonssfæren kan betraktes som en universell metode for å vurdere sikkerheten til informasjonsobjekter.

Nivå 5

Formålet med informasjonsbeskyttelse er å forhindre skade fra informasjonssikkerhetsbrudd

Nivå 4

Nivå 3

Nivå 2

Muligheter for å hindre brudd på konfidensialitet (lekkasje) av informasjon

Muligheter for å forhindre brudd på integriteten til infoormacin

Muligheter for å beskytte informasjon mot lekkasje på grunn av elektromagnetisk sidestråling og interferens

Muligheter for å hindre brudd på tilgjengelighet (blokkering) av informasjon

Muligheter for å beskytte informasjon mot uautorisert tilgang

Muligheter for å beskytte taleinformasjon (fra lekkasje gjennom den akustiske kanalen)

Muligheter for å forhindre forhold som er gunstige for fremveksten av trusler

Muligheter for å forhindre fremveksten av NSD-trusler 1

Muligheter for å hindre fremveksten av trusler om informasjonslekkasje gjennom fysiske felt

Muligheter for oppdagede trusselkilder

Woam< южк» ста по закрытию доступа в обход системы защиты и и форма-цкн

Muligheter for nøytrale og negative trusler NSD X X

Muligheter for å nøytralisere trusler om informasjonslekkasje gjennom fysiske felt X

Muligheter for å oppdage og påvirke NSD-trusler

Muligheter for å oppdage virkningen av trusler om informasjonslekkasje gjennom PEMIN-kanaler

Muligheter for deteksjon og påvirkning av trusler om informasjonslekkasje via akustisk kanal X

Muligheter for å gjenopprette informasjon etter eksponering for NSD-trusler

BOiMG&HdCTtt om informasjonsgjenoppretting etter eksponering for trusler om informasjonslekkasje gjennom ghemim-kanaler

Mulighetene gjenopprettet!! yu informasjon etter eksponering for trusler om informasjonslekkasje til den akustiske kanalen

Kan være*

Nivå 1

Muligens Mulig

Retningslinjer for å begrense tilgangen til informasjonsressurser

ITKS ITKS

Muligheter for å skjule stråling og interferens fra informative kanaler (fysiske felt)

Kan være

STA om desinformasjon (imitasjon av stråling og interferens)

Muligheter for kryptografisk transformasjon av informasjon

Kan være

Retningslinjer for overvåking av elementer (elementtilstand) til TSOI og ITKS

Det er mulig å registrere informasjon om funksjonen til TSIOI fra et RF-synspunkt

Muligheter for rettidig ødeleggelse av brukt og ubrukt informasjon

Muligheter for å signalisere manifestasjoner og trusler om ulovlig virksomhet

Muligheter for å signalisere manifestasjon av trusler om informasjonslekkasje gjennom PEMIN-kanaler

Muligheter for å signalisere manifestasjon av trusler om informasjonslekkasje gjennom akustiske kanaler for å reagere på manifestasjoner av trusler (defuse trusler)

Muligheter for engelskgjøring av manifestasjoner og trusler fra NSD

Det er mulig å reagere på manifestasjon av trusler (nøytralisere trusler) via akustiske kanaler

Ris. 4.3.2. Struktur av indikatorer for heterogene tekniske systemer og informasjonssikkerhetsmidler for informasjons- og telekommunikasjonssystemer

KONKLUSJON

De viktigste vitenskapelige resultatene oppnådd i avhandlingsarbeidet er som følger:

1. En metode for generalisert vurdering av effektiviteten til et system for å motvirke skadelig programvare i kritiske deler av informasjonssfæren er teoretisk begrunnet og praktisk implementert basert på strukturering av spesielle indikatorer på mottiltak.

2. Det er utviklet en metode for å optimalisere strukturen til private indikatorer for å bekjempe skadevare. I samsvar med den foreslås det:

Presentere settet med mottiltaksindikatorer i form av en hierarkisk struktur med en konsistent generalisering av egenskapene til mottiltak;

Nivåene til den hierarkiske strukturen presenteres i form av sett med indikatorer som tilsvarer hovedklassene av evner til mottiltak for å sikre sikkerheten til datanettverk som danner det materielle grunnlaget for informasjonssfæren;

Som et verktøy for å studere effektiviteten av å motvirke skadelig programvare, bruk simulerings- og analytiske modeller som beskriver funksjonsprosessene til mottiltak.

