In preventiva - preprečevanje okužbe (spreminjanja) datotek ali operacijskega sistema z zlonamerno programsko opremo.

Metode zaščite pred virusi[ | ]

Za zaščito pred virusi se uporabljajo tri skupine metod:

1. Metode, ki temeljijo na analiza vsebine datoteke(tako podatkovne datoteke kot datoteke z ukazi). Ta skupina vključuje iskanje virusnih podpisov ter preverjanje celovitosti in iskanje sumljivih ukazov.
2. Metode, ki temeljijo na sledenje obnašanju programa pri njihovem izvajanju. Te metode so sestavljene iz beleženja vseh dogodkov, ki ogrožajo varnost sistema in se zgodijo med dejanskim izvajanjem testnega predmeta ali med njegovo programsko emulacijo.
3. Metode ureditev delovnih postopkov z datotekami in programi. Te metode so upravni varnostni ukrepi.

Metoda skeniranja podpisa(analiza podpisa, metoda podpisa) temelji na iskanju datotek za edinstveno zaporedje bajtov - podpisi, ki je značilen za določen virus. Za vsak novoodkriti virus strokovnjaki protivirusnega laboratorija opravijo analizo, na podlagi katere določijo njegov podpis. Nastali fragment virusa se postavi v posebno bazo virusnih podpisov, s katero deluje protivirusni program. Prednost te metode je razmeroma nizek delež lažnih pozitivnih rezultatov, glavna pomanjkljivost pa je načelna nezmožnost odkritja novega virusa v sistemu, za katerega v bazi antivirusnega programa ni podpisa, zato je pravočasno ažuriranje baze podpisov nujno. potrebno.

Metoda nadzora integritete temelji na dejstvu, da je vsaka nepričakovana in brez vzroka sprememba podatkov na disku sumljiv dogodek, ki zahteva posebno pozornost protivirusnega sistema. Virus nujno pusti dokaze o svoji prisotnosti (spremembe podatkov obstoječih (zlasti sistemskih ali izvedljivih) datotek, pojav novih izvedljivih datotek itd.). Dejstvo spremembe podatkov - kršitev integritete- se zlahka določi s primerjavo kontrolne vsote (prevleke), izračunane vnaprej za začetno stanje testnega predmeta, in kontrolne vsote (prevleke) trenutnega stanja testnega primera. Če se ne ujemajo, to pomeni, da je bila celovitost kršena in obstajajo vsi razlogi, da se za to izvede dodatno preverjanje, na primer s skeniranjem virusnih podpisov. Ta metoda deluje hitreje kot metoda skeniranja podpisov, saj izračun kontrolnih vsot zahteva manj izračunov kot operacija primerjave virusnih fragmentov po bajtih, poleg tega pa vam omogoča odkrivanje sledi dejavnosti katerega koli, vključno z neznanimi, virusi za za katere v bazi še ni podpisov.

Metoda za skeniranje sumljivih ukazov(hevristično skeniranje, hevristična metoda) temelji na prepoznavanju v skenirani datoteki določenega števila sumljivih ukazov in (ali) znakov sumljivih zaporedij (na primer ukaz za formatiranje trdega diska ali funkcija vbrizgavanja v tekoči ali izvršljivi proces). ). Po tem se domneva o zlonamerni naravi datoteke in izvedejo se dodatni koraki za njeno preverjanje. Ta metoda je hitra, vendar pogosto ne more zaznati novih virusov.

Metoda za sledenje obnašanju programa se bistveno razlikuje od prej omenjenih metod skeniranja vsebine datoteke. Ta metoda temelji na analizi obnašanja delujočih programov, kar je primerljivo z lovljenjem kriminalca "za roko" na kraju zločina. Tovrstna protivirusna orodja pogosto zahtevajo aktivno sodelovanje uporabnika, ki mora sprejemati odločitve kot odgovor na številna sistemska opozorila, od katerih se mnoga kasneje lahko izkažejo za lažne alarme. Pogostost lažnih pozitivnih rezultatov (sum virusa za neškodljivo datoteko ali manjkajoča zlonamerna datoteka) nad določenim pragom povzroči, da je ta metoda neučinkovita in uporabnik se lahko neha odzivati ​​na opozorila ali izbere optimistično strategijo (dovoli vsa dejanja vsem zagnanim programom oz. onemogočite to protivirusno funkcijo). Pri uporabi protivirusnih sistemov, ki analizirajo obnašanje programov, vedno obstaja nevarnost izvajanja virusnih ukazov, ki lahko povzročijo škodo na zaščitenem računalniku ali omrežju. Za odpravo te pomanjkljivosti je bila kasneje razvita emulacijska (simulacijska) metoda, ki omogoča zagon testiranega programa v umetno ustvarjenem (virtualnem) okolju, ki ga pogosto imenujemo peskovnik, brez nevarnosti, da bi poškodovali informacijsko okolje. Uporaba metod za analizo obnašanja programov je pokazala njihovo visoko učinkovitost pri odkrivanju tako znane kot neznane zlonamerne programske opreme.

Lažni antivirusi [ | ]

Leta 2009 se je začelo aktivno širjenje lažnih protivirusnih programov [ ] – programska oprema, ki ni protivirusna (to pomeni, da nima prave funkcije za preprečevanje zlonamerne programske opreme), vendar se pretvarja, da je. Pravzaprav so lahko lažni protivirusni programi za zavajanje uporabnikov in ustvarjanje dobička v obliki plačil za "zdravljenje sistema virusov" ali navadna zlonamerna programska oprema.

Posebni antivirusi[ | ]

Novembra 2014 je mednarodna organizacija za človekove pravice Amnesty International izdala Detect, protivirusni program, zasnovan za odkrivanje zlonamerne programske opreme, ki jo distribuirajo vladne agencije za vohunjenje za civilnimi aktivisti in političnimi nasprotniki. Protivirusni program po mnenju ustvarjalcev izvaja globlje skeniranje trdega diska kot običajni protivirusni programi.

Učinkovitost protivirusnega programa[ | ]

Analitsko podjetje Imperva je v okviru Hacker Intelligence Initiative objavilo zanimivo študijo, ki kaže na nizko učinkovitost večine antivirusov v realnih razmerah.

Glede na rezultate različnih sintetičnih testov kažejo antivirusi povprečno učinkovitost okoli 97 %, vendar so ti testi opravljeni na več sto tisoč vzorcih podatkov, od katerih jih velika večina (mogoče okoli 97 %) ni več vajena. izvajati napade.

Vprašanje je, kako učinkoviti so antivirusi proti najsodobnejšim grožnjam. Da bi odgovorili na to vprašanje, so Imperva in študenti Univerze v Tel Avivu pridobili 82 vzorcev najnovejše zlonamerne programske opreme iz ruskih podzemnih forumov in jih testirali proti VirusTotal, torej proti 42 protivirusnim mehanizmom. Rezultat je bil katastrofalen.

1. Učinkovitost protivirusnih programov proti na novo prevedeni zlonamerni programski opremi je bila manjša od 5 %. To je povsem logičen rezultat, saj jih ustvarjalci virusov vedno testirajo glede na bazo podatkov VirusTotal.
2. Od pojava virusa do tega, da ga antivirusi začnejo prepoznavati, minejo do štiri tedne. To številko dosežejo "elitni" antivirusi, medtem ko lahko za druge antiviruse obdobje doseže do 9-12 mesecev. Na primer, na začetku študije 9. februarja 2012 je bil testiran nov vzorec lažnega namestitvenega programa Google Chrome. Po koncu študije 17. novembra 2012 ga je zaznalo le 23 od 42 antivirusov.
3. Protivirusni programi z najvišjim odstotkom zaznave zlonamerne programske opreme imajo tudi visok odstotek lažno pozitivnih rezultatov.
4. Čeprav študijo težko imenujemo objektivna, ker je bil vzorec zlonamerne programske opreme premajhen, lahko domnevamo, da so antivirusi popolnoma neprimerni proti novim kibernetskim grožnjam.

Klasifikacije protivirusnih programov[ | ]

Protivirusne programe delimo glede na izvajanje (sredstva za blokiranje) na:

• programska oprema;
• programsko in strojno opremo.

Glede na namestitev v RAM ločimo naslednje:

• rezident (začnejo svoje delo ob zagonu operacijskega sistema, so stalno v pomnilniku računalnika in samodejno pregledujejo datoteke);
• nerezident (zaženejo se na zahtevo uporabnika ali v skladu z zanj določenim urnikom).

Glede na vrsto (način) zaščite pred virusi ločimo:

V skladu z regulativnim pravnim aktom FSTEC Rusije "Zahteve na področju tehničnih predpisov za izdelke, ki se uporabljajo za zaščito informacij, ki so državna skrivnost ali so razvrščene kot druge informacije z omejenim dostopom, zaščitene v skladu z zakonodajo Ruske federacije (zahteve za protivirusna zaščitna sredstva)« (odobreno . z odredbo FSTEC Rusije z dne 20. marca 2012 št. 28) se razlikujejo naslednje vrste protivirusne zaščite:

• tip "A" - protivirusna zaščitna orodja (komponente protivirusnih zaščitnih orodij), namenjena centraliziranemu upravljanju protivirusnih zaščitnih orodij, nameščenih na komponentah informacijskega sistema (strežniki, avtomatizirane delovne postaje);
• vrsta »B« - protivirusna zaščitna orodja (komponente protivirusnih zaščitnih orodij), namenjena uporabi na strežnikih informacijskega sistema;
• tip "B" - protivirusna zaščitna orodja (komponente protivirusnih zaščitnih orodij), namenjena za uporabo na avtomatiziranih delovnih postajah informacijskih sistemov;
• tip “G” - protivirusna zaščitna orodja (komponente protivirusnih zaščitnih orodij), namenjena uporabi v avtonomnih avtomatiziranih delovnih postajah.

Protivirusna zaščitna orodja tipa “A” se v informacijskih sistemih ne uporabljajo samostojno in so namenjena za uporabo le v povezavi s protivirusnimi zaščitnimi orodji tipa “B” in (ali) “C”.

Beseda "bot" je okrajšava za besedo "robot". Bot je del kode, ki opravlja nekatere funkcije za svojega lastnika, ki je avtor te kode. Boti (bot) so vrsta zlonamerne programske opreme, ki je nameščena na tisoče računalnikov. Pokliče se računalnik, na katerem je nameščen bot zombi(zombi). Bot prejema ukaze od svojega lastnika in prisili okuženi računalnik, da jih izvrši. Takšni ukazi so lahko pošiljanje neželene pošte, virusov ali izvajanje napadov. Napadalec raje izvede takšna dejanja z boti kot z lastnim računalnikom, saj se tako izogne ​​odkrivanju in identifikaciji.

Imenuje se niz zombi računalnikov, ki jih je napadel napadalec in na katerih so nameščeni roboti botnet (botnet). Da bi ustvarili botnet, hekerji vdrejo v tisoče sistemov in pošiljajo zlonamerno kodo na različne načine: kot priloge k e-poštnim sporočilom, prek ogroženih spletnih mest, s pošiljanjem povezav do zlonamernih mest kot prilog k e-poštnim sporočilom itd. Če je zlonamerna koda uspešno nameščena na uporabnikovem računalniku, napadalcu pošlje sporočilo, da je bil sistem vlomljen in da je zdaj na voljo napadalcu, ki ga lahko uporablja po mili volji. Na primer, lahko uporabi ustvarjeni botnet za izvajanje močnih napadov ali ga oddaja pošiljateljem neželene pošte. Poleg tega je večina računalnikov, vključenih v botnet, domačih računalnikov nič hudega slutečih uporabnikov.

Lastnik tega botneta nadzoruje sisteme, ki so vanj vključeni, na daljavo, običajno prek protokola IRC (Internet Relay Chat).

Spodaj so navedeni osnovni koraki za ustvarjanje in uporabo botnetov:

1. Heker uporablja različne metode, da potencialnim žrtvam pošlje zlonamerno kodo, ki vsebuje programsko opremo robotov.
2. Po uspešni namestitvi v sistem žrtve bot vzpostavi stik z nadzornim strežnikom botneta, z njim vzpostavi stik preko IRC ali posebnega spletnega strežnika, v skladu s tem, kar je navedeno v njegovi kodi. Po tem nadzorni strežnik prevzame nadzor nad novim botom.
3. Pošiljatelj neželene pošte plača hekerju za uporabo sistemov njegovega botneta, heker pošlje ustrezne ukaze nadzornemu strežniku, ta pa vsem okuženim sistemom, ki so vključeni v botnetu, naroči pošiljanje neželene pošte.

Pošiljatelji neželene pošte uporabljajo to metodo, ker znatno poveča verjetnost, da njihova sporočila dosežejo prejemnike, mimo njihovih nameščenih filtrov za neželeno pošto, ker. takšna sporočila ne bodo poslana z enega naslova, ki bo hitro blokiran ali dodan na vse "črne sezname", temveč iz številnih resničnih naslovov lastnikov vdrtih računalnikov.

Za ustvarjanje botneta njegov bodoči lastnik naredi vse sam ali pa plača hekerjem za razvoj in distribucijo zlonamerne programske opreme za okužbo sistemov, ki bodo postali del njegovega botneta. In potem bodo lastnika botneta kontaktirali in plačali tisti, ki vam želijo povedati o svojih novih izdelkih, pa tudi tisti, ki morajo napasti konkurente, ukrasti osebne podatke ali uporabniška gesla in mnogi drugi.

Tradicionalna protivirusna programska oprema uporablja podpise za odkrivanje zlonamerne kode. Podpisi so prstni odtisi zlonamerne kode, ki jo ustvari proizvajalec protivirusne programske opreme. Podpis so fragmenti kode, pridobljeni iz samega virusa. Protivirusni program pregleda datoteke, e-pošto in druge podatke, ki prehajajo skozi določene računalnike, in jih primerja s svojo zbirko virusnih definicij. Ko je zaznano ujemanje, protivirusni program izvede vnaprej konfigurirano dejanje, ki lahko pošlje okuženo datoteko v karanteno, poskuša "ozdraviti" datoteko (odstraniti virus), prikaže opozorilno okno za uporabnika in/ali snemanje dogodka v .

Zaznavanje zlonamerne kode na podlagi podpisov je učinkovit način za odkrivanje zlonamerne programske opreme, vendar obstajajo določene zamude pri odzivanju na nove grožnje. Ko je virus prvič odkrit, mora proizvajalec protivirusnega programa preučiti virus, razviti in preizkusiti nove podpise, izdati posodobitev zbirke podatkov o podpisih in vsi uporabniki morajo prenesti posodobitev. Če zlonamerna koda preprosto pošilja vaše fotografije vsem vašim prijateljem, ta zamuda ni tako kritična. Če pa je zlonamerna programska oprema podobna črvu Slammer, je lahko škoda zaradi takšne zamude katastrofalna.

OPOMBA. Črv Slammer se je pojavil leta 2003. Izkoristil je ranljivost v DBMS Microsoft SQL Server 2000, ki mu je omogočila, da povzroči zavrnitev storitve. Po nekaterih ocenah je Slammer povzročil več kot milijardo dolarjev škode.

Z novo zlonamerno programsko opremo, ki se dnevno ustvarja, je proizvajalcem protivirusne programske opreme težko slediti. Tehnologija virusnih podpisov omogoča odkrivanje virusov, ki so že identificirani in za katere je bil ustvarjen podpis. A ker so pisci virusov tako plodni in lahko številni virusi spremenijo svojo kodo, je pomembno, da ima protivirusna programska oprema druge mehanizme za odkrivanje zlonamerne kode.

Druga metoda, ki jo uporabljajo skoraj vsi izdelki protivirusne programske opreme, je odkrivanje zlonamerne kode na podlagi hevristična analiza (hevristično odkrivanje). Ta metoda analizira celotno strukturo zlonamerne kode, ovrednoti navodila in algoritme, ki jih izvaja koda, ter prouči vrste podatkov, ki jih uporablja zlonamerni program. Tako zbere veliko količino informacij o delu kode in oceni verjetnost, da je po naravi zlonamerna. Uporablja nekakšen »števec sumljivosti«, ki se povečuje, ko protivirusni program v njem najde nove potencialno nevarne (sumljive) lastnosti. Ko je dosežen vnaprej določeni prag, se koda šteje za nevarno in protivirusni program sproži ustrezne obrambne mehanizme. To protivirusni programski opremi omogoča, da prepozna neznano zlonamerno programsko opremo, namesto da se zanaša le na podpise.

Razmislite o naslednji analogiji. Ivan je policist, dela na tem, da ujame negativce in jih zapre. Če bo Ivan uporabil metodo podpisov, primerja kupe fotografij vsake osebe, ki jo vidi na ulici. Ko zagleda vžigalico, hitro ujame negativca in ga posadi v svoj patruljni avto. Če bo uporabil hevristično metodo, pazi na sumljive dejavnosti. Če denimo vidi moškega v smučarski maski stati pred banko, oceni verjetnost, da gre za roparja in ne le za mrzlega tipa, ki zahteva drobiž od strank banke.

OPOMBA. Delovne postaje brez diska so tudi ranljive za viruse, kljub pomanjkanju trdega diska in polnega operacijskega sistema. Lahko so okuženi z virusi, ki se naložijo in živijo v pomnilniku. Takšne sisteme je mogoče znova zagnati na daljavo (oddaljeni ponovni zagon), da počistite pomnilnik in ga vrnete v prvotno stanje, tj. virus v takem sistemu živi kratko.

Nekateri protivirusni izdelki ustvarijo umetno okolje, imenovano virtualni stroj ali peskovnik, in omogočijo del sumljive kode, da se izvaja v zaščitenem okolju. To daje protivirusnemu programu možnost videti kodo v akciji, kar daje veliko več informacij za odločitev, ali je zlonamerna ali ne.

OPOMBA. Včasih se imenuje virtualni stroj ali peskovnik emulacijski medpomnilnik(emulacijski medpomnilnik). To je enako kot zaščiten segment pomnilnika, tako da bo sistem še vedno ostal varen, tudi če se izkaže, da je koda zlonamerna.

Imenuje se analiziranje informacij o delu kode statična analiza , če zaženete del kode na virtualnem stroju, se to imenuje dinamična analiza . Obe metodi veljata za hevristične metode odkrivanja.

Cepljenje. Drugi pristop, ki so ga uporabili nekateri protivirusni programi, se imenuje cepljenje(imunizacija). Izdelki s to funkcijo so spremenili datoteke in področja diska, tako da so videti, kot da so že okuženi. V tem primeru se lahko virus odloči, da je datoteka (disk) že okužena in ne bo naredil nobenih dodatnih sprememb ter prešel na naslednjo datoteko.

Program cepljenja je praviloma usmerjen proti določenemu virusu, saj vsak od njih drugače preverja dejstvo okužbe in išče različne podatke (podpise) v datoteki (na disku). Vendar pa število virusov in druge zlonamerne programske opreme nenehno narašča, s tem pa tudi število datotek, ki jih je treba zaščititi, zato ta pristop trenutno v večini primerov ni praktičen in ga proizvajalci protivirusnih programov ne uporabljajo več.

Trenutno tudi z vsemi temi prefinjenimi in učinkovitimi pristopi ni absolutnega jamstva za učinkovitost protivirusnih orodij, saj so pisci virusov zelo zviti. To je stalna igra mačke in miši, ki se dogaja vsak dan. Protivirusna industrija išče nov način za odkrivanje zlonamerne programske opreme, naslednji teden pa bodo pisci virusov našli pot za to novo metodo. To sili proizvajalce protivirusnih programov, da nenehno povečujejo inteligenco svojih izdelkov, uporabniki pa morajo vsako leto kupiti nove različice le-teh.

Naslednja stopnja v razvoju protivirusne programske opreme se imenuje vedenjski blokatorji (blokator vedenja). Protivirusna programska oprema, ki izvaja vedenjsko blokiranje, v bistvu omogoča zagon sumljive kode v nezaščitenem operacijskem sistemu in spremlja njeno interakcijo z operacijskim sistemom, pri čemer je pozorna na sumljivo dejavnost. Natančneje, protivirusna programska oprema spremlja naslednje vrste dejavnosti:

• Pisanje v datoteke, ki se samodejno naložijo ob zagonu sistema, ali v zagonske razdelke v sistemskem registru
• Odpiranje, brisanje ali spreminjanje datotek
• Vključitev skriptov v e-poštna sporočila za pošiljanje izvedljive kode
• Povezovanje z omrežnimi viri ali mapami v skupni rabi
• Spreminjanje logike izvršljive kode
• Ustvarjanje ali spreminjanje makrov in skriptov
• Formatiranje trdega diska ali pisanje v zagonski sektor

Če protivirusni program zazna nekatere od teh potencialno nevarnih dejavnosti, lahko prisili program, da se prekine in obvesti uporabnika. Nova generacija vedenjskih blokatorjev pravzaprav analizira zaporedje takšnih dejanj, preden se odloči, da je sistem okužen (prva generacija vedenjskih blokatorjev je preprosto sprožila posamezna dejanja, kar je pripeljalo do velikega števila lažno pozitivnih rezultatov). Sodobna protivirusna programska oprema lahko prestreže izvajanje nevarnih delov kode in prepreči njihovo interakcijo z drugimi tekočimi procesi. Prav tako lahko zaznajo. Nekateri od teh protivirusnih programov vam omogočajo, da "povrnete" sistem v stanje, v katerem je bil pred okužbo, in "izbrišete" vse spremembe, ki jih je naredila zlonamerna koda.

Zdi se, da lahko vedenjski blokatorji popolnoma rešijo vse težave, povezane z zlonamerno kodo, vendar imajo eno pomanjkljivost, ki zahteva takšno spremljanje zlonamerne kode v realnem času, sicer je lahko sistem še vedno okužen. Poleg tega stalen nadzor zahteva veliko sistemskih virov...

OPOMBA. Hevristična analiza in blokiranje na podlagi vedenja veljata za proaktivni tehniki in lahko zaznata novo zlonamerno programsko opremo, včasih imenovano napadi ničelnega dne. Zaznavanje zlonamerne programske opreme na podlagi podpisov ne more zaznati nove zlonamerne programske opreme.

Večina protivirusnih programov uporablja kombinacijo vseh teh tehnologij za zagotavljanje najboljše možne zaščite. Izbrane rešitve proti zlonamerni programski opremi so prikazane na sliki 9-20.

Slika 9-20. Proizvajalci protivirusne programske opreme uporabljajo različne metode za odkrivanje zlonamerne kode

Vsi smo že naveličani e-poštnih sporočil, ki nas prosijo, naj kupimo nekaj, česar ne potrebujemo. Takšna pisma se imenujejo nezaželena pošta (spam) so neželena e-poštna sporočila. Ne le, da neželena pošta odvrača prejemnike od njihovih nalog, ampak porabi precejšnjo pasovno širino omrežja in je lahko tudi vir zlonamerne programske opreme. Mnoga podjetja uporabljajo filtre za neželeno pošto na svojih e-poštnih strežnikih, uporabniki pa lahko konfigurirajo pravila za filtriranje neželene pošte v svojih e-poštnih odjemalcih. Toda pošiljatelji neželene pošte, pa tudi pisci virusov, nenehno izumljajo nove in domiselne načine, kako zaobiti filtre neželene pošte.

Učinkovito odkrivanje neželene pošte je postalo prava znanost. Ena od uporabljenih metod se imenuje Bayesovo filtriranje (Bayesovo filtriranje). Pred mnogimi leti je gospod po imenu Thomas Bayes (matematik) razvil učinkovit način za napovedovanje verjetnosti pojava kakršnih koli dogodkov z uporabo matematike. Bayesov izrek nam omogoča določitev verjetnosti, da se je dogodek zgodil ob prisotnosti le posrednih dokazov (podatkov), ki so lahko netočni. Konceptualno tega ni tako težko razumeti. Če trikrat udarite z glavo ob opečnat zid in vsakič padete, lahko sklepate, da bo ponovni poskus povzročil enake boleče rezultate. Bolj zanimivo je, ko se ta logika uporabi za dejanja, ki vsebujejo veliko več spremenljivk. Kako na primer deluje filter neželene pošte, ki ne dovoli vaših pisem s ponudbo za nakup viagre, ne prepreči pa dostave pošte vašega prijatelja, ki ga to zdravilo zelo zanima in vam piše sporočila o njegovih lastnostih in učinkih. na telesu? Bayesov filter uporablja statistično modeliranje za besede, ki sestavljajo e-poštna sporočila. Za te besede so uporabljene matematične formule, da bi v celoti razumeli njihov medsebojni odnos. Bayesov filter izvede frekvenčno analizo vsake besede in nato oceni sporočilo kot celoto, da ugotovi, ali gre za neželeno pošto ali ne.

Ta filter ne išče samo besed "viagra", "seks" itd., temveč tudi, kako pogosto so te besede uporabljene in v kakšnem vrstnem redu, da ugotovi, ali je sporočilo vsiljena pošta. Na žalost pošiljatelji neželene pošte vedo, kako ti filtri delujejo, in manipulirajo z besedami v zadevi in ​​telesu sporočila, da bi preslepili filter neželene pošte. Zato lahko prejmete vsiljena sporočila z napačno črkovanimi besedami ali besedami, ki namesto črk uporabljajo simbole. Pošiljatelji neželene pošte so zelo zainteresirani, da prejemate njihova sporočila, saj s tem zaslužijo veliko denarja.

Zaščita podjetij pred široko paleto zlonamerne programske opreme zahteva več kot le protivirusno programsko opremo. Kot pri drugih komponentah je treba uvesti in vzdrževati nekatere dodatne upravne, fizične in tehnične zaščitne ukrepe.

Podjetje mora imeti ločeno protivirusno politiko ali pa je treba vprašanja protivirusne zaščite upoštevati v splošni. Treba je razviti, ki določa vrste protivirusne in protivohunske programske opreme, potrebne za uporabo v podjetju, ter glavne parametre njihove konfiguracije.

Informacije o virusnih napadih, uporabljenih protivirusnih zaščitnih orodjih in vedenju, ki se pričakuje od uporabnikov, je treba zagotoviti v programu. Vsak uporabnik bi moral vedeti, kaj mora storiti in kam se obrniti, če v računalniku odkrije virus. Standard mora obravnavati vsa vprašanja, povezana z dejanji uporabnikov, povezanimi z zlonamerno kodo, in mora navesti, kaj mora uporabnik narediti in kaj sme početi. Standard bi moral vsebovati zlasti naslednja vprašanja:

• Protivirusna programska oprema mora biti nameščena na vsaki delovni postaji, strežniku, komunikatorju in pametnem telefonu.
• Vsaka od teh naprav mora imeti način za samodejno posodabljanje protivirusnih podpisov, ki morajo biti omogočeni in konfigurirani na vsaki napravi.
• Uporabnik ne bi smel imeti možnosti onemogočiti protivirusne programske opreme.
• Postopek odstranjevanja virusov je treba razviti in načrtovati vnaprej ter identificirati in določiti kontaktno osebo v primeru odkritja zlonamerne kode.
• Vse zunanje pogone (pogone USB itd.) je treba pregledati samodejno.
• Varnostne kopije datotek je treba skenirati.
• Protivirusne politike in postopke je treba pregledati vsako leto.
• Protivirusna programska oprema, ki jo uporabljate, mora zagotavljati zaščito pred zagonskimi virusi.
• Protivirusno skeniranje je treba izvajati neodvisno na prehodu in na vsaki posamezni napravi.
• Protivirusno skeniranje se mora izvajati samodejno po urniku. Ni se vam treba zanašati na uporabnike, ki bodo ročno izvajali preglede.
• Kritični sistemi morajo biti fizično zaščiteni tako, da je nanje onemogočena lokalna namestitev zlonamerne programske opreme.

Ker lahko zlonamerna programska oprema povzroči milijone dolarjev škode (v operativnih stroških, izgubljeni produktivnosti), številna podjetja nameščajo protivirusne rešitve na vseh vstopnih točkah omrežja. Protivirusni skener je mogoče integrirati v programsko opremo poštnega strežnika ali . Ta protivirusni skener preverja ves dohodni promet glede prisotnosti zlonamerne kode, da bi jo zaznal in zaustavil vnaprej, še preden doseže notranje omrežje. Izdelki, ki izvajajo to funkcijo, lahko pregledujejo promet iz SMTP, HTTP, FTP in morda drugih protokolov. Vendar je pomembno razumeti, da tak izdelek spremlja le enega ali dva protokola in ne vsega dohodnega prometa. To je eden od razlogov, zakaj mora imeti vsak strežnik in delovna postaja nameščeno tudi protivirusno programsko opremo.

V členu 273 Kazenskega zakonika Ruske federacije pod zlonamerna programska oprema se nanaša na računalniške programe ali spremembe obstoječih programov, ki »zavestno vodijo do nepooblaščenega uničenja, blokiranja, spreminjanja ali kopiranja informacij, motenj v delovanju računalnika, računalniškega sistema ali njihovega omrežja«.

Microsoft Corporation uporablja izraz zlonamerna programska oprema in jo opredeljuje na naslednji način: »zlonamerna programska oprema je okrajšava za zlonamerno programsko opremo, ki se običajno uporablja kot splošni izraz za katero koli programsko opremo, ki je posebej zasnovana za povzročanje škode posameznemu računalniku, strežniku ali računalniškemu omrežju, ne glede na pa naj gre za virus, vohunsko programsko opremo itd.«

Škoda, ki jo povzroči taka programska oprema, lahko vključuje poškodbe:

• programska in strojna oprema računalnika (omrežja), ki ga je napadel vsiljivec;
• računalniški uporabniški podatki;
• uporabniku računalnika samemu (posredno);
• uporabniki drugih računalnikov (posredno).

Posebna škoda za uporabnike in (ali) lastnike računalniških sistemov in omrežij lahko vključuje naslednje:

• uhajanje in (ali) izguba dragocenih informacij (vključno s finančnimi informacijami);
• nenormalno delovanje programske opreme, nameščene v sistemu;
• močno povečanje dohodnega in (ali) odhodnega prometa;
• upočasnitev ali popolna odpoved računalniškega omrežja;
• izguba delovnega časa zaposlenih v organizaciji;
• dostop storilca do virov računalniškega omrežja podjetja;
• tveganje, da postane žrtev goljufije.

Znaki zlonamerne programske opreme vključujejo naslednje:

• skrivanje vaše prisotnosti v računalniškem sistemu;
• izvajanje samopodvajanja, povezovanje vaše kode z drugimi programi, prenos vaše kode na prej nezasedena področja pomnilnika računalnika;
• izkrivljanje kode drugih programov v RAM-u računalnika;
• shranjevanje podatkov iz RAM-a drugih procesov v druga področja pomnilnika računalnika;
• izkrivljanje, blokiranje, zamenjava shranjenih ali prenesenih podatkov, pridobljenih kot posledica delovanja drugih programov ali že v zunanjem pomnilniku računalnika;
• nepravilno obveščanje uporabnika o dejanjih, ki naj bi jih izvajal program.

