Och förebyggande - förhindra infektion (modifiering) av filer eller operativsystemet av skadlig programvara.

Virusskyddsmetoder[ | ]

Tre grupper av metoder används för att skydda mot virus:

1. Metoder baserade på analys av filinnehåll(både datafiler och filer med kommandon). Denna grupp inkluderar sökning efter virussignaturer, samt integritetskontroll och sökning efter misstänkta kommandon.
2. Metoder baserade på spåra programbeteende när de utförs. Dessa metoder består av att logga alla händelser som hotar systemets säkerhet och som inträffar antingen under själva exekveringen av testobjektet eller under dess mjukvaruemulering.
3. Metoder reglering av arbetsrutiner med filer och program. Dessa metoder är administrativa säkerhetsåtgärder.

Signatur scanningsmetod(signaturanalys, signaturmetod) bygger på att söka filer efter en unik sekvens av bytes - signaturer, karakteristiskt för ett visst virus. För varje nyupptäckt virus utför en analys, baserad på vilken dess signatur bestäms. Det resulterande virusfragmentet placeras i en speciell databas med virussignaturer, som antivirusprogrammet arbetar med. Fördelen med denna metod är den relativt låga andelen falska positiva, och den största nackdelen är den grundläggande omöjligheten att upptäcka ett nytt virus i systemet för vilket det inte finns någon signatur i antivirusprogramdatabasen, så snabb uppdatering av signaturdatabasen är nödvändig.

Integritetskontrollmetodär baserad på det faktum att alla oväntade och orsakslösa förändringar i data på disken är en misstänkt händelse som kräver särskild uppmärksamhet av antivirussystemet. Viruset lämnar med nödvändighet bevis på sin närvaro (ändringar i data för befintliga (särskilt system eller körbara) filer, utseendet på nya körbara filer, etc.). Fakta om dataändring - integritetskränkning- fastställs enkelt genom att jämföra kontrollsumman (sammandragen), beräknad i förväg för testobjektets initialtillstånd, och kontrollsumman (sammandragen) för testfallets aktuella tillstånd. Om de inte stämmer överens betyder det att integriteten har kränkts och det finns all anledning att göra ytterligare en kontroll för detta, till exempel genom att skanna virussignaturer. Denna metod fungerar snabbare än signaturskanningsmetoden, eftersom beräkning av kontrollsummor kräver färre beräkningar än operationen av byte-för-byte-jämförelse av virusfragment, dessutom låter den dig upptäcka spår av aktiviteten hos alla, inklusive okända, virus för som det ännu inte finns några signaturer i databasen.

Metod för att skanna misstänkta kommandon(heuristisk skanning, heuristisk metod) bygger på att i den skannade filen identifieras ett visst antal misstänkta kommandon och (eller) tecken på misstänkta sekvenser (till exempel ett kommando för att formatera en hårddisk eller en injektionsfunktion till en pågående eller körbar process ). Efter detta görs ett antagande om filens skadliga natur och ytterligare åtgärder vidtas för att kontrollera den. Denna metod är snabb, men ganska ofta kan den inte upptäcka nya virus.

Metod för att spåra programbeteende skiljer sig fundamentalt från metoderna för genomsökning av filinnehåll som nämnts tidigare. Denna metod är baserad på att analysera beteendet hos program som körs, jämförbart med att fånga en brottsling "i handen" på brottsplatsen. Antivirusverktyg av denna typ kräver ofta ett aktivt deltagande av användaren, som uppmanas att fatta beslut som svar på många systemvarningar, av vilka många senare kan visa sig vara falska larm. Frekvensen av falska positiva (misstänker på ett virus för en ofarlig fil eller saknar en skadlig fil) över ett visst tröskelvärde gör denna metod ineffektiv, och användaren kan sluta svara på varningar eller välja en optimistisk strategi (tillåt alla åtgärder för alla program som körs eller inaktivera denna antivirusfunktion). När du använder antivirussystem som analyserar programs beteende finns det alltid en risk att viruskommandon körs som kan orsaka skada på den skyddade datorn eller nätverket. För att eliminera denna nackdel utvecklades senare en emuleringsmetod (simuleringsmetod), som gör att du kan köra programmet som testas i en artificiellt skapad (virtuell) miljö, som ofta kallas en sandlåda, utan risk att skada informationsmiljön. Användningen av metoder för att analysera programbeteende har visat sin höga effektivitet när det gäller att upptäcka både känd och okänd skadlig programvara.

Falska antivirus [ | ]

2009 började den aktiva spridningen av falska antivirus [ ] - programvara som inte är antivirus (det vill säga inte har verklig funktion för att motverka skadlig programvara), men som utger sig för att vara det. I själva verket kan falska antivirus antingen vara program för att lura användare och tjäna pengar i form av betalningar för att "bota systemet av virus" eller vanlig skadlig programvara.

Speciella antivirus[ | ]

I november 2014 släppte den internationella människorättsorganisationen Amnesty International Detect, ett antivirusprogram utformat för att upptäcka skadlig programvara som distribueras av statliga myndigheter för att spionera på civila aktivister och politiska motståndare. Antiviruset, enligt skaparna, utför en djupare genomsökning av hårddisken än konventionella antivirus.

Antivirus effektivitet[ | ]

Analysföretaget Imperva, som en del av Hacker Intelligence Initiative, publicerade en intressant studie som visar den låga effektiviteten hos de flesta antivirus under verkliga förhållanden.

Enligt resultaten från olika syntetiska tester visar antivirus en genomsnittlig effektivitet på cirka 97 %, men dessa tester utförs på databaser med hundratusentals prover, varav de allra flesta (kanske cirka 97 %) inte längre är vana vid att utföra attacker.

Frågan är hur effektiva antivirus är mot de mest aktuella hoten. För att svara på denna fråga fick Imperva och studenter från Tel Aviv University 82 prover av den senaste skadliga programvaran från ryska underjordiska forum och testade dem mot VirusTotal, det vill säga mot 42 antivirusmotorer. Resultatet var katastrofalt.

1. Effektiviteten av antivirus mot nyligen kompilerad skadlig programvara var mindre än 5 %. Detta är ett helt logiskt resultat, eftersom virusskapare alltid testar dem mot VirusTotal-databasen.
2. Det tar upp till fyra veckor från det att viruset uppträder tills det börjar kännas igen av antivirus. Denna siffra uppnås av "elit" antivirus, medan för andra antivirus kan perioden nå upp till 9-12 månader. Till exempel, i början av studien den 9 februari 2012, testades ett nytt prov av det falska Google Chrome-installationsprogrammet. Efter studiens slut den 17 november 2012 upptäckte endast 23 av 42 antivirus det.
3. Antivirus med den högsta procentandelen upptäckt av skadlig programvara har också en hög andel falska positiva.
4. Även om studien knappast kan kallas objektiv, eftersom urvalet av skadlig programvara var för litet, kan man anta att antivirus är helt olämpliga mot nya cyberhot.

Klassificeringar av antivirusprogram[ | ]

Antivirusprogram är uppdelade efter exekvering (blockerande medel) i:

• programvara;
• mjukvara och hårdvara.

Baserat på placering i RAM, särskiljs följande:

• resident (de börjar sitt arbete när operativsystemet startar, är ständigt i datorns minne och skannar automatiskt filer);
• icke-bosatt (lanseras på användarens begäran eller i enlighet med det schema som anges för dem).

Baserat på typen (metoden) av skydd mot virus finns det:

I enlighet med den tillsynsrättsliga rättsakten från FSTEC i Ryssland "Krav inom området teknisk reglering för produkter som används för att skydda information som utgör en statshemlighet eller klassificeras som annan information med begränsad åtkomst skyddad i enlighet med lagstiftningen i Ryska federationen (krav för antivirusskyddsmedel)” (godkänd . genom order av FSTEC i Ryssland av den 20 mars 2012 nr 28) särskiljs följande typer av antivirusskydd:

• typ "A" - antivirusskyddsverktyg (komponenter av antivirusskyddsverktyg), avsedda för centraliserad administration av antivirusskyddsverktyg installerade på informationssystemkomponenter (servrar, automatiserade arbetsstationer);
• typ "B" - antivirusskyddsverktyg (komponenter av antivirusskyddsverktyg) avsedda att användas på informationssystemservrar;
• typ "B" - antivirusskyddsverktyg (komponenter av antivirusskyddsverktyg) avsedda för användning på automatiserade arbetsstationer i informationssystem;
• typ "G" - antivirusskyddsverktyg (komponenter av antivirusskyddsverktyg) avsedda för användning i autonoma automatiserade arbetsstationer.

Antivirusskyddsverktyg av typ "A" används inte i informationssystem oberoende och är endast avsedda att användas i kombination med antivirusskyddsverktyg av typ "B" och (eller) "C".

Ordet "bot" är en förkortning för ordet "robot". En bot är ett stycke kod som utför viss funktionalitet för sin ägare, som är författaren till denna kod. Bots (bot) är en typ av skadlig programvara som installeras på tusentals datorer. Datorn som boten är installerad på kallas zombie(zombie). Boten tar emot kommandon från sin ägare och tvingar den infekterade datorn att utföra dem. Sådana kommandon kan vara att skicka spam, virus eller att utföra attacker. Angriparen föredrar att utföra sådana åtgärder med hjälp av bots snarare än sin egen dator, eftersom detta tillåter honom att undvika upptäckt och identifiering.

En uppsättning zombiedatorer som äventyrats av en angripare på vilka bots är installerade anropas botnät (botnät). För att skapa ett botnät kompromissar hackare med tusentals system genom att skicka skadlig kod på en mängd olika sätt: som bilagor till e-postmeddelanden, genom komprometterade webbplatser, genom att skicka länkar till skadliga webbplatser som bilagor till e-postmeddelanden, etc. Om den installeras framgångsrikt på användarens dator, skickar den skadliga koden ett meddelande till angriparen att systemet har blivit hackat och nu är tillgängligt för angriparen, som kan använda den efter behag. Han kan till exempel använda det skapade botnätet för att utföra kraftfulla attacker eller hyra ut det till spammare. Dessutom är de flesta datorer som ingår i botnätet hemdatorer för intet ont anande användare.

Ägaren av detta botnät kontrollerar systemen som ingår i det på distans, vanligtvis genom IRC-protokollet (Internet Relay Chat).

De grundläggande stegen för att skapa och använda botnät ges nedan:

1. Hackaren använder olika metoder för att skicka potentiella offer skadlig kod som innehåller botprogramvara.
2. Efter en lyckad installation på offrets system upprättar boten kontakt med botnätets kontrollserver, kommunicerar med den via IRC eller en speciell webbserver, i enlighet med vad som anges i dess kod. Efter detta tar kontrollservern över kontrollen av den nya boten.
3. Spammaren betalar hackaren för att använda systemen i hans botnät, hackaren skickar lämpliga kommandon till kontrollservern och kontrollservern instruerar i sin tur alla infekterade system som ingår i botnätet att skicka skräppost.

Spammare använder den här metoden eftersom den avsevärt ökar sannolikheten för att deras meddelanden når mottagare och kringgår deras installerade skräppostfilter. sådana meddelanden kommer inte att skickas från en adress, som snabbt kommer att blockeras eller läggas till i alla "svarta listor", utan från många riktiga adresser till ägarna av hackade datorer.

För att skapa ett botnät gör dess framtida ägare antingen allt själv eller betalar hackare för att utveckla och distribuera skadlig programvara för att infektera system som kommer att bli en del av hans botnät. Och då kommer ägaren av botnätet att kontaktas och betalas av de som vill berätta om sina nya produkter, samt de som behöver attackera konkurrenter, stjäla personlig data eller användarlösenord och många andra.

Traditionellt antivirusprogram använder signaturer för att upptäcka skadlig kod. Signaturer är fingeravtryck av skadlig kod skapad av antivirusprogramtillverkaren. Signaturen är kodfragment som extraherats från själva viruset. Ett antivirusprogram skannar filer, e-postmeddelanden och annan data som passerar genom vissa system och jämför dem med dess databas med virussignaturer. När en matchning upptäcks utför antivirusprogrammet en förkonfigurerad åtgärd, vilket kan vara att skicka den infekterade filen till karantän, försöka "bota" filen (ta bort viruset), visa ett varningsfönster för användaren och/eller spela in en händelse i .

Signaturbaserad upptäckt av skadlig kod är ett effektivt sätt att upptäcka skadlig programvara, men det finns vissa förseningar när det gäller att svara på nya hot. Efter att ett virus först upptäckts måste antivirustillverkaren studera viruset, utveckla och testa nya signaturer, släppa en uppdatering till signaturdatabasen och alla användare måste ladda ner uppdateringen. Om den skadliga koden helt enkelt skickar dina bilder till alla dina vänner är denna fördröjning inte så kritisk. Men om skadlig programvara liknar Slammer-masken kan skadan från en sådan fördröjning bli katastrofal.

NOTERA. Slammer-masken dök upp 2003. Han utnyttjade en sårbarhet i Microsoft SQL Server 2000 DBMS som gjorde att han kunde orsaka ett överbelastningsskydd. Enligt vissa uppskattningar orsakade Slammer mer än 1 miljard dollar i skada.

Med ny skadlig programvara som skapas dagligen är det svårt för tillverkare av antivirusprogram att hänga med. Virussignaturteknik låter dig upptäcka virus som redan har identifierats och för vilka en signatur har skapats. Men eftersom virusskrivare är så produktiva och många virus kan ändra sin kod är det viktigt att antivirusprogram har andra mekanismer för att upptäcka skadlig kod.

En annan metod som nästan alla antivirusprogram använder är att upptäcka skadlig kod baserat på heuristisk analys (heuristisk detektering). Denna metod analyserar den skadliga kodens övergripande struktur, utvärderar instruktionerna och algoritmerna som exekveras av koden och studerar de typer av data som används av det skadliga programmet. Således samlar den in en stor mängd information om en kodbit och utvärderar sannolikheten för att den är skadlig till sin natur. Den använder en slags "misstänksamhetsräknare", som ökar i takt med att antivirusprogrammet hittar nya potentiellt farliga (misstänkta) egenskaper i den. När en förutbestämd tröskel nås anses koden vara farlig och antivirusprogrammet initierar lämpliga försvarsmekanismer. Detta gör att antivirusprogram kan känna igen okänd skadlig programvara istället för att bara förlita sig på signaturer.

Betrakta följande analogi. Ivan är polis, han jobbar för att fånga skurkarna och låsa in dem. Om Ivan ska använda signaturmetoden jämför han högar med fotografier av varje person han ser på gatan. När han ser en tändsticka fångar han snabbt den onde killen och sätter honom i sin patrullbil. Om han ska använda en heuristisk metod ser han efter misstänkta aktiviteter. Om han till exempel ser en man i skidmask stå framför en bank, bedömer han sannolikheten att han är en rånare och inte bara en kall kille som ber om växling från bankkunder.

NOTERA. Disklösa arbetsstationer är också sårbara för virus, trots bristen på en hårddisk och ett fullfjädrat operativsystem. De kan vara infekterade med virus som laddar ner och lever i minnet. Sådana system kan startas om på distans (remote reboot) för att rensa minnet och återställa det till sitt ursprungliga tillstånd, d.v.s. viruset lever kort i ett sådant system.

Vissa antivirusprodukter skapar en artificiell miljö som kallas en virtuell maskin eller sandlåda och låter en del av den misstänkta koden köras i en skyddad miljö. Detta ger antivirusprogrammet möjlighet att se koden i aktion, vilket ger mycket mer information för att avgöra om den är skadlig eller inte.

NOTERA. En virtuell maskin eller sandlåda kallas ibland emuleringsbuffert(emuleringsbuffert). Detta är samma sak som ett skyddat minnessegment, så även om koden visar sig vara skadlig kommer systemet fortfarande att vara säkert.

Att analysera information om en kodbit kallas statisk analys , om du kör en bit kod på en virtuell maskin kallas detta dynamisk analys . Båda dessa metoder anses vara heuristiska detektionsmetoder.

Vaccination. Ett annat tillvägagångssätt som vissa antivirusprogram har använt kallas vaccination(immunisering). Produkter med den här funktionen gjorde ändringar i filer och diskområden för att få dem att se ut som om de redan var infekterade. I det här fallet kan viruset besluta att filen (disken) redan är infekterad och kommer inte att göra några ytterligare ändringar, och går vidare till nästa fil.

Ett vaccinationsprogram är som regel riktat mot ett specifikt virus, eftersom var och en av dem kontrollerar infektionen på olika sätt och letar efter olika data (signaturer) i filen (på disken). Men antalet virus och annan skadlig programvara växer ständigt, och så även antalet filer som behöver skyddas, så detta tillvägagångssätt är för närvarande inte praktiskt i de flesta fall, och antivirustillverkare använder det inte längre.

För närvarande, även med alla dessa sofistikerade och effektiva tillvägagångssätt, finns det ingen absolut garanti för effektiviteten av antivirusverktyg, eftersom virusskribenter är väldigt listiga. Det är en konstant lek med katt och råtta som pågår varje dag. Antivirusindustrin hittar ett nytt sätt att upptäcka skadlig programvara, och nästa vecka hittar virusskribenter en väg runt denna nya metod. Detta tvingar antivirustillverkare att ständigt öka intelligensen hos sina produkter, och användare måste köpa nya versioner av dem varje år.

Nästa steg i utvecklingen av antivirusprogram kallas beteendeblockerare (beteendeblockerare). Antivirusprogram som utför beteendeblockering tillåter i huvudsak misstänkt kod att köras på ett oskyddat operativsystem och övervakar dess interaktion med operativsystemet, uppmärksamma på misstänkt aktivitet. Specifikt övervakar antivirusprogram för följande typer av aktiviteter:

• Skriver till filer som laddas automatiskt vid systemstart eller till startsektioner i systemregistret
• Öppna, radera eller ändra filer
• Inkluderar skript i e-postmeddelanden för att skicka körbar kod
• Ansluter till nätverksresurser eller delade mappar
• Ändra logiken för körbar kod
• Skapa eller ändra makron och skript
• Formatera hårddisken eller skriva till startsektorn

Om ett antivirusprogram upptäcker några av dessa potentiellt farliga aktiviteter kan det tvinga programmet att avsluta och meddela användaren. Den nya generationen beteendeblockerare analyserar faktiskt sekvensen av sådana åtgärder innan man beslutar att systemet är infekterat (den första generationen beteendeblockerare utlöste helt enkelt individuella åtgärder, vilket ledde till ett stort antal falska positiva). Modern antivirusprogramvara kan avlyssna exekvering av farliga bitar av kod och hindra dem från att interagera med andra pågående processer. De kan också upptäcka. Vissa av dessa antivirusprogram låter dig "rulla tillbaka" systemet till det tillstånd det var i före infektionen, och "radera" alla ändringar som gjorts av den skadliga koden.

Det verkar som att beteendeblockerare helt kan lösa alla problem som är förknippade med skadlig kod, men de har en nackdel, som kräver sådan övervakning av skadlig kod i realtid, annars kan systemet fortfarande vara infekterat. Dessutom kräver konstant övervakning en stor mängd systemresurser...

NOTERA. Heuristisk analys och beteendebaserad blockering anses vara proaktiva tekniker och kan upptäcka ny skadlig programvara, ibland kallad nolldagsattacker. Signaturbaserad upptäckt av skadlig programvara kan inte identifiera ny skadlig programvara.

De flesta antivirusprogram använder en kombination av alla dessa tekniker för att ge bästa möjliga skydd. Valda anti-malware-lösningar visas i figur 9-20.

Bild 9-20. Tillverkare av antivirusprogram använder olika metoder för att upptäcka skadlig kod

Vi är alla väldigt trötta på mejl som ber oss köpa något vi inte behöver. Sådana bokstäver kallas spam (spam) är oönskade e-postmeddelanden. Skräppost distraherar inte bara sina mottagare från deras verksamhet, utan förbrukar betydande nätverksbandbredd och kan också vara en källa till skadlig programvara. Många företag använder skräppostfilter på sina e-postservrar och användare kan konfigurera regler för skräppostfiltrering i sina e-postklienter. Men spammare, såväl som virusskrivare, kommer ständigt på nya och geniala sätt att kringgå spamfilter.

Effektiv skräppostdetektering har blivit en verklig vetenskap. En av metoderna som används kallas Bayesiansk filtrering (Bayesiansk filtrering). För många år sedan utvecklade en gentleman vid namn Thomas Bayes (matematiker) ett effektivt sätt att förutsäga sannolikheten för att händelser skulle inträffa med hjälp av matematik. Bayes teorem låter oss bestämma sannolikheten för att en händelse inträffade i närvaro av endast indirekta bevis (data), som kan vara felaktiga. Konceptuellt är detta inte så svårt att förstå. Om du slår huvudet mot en tegelvägg tre gånger och ramlar varje gång kan du dra slutsatsen att ett nytt försök kommer att ge samma smärtsamma resultat. Det är mer intressant när denna logik tillämpas på åtgärder som innehåller många fler variabler. Till exempel, hur fungerar ett spamfilter som inte tillåter brev från dig med ett erbjudande om att köpa Viagra, men som inte hindrar leverans av post från din vän som är mycket intresserad av detta läkemedel och skriver meddelanden till dig om dess egenskaper och effekter på kroppen? Bayes-filtret tillämpar statistisk modellering på orden som utgör e-postmeddelanden. Matematiska formler utförs på dessa ord för att till fullo förstå deras förhållande till varandra. Bayes-filtret utför frekvensanalys av varje ord och utvärderar sedan meddelandet som helhet för att avgöra om det är skräppost eller inte.

Det här filtret letar inte bara efter orden "Viagra", "sex" etc., det tittar på hur ofta dessa ord används och i vilken ordning för att avgöra om ett meddelande är spam. Tyvärr vet spammare hur dessa filter fungerar och manipulerar ord i ämnesraden och brödtexten i meddelandet för att försöka lura skräppostfiltret. Det är därför du kan få skräppostmeddelanden med felstavningar eller ord som använder symboler istället för bokstäver. Spammare är väldigt intresserade av att du får deras meddelanden eftersom de tjänar mycket pengar på det.

Att skydda företag från en mängd olika skadlig programvara kräver mer än bara antivirusprogram. Precis som med andra komponenter krävs det att vissa ytterligare administrativa, fysiska och tekniska säkerhetsåtgärder implementeras och underhålls.

Företaget måste ha en separat antiviruspolicy, eller så måste antivirusskyddsfrågor beaktas i den allmänna. Måste utvecklas som definierar de typer av antivirus- och antispionprogram som krävs för användning i företaget, såväl som huvudparametrarna för deras konfiguration.

Information om virusattacker, antivirusskyddsverktyg som används, samt beteendet som förväntas av användare bör tillhandahållas i programmet. Varje användare bör veta vad de ska göra och vart de ska gå om ett virus upptäcks på deras dator. Standarden måste ta itu med alla problem relaterade till användaråtgärder associerade med skadlig kod, och måste ange vad användaren måste göra och vad han är förbjuden att göra. I synnerhet bör standarden innehålla följande frågor:

• Antivirusprogram måste installeras på varje arbetsstation, server, kommunikatör och smartphone.
• Var och en av dessa enheter måste ha ett sätt att automatiskt uppdatera antivirussignaturer, som måste aktiveras och konfigureras på varje enhet.
• Användaren ska inte kunna inaktivera antivirusprogram.
• Virusborttagningsprocessen måste utvecklas och planeras i förväg, och en kontaktperson måste identifieras och utses om skadlig kod upptäcks.
• Alla externa enheter (USB-enheter, etc.) ska skannas automatiskt.
• Säkerhetskopierade filer måste skannas.
• Antiviruspolicyer och -procedurer bör ses över årligen.
• Antivirusprogrammet du använder måste ge skydd mot startvirus.
• Antivirusskanning måste utföras oberoende på gatewayen och på varje enskild enhet.
• Antivirusskanning bör köras automatiskt enligt ett schema. Du behöver inte lita på att användarna ska köra skanningar manuellt.
• Kritiska system måste skyddas fysiskt på ett sådant sätt att lokal installation av skadlig programvara på dem är omöjlig.

Eftersom skadlig programvara kan orsaka skada för miljontals dollar (i driftskostnader, förlorad produktivitet) installerar många företag antiviruslösningar vid alla nätverksingångar. En antivirusskanner kan integreras i e-postserverns programvara, eller . Denna antivirusskanner kontrollerar all inkommande trafik för förekomst av skadlig kod för att upptäcka och stoppa den i förväg, även innan den når det interna nätverket. Produkter som implementerar den här funktionen kan skanna trafik från SMTP, HTTP, FTP och möjligen andra protokoll. Men det är viktigt att förstå att en sådan produkt bara övervakar ett eller två protokoll, och inte all inkommande trafik. Detta är en av anledningarna till att varje server och arbetsstation också bör ha antivirusprogram installerat.

I artikel 273 i den ryska federationens strafflag, under skadlig programvara avser datorprogram eller ändringar av befintliga program som "medvetet leder till otillåten förstörelse, blockering, modifiering eller kopiering av information, avbrott i driften av en dator, datorsystem eller deras nätverk."

Microsoft Corporation använder termen skadlig programvara och definierar den på följande sätt: "skadlig programvara är en förkortning för skadlig programvara, vanligtvis används som en vanlig term för att hänvisa till programvara som är speciellt utformad för att orsaka skada på en enskild dator, server eller datornätverk, oavsett oavsett om det är ett virus, spionprogram, etc."

Skadan som orsakas av sådan programvara kan innefatta skador på:

• programvara och hårdvara på datorn (nätverket) som attackerades av inkräktaren;
• datoranvändardata;
• till datoranvändaren själv (indirekt);
• användare av andra datorer (indirekt).

Specifik skada på användare och (eller) ägare av datorsystem och nätverk kan inkludera följande:

• läckage och (eller) förlust av värdefull information (inklusive finansiell information);
• onormalt beteende hos programvara installerad i systemet;
• en kraftig ökning av inkommande och (eller) utgående trafik;
• avmattning eller fullständigt fel i datornätverket;
• förlust av arbetstid för organisationens anställda;
• gärningsmannens tillgång till resurserna i företagets datornätverk;
• risken att bli offer för bedrägeri.

Tecken på skadlig programvara inkluderar följande:

• dölja din närvaro i ett datorsystem;
• implementering av självduplicering, associering av din kod med andra program, överföring av din kod till tidigare obesatta områden i datorns minne;
• förvrängning av koden för andra program i datorns RAM;
• spara data från RAM-minnet för andra processer i andra delar av datorns minne;
• förvrängning, blockering, ersättning av lagrade eller överförda data som erhållits som ett resultat av driften av andra program eller som redan finns i datorns externa minne;
• felaktigt informera användaren om de åtgärder som påstås utföras av programmet.

Ett skadligt program kan bara ha en av egenskaperna som anges ovan eller en kombination av dem. Uppenbarligen är listan ovan inte uttömmande.

Baserat på närvaron av materiella fördelar kan skadlig programvara (programvara) delas in i:

• att inte ge direkt materiell nytta för den person som utvecklade (installerade) det skadliga programmet (utvecklat baserat på huliganism, "skämt", vandalism, inklusive på religiösa, nationalistiska, politiska grunder, självbekräftelse och önskan att bekräfta sina kvalifikationer);
• att tillföra gärningsmannen direkt materiell nytta i form av stöld av konfidentiell information, inklusive att få tillgång till bank-klientsystem, erhålla PIN-koder för kreditkort och andra personliga uppgifter om användaren, samt få kontroll över fjärrdatorsystem för syftet med att distribuera skräppost från många "infekterade" datorer (zombiedatorer).

Baserat på syftet med utvecklingen kan skadlig programvara delas in i:

• Programvara som ursprungligen utvecklades specifikt för att få obehörig åtkomst till information lagrad på en dator i syfte att orsaka skada för ägaren av informationen och (eller) ägaren till datorn (datornätverket);
• Programvara som från början inte utvecklades specifikt för att få obehörig åtkomst till information lagrad på en dator, och som från början inte var avsedd att orsaka skada för ägaren av informationen och (eller) ägaren till datorn (datanätverket).