3. Det er utviklet en metodikk for å vurdere ulike muligheter for å utstyre datanettverk med antivirusverktøy, basert på prinsippene for teorien om beregningseksperimenter ved bruk av matematiske modeller utviklet i avhandlingen.

Følgende nye praktiske resultater ble oppnådd i avhandlingen:

1. Forskning utført ved bruk av utviklede matematiske modeller for å motvirke skadelig programvare i kritiske deler av informasjonssfæren gir grunnlag for å hevde at:

Bruken av metoder utviklet i avhandlingen for å vurdere motvirkning mot skadevare i kritiske deler av informasjonssfæren gjør det mulig å redusere omfanget av matematiske modeller som brukes med 50 %.

Nøyaktighetskarakteristikkene til den hierarkiske strukturen til indikatorer foreslått i avhandlingen, på grunn av bruken av en sannsynlighetsskala, er minst to størrelsesordener høyere enn nøyaktighetsegenskapene til kjente integrerte indikatorstrukturer.

Den praktiske betydningen av disse resultatene er at de gjør det mulig å kvantifisere muligheten for å gjennomføre tiltak for å bekjempe skadevare i kritiske deler av informasjonssfæren.

2. De utviklede metodene, modellene og algoritmene representerer til sammen metodisk støtte for å løse det praktiske problemet med å vurdere effektiviteten av å motvirke skadevare i kritiske deler av informasjonssfæren. Den kan brukes til å løse lignende problemer ved vurdering av sikkerheten til informasjonsobjekter fra lignende trusler til deres informasjonssikkerhet.

Liste over referanser for avhandlingsforskning Kandidat for tekniske vitenskaper Sushkov, Pavel Feliksovich, 2005

1. Telekommunikasjon. Verden og Russland. Tilstand og utviklingstrender / Kleshchev N.T., Fedulov A.A., Simonov V.M., Borisov Yu.A., Osenmuk M.P., Selivanov S.A. M.: Radio og kommunikasjon, 1999. - 480 s.

2. Khomyakov N.N., Khomyakov D.N. Analyse av kjernekraftverksikkerhet under terrorangrep. // Sikkerhetssystemer. 2002. - nr. 2(44). - s. 74-76.

3. Moshkov G.Yu. Å sikre sikkerheten til transportanlegg er vår prioritet. // Sikkerhetssystemer. - 2003. - nr. 6(48). - S. 8-9.

4. Agapov A.N. Atom- og strålesikkerhet. Beredskap. // Sikkerhetssystemer. 2003. - nr. 2(50). - S. 8-10.

5. Den russiske føderasjonens doktrine om informasjonssikkerhet // Rossiyskaya Gazeta datert 28. september 2000.

6. Gerasimenko V.A. Informasjonsbeskyttelse i automatiserte databehandlingssystemer: I 2 bøker: Bok. 1. M.: Energoatomizdat, 1994. - 400 s.

7. Gerasimenko V.A. Informasjonsbeskyttelse i automatiserte databehandlingssystemer: I 2 bøker: Bok. 2. M.: Energoatomizdat, 1994. - 176

8. Gerasimenko V.A., Malyuk A.A. Grunnleggende informasjonssikkerhet: Lærebok for høyere utdanningsinstitusjoner ved departementet for generell og profesjonell utdanning i Den russiske føderasjonen M.: MEPhI, 1997. - 538 s.

9. Grunnleggende informasjonssikkerhet: Lærebok for høyere utdanningsinstitusjoner i Russlands innenriksdepartementet / Ed. Minaeva, V.A. og Skryl S.V. - Voronezh: Voronezh-instituttet ved Russlands innenriksdepartement, 2001. - 464 s.

10. Shcherbakov A.A. Destruktiv programvarepåvirkning. M.: Forlaget "Edel", 1993. 64 s.

11. Mukhin V.I. Informasjon og programvarevåpen. Destruktiv programvarepåvirkning. // Vitenskapelig og metodisk materiale. M.: Military Academy of Strategic Missile Forces oppkalt etter Peter den store, 1998.-44 s.

12. Skryl S.V. Klassifisering av programvare for tyveri og forvrengning av informasjon i automatiserte informasjonssystemer // Høyteknologier innen teknologi, medisin og utdanning: Interuniversitetssamling. vitenskapelig tr., del 2. Voronezh: VSTU, 1997. - S. 131-137.

13. Datanettverk. Prinsipper, teknologier, protokoller: Lærebok for universiteter. / V.G. Olifer, N.A. Olifer SPb.: Peter, 2003. - 864 s.

14. Syrkov B.Yu. Datasystem gjennom øynene til en hacker // Teknologier og kommunikasjon. -1998. nr. 6. S. 98-100

15. Bezrukov N.N. Introduksjon til datavirologi. Generelle prinsipper for drift, klassifisering og katalog over de vanligste virusene i MS-DOS. Kiev, 1989. - 196 s.

16. Bezrukov N.N. Datavirologi: En referanseguide. -Kiev, 1991.

17. Bezrukov N.N. Datavirus. - M., 1991. - 132 s.

18. Kaspersky E.V. Datavirus i MS-DOS. M.: Edel forlag, 1992. - 120 s.

19. Kaspersky E.V. Datavirus, hva de er og hvordan de kan bekjempes. M.: "SK Press", 1998. - 288 s.

20. Kamper F., Johnston P., Kratz M. Datavirus: problemer og prognose. -M.: Mir, 1993. 175 s.

21. Guliev N.A. Datavirus, et blikk fra innsiden. M.: DMK, 1998.-304 s.

22. Teknologier for utvikling av skadelig programvare basert på datavirus // E.G. Gennadieva, K.A. Razinkin, Yu.M. Safonov, P.F. Sushkov, R.N. Tyunyakin // Informasjon og sikkerhet. Utgave 1. - Voronezh: VSTU, 2002. - s. 79-85.

23. Virologisk typing av ondsinnede programmer // JI.B. Chagina, K.S. Skryl, P.F. Sushkov // Science of production, 2005. - Utgave 6. - s. 12-17.

24. Minaev V.A., Skryl S.V. Datavirus som systemisk ondskap. // Sikkerhetssystemer SB-2002: Materialer fra XI vitenskapelige og tekniske konferansen til International Forum of Informatization - M.: GPS Academy, 2002. - s. 18-24.

25. Dataoverføringssystemer og nettverk: Lærebok. / M.V. Garanin, V.I. Zhuravlev, S.V. Kunegin M.: Radio og kommunikasjon, 2001. - 336 s.

26. Telekommunikasjonssystemer og nett: Lærebok I 3 bind. Bind 1 Moderne teknologier / B.I. Kruk, V.N. Popantonopoulo, V.P. Shuvalov - M.: Hotline - Telecom, 2003. - 647 s.

27. Beskyttelse av informasjon i datasystemer og nettverk. / Romanets Yu.V., Timofeev P.A., Shangin V.F. M.: Radio og kommunikasjon, 2001. - 376 s.

28. Organisatoriske og juridiske aspekter ved å begrense tilgangen til informasjon i virksomheten til organer for indre anliggender / Asyaev P.I., Pozhilykh V.A., Sushkov P.F., Belousova I.A., Potanina I.V., Razinkin K.A. // Informasjon og sikkerhet. - Utgave 1. Voronezh: VSTU, 2002. - S. 43-47.

29. Kaspersky K. Teknikker for nettverksangrep. Teknikker for motvirkning. M.: Solon-R, 2001.-397 s.

30. Serdyuk V.A. Lovende teknologier for å oppdage informasjonsangrep. // Sikkerhetssystemer. 2002. - nr. 5(47). - s. 96-97.

31. Programmering av: Lærebok. / Domashev A.V. Gruntovich M.M., Popov V.O., Pravikov D.I., Prokofiev I.V., Shcherbakov A.Yu. M.: Kunnskap, 2002. - 416 s.

32. Grusho A.A., Timonina E.E. Grunnleggende informasjonssikkerhet. M.: Yachtsman, 1996.-192 s.

33. Sikkerhet for avdelingsinformasjons- og telekommunikasjonssystemer. / Getmantsev A.A., Lipatnikov V.A., Plotnikov A.M., Sapaev E.G. VAS, 1997. 200 s.

34. Skryl S.V. Modellering og optimalisering av funksjonen til automatiserte kontrollsystemer til organer for interne anliggender i sammenheng med å bekjempe skadelig programvare: Sammendrag av avhandlingen til Dr. tech. Sciences M.: Academy of State Fire Service ved Russlands innenriksdepartement, 2000. - 48 s.

35. Joel T. Patz Antivirusprogrammer / PC Magazine / Russian Edition, 1996, nr. 3 (46), s. 70-85

36. Intelligente teknologier for Doctor Web antivirus. / JSC "Dialognauka". // Sikkerhetssystemer. 2002. - nr. 2(44). - S. 84-85.

37. Antimonov S.G. Intellektuelle konfrontasjoner i frontlinjen Virus-antivirus. // Informasjon og sikkerhet: Materialer for interregionalt vitenskapelig og praktisk arbeid. konf. Informasjon og sikkerhet. - Utgave 2. - Voronezh: VSTU, 2002. - S. 39-46.

38. Vorobyov V.F., Gerasimenko V.G., Potanin V.E., Skryl S.V. Design av sporeologiske identifiseringsverktøy for datakriminalitet. Voronezh: Voronezh-instituttet ved Russlands innenriksdepartement, 1999. - 136 s.

39. Spor etter datakriminalitet / Voynalovich V.Yu., Zavgorod-niy M.G., Skryl S.V., Sumin V.I. // Sammendrag av rapporter fra den internasjonale konferansen "Informatization of Law Enforcement Systems", del 2. M.: Academy of Management of the Ministry of Internal Affairs of Russia, 1997. s. 53-55.

40. Metodikk for å gjennomføre primære etterforskningshandlinger ved etterforskning av forbrytelser innen høyteknologi. / Sushkov P.F., Kochedykov S.S., Kiselev V.V., Artemov A.A. Bulletin of VI Ministry of Internal Affairs of Russia 2(9)" 2001 - Voronezh: VI Ministry of Internal Affairs of Russia 2001. - S. 152-155.

41. Øke oppdagelsesraten for datakriminalitet // Bogachev S.Yu., A.N. Obukhov, P.F. Sushkov // Informasjon og sikkerhet. Vol. 2. - Voronezh: VSTU, 2004. - S. 114 - 115.

42. Datamaskin og teknisk undersøkelse av ulovlige handlinger. // Sushkov P.F. // Bulletin fra Voronezh-instituttet til Russlands innenriksdepartement. T. 4(19). -2004.-№4(19) - S. 52-55.

43. Mamikonov A.G., Kulba V.V., Shchelkov A.B. Pålitelighet, beskyttelse og sikkerhetskopiering av informasjon i automatiserte kontrollsystemer. M.: Energoatomizdat, 1986. - 304 s.

44. Sokolov A.V., Shangin V.F. Informasjonsbeskyttelse i distribuerte bedriftssystemer. M.: DMK Press, 2002. - 656 s.

45. Khasin E.V. En integrert tilnærming til overvåking av informasjon og datasystemer. // Vitenskapelig økt MEPhI 2002: Materialer fra den IX all-russiske vitenskapelige og praktiske konferansen. konf. - M.: MEPhI, 2002. - S. 110-111.

46. ​​Buslenko N.P. Modellering av komplekse systemer / N.P. Buslenko. - M.: Nauka, 1978.-400 s.

47. Sovetov B.Ya. Modellering av systemer: Lærebok for universiteter om spesialisering. "Automatiske kontrollsystemer" / B.Ya. Sovetov, S.A. Yakovlev. - M.: Høyere skole, 1985. - 271 s.

48. Iglehart D.L. Regenerativ modellering av kønett: Pr. fra engelsk / D.L. Iglehart, D.S. Shedler. M.: Radio og kommunikasjon, 1984. - 136 s.

49. Buslenko V.N. Automatisering av simuleringsmodellering av komplekse systemer / V.N. Buslenko. - M.: Nauka, 1977. - 239 s.

50. Tarakanov K.V. Analytiske metoder for å studere systemer / K.V. Tarakanov, L.A. Ovcharov, A.N. Tyryshkin. - M.: Sovjetisk radio, 1974. 240 s.

51. Vilkas E.J., Mayminas E.Z. Løsninger: teori, informasjon, modellering. M.: Radio og kommunikasjon, 1981. - 328 s. s. 91-96.

52. Prinsipper for strukturert modellering av sikkerhetsprosesser for informasjonssystemer med spesielle formål. / P.I. Asyaev, V.N. Aseev, A.R. Mozhaitov, V.B. Shcherbakov, P.F. Sushkov // Radioteknikk (magasin i et magasin), 2002, nr. 11.

53. Tatg U. Grafteori: Transl. fra engelsk M.: Mir, 1988. - 424 s.

54. Ventzel E.S. Sannsynlighetsteori. M.: Forlag for fysisk og matematisk litteratur, 1958. - 464 s.

55. Samling av vitenskapelige programmer i Fortran. Vol. 1. Statistikk. New York, 1970. / Overs. fra engelsk M.: “Statistikk”, 1974. - 316 s.

56. Zaryaev A.V. Opplæring aver: styringsmodeller: Monografi M.: “Radio og kommunikasjon”, 2003. - 210 s.

57. Kini P.JI., Raiffa X. Beslutningstaking under flere kriterier for preferanse og substitusjon. M.: Radio og kommunikasjon, 1981. - 560 s.

58. Larichev O.I. Vitenskapen og kunsten å ta beslutninger. M.: Nauka, 1979.-200 s.

59. Yakovlev S.A. Problemer med planlegging av simuleringseksperimenter i design av informasjonssystemer. // Automatiserte databehandlings- og styringssystemer. L.: 1986. - 254 s.

60. Intelligente teknologier for Doctor Web antivirus. / JSC "Dia-lognauka". // Sikkerhetssystemer. 2002. - nr. 2(44). - s. 84-85.

61. Encyclopedia of datavirus. / JA. Kozlov, A.A. Parandovsky, A.K. Parandovsky M.: “Solon-R”, 2001. - 457 s.

62. Joel T. Patz Antivirusprogrammer / PC Magazine / Russian Edition, 1996, nr. 3 (46), s. 70-85.

63. Sertifiseringssystem for informasjonssikkerhetsverktøy i henhold til informasjonssikkerhetskrav nr. ROSS RU.OOI.OIBHOO. Statens register over sertifiserte informasjonssikkerhetsverktøy. Offisiell nettside for Statens tekniske kommisjon i Russland, 2004.

64. Skryl S.V. Modellering og optimalisering av funksjonen til automatiserte kontrollsystemer til organer for interne anliggender i sammenheng med å bekjempe skadelig programvare: Sammendrag av avhandlingen til Dr. tech. Sciences M.: Academy of State Fire Service ved Russlands innenriksdepartement, 2000. - 48 s.

65. Vurdering av informasjonssikkerhet i informasjons- og telekommunikasjonssystemer. / Minaev V.A., Skryl S.V., Potanin V.E., Dmitriev Yu.V. // Økonomi og produksjon. 2001. - Nr. 4. - s. 27-29.

66. Ventzel E.S. Operations Research M.: Sovjetisk radio, 1972 - 552 s.

67. Zadeh J1.A. Konseptet med en språklig variabel og dens anvendelse på tilnærmet beslutningstaking. M.: Mir, 1976. - 168 s.

68. Pospelov D.A. Logisk-språklige modeller i kontrollsystemer. M.: Energi, 1981.-231 s.

69. Pospelov D.A. Situasjonsledelse: teori og praksis. -M.: Nauka, 1986.-284 s.

70. Raifa G. Beslutningsanalyse (introduksjon til valgproblemet under forhold med usikkerhet). M.: Nauka, 1977. - 408 s.

71. Beslutningsmodeller basert på språklige variabler / A.N. Borisov, A.V. Aleksev, O.A. Krumberg et al. Riga: Zinatne, 1982. - 256 s.

72. Kofman A. Introduksjon til teorien om uklare sett. M.: Radio og kommunikasjon, 1982. - 432 s.

73. Fuzzy sett i kontroll- og kunstig intelligens-modeller. / Red. JA. Pospelov. M.: Nauka, 1986. - 312 s.

74. Handlinger om implementering av forskningsresultater

75. Viseavdelingsleder «K» i Sentraldirektoratet for indre anliggender, oberstløytnant i politiet1. Medlemmer av kommisjonen: art. kriminalbetjent for avdeling "K" i det sentrale innenriksdirektoratet, politikaptein, detektiv ved avdeling "K" i det sentrale innenriksdirektoratet, politiløytnant1. Sokolovsky I.V.1. Povalukhin A.A.1. Razdymalin R.S.41. JEG GODKJENT

76. Stedfortreder Leder for avdelingen for indre anliggender i Tambov-regionen, oberstløytnant i politiet1. Medlemmer av kommisjonen: 1. B.J.I. Vorotnikov

77. Avdelingsleder "K" ved USTM Department of Internal Affairs i Tambov-regionen, politimajor

78. Seniordetektiv for innenriksdepartementet i USTM innenriksdepartementet i Tambov-regionen, politimajor1. R.V. Belevitin1. A.V. Bogdanov

Vær oppmerksom på at de vitenskapelige tekstene som er presentert ovenfor kun er publisert for informasjonsformål og ble oppnådd gjennom original avhandlings tekstgjenkjenning (OCR). Derfor kan de inneholde feil knyttet til ufullkomne gjenkjennelsesalgoritmer. Det er ingen slike feil i PDF-filene til avhandlinger og sammendrag som vi leverer.