Ve önleme - dosyaların veya işletim sisteminin kötü amaçlı yazılımlar tarafından bulaşmasını (değiştirilmesini) önlemek.

Virüsten korunma yöntemleri[ | ]

Virüslere karşı korunmak için üç grup yöntem kullanılır:

1. dayalı yöntemler dosya içerik analizi(hem veri dosyaları hem de komut içeren dosyalar). Bu grup, virüs imzalarının taranmasının yanı sıra bütünlük denetimi ve şüpheli komutların taranmasını içerir.
2. dayalı yöntemler program davranışını izleme bunları yürütürken. Bu yöntemler, sistemin güvenliğini tehdit eden ve test nesnesinin fiili yürütülmesi sırasında veya yazılım emülasyonu sırasında meydana gelen tüm olayların günlüğe kaydedilmesini içerir.
3. Yöntemler çalışma prosedürlerinin düzenlenmesi Dosyalar ve programlar ile. Bu yöntemler idari güvenlik önlemleridir.

İmza tarama yöntemi(imza analizi, imza yöntemi), benzersiz bir bayt dizisi için dosya aramayı temel alır - imzalar, belirli bir virüsün özelliği. Yeni keşfedilen her virüs için, antivirüs laboratuvarı uzmanları, imzasının belirlendiği bir analiz gerçekleştirir. Ortaya çıkan virüs parçası, antivirüs programının birlikte çalıştığı özel bir virüs imzaları veritabanına yerleştirilir. Bu yöntemin avantajı, yanlış pozitiflerin nispeten düşük oranıdır ve ana dezavantajı, antivirüs programı veritabanında imzası olmayan sistemde yeni bir virüsü tespit etmenin temel imkansızlığıdır, bu nedenle imza veritabanının zamanında güncellenmesi gerekir. gerekli.

Bütünlük kontrol yöntemi Diskteki verilerde meydana gelen beklenmedik ve nedensiz herhangi bir değişikliğin, anti-virüs sisteminin özel dikkat gerektiren şüpheli bir olay olduğu gerçeğine dayanmaktadır. Virüs mutlaka varlığına dair kanıt bırakır (mevcut (özellikle sistem veya yürütülebilir) dosyaların verilerindeki değişiklikler, yeni yürütülebilir dosyaların görünümü vb.). Veri değişikliği gerçeği - bütünlük ihlali- test nesnesinin başlangıç ​​durumu için önceden hesaplanan sağlama toplamı (özet) ile test senaryosunun mevcut durumunun sağlama toplamı (özet) karşılaştırılarak kolayca belirlenir. Eşleşmiyorlarsa, bu, bütünlüğün ihlal edildiği anlamına gelir ve bunun için örneğin virüs imzalarını tarayarak ek bir kontrol yapmak için her türlü neden vardır. Bu yöntem, imza tarama yönteminden daha hızlı çalışır, çünkü sağlama toplamlarının hesaplanması, virüs parçalarının bayt bayt karşılaştırma işleminden daha az hesaplama gerektirir; ayrıca, bilinmeyen virüsler de dahil olmak üzere herhangi bir virüsün etkinliğinin izlerini tespit etmenize olanak tanır. henüz veritabanında imza yok.

Şüpheli komutları tarama yöntemi(sezgisel tarama, buluşsal yöntem), taranan dosyada belirli sayıda şüpheli komutun ve/veya şüpheli dizilerin işaretlerinin (örneğin, bir sabit diski biçimlendirme komutu veya çalışan veya yürütülebilir bir dosyaya ekleme işlevi) tanımlanmasına dayanır. işlem). Bundan sonra dosyanın kötü amaçlı doğası hakkında bir varsayımda bulunulur ve kontrol edilmesi için ek adımlar atılır. Bu yöntem hızlıdır ancak çoğu zaman yeni virüsleri tespit edemez.

Program davranışını izleme yöntemi daha önce bahsedilen dosya içeriği tarama yöntemlerinden temel olarak farklıdır. Bu yöntem, bir suçluyu suç mahallinde "elinden" yakalamaya benzer şekilde çalışan programların davranışını analiz etmeye dayanmaktadır. Bu tür antivirüs araçları çoğu zaman, çoğu daha sonra yanlış alarma dönüşebilecek çok sayıda sistem uyarısına yanıt olarak kararlar almaya çağrılan kullanıcının aktif katılımını gerektirir. Belirli bir eşiğin üzerindeki yanlış pozitiflerin sıklığı (zararsız bir dosya için virüs şüphesi veya kötü amaçlı bir dosyanın eksik olması) bu yöntemi etkisiz hale getirir ve kullanıcı uyarılara yanıt vermeyi durdurabilir veya iyimser bir strateji seçebilir (çalışan tüm programlara veya tüm işlemlere izin ver). bu antivirüs özelliğini devre dışı bırakın). Programların davranışını analiz eden antivirüs sistemlerini kullanırken, korunan bilgisayara veya ağa zarar verebilecek virüs komutlarını yürütme riski her zaman vardır. Bu dezavantajı ortadan kaldırmak için, daha sonra, test edilen programı, genellikle sanal alan olarak adlandırılan yapay olarak oluşturulmuş (sanal) bir ortamda, bilgi ortamına zarar verme riski olmadan çalıştırmanıza olanak tanıyan bir emülasyon (simülasyon) yöntemi geliştirildi. Program davranışını analiz etmeye yönelik yöntemlerin kullanılması, bunların hem bilinen hem de bilinmeyen kötü amaçlı yazılımları tespit etmedeki yüksek verimliliğini göstermiştir.

Yanlış antivirüsler [ | ]

2009 yılında sahte antivirüslerin aktif yayılması başladı [ ] - anti-virüs olmayan (yani, kötü amaçlı yazılımlara karşı koymak için gerçek bir işlevselliğe sahip olmayan) ancak öyleymiş gibi davranan yazılım. Aslında sahte antivirüsler, kullanıcıları aldatan ve "virüs sistemini iyileştirmek" için ödeme şeklinde kar elde eden programlar veya sıradan kötü amaçlı yazılımlar olabilir.

Özel antivirüsler[ | ]

Kasım 2014'te, uluslararası insan hakları örgütü Uluslararası Af Örgütü, sivil aktivistler ve siyasi muhalifler hakkında casusluk yapmak amacıyla devlet kurumları tarafından dağıtılan kötü amaçlı yazılımları tespit etmek için tasarlanmış bir anti-virüs programı olan Detect'i yayınladı. Yaratıcılara göre antivirüs, sabit sürücüyü geleneksel antivirüslerden daha derin bir şekilde tarıyor.

Antivirüs etkinliği[ | ]

Analitik şirket Imperva, Hacker Intelligence Initiative'in bir parçası olarak, çoğu antivirüsün gerçek koşullarda düşük etkinliğini gösteren ilginç bir çalışma yayınladı.

Çeşitli sentetik testlerin sonuçlarına göre antivirüsler ortalama %97 civarında bir verimlilik gösteriyor ancak bu testler yüzbinlerce örnekten oluşan veritabanları üzerinde gerçekleştiriliyor ve bunların büyük çoğunluğu (belki yaklaşık %97'si) artık kullanılmayanlar. saldırılar gerçekleştirin.

Soru, antivirüslerin en güncel tehditlere karşı ne kadar etkili olduğudur. Bu soruyu yanıtlamak için Imperva ve Tel Aviv Üniversitesi öğrencileri, Rus yeraltı forumlarından en yeni kötü amaçlı yazılımların 82 örneğini aldı ve bunları VirusTotal'a, yani 42 antivirüs motoruna karşı test etti. Sonuç felaketti.