Nyligen har det skett en kriminalisering av industrin för att skapa skadlig programvara, vilket resulterat i följande:

• stöld av konfidentiell information (företagshemligheter, personuppgifter);
• skapa zombienätverk (”botnät”) utformade för att skicka skräppost, distribuerade överbelastningsattacker (DDoS-attacker) och introducera trojanska proxyservrar;
• kryptering av användarinformation med efterföljande krav på utpressning och lösen;
• attacker på antivirusprodukter;
• så kallad flushing (permanent denial of service - PDoS).

Denial of service-attacker används nu inte så mycket som ett verktyg för att pressa ut pengar från offer, utan som ett medel för politisk och konkurrenskraftig krigföring. Om tidigare DoS-attacker bara var ett verktyg i händerna på utpressningshackers eller huliganer, har de nu blivit samma vara som skräppostutskick eller skräddarsydd skadlig kod. Reklam för DoS-attacktjänster har blivit vanligt, och priserna är redan jämförbara med kostnaden för att organisera skräppostutskick.

Företag som är specialiserade på dator- och nätverkssäkerhet uppmärksammar en ny typ av hot – det så kallade permanenta denial of service (ROoS). Den nya typen av attack fick ett annat namn - flushing. Det är potentiellt kapabelt att orsaka mycket mer skada på systemet än någon annan typ av skadlig nätverksaktivitet, eftersom den syftar till att inaktivera datorutrustning. RooB-attacker är effektivare och billigare än traditionella typer av attacker, där hackaren försöker installera skadlig programvara på offrets system. När den blinkar är målet för attacken program i VUB-flashminnet och enhetsdrivrutiner, som, när de är skadade, stör enhetens funktion och potentiellt kan förstöra dem fysiskt.

En annan typ av attack som syftar till att stjäla konfidentiell information är när angripare introducerar ett skadligt program i ett företags informationssystem som kan blockera driften av systemet. I nästa skede får det attackerade företaget ett brev från kriminella som kräver pengar för ett lösenord som gör att de kan låsa upp företagets datorsystem. Ett annat liknande sätt att tjäna pengar illegalt online är att starta trojanska program i din dator som kan kryptera data. Dekrypteringsnyckeln skickas också av kriminella för en viss monetär belöning.

Personuppgifterna för användaren av den attackerade datorn som är av intresse för angriparen inkluderar:

• dokument och andra användardata lagrade i datorns minne;
• kontonamn och lösenord för åtkomst till olika nätverksresurser (elektroniska pengar och betalningssystem, internetauktioner, internetpersonsökare, e-post, webbplatser och forum, onlinespel);
• e-postadresser till andra användare, 1P-adresser till andra datorer i nätverket.

Tack vare de nya möjligheter som Internet erbjuder och särskilt den utbredda spridningen av sociala nätverk, vänder sig ett ökande antal människor regelbundet till Internetresurser och blir offer för allt mer sofistikerade attacker, vars syfte är att både stjäla konfidentiell användardata och "zombie" ” sina datorer med i syfte att senare använda sina resurser av överträdare.

Den effektiva driften av ett "zombie"-nätverk bestäms av tre komponenter som det konventionellt består av:

• ett loaderprogram vars uppgift är att distribuera sin egen kod och koden för botprogrammet som utför huvudarbetet;
• ett botprogram som samlar in och överför konfidentiell information, skickar skräppost, deltar i en EEoB-attack och andra åtgärder som tilldelats det av överträdaren;
• en kontrollmodul för botnät som samlar in information från botprogram och skickar dem uppdateringar och vid behov nya konfigurationsfiler som "omriktar" botprogrammen.

Exempel på antivirusprogram som installerats på användaren för att motverka skadlig programvara är:

• tvångsstopp av antivirusskannern eller monitorn;
• ändra säkerhetssystemets inställningar för att underlätta implementeringen och driften av det skadliga programmet;
• automatiskt klicka på knappen "Hoppa över" efter att användaren får en varning om upptäckt skadlig programvara;
• dölja din närvaro i systemet (så kallade "rootkits");
• komplicerar antivirusanalys genom ytterligare transformation av skadlig kod (kryptering, fördunkling eller fördunkling, polymorfism, paketering).

Fram till de senaste åren baserades arbetet med antivirusprogram enbart på analys av innehållet i det skannade objektet. Samtidigt använde den tidigare signaturbaserade metoden för att upptäcka virus (den så kallade skanningen) en sökning efter fasta sekvenser av byte, ofta med en viss förskjutning från början av objektet, som fanns i den skadliga binära koden program. Heuristisk analys, som dök upp lite senare, kontrollerade också innehållet i objektet som skannades, men baserades på en friare, probabilistisk sökning efter bytesekvenser som är karakteristiska för ett potentiellt skadligt program. Uppenbarligen kommer ett skadligt program lätt att kringgå sådant skydd om varje kopia av det är en ny uppsättning byte.

Detta är just problemet som polymorfism och metamorfism löser, vars essens är att när man skapar sin nästa kopia, förändras det skadliga programmet helt på nivån för den uppsättning byte som det består av. Dess funktionalitet förblir dock oförändrad.

Kryptering och obfuskering (kodobfuskering) syftar i första hand till att göra det svårt att analysera programkod, men implementerade på ett visst sätt visar de sig vara typer av polymorfism (till exempel kryptering av varje kopia av ett virus med en unik nyckel ). Obfuskeringen i sig komplicerar bara analysen, men när den används på ett nytt sätt i varje kopia av skadlig programvara stör den antivirusskanning.

Polymorfism blev relativt utbredd endast i en tid präglad av virus som infekterar filer. Detta förklaras av det faktum att att skriva polymorf kod är en mycket komplex och resurskrävande uppgift och är motiverad endast i fall där det skadliga programmet reproducerar sig självständigt: varje ny kopia av det är en mer eller mindre unik uppsättning byte. För de flesta moderna skadliga program som inte har en självreplikeringsfunktion är detta inte relevant. Därför är polymorfism inte särskilt vanligt i skadlig programvara för närvarande.

Tvärtom, fördunkling, liksom andra metoder för att modifiera kod, som till stor del löser problemet med att komplicera dess heuristiska analys, och inte uppgiften att komplicera skanning, på grund av denna omständighet förlorar inte sin relevans.

För att minska storleken på en fil med ett skadligt program används så kallade packers – speciella program som bearbetar filen enligt principen om en arkiverare. En sido och fördelaktig (ur synvinkel att motverka antivirusprogram) effekt av att använda packare är att antivirusskanning är något svårt.

Detta förklaras av det faktum att när man utvecklar en ny modifiering av ett skadligt program, ändrar dess författare vanligtvis flera rader kod och lämnar dess kärna intakt. I den körbara koden ändras byten i en viss sektion av filen, och om signaturen som användes av antivirusprogrammet inte bestod av just denna sektion, kommer det skadliga programmet fortfarande att upptäckas. Att bearbeta programmet med en packare löser detta problem, eftersom att ändra ens en byte i den körbara källkoden resulterar i en helt ny uppsättning byte i den packade filen.

Många moderna packare, förutom att komprimera källfilen, förser den med ytterligare självförsvarsfunktioner som syftar till att göra det svårt att packa upp filen och analysera den med en debugger.

Skadlig programvara (kallas ibland också destruktiva mjukvaruinfluenser) Det är vanligt att inkludera datavirus och programvarubokmärken. Första terminen datorvirus introducerades av USA-specialisten F. Cohen 1984. Ett "klassiskt" datavirus är ett självständigt fungerande program som samtidigt har tre egenskaper:

• förmågan att inkludera din kod i andra objekts kroppar (filer och systemområden i datorns minne);
• efterföljande oberoende implementering;
• oberoende distribution i datasystem.

Datavirus använder inte nätverkstjänster för att penetrera andra datorer i nätverket. En kopia av viruset når fjärrdatorer endast om det infekterade objektet, av någon anledning utanför virusets kontroll, aktiveras på en annan dator, till exempel:

• vid infektering av användartillgängliga nätverksenheter, trängde viruset in i filer som finns på dessa nätverksresurser;
• viruset har kopierat sig själv till flyttbara media eller infekterade filer på det;
• Användaren skickade ett e-postmeddelande med en virusinfekterad bilaga.

Ett viktigt faktum är att virus inte har möjlighet att sprida sig utanför en dators gränser. Detta kan bara hända när ett flyttbart lagringsmedium (diskett, flashenhet) är infekterat eller när användaren själv överför en virusinfekterad fil till en annan dator över nätverket.

Starta virus infektera huvudstartsektorn på en hårddisk (Master Boot Record - MBR) eller startsektorn för en hårddiskpartition, systemdiskett eller start-CD (Boot Record - BR), och ersätter boot- och operativsystemstartprogrammen som finns i dem med sin kod. Det ursprungliga innehållet i dessa sektorer lagras i en av de fria sektorerna på disken eller direkt i viruskroppen.

Efter att ha infekterat MBR, som är den första sektorn i nollhuvudet på nollcylindern på hårddisken, får viruset kontroll omedelbart efter slutförandet av hårdvarutestproceduren (POST), BIOS Setup-programmet (om det anropades av användaren), BIOS-procedurer och dess tillägg. Efter att ha fått kontroll utför bootviruset följande åtgärder:

• 1) kopiera din kod till slutet av datorns RAM, och därigenom minska storleken på dess lediga del;
• 2) åsidosätta flera BIOS-avbrott, huvudsakligen relaterade till åtkomst till diskar;
• 3) ladda ett riktigt startprogram i datorns RAM-minne, vars funktioner inkluderar visning av hårddiskens partitionstabell, bestämning av den aktiva partitionen, laddning och överföring av kontroll till operativsystemets startprogram för den aktiva partitionen;
• 4) överföring av kontroll till det sanna bootstrap-programmet.

Ett startvirus i VY fungerar på liknande sätt och ersätter operativsystemets startprogram. En vanlig form av infektion av en dator med ett startvirus är ett oavsiktligt försök att starta från en icke-systemdiskett (eller CO-disk), vars startsektor är infekterad med ett virus. Denna situation uppstår när en infekterad diskett finns kvar i enheten när operativsystemet startas om. När huvudstartsektorn på en hårddisk är infekterad sprids viruset första gången någon oinfekterad diskett används.

Bootvirus hör vanligtvis till gruppen inhemska virus. Bootvirus var ganska vanliga på 90-talet av förra seklet, men försvann praktiskt taget med övergången till 32-bitars operativsystem och övergivandet av användningen av disketter som den huvudsakliga metoden för att utbyta information. Teoretiskt sett är det möjligt att startvirus kan dyka upp som infekterar SP-diskar och flash-diskar, men hittills har inga sådana virus upptäckts.

Fila virus infektera filer av olika typer:

• programfiler, drivrutinsfiler och andra operativsystemmoduler;
• dokumentfiler som kan innehålla makron;
• dokumentfiler som kan innehålla skript (skript) eller separata skriptfiler etc.

När en fil är infekterad skriver viruset sin kod till början, mitten eller slutet av filen, eller till flera ställen samtidigt. Källfilen modifieras så att när filen väl har öppnats överförs kontrollen omedelbart till viruskoden. Efter att ha tagit emot kontroll utför viruskoden följande sekvens av åtgärder:

• 1) infektion av andra filer (kombinerade virus) och systemområden i diskminnet;
• 2) installation av egna residenta moduler (resident virus) i RAM;
• 3) utföra andra åtgärder beroende på algoritmen som implementeras av viruset;
• 4) fortsättning på det vanliga förfarandet för att öppna en fil (till exempel överföra kontrollen till källkoden för det infekterade programmet).

Virus i programfiler, när de är infekterade, ändrar sin rubrik på ett sådant sätt att efter att programmet har laddats in i RAM-minnet överförs kontrollen till viruskoden. Till exempel har det bärbara körbara filformatet för operativsystemen Windows och OS/2 (Portable Executable - PE) följande struktur:

• 1) rubrik i MS-DOS-operativsystemformat;
• 2) koden för det verkliga processorlägesprogrammet, som tar kontroll när man försöker starta en Windows-applikation i MS-DOS-operativsystemmiljön;
• 3) PE-filhuvud;
• 4) ytterligare (valfritt) PE-filhuvud;
• 5) rubriker och kroppar för alla applikationssegment (programkod, dess statiska data, data som exporteras av programmet, data som importeras av programmet, felsökningsinformation, etc.).

Avsnittet som innehåller den valfria PE-filhuvudet innehåller ett fält som innehåller adressen till programmets ingångspunkt. Omedelbart före ingångspunkten i applikationskodsegmentet finns en Import Address Table (IAT), som fylls med giltiga adresser när den körbara koden laddas in i processens adressutrymme.

När ett virus infekterar en programfil ändras programmets ingångsadress till att peka på början av viruskoden och säkerställa att den automatiskt tar kontroll när programfilen laddas. Det är också möjligt att modifiera operativsystemets kärnmoduler (till exempel kernel32.dll) för att fånga upp anrop till vissa systemfunktioner (till exempel CreateProcess, CreateFile, ReadFile, WriteFile, CloseHandle) för att infektera andra filer.

En typ av filvirus är virus i kluster av en infekterad logisk disk eller diskett. Vid infektering kopieras viruskoden till ett av de lediga diskklustren, som är markerat i File Allocation Table (FAT) som det sista filklustret. Sedan ändras beskrivningarna av programfilerna i katalogen - istället för numret på det första klustret som tilldelats filen, placeras numret på klustret som innehåller viruskoden. I detta fall krypteras det verkliga numret för det första klustret i den infekterade filen och lagras till exempel i en oanvänd del av filbeskrivningen i katalogen.

När en infekterad fil startas erhålls kontroll av viruskoden, som:

• 1) installerar sin inbyggda modul i RAM, som sedan kommer att fånga upp all åtkomst till den infekterade disken;
• 2) laddar källprogramfilen och överför kontrollen till den.

När du sedan kommer åt katalogen med infekterade filer, överför den inhemska delen av viruset till operativsystemet de sanna värdena för numren på de första klustren som tilldelats de infekterade filerna.

Virus i dokumentfiler skapade av till exempel Microsoft Office-program distribueras med hjälp av makron som ingår i dem (procedurer i Visual Basic for Applications - VBA-programmeringsspråk). Därför kallas sådana virus ibland makrovirus eller helt enkelt makrovirus.

Makroprogrammeringsspråk, särskilt VBA, är universella språk som stöder objektorienterad programmeringsteknik, har ett stort bibliotek med vanliga makrokommandon och låter dig skapa ganska komplexa procedurer. Dessutom stöder den automatiskt körning av makron associerade med vissa händelser (till exempel öppnande av ett dokument) eller vissa användaråtgärder (till exempel när du anropar ett kommando för att spara ett dokument till en fil).

Exempel på automatiskt körande makron associerade med specifika Microsoft Word-dokumentbearbetningshändelser inkluderar:

• AutoExec (körs automatiskt när Microsoft Word-ordbehandlaren startar, om den finns i mallfilen normal.dot eller i en fil i undermappen Startup i Microsoft Office-mappen);
• AutoNew (tar automatiskt kontroll när ett nytt dokument skapas);
• AutoOpen (körs automatiskt när ett dokument öppnas);
• AutoStäng (körs automatiskt när ett dokument stängs);
• Auto Exit (tar automatiskt kontroll när ordbehandlaren i Microsoft Word avslutas).

Microsoft Excel-kalkylbladsprocessorn stöder endast några av de automatiskt körda makron, och namnen på dessa makron har ändrats något - Auto_open och Auto_close.

Ordbehandlaren i Microsoft Word definierar också makron som automatiskt får kontroll när användaren anropar ett av standardkommandona - Arkiv Spara (Arkiv | Spara), ArkivSpara Som (Arkiv | Spara som), Verktyg-Makro (Verktyg | Makro | Makron), Verktyg Anpassa ( Tjänst | Inställningar) etc.

Ett Microsoft Office-dokument kan också innehålla makron som automatiskt får kontroll när användaren trycker på en viss kombination av tangenter på tangentbordet eller når en viss tidpunkt (datum, tid på dagen).

Alla makron (inklusive automatiskt körda) från ett separat dokument kan skrivas till normal.dot-mallfilen (och vice versa) och därigenom bli tillgängliga när du redigerar ett Microsoft Word-dokument. Att skriva ett makro till normal.dot-filen kan göras med standardkommandot MacroCopy (WordBasic), OrganizerCopy-metoden för Application-objektet eller Copy-metoderna för standardobjekten Organizer (Microsoft Word) och Sheets (Microsoft Excel).

För att manipulera filer som finns i datorns externa minne kan makron använda vanliga makrokommandon Öppna (öppna en befintlig eller skapa en ny fil), SetAttr (ändra filattribut), Namn (döpa om en fil eller mapp), Get (läsa data) från en öppen fil), Lägg (skriv data till en öppen fil), Sök (ändra den aktuella positionen för att skriva eller läsa från en fil), Stäng (stäng en fil), Döda (ta bort en fil), RmDir (ta bort en mapp ), MkDir (skapa en ny mapp), ChDir (ändra nuvarande mappar) etc.

Ett standardskalmakrokommando låter dig köra vilket program eller systemkommando som helst som är installerat på din dator.

Således kan VBA-programmeringsspråket mycket väl användas av författare till makrovirus för att skapa mycket farlig kod. Det enklaste makroviruset i ett Microsoft Word-dokument infekterar andra dokumentfiler enligt följande:

• 1) när ett infekterat dokument öppnas ges kontroll till makrot som innehåller viruskoden;
• 2) viruset placerar andra makron med sin egen kod i mallfilen normal.dot (till exempel FileOpen, FileSaveAs och FileSave);
• 3) viruset ställer in motsvarande flagga i Windows-registret och (eller) i Microsoft Word-initieringsfilen som indikerar att infektionen har inträffat;
• 4) när Microsoft Word sedan lanseras är den första filen som öppnas faktiskt den redan infekterade mallfilen normal.dot, som gör att viruskoden automatiskt tar kontroll, och infektion av andra dokumentfiler kan inträffa när de sparas med standard Microsoft Word kommandon.

Vi kan säga att de flesta makrovirus tillhör gruppen inhemska virus, eftersom en del av deras kod ständigt finns i datorns RAM medan programmet från Microsoft Office-paketet körs.

Placeringen av makroviruskoden i ett Microsoft Office-dokument kan indikeras ganska schematiskt, eftersom dokumentfilformatet är mycket komplext och innehåller en sekvens av datablock av olika format, kombinerade med varandra med en stor mängd tjänstdata. En speciell egenskap hos makrovirus är att de kan infektera dokumentfiler på datorer på olika plattformar, inte bara IBM PC. Infektion kommer att vara möjlig om kontorsprogram som är fullt kompatibla med program från Microsoft Office-paketet installeras på datorn.

När du sparar dokumentfiler innehåller de även slumpmässiga data som inte är relaterade till innehållet i dokumentet, utan som finns i RAM-block som allokeras men inte är helt ifyllda när dokumentet redigeras. Därför, när du lägger till ny data i ett dokument, kan dess storlek ändras på ett oförutsägbart sätt, inklusive minskande. Detta tillåter oss inte att bedöma om en dokumentfil är infekterad med makrovirus, eftersom dess storlek efter infektion också kommer att förändras oförutsägbart. Vi noterar också att information som av misstag sparas tillsammans med en offentlig dokumentfil kan innehålla konfidentiell information.

De flesta kända makrovirus placerar sin kod endast i makron. Det finns dock även typer av virus i dokumentfilsmakron där viruskoden inte bara lagras i makron. Dessa virus inkluderar en liten makroladdare av huvudviruskoden, som anropar makroredigeraren som är inbyggd i Microsoft Office, skapar ett nytt makro med viruskoden, kör det och tar sedan bort det skapade makrot för att dölja spår av dess närvaro. I det här fallet finns huvudviruskoden som en rad strängar, antingen i kroppen av lastarmakrot eller i det variabla området av det infekterade dokumentet.

Att infektera mallfilen normal.dot är inte det enda sättet som makrovirus kan spridas på en användares dator. Det är också möjligt att ytterligare mallfiler som finns i startmappen i Microsoft Office-mappen kan infekteras. Ett annat sätt att infektera användardokumentfiler med makrovirus är att injicera dem i Microsoft Word-tilläggsfiler som finns i mappen Addins i Microsoft Office-mappen. Makrovirus som inte placerar sin kod i den vanliga normal.dot-mallen kan klassificeras som icke-residenta virus. För att infektera andra filer använder dessa makrovirus antingen vanliga makrokommandon för att arbeta med VBA-språkfiler och mappar, eller använder listan över nyligen redigerade filer av användaren, som finns i undermenyn "Arkiv" i Microsoft Word och andra Microsoft Office program.

Microsoft Excel-kalkylarket använder inte mallfilen normal.dot, så filer från Startup-mappen används för att infektera andra användardokumentfiler. En speciell egenskap hos makrovirus som infekterar Excel-kalkylbladsfiler är att de kan skrivas med inte bara programmeringsspråket VBA, utan även makrospråket i "gamla" versioner av Microsoft Excel, som också stöds i senare versioner av denna kalkylarksprocessor. .

I Microsoft Access-databashanteringssystemet används makron skrivna i ett speciellt skriptspråk som har mycket begränsade möjligheter för att automatiskt få kontroll när någon händelse inträffar (till exempel öppnande av en databas). Men dessa automatiskt körda skriptmakron (till exempel AutoExec-makrot som automatiskt tar kontroll när du startar Microsoft Access) kan anropa fullständiga makron skrivna i VBA. Därför, för att infektera en Microsoft Access-databas, måste ett virus skapa eller ersätta ett automatiskt kört makroskript och kopiera en modul med makron som innehåller huvuddelen av viruskoden till den infekterade databasen.

Kombinerade virus är kända som kan infektera både Microsoft Access-databaser och Microsoft Word-dokument. Ett sådant virus består av två huvuddelar, som var och en infekterar dokumentfiler av sin egen typ (.doc eller .mdb). Men båda delarna av ett sådant virus kan överföra sin kod från ett Microsoft Office-program till ett annat. Vid överföring av viruskod från Microsoft Access skapas en infekterad ytterligare mallfil (.dot-fil) i Startup-mappen, och vid överföring av viruskod från Microsoft Word skapas en infekterad Access-databasfil, som skickas som en parameter till Microsoft Access-applikationen startas av viruskoden (msaccess .exe).

Antivirusföretag rapporterar om en ny trend i spridningen av virus. Efter en våg av e-post- och skriptvirus är flash-enheter anslutna till en dator med USB nu ett av de mest populära sätten att sprida skadlig programvara. Detta blev möjligt på grund av svagheten i Windows-operativsystemet, som som standard automatiskt startar filen autorun.inf från en flyttbar enhet.

Enligt vissa experter kan INF/Autorun-tjänsten i Windows OS anses vara det största säkerhetshålet i datorsystem. Till skillnad från att skicka infekterade program via e-post, i det här fallet kan till och med en kompetent användare praktiskt taget inte förhindra infektion, eftersom man helt enkelt sätter in en infekterad enhet i en USB-kontakt och processen blir oåterkallelig. Det enda förhindrandet kan vara att inaktivera autorun, vilket rekommenderas även av säkerhetsexperter från Microsoft själv.

Man kan säga att spridningen av virus på USB-enheter på vissa sätt är en återgång till ursprunget för att skapa virus, när Internet ännu inte fanns. På den tiden spreds virus från dator till dator med hjälp av disketter.

Programvarubokmärkeär ett program externt eller internt i datorsystemet som attackeras som har vissa destruktiva funktioner i förhållande till detta system:

• distribution i distribuerade datorsystem för att implementera ett eller annat hot mot informationssäkerheten (dator- eller nätverksmaskar, som, till skillnad från datavirus, inte bör ha egenskapen att inkludera sin kod i andra filers kroppar);
• utföra olika handlingar som inte är auktoriserade av användaren (insamling av konfidentiell information och dess överföring till överträdaren, förstörelse eller avsiktlig ändring av användarinformation, avbrott i datorn, användning av datorresurser för olämpliga syften (”trojanska” program eller helt enkelt ”trojaner” );
• förstörelse eller modifiering av CS-mjukvarans funktion, förstörelse eller ändring av data som behandlas i den efter uppfyllelse av något villkor eller mottagande av något meddelande utanför CS ("logiska bomber");
• ersättning av individuella funktioner i CS-säkerhetsundersystemet eller skapande av "fällor" i det för att implementera hot mot informationssäkerheten i CS (till exempel ersättning av krypteringsmedel genom att emulera driften av ett hårdvarukrypteringskort installerat i CS) ;
• fånga upp CS-användarlösenord genom att simulera en inbjudan att ange den eller fånga upp all användarinmatning från tangentbordet;
• avlyssning av flödet av information som överförs mellan objekt i en distribuerad CS (monitorer);
• Opportunistiska program som är utvecklade av legitima tillverkare men som innehåller potentiellt farliga funktioner som kan användas av en angripare.

Som regel, för att en nätverksmask ska börja sitt arbete, måste du starta en fil som tagits emot via e-post (eller följ länken direkt i e-postmeddelandet). Men det finns också maskar vars aktivering inte kräver mänsklig inblandning:

• masken finns i själva brevets text och startas när användaren helt enkelt öppnar meddelandet (eller den öppnas i förhandsgranskningsfönstret i e-postklientfönstret) (bokstaven i det här fallet är text på ett språk som innehåller ett skript med maskkoden);
• Masken utnyttjar "hål" (luckor, sårbarheter) i säkerhetssystemen för operativsystem och andra program (till exempel e-post).

För att få en användare att köra en fil som tagits emot via e-post använder kriminella mycket sofistikerade tekniker som kallas social ingenjörskonst. Till exempel ett erbjudande om att fylla i formuläret som bifogas brevet för att få ett stort kontantpris som användaren påstås ha vunnit. Eller förklädd som ett officiellt utskick från ett välkänt mjukvaruföretag (du bör veta att dessa företag aldrig skickar ut några filer utan användarens begäran), etc.

När den väl har lanserats kan masken skicka sin kod via e-post med hjälp av e-postprogrammets "adressbok". Efter detta infekteras också datorerna till vänner till användaren av den infekterade datorn.

Den största skillnaden mellan nätverksmaskar och klassiska virus är just förmågan att självföröka sig över nätverket, såväl som frånvaron av behovet av att infektera andra lokala objekt på den infekterade datorn.

För att sprida sig använder nätverksmaskar en mängd olika dator- och mobilnätverk: e-post, snabbmeddelandesystem, fildelning (P2P) och IRC-nätverk, lokala nätverk (LAN), datautbytesnätverk mellan mobila enheter (telefoner, handdatorer), etc. .d.

De flesta kända maskar distribueras i form av filer: en bilaga till ett e-postmeddelande, en länk till en infekterad fil på något webb- eller FTP-meddelande i ICQ- och IRC-meddelanden, en fil i en P2P-utbyteskatalog, etc. Vissa maskar ( t.ex. kallas "fillösa" eller "paket"-maskar) sprids i form av nätverkspaket, tränger direkt in i datorns minne och aktiverar deras kod.

Vissa maskar har också egenskaper hos andra typer av skadlig programvara. Till exempel innehåller vissa maskar funktioner för att samla in och överföra konfidentiell information om användaren av den infekterade datorn till inkräktaren eller kan infektera körbara filer på den lokala disken på den infekterade datorn, dvs. de har egenskaperna hos ett trojanskt program och (eller) ett datavirus.

I fig. Tabell 4.1 visar data som visar distributionen av datavirus (virus) och olika kategorier av nätverksmaskar (mask) under 2008 (enligt Kaspersky Lab).

Ris. 4.1.

Vissa kategorier av trojanska program orsakar skador på fjärrdatorer och nätverk utan att skada den infekterade datorn (t.ex. trojanska program utformade för massiva DDoS-attacker på fjärrnätverksresurser).

Till skillnad från maskar och virus skadar inte trojaner andra filer och har inte sina egna sätt att sprida sig. Dessa är helt enkelt program som utför åtgärder som är skadliga för användaren av en infekterad dator, till exempel att fånga upp ett lösenord för att komma åt Internet.

För närvarande, inom klassen av trojanska program, identifierar Kaspersky Labs experter tre huvudgrupper av beteenden:

• Backdoor (som ger en angripare möjlighet att fjärradministrera en infekterad dator), Trojan-Downloader (leverans av andra skadliga program till användarens dator), Trojan-PSW (lösenordsavlyssning), Trojan (andra trojansprogram), den vanligaste trojanen program;
• Trojan-Spy (spionprogram), Trojan-Dropper (installationsprogram för andra skadliga program);
• Trojan-Proxy ("Trojan" proxyservrar), Trojan-Clicker (Internetklickare), Rootkit (döljer sin närvaro i ett datorsystem), Trojan-DDoS (program för att delta i distribuerade överbelastningsattacker), Trojan-SMS (" mobila trojaner” är det mest akuta hotet mot mobila enheter).

Vissa program har en uppsättning funktioner som endast kan skada användaren om ett antal villkor är uppfyllda. Dessutom kan sådana program lagligen säljas och användas i det dagliga arbetet, till exempel av systemadministratörer. Men i händerna på en inkräktare kan sådana program förvandlas till ett verktyg som kan användas för att skada användaren. Kaspersky Labs specialister klassificerar sådana program i en separat grupp av villkorligt farliga program (de kan inte entydigt klassificeras som varken farliga eller säkra).

Denna typ av program upptäcks valfritt av antivirusprogram om användaren medvetet väljer en utökad uppsättning antivirusdatabaser. Om programmen som upptäckts vid användning av utökade databaser är bekanta för användaren och han är 100% säker på att de inte kommer att skada hans data (till exempel användaren själv köpte detta program, är bekant med dess funktioner och använder dem för juridiska ändamål ), då kan användaren antingen vägra ytterligare användning av utökade antivirusdatabaser eller lägga till sådana program till listan över "undantag" (program för vilka ytterligare upptäckt kommer att inaktiveras).

Potentiellt farliga program inkluderar program av klasserna RiskWare (lagligt distribuerade potentiellt farliga program), Porn Ware (program för att visa pornografisk information) och AdWare (reklamprogramvara).

RiskWare-klassen av program inkluderar lagliga program (en del av dem säljs fritt och används i stor utsträckning för lagliga ändamål), som ändå, i händerna på en inkräktare, kan skada användaren och hans data. I sådana program kan du hitta lagliga verktyg för fjärradministration, IRC-klientprogram, program för automatisk uppringning (uppringare), nedladdningsprogram (nedladdare), övervakare av alla aktiviteter (monitor), verktyg för att arbeta med lösenord, såväl som ett flertal Internetservrar för FTP-, webb-, proxy- och telnettjänster.

Alla dessa program är inte skadliga i sig, men de har möjligheter som angripare kan dra nytta av för att skada användarna. Till exempel låter ett fjärradministrationsprogram dig komma åt gränssnittet på en fjärrdator och användas för att hantera och övervaka fjärrmaskinen. Ett sådant program kan vara helt lagligt, fritt distribuerat och nödvändigt i arbetet hos systemadministratörer eller andra tekniska specialister. Men i händerna på överträdare kan ett sådant program skada användaren och hans data genom att få full fjärråtkomst till någon annans dator.

Som ett annat exempel, betrakta ett verktyg som är en klient till ett IRC-nätverk: den avancerade funktionaliteten hos ett sådant verktyg kan utnyttjas av överträdare och de trojanska program som de distribuerar (särskilt Backdoor), som använder funktionerna i en sådan klient i sitt arbete. Således kan ett trojanskt program lägga till sina egna skript till IRC-klientens konfigurationsfil utan användarens vetskap och framgångsrikt utföra sina destruktiva funktioner på den infekterade maskinen. I det här fallet kommer användaren inte ens att misstänka att ett skadligt trojanskt program fungerar på hans dator.

Ofta installerar skadliga program självständigt en IRC-klient på användarens dator för efterföljande användning för sina egna syften. I det här fallet är platsen vanligtvis Windows-mappen och dess undermappar. Att hitta en IRC-klient i dessa mappar indikerar nästan säkert att datorn har infekterats med någon form av skadlig programvara.

Reklamprogram (Adware, Advware, Spyware, Browser Hijackers) är utformad för att visa reklammeddelanden (oftast i form av grafiska banners) och omdirigera sökfrågor till reklamwebbsidor. Med undantag för att visa annonser visar sådana program som regel inte sin närvaro i systemet på något sätt. Adware-program har vanligtvis ingen avinstallationsprocedur.

• genom att bädda in reklamkomponenter i gratis och shareware-programvara (freeware, shareware);
• genom otillåten installation av reklamkomponenter när användaren besöker "infekterade" webbsidor.

De flesta program i kategorierna freeware och shareware slutar visa annonser efter att de har köpts och/eller registrerats. Sådana program använder ofta inbyggda adware-verktyg från tredjepartstillverkare. I vissa fall förblir dessa adware-verktyg installerade på användarens dator även efter registrering av programmen med vilka de ursprungligen kom in i användarens system. Samtidigt kan det leda till funktionsfel i detta program om du tar bort Adware-komponenten som fortfarande används av något program för att visa reklam.

Det grundläggande syftet med denna typ av adware är en implicit form av betalning för mjukvara, utförd genom att visa reklaminformation för användaren (annonsörer betalar reklambyrån för att visa sin reklam och reklambyrån betalar adware-utvecklaren). Adware hjälper till att minska kostnaderna både för mjukvaruutvecklare (intäkter från Adware uppmuntrar dem att skriva nya och förbättra befintliga program) och för användarna själva.

När det gäller installation av reklamkomponenter när en användare besöker "infekterade" webbsidor, används i de flesta fall hackerteknik (penetration in i datorn genom en lucka i webbläsarens säkerhetssystem, såväl som användningen av "Trojan" ”-program utformade för att i hemlighet installera programvara). Annonsprogram som agerar på detta sätt kallas ofta "webbläsarkapare".

Förutom att leverera annonser samlar många reklamprogram också in konfidentiell information om datorn och användaren (IP-adress, OS och webbläsarversion, lista över de mest använda internetresurserna, sökfrågor och annan information som kan användas i reklamsyfte ).

Av denna anledning kallas Adware-program ofta även Spyware (reklamprogram i kategorin Spyware ska inte förväxlas med Trojan-Spy spionprogram). Program i kategorin Adware orsakar skada inte bara förknippad med förlust av tid och distraktion för användaren från arbetet, utan också med det mycket verkliga hotet att läcka konfidentiell data.

Fördelningen av program i klasserna RiskWare och PornWare efter beteende kan presenteras i form av ett cirkeldiagram (Fig. 4.2, enligt Kaspersky Lab).

AdTool är olika reklammoduler som inte kan klassificeras som AdWare, eftersom de har de nödvändiga juridiska egenskaperna: de är utrustade med ett licensavtal, visar sin närvaro på datorn och informerar användaren om sina handlingar.

Ris. 4.2.

Porruppringare gör oberoende (utan att meddela användaren) telefonanslutningar till premiumnummer, vilket ofta leder till tvister mellan abonnenter och deras telefonbolag.

Program i kategorin Monitor inkluderar lagliga "keyloggers" (program för att spåra tangenttryckningar), som officiellt produceras och säljs, men om de har funktionen att dölja sin närvaro i systemet kan sådana program användas som fullfjädrade spionprogramtrojaner .

Program i kategorin PSW-Tool är utformade för att återställa glömda lösenord, men kan enkelt användas av brottslingar för att extrahera dessa lösenord från datorns minne hos ett intet ont anande offer. Program i kategorin Downloader kan användas av brottslingar för att ladda ner skadligt innehåll till en offerdator.

Andra skadliga program inkluderar en mängd olika program som inte direkt utgör ett hot mot den dator som de körs på, utan är designade för att skapa andra skadliga program, organisera DDoS-attacker på fjärrservrar, hacka andra datorer, etc.

Sådana program inkluderar virusbluffare (Hoax) och falska antivirusprogram (FraudTool), "hacker"-program för att "hacka" fjärrdatorer (Exploit, HackTool), konstruktörer och paketerare av skadliga program (Constructor, VirTool, Packed), program för skicka spam och "täppa" attacker (SpamTool, IM-Flooder, Flooder), program för att vilseleda användaren (BadJoke).

Huvudtypen av FraudTool är det så kallade rogue-antivirus - program som utger sig för att vara fullfjädrade antivirusverktyg. Efter att ha installerat det på en dator "hittar" de alltid någon form av virus, även på ett absolut "rent" datorsystem, och erbjuder sig att köpa sin betalversion för "behandling". Förutom att direkt lura användare innehåller dessa program även AdWare-funktionen. Faktum är att detta är en riktig bluff baserat på användarnas rädsla för skadlig programvara.

Hackerverktyg i kategorierna Exploit och HackTool är utformade för att penetrera fjärrdatorer i syfte att ytterligare kontrollera dem (med hjälp av trojanska bakdörrsprogram) eller för att introducera andra skadliga program i det hackade systemet. Hackerverktyg som "utnyttja" exploateringssårbarheter i operativsystem eller applikationer installerade på den attackerade datorn.

Virus- och trojanska programkonstruktörer är verktyg utformade för att skapa nya datavirus och trojanska hästar. Virusdesigners för DOS, Windows och makrovirus är kända. De låter dig generera viruskälltexter, objektmoduler och (eller) direkt infekterade filer.

Vissa konstruktörer är utrustade med ett standardgrafiskt gränssnitt, där du med hjälp av ett menysystem kan välja vilken typ av virus, objekt som ska påverkas, närvaro eller frånvaro av kryptering, motstånd mot felsökaren, interna textsträngar samt effekter åtföljer driften av viruset etc. Andra konstruktörer har inget gränssnitt och läser information om vilken typ av virus som skapas från deras konfigurationsfil.

Verktyg i kategorin Nuker skickar specialdesignade förfrågningar till attackerade datorer i nätverket, vilket gör att det attackerade systemet slutar fungera. Dessa program utnyttjar sårbarheter i programvaran för nätverkstjänster och operativsystem, som ett resultat av vilket en speciell typ av nätverksbegäran orsakar ett kritiskt fel i den attackerade applikationen.

Program i kategorierna Bad-Joke och Hoax inkluderar program som inte orsakar någon direkt skada på datorn, men som visar meddelanden som indikerar att sådan skada redan har orsakats, eller kommer att orsakas under alla omständigheter, eller varnar användaren om en obefintlig fara. "Onda skämt" inkluderar till exempel program som visar meddelanden till användaren om formatering av hårddisken (även om ingen formatering faktiskt förekommer), upptäcker virus i oinfekterade filer, visar konstiga virusliknande meddelanden osv.

Polymorfa generatorer är inte virus i ordets bokstavliga bemärkelse, eftersom deras algoritm inte inkluderar reproduktionsfunktioner. Huvudfunktionen för denna typ av program är att kryptera virusets kropp och generera en motsvarande dekryptering.

Vanligtvis distribueras polymorfa generatorer av sina författare utan begränsningar i form av en arkivfil. Huvudfilen i arkivet för en generator är objektmodulen som innehåller denna generator.

Utvecklingen av hur skadlig programvara fungerar från enstaka moduler till komplexa och interagerande projekt började i början av detta århundrade. Den nya modellen för skadlig programvara bör inte bara bli standarden för en mängd nya skadliga projekt, utan också utvecklas vidare.

Huvuddragen i denna modell är följande:

• avsaknad av ett enda kontrollcenter för ett nätverk av infekterade datorer;
• aktiv motverkan mot försök från tredje parts forskning och avlyssning av kontroll;
• Samtidig massdistribution och kortsiktig distribution av skadlig kod;
• kompetent användning av sociala ingenjörsverktyg;
• använda olika distributionsmetoder och fasa ut de mest synliga (e-post);
• använda olika moduler för att implementera olika funktioner (snarare än en universell).

I analogi med den välkända termen Web 2.0 kan den nya generationen skadlig programvara kallas MalWare 2.0.

Tekniken att dölja närvaro i ett system (rootkits) kommer att användas inte bara i trojanska program, utan också i filvirus. Således kommer det att ske en återgång till MS-DOS-operativsystemets tider, när inhemska stealth-virus existerade. Detta är en logisk utveckling av metoder för att motverka antivirusprogram. Skadliga program tenderar nu att "överleva" på systemet även efter att de har upptäckts.

Ett annat farligt sätt att dölja närvaron av ett program på en dator är tekniken för att infektera startsektorn på en disk - de så kallade "bootkits". Detta är ytterligare en återgång av en gammal teknik, som tillåter det skadliga programmet att få kontroll innan huvuddelen av operativsystemet (och antivirusprogrammen) laddas. Bootkits är rootkits med funktionen att ladda från startsektorerna på vilken enhet som helst. Deras fara ligger i det faktum att den skadliga koden får kontroll redan innan operativsystemet, och därmed antivirusprogrammet, startar.

Ett av de mest slående exemplen på implementering av bootkit-teknik är vbootkit. En förenklad sekvens av vbootkit-åtgärder ser ut så här. Efter att ha slagit på datorn och kört BIOS-program aktiveras Vbootkit-koden (från en CD eller annan enhet). Startprogrammet från MBR och Windows Vistas starthanterare exekveras sedan, varefter kontrollen överförs till kärnan i detta operativsystem.

När vbootkit får kontroll över systemet utlöser det ett BIOS 13-avbrott och söker sedan efter signaturer för Windows Vista. När den har upptäckts börjar den modifiera Windows Vista samtidigt som den gömmer sig (genom att placera sin kod i små bitar i olika delar av RAM-minnet). Dessa ändringar inkluderar att kringgå säkerhetsåtgärder som att kontrollera elektroniska digitala signaturer, kontrollera hash och utföra vissa åtgärder för att behålla kontrollen över systemet under både den första och andra fasen av uppstartsprocessen.

Det andra steget innebär att förlänga operativsystemets kärna så att vbootkit behåller kontrollen över den tills den startas om. På så sätt kommer användaren att ha ett vbootkit inläst i Windows Vista-kärnan.

Bootkits lagrar i bootsektorn endast det minimum som krävs för att köra huvudkoden. Denna kärnkod lagras i andra sektorer, vars innehåll bootkitet döljer genom att avlyssna BIOS-avbrott för att läsa sektorn.

Användare av sociala nätverk kan bli huvudmålet för så kallat nätfiske. Autentiseringsuppgifterna för abonnenter av olika nätverkstjänster kommer att vara i hög efterfrågan bland överträdare. Detta kommer att vara ett viktigt alternativ till tekniken att placera skadlig programvara på hackade webbplatser. Trojanprogram kan distribueras exakt genom konton för användare av sociala nätverk, genom deras bloggar och profiler.

Ett annat problem relaterat till sociala nätverk kan vara XSSPHPSQL-aTaKH. Till skillnad från nätfiske, som enbart förlitar sig på bedrägeri och social ingenjörsteknik, utnyttjar dessa attacker buggar och sårbarheter i Web 2.0-tjänster själva och kan påverka även mycket läskunniga användare. I det här fallet är målet för överträdarna användarnas personuppgifter, som behövs för att skapa vissa databaser och listor för att utföra efterföljande attacker med "traditionella" metoder.

De viktigaste faktorerna som säkerställer användares och hackares samtidiga intresse för Web 2.0-tjänster är:

• överföring av användardata från en persondator till Internet;
• använda ett konto för flera olika tjänster;
• tillgänglighet av detaljerad information om användare;
• tillgänglighet av information om anslutningar, kontakter och bekanta till användare;
• tillhandahålla en plats för publicering av all information;
• förtroendefulla relationer mellan kontakter.

Detta problem är redan ganska allvarligt och har, enligt experter, alla möjligheter att bli ett stort informationssäkerhetsproblem.

När det gäller mobila enheter, och i första hand mobiltelefoner, är hot mot dem fördelade mellan primitiva trojanska program och olika sårbarheter i operativsystem och applikationer för smartphones.

I enlighet med metoderna för att introducera programvarubokmärken i CS och möjliga platser för deras placering i systemet, kan bokmärken delas in i följande grupper:

• programvarubokmärken associerade med BIOS;
• bokmärken associerade med start- och startprogram för operativsystemet;
• bokmärken associerade med operativsystemsdrivrutiner och andra systemmoduler;
• bokmärken förknippade med applikationsprogramvara för allmänna ändamål (till exempel arkiverare);
• programfiler som endast innehåller bokmärkeskoden och implementerade med batch-batchfiler;
• bokmärken maskerade som applikationsprogramvara för allmänna ändamål;
• bokmärken förklädda som spel- och utbildningsprogram (för att underlätta deras initiala implementering i datorsystemet).

Kapitel 1. MOTTAGNINGSFUNKTIONER ♦ MALWARE I CRITICAL

VIKTIGA SEGMENT AV INFORMATIONSSFÄREN.

1.1. Skadliga program som en källa till hot mot kritiska delar av informationssfären.

1.2. Motverka skadlig programvara i kritiska delar av informationssfären.

1.3. Redogörelse för problemet med en omfattande bedömning av effektiviteten av att motverka skadlig programvara i kritiska delar av informationssfären.

1.4. Slutsatser.

Kapitel 2. FORMNING AV INDIKATORER

EFFEKTIVITET AV ATT MOTERA MALWARE I KRITISKA SEGMENT AV INFORMATIONSSFÄREN.

2.1. Metod för att strukturera prestandaindikatorer mot skadlig programvara.

2.2. Metod för att syntetisera den hierarkiska strukturen av effektivitetsindikatorer mot skadlig programvara.

2.3. En enhetlig beskrivning av strukturen för prestandaindikatorer för anti-malware

2.4. Slutsatser.

Kapitel 3. MATEMATISK MODELLERING

PROCESSER FÖR ATT MOTERA MALWARE I KRITISKA SEGMENT AV INFORMATIONSSFÄREN.

3.1. Funktioner i syntesen av en matematisk modell för att bedöma effektiviteten av att motverka skadlig programvara.

3.2. Formell presentation av funktionsprocesserna för verktyg mot skadlig programvara.

3.3. Simuleringsmodell för att bedöma den tidsmässiga effektiviteten av att motverka skadlig programvara

3.4. Analytiska modeller för att bedöma probabilistiska indikatorer på effektiviteten av att motverka skadlig programvara. ^

3.5. Presentation av initiala data för att bedöma sannolikhetsindikatorer för effektiviteten av att motverka skadlig programvara.

3.6. Slutsatser.

Kapitel 4. DATOREXPERIMENT FÖR ATT UTVÄRDA EFFEKTIVITETEN AV ATT MOTKOMMA MALWARE I KRITISKT VIKTIGA SEGMENT AV INFORMATIONSSFÄREN.

4.1. Metod för att planera beräkningsexperiment för att bedöma effektiviteten av att motverka skadlig programvara

4.2. Resultat av beräkningsexperiment.

4.3. Analys av effektiviteten av den föreslagna metoden för att bedöma motverkan mot skadlig programvara.

4.4. Slutsatser.

Rekommenderad lista över avhandlingar

• Matematiska modeller för generaliserad bedömning av effektiviteten av att motverka hot mot säkerheten för delar av informationssfären 2006, kandidat för tekniska vetenskaper Likhodedov, Denis Yurievich

• Funktionell modellering av skadliga effekter på kritiska segment av informationssfären 2008, kandidat för tekniska vetenskaper Modestov, Alexey Albertovich

• Modellering och optimering av funktionen hos interna organs automatiserade kontrollsystem i samband med att motverka skadlig programvara 1999, doktor i tekniska vetenskaper Skryl, Sergey Vasilievich

• Teoretiska grunder och praktisk implementering av syntesen av informationssystem för automatiserade kontrollkomplex av kritiska objekt 2009, doktor i tekniska vetenskaper Krupenin, Alexander Vladimirovich

• Forskning och utveckling av algoritmer för att känna igen skadlig programvara vid motverkan av obehörig påverkan på informationsresurser i säkra datornätverk 2004, kandidat för tekniska vetenskaper Kiselev, Vadim Vyacheslavovich

Introduktion av avhandlingen (del av abstraktet) på ämnet "Utveckling och forskning av algoritmer för omfattande bedömning av effektiviteten av att motverka skadlig programvara i kritiska segment av informationssfären"

Forskningsämnets relevans. Den intensiva utvecklingen och förbättringen av informationstekniken leder till behovet av att betrakta utvidgningen av informationssfären som en dominerande trend. Detta ledde till uppkomsten av en separat klass av element i denna sfär, dess så kallade kritiska segment - informationssystem som stöder statliga organs verksamhet /1/, ledningssystem för kommunikationsinfrastruktur /2/, finans /3/, energi /4 /, transport 151 och räddningstjänst 161. Samtidigt har expansionen av informationssfären lett till uppkomsten av olika typer av hot mot delar av informationssfären 111. Samtidigt har dess kritiska segment blivit de främsta föremål för sådana hot. Detta krävde behovet av att lösa ett antal problem relaterade till organisationen av skyddet av informationssfären för att förhindra skada från kränkningar av dess säkerhet i närvaro av olika hotkällor /8 - 13/.

En av de allvarligaste källorna till hot inom informationssfären är skadlig programvara /14 - 16/ - ett av huvudverktygen för olaglig manipulation av information /17/ i dess datornätverk /18/. Skadliga program är designade av högt kvalificerade specialister /19/ som program av virustyp /20 - 26/, vilket gör det möjligt att använda sådana fördelar med datavirus som isomorf struktur, förmågan att skapa sina egna kopior och manifestera sig endast under vissa parametrar för datormiljön /27 - 28/. Dessa egenskaper tillåter skadliga program att implementera funktionerna för olaglig manipulation av information under extremt korta tidsperioder, vilket avsevärt komplicerar förmågan att upptäcka och eliminera dem, och som ett resultat placerar sådana program i kategorin ett av de mest avancerade verktygen för illegala handlingar inom informationssfären idag /29/.

Skadliga program påverkar först och främst de tillfälliga egenskaperna hos delar av informationssfären, eftersom deras inverkan resulterar i betydande tillfälliga förluster i samband med att återställa informationsprocessernas korrekthet.

I detta avseende blir det uppenbart att skadliga program är en faktor i en betydande minskning av effektiviteten i användningen, först och främst av kritiska segment av informationssfären, eftersom deras aktiviteter är fokuserade på snabb behandling av inkommande information. Detta gör i sin tur att vi kan klassificera skadlig programvara som en separat klass av de allvarligaste hoten mot informationssektorns säkerhet.

Därför blir problemet med att skydda kritiska delar av informationssfären från denna typ av hot akut. Det är uppenbart att dess lösning måste utföras systematiskt, baserat på en omfattande studie av anti-malware-tekniker. Det faktum att sådana teknologier kännetecknas av många heterogena parametrar gör deras forskningsfrågor komplexa, både vetenskapligt och praktiskt.

Liknande studier tyder på:

Genomföra en systemanalys av tillståndet för skydd mot skadlig programvara som helhet inom informationssfären och dess individuella kritiska segment;

Forskning om effektiva metoder och medel för att motverka skadlig programvara;

Utvärdering av anti-malware-tekniker i kritiska segment av informationssfären.

Allt detta har krävt sökandet efter metoder för att bedöma effektiviteten av att motverka skadlig programvara som systematiskt skulle ta hänsyn till alla de många egenskaperna hos den använda tekniken.

Som en analys av problemets tillstånd /30/ visar är ett av de mest lovande sätten att lösa detta problem att syntetisera en komplex indikator som kännetecknar kapaciteten hos de teknologier som används för att motverka skadlig programvara. Samtidigt har syntesen av en komplex indikator ett antal funktioner som är förknippade med närvaron av många riktningar både för att klassificera förmågan hos olika tekniker för att motverka skadlig programvara och i användningen av matematiska verktyg för forskning.

Detta gjorde det möjligt att föreslå ett fundamentalt nytt tillvägagångssätt för att lösa problemet med en omfattande bedömning av effektiviteten av att motverka skadlig programvara i kritiska delar av informationssfären.

Kärnan i detta tillvägagångssätt är att utveckla rimliga regler för syntesen av en omfattande indikator på effektiviteten av att motverka skadlig programvara, vars form kommer att vara optimal ur synvinkeln att återspegla förmågan hos de motverkande tekniker som används.

Trots det faktum att förbättring av teorin och praktiken för att säkerställa informationssäkerhet har blivit ett extremt angeläget problem, specialstudier i relation till uppgifterna för en omfattande bedömning av effektiviteten av att motverka skadliga program i informationssfären i allmänhet och motverka skadliga program i dess Särskilt kritiska segment har inte genomförts.

På grund av det faktum att den föreslagna metoden för att bedöma effektiviteten av att motverka skadlig programvara inte täcks av den tillgängliga litteraturen, och de kända metoderna inte tillåter en heltäckande bedömning av kapaciteten hos anti-malware-verktyg, ger detta skäl att hävda att uppgiften att utveckla metoder för att övergripande bedöma effektiviteten av dessa verktyg är ytterst relevant och frågorna relaterade till detta område behöver seriöst studera både i metodologiska och tillämpade termer. Allt detta indikerar relevansen av ämnet för detta avhandlingsarbete, utfört i enlighet med Ryska federationens informationssäkerhetsdoktrin 111, såväl som i enlighet med den vetenskapliga ledningen av Voronezh-institutet vid Rysslands inrikesministerium. till underbyggande av krav på informationssäkerhetsmedel och system.

Syftet med forskningen är teknologier för att motverka skadlig programvara i kritiska delar av informationssfären.

Ämnet för forskningen är metoder för övergripande bedömning av effektiviteten av att motverka skadlig programvara i kritiska delar av informationssfären.

Målet med avhandlingsarbetet är att förbättra metoder för att bedöma motverkan mot skadlig kod i kritiska delar av informationssfären baserat på syntesen av en heltäckande indikator på effektiviteten hos de motverkande tekniker som används.

För att uppnå målet löses följande vetenskapliga uppgifter:

Teoretisk motivering av systemkrav för syntes av en omfattande indikator på effektiviteten av att motverka skadlig programvara i kritiska delar av informationssfären;

Utveckling av en algoritm för syntes av en sådan indikator;

Konstruktion av en optimal struktur av privata indikatorer på effektiviteten hos den anti-malware-teknik som används;

Utveckling av en uppsättning analytiska och simuleringsmodeller som ger bedömning av effektivitetsindikatorerna för den använda anti-malware-tekniken;

Experimentell testning av algoritmer för omfattande bedömning av effektiviteten av att motverka skadlig programvara i kritiska delar av informationssfären.

Forskningsmetoder. Arbetet använder metoder för systemanalys, informationssäkerhetsteori, mängdlära, grafteori, matematisk modellering, sannolikhetsteori och matematisk statistik samt teorin om slumpmässiga processer.

Giltigheten och tillförlitligheten av de erhållna resultaten säkerställs av:

Användningen av beprövade matematiska verktyg i processen att formalisera processerna för att motverka skadlig programvara;

Experimentell verifiering av de utvecklade matematiska modellerna och överensstämmelsen mellan de erhållna resultaten och fall kända från den vetenskapliga litteraturen.

Den vetenskapliga nyheten och den teoretiska betydelsen av resultaten som erhålls i avhandlingen är följande:

1. Algoritmer har utvecklats för en övergripande bedömning av effektiviteten av att motverka skadlig programvara i kritiska segment av informationssfären, som skiljer sig från kända metoder för att lösa liknande problem genom att integrationen av särskilda indikatorer utförs utifrån att ta hänsyn till deras inflytande på målfunktionen - graden av förebyggande av skada på informationssfären från en kränkning av dess säkerhet.

2. Ett metodiskt tillvägagångssätt för att kombinera simulering och analytisk modellering föreslås för att utvärdera särskilda indikatorer för anti-malware-tekniker, som, till skillnad från analoger, gör det möjligt att kontrollera detaljnivån i de processer som studeras.

3. Nya lösningar har föreslagits för att konstruera matematiska modeller för att motverka skadlig programvara, baserade på användningen av likheter mellan privata indikatorer för de teknologier som används för att motverka den klassiska representationen av slumpvariabler.

Det praktiska värdet av forskningen ligger i utvecklingen av ett effektivt beslutsstödssystem för att bedöma de teknologier som används för att motverka skadlig programvara i kritiska segment av informationssfären, som utför följande funktioner:

Analys och generalisering av särskilda indikatorer för att motverka skadlig programvara för olika praktiska alternativ för använda motverkanstekniker;

Konstruktion av analysscheman för anti-malware-tekniker som är bekväma för praktisk förståelse;

Jämförelse av effektivitetsindikatorer för olika anti-malware-tekniker.

Resultaten av teoretisk och experimentell forskning kan användas för att lösa följande vetenskapliga och tillämpade problem:

Motivering av nya tillvägagångssätt för att organisera motåtgärder mot skadlig programvara i kritiska delar av informationssfären.

Analys av befintlig teknik för att motverka skadlig programvara under deras användning.

De erhållna resultaten kan användas i föreläsningskurser och utbildningsmaterial vid högre utbildningsanstalter när man studerar grunderna i informationssäkerhet, samt vid omskolning av personal som ansvarar för säkerheten i kritiska delar av informationssfären.

Följande huvudbestämmelser i avhandlingsarbetet lämnas till försvar:

1. Uttalande och resultat för att lösa problemet med att syntetisera en heltäckande indikator på effektiviteten av att motverka skadlig programvara i kritiska delar av informationssfären baserat på att konstruera en optimal struktur av privata indikatorer och dess tillämpning för att bedöma effektiviteten av de tekniker som används för att motverka skadlig programvara .

2. Ett metodiskt tillvägagångssätt för att kombinera simulering och analytisk modellering för att utvärdera specifika indikatorer för anti-malware-teknik.

Implementering av arbetsresultat. Resultaten av avhandlingsarbetet implementeras i:

Militärinstitutet för radioelektronik vid Ryska federationens försvarsministerium;

Voronezh-institutet vid Ryska federationens inrikesministerium;

Huvudavdelningen för inrikesfrågor i Voronezh-regionen;

Institutionen för inrikes frågor i Tambov-regionen.

Genomförandet av resultaten bekräftas av relevanta rättsakter.

Godkännande av arbete. De huvudsakliga metodologiska och praktiska resultaten av forskningen presenterades vid följande konferenser:

De huvudsakliga metodologiska och praktiska resultaten av forskningen presenterades vid följande konferenser:

1. Allryska vetenskapliga och praktiska konferensen "Modern problem för brottsbekämpning" - Voronezh, 2002 /48/.

2. Interregional vetenskaplig och praktisk konferens "Information och säkerhet" - Voronezh, 2002 /56/.

3. IV Allryska vetenskapliga och praktiska konferensen "Säkerhet, säkerhet och kommunikation" - Voronezh, 2003 /49/.

4. Allryska vetenskapliga och praktiska konferensen "Moderna problem för brottsbekämpning" - Voronezh, 2005 /57/.

I de verk som publicerats i medförfattarskap föreslog sökanden personligen: i /28/ - att klassificera datavirus med hänsyn till deras komplexa manifestation av egenskaperna hos associativitet, replikativitet och isomorfism; i /29/ - en illustration av angripares användning av olika egenskaper hos datavirus när de implementerar stadierna i en allmän strategi för obehörig åtkomst till information i datorsystem; i /30/ anser deras aktivitet och överlevnadsförmåga som de viktigaste klassificerande egenskaperna hos skadliga programs egenskaper; i /35/ - systematisering av de omständigheter som avgör behovet av att hålla brottsbekämpande myndigheters handlingar hemliga; i /48/ - identifiera olagliga handlingar inom området för datorinformation med hjälp av ett tvånivåsystem, vars första nivå säkerställer identifieringen av faktumet av en olaglig åtgärd, och den andra - spår av sådan påverkan; i /49/ - identifiera fakta om olaglig påverkan på information i datornätverk med hjälp av semantisk kontroll av informationsparametrar för beräkningsprocesser; i /50/ - som en grundläggande princip för att identifiera databrott, principen om en hierarkisk beskrivning av strategier för obehörig åtkomst till information i datorsystem; i /53/ - använda distribuerad informationsskyddsteknik som en källa till kriminaltekniskt viktig information i utredningen av databrott; i /54/ - att överväga förekomsten av en fullständig uppsättning identifierande tecken på denna typ av olagliga handlingar som den dominerande faktorn för att öka upptäcktsfrekvensen för databrott; i /56/ - överväga metodiken för att bedöma säkerheten för informations- och telekommunikationssystem från hot mot deras informationssäkerhet som en procedur för att bilda en hierarkisk struktur av indikatorer, betrakta som ett exempel på en funktionell informationsmodell specialförbandsregimens verksamhet tjänst med att förse anställda med officiell dokumentation; i /57/ - att bilda en heltäckande indikator för att bedöma effektiviteten av att motverka skadlig programvara baserat på den hierarkiska struktureringen av privata indikatorer; i /67/ - använd en funktionell beskrivning av informationsprocesser som ett nödvändigt steg i deras formalisering.

Arbetets struktur och omfattning. Avhandlingen presenteras på 164 sidor och består av en inledning, fyra kapitel, en avslutning, en bibliografi över använd litteratur samt en bilaga, innehåller 51 figurer och 19 tabeller.

Liknande avhandlingar i specialiteten "Metoder och system för informationssäkerhet, informationssäkerhet", 05.13.19 kod VAK

• Matematisk modell för att motverka obehörig åtkomst till informations- och telekommunikationssystem med hjälp av olika typer av informationssäkerhetsmedel samtidigt som man minimerar distraktionen av datorresurser 2002, kandidat för tekniska vetenskaper Kochedykov, Sergey Sergeevich

• Modellering och optimering av informationsprocesser i territoriella segment av det enhetliga informations- och telekommunikationssystemet för organ för inre angelägenheter i samband med att motverka hot mot informationssäkerheten 2006, kandidat för tekniska vetenskaper Chagina, Lyudmila Vladimirovna

• Modellering av skadliga effekter på skyddade informationssystem för att identifiera olagliga handlingar inom området datorinformation 2005, kandidat för tekniska vetenskaper Tyunyakin, Roman Nikolaevich

• Igenkänning av skadlig programvara baserat på dolda Markov-modeller 2012, kandidat för tekniska vetenskaper Kozachok, Alexander Vasilievich

• Matematiska modeller för bedömning av effektiviteten hos privata säkerhetsenheter när det gäller att tillhandahålla tjänster inom området tekniskt informationsskydd 2005, kandidat för tekniska vetenskaper Fedorov, Ivan Semenovich

Avslutning av avhandlingen på ämnet "Metoder och system för informationssäkerhet, informationssäkerhet", Sushkov, Pavel Feliksovich

4.4. Slutsatser

1. Det är tillrådligt att bedöma effektiviteten av att motverka skadlig programvara i kritiska segment av informationssfären baserat på en analys av olika alternativ för att använda motåtgärder i enlighet med planen för beräkningsexperiment.

2. Användningen av metoder som utvecklats i avhandlingen för att bedöma effektiviteten av att motverka skadlig programvara i kritiska segment av informationssfären gör att vi kan minska utbudet av matematiska modeller som används med 50 %.

3. Noggrannhetsegenskaperna för den hierarkiska strukturen av indikatorer som föreslås i avhandlingen, på grund av användningen av en sannolikhetsskala, är minst två storleksordningar högre än noggrannhetsegenskaperna för kända integrerade indikatorstrukturer.

4. Metoden som utvecklats i avhandlingen för att bedöma effektiviteten av att motverka skadlig programvara i kritiska delar av informationssfären kan betraktas som en universell metod för att bedöma säkerheten för informationsobjekt.

Nivå 5

Syftet med informationsskyddet är att förhindra skador från informationssäkerhetsbrott

Nivå 4

Nivå 3

Nivå 2

Möjligheter att förhindra brott mot sekretess (läckage) av information

Möjligheter att förhindra kränkning av integriteten för infoormacin

Möjlighet att skydda information från läckage på grund av elektromagnetisk strålning från sidan och störningar

Möjlighet att förhindra kränkning av tillgänglighet (blockering) av information

Möjligheter att skydda information från obehörig åtkomst

Möjlighet att skydda talinformation (från läckage genom den akustiska kanalen)

Möjligheter att förhindra förhållanden som är gynnsamma för uppkomsten av hot

Möjligheter att förhindra uppkomsten av NSD-hot 1

Möjligheter att förhindra uppkomsten av hot om informationsläckage genom fysiska fält

Möjligheter för upptäckta hotkällor

Woam< южк» ста по закрытию доступа в обход системы защиты и и форма-цкн

Möjligheter för neutrala och negativa hot NSD X X

Möjligheter att neutralisera hot om informationsläckage genom fysiska fält X

Möjligheter för att upptäcka och påverka NSD-hot

Möjligheter att upptäcka effekten av hot om informationsläckage genom PEMIN-kanaler

Möjligheter för upptäckt och påverkan av hot om informationsläckage via akustisk kanal X

Möjlighet att återställa information efter exponering för NSD-hot

BOiMG&HdCTtt om informationsåterställning efter exponering för hot om informationsläckage genom ghemim-kanaler

Möjligheter återställda!! yu information efter exponering för hot om informationsläckage till den akustiska kanalen

Kanske*

Nivå 1

Möjligen Möjligen

Riktlinjer för att begränsa åtkomsten till informationsresurser

ITKS ITKS

Möjlighet att dölja strålning och störningar från informativa kanaler (fysiska fält)

Kanske

STA om desinformation (imitation av strålning och störningar)

Möjlighet till kryptografisk omvandling av information

Kanske

Riktlinjer för övervakning av element (state of elements) av TSOI och ITKS

Det är möjligt att registrera information om hur TSIOI fungerar ur RF-synpunkt

Möjligheter till att förstöra förbrukad och oanvänd information i tid

Möjligheter att signalera manifestationer och hot om illegal verksamhet

Möjligheter att signalera manifestationen av hot om informationsläckage genom PEMIN-kanaler

Möjligheter att signalera manifestation av hot om informationsläckage genom akustiska kanaler för att svara på manifestationer av hot (desarmera hot)

Möjligheter till engelskisering av manifestationer och hot av NSD

Det är möjligt att reagera på manifestationen av hot (neutralisera hot) via akustiska kanaler

Ris. 4.3.2. Struktur av indikatorer för heterogena tekniska system och informationssäkerhetsmedel för informations- och telekommunikationssystem

SLUTSATS

De huvudsakliga vetenskapliga resultaten som erhållits i avhandlingsarbetet är följande:

1. En metod för generaliserad bedömning av effektiviteten hos ett system för att motverka skadlig kod i kritiska delar av informationssfären är teoretiskt motiverad och praktiskt implementerad baserat på struktureringen av särskilda indikatorer på motåtgärder.

2. En metod har utvecklats för att optimera strukturen av privata indikatorer för att motverka skadlig programvara. I enlighet med den föreslås:

Presentera uppsättningen av motåtgärdsindikatorer i form av en hierarkisk struktur med en konsekvent generalisering av motåtgärdernas egenskaper;

Nivåerna i den hierarkiska strukturen presenteras i form av uppsättningar av indikatorer som motsvarar huvudklasserna av kapacitet för motåtgärder för att säkerställa säkerheten för datornätverk som utgör den materiella grunden för informationssfären;

Som ett verktyg för att studera effektiviteten av att motverka skadlig programvara, använd simulerings- och analytiska modeller som beskriver hur motåtgärder fungerar.

3. En metodik har utvecklats för att bedöma olika alternativ för att utrusta datornätverk med antivirusverktyg, baserad på principerna för teorin om beräkningsexperiment med hjälp av matematiska modeller utvecklade i avhandlingen.

Följande nya praktiska resultat erhölls i avhandlingen:

1. Forskning utförd med hjälp av utvecklade matematiska modeller för att motverka skadlig programvara i kritiska delar av informationssfären ger anledning att hävda att:

Användningen av metoder som utvecklats i avhandlingen för att bedöma motverkan mot skadlig kod i kritiska segment av informationssfären gör det möjligt att minska utbudet av matematiska modeller som används med 50 %.

Noggrannhetsegenskaperna för den hierarkiska strukturen av indikatorer som föreslås i avhandlingen, på grund av användningen av en sannolikhetsskala, är åtminstone två storleksordningar högre än noggrannhetsegenskaperna för kända integrerade indikatorstrukturer.

Den praktiska betydelsen av dessa resultat är att de gör det möjligt att kvantifiera genomförbarheten av att genomföra åtgärder för att bekämpa skadlig programvara i kritiska delar av informationssfären.

2. De utvecklade metoderna, modellerna och algoritmerna utgör tillsammans metodologiskt stöd för att lösa det praktiska problemet med att bedöma effektiviteten av att motverka skadlig programvara i kritiska delar av informationssfären. Den kan användas för att lösa liknande problem vid bedömning av informationsobjekts säkerhet från liknande hot mot deras informationssäkerhet.

Lista över referenser för avhandlingsforskning Kandidat för tekniska vetenskaper Sushkov, Pavel Feliksovich, 2005

1. Telekommunikation. Världen och Ryssland. Tillstånd och utvecklingstrender / Kleshchev N.T., Fedulov A.A., Simonov V.M., Borisov Yu.A., Osenmuk M.P., Selivanov S.A. M.: Radio och kommunikation, 1999. - 480 sid.

2. Khomyakov N.N., Khomyakov D.N. Analys av kärnkraftverkssäkerhet under terrorattacker. // Säkerhetssystem. 2002. - Nr 2(44). - s. 74-76.

3. Moshkov G.Yu. Att säkerställa säkerheten för transportanläggningar är vår prioritet. // Säkerhetssystem. - 2003. - Nr 6(48). - S. 8-9.

4. Agapov A.N. Kärn- och strålsäkerhet. Krisberedskap. // Säkerhetssystem. 2003. - Nr 2(50). - S. 8-10.

5. Ryska federationens informationssäkerhetsdoktrin // Rossiyskaya Gazeta daterad 28 september 2000.

6. Gerasimenko V.A. Informationsskydd i automatiserade databehandlingssystem: I 2 böcker: Bok. 1. M.: Energoatomizdat, 1994. - 400 sid.

7. Gerasimenko V.A. Informationsskydd i automatiserade databehandlingssystem: I 2 böcker: Bok. 2. M.: Energoatomizdat, 1994. - 176

8. Gerasimenko V.A., Malyuk A.A. Grundläggande informationssäkerhet: Lärobok för högre utbildningsinstitutioner vid ministeriet för allmän och professionell utbildning i Ryska federationen M.: MEPhI, 1997. - 538 s.

9. Grunderna för informationssäkerhet: Lärobok för högre utbildningsinstitutioner vid Rysslands inrikesministerium / Ed. Minaeva, V.A. och Skryl S.V. - Voronezh: Voronezh-institutet vid Rysslands inrikesministerium, 2001. - 464 s.

10. Shcherbakov A.A. Destruktiva mjukvaruinfluenser. M.: Förlaget "Edel", 1993. 64 sid.

11. Mukhin V.I. Informations- och mjukvaruvapen. Destruktiva mjukvaruinfluenser. // Vetenskapligt och metodologiskt material. M.: Military Academy of Strategic Missile Forces uppkallad efter Peter den store, 1998.-44 sid.

12. Skryl S.V. Klassificering av programvara för stöld och förvrängning av information i automatiserade informationssystem // Högteknologi inom teknik, medicin och utbildning: Interuniversitetsinsamling. vetenskaplig tr., del 2. Voronezh: VSTU, 1997. - P. 131-137.

13. Datornätverk. Principer, teknologier, protokoll: Lärobok för universitet. / V.G. Olifer, N.A. Olifer SPb.: Peter, 2003. - 864 sid.

14. Syrkov B.Yu. Datorsystem genom en hackers ögon // Teknik och kommunikation. -1998. Nr 6. S. 98-100

15. Bezrukov N.N. Introduktion till datorvirologi. Allmänna principer för drift, klassificering och katalog över de vanligaste virusen i MS-DOS. Kiev, 1989. - 196 sid.

16. Bezrukov N.N. Computer Virology: En referensguide. -Kiev, 1991.

17. Bezrukov N.N. Datavirus. - M., 1991. - 132 sid.

18. Kaspersky E.V. Datavirus i MS-DOS. M.: Edel Publishing House, 1992. - 120 sid.

19. Kaspersky E.V. Datavirus, vad de är och hur man bekämpar dem. M.: "SK Press", 1998. - 288 sid.

20. Fights F., Johnston P., Kratz M. Datavirus: problem och prognos. -M.: Mir, 1993. 175 sid.

21. Guliev N.A. Datavirus, en blick från insidan. M.: DMK, 1998.-304 sid.

22. Teknik för att utveckla skadlig programvara baserad på datavirus // T.ex. Gennadieva, K.A. Razinkin, Yu.M. Safonov, P.F. Sushkov, R.N. Tyunyakin // Information och säkerhet. Nummer 1. - Voronezh: VSTU, 2002. - s. 79-85.

23. Virologisk typning av skadliga program // JI.B. Chagina, K.S. Skryl, P.F. Sushkov // Science of production, 2005. - Nummer 6. - s. 12-17.

24. Minaev V.A., Skryl S.V. Datavirus som systemisk ondska. // Säkerhetssystem SB-2002: Material från XI:s vetenskapliga och tekniska konferens vid International Forum of Informatization - M.: GPS Academy, 2002. - s. 18-24.

25. Dataöverföringssystem och nätverk: Lärobok. / M.V. Garanin, V.I. Zhuravlev, S.V. Kunegin M.: Radio och kommunikation, 2001. - 336 sid.

26. Telekommunikationssystem och nätverk: Lärobok i 3 volymer. Volym 1 Modern teknologi / B.I. Kruk, V.N. Popantonopoulo, V.P. Shuvalov - M.: Hotline - Telecom, 2003. - 647 sid.

27. Skydd av information i datorsystem och nätverk. / Romanets Yu.V., Timofeev P.A., Shangin V.F. M.: Radio och kommunikation, 2001. - 376 sid.

28. Organisatoriska och juridiska aspekter av att begränsa tillgången till information i verksamheten för organ för inre angelägenheter / Asyaev P.I., Pozhilykh V.A., Sushkov P.F., Belousova I.A., Potanina I.V., Razinkin K.A. // Information och säkerhet. - Utgåva 1. Voronezh: VSTU, 2002. - P. 43-47.

29. Kaspersky K. Nätverksattacktekniker. Tekniker för motverkan. M.: Solon-R, 2001.-397 sid.

30. Serdyuk V.A. Lovande tekniker för att upptäcka informationsattacker. // Säkerhetssystem. 2002. - Nr 5(47). - S. 96-97.

31. Programmering av informationssäkerhetsalgoritmer: Lärobok. / Domashev A.V. Gruntovich M.M., Popov V.O., Pravikov D.I., Prokofiev I.V., Shcherbakov A.Yu. M.: Kunskap, 2002. - 416 sid.

32. Grusho A.A., Timonina E.E. Grunderna för informationssäkerhet. M.: Yachtsman, 1996.-192 sid.

33. Säkerhet för avdelningens informations- och telekommunikationssystem. / Getmantsev A.A., Lipatnikov V.A., Plotnikov A.M., Sapaev E.G. VAS, 1997. 200 sid.

34. Skryl S.V. Modellering och optimering av funktionen hos automatiserade kontrollsystem för organ för interna angelägenheter i samband med att motverka skadlig programvara: Sammanfattning av avhandlingen av Dr. tech. Sciences M.: Academy of State Fire Service vid Rysslands inrikesministerium, 2000. - 48 sid.

35. Joel T. Patz Antivirusprogram / PC Magazine / Russian Edition, 1996, nr 3 (46), s. 70-85

36. Intelligent teknik för Doctor Web antivirus. / JSC "Dialognauka". // Säkerhetssystem. 2002. - Nr 2(44). - s. 84-85.

37. Antimonov S.G. Intellektuella konfrontationer i frontlinjen Virus-antivirus. // Information och säkerhet: Material för interregionalt vetenskapligt och praktiskt arbete. konf. Information och säkerhet. - Utgåva 2. - Voronezh: VSTU, 2002. - S. 39-46.

38. Vorobyov V.F., Gerasimenko V.G., Potanin V.E., Skryl S.V. Utformning av medel för spårologisk identifiering av databrott. Voronezh: Voronezh-institutet vid Rysslands inrikesministerium, 1999. - 136 s.

39. Spår av databrott / Voynalovich V.Yu., Zavgorod-niy M.G., Skryl S.V., Sumin V.I. // Sammandrag av rapporter från den internationella konferensen "Informatization of Law Enforcement Systems", del 2. M.: Academy of Management vid Rysslands inrikesministerium, 1997. sid. 53-55.

40. Metod för att utföra primära utredningsåtgärder vid utredning av brott inom högteknologiområdet. / Sushkov P.F., Kochedykov S.S., Kiselev V.V., Artemov A.A. Bulletin för VI Rysslands inrikesministerium 2(9)" 2001 - Voronezh: Rysslands inrikesministerium VI 2001. - S. 152-155.

41. Öka upptäcktsfrekvensen för databrott // Bogachev S.Yu., A.N. Obukhov, P.F. Sushkov // Information och säkerhet. Vol. 2. - Voronezh: VSTU, 2004. - S. 114 - 115.

42. Dator- och teknisk undersökning av olagliga handlingar. // Sushkov P.F. // Bulletin från Voronezh-institutet vid Rysslands inrikesministerium. T. 4(19). -2004.-№4(19) - S. 52-55.

43. Mamikonov A.G., Kulba V.V., Shchelkov A.B. Tillförlitlighet, skydd och säkerhetskopiering av information i automatiserade styrsystem. M.: Energoatomizdat, 1986. - 304 sid.

44. Sokolov A.V., Shangin V.F. Informationsskydd i distribuerade företagssystem. M.: DMK Press, 2002. - 656 sid.

45. Khasin E.V. En integrerad metod för att övervaka information och datorsystem. // Vetenskaplig session MEPhI 2002: Material från den IX allryska vetenskapliga och praktiska konferensen. konf. - M.: MEPhI, 2002. - P. 110-111.

46. ​​Buslenko N.P. Modellering av komplexa system / N.P. Buslenko. - M.: Nauka, 1978.-400 sid.

47. Sovetov B.Ya. Modellering av system: Lärobok för universitet om specialisering. "Automatiska styrsystem" / B.Ya. Sovetov, S.A. Jakovlev. - M.: Högre skola, 1985. - 271 sid.

48. Iglehart D.L. Regenerativ modellering av könät: Per. från engelska / D.L. Iglehart, D.S. Shedler. M.: Radio och kommunikation, 1984. - 136 sid.

49. Buslenko V.N. Automatisering av simuleringsmodellering av komplexa system / V.N. Buslenko. - M.: Nauka, 1977. - 239 sid.

50. Tarakanov K.V. Analytiska metoder för att studera system / K.V. Tarakanov, L.A. Ovcharov, A.N. Tyryshkin. - M.: Sovjetisk radio, 1974. 240 sid.

51. Vilkas E.J., Mayminas E.Z. Lösningar: teori, information, modellering. M.: Radio och kommunikation, 1981. - 328 sid. sid. 91-96.

52. Principer för strukturerad modellering av säkerhetsprocesser för speciella informationssystem. / P.I. Asyaev, V.N. Aseev, A.R. Mozhaitov, V.B. Shcherbakov, P.F. Sushkov // Radioteknik (tidning i en tidskrift), 2002, nr 11.

53. Tatg U. Graph theory: Transl. från engelska M.: Mir, 1988. - 424 sid.

54. Ventzel E.S. Sannolikhetsteori. M.: Förlag för fysisk och matematisk litteratur, 1958. - 464 sid.

55. Samling av vetenskapliga program i Fortran. Vol. 1. Statistik. New York, 1970. / Trans. från engelska M.: ”Statistik”, 1974. - 316 sid.

56. Zaryaev A.V. Utbildning av informationssäkerhetsspecialister: ledningsmodeller: Monografi M.: "Radio och kommunikation", 2003. - 210 s.

57. Kini P.JI., Raiffa X. Beslutsfattande enligt flera kriterier för preferens och substitution. M.: Radio och kommunikation, 1981. - 560 sid.

58. Larichev O.I. Vetenskapen och konsten att fatta beslut. M.: Nauka, 1979.-200 sid.

59. Yakovlev S.A. Problem med att planera simuleringsexperiment vid design av informationssystem. // Automatiserad databehandling och ledningssystem. L.: 1986. - 254 sid.

60. Intelligent teknik för Doctor Web antivirus. / JSC "Dia-lognauka". // Säkerhetssystem. 2002. - Nr 2(44). - s. 84-85.

61. Encyclopedia of datavirus. / JA. Kozlov, A.A. Parandovsky, A.K. Parandovsky M.: "Solon-R", 2001. - 457 s.

62. Joel T. Patz Antivirusprogram / PC Magazine / Russian Edition, 1996, nr 3 (46), s. 70-85.

63. Certifieringssystem för informationssäkerhetsverktyg enligt informationssäkerhetskrav nr ROSS RU.OOI.OIBHOO. Statligt register över certifierade verktyg för informationssäkerhet. Officiell webbplats för Rysslands statliga tekniska kommission, 2004.

64. Skryl S.V. Modellering och optimering av funktionen hos automatiserade kontrollsystem för organ för interna angelägenheter i samband med att motverka skadlig programvara: Sammanfattning av avhandlingen av Dr. tech. Sciences M.: Academy of State Fire Service vid Rysslands inrikesministerium, 2000. - 48 sid.

65. Bedömning av informationssäkerhet i informations- och telekommunikationssystem. / Minaev V.A., Skryl S.V., Potanin V.E., Dmitriev Yu.V. // Ekonomi och produktion. 2001. - Nr 4. - s. 27-29.

66. Ventzel E.S. Operations Research M.: Sovjetisk radio, 1972 - 552 sid.

67. Zadeh J1.A. Begreppet en språklig variabel och dess tillämpning på approximativt beslutsfattande. M.: Mir, 1976. - 168 sid.

68. Pospelov D.A. Logisk-lingvistiska modeller i styrsystem. M.: Energi, 1981.-231 sid.

69. Pospelov D.A. Situationsstyrning: teori och praktik. -M.: Nauka, 1986.-284 sid.

70. Raifa G. Beslutsanalys (introduktion till problemet med val under osäkerhetsförhållanden). M.: Nauka, 1977. - 408 sid.

71. Beslutsmodeller baserade på språkliga variabler / A.N. Borisov, A.V. Aleksev, O.A. Krumberg et al. Riga: Zinatne, 1982. - 256 sid.

72. Kofman A. Introduktion till teorin om fuzzy sets. M.: Radio och kommunikation, 1982. - 432 sid.

73. Fuzzy uppsättningar i modeller för kontroll och artificiell intelligens. / Ed. JA. Pospelov. M.: Nauka, 1986. - 312 sid.

74. Åtgärder för genomförande av forskningsresultat

75. Biträdande avdelningschef ”K” i Centrala inrikesdirektoratet, polisöverstelöjtnant1. Medlemmar av kommissionen: Art. detektiv för avdelning "K" i Centrala inrikesdirektoratet, poliskapten, kriminalare för avdelning "K" i Centrala inrikesdirektoratet, polislöjtnant1. Sokolovsky I.V.1. Povalukhin A.A.1. Razdymalin R.S.41. JAG GODKÄNDE

76. Suppleant Chef för avdelningen för inrikesfrågor i Tambov-regionen, polislöjtnant1. Medlemmar av kommissionen:1. B.J.I. Vorotnikov

77. Chef för avdelningen "K" för USTM Department of Internal Affairs i Tambov-regionen, polismajor

78. Senior detektiv för inrikesdepartementet vid USTM Department of Internal Affairs i Tambov-regionen, polismajor1. R.V. Belevitin1. A.V. Bogdanov

Observera att de vetenskapliga texterna som presenteras ovan endast publiceras i informationssyfte och har erhållits genom originalavhandlingens textigenkänning (OCR). Därför kan de innehålla fel associerade med ofullkomliga igenkänningsalgoritmer. Det finns inga sådana fel i PDF-filerna för avhandlingar och sammanfattningar som vi levererar.