Zlonamerni program ima lahko samo eno od zgoraj naštetih lastnosti ali kombinacijo le-teh. Očitno zgornji seznam ni izčrpen.

Glede na prisotnost materialnih koristi lahko zlonamerno programsko opremo (programsko opremo) razdelimo na:

• ne prinaša neposredne materialne koristi osebi, ki je razvila (namestila) zlonamerni program (razvit na podlagi huliganstva, "šale", vandalizma, vključno z verskimi, nacionalističnimi, političnimi razlogi, samopotrjevanjem in željo po potrditvi svojih kvalifikacij);
• povzročitev neposredne premoženjske koristi storilcu v obliki kraje zaupnih podatkov, vključno s pridobitvijo dostopa do sistemov banka-komitent, pridobitvijo PIN kod kreditnih kartic in drugih osebnih podatkov uporabnika ter pridobitev nadzora nad oddaljenimi računalniškimi sistemi za namenom razširjanja neželene pošte s številnih »okuženih« računalnikov (zombi računalnikov).

Glede na namen razvoja lahko zlonamerno programsko opremo razdelimo na:

• Programska oprema, ki je bila prvotno razvita posebej za pridobitev nepooblaščenega dostopa do informacij, shranjenih v računalniku, z namenom povzročitve škode lastniku informacij in (ali) lastniku računalnika (računalniškega omrežja);
• Programska oprema, ki prvotno ni bila razvita posebej za pridobitev nepooblaščenega dostopa do informacij, shranjenih v računalniku, in ni bila prvotno namenjena povzročanju škode lastniku informacij in (ali) lastniku računalnika (računalniškega omrežja).

Nedavno je prišlo do kriminalizacije industrije ustvarjanja zlonamerne programske opreme, kar je povzročilo naslednje:

• kraja zaupnih informacij (poslovne skrivnosti, osebni podatki);
• ustvarjanje zombi omrežij (»botnetov«), zasnovanih za pošiljanje neželene pošte, porazdeljenih napadov z zavrnitvijo storitve (DDoS napadi) in uvedbo trojanskih proxy strežnikov;
• šifriranje uporabniških podatkov s kasnejšim izsiljevanjem in zahtevami po odkupnini;
• napadi na protivirusne izdelke;
• tako imenovano izpiranje (permanent denial of service – PDoS).

Napadi z zavrnitvijo storitve se zdaj ne uporabljajo toliko kot orodje za izsiljevanje denarja od žrtev, temveč kot sredstvo politične in konkurenčne vojne. Če so bili prej napadi DoS orodje v rokah le izsiljevalskih hekerjev ali huliganov, so zdaj postali enako blago kot vsiljena pošta ali po meri narejena zlonamerna programska oprema. Oglaševanje storitev napadov DoS je postalo vsakdanje, cene pa so že primerljive s stroški organiziranja neželene pošte.

Podjetja, specializirana za računalniško in omrežno varnost, so pozorna na novo vrsto groženj – tako imenovano trajno zavrnitev storitve (ROoS). Nova vrsta napada je dobila drugo ime - zardevanje. Potencialno lahko povzroči veliko večjo škodo sistemu kot katera koli druga vrsta omrežne zlonamerne dejavnosti, saj je namenjena onesposobitvi računalniške opreme. Napadi RooB so učinkovitejši in cenejši od tradicionalnih vrst napadov, pri katerih poskuša heker namestiti zlonamerno programsko opremo v sistem žrtve. Pri flashanju so tarča napada programi v VUB flash pomnilniku in gonilniki naprav, ki ob poškodbi motijo ​​delovanje naprav in so jih potencialno sposobni fizično uničiti.

Druga vrsta napadov, namenjenih kraji zaupnih informacij, je, ko napadalci v informacijski sistem podjetja vnesejo zlonamerni program, ki lahko blokira delovanje sistema. Na naslednji stopnji napadeno podjetje prejme pismo kriminalcev, ki zahtevajo denar za geslo, ki jim bo omogočilo odklepanje računalniškega sistema podjetja. Drug podoben način nezakonitega zaslužka na spletu je zagon trojanskih programov v vaš računalnik, ki lahko šifrirajo podatke. Ključ za dešifriranje pošljejo tudi kriminalci za določeno denarno nagrado.

Osebni podatki uporabnika napadenega računalnika, ki so zanimivi za napadalca, vključujejo:

• Dokumenti in drugi uporabniški podatki, shranjeni v računalniškem pomnilniku;
• imena računov in gesla za dostop do različnih omrežnih virov (elektronski denar in plačilni sistemi, internetne dražbe, internetni pozivniki, e-pošta, internetna mesta in forumi, spletne igre);
• e-poštni naslovi drugih uporabnikov, 1P naslovi drugih računalnikov v omrežju.

Zahvaljujoč novim priložnostim, ki jih ponuja internet, predvsem pa zaradi široke razširjenosti socialnih omrežij, se vse več ljudi redno obrača na internetne vire in postane žrtev vse bolj sofisticiranih napadov, katerih namen je tako kraja zaupnih uporabniških podatkov kot »zombiranje«. ” svoje računalnike z namenom kasnejše uporabe njihovih virov s strani kršiteljev.

Učinkovito delovanje "zombi" omrežja določajo tri komponente, ki jih običajno sestavljajo:

• program za nalaganje, katerega naloga je distribucija lastne kode in kode programa bot, ki opravlja glavno delo;
• program bot, ki zbira in prenaša zaupne podatke, pošilja neželeno pošto, sodeluje pri napadu EEoB in drugih dejanjih, ki mu jih dodeli kršitelj;
• modul za nadzor botneta, ki zbira informacije iz programov botov in jim pošilja posodobitve ter po potrebi nove konfiguracijske datoteke, ki »preusmerjajo« programe botov.

Primeri protivirusne programske opreme, nameščene pri uporabniku za preprečevanje zlonamerne programske opreme, so:

• prisilna zaustavitev protivirusnega skenerja ali monitorja;
• spreminjanje nastavitev varnostnega sistema za lažjo implementacijo in delovanje zlonamernega programa;
• samodejni klik na gumb »Preskoči« po tem, ko uporabnik prejme opozorilo o odkriti zlonamerni programski opremi;
• skrivanje vaše prisotnosti v sistemu (tako imenovani "rootkiti");
• zapletanje protivirusne analize z dodatnim preoblikovanjem zlonamerne kode (šifriranje, zamegljevanje ali obfuskacija, polimorfizem, pakiranje).

Do zadnjih let je delo protivirusnih programov temeljilo izključno na analizi vsebine pregledanega predmeta. Istočasno je prejšnja metoda odkrivanja virusov, ki temelji na podpisih (tako imenovano skeniranje), uporabljala iskanje fiksnih zaporedij bajtov, pogosto na določenem odmiku od začetka objekta, vsebovanega v binarni kodi zlonamernega virusa. program. Hevristična analiza, ki se je pojavila nekoliko kasneje, je prav tako preverjala vsebino skeniranega predmeta, vendar je temeljila na svobodnejšem, verjetnostnem iskanju zaporedij bajtov, značilnih za potencialno škodljiv program. Očitno bo zlonamerni program zlahka zaobšel takšno zaščito, če je vsaka njegova kopija nov niz bajtov.

Prav to je problem, ki ga rešujeta polimorfizem in metamorfizem, katerega bistvo je, da se zlonamerni program ob ustvarjanju svoje naslednje kopije popolnoma spremeni na ravni nabora bajtov, iz katerih je sestavljen. Vendar njegova funkcionalnost ostaja nespremenjena.

Šifriranje in zamegljevanje (zamegljevanje kode) sta v prvi vrsti namenjena oteževanju analize programske kode, vendar se izvajata na določen način izkažeta za vrsti polimorfizma (na primer šifriranje vsake kopije virusa z edinstvenim ključem ). Zakrivanje samo otežuje analizo, vendar, uporabljeno na nov način v vsaki kopiji zlonamerne programske opreme, moti protivirusno skeniranje.

Polimorfizem je postal relativno razširjen šele v dobi virusov, ki okužijo datoteke. To je razloženo z dejstvom, da je pisanje polimorfne kode zelo zapletena naloga, ki zahteva veliko virov in je upravičena le v primerih, ko se zlonamerni program samostojno razmnožuje: vsaka njegova nova kopija je bolj ali manj edinstven niz bajtov. Za večino sodobne zlonamerne programske opreme, ki nima funkcije samopodvajanja, to ni pomembno. Zato polimorfizem trenutno ni zelo pogost pri zlonamerni programski opremi.

Nasprotno, zamegljevanje, pa tudi druge metode spreminjanja kode, ki v veliki meri rešujejo problem zapletanja njegove hevristične analize in ne naloge zapletanja skeniranja, zaradi te okoliščine ne izgubijo pomembnosti.

Za zmanjšanje velikosti datoteke z zlonamernim programom se uporabljajo tako imenovani pakirniki - posebni programi, ki datoteko obdelajo po principu arhivarja. Stranski in koristen (z vidika protivirusnih programov) učinek uporabe pakirnikov je, da je protivirusno skeniranje nekoliko oteženo.

To je razloženo z dejstvom, da pri razvoju nove modifikacije zlonamernega programa njegov avtor običajno spremeni več vrstic kode, pri čemer pusti njeno jedro nedotaknjeno. V izvedljivi kodi se bajti v določenem razdelku datoteke spremenijo in če podpis, ki ga uporablja protivirusni program, ni sestavljen iz tega posebnega razdelka, bo zlonamerni program še vedno zaznan. Obdelava programa s pakirnikom reši to težavo, saj sprememba že enega bajta v izvorni izvršljivi kodi povzroči popolnoma nov niz bajtov v pakirani datoteki.

Številni sodobni pakirniki poleg stiskanja izvorne datoteke zagotavljajo dodatne samoobrambne funkcije, katerih namen je otežiti razpakiranje datoteke in njeno analizo z razhroščevalnikom.

Zlonamerna programska oprema (včasih imenovana tudi destruktivni vplivi programske opreme) Običajno je vključiti računalniške viruse in programske zaznamke. Prvič termin računalniški virus predstavil ameriški specialist F. Cohen leta 1984. »Klasični« računalniški virus je avtonomno delujoč program, ki ima hkrati tri lastnosti:

• možnost vključitve vaše kode v telesa drugih predmetov (datoteke in sistemska področja računalniškega pomnilnika);
• naknadno neodvisno izvajanje;
• neodvisna distribucija v računalniških sistemih.

Računalniški virusi ne uporabljajo omrežnih storitev za prodor v druge računalnike v omrežju. Kopija virusa doseže oddaljene računalnike le, če se okuženi predmet iz nekega razloga, ki je zunaj nadzora virusa, aktivira na drugem računalniku, na primer:

• ko je okužil uporabnikom dostopne omrežne pogone, je virus prodrl v datoteke, ki se nahajajo na teh omrežnih virih;
• virus se je kopiral na izmenljivi medij ali okužil datoteke na njem;
• Uporabnik je poslal e-poštno sporočilo s priponko, okuženo z virusom.

Pomembno dejstvo je, da virusi nimajo sredstev za širjenje izven meja enega računalnika. To se lahko zgodi le, če je okužen izmenljivi pomnilniški medij (disketa, bliskovni pogon) ali ko uporabnik sam preko omrežja prenese z virusom okuženo datoteko na drug računalnik.

Zagonski virusi okuži glavni zagonski sektor trdega diska (Master Boot record - MBR) ali zagonski sektor particije trdega diska, sistemske diskete ali zagonskega CD-ja (Boot Record - BR), pri čemer nadomesti zagonske programe in programe za zagon operacijskega sistema, ki jih vsebujejo s svojo kodo. Izvirna vsebina teh sektorjev je shranjena v enem od prostih sektorjev diska ali neposredno v telesu virusa.

Po okužbi MBR, ki je prvi sektor ničelne glave ničelnega cilindra trdega diska, virus prevzame nadzor takoj po zaključku postopka testiranja strojne opreme (POST), programa BIOS Setup (če ga je poklical uporabnik), postopke BIOS-a in njegove razširitve. Po prejemu nadzora zagonski virus izvede naslednja dejanja:

• 1) kopiranje kode na konec RAM-a računalnika, s čimer se zmanjša velikost njegovega prostega dela;
• 2) preglasitev več prekinitev BIOS-a, v glavnem povezanih z dostopom do diskov;
• 3) nalaganje pravega zagonskega programa v pomnilnik RAM računalnika, katerega funkcije vključujejo ogled tabele particij trdega diska, določanje aktivne particije, nalaganje in prenos nadzora na zagonski program operacijskega sistema aktivne particije;
• 4) prenos nadzora na pravi zagonski program.

Zagonski virus v VY deluje na podoben način in nadomesti zagonski program operacijskega sistema. Pogosta oblika okužbe računalnika z zagonskim virusom je nenamerni poskus zagona z nesistemske diskete (ali diskete CO), katere zagonski sektor je okužen z virusom. Do te situacije pride, ko okužena disketa ostane v pogonu, ko se operacijski sistem znova zažene. Ko je glavni zagonski sektor trdega diska okužen, se virus razširi ob prvem dostopu do katere koli neokužene diskete.

Zagonski virusi običajno spadajo v skupino rezidenčnih virusov. Zagonski virusi so bili v 90. letih prejšnjega stoletja precej pogosti, s prehodom na 32-bitne operacijske sisteme in opustitvijo uporabe disket kot glavnega načina izmenjave informacij pa so praktično izginili. Teoretično je možno, da se pojavijo zagonski virusi, ki okužijo diske SP in flash diske, vendar do sedaj takih virusov še niso zaznali.

Datotečni virusi okuži datoteke različnih vrst:

• programske datoteke, datoteke gonilnikov naprav in drugi moduli operacijskega sistema;
• dokumentne datoteke, ki lahko vsebujejo makre;
• dokumentne datoteke, ki lahko vsebujejo skripte (skripte) ali ločene skriptne datoteke itd.

Ko je datoteka okužena, virus zapiše svojo kodo na začetek, sredino ali konec datoteke ali na več mest hkrati. Izvorna datoteka je spremenjena tako, da se po odprtju datoteke nadzor takoj prenese na kodo virusa. Po prejemu nadzora koda virusa izvede naslednje zaporedje dejanj:

• 1) okužba drugih datotek (kombinirani virusi) in sistemskih območij diskovnega pomnilnika;
• 2) namestitev lastnih rezidenčnih modulov (rezidenčnih virusov) v RAM;
• 3) izvajanje drugih dejanj glede na algoritem, ki ga izvaja virus;
• 4) nadaljevanje običajnega postopka za odpiranje datoteke (na primer prenos nadzora na izvorno kodo okuženega programa).

Virusi v programskih datotekah ob okužbi spremenijo svojo glavo tako, da se po nalaganju programa v RAM nadzor prenese na kodo virusa. Na primer, format prenosne izvedljive datoteke operacijskih sistemov Windows in OS/2 (Portable Executable - PE) ima naslednjo strukturo:

• 1) glava v formatu operacijskega sistema MS-DOS;
• 2) koda programa realnega procesorskega načina, ki prevzame nadzor pri poskusu zagona Windows aplikacije v okolju operacijskega sistema MS-DOS;
• 3) glava datoteke PE;
• 4) dodatna (neobvezna) glava datoteke PE;
• 5) glave in telesa vseh segmentov aplikacije (programska koda, njeni statični podatki, podatki, ki jih izvozi program, podatki, ki jih uvozi program, informacije o odpravljanju napak itd.).

Razdelek, ki vsebuje neobvezno glavo datoteke PE, vključuje polje, ki vsebuje naslov vstopne točke aplikacije. Tik pred vstopno točko v segmentu aplikacijske kode je uvozna naslovna tabela (IAT), ki je poseljena z veljavnimi naslovi, ko je izvršljiva koda naložena v naslovni prostor procesa.

Ko virus okuži programsko datoteko, se naslov vstopne točke aplikacije spremeni tako, da kaže na začetek kode virusa in zagotovi, da samodejno prevzame nadzor, ko se naloži programska datoteka. Možno je tudi spremeniti module jedra operacijskega sistema (na primer kernel32.dll), da prestrežejo klice nekaterih sistemskih funkcij (na primer CreateProcess, CreateFile, ReadFile, WriteFile, CloseHandle), da okužijo druge datoteke.

Vrsta datotečnih virusov so virusi v gručah okuženega logičnega diska ali diskete. Ko je okužen, se virusna koda prekopira v eno od prostih diskovnih gruč, ki je v tabeli za dodelitev datotek (FAT) označena kot zadnja datotečna gruča. Nato se spremenijo opisi programskih datotek v imeniku - namesto številke prve gruče, dodeljene datoteki, se postavi številka gruče, ki vsebuje kodo virusa. V tem primeru je prava številka prvega grozda okužene datoteke šifrirana in shranjena na primer v neuporabljenem delu opisa datoteke v imeniku.

Ko se zažene okužena datoteka, nadzor pridobi koda virusa, ki:

• 1) namesti svoj rezidenčni modul v RAM, ki bo nato prestregel vse dostope do okuženega diska;
• 2) naloži izvorno programsko datoteko in ji prenese nadzor.

Pri naknadnem dostopu do imenika z okuženimi datotekami rezidenčni del virusa operacijskemu sistemu prenese prave vrednosti številk prvih gruč, dodeljenih okuženim datotekam.

Virusi v datotekah dokumentov, ki jih na primer ustvarijo programi Microsoft Office, se razširjajo z makri, ki so v njih vključeni (postopki v programskem jeziku Visual Basic for Applications - VBA). Zato se takšni virusi včasih imenujejo makro virusi ali preprosto makrovirusi.

Makro programski jeziki, zlasti VBA, so univerzalni jeziki, ki podpirajo tehnologijo objektno usmerjenega programiranja, imajo veliko knjižnico standardnih makro ukazov in vam omogočajo ustvarjanje precej zapletenih postopkov. Poleg tega podpira samodejno izvajanje makrov, povezanih z določenimi dogodki (na primer odpiranje dokumenta) ali določenimi dejanji uporabnika (na primer pri klicu ukaza za shranjevanje dokumenta v datoteko).

Primeri samodejno zagnanih makrov, povezanih z določenimi dogodki obdelave dokumentov Microsoft Word, vključujejo:

• AutoExec (samodejno se izvede, ko se zažene urejevalnik besedil Microsoft Word, če se nahaja v datoteki predloge normal.dot ali v datoteki v podmapi Startup v mapi Microsoft Office);
• AutoNew (samodejno prevzame nadzor pri ustvarjanju novega dokumenta);
• AutoOpen (samodejno se izvede ob odpiranju dokumenta);
• AutoClose (samodejno se izvede ob zapiranju dokumenta);
• Samodejni izhod (samodejno prevzame nadzor, ko se urejevalnik besedil Microsoft Word konča).

Procesor za preglednice Microsoft Excel podpira samo nekatere samodejno zagnane makre, imena teh makrov pa so nekoliko spremenjena - Auto_open in Auto_close.

Urejevalnik besedil Microsoft Word definira tudi makre, ki samodejno prejmejo nadzor, ko uporabnik pokliče enega od standardnih ukazov - File Save (File | Save), FileSaveAs (File | Save As), Tools-Macro (Tools | Macro | Macros), ToolsCustomize ( Storitev | Nastavitve) itd.

Dokument Microsoft Office lahko vsebuje tudi makre, ki samodejno prevzamejo nadzor, ko uporabnik pritisne določeno kombinacijo tipk na tipkovnici ali doseže določeno časovno točko (datum, uro).

Vsak makro (vključno s samodejno izvedenimi) iz ločenega dokumenta je mogoče zapisati v datoteko predloge normal.dot (in obratno) in tako postane na voljo pri urejanju katerega koli dokumenta Microsoft Word. Pisanje makra v datoteko normal.dot lahko izvedete s standardnim ukazom makra MacroCopy (WordBasic), metodo OrganizerCopy predmeta Application ali metodami Copy standardnih objektov Organizer (Microsoft Word) in Sheets (Microsoft Excel).

Za upravljanje datotek v zunanjem pomnilniku računalnika lahko makri uporabljajo standardne makro ukaze Open (odpiranje obstoječe ali ustvarjanje nove datoteke), SetAttr (spreminjanje atributov datoteke), Name (preimenovanje datoteke ali mape), Get (branje podatkov iz odprte datoteke), Put (zapis podatkov v odprto datoteko), Seek (spremeni trenutni položaj pisanja ali branja iz datoteke), Close (zapiranje datoteke), Kill (brisanje datoteke), RmDir (brisanje mape). ), MkDir (ustvari novo mapo), ChDir (spremeni trenutne mape) itd.

Standardni ukaz makra Shell vam omogoča izvajanje katerega koli programa ali sistemskega ukaza, nameščenega v vašem računalniku.

Tako lahko avtorji makro virusov uporabijo programski jezik VBA za ustvarjanje zelo nevarne kode. Najenostavnejši makro virus v dokumentu Microsoft Word okuži druge datoteke dokumentov na naslednji način:

• 1) pri odpiranju okuženega dokumenta se nadzor dodeli makru, ki vsebuje kodo virusa;
• 2) virus postavi druge makre s svojo kodo v datoteko predloge normal.dot (na primer FileOpen, FileSaveAs in FileSave);
• 3) virus nastavi ustrezno zastavico v registru Windows in (ali) v inicializacijski datoteki Microsoft Word, ki nakazuje, da je prišlo do okužbe;
• 4) ob naknadnem zagonu programa Microsoft Word je prva odprta datoteka dejansko že okužena datoteka predloge normal.dot, ki omogoča kodi virusa, da samodejno prevzame nadzor, in lahko pride do okužbe drugih datotek dokumentov, ko so shranjene s standardnim programom Microsoft Word ukazi.

Lahko rečemo, da večina makro virusov spada v skupino rezidenčnih virusov, saj je del njihove kode stalno prisoten v RAM-u računalnika, medtem ko se izvaja program iz paketa Microsoft Office.

Postavitev kode makro virusa v dokument Microsoft Office je mogoče prikazati precej shematično, saj je format datoteke dokumenta zelo zapleten in vsebuje zaporedje podatkovnih blokov različnih formatov, ki se med seboj kombinirajo z veliko količino servisnih podatkov. Posebnost makro virusov je, da lahko okužijo dokumentne datoteke na računalnikih različnih platform, ne le na IBM PC. Okužba bo možna, če so na računalniku nameščeni pisarniški programi, ki so popolnoma združljivi s programi iz zbirke Microsoft Office.

Pri shranjevanju datotek dokumentov vključujejo tudi naključne podatke, ki niso povezani z vsebino dokumenta, ampak jih vsebujejo bloki RAM-a, ki so dodeljeni, vendar niso popolnoma zapolnjeni pri urejanju dokumenta. Zato se lahko pri dodajanju novih podatkov v dokument njegova velikost spremeni na nepredvidljiv način, vključno z zmanjšanjem. To nam ne omogoča presoje, ali je dokumentna datoteka okužena z makro virusi, saj se bo tudi njena velikost po okužbi nepredvidljivo spremenila. Upoštevamo tudi, da lahko podatki, ki so pomotoma shranjeni skupaj z datoteko javnega dokumenta, vsebujejo zaupne informacije.

Večina znanih makro virusov umesti svojo kodo samo v makre. Vendar pa obstajajo tudi vrste virusov v makrih dokumentnih datotek, v katerih je virusna koda shranjena ne samo v makrih. Ti virusi vključujejo majhen nalagalnik makrov glavne virusne kode, ki pokliče urejevalnik makrov, vgrajen v Microsoft Office, ustvari nov makro s kodo virusa, ga izvede in nato izbriše ustvarjeni makro, da skrije sledi njegove prisotnosti. V tem primeru je glavna virusna koda prisotna kot niz nizov v telesu makra nalagalnika ali v spremenljivem območju okuženega dokumenta.

Okužba datoteke predloge normal.dot ni edini način, kako se lahko makro virusi razširijo na uporabnikov računalnik. Možno je tudi, da so okužene dodatne datoteke predlog, ki se nahajajo v mapi Startup v mapi Microsoft Office. Drug način za okužbo datotek uporabniških dokumentov z makro virusi je, da jih vbrizgate v datoteke dodatkov Microsoft Word, ki se nahajajo v mapi Addins mape Microsoft Office. Makro viruse, ki svoje kode ne umestijo v skupno predlogo normal.dot, lahko uvrstimo med nerezidenčne viruse. Za okužbo drugih datotek ti makro virusi uporabijo standardne makro ukaze za delo z jezikovnimi datotekami in mapami VBA ali pa uporabijo seznam nedavno urejenih datotek s strani uporabnika, ki je v podmeniju »Datoteka« programa Microsoft Word in drugih Microsoft Office. programi.

Procesor preglednic Microsoft Excel ne uporablja datoteke s predlogo normal.dot, zato se datoteke iz mape Startup uporabljajo za okužbo drugih datotek uporabniških dokumentov. Posebnost makro virusov, ki okužijo datoteke preglednic Excel, je ta, da jih je mogoče zapisati ne samo s programskim jezikom VBA, ampak tudi z makro jezikom “starih” različic Microsoft Excela, ki je podprt tudi v kasnejših različicah tega procesorja preglednic. .

V sistemu za upravljanje podatkovnih baz Microsoft Access se makri, napisani v posebnem skriptnem jeziku, ki ima zelo omejene zmožnosti, uporabljajo za samodejno pridobitev nadzora, ko se zgodi kak dogodek (na primer odpiranje baze podatkov). Toda ti samodejno izvedeni skriptni makri (na primer makro AutoExec, ki samodejno prevzame nadzor, ko zaženete Microsoft Access) lahko kličejo celotne makre, napisane v VBA. Zato mora virus, da bi okužil zbirko podatkov Microsoft Access, ustvariti ali zamenjati samodejno izveden makro skript in kopirati modul z makri, ki vsebuje glavni del kode virusa, v okuženo zbirko podatkov.

Znani so kombinirani virusi, ki lahko okužijo tako baze podatkov Microsoft Access kot dokumente Microsoft Word. Takšen virus je sestavljen iz dveh glavnih delov, od katerih vsak okuži dokumentne datoteke svoje vrste (.doc ali .mdb). Toda oba dela takega virusa sta sposobna prenašati svojo kodo iz ene Microsoft Officeove aplikacije v drugo. Pri prenosu virusne kode iz Microsoft Accessa se v mapi Startup ustvari okužena dodatna datoteka predloge (.dot datoteka), pri prenosu virusne kode iz Microsoft Worda pa se ustvari okužena datoteka Accessove zbirke podatkov, ki se kot parameter posreduje programu Aplikacija Microsoft Access, ki jo zažene virusna koda (msaccess .exe).

Protivirusna podjetja poročajo o novem trendu širjenja virusov. Po valu e-poštnih in skriptnih virusov so bliskovni pogoni, povezani z računalnikom prek USB-ja, zdaj eden najbolj priljubljenih načinov za distribucijo zlonamerne programske opreme. To je postalo mogoče zaradi šibkosti operacijskega sistema Windows, ki privzeto samodejno zažene datoteko autorun.inf z izmenljivega pogona.

Po mnenju nekaterih strokovnjakov lahko storitev INF/Autorun v operacijskem sistemu Windows štejemo za glavno varnostno luknjo v računalniških sistemih. Za razliko od pošiljanja okuženih programov po e-pošti, v tem primeru niti kompetenten uporabnik praktično ne more preprečiti okužbe, saj preprosto vstavite okuženo napravo v USB priključek in postane proces nepovraten. Edina preventiva je morda onemogočanje samodejnega zagona, kar priporočajo celo varnostni strokovnjaki iz samega Microsofta.

Lahko bi rekli, da je širjenje virusov na USB pogonih na nek način vrnitev k izvoru ustvarjanja virusov, ko interneta še ni bilo. Takrat so se virusi širili z računalnika na računalnik s pomočjo disket.

Programski zaznamek je zunanji ali notranji program napadenega računalniškega sistema, ki ima določene destruktivne funkcije v zvezi s tem sistemom:

• distribucija v porazdeljenih računalniških sistemih za izvajanje ene ali druge grožnje informacijski varnosti (računalniški ali omrežni črvi, ki za razliko od računalniških virusov ne smejo imeti lastnosti vključevanja svoje kode v telesa drugih datotek);
• izvajanje različnih dejanj brez dovoljenja uporabnika (zbiranje zaupnih podatkov in njihov prenos kršitelju, uničenje ali namerno spreminjanje podatkov uporabnika, motnje v delovanju računalnika, uporaba računalniških virov v neprimerne namene (»trojanski« programi ali preprosto »trojanski«) );
• uničenje ali sprememba delovanja programske opreme CS, uničenje ali sprememba podatkov, ki se v njej obdelujejo po izpolnitvi nekega pogoja ali prejemu sporočila izven CS (»logične bombe«);
• zamenjava posameznih funkcij varnostnega podsistema CS ali ustvarjanje »pasti« v njem za izvajanje groženj varnosti informacij v CS (na primer zamenjava šifrirnih sredstev s posnemanjem delovanja strojne šifrirne plošče, nameščene v CS) ;
• prestrezanje uporabniških gesel CS s simulacijo povabila k vnosu ali prestrezanje vseh uporabniških vnosov s tipkovnice;
• prestrezanje pretoka informacij, ki se prenašajo med objekti porazdeljene CS (monitorji);
• Oportunistični programi, ki so jih razvili zakoniti proizvajalci, vendar vsebujejo potencialno nevarne funkcije, ki jih lahko uporabi napadalec.

Da bi omrežni črv začel delovati, morate praviloma zagnati datoteko, prejeto po e-pošti (ali slediti povezavi neposredno v e-poštnem sporočilu). Obstajajo pa tudi črvi, katerih aktivacija ne zahteva človeškega posredovanja:

• črv je vsebovan v besedilu samega pisma in se zažene, ko uporabnik preprosto odpre sporočilo (ali se odpre v podoknu za predogled v oknu poštnega odjemalca) (pismo je v tem primeru besedilo v jeziku, ki vsebuje pisavo z koda črva);
• Črv izkorišča "luknje" (vrzeli, ranljivosti) v varnostnih sistemih operacijskih sistemov in drugih programov (na primer elektronske pošte).

Da bi uporabnika spodbudili k zagonu datoteke, prejete po e-pošti, kriminalci uporabljajo zelo sofisticirane tehnologije, imenovane socialni inženiring. Na primer ponudba za izpolnitev obrazca, priloženega pismu, za prejem velike denarne nagrade, ki naj bi jo uporabnik osvojil. Ali prikrito kot uradna pošta znanega podjetja za programsko opremo (vedeti morate, da ta podjetja nikoli ne pošiljajo datotek brez zahteve uporabnika) itd.

Ko je črv enkrat zagnan, lahko pošlje svojo kodo po e-pošti z uporabo »imenika« e-poštnega programa. Po tem so okuženi tudi računalniki prijateljev uporabnika okuženega računalnika.

Glavna razlika med omrežnimi črvi in ​​klasičnimi virusi je ravno sposobnost samoširjenja po omrežju, pa tudi odsotnost potrebe po okužbi drugih lokalnih objektov na okuženem računalniku.

Za širjenje omrežni črvi uporabljajo različna računalniška in mobilna omrežja: e-pošto, sisteme za takojšnje sporočanje, omrežja za izmenjavo datotek (P2P) in IRC, lokalna omrežja (LAN), omrežja za izmenjavo podatkov med mobilnimi napravami (telefoni, dlančniki) itd. .d.

Večina znanih črvov se distribuira v obliki datotek: priloga k e-poštnemu sporočilu, povezava do okužene datoteke na spletnem ali FTP sporočilu v sporočilih ICQ in IRC, datoteka v imeniku za izmenjavo P2P itd. Nekateri črvi (tako imenovani »brezdatotečni« ali »paketni« črvi) se širijo v obliki omrežnih paketov, ki prodirajo neposredno v pomnilnik računalnika in aktivirajo njihovo kodo.

Nekateri črvi imajo tudi lastnosti drugih vrst zlonamerne programske opreme. Na primer, nekateri črvi vsebujejo funkcije za zbiranje in posredovanje vsiljivcu zaupnih informacij o uporabniku okuženega računalnika ali pa lahko okužijo izvršljive datoteke na lokalnem disku okuženega računalnika, tj. imajo lastnosti trojanskega programa in (ali) računalniški virus.

Na sl. Tabela 4.1 prikazuje podatke o razširjenosti računalniških virusov (virus) in različnih kategorij omrežnih črvov (črv) v letu 2008 (po Kaspersky Lab).

riž. 4.1.

Določene kategorije trojanskih programov povzročajo škodo oddaljenim računalnikom in omrežjem, ne da bi poškodovale okuženi računalnik (na primer trojanski programi, zasnovani za množične napade DDoS na oddaljene omrežne vire).

Za razliko od črvov in virusov trojanci ne poškodujejo drugih datotek in nimajo lastnih sredstev za širjenje. To so preprosto programi, ki izvajajo dejanja, škodljiva za uporabnika okuženega računalnika, na primer prestrezanje gesla za dostop do interneta.

Trenutno strokovnjaki Kaspersky Lab znotraj razreda trojanskih programov identificirajo tri glavne skupine vedenj:

• Backdoor (napadalcu omogoča oddaljeno upravljanje okuženega računalnika), Trojan-Downloader (dostava drugih zlonamernih programov v uporabnikov računalnik), Trojan-PSW (prestrezanje gesel), Trojan (drugi trojanski programi), najpogostejši trojanski programi;
• Trojan-Spy (vohunska programska oprema), Trojan-Dropper (namestitveni programi za druge zlonamerne programe);
• Trojan-Proxy (»trojanski« proxy strežniki), Trojan-Clicker (internetni klikerji), Rootkit (skrivanje svoje prisotnosti v računalniškem sistemu), Trojan-DDoS (programi za sodelovanje v porazdeljenih napadih z zavrnitvijo storitve), Trojan-SMS (“ mobilni trojanci« najbolj pereča grožnja mobilnim napravam).

Nekateri programi imajo nabor funkcij, ki lahko škodujejo uporabniku le, če so izpolnjeni številni pogoji. Poleg tega lahko takšne programe zakonito prodajajo in uporabljajo pri vsakdanjem delu, na primer sistemski skrbniki. Toda v rokah vsiljivca se takšni programi lahko spremenijo v orodje, s katerim lahko povzročijo škodo uporabniku. Strokovnjaki Kaspersky Lab takšne programe uvrščajo v ločeno skupino pogojno nevarnih programov (ni jih mogoče nedvoumno uvrstiti med nevarne ali varne).

Tovrsten program protivirusni programi po želji zaznajo, če uporabnik zavestno izbere razširjen nabor protivirusnih baz podatkov. Če so programi, odkriti pri uporabi razširjenih zbirk podatkov, uporabniku znani in je 100% prepričan, da ne bodo povzročili škode njegovim podatkom (na primer, uporabnik je sam kupil ta program, pozna njegove funkcije in jih uporablja v zakonite namene). ), potem lahko uporabnik bodisi zavrne nadaljnjo uporabo razširjenih protivirusnih baz ali doda takšne programe na seznam »izjem« (programi, za katere bo nadaljnje zaznavanje onemogočeno).

Med potencialno nevarne programe sodijo programi razredov RiskWare (legalno distribuirani potencialno nevarni programi), Porn Ware (programi za prikaz pornografskih informacij) in AdWare (oglaševalska programska oprema).

V razred programov RiskWare sodijo legalni programi (nekateri so v prosti prodaji in se široko uporabljajo v legalne namene), ki pa lahko v rokah vsiljivca povzročijo škodo uporabniku in njegovim podatkom. V takšnih programih lahko najdete legalne pripomočke za oddaljeno upravljanje, odjemalske programe IRC, programe za samodejno klicanje (»klicalniki«), programe za prenos (»prenosniki«), nadzornike katere koli dejavnosti (monitor), pripomočke za delo z gesli, kot tudi številni internetni strežniki za storitve FTP, Web, Proxy in Telnet.

Vsi ti programi sami po sebi niso zlonamerni, imajo pa zmožnosti, ki jih lahko napadalci izkoristijo za škodo uporabnikom. Program za oddaljeno skrbništvo vam na primer omogoča dostop do vmesnika oddaljenega računalnika in uporabo za upravljanje in nadzor oddaljenega računalnika. Takšen program je lahko popolnoma legalen, prosto distribuiran in potreben pri delu sistemskih administratorjev ali drugih tehničnih strokovnjakov. Vendar pa lahko tak program v rokah kršiteljev povzroči škodo uporabniku in njegovim podatkom, tako da pridobi popoln oddaljen dostop do računalnika nekoga drugega.

Kot drug primer razmislite o pripomočku, ki je odjemalec omrežja IRC: napredno funkcionalnost takšnega pripomočka lahko izkoristijo kršitelji in trojanski programi, ki jih distribuirajo (zlasti Backdoor), ki uporabljajo funkcije takega stranko pri svojem delu. Tako je trojanski program sposoben dodati lastne skripte konfiguracijski datoteki odjemalca IRC brez vednosti uporabnika in uspešno izvajati svoje destruktivne funkcije na okuženem računalniku. V tem primeru uporabnik ne bo niti posumil, da na njegovem računalniku deluje zlonamerni trojanski program.

Pogosto zlonamerni programi neodvisno namestijo odjemalca IRC na uporabnikov računalnik za kasnejšo uporabo za lastne namene. V tem primeru je lokacija običajno mapa Windows in njene podmape. Iskanje odjemalca IRC v teh mapah skoraj zagotovo pomeni, da je bil računalnik okužen z neko zlonamerno programsko opremo.

Oglaševalska programska oprema (Adware, Advware, Spyware, Browser Hijackers) je namenjena prikazovanju oglasnih sporočil (najpogosteje v obliki grafičnih pasic) in preusmerjanju iskalnih poizvedb na oglaševalske spletne strani. Z izjemo prikazovanja oglasov takšni programi svoje prisotnosti v sistemu praviloma ne kažejo na noben način. Običajno oglaševalski programi nimajo postopka odstranitve.

• z vdelavo oglasnih komponent v brezplačno in shareware programsko opremo (freeware, shareware);
• z nepooblaščeno namestitvijo oglasnih komponent, ko uporabnik obišče »okužene« spletne strani.

Večina programov v kategorijah brezplačne in shareware preneha prikazovati oglase, potem ko so kupljeni in/ali registrirani. Takšni programi pogosto uporabljajo vgrajene pripomočke oglaševalske programske opreme tretjih proizvajalcev. V nekaterih primerih ti pripomočki Adware ostanejo nameščeni na uporabnikovem računalniku tudi po registraciji programov, s katerimi so prvotno vstopili v uporabnikov sistem. Hkrati lahko odstranitev komponente Adware, ki jo kateri koli program še vedno uporablja za prikazovanje oglasov, povzroči okvare tega programa.

Osnovni namen tovrstnega oglaševalskega programja je implicitna oblika plačila programske opreme, ki se izvaja s prikazovanjem oglasnih informacij uporabniku (oglaševalci plačajo oglaševalski agenciji za prikaz njihovega oglasa, oglaševalska agencija pa razvijalcu oglaševalskega programa). Oglaševalska programska oprema pomaga zmanjšati stroške tako za razvijalce programske opreme (prihodki od oglaševalske programske opreme jih spodbujajo k pisanju novih in izboljšanju obstoječih programov) kot za uporabnike same.

V primeru namestitve oglaševalskih komponent, ko uporabnik obišče "okužene" spletne strani, se v večini primerov uporabljajo hekerske tehnologije (prodor v računalnik skozi vrzel v varnostnem sistemu internetnega brskalnika, pa tudi uporaba "trojanskega konja". ” programi, namenjeni prikriti namestitvi programske opreme). Oglaševalski programi, ki delujejo na ta način, se pogosto imenujejo »ugrabitelji brskalnika«.

Številni oglaševalski programi poleg dostave oglasov zbirajo tudi zaupne podatke o računalniku in uporabniku (IP naslov, različica operacijskega sistema in internetnega brskalnika, seznam najpogosteje uporabljenih internetnih virov, iskalne poizvedbe in druge podatke, ki jih je mogoče uporabiti v oglaševalske namene). ).

Zaradi tega se oglaševalski programi pogosto imenujejo tudi vohunska programska oprema (oglaševalskega programja v kategoriji vohunskih programov ne smemo zamenjevati z vohunskim programom Trojan-Spy). Programi v kategoriji Adware povzročajo škodo, povezano ne le z izgubo časa in odvračanjem pozornosti uporabnika od dela, temveč tudi z zelo resnično grožnjo uhajanja zaupnih podatkov.

Porazdelitev programov razredov RiskWare in PornWare po vedenju lahko predstavimo v obliki tortnega grafikona (slika 4.2, po Kaspersky Lab).

AdTool so različni oglaševalski moduli, ki jih ni mogoče uvrstiti med AdWare, saj imajo potrebne pravne lastnosti: opremljeni so z licenčno pogodbo, dokazujejo svojo prisotnost na računalniku in obveščajo uporabnika o svojih dejanjih.

riž. 4.2.

Porno klicalci samostojno (brez obvestila uporabnika) vzpostavljajo telefonske povezave s premijskimi številkami, kar pogosto privede do sodnih sporov med naročniki in njihovimi telefonskimi podjetji.

Programi v kategoriji Monitor vključujejo legalne »key loggerje« (programe za sledenje pritiskom tipk), ki se uradno proizvajajo in prodajajo, če pa imajo funkcijo skrivanja svoje prisotnosti v sistemu, se lahko takšni programi uporabljajo kot popolni trojanski vohunski programi. .

Programi v kategoriji PSW-Tool so zasnovani za obnovitev pozabljenih gesel, vendar jih kriminalci zlahka uporabijo za pridobivanje teh gesel iz računalniškega pomnilnika nič hudega sluteče žrtve. Programe v kategoriji Downloader lahko kriminalci uporabijo za prenos zlonamerne vsebine v računalnik žrtve.

Druga zlonamerna programska oprema vključuje različne programe, ki neposredno ne ogrožajo računalnika, na katerem se izvajajo, ampak so namenjeni ustvarjanju drugih zlonamernih programov, organiziranju DDoS napadov na oddaljene strežnike, vdoru v druge računalnike itd.

Takšni programi vključujejo goljufije virusov (Hoax) in lažne protivirusne programe (FraudTool), »hekerske« programe za »vdiranje« v oddaljene računalnike (Exploit, HackTool), konstruktorje in pakirnike zlonamernih programov (Constructor, VirTool, Packed), programe za pošiljanje neželene e-pošte in napadi »mašenja« (SpamTool, IM-Flooder, Flooder), programi za zavajanje uporabnika (BadJoke).

Glavna vrsta FraudTool so tako imenovani prevarantski protivirusni programi, ki se pretvarjajo, da so popolna protivirusna orodja. Ko ga namestijo na računalnik, vedno "najdejo" kakšen virus, tudi na popolnoma "čistem" računalniškem sistemu, in ponudijo nakup njihove plačljive različice za "zdravljenje". Ti programi poleg neposrednega zavajanja uporabnikov vsebujejo tudi funkcijo AdWare. Pravzaprav je to prava prevara, ki temelji na strahu uporabnikov pred zlonamerno programsko opremo.

Hekerski pripomočki kategorij Exploit in HackTool so zasnovani tako, da prodrejo v oddaljene računalnike z namenom njihovega nadaljnjega nadzora (z uporabo zakulisnih trojanskih programov) ali za uvedbo drugih zlonamernih programov v vdrti sistem. Hekerski pripomočki, kot je »exploit«, izkoriščajo ranljivosti v operacijskih sistemih ali aplikacijah, nameščenih na napadenem računalniku.

Konstruktorji virusov in trojanskih programov so pripomočki, namenjeni ustvarjanju novih računalniških virusov in trojanskih konjev. Znani so oblikovalci virusov za DOS, Windows in makro viruse. Omogočajo ustvarjanje izvornih besedil virusov, objektnih modulov in (ali) neposredno okuženih datotek.

Nekateri konstruktorji so opremljeni s standardnim grafičnim vmesnikom, kjer lahko z uporabo menijskega sistema izberete vrsto virusa, predmete, na katere želite vplivati, prisotnost ali odsotnost šifriranja, odpornost proti razhroščevalniku, notranje besedilne nize in učinke. ki spremljajo delovanje virusa ipd. Drugi konstruktorji nimajo vmesnika in iz svoje konfiguracijske datoteke berejo informacije o vrsti virusa, ki se ustvarja.

Pripomočki kategorije Nuker pošljejo posebej oblikovane zahteve napadenim računalnikom v omrežju, zaradi česar napadeni sistem preneha delovati. Ti programi izkoriščajo ranljivosti v programski opremi omrežnih storitev in operacijskih sistemov, zaradi česar posebna vrsta omrežne zahteve povzroči kritično napako v napadeni aplikaciji.

Programi v kategorijah Bad-Joke in Hoax vključujejo programe, ki ne povzročajo neposredne škode računalniku, vendar prikazujejo sporočila, ki nakazujejo, da je taka škoda že povzročena ali da bo povzročena pod kakršnimi koli pogoji, ali opozarjajo uporabnika na neobstoječo nevarnost. Med »zle šale« spadajo na primer programi, ki uporabniku prikazujejo sporočila o formatiranju trdega diska (čeprav do formatiranja dejansko ne pride), zaznavajo viruse v neokuženih datotekah, prikazujejo nenavadna virusom podobna sporočila itd.

Polimorfni generatorji niso virusi v dobesednem pomenu besede, saj njihov algoritem ne vključuje reprodukcijskih funkcij. Glavna naloga te vrste programa je šifriranje telesa virusa in ustvarjanje ustreznega dešifratorja.

Običajno polimorfne generatorje distribuirajo njihovi avtorji brez omejitev v obliki arhivske datoteke. Glavna datoteka v arhivu katerega koli generatorja je objektni modul, ki vsebuje ta generator.

Razvoj delovanja zlonamerne programske opreme od posameznih modulov do kompleksnih in medsebojno povezanih projektov se je začel v začetku tega stoletja. Nov model delovanja zlonamerne programske opreme ne bi smel postati le standard za množico novih zlonamernih projektov, temveč naj bi se še naprej razvijal.

Glavne značilnosti tega modela so naslednje:

• pomanjkanje enotnega nadzornega centra za omrežje okuženih računalnikov;
• aktivno preprečevanje poskusov raziskovanja tretjih oseb in prestrezanja nadzora;
• Hkratna množična in kratkotrajna distribucija zlonamerne kode;
• kompetentna uporaba orodij socialnega inženiringa;
• uporaba različnih načinov distribucije in postopno opuščanje najbolj vidnih (e-pošta);
• uporaba različnih modulov za izvajanje različnih funkcij (namesto enega univerzalnega).

Po analogiji z znanim izrazom Web 2.0 lahko novo generacijo zlonamerne programske opreme imenujemo MalWare 2.0.

Tehnika skrivanja prisotnosti v sistemu (rootkiti) se ne bo uporabljala samo v trojanskih programih, ampak tudi v datotečnih virusih. Tako se bodo vrnili časi operacijskega sistema MS-DOS, ko so obstajali rezidenčni stealth virusi. To je logičen razvoj metod za boj proti protivirusnim programom. Zlonamerni programi zdaj ponavadi "preživijo" v sistemu tudi potem, ko so odkriti.

Drug nevaren način za skrivanje prisotnosti programa v računalniku je tehnologija okužbe zagonskega sektorja diska - tako imenovani "bootkiti". To je še ena vrnitev stare tehnike, ki zlonamernemu programu omogoča, da pridobi nadzor, preden se glavni del operacijskega sistema (in protivirusni programi) naloži. Bootkiti so rootkiti s funkcijo nalaganja iz zagonskih sektorjev katere koli naprave. Njihova nevarnost je v tem, da zlonamerna koda prevzame nadzor še preden se zažene operacijski sistem in s tem protivirusni program.

Eden najbolj osupljivih primerov implementacije tehnologije bootkit je vbootkit. Poenostavljeno zaporedje dejanj vbootkit izgleda takole. Po vklopu računalnika in zagonu BIOS programov se aktivira koda Vbootkit (iz CD-ja ali druge naprave). Nato se izvedeta zagonski program iz MBR in zagonski nalagalnik sistema Windows Vista, nato pa se nadzor prenese na jedro tega operacijskega sistema.

Ko vbootkit prevzame nadzor nad sistemom, sproži prekinitev BIOS-a 13 in nato išče podpise za Windows Vista. Ko je zaznan, začne spreminjati sistem Windows Vista, medtem ko se skriva (tako da svojo kodo v majhnih kosih postavi v različna področja RAM-a). Te spremembe vključujejo izogibanje varnostnim ukrepom, kot so preverjanje elektronskih digitalnih podpisov, preverjanje zgoščenih vrednosti in izvajanje določenih dejanj za ohranitev nadzora nad sistemom med prvo in drugo fazo zagonskega procesa.

Druga stopnja vključuje razširitev jedra operacijskega sistema, tako da vbootkit obdrži nadzor nad njim, dokler se znova ne zažene. Na ta način bo imel uporabnik vbootkit naložen v jedro sistema Windows Vista.

Bootkiti shranjujejo v zagonski sektor le najmanjšo količino, ki je potrebna za zagon glavne kode. Ta osnovna koda je shranjena v drugih sektorjih, katerih vsebino bootkit skrije s prestrezanjem prekinitev BIOS-a za branje sektorja.

Uporabniki družbenih omrežij lahko postanejo glavna tarča tako imenovanega lažnega predstavljanja. Poverilnice naročnikov različnih omrežnih storitev bodo med kršitelji veliko povpraševanje. To bo pomembna alternativa tehniki nameščanja zlonamerne programske opreme na vdrta spletna mesta. Trojanski programi se lahko distribuirajo ravno preko računov uporabnikov družbenih omrežij, prek njihovih blogov in profilov.

Druga težava, povezana s socialnimi omrežji, je lahko XSSPHPSQL-aTaKH. Za razliko od lažnega predstavljanja, ki temelji izključno na tehnikah zavajanja in socialnega inženiringa, ti napadi izkoriščajo hrošče in ranljivosti v samih storitvah Web 2.0 in lahko prizadenejo celo visoko pismene uporabnike. V tem primeru so tarča kršiteljev osebni podatki uporabnikov, ki so potrebni za ustvarjanje določenih zbirk podatkov in seznamov za izvajanje kasnejših napadov s »tradicionalnimi« metodami.

Glavni dejavniki, ki zagotavljajo hkratno zanimanje uporabnikov in hekerjev za storitve spleta 2.0, so:

• prenos uporabniških podatkov iz osebnega računalnika na internet;
• uporaba enega računa za več različnih storitev;
• razpoložljivost podrobnih informacij o uporabnikih;
• razpoložljivost informacij o povezavah, kontaktih in poznanstvih uporabnikov;
• Nudenje prostora za objavo kakršnih koli informacij;
• zaupljivi odnosi med kontakti.

Ta problem je že precej resen in ima po mnenju strokovnjakov vse možnosti, da postane velik problem informacijske varnosti.

Kar zadeva mobilne naprave, predvsem mobilne telefone, so grožnje zanje porazdeljene med primitivne trojanske programe in različne ranljivosti v operacijskih sistemih in aplikacijah za pametne telefone.

V skladu z načini vnosa programskih zaznamkov v CS in možnimi lokacijami za njihovo namestitev v sistem lahko zaznamke razdelimo v naslednje skupine:

• Programski zaznamki, povezani z BIOS-om;
• zaznamki, povezani z zagonom in zagonskimi programi operacijskega sistema;
• zaznamki, povezani z gonilniki operacijskega sistema in drugimi sistemskimi moduli;
• zaznamki, povezani z aplikacijsko programsko opremo za splošno uporabo (na primer arhivatorji);
• programske datoteke, ki vsebujejo samo kodo zaznamka in so implementirane s paketnimi paketnimi datotekami;
• zaznamki, ki se predstavljajo kot aplikacijska programska oprema za splošne namene;
• zaznamki, prikriti kot igralna in izobraževalna programska oprema (za lažjo njihovo začetno implementacijo v računalniški sistem).

Poglavje 1. ZNAČILNOSTI Zoperstavljanja ♦ ZLODABNI PROGRAMI V KRITIČNIH

POMEMBNI SEGMENTI INFORMACIJSKE SFERE.

1.1. Zlonamerni programi kot vir groženj kritičnim segmentom informacijske sfere.

1.2. Boj proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere.

1.3. Postavitev problema celovite ocene učinkovitosti boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere.

1.4. Sklepi.

Poglavje 2. OBLIKOVANJE KAZALNIKOV

UČINKOVITOST ZBOROVANJA PROTI ZLODAJNI PROGRAMI V KRITIČNIH SEGMENTIH INFORMACIJSKE SFERE.

2.1. Metodologija za strukturiranje indikatorjev uspešnosti proti zlonamerni programski opremi.

2.2. Metodologija za sintezo hierarhične strukture indikatorjev učinkovitosti proti zlonamerni programski opremi.

2.3. Enoten opis strukture kazalnikov učinkovitosti zaščite pred zlonamerno programsko opremo

2.4. Sklepi.

Poglavje 3. MATEMATIČNO MODELIRANJE

PROCESI ZA ZBOR PROTI ZLONAMERNI PROGRAMI V KRITIČNIH SEGMENTIH INFORMACIJSKE SFERE.

3.1. Značilnosti sinteze matematičnega modela za oceno učinkovitosti boja proti zlonamerni programski opremi.

3.2. Formalna predstavitev procesov delovanja orodij proti zlonamerni programski opremi.

3.3. Simulacijski model za ocenjevanje časovne učinkovitosti boja proti zlonamerni programski opremi

3.4. Analitični modeli za ocenjevanje verjetnostnih indikatorjev učinkovitosti boja proti zlonamerni programski opremi. ^

3.5. Predstavitev izhodiščnih podatkov za oceno verjetnostnih indikatorjev učinkovitosti boja proti zlonamerni programski opremi.

3.6. Sklepi.

Poglavje 4. RAČUNALNIŠKI EKSPERIMENTI ZA OCENJEVANJE UČINKOVITOSTI Zoperstavljanja zlonamerni programski opremi v KRITIČNO POMEMBNIH SEGMENTIH INFORMACIJSKE SFERE.

4.1. Metodologija za načrtovanje računalniških poskusov za oceno učinkovitosti boja proti zlonamerni programski opremi

4.2. Rezultati računalniških poskusov.

4.3. Analiza učinkovitosti predlagane metode za ocenjevanje boja proti zlonamerni programski opremi.

4.4. Sklepi.

Priporočeni seznam disertacij

• Matematični modeli splošne ocene učinkovitosti boja proti grožnjam varnosti segmentov informacijske sfere 2006, kandidat tehničnih znanosti Lihodedov, Denis Jurijevič

• Funkcionalno modeliranje zlonamernih vplivov na kritične segmente informacijske sfere 2008, kandidat za tehnične vede Modestov, Aleksej Albertovič

• Modeliranje in optimizacija delovanja avtomatiziranih nadzornih sistemov organov za notranje zadeve v okviru boja proti zlonamerni programski opremi 1999, doktor tehničnih znanosti Skryl, Sergej Vasiljevič

• Teoretične osnove in praktična izvedba sinteze informacijskih sistemov za avtomatizirane nadzorne komplekse kritičnih objektov 2009, doktor tehničnih znanosti Krupenin, Aleksander Vladimirovič

• Raziskave in razvoj algoritmov za prepoznavanje zlonamerne programske opreme pri preprečevanju nepooblaščenih vplivov na informacijske vire varovanih računalniških omrežij 2004, kandidat tehničnih znanosti Kiselev, Vadim Vjačeslavovič

Uvod v disertacijo (del povzetka) na temo “Razvoj in raziskava algoritmov za celovito oceno učinkovitosti boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere”

Relevantnost raziskovalne teme. Intenziven razvoj in izboljšanje informacijskih tehnologij vodi do tega, da je treba obravnavati širitev informacijske sfere kot prevladujoč trend. To je privedlo do nastanka ločenega razreda elementov te sfere, njenih tako imenovanih kritičnih segmentov - informacijskih sistemov, ki podpirajo delovanje državnih organov /1/, sistemov upravljanja komunikacijske infrastrukture /2/, financ /3/, energetike /4. /, promet 151 in službe za nujno pomoč 161. Hkrati je širitev informacijske sfere povzročila pojav različnih vrst groženj elementom informacijske sfere 111. Hkrati so njeni kritični segmenti postali glavni predmet takih groženj. To je povzročilo potrebo po rešitvi številnih težav, povezanih z organizacijo zaščite informacijske sfere, da bi preprečili škodo zaradi kršitev njene varnosti ob prisotnosti različnih virov groženj /8 - 13/.

Eden najresnejših virov groženj v informacijski sferi je zlonamerna programska oprema /14 - 16/ - eno glavnih orodij za nezakonito manipulacijo informacij /17/ v svojih računalniških omrežjih /18/. Zlonamerne programe oblikujejo visoko usposobljeni strokovnjaki /19/ kot programe virusnega tipa /20 - 26/, kar omogoča uporabo prednosti računalniških virusov, kot je izomorfna struktura, možnost ustvarjanja lastnih kopij in se manifestirajo le pod določenimi pogoji. parametri računalniškega okolja /27 - 28/. Te lastnosti omogočajo zlonamernim programom, da v izredno kratkih časovnih obdobjih izvajajo funkcije nezakonitega manipuliranja z informacijami, kar bistveno oteži sposobnost njihovega odkrivanja in odpravljanja, posledično pa tovrstne programe uvršča v kategorijo enega najnaprednejših orodij. za nezakonita dejanja v informacijski sferi danes /29/.

Zlonamerni programi vplivajo predvsem na začasne lastnosti elementov informacijske sfere, saj njihov vpliv povzroči znatne začasne izgube, povezane z obnovitvijo pravilnosti informacijskih procesov.

V zvezi s tem postane očitno, da so zlonamerni programi dejavnik znatnega zmanjšanja učinkovitosti uporabe, predvsem kritičnih segmentov informacijske sfere, saj so njihove dejavnosti osredotočene na hitro obdelavo vhodnih informacij. To pa nam omogoča, da zlonamerno programsko opremo uvrstimo v ločen razred najresnejših groženj varnosti informacijskega sektorja.

Zato postane problem zaščite kritičnih segmentov informacijske sfere pred tovrstnimi grožnjami pereč. Očitno je, da je treba njegovo rešitev izvajati sistematično, na podlagi celovite študije tehnologij proti zlonamerni programski opremi. Dejstvo, da so za takšne tehnologije značilni številni heterogeni parametri, dela njihove raziskovalne probleme zapletene, tako znanstveno kot praktično.

Podobne študije kažejo:

Izvajanje sistemske analize stanja zaščite pred škodljivimi programi kot celote v informacijski sferi in njenih posameznih kritičnih segmentih;

Raziskave učinkovitih metod in sredstev za boj proti zlonamerni programski opremi;

Ocena anti-malware tehnologij v kritičnih segmentih informacijske sfere.

Vse to je zahtevalo iskanje pristopov k ocenjevanju učinkovitosti boja proti zlonamerni programski opremi, ki bi sistematično upoštevali vse številne lastnosti uporabljenih tehnologij.

Kot kaže analiza stanja problema /30/, je eden najbolj obetavnih načinov za rešitev tega problema sinteza kompleksnega indikatorja, ki označuje zmogljivosti tehnologij, ki se uporabljajo za boj proti zlonamerni programski opremi. Hkrati ima sinteza kompleksnega indikatorja številne značilnosti, povezane s prisotnostjo številnih smeri tako pri razvrščanju zmogljivosti različnih tehnologij za boj proti zlonamerni programski opremi kot pri uporabi matematičnih orodij za raziskave.

To je omogočilo predlaganje bistveno novega pristopa k reševanju problema celovite ocene učinkovitosti boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere.

Bistvo tega pristopa je razviti razumna pravila za sintezo celovitega kazalnika učinkovitosti boja proti zlonamerni programski opremi, katere oblika bo optimalna z vidika odražanja zmogljivosti uporabljenih tehnologij za boj proti napadom.

Kljub dejstvu, da je izboljšanje teorije in prakse zagotavljanja informacijske varnosti postalo izjemno pereč problem, so posebne študije v zvezi z nalogami celovite ocene učinkovitosti boja proti zlonamernim programom v informacijski sferi na splošno in boja proti škodljivim programom v njeni predvsem kritični segmenti niso bili izvedeni.

Ker predlagana metoda za ocenjevanje učinkovitosti boja proti zlonamerni programski opremi ni zajeta v razpoložljivi literaturi in znane metode ne omogočajo celovite ocene zmogljivosti orodij proti zlonamerni programski opremi, je to razlog za trditev, da Naloga razvoja metod za celovito oceno učinkovitosti teh orodij je izjemno pomembna in vprašanja, povezana s tem področjem, potrebujejo resno študijo tako v metodološkem kot uporabnem smislu. Vse to kaže na pomembnost teme te disertacije, ki je bila izvedena v skladu z Doktrino informacijske varnosti Ruske federacije 111, pa tudi v skladu z znanstveno usmeritvijo Inštituta Voronež Ministrstva za notranje zadeve Rusije, povezane z na utemeljitev zahtev za sredstva in sisteme za varovanje informacij.

Predmet raziskave so tehnologije za boj proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere.

Predmet raziskave so metode za celovito oceno učinkovitosti boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere.

Cilj disertacije je izboljšati metode za ocenjevanje boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere na podlagi sinteze celovitega indikatorja učinkovitosti uporabljenih tehnologij za boj proti zlonamerni programski opremi.

Za dosego cilja se rešujejo naslednje znanstvene naloge:

Teoretična utemeljitev sistemskih zahtev za sintezo celovitega indikatorja učinkovitosti boja proti zlonamernim programom v kritičnih segmentih informacijske sfere;

Razvoj algoritma za sintezo takega indikatorja;

Izgradnja optimalne strukture zasebnih indikatorjev učinkovitosti uporabljenih tehnologij proti zlonamerni programski opremi;

Razvoj nabora analitičnih in simulacijskih modelov, ki zagotavljajo oceno kazalnikov učinkovitosti uporabljenih anti-malware tehnologij;

Eksperimentalno testiranje algoritmov za celovito oceno učinkovitosti boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere.

Raziskovalne metode. Delo uporablja metode sistemske analize, teorije informacijske varnosti, teorije množic, teorije grafov, matematičnega modeliranja, teorije verjetnosti in matematične statistike ter teorije naključnih procesov.

Veljavnost in zanesljivost dobljenih rezultatov zagotavlja:

Uporaba preverjenih matematičnih orodij v procesu formalizacije procesov boja proti zlonamerni programski opremi;

Eksperimentalna verifikacija razvitih matematičnih modelov in ujemanje dobljenih rezultatov s primeri, znanimi iz znanstvene literature.

Znanstvena novost in teoretični pomen rezultatov, pridobljenih v disertaciji, sta naslednja:

1. Razviti so bili algoritmi za celovito oceno učinkovitosti boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere, ki se od znanih metod za reševanje podobnih problemov razlikuje po tem, da se integracija posameznih indikatorjev izvede na podlagi upoštevanja njihovega vpliva. na ciljni funkciji - stopnja preprečevanja škode informacijski sferi zaradi kršitve njene varnosti.

2. Predlaga se metodološki pristop k združevanju simulacije in analitičnega modeliranja za ovrednotenje posameznih indikatorjev tehnologij proti zlonamerni programski opremi, ki za razliko od analogov omogoča nadzor nad stopnjo podrobnosti proučevanih procesov.

3. Predlagane so bile nove rešitve za izgradnjo matematičnih modelov za boj proti zlonamerni programski opremi, ki temeljijo na uporabi podobnosti zasebnih indikatorjev tehnologij, ki se uporabljajo za boj proti klasični predstavitvi naključnih spremenljivk.

Praktična vrednost raziskave je v razvoju učinkovitega sistema za podporo odločanju za ocenjevanje tehnologij, ki se uporabljajo za boj proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere, ki opravlja naslednje funkcije:

Analiza in posplošitev posameznih indikatorjev boja proti zlonamerni programski opremi za različne praktične možnosti za uporabljene tehnologije za preprečevanje;

Izdelava analitičnih shem za tehnologije proti zlonamerni programski opremi, ki so primerne za praktično razumevanje;

Primerjava kazalnikov učinkovitosti različnih tehnologij proti zlonamerni programski opremi.

Rezultati teoretičnih in eksperimentalnih raziskav se lahko uporabijo za reševanje naslednjih znanstvenih in uporabnih problemov:

Utemeljitev novih pristopov k organizaciji boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere;

Analiza obstoječih tehnologij za boj proti zlonamerni programski opremi med njihovo uporabo.

Dobljeni rezultati se lahko uporabljajo v predavanjih in izobraževalnih gradivih na visokošolskih ustanovah pri študiju osnov informacijske varnosti, pa tudi pri prekvalificiranju osebja, odgovornega za varnost kritičnih segmentov informacijske sfere.

Za obrambo so predložene naslednje glavne določbe disertacijskega dela:

1. Izjava in rezultati reševanja problema sinteze celovitega indikatorja učinkovitosti boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere, ki temelji na izdelavi optimalne strukture zasebnih indikatorjev in njene uporabe za oceno učinkovitosti tehnologij, ki se uporabljajo za boj proti zlonamerni programski opremi. .

2. Metodološki pristop k združevanju simulacije in analitičnega modeliranja za vrednotenje specifičnih indikatorjev tehnologij proti zlonamerni programski opremi.

Implementacija rezultatov dela. Rezultati disertacijskega dela se izvajajo v:

Vojaški inštitut za radijsko elektroniko Ministrstva za obrambo Ruske federacije;

Voroneški inštitut Ministrstva za notranje zadeve Ruske federacije;

Glavni oddelek za notranje zadeve regije Voronež;

Oddelek za notranje zadeve regije Tambov.

Uveljavitev rezultatov je potrjena z ustreznimi akti.

Potrditev dela. Glavni metodološki in praktični rezultati raziskave so bili predstavljeni na naslednjih konferencah:

Glavni metodološki in praktični rezultati raziskave so bili predstavljeni na naslednjih konferencah:

1. Vseslovenska znanstvena in praktična konferenca "Sodobni problemi boja proti kriminalu" - Voronež, 2002 /48/.

2. Medregionalna znanstvena in praktična konferenca "Informacije in varnost" - Voronež, 2002 /56/.

3. IV Vseslovenska znanstvena in praktična konferenca "Varnost, varnost in komunikacije" - Voronež, 2003 /49/.

4. Vseslovenska znanstvena in praktična konferenca "Sodobni problemi boja proti kriminalu" - Voronež, 2005 /57/.

V delih, objavljenih v soavtorstvu, je prijavitelj osebno predlagal: v /28/ - razvrstiti računalniške viruse ob upoštevanju njihove kompleksne manifestacije lastnosti asociativnosti, replikativnosti in izomorfizma; v /29/ - ilustracija uporabe različnih lastnosti računalniških virusov s strani napadalcev pri izvajanju stopenj splošne strategije za nepooblaščen dostop do informacij v računalniških sistemih; v /30/ upoštevajte njihovo aktivnost in sposobnost preživetja kot glavni klasifikacijski značilnosti lastnosti zlonamernih programov; v /35/ - sistematizacija okoliščin, ki določajo potrebo po ohranjanju tajnosti dejanj organov kazenskega pregona; v /48/ - identificirati nezakonita dejanja na področju računalniških informacij z uporabo dvonivojskega sistema, katerega prva raven zagotavlja identifikacijo dejstva nezakonitega dejanja, druga pa - sledi takšnih vplivov; v /49/ - ugotavljanje dejstev nezakonitega vplivanja na informacije v računalniških omrežjih z uporabo semantične kontrole informacijskih parametrov računalniških procesov; v /50/ - kot temeljno načelo za prepoznavanje računalniških kaznivih dejanj načelo hierarhičnega opisa strategij nepooblaščenega dostopa do informacij v računalniških sistemih; v /53/ - uporabljati tehnologije porazdeljene zaščite informacij kot vir forenzično pomembnih informacij pri preiskovanju računalniških kaznivih dejanj; v /54/ - upoštevati prisotnost celotnega niza identifikacijskih znakov tovrstnih nezakonitih dejanj kot prevladujočega dejavnika pri povečanju stopnje odkrivanja računalniških kaznivih dejanj; v /56/ - obravnavati metodologijo za ocenjevanje varnosti informacijskih in telekomunikacijskih sistemov pred grožnjami njihovi informacijski varnosti kot postopek za oblikovanje hierarhične strukture indikatorjev, obravnavati kot primer funkcionalnega informacijskega modela dejavnosti režima posebnih sil storitev oskrbe zaposlenih z uradno dokumentacijo; v /57/ - oblikovati celovit kazalnik za ocenjevanje učinkovitosti boja proti zlonamerni programski opremi, ki temelji na hierarhičnem strukturiranju zasebnih indikatorjev; v /67/ - uporabiti funkcionalni opis informacijskih procesov kot nujno stopnjo njihove formalizacije.

Struktura in obseg dela. Disertacija obsega 164 strani in je sestavljena iz uvoda, štirih poglavij, zaključka, bibliografije uporabljene literature in priloge, vsebuje 51 slik in 19 tabel.

Podobne disertacije v specialnosti "Metode in sistemi informacijske varnosti, informacijska varnost", 05.13.19 šifra VAK

• Matematični model preprečevanja nepooblaščenega dostopa do informacijskih in telekomunikacijskih sistemov z uporabo različnih vrst informacijsko-varnostnih sredstev ob minimiziranju motenj računalniških virov 2002, kandidat tehničnih znanosti Kočedikov, Sergej Sergejevič

• Modeliranje in optimizacija informacijskih procesov v teritorialnih segmentih enotnega informacijsko-telekomunikacijskega sistema organov za notranje zadeve v okviru boja proti grožnjam informacijski varnosti 2006, kandidatka tehničnih znanosti Chagina, Lyudmila Vladimirovna

• Modeliranje zlonamernih vplivov na varovane informacijske sisteme z namenom prepoznavanja nezakonitih dejanj na področju računalniških informacij 2005, kandidat tehničnih znanosti Tyunyakin, Roman Nikolajevič

• Prepoznavanje zlonamerne programske opreme na podlagi skritih Markovljevih modelov 2012, kandidat tehničnih znanosti Kozačok, Aleksander Vasilijevič

• Matematični modeli za ocenjevanje učinkovitosti zasebnih varnostnih enot pri opravljanju storitev na področju tehničnega varovanja informacij 2005, kandidat za tehnične vede Fedorov, Ivan Semenovič

Zaključek disertacije na temo "Metode in sistemi informacijske varnosti, informacijska varnost", Sushkov, Pavel Feliksovich

4.4. zaključki

1. Učinkovitost boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere je priporočljivo oceniti na podlagi analize različnih možnosti uporabe protiukrepov v skladu z načrtom računalniških poskusov.

2. Uporaba metod, razvitih v disertaciji za oceno učinkovitosti boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere, nam omogoča zmanjšanje obsega uporabljenih matematičnih modelov za 50 %.

3. Značilnosti točnosti v disertaciji predlagane hierarhične strukture indikatorjev so zaradi uporabe verjetnostne lestvice vsaj dva reda velikosti višje od karakteristik točnosti znanih integriranih struktur indikatorjev.

4. V disertaciji razvita metoda za ocenjevanje učinkovitosti boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere se lahko šteje za univerzalno metodo za ocenjevanje varnosti informacijskih objektov.

5. stopnja

Namen varovanja informacij je preprečiti škodo zaradi kršitev varnosti informacij

4. stopnja

3. stopnja

2. stopnja

Možnosti za preprečevanje kršitev zaupnosti (uhajanja) informacij

Možnosti preprečevanja kršitev integritete infoormacina

Možnosti zaščite informacij pred uhajanjem zaradi stranskega elektromagnetnega sevanja in motenj

Možnosti za preprečevanje kršitve dostopnosti (blokiranja) informacij

Možnosti za zaščito informacij pred nepooblaščenim dostopom

Možnosti zaščite govornih informacij (pred uhajanjem skozi akustični kanal)

Možnosti za preprečevanje pogojev, ugodnih za nastanek groženj

Priložnosti za preprečevanje nastanka groženj NSD 1

Možnosti za preprečevanje pojava groženj uhajanja informacij skozi fizična polja

Priložnosti za odkrite vire groženj

Woam< южк» ста по закрытию доступа в обход системы защиты и и форма-цкн

Priložnosti za nevtralne in negativne grožnje NSD X X

Priložnosti za nevtralizacijo groženj uhajanja informacij skozi fizična polja X

Priložnosti za odkrivanje in vpliv groženj NSD

Priložnosti za odkrivanje vpliva groženj uhajanja informacij preko kanalov PEMIN

Možnosti detekcije in vpliva groženj uhajanja informacij preko akustičnega kanala X

Možnosti obnovitve podatkov po izpostavljenosti grožnjam NSD

BOiMG&HdCTtt o obnovitvi informacij po izpostavljenosti grožnjam uhajanja informacij prek kanalov ghemim

Priložnosti obnovljene!! yu informacije po izpostavljenosti grožnjam uhajanja informacij v akustični kanal

mogoče*

1. stopnja

Possibly Possibly

Navodila za omejevanje dostopa do informacijskih virov

JE TAKO

Možnosti zakrivanja sevanja in motenj iz informacijskih kanalov (fizičnih polj)

mogoče

STA o dezinformacijah (posnemanje sevanja in motenj)

Možnosti kriptografske transformacije informacij

mogoče

Smernice za spremljanje elementov (stanje elementov) TSOI in ITKS

Možno je registrirati informacije o delovanju TSIOI z vidika RF

Možnosti pravočasnega uničenja porabljenih in neuporabljenih informacij

Priložnosti za signalizacijo manifestacij in groženj nezakonitih dejavnosti

Možnosti za signalizacijo manifestacije groženj uhajanja informacij prek kanalov PEMIN

Možnosti signaliziranja manifestacije groženj uhajanja informacij preko akustičnih kanalov za odziv na manifestacije groženj (defusing groženj)

Priložnosti za angleščino manifestacij in nevarnosti NSD

Na pojav groženj se je mogoče odzvati (nevtralizirati grožnje) preko akustičnih kanalov.

riž. 4.3.2. Struktura indikatorjev heterogenih tehničnih sistemov in sredstev informacijske varnosti informacijskih in telekomunikacijskih sistemov

ZAKLJUČEK

Glavni znanstveni rezultati, pridobljeni v disertaciji, so naslednji:

1. Metoda posplošene ocene učinkovitosti sistema za boj proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere je teoretično utemeljena in praktično izvedena na podlagi strukturiranja posameznih indikatorjev protiukrepov.

2. Razvita je bila metoda za optimizacijo strukture zasebnih indikatorjev za boj proti zlonamerni programski opremi. V skladu z njim se predlaga:

Nabor indikatorjev protiukrepov predstaviti v obliki hierarhične strukture z dosledno posplošitvijo lastnosti protiukrepov;

Ravni hierarhične strukture so predstavljene v obliki nizov indikatorjev, ki ustrezajo glavnim razredom zmogljivosti protiukrepov za zagotavljanje varnosti računalniških omrežij, ki tvorijo materialno osnovo informacijske sfere;

Kot orodje za proučevanje učinkovitosti boja proti zlonamerni programski opremi uporabite simulacijske in analitične modele, ki opisujejo procese delovanja protiukrepov.

3. Razvita je bila metodologija za oceno različnih možnosti opremljanja računalniških omrežij s protivirusnimi orodji, ki temelji na principih teorije računalniških eksperimentov z uporabo matematičnih modelov, razvitih v disertaciji.

V disertaciji so bili pridobljeni naslednji novi praktični rezultati:

1. Raziskave, izvedene z uporabo razvitih matematičnih modelov za boj proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere, utemeljujejo trditev, da:

Uporaba metod, razvitih v disertaciji, za ocenjevanje delovanja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere nam omogoča zmanjšanje obsega uporabljenih matematičnih modelov za 50 %.

Značilnosti točnosti hierarhične strukture indikatorjev, predlagane v disertaciji, so zaradi uporabe verjetnostne lestvice vsaj dva reda velikosti višje od karakteristik točnosti znanih integriranih struktur indikatorjev.

Praktični pomen teh rezultatov je v tem, da omogočajo kvantificiranje izvedljivosti izvajanja ukrepov za boj proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere.

2. Razvite metode, modeli in algoritmi skupaj predstavljajo metodološko podporo za reševanje praktičnega problema ocenjevanja učinkovitosti boja proti zlonamerni programski opremi v kritičnih segmentih informacijske sfere. Uporablja se lahko za reševanje podobnih problemov pri ocenjevanju varnosti informacijskih objektov pred podobnimi grožnjami njihovi informacijski varnosti.

Seznam referenc za raziskavo disertacije Kandidat tehničnih znanosti Suškov, Pavel Feliksovič, 2005

1. Telekomunikacije. Svet in Rusija. Stanje in trendi razvoja / Kleshchev N.T., Fedulov A.A., Simonov V.M., Borisov Yu.A., Osenmuk M.P., Selivanov S.A. M .: Radio in komunikacije, 1999. - 480 str.

2. Khomyakov N.N., Khomyakov D.N. Analiza varnosti jedrske elektrarne med terorističnimi napadi. // Varnostni sistemi. 2002. - št. 2(44). - strani 74-76.

3. Moshkov G.Yu. Zagotavljanje varnosti prometnih zmogljivosti je naša prioriteta. // Varnostni sistemi. - 2003. - št. 6(48). - Str. 8-9.

4. Agapov A.N. Jedrska in sevalna varnost. Pripravljenost na izredne razmere. // Varnostni sistemi. 2003. - št. 2(50). - Str. 8-10.

5. Doktrina informacijske varnosti Ruske federacije // Rossiyskaya Gazeta z dne 28. septembra 2000.

6. Gerasimenko V.A. Varovanje informacij v sistemih za avtomatizirano obdelavo podatkov: V 2 knjigah: Knj. 1. M.: Energoatomizdat, 1994. - 400 str.

7. Gerasimenko V.A. Varovanje informacij v sistemih za avtomatizirano obdelavo podatkov: V 2 knjigah: Knj. 2. M.: Energoatomizdat, 1994. - 176

8. Gerasimenko V.A., Malyuk A.A. Osnove informacijske varnosti: Učbenik za visokošolske ustanove Ministrstva za splošno in strokovno izobraževanje Ruske federacije M.: MEPhI, 1997. - 538 str.

9. Osnove informacijske varnosti: Učbenik za visokošolske ustanove Ministrstva za notranje zadeve Rusije / Ed. Minaeva, V.A. in Skryl S.V. - Voronež: Voroneški inštitut Ministrstva za notranje zadeve Rusije, 2001. - 464 str.

10. Ščerbakov A.A. Destruktivni vplivi programske opreme. M .: Založba "Edel", 1993. 64 str.

11. Mukhin V.I. Informacijsko in programsko orožje. Destruktivni vplivi programske opreme. // Znanstvena in metodološka gradiva. M.: Vojaška akademija strateških raketnih sil poimenovana po Petru Velikem, 1998.-44 str.

12. Skryl S.V. Klasifikacija programske opreme za krajo in izkrivljanje informacij v avtomatiziranih informacijskih sistemih // Visoke tehnologije v tehnologiji, medicini in izobraževanju: Meduniverzitetna zbirka. znanstveni tr., 2. del. Voronež: VSTU, 1997. - P. 131-137.

13. Računalniška omrežja. Principi, tehnologije, protokoli: Učbenik za univerze. / V.G. Olifer, N.A. Olifer SPb .: Peter, 2003. - 864 str.

14. Syrkov B.Yu. Računalniški sistem skozi oči hekerja // Tehnologije in komunikacije. -1998. št. 6. str. 98-100

15. Bezrukov N.N. Uvod v računalniško virologijo. Splošna načela delovanja, klasifikacija in katalog najpogostejših virusov v MS-DOS. Kijev, 1989. - 196 str.

16. Bezrukov N.N. Računalniška virologija: Referenčni vodnik. -Kijev, 1991.

17. Bezrukov N.N. Računalniški virusi. - M., 1991. - 132 str.

18. Kaspersky E.V. Računalniški virusi v MS-DOS. M .: Založba Edel, 1992. - 120 str.

19. Kaspersky E.V. Računalniški virusi, kaj so in kako se z njimi boriti. M.: "SK Press", 1998. - 288 str.

20. Fights F., Johnston P., Kratz M. Računalniški virus: težave in napoved. -M .: Mir, 1993. 175 str.

21. Guliev N.A. Računalniški virusi, pogled od znotraj. M.: DMK, 1998.-304 str.

22. Tehnologije za razvoj zlonamerne programske opreme, ki temelji na računalniških virusih // E.G. Gennadieva, K.A. Razinkin, Yu.M. Safonov, P.F. Suškov, R.N. Tyunyakin // Informacije in varnost. številka 1. - Voronež: VSTU, 2002. - str. 79-85.

23. Virološko tipiziranje zlonamernih programov // JI.B. Čagina, K.S. Skryl, P.F. Sushkov // Znanost o proizvodnji, 2005. - Številka 6. - Str. 12-17.

24. Minaev V.A., Skryl S.V. Računalniški virusi kot sistemsko zlo. // Varnostni sistemi SB-2002: Materiali XI znanstvene in tehnične konference Mednarodnega foruma za informatizacijo - M .: GPS Academy, 2002. - str. 18-24.

25. Sistemi in omrežja za prenos podatkov: Učbenik. / M.V. Garanin, V.I. Žuravljev, S.V. Kunegin M.: Radio in komunikacije, 2001. - 336 str.

26. Telekomunikacijski sistemi in omrežja: Učbenik V 3 zvezkih. 1. zvezek Sodobne tehnologije / B.I. Kruk, V.N. Popantonopoulo, V.P. Shuvalov - M.: Hotline - Telecom, 2003. - 647 str.

27. Zaščita informacij v računalniških sistemih in omrežjih. / Romanets Yu.V., Timofeev P.A., Shangin V.F. M .: Radio in komunikacije, 2001. - 376 str.

28. Organizacijski in pravni vidiki omejevanja dostopa do informacij v dejavnostih organov za notranje zadeve / Asyaev P.I., Pozhilykh V.A., Sushkov P.F., Belousova I.A., Potanina I.V., Razinkin K.A. // Informacije in varnost. - Številka 1. Voronež: VSTU, 2002. - Str. 43-47.

29. Kaspersky K. Tehnike omrežnih napadov. Tehnike protiudejstvovanja. M.: Solon-R, 2001.-397 str.

30. Serdjuk V.A. Obetavne tehnologije za odkrivanje informacijskih napadov. // Varnostni sistemi. 2002. - št. 5(47). - Str. 96-97.

31. Programiranje algoritmov informacijske varnosti: Učbenik. / Domashev A.V. Gruntovich M.M., Popov V.O., Pravikov D.I., Prokofjev I.V., Shcherbakov A.Yu. M .: Znanje, 2002. - 416 str.

32. Grusho A.A., Timonina E.E. Osnove informacijske varnosti. M.: Yachtsman, 1996.-192 str.

33. Varovanje resorskih informacijsko-telekomunikacijskih sistemov. / Getmantsev A.A., Lipatnikov V.A., Plotnikov A.M., Sapaev E.G. VAS, 1997. 200 str.

34. Skryl S.V. Modeliranje in optimizacija delovanja avtomatiziranih nadzornih sistemov organov za notranje zadeve v kontekstu boja proti zlonamerni programski opremi: povzetek disertacije dr. tehn. Znanosti M.: Akademija državne gasilske službe Ministrstva za notranje zadeve Rusije, 2000. - 48 str.

35. Joel T. Patz Protivirusni programi / PC Magazine / Ruska izdaja, 1996, št. 3 (46), strani 70-85

36. Inteligentne tehnologije protivirusnega programa Doctor Web. / JSC "Dialognauka". // Varnostni sistemi. 2002. - št. 2(44). - strani 84-85.

37. Antimonov S.G. Intelektualni spopadi na prvi črti Virus-antivirus. // Informacije in varnost: gradiva medregionalnega znanstvenega in praktičnega dela. konf. Informacije in varnost. - Številka 2. - Voronež: VSTU, 2002. - Str. 39-46.

38. Vorobyov V.F., Gerasimenko V.G., Potanin V.E., Skryl S.V. Načrtovanje sredstev za sledilno identifikacijo računalniških kaznivih dejanj. Voronež: Voroneški inštitut Ministrstva za notranje zadeve Rusije, 1999. - 136 str.

39. Sledi računalniških zločinov / Voynalovich V.Yu., Zavgorod-niy M.G., Skryl S.V., Sumin V.I. // Povzetki poročil mednarodne konference "Informatizacija sistemov kazenskega pregona", 2. del. M .: Akademija za upravljanje Ministrstva za notranje zadeve Rusije, 1997. str. 53-55.

40. Metodologija izvajanja primarnih preiskovalnih dejanj pri preiskovanju kaznivih dejanj na področju visoke tehnologije. / Suškov P.F., Kočedikov S.S., Kiselev V.V., Artemov A.A. Bilten VI Ministrstva za notranje zadeve Rusije 2(9)" 2001 - Voronež: VI Ministrstvo za notranje zadeve Rusije 2001. - Str. 152-155.

41. Povečanje stopnje odkrivanja računalniških zločinov // Bogachev S.Yu., A.N. Obukhov, P.F. Sushkov // Informacije in varnost. vol. 2. - Voronež: VSTU, 2004. - Str. 114 - 115.

42. Računalniško tehnični pregled protipravnih dejanj. // Sushkov P.F. // Bilten Voroneškega inštituta Ministrstva za notranje zadeve Rusije. T. 4(19). -2004.-№4(19) - Str. 52-55.

43. Mamikonov A.G., Kulba V.V., Ščelkov A.B. Zanesljivost, zaščita in varnostno kopiranje informacij v sistemih avtomatskega vodenja. M.: Energoatomizdat, 1986. - 304 str.

44. Sokolov A.V., Shangin V.F. Varovanje informacij v porazdeljenih korporativnih sistemih. M .: DMK Press, 2002. - 656 str.

45. Khasin E.V. Celostni pristop k spremljanju informacijskih in računalniških sistemov. // Znanstvena seja MEPhI 2002: Materiali IX vseruske znanstvene in praktične konference. konf. - M.: MEPhI, 2002. - Str. 110-111.

46. ​​​​Buslenko N.P. Modeliranje kompleksnih sistemov / N.P. Buslenko. - M.: Nauka, 1978.-400 str.

47. Sovetov B.Ya. Modeliranje sistemov: Učbenik za univerze na specializaciji. "Avtomatizirani nadzorni sistemi" / B.Ya. Sovetov, S.A. Jakovljev. - M .: Višja šola, 1985. - 271 str.

48. Iglehart D.L. Regenerativno modeliranje čakalnih omrežij: Per. iz angleščine / D.L. Iglehart, D.S. Šedler. M .: Radio in komunikacije, 1984. - 136 str.

49. Buslenko V.N. Avtomatizacija simulacijskega modeliranja kompleksnih sistemov / V.N. Buslenko. - M.: Nauka, 1977. - 239 str.

50. Tarakanov K.V. Analitične metode za preučevanje sistemov / K.V. Tarakanov, L.A. Ovčarov, A.N. Tiriškin. - M.: Sovjetski radio, 1974. 240 str.

51. Vilkas E.J., Mayminas E.Z. Rešitve: teorija, informacija, modeliranje. M .: Radio in komunikacije, 1981. - 328 str. strani 91-96.

52. Načela strukturiranega modeliranja procesov za zagotavljanje varnosti namenskih informacijskih sistemov. / P.I. Asyaev, V.N. Asejev, A.R. Mozhaitov, V.B. Ščerbakov, P.F. Sushkov // Radiotehnika (revija v reviji), 2002, št. 11.

53. Tatg U. Teorija grafov: Prev. iz angleščine M.: Mir, 1988. - 424 str.

54. Ventzel E.S. Teorija verjetnosti. M .: Založba fizične in matematične literature, 1958. - 464 str.

55. Zbirka znanstvenih programov v fortranu. vol. 1. Statistika. New York, 1970. / Prev. iz angleščine M.: "Statistika", 1974. - 316 str.

56. Zaryaev A.V. Usposabljanje strokovnjakov za informacijsko varnost: modeli upravljanja: Monografija M.: "Radio in komunikacije", 2003. - 210 str.

57. Kini P.JI., Raiffa X. Odločanje po več merilih prednosti in zamenjave. M .: Radio in komunikacije, 1981. - 560 str.

58. Laričev O.I. Znanost in umetnost odločanja. M.: Nauka, 1979.-200 str.

59. Yakovlev S.A. Problemi načrtovanja simulacijskih eksperimentov pri načrtovanju informacijskih sistemov. // Avtomatizirani sistemi za obdelavo in upravljanje podatkov. L.: 1986. - 254 str.

60. Inteligentne tehnologije protivirusnega programa Doctor Web. / JSC "Dia-lognauka". // Varnostni sistemi. 2002. - št. 2(44). - Str. 84-85.

61. Enciklopedija računalniških virusov. / DA. Kozlov, A.A. Parandovski, A.K. Parandovski M.: "Solon-R", 2001. - 457 str.

62. Joel T. Patz Protivirusni programi / PC Magazine / ruska izdaja, 1996, št. 3 (46), strani 70-85.

63. Sistem certificiranja orodij za informacijsko varnost v skladu z zahtevami glede informacijske varnosti št. ROSS RU.OOI.OIBHOO. Državni register certificiranih orodij za varnost informacij. Uradna spletna stran Državne tehnične komisije Rusije, 2004.

64. Skryl S.V. Modeliranje in optimizacija delovanja avtomatiziranih nadzornih sistemov organov za notranje zadeve v kontekstu boja proti zlonamerni programski opremi: povzetek disertacije dr. tehn. Znanosti M.: Akademija državne gasilske službe Ministrstva za notranje zadeve Rusije, 2000. - 48 str.

65. Ocena informacijske varnosti v informacijskih in telekomunikacijskih sistemih. / Minaev V.A., Skryl S.V., Potanin V.E., Dmitriev Yu.V. // Ekonomika in proizvodnja. 2001. - št. 4. - 27-29 strani.

66. Ventzel E.S. Raziskave operacij M.: Sovjetski radio, 1972 - 552 str.

67. Zadeh J1.A. Koncept lingvistične spremenljivke in njena uporaba pri približnem odločanju. M.: Mir, 1976. - 168 str.

68. Pospelov D.A. Logično-lingvistični modeli v sistemih vodenja. M.: Energija, 1981.-231 str.

69. Pospelov D.A. Situacijski management: teorija in praksa. -M .: Nauka, 1986.-284 str.

70. Raifa G. Odločitvena analiza (uvod v problem izbire v pogojih negotovosti). M.: Nauka, 1977. - 408 str.

71. Modeli odločanja na podlagi jezikovnih spremenljivk / A.N. Borisov, A.V. Aleksev, O.A. Krumberg et al. Riga: Zinatne, 1982. - 256 str.

72. Kofman A. Uvod v teorijo mehkih množic. M .: Radio in komunikacije, 1982. - 432 str.

73. Mehke množice v modelih vodenja in umetne inteligence. / Ed. DA. Pospelov. M.: Nauka, 1986. - 312 str.

74. Akti uveljavitve rezultatov raziskav

75. Namestnik vodje oddelka "K" Centralne uprave za notranje zadeve, podpolkovnik policije1. Člani komisije: čl. detektiv oddelka »K« Centralne uprave za notranje zadeve, kapitan policije, detektiv oddelka »K« Centralne uprave za notranje zadeve, policijski poročnik1. Sokolovski I.V.1. Povalukhin A. A.1. Razdymalin R.S.41. ODOBRIL SEM

76. namestnik Vodja oddelka za notranje zadeve Tambovske regije, podpolkovnik policije1. Člani komisije:1. B.J.I. Vorotnikov

77. Vodja oddelka "K" Oddelka za notranje zadeve USTM regije Tambov, policijski major

78. Višji detektiv oddelka za notranje zadeve USTM oddelka za notranje zadeve Tambovske regije, policijski major1. R.V. Belevitin1. A.V. Bogdanov

Upoštevajte, da so zgoraj predstavljena znanstvena besedila objavljena samo v informativne namene in so bila pridobljena s prepoznavanjem izvirnega besedila disertacije (OCR). Zato lahko vsebujejo napake, povezane z nepopolnimi algoritmi za prepoznavanje. V datotekah PDF disertacij in povzetkov, ki jih dostavljamo, teh napak ni.