1. Antivirüslerin yeni derlenen kötü amaçlı yazılımlara karşı etkinliği %5'ten azdı. Bu tamamen mantıklı bir sonuçtur, çünkü virüs yaratıcıları bunları her zaman VirusTotal veritabanına karşı test eder.
2. Virüsün ortaya çıkmasından antivirüsler tarafından tanınmaya başlamasına kadar geçen süre dört hafta kadar sürer. Bu rakam “elit” antivirüslerde elde edilirken, diğer antivirüslerde bu süre 9-12 aya kadar çıkabiliyor. Örneğin, çalışmanın başında 9 Şubat 2012'de sahte Google Chrome yükleyicisinin yeni bir örneği test edildi. Çalışmanın 17 Kasım 2012'de sona ermesinin ardından 42 antivirüsten yalnızca 23'ü bunu tespit etti.
3. En yüksek kötü amaçlı yazılım tespit yüzdesine sahip antivirüsler aynı zamanda yüksek oranda yanlış pozitifliğe de sahiptir.
4. Her ne kadar kötü amaçlı yazılım örneği çok küçük olduğundan, çalışmanın objektif olduğu pek söylenemez, ancak antivirüslerin yeni siber tehditlere karşı tamamen uygun olmadığı varsayılabilir.

Antivirüs programlarının sınıflandırılması[ | ]

Anti-virüs programları yürütmeye (engelleme araçlarına) göre aşağıdakilere ayrılır:

• yazılım;
• yazılım ve donanım.

RAM'deki yerleşime göre aşağıdakiler ayırt edilir:

• yerleşik (işletim sistemi başlatıldığında çalışmalarına başlarlar, sürekli olarak bilgisayarın belleğinde bulunurlar ve dosyaları otomatik olarak tararlar);
• yerleşik olmayan (kullanıcının isteği üzerine veya kendisi için belirlenen programa uygun olarak başlatılır).

Virüslere karşı koruma türüne (yöntemine) göre ayırt edilirler:

Rusya FSTEC'in düzenleyici yasal düzenlemesine uygun olarak “Devlet sırrı oluşturan veya Rusya Federasyonu mevzuatına uygun olarak korunan diğer kısıtlı erişim bilgileri olarak sınıflandırılan bilgileri korumak için kullanılan ürünler için teknik düzenleme alanındaki gereklilikler (gereklilikler) anti-virüs koruma araçları)” (onaylanmıştır 20 Mart 2012 tarih ve 28 sayılı Rusya FSTEC'in emriyle), aşağıdaki anti-virüs koruma türleri ayırt edilir:

• “A” tipi - bilgi sistemi bileşenlerine (sunucular, otomatik iş istasyonları) kurulu antivirüs koruma araçlarının merkezi yönetimi için tasarlanmış antivirüs koruma araçları (antivirüs koruma araçlarının bileşenleri);
• “B” tipi - bilgi sistemi sunucularında kullanılması amaçlanan anti-virüs koruma araçları (anti-virüs koruma araçlarının bileşenleri);
• “B” tipi - bilgi sistemlerinin otomatik iş istasyonlarında kullanılması amaçlanan anti-virüs koruma araçları (anti-virüs koruma araçlarının bileşenleri);
• “G” tipi - otonom otomatik iş istasyonlarında kullanılması amaçlanan anti-virüs koruma araçları (anti-virüs koruma araçlarının bileşenleri).

“A” tipi antivirüs koruma araçları, bilgi sistemlerinde bağımsız olarak kullanılmaz ve yalnızca “B” ve/veya “C” tipi antivirüs koruma araçlarıyla birlikte kullanılmak üzere tasarlanmıştır.

"Bot" kelimesi "robot" kelimesinin kısaltmasıdır. Bot, bu kodun yazarı olan sahibi için bazı işlevler gerçekleştiren bir kod parçasıdır. Botlar (bot) binlerce bilgisayara yüklenen bir tür kötü amaçlı yazılımdır. Botun kurulu olduğu bilgisayarın adı zombi(zombi). Bot, sahibinden komutlar alır ve virüslü bilgisayarı bu komutları yürütmeye zorlar. Bu tür komutlar spam, virüs göndermek veya saldırı gerçekleştirmek olabilir. Saldırgan bu tür eylemleri kendi bilgisayarı yerine botları kullanarak gerçekleştirmeyi tercih ediyor, çünkü bu onun tespit ve kimlik tespitinden kaçınmasına olanak tanıyor.

Bir saldırgan tarafından ele geçirilen ve üzerine botların yüklendiği bir dizi zombi bilgisayara denir. botnet (botnet). Bir botnet oluşturmak için bilgisayar korsanları binlerce sisteme girerek kötü amaçlı kodları çeşitli farklı yollarla gönderiyorlar: e-posta iletilerine ek olarak, güvenliği ihlal edilmiş web siteleri aracılığıyla, kötü amaçlı sitelere bağlantıları e-posta iletilerine ek olarak göndererek vb. Kötü amaçlı kod, kullanıcının bilgisayarına başarıyla yüklendiğinde saldırgana, sistemin saldırıya uğradığını ve artık saldırganın onu istediği zaman kullanabileceğini belirten bir mesaj gönderir. Örneğin, oluşturulan botnet'i güçlü saldırılar gerçekleştirmek için kullanabilir veya spam gönderenlere kiralayabilir. Üstelik botnet'e dahil olan bilgisayarların çoğu, şüphelenmeyen kullanıcıların ev bilgisayarlarıdır.

Bu botnet'in sahibi, içinde bulunan sistemleri genellikle IRC (Internet Relay Chat) protokolü aracılığıyla uzaktan kontrol eder.

Botnet oluşturma ve kullanmanın temel adımları aşağıda verilmiştir:

1. Bilgisayar korsanı, potansiyel kurbanlara bot yazılımı içeren kötü amaçlı kod göndermek için çeşitli yöntemler kullanır.
2. Kurbanın sistemine başarılı bir şekilde kurulumun ardından bot, kodunda belirtilenlere uygun olarak IRC veya özel bir web sunucusu aracılığıyla botnet'in kontrol sunucusuyla iletişim kurar ve onunla iletişim kurar. Bundan sonra kontrol sunucusu yeni botun kontrolünü devralır.
3. Spam gönderen, bilgisayar korsanına botnet sistemlerini kullanması için ödeme yapar, bilgisayar korsanı kontrol sunucusuna uygun komutları gönderir ve kontrol sunucusu da botnet'te bulunan tüm virüslü sistemlere spam gönderme talimatı verir.

Spam gönderenler bu yöntemi kullanır çünkü bu yöntem, yüklü spam filtrelerini atlayarak mesajlarının alıcılara ulaşma olasılığını önemli ölçüde artırır. bu tür mesajlar hızlı bir şekilde engellenecek veya tüm "kara listelere" eklenecek tek bir adresten değil, saldırıya uğramış bilgisayar sahiplerinin birçok gerçek adresinden gönderilecek.

Bir botnet oluşturmak için, gelecekteki sahibi ya her şeyi kendisi yapar ya da bilgisayar korsanlarına, botnet'inin bir parçası olacak sistemlere bulaşmak üzere kötü amaçlı yazılım geliştirmeleri ve dağıtmaları için para öder. Daha sonra size yeni ürünleri hakkında bilgi vermek isteyenlerin yanı sıra rakiplere saldırmak, kişisel verileri veya kullanıcı şifrelerini çalmak ve daha pek çok kişi botnet sahibiyle iletişime geçecek ve ödeme yapacak.

Geleneksel antivirüs yazılımı, kötü amaçlı kodları tespit etmek için imzaları kullanır. İmzalar, antivirüs yazılımı üreticisi tarafından oluşturulan kötü amaçlı kodun parmak izleridir. İmza, virüsün kendisinden çıkarılan kod parçalarıdır. Bir virüsten koruma programı, belirli bilgisayarlardan geçen dosyaları, e-postaları ve diğer verileri tarar ve bunları virüs imzaları veritabanıyla karşılaştırır. Bir eşleşme algılandığında, antivirüs programı önceden yapılandırılmış bir eylem gerçekleştirir; bu eylem, etkilenen dosyayı karantinaya göndermek, dosyayı "iyileştirmeye" çalışmak (virüsü kaldırmak), kullanıcı için bir uyarı penceresi görüntülemek ve/veya bir etkinliğin kaydedilmesi.

Kötü amaçlı kodun imza tabanlı tespiti kötü amaçlı yazılımları tespit etmenin etkili bir yoludur, ancak yeni tehditlere yanıt vermede belirli gecikmeler vardır. Bir virüs ilk keşfedildikten sonra, antivirüs üreticisinin virüsü incelemesi, yeni imzalar geliştirmesi ve test etmesi, imza veritabanına bir güncelleme yayınlaması ve tüm kullanıcıların güncellemeyi indirmesi gerekir. Kötü amaçlı kod yalnızca fotoğraflarınızı tüm arkadaşlarınıza gönderiyorsa bu gecikme o kadar da kritik değildir. Ancak kötü amaçlı yazılım Slammer solucanına benziyorsa, böyle bir gecikmeden kaynaklanan hasar felaketle sonuçlanabilir.

NOT. Slammer solucanı 2003 yılında ortaya çıktı. Microsoft SQL Server 2000 DBMS'deki bir güvenlik açığından yararlanarak hizmet reddine neden oldu. Bazı tahminlere göre Slammer 1 milyar dolardan fazla hasara neden oldu.

Her gün yeni kötü amaçlı yazılımların oluşturulduğu göz önüne alındığında, antivirüs yazılımı üreticilerinin buna ayak uydurması zordur. Virüs imza teknolojisi, önceden tanımlanmış ve imzası oluşturulmuş virüsleri tespit etmenize olanak tanır. Ancak virüs yazarları çok üretken olduğundan ve birçok virüs kendi kodlarını değiştirebildiğinden, antivirüs yazılımlarının kötü amaçlı kodları algılayacak başka mekanizmalara sahip olması önemlidir.

Hemen hemen tüm antivirüs yazılımı ürünlerinin kullandığı bir diğer yöntem ise kötü amaçlı kodları tespit etmektir. buluşsal analiz (sezgisel algılama). Bu yöntem, kötü amaçlı kodun genel yapısını analiz eder, kodun yürüttüğü talimatları ve algoritmaları değerlendirir ve kötü amaçlı programın kullandığı veri türlerini inceler. Böylece bir kod parçası hakkında büyük miktarda bilgi toplar ve onun doğası gereği kötü amaçlı olma olasılığını değerlendirir. Antivirüs programı içinde yeni potansiyel olarak tehlikeli (şüpheli) özellikler buldukça artan bir tür "şüphelilik sayacı" kullanır. Önceden belirlenmiş bir eşiğe ulaşıldığında kod tehlikeli olarak kabul edilir ve antivirüs programı uygun savunma mekanizmalarını başlatır. Bu, antivirüs yazılımının yalnızca imzalara güvenmek yerine bilinmeyen kötü amaçlı yazılımları tanımasına olanak tanır.

Aşağıdaki benzetmeyi düşünün. Ivan bir polis memuru, kötü adamları yakalayıp hapse atmaya çalışıyor. Ivan imza yöntemini kullanacaksa sokakta gördüğü her insanın fotoğraf yığınlarını karşılaştırıyor. Bir kibrit gördüğünde kötü adamı hemen yakalayıp devriye arabasına bindirir. Buluşsal bir yöntem kullanacaksa şüpheli faaliyetleri izliyor. Örneğin, bir bankanın önünde kar maskeli bir adam görürse, onun banka müşterilerinden para üstü isteyen soğuk bir adam değil, bir soyguncu olma olasılığını değerlendirir.

NOT. Disksiz iş istasyonları, sabit disk ve tam teşekküllü bir işletim sistemi olmamasına rağmen virüslere karşı da savunmasızdır. Bellekte indirilen ve yaşayan virüslerden etkilenmiş olabilirler. Bu tür sistemler, belleği temizlemek ve orijinal durumuna geri döndürmek için uzaktan yeniden başlatılabilir (uzaktan yeniden başlatma). virüs böyle bir sistemde kısa süreliğine yaşar.

Bazı antivirüs ürünleri, sanal makine veya korumalı alan adı verilen yapay bir ortam oluşturur ve bazı şüpheli kodların korumalı bir ortamda çalışmasına izin verir. Bu, antivirüs programına kodu çalışırken görme yeteneği verir ve bu da kodun kötü amaçlı olup olmadığına karar vermek için çok daha fazla bilgi sağlar.

NOT. Bazen sanal makine veya sanal alan denir öykünme arabelleği(emülasyon arabelleği). Bu, korumalı bellek bölümüyle aynıdır; dolayısıyla kodun kötü amaçlı olduğu ortaya çıksa bile sistem yine de güvende kalacaktır.

Bir kod parçasına ait bilgilerin analiz edilmesine ne ad verilir? statik analiz , eğer bir kod parçasını sanal makinede çalıştırırsanız buna denir dinamik analiz . Bu yöntemlerin her ikisi de buluşsal tespit yöntemleri olarak kabul edilir.

Aşılama. Bazı antivirüs programlarının kullandığı başka bir yaklaşıma ise aşı(bağışıklama). Bu işlevselliğe sahip ürünler, dosyalara ve disk alanlarına zaten virüs bulaşmış gibi görünmelerini sağlayacak değişiklikler yaptı. Bu durumda virüs, dosyanın (diskin) zaten virüslü olduğuna ve herhangi bir ek değişiklik yapmayacağına karar vererek bir sonraki dosyaya geçebilir.

Bir aşı programı, kural olarak belirli bir virüsü hedef alır, çünkü her biri enfeksiyon gerçeğini farklı şekilde kontrol eder ve dosyada (diskteki) farklı verileri (imzaları) arar. Ancak virüslerin ve diğer kötü amaçlı yazılımların sayısı ve korunması gereken dosyaların sayısı sürekli artıyor; dolayısıyla bu yaklaşım şu anda çoğu durumda pratik değil ve antivirüs üreticileri artık bunu kullanmıyor.

Şu anda, tüm bu karmaşık ve etkili yaklaşımlara rağmen, virüsten koruma araçlarının etkinliğinin kesin bir garantisi yoktur, çünkü virüs yazarları çok kurnazdır. Bu her gün devam eden sürekli bir kedi fare oyunudur. Antivirüs endüstrisi kötü amaçlı yazılımları tespit etmenin yeni bir yolunu buluyor ve önümüzdeki hafta virüs yazarları bu yeni yöntemi aşmanın bir yolunu buluyor. Bu, antivirüs üreticilerini ürünlerinin zekasını sürekli artırmaya zorluyor ve kullanıcılar her yıl bunların yeni sürümlerini satın almak zorunda kalıyor.

Antivirüs yazılımının evrimindeki bir sonraki aşamaya denir davranış engelleyiciler (davranış engelleyici). Davranışsal engelleme gerçekleştiren antivirüs yazılımı, esasen şüpheli kodun korumasız bir işletim sisteminde çalıştırılmasına izin verir ve şüpheli etkinliğe dikkat ederek işletim sistemiyle etkileşimini izler. Antivirüs yazılımı özellikle aşağıdaki etkinlik türlerini izler:

• Sistem başlangıcında otomatik olarak yüklenen dosyalara veya sistem kayıt defterindeki başlangıç ​​bölümlerine yazma
• Dosyaları açma, silme veya değiştirme
• Yürütülebilir kod göndermek için e-posta iletilerine komut dosyaları ekleme
• Ağ kaynaklarına veya paylaşılan klasörlere bağlanma
• Yürütülebilir kodun mantığını değiştirme
• Makroları ve komut dosyalarını oluşturma veya değiştirme
• Sabit sürücüyü biçimlendirme veya önyükleme sektörüne yazma

Bir virüsten koruma programı bu potansiyel olarak tehlikeli etkinliklerden bazılarını algılarsa, programı sonlandırmaya ve kullanıcıya bildirimde bulunmaya zorlayabilir. Yeni nesil davranışsal engelleyiciler aslında sisteme virüs bulaştığına karar vermeden önce bu tür eylemlerin sırasını analiz eder (ilk nesil davranışsal engelleyiciler yalnızca bireysel eylemleri tetikledi ve bu da çok sayıda yanlış pozitife yol açtı). Modern antivirüs yazılımı, tehlikeli kod parçalarının yürütülmesini engelleyebilir ve bunların çalışan diğer işlemlerle etkileşimini engelleyebilir. Ayrıca tespit edebilirler. Bu antivirüs programlarından bazıları, kötü amaçlı kodun yaptığı tüm değişiklikleri "silerek" sistemi bulaşmadan önceki durumuna "geri döndürmenize" olanak tanır.

Görünüşe göre davranış engelleyiciler, kötü amaçlı kodla ilgili tüm sorunları tamamen çözebilir, ancak bunların bir dezavantajı vardır, bu da kötü amaçlı kodun gerçek zamanlı olarak izlenmesini gerektirir, aksi takdirde sisteme hala virüs bulaşmış olabilir. Ayrıca sürekli izleme, büyük miktarda sistem kaynağı gerektirir...

NOT. Sezgisel analiz ve davranışa dayalı engelleme, proaktif teknikler olarak kabul edilir ve bazen sıfır gün saldırıları olarak adlandırılan yeni kötü amaçlı yazılımları tespit edebilir. İmza tabanlı kötü amaçlı yazılım tespiti, yeni kötü amaçlı yazılımları tanımlayamaz.

Çoğu antivirüs programı, mümkün olan en iyi korumayı sağlamak için bu teknolojilerin bir kombinasyonunu kullanır. Seçilen kötü amaçlı yazılımdan koruma çözümleri Şekil 9-20'de gösterilmektedir.

Şekil 9-20. Antivirüs yazılımı üreticileri kötü amaçlı kodları tespit etmek için farklı yöntemler kullanıyor

İhtiyacımız olmayan bir şeyi satın almamızı isteyen e-postalardan hepimiz çok yorulduk. Bu tür harflere denir istenmeyen e-posta (spam) istenmeyen e-posta mesajlarıdır. Spam, yalnızca alıcılarının dikkatini işlerinden uzaklaştırmakla kalmaz, aynı zamanda önemli miktarda ağ bant genişliği tüketir ve aynı zamanda kötü amaçlı yazılım kaynağı da olabilir. Birçok şirket, e-posta sunucularında spam filtreleri kullanır ve kullanıcılar, e-posta istemcilerinde spam filtreleme kurallarını yapılandırabilir. Ancak virüs yazarlarının yanı sıra spam gönderenler de sürekli olarak spam filtrelerini aşmanın yeni ve ustaca yollarını buluyor.

Etkili spam tespiti gerçek bir bilim haline geldi. Kullanılan yöntemlerden birine denir Bayes filtreleme (Bayes filtreleme). Yıllar önce Thomas Bayes (matematikçi) adında bir beyefendi, matematiği kullanarak herhangi bir olayın gerçekleşme olasılığını tahmin etmenin etkili bir yolunu geliştirdi. Bayes teoremi, bir olayın yalnızca dolaylı kanıtların (veriler) varlığında meydana gelme olasılığını belirlememize olanak tanır; bu kanıtlar hatalı olabilir. Kavramsal olarak bunu anlamak o kadar da zor değil. Başınızı üç kez bir tuğla duvara vurursanız ve her seferinde düşerseniz, daha sonraki denemelerin aynı acı sonuçlara yol açacağı sonucuna varabilirsiniz. Bu mantığın çok daha fazla değişken içeren eylemlere uygulanması daha ilginçtir. Örneğin sizden Viagra satın alma teklifi içeren mektuplara izin vermeyen, ancak bu ilaca çok ilgi duyan ve size onun özellikleri ve etkileri hakkında mesajlar yazan arkadaşınızdan gelen postaların teslimini engellemeyen bir spam filtresi nasıl çalışır? vücutta mı? Bayes filtresi, e-posta mesajlarını oluşturan kelimelere istatistiksel modelleme uygular. Bu kelimelerin birbirleriyle olan ilişkilerini tam olarak anlamak için matematiksel formüller uygulanır. Bayes filtresi, her kelime üzerinde frekans analizi yapar ve ardından mesajın spam olup olmadığını belirlemek için mesajı bir bütün olarak değerlendirir.

Bu filtre yalnızca "Viagra", "seks" vb. kelimeleri aramaz, aynı zamanda bu kelimelerin ne sıklıkta kullanıldığına ve bir mesajın spam olup olmadığını belirlemek için hangi sırayla kullanıldığına da bakar. Ne yazık ki, spam gönderenler bu filtrelerin nasıl çalıştığını biliyorlar ve spam filtresini kandırmaya çalışmak için mesajın konu satırındaki ve gövdesindeki kelimeleri değiştiriyorlar. Bu nedenle yazım yanlışları veya harf yerine sembollerin kullanıldığı kelimeler içeren spam mesajlar alabilirsiniz. Spam gönderenler mesajlarını almanızla çok ilgileniyorlar çünkü bundan çok para kazanıyorlar.

Şirketleri çok çeşitli kötü amaçlı yazılımlardan korumak, antivirüs yazılımından daha fazlasını gerektirir. Diğer bileşenlerde olduğu gibi, belirli ek idari, fiziksel ve teknik önlemlerin uygulanması ve sürdürülmesi gerekmektedir.

Şirketin ayrı bir anti-virüs politikası olması veya genel politikada anti-virüs koruma hususlarının dikkate alınması gerekir. Şirkette kullanılması gereken anti-virüs ve anti-spyware yazılım türlerini ve bunların konfigürasyonunun ana parametrelerini tanımlayacak şekilde geliştirilmelidir.

Programda virüs saldırıları, kullanılan antivirüs koruma araçları ve kullanıcılardan beklenen davranışlar hakkında bilgi verilmelidir. Her kullanıcı bilgisayarında virüs tespit edilmesi durumunda ne yapması gerektiğini ve nereye gitmesi gerektiğini bilmelidir. Standart, kötü amaçlı kodla ilişkili kullanıcı eylemleriyle ilgili tüm sorunları ele almalı ve kullanıcının ne yapması gerektiğini ve ne yapmasının yasak olduğunu belirtmelidir. Standart özellikle aşağıdaki soruları içermelidir:

• Anti-virüs yazılımı her iş istasyonuna, sunucuya, iletişim cihazına ve akıllı telefona kurulmalıdır.
• Bu aygıtların her birinin, her aygıtta etkinleştirilmesi ve yapılandırılması gereken antivirüs imzalarını otomatik olarak güncelleme yöntemi bulunmalıdır.
• Kullanıcı antivirüs yazılımını devre dışı bırakamamalıdır.
• Virüs temizleme süreci önceden geliştirilip planlanmalı, zararlı kod tespit edilmesi durumunda bir irtibat kişisi belirlenip atanmalıdır.
• Tüm harici sürücüler (USB sürücüler vb.) otomatik olarak taranmalıdır.
• Yedekleme dosyaları taranmalıdır.
• Antivirüs politikaları ve prosedürleri yıllık olarak gözden geçirilmelidir.
• Kullandığınız antivirüs yazılımı, önyükleme virüslerine karşı koruma sağlamalıdır.
• Antivirüs taraması ağ geçidinde ve her bir cihazda bağımsız olarak gerçekleştirilmelidir.
• Anti-virüs taraması belirli bir programa göre otomatik olarak çalışmalıdır. Taramaları manuel olarak çalıştırmak için kullanıcılara güvenmeniz gerekmez.
• Kritik sistemler, üzerlerine kötü amaçlı yazılımların yerel olarak yüklenmesini imkansız kılacak şekilde fiziksel olarak korunmalıdır.

Kötü amaçlı yazılımların milyonlarca dolarlık hasara (operasyonel maliyetler, üretkenlik kaybı) neden olabileceğinden, birçok şirket tüm ağ giriş noktalarına antivirüs çözümleri kurar. Posta sunucusu yazılımına bir anti-virüs tarayıcısı entegre edilebilir veya . Bu anti-virüs tarayıcısı, dahili ağa ulaşmadan önce bile önceden tespit edip durdurmak için gelen tüm trafiği kötü amaçlı kodların varlığına karşı kontrol eder. Bu işlevselliği uygulayan ürünler SMTP, HTTP, FTP ve muhtemelen diğer protokollerden gelen trafiği tarayabilir. Ancak böyle bir ürünün gelen trafiğin tamamını değil yalnızca bir veya iki protokolü izlediğini anlamak önemlidir. Bu, her sunucu ve iş istasyonunda antivirüs yazılımının da kurulu olmasının nedenlerinden biridir.

Rusya Federasyonu Ceza Kanunu'nun 273. maddesinde, kötü amaçlı yazılım"Bilginin izinsiz olarak imha edilmesine, engellenmesine, değiştirilmesine veya kopyalanmasına, bir bilgisayarın, bilgisayar sisteminin veya bunların ağının çalışmasının kesintiye uğramasına neden olan" bilgisayar programlarını veya mevcut programlarda yapılan değişiklikleri ifade eder.

Microsoft Corporation, kötü amaçlı yazılım terimini şu şekilde tanımlayarak kullanır: “kötü amaçlı yazılım, kötü amaçlı yazılımın kısaltmasıdır ve genellikle, hangi durumda olursa olsun, bireysel bir bilgisayara, sunucuya veya bilgisayar ağına zarar vermek üzere özel olarak tasarlanmış herhangi bir yazılıma atıfta bulunmak için ortak bir terim olarak kullanılır. İster virüs, ister casus yazılım, vb. olsun.”

Bu tür bir yazılımın neden olduğu zarar aşağıdakileri içerebilir:

• davetsiz misafir tarafından saldırıya uğrayan bilgisayarın (ağın) yazılımı ve donanımı;
• bilgisayar kullanıcı verileri;
• bilgisayar kullanıcısının kendisine (dolaylı olarak);
• diğer bilgisayarların kullanıcıları (dolaylı olarak).

Bilgisayar sistemleri ve ağlarının kullanıcılarına ve/veya sahiplerine gelebilecek özel hasarlar aşağıdakileri içerebilir:

• değerli bilgilerin (finansal bilgiler dahil) sızması ve/veya kaybı;
• sistemde yüklü yazılımın anormal davranışı;
• gelen ve (veya) giden trafikte keskin bir artış;
• bilgisayar ağının yavaşlaması veya tamamen arızalanması;
• kuruluş çalışanlarının çalışma süresi kaybı;
• suçlunun kurumsal bilgisayar ağının kaynaklarına erişimi;
• Dolandırıcılık kurbanı olma riski.

Kötü amaçlı yazılım belirtileri aşağıdakileri içerir:

• bir bilgisayar sistemindeki varlığınızı gizlemek;
• kendi kendini kopyalamanın uygulanması, kodunuzun diğer programlarla ilişkilendirilmesi, kodunuzun daha önce bilgisayar belleğinin boş alanlarına aktarılması;
• bilgisayarın RAM'indeki diğer programların kodlarının bozulması;
• diğer işlemlerin RAM'inden verilerin bilgisayar belleğinin diğer alanlarına kaydedilmesi;
• diğer programların çalışması sonucunda elde edilen veya bilgisayarın harici belleğinde zaten bulunan depolanan veya iletilen verilerin bozulması, engellenmesi, değiştirilmesi;
• programın gerçekleştirdiği iddia edilen eylemler hakkında kullanıcıyı yanlış bilgilendirmek.

Kötü amaçlı bir program, yukarıda listelenen özelliklerden yalnızca birine veya bunların bir kombinasyonuna sahip olabilir. Açıkçası, yukarıdaki liste kapsamlı değildir.

Maddi faydaların varlığına bağlı olarak, kötü amaçlı yazılımlar (yazılımlar) aşağıdakilere ayrılabilir:

• kötü amaçlı programı geliştiren (yükleyen) kişiye doğrudan maddi fayda sağlamamak (holiganlık, "şaka", vandalizm, dini, milliyetçi, siyasi gerekçeler, kendini onaylama ve kişinin niteliklerini doğrulama arzusu dahil);
• Banka-müşteri sistemlerine erişim sağlamak, kredi kartlarının PIN kodlarını ve kullanıcının diğer kişisel verilerini elde etmek ve aynı zamanda uzak bilgisayar sistemleri üzerinde kontrol sağlamak da dahil olmak üzere gizli bilgilerin çalınması şeklinde suçluya doğrudan maddi fayda sağlamak. Çok sayıda “virüs bulaşmış” bilgisayardan (zombi bilgisayarlar) spam dağıtma amacı.

Kötü amaçlı yazılımlar, geliştirme amacına bağlı olarak aşağıdakilere ayrılabilir:

• Başlangıçta, bilgi sahibine ve/veya bilgisayarın sahibine (bilgisayar ağı) zarar vermek amacıyla bir bilgisayarda depolanan bilgilere yetkisiz erişim elde etmek için özel olarak geliştirilmiş yazılım;
• Başlangıçta özellikle bir bilgisayarda depolanan bilgilere yetkisiz erişim elde etmek için geliştirilmemiş ve başlangıçta bilginin sahibine ve/veya bilgisayarın sahibine (bilgisayar ağı) zarar vermesi amaçlanmayan yazılım.

Son zamanlarda, kötü amaçlı yazılım oluşturma endüstrisinin suç sayılması söz konusu oldu ve bunun sonucunda aşağıdakiler ortaya çıktı:

• gizli bilgilerin çalınması (ticari sırlar, kişisel veriler);
• spam, dağıtılmış hizmet reddi saldırıları (DDoS saldırıları) göndermek için tasarlanmış zombi ağları ("botnet'ler") oluşturmak ve Truva atı proxy sunucularını tanıtmak;
• kullanıcı bilgilerinin müteakip şantaj ve fidye talepleriyle şifrelenmesi;
• antivirüs ürünlerine yönelik saldırılar;
• sözde temizleme (kalıcı hizmet reddi - PDoS).

Hizmet reddi saldırıları artık kurbanlardan zorla para alma aracı olarak değil, siyasi ve rekabetçi bir savaş aracı olarak kullanılıyor. Daha önce DoS saldırıları yalnızca gaspçıların veya holiganların elindeki bir araçtı, şimdi ise spam postalar veya özel yapım kötü amaçlı yazılımlarla aynı ürün haline geldiler. DoS saldırı hizmetlerinin reklamı sıradan hale geldi ve fiyatlar zaten spam postaları düzenlemenin maliyetiyle karşılaştırılabilir durumda.

Bilgisayar ve ağ güvenliği konusunda uzmanlaşmış şirketler, kalıcı hizmet reddi (ROoS) adı verilen yeni bir tehdit türüne dikkat çekiyor. Yeni saldırı türü başka bir isim aldı - kızarma. Bilgisayar donanımını devre dışı bırakmayı amaçladığından, sisteme diğer herhangi bir kötü amaçlı ağ etkinliğinden çok daha fazla zarar verme potansiyeline sahiptir. RooB saldırıları, bilgisayar korsanının kurbanın sistemine kötü amaçlı yazılım yüklemeye çalıştığı geleneksel saldırı türlerinden daha etkili ve daha ucuzdur. Yanıp sönme sırasında saldırının hedefi, hasar gördüğünde cihazların çalışmasını bozan ve potansiyel olarak onları fiziksel olarak yok etme kapasitesine sahip olan VUB flash belleğindeki ve cihaz sürücülerindeki programlardır.

Gizli bilgileri çalmayı amaçlayan bir diğer saldırı türü, saldırganların bir şirketin bilgi sistemine, sistemin çalışmasını engelleyebilecek kötü amaçlı bir program yerleştirmesidir. Bir sonraki aşamada, saldırıya uğrayan şirket, suçlulardan şirketin bilgisayar sisteminin kilidini açmalarına olanak sağlayacak bir şifre için para talep eden bir mektup alır. Yasa dışı olarak çevrimiçi para kazanmanın bir başka benzer yolu da bilgisayarınıza verileri şifreleyebilecek Truva atı programları başlatmaktır. Şifre çözme anahtarı da suçlular tarafından belirli bir parasal ödül karşılığında gönderiliyor.

Saldırıya uğrayan bilgisayarın kullanıcısının saldırganın ilgisini çeken kişisel verileri şunları içerir:

• bilgisayar belleğinde saklanan belgeler ve diğer kullanıcı verileri;
• çeşitli ağ kaynaklarına (elektronik para ve ödeme sistemleri, İnternet açık artırmaları, İnternet çağrı cihazları, e-posta, İnternet siteleri ve forumlar, çevrimiçi oyunlar) erişim için hesap adları ve şifreler;
• diğer kullanıcıların e-posta adresleri, ağdaki diğer bilgisayarların 1P adresleri.

İnternetin sağladığı yeni fırsatlar ve özellikle sosyal ağların yaygınlaşması sayesinde, giderek artan sayıda insan düzenli olarak İnternet kaynaklarına yönelmekte ve amacı hem gizli kullanıcı verilerini çalmak hem de "zombi" olmak olan giderek daha karmaşık saldırıların kurbanı olmaktadır. ” bilgisayarlarının kaynaklarının ihlalciler tarafından daha sonra kullanılması amacıyla.

Bir "zombi" ağının etkili çalışması, geleneksel olarak içerdiği üç bileşen tarafından belirlenir:

• görevi kendi kodunu ve ana işi gerçekleştiren bot programının kodunu dağıtmak olan bir yükleyici program;
• gizli bilgileri toplayan ve ileten, spam gönderen, bir EEoB saldırısına katılan ve ihlalci tarafından kendisine atanan diğer eylemleri gerçekleştiren bir bot programı;
• bot programlarından bilgi toplayan ve onlara güncellemeler ve gerekirse bot programlarını "yeniden hedefleyen" yeni yapılandırma dosyaları gönderen bir botnet kontrol modülü.

Kötü amaçlı yazılımlara karşı koymak için kullanıcıya yüklenen antivirüs yazılımı örnekleri şunlardır:

• anti-virüs tarayıcısının veya monitörün zorla durdurulması;
• kötü amaçlı programın uygulanmasını ve çalışmasını kolaylaştırmak için güvenlik sistemi ayarlarının değiştirilmesi;
• Kullanıcı tespit edilen kötü amaçlı yazılım hakkında bir uyarı aldıktan sonra “Atla” düğmesine otomatik olarak tıklamak;
• sistemdeki varlığınızı gizlemek ("rootkit'ler" olarak adlandırılır);
• Kötü amaçlı kodun ek dönüşümü (şifreleme, gizleme veya gizleme, polimorfizm, paketleme) yoluyla antivirüs analizini karmaşık hale getirmek.

Son yıllara kadar anti-virüs programlarının çalışması yalnızca taranan nesnenin içeriğinin analizine dayanıyordu. Aynı zamanda, virüsleri tespit etmeye yönelik daha önceki imza tabanlı yöntem (tarama olarak adlandırılan), kötü amaçlı yazılımın ikili kodunda bulunan, genellikle nesnenin başlangıcından itibaren belirli bir uzaklıktaki sabit bayt dizileri için bir arama kullanıyordu. programı. Biraz sonra ortaya çıkan buluşsal analiz, taranan nesnenin içeriğini de kontrol etti, ancak potansiyel olarak kötü amaçlı bir programın karakteristiği olan bayt dizileri için daha özgür, olasılıklı bir aramaya dayanıyordu. Açıkçası, kötü amaçlı bir program, her kopyası yeni bir bayt kümesi ise bu tür korumayı kolayca atlayacaktır.

Bu tam olarak polimorfizm ve metamorfizmin çözdüğü sorundur; bunun özü, bir sonraki kopyasını oluştururken kötü amaçlı programın, oluştuğu bayt kümesi düzeyinde tamamen değişmesidir. Ancak işlevselliği değişmeden kalır.

Şifreleme ve gizleme (kod gizleme) esas olarak program kodunu analiz etmeyi zorlaştırmayı amaçlar, ancak belirli bir şekilde uygulandıklarında polimorfizm türleri haline gelirler (örneğin, bir virüsün her kopyasını benzersiz bir anahtarla şifrelemek) ). Gizlemenin kendisi yalnızca analizi karmaşık hale getirir, ancak kötü amaçlı yazılımın her kopyasında yeni bir şekilde kullanıldığında anti-virüs taramasına müdahale eder.

Polimorfizm, yalnızca dosyalara bulaşan virüsler çağında nispeten yaygınlaştı. Bu, polimorfik kod yazmanın çok karmaşık ve kaynak yoğun bir görev olduğu ve yalnızca kötü amaçlı programın bağımsız olarak yeniden üretildiği durumlarda haklı olduğu gerçeğiyle açıklanmaktadır: her yeni kopyası, az çok benzersiz bir bayt kümesidir. Kendi kendini kopyalama işlevi olmayan çoğu modern kötü amaçlı yazılım için bu durum geçerli değildir. Bu nedenle kötü amaçlı yazılımlarda polimorfizm şu anda pek yaygın değil.

Aksine, taramayı karmaşıklaştırma görevini değil, sezgisel analizini karmaşıklaştırma sorununu büyük ölçüde çözen gizleme ve diğer kod değiştirme yöntemleri, bu durum nedeniyle alaka düzeyini kaybetmez.

Kötü amaçlı bir programa sahip bir dosyanın boyutunu azaltmak için, paketleyiciler adı verilen dosyalar kullanılır - dosyayı arşivleyici ilkesine göre işleyen özel programlar. Paketleyici kullanmanın (antivirüs programlarına karşı koyma açısından) bir yan ve yararlı etkisi, antivirüs taramasının biraz zor olmasıdır.

Bu, kötü amaçlı bir programda yeni bir değişiklik geliştirirken, yazarının genellikle birkaç kod satırını değiştirerek çekirdeğini sağlam bırakmasıyla açıklanmaktadır. Yürütülebilir kodda, dosyanın belirli bir bölümündeki baytlar değişir ve antivirüs programının kullandığı imza bu özel bölümden oluşmuyorsa, kötü amaçlı program yine de tespit edilecektir. Programın bir paketleyiciyle işlenmesi bu sorunu çözer, çünkü yürütülebilir kaynak koddaki bir baytın değiştirilmesi bile paketlenmiş dosyada tamamen yeni bir bayt kümesiyle sonuçlanır.

Birçok modern paketleyici, kaynak dosyayı sıkıştırmanın yanı sıra, dosyanın paketinden çıkarılmasını ve bir hata ayıklayıcı kullanarak analiz edilmesini zorlaştırmayı amaçlayan ek kendini savunma işlevleri de sağlar.

Kötü amaçlı yazılım (bazen aynı zamanda yıkıcı yazılım etkileri) Bilgisayar virüslerini ve yazılım yer imlerini eklemek gelenekseldir. İlk kez dönem bilgisayar virüsü ABD'li uzman F. Cohen tarafından 1984 yılında tanıtıldı. "Klasik" bir bilgisayar virüsü, aynı anda üç özelliğe sahip, bağımsız olarak çalışan bir programdır:

• kodunuzu diğer nesnelerin (dosyalar ve bilgisayar belleğinin sistem alanları) gövdelerine dahil etme yeteneği;
• müteakip bağımsız uygulama;
• bilgisayar sistemlerinde bağımsız dağıtım.

Bilgisayar virüsleri, ağdaki diğer bilgisayarlara sızmak için ağ hizmetlerini kullanmaz. Virüsün bir kopyası uzak bilgisayarlara yalnızca virüs bulaşmış nesnenin, virüsün kontrolü dışındaki bir nedenden dolayı başka bir bilgisayarda etkinleştirilmesi durumunda ulaşır, örneğin:

• Kullanıcı tarafından erişilebilen ağ sürücülerine bulaşırken, virüs bu ağ kaynaklarında bulunan dosyalara nüfuz etti;
• virüs kendisini çıkarılabilir medyaya veya üzerindeki virüslü dosyalara kopyalamıştır;
• Kullanıcı, virüs bulaşmış ek içeren bir e-posta gönderdi.

Önemli bir gerçek şu ki, virüsler bir bilgisayarın sınırlarının ötesine yayılacak araçlara sahip değildir. Bu yalnızca çıkarılabilir bir depolama ortamına (disket, flash sürücü) virüs bulaştığında veya kullanıcının kendisi virüs bulaşmış bir dosyayı ağ üzerinden başka bir bilgisayara aktardığında gerçekleşebilir.

Önyükleme virüsleri bir sabit diskin ana önyükleme sektörüne (Ana Önyükleme kaydı - MBR) veya bir sabit disk bölümünün, sistem disketinin veya önyükleme CD'sinin (Önyükleme Kaydı - BR) önyükleme sektörüne bulaşarak, bunların içerdiği önyükleme ve işletim sistemi önyükleme programlarının değiştirilmesi onların koduyla. Bu sektörlerin orijinal içerikleri diskin serbest sektörlerinden birinde veya doğrudan virüsün gövdesinde depolanır.

Sabit diskin sıfır silindirinin sıfır kafasının ilk sektörü olan MBR'ye bulaştıktan sonra virüs, BIOS Kurulum programının (eğer çağrılmışsa) donanım test prosedürünün (POST) tamamlanmasından hemen sonra kontrolü ele geçirir. kullanıcı), BIOS prosedürleri ve uzantıları. Kontrolü ele geçiren önyükleme virüsü aşağıdaki eylemleri gerçekleştirir:

• 1) kodunuzu bilgisayarın RAM'inin sonuna kopyalamak, böylece boş kısmının boyutunu azaltmak;
• 2) esas olarak disklere erişimle ilgili çeşitli BIOS kesintilerinin geçersiz kılınması;
• 3) gerçek bir önyükleme programının bilgisayarın RAM belleğine yüklenmesi; işlevleri, sabit sürücü bölüm tablosunun görüntülenmesini, etkin bölümün belirlenmesini, kontrolün etkin bölümün işletim sistemi önyükleme programına yüklenmesini ve aktarılmasını içerir;
• 4) kontrolün gerçek önyükleme programına aktarılması.

VY'deki bir önyükleme virüsü, işletim sistemi önyükleme programının yerini alarak benzer şekilde çalışır. Bir bilgisayara önyükleme virüsü bulaşmasının yaygın bir biçimi, önyükleme sektörüne virüs bulaşmış olan sistem dışı bir disketten (veya CO diskinden) kazara önyükleme girişimidir. Bu durum, işletim sistemi yeniden başlatıldığında sürücüde virüslü bir disket kaldığında ortaya çıkar. Bir sabit sürücünün ana önyükleme sektörüne virüs bulaştığında, virüs bulaşmamış herhangi bir diskete ilk kez erişildiğinde virüs yayılır.

Önyükleme virüsleri genellikle yerleşik virüsler grubuna aittir. Önyükleme virüsleri geçen yüzyılın 90'lı yıllarında oldukça yaygındı, ancak 32 bit işletim sistemlerine geçiş ve bilgi alışverişinin ana yöntemi olarak disket kullanımının terk edilmesiyle pratik olarak ortadan kalktı. Teorik olarak, SP disklerine ve flash disklere bulaşan önyükleme virüslerinin ortaya çıkması mümkündür, ancak şu ana kadar böyle bir virüs tespit edilmedi.

Dosya virüsleriçeşitli türlerdeki dosyalara bulaşmak:

• program dosyaları, aygıt sürücüsü dosyaları ve diğer işletim sistemi modülleri;
• makro içerebilecek belge dosyaları;
• komut dosyaları (komut dosyaları) veya ayrı komut dosyaları vb. içerebilen belge dosyaları.

Bir dosyaya virüs bulaştığında virüs, kodunu dosyanın başına, ortasına, sonuna ya da aynı anda birkaç yere yazar. Kaynak dosya, dosya açıldığında kontrol anında virüs koduna aktarılacak şekilde değiştirilir. Kontrolü aldıktan sonra virüs kodu aşağıdaki eylem dizisini gerçekleştirir:

• 1) diğer dosyalara (birleşik virüsler) ve disk belleğinin sistem alanlarına bulaşma;
• 2) RAM'e kendi yerleşik modüllerinin (yerleşik virüsler) kurulması;
• 3) virüsün uyguladığı algoritmaya bağlı olarak diğer eylemlerin gerçekleştirilmesi;
• 4) bir dosyayı açmak için olağan prosedüre devam edilmesi (örneğin, kontrolün virüslü programın kaynak koduna aktarılması).

Program dosyalarındaki virüsler, bulaştığında başlıklarını, programı RAM'e yükledikten sonra kontrol virüs koduna aktarılacak şekilde değiştirir. Örneğin, Windows ve OS/2 işletim sistemlerinin taşınabilir yürütülebilir dosya formatı (Portable Executable - PE) aşağıdaki yapıya sahiptir:

• 1) MS-DOS işletim sistemi biçimindeki başlık;
• 2) MS-DOS işletim sistemi ortamında bir Windows uygulamasını başlatmaya çalışırken kontrolü ele alan gerçek işlemci modu programının kodu;
• 3) PE dosya başlığı;
• 4) ek (isteğe bağlı) PE dosya başlığı;
• 5) tüm uygulama bölümlerinin başlıkları ve gövdeleri (program kodu, statik verileri, program tarafından dışa aktarılan veriler, program tarafından içe aktarılan veriler, hata ayıklama bilgileri vb.).

İsteğe bağlı PE dosya başlığını içeren bölüm, uygulamanın giriş noktasının adresini içeren bir alan içerir. Uygulama kodu bölümündeki giriş noktasından hemen önce, yürütülebilir kod işlemin adres alanına yüklendiğinde geçerli adreslerle doldurulan bir İçe Aktarma Adres Tablosu (IAT) bulunur.

Bir virüs bir program dosyasına bulaştığında, uygulamanın giriş noktası adresi virüs kodunun başlangıcını işaret edecek şekilde değiştirilir ve program dosyası yüklendiğinde kontrolün otomatik olarak ele alınmasını sağlar. Diğer dosyalara bulaşmak amacıyla bazı sistem işlevlerine (örneğin, CreateProcess, CreateFile, ReadFile, WriteFile, CloseHandle) yapılan çağrıları engellemek için işletim sistemi çekirdek modüllerini (örneğin, kernel32.dll) değiştirmek de mümkündür.

Bir tür dosya virüsü, virüs bulaşmış bir mantıksal disk veya disketin kümelerindeki virüslerdir. Virüs bulaştığında, virüs kodu, Dosya Ayırma Tablosunda (FAT) son dosya kümesi olarak işaretlenen boş disk kümelerinden birine kopyalanır. Daha sonra dizindeki program dosyalarının açıklamaları değiştirilir - dosyaya tahsis edilen ilk kümenin numarası yerine virüs kodunu içeren kümenin numarası yerleştirilir. Bu durumda, virüslü dosyanın ilk kümesinin gerçek numarası şifrelenir ve örneğin dizindeki dosya açıklamasının kullanılmayan bir bölümünde saklanır.

Virüs bulaşmış bir dosya başlatıldığında, kontrol virüs kodu tarafından elde edilir; bu özellik:

• 1) yerleşik modülünü RAM'e yükler; bu daha sonra virüslü diske tüm erişimi keser;
• 2) kaynak program dosyasını yükler ve kontrolü ona aktarır.

Daha sonra virüs bulaşmış dosyaların bulunduğu dizine erişildiğinde, virüsün yerleşik kısmı, virüslü dosyalara tahsis edilen ilk kümelerin sayılarının gerçek değerlerini işletim sistemine iletir.

Örneğin Microsoft Office programları tarafından oluşturulan belge dosyalarındaki virüsler, içerdikleri makrolar (Visual Basic for Applications - VBA programlama dilindeki prosedürler) kullanılarak dağıtılır. Bu nedenle bu tür virüslere bazen makro virüsler veya basitçe denir. makrovirüsler.

Makro programlama dilleri, özellikle VBA, nesne yönelimli programlama teknolojisini destekleyen, standart makro komutlarından oluşan geniş bir kütüphaneye sahip olan ve oldukça karmaşık prosedürler oluşturmanıza olanak tanıyan evrensel dillerdir. Ayrıca, belirli olaylarla (örneğin, bir belgeyi açmak) veya belirli kullanıcı eylemleriyle (örneğin, bir belgeyi bir dosyaya kaydetmek için bir komut çağırırken) ilişkili makroların otomatik olarak çalıştırılmasını destekler.

Belirli Microsoft Word belge işleme olaylarıyla ilişkili otomatik olarak çalıştırılan makroların örnekleri şunları içerir:

• AutoExec (normal.dot şablon dosyasında veya Microsoft Office klasörünün Başlangıç ​​alt klasöründeki bir dosyada bulunuyorsa, Microsoft Word kelime işlemcisi başlatıldığında otomatik olarak yürütülür);
• AutoNew (yeni bir belge oluştururken kontrolü otomatik olarak ele alır);
• AutoOpen (bir belgeyi açarken otomatik olarak yürütülür);
• AutoClose (bir belgeyi kapatırken otomatik olarak yürütülür);
• Otomatik Çıkış (Microsoft Word kelime işlemcisi sona erdiğinde kontrolü otomatik olarak ele alır).

Microsoft Excel elektronik tablo işlemcisi, otomatik olarak yürütülen makrolardan yalnızca bazılarını destekler ve bu makroların adları biraz değiştirilir - Otomatik_aç ve Otomatik_kapat.

Microsoft Word kelime işlemcisi ayrıca, kullanıcı standart komutlardan birini çağırdığında kontrolü otomatik olarak alan makroları da tanımlar: Dosya Kaydet (Dosya | Kaydet), FileSaveAs (Dosya | Farklı Kaydet), Araçlar-Makro (Araçlar | Makro | Makrolar), AraçlarÖzelleştir ( Servis | Ayarlar), vb.

Bir Microsoft Office belgesi, kullanıcı klavyede belirli bir tuş kombinasyonuna bastığında veya belirli bir zaman noktasına (tarih, günün saati) ulaştığında kontrolü otomatik olarak alan makrolar da içerebilir.

Ayrı bir belgedeki herhangi bir makro (otomatik olarak yürütülenler dahil) normal.dot şablon dosyasına yazılabilir (veya tersi) ve böylece herhangi bir Microsoft Word belgesini düzenlerken kullanılabilir. Normal.dot dosyasına makro yazmak, standart MacroCopy makro komutu (WordBasic), Uygulama nesnesinin OrganizerCopy yöntemi veya standart Organizer (Microsoft Word) ve Sayfalar (Microsoft Excel) nesnelerinin Kopyalama yöntemleri kullanılarak yapılabilir.

Bilgisayarın harici belleğinde bulunan dosyaları yönetmek için makrolar standart makro komutlarını kullanabilir Aç (mevcut bir dosyayı açmak veya yeni bir dosya oluşturmak), SetAttr (dosya niteliklerini değiştirmek), Ad (dosya veya klasörü yeniden adlandırmak), Al (verileri okumak) açık bir dosyadan), Koy (açık bir dosyaya veri yaz), Ara (bir dosyadan yazma veya okumanın geçerli konumunu değiştir), Kapat (bir dosyayı kapat), Kill (bir dosyayı sil), RmDir (bir klasörü sil) ), MkDir (yeni bir klasör oluşturun), ChDir (geçerli klasörleri değiştirin) vb.

Standart bir Kabuk makro komutu, bilgisayarınızda yüklü olan herhangi bir programı veya sistem komutunu çalıştırmanıza olanak tanır.

Bu nedenle VBA programlama dili, makro virüs yazarları tarafından çok tehlikeli kodlar oluşturmak için kullanılabilir. Bir Microsoft Word belgesindeki en basit makro virüsü, diğer belge dosyalarına aşağıdaki şekilde bulaşır:

• 1) virüslü bir belge açıldığında kontrol, virüs kodunu içeren makroya verilir;
• 2) virüs, kendi koduna sahip diğer makroları normal.dot şablon dosyasına yerleştirir (örneğin, FileOpen, FileSaveAs ve FileSave);
• 3) virüs, Windows kayıt defterinde ve (veya) Microsoft Word başlatma dosyasında, enfeksiyonun meydana geldiğini belirten ilgili bayrağı ayarlar;
• 4) Microsoft Word daha sonra başlatıldığında, açılan ilk dosya aslında zaten virüslü şablon dosyası normal.dot'tur; bu, virüs kodunun otomatik olarak kontrolü ele geçirmesine olanak tanır ve standart Microsoft Word kullanılarak kaydedildiğinde diğer belge dosyalarına bulaşma meydana gelebilir. komutlar.

Makro virüslerin çoğunun yerleşik virüsler grubuna ait olduğunu söyleyebiliriz, çünkü kodlarının bir kısmı Microsoft Office paketindeki program çalışırken sürekli olarak bilgisayarın RAM'inde bulunur.

Makro virüs kodunun bir Microsoft Office belgesinin içine yerleştirilmesi oldukça şematik olarak gösterilebilir, çünkü belge dosya formatı çok karmaşıktır ve büyük miktarda hizmet verisi kullanılarak birbirleriyle birleştirilmiş çeşitli formatlarda bir dizi veri bloğu içerir. Makro virüslerin özel bir özelliği, yalnızca IBM PC'lerine değil, çeşitli platformlardaki bilgisayarlara da belge dosyalarına bulaşabilmeleridir. Bilgisayarda Microsoft Office paketindeki programlarla tam uyumlu ofis programları yüklüyse enfeksiyon mümkün olacaktır.

Belge dosyalarını kaydederken, belgenin içeriğiyle ilgili olmayan, ancak belge düzenlenirken tahsis edilen ancak tamamen doldurulmayan RAM bloklarında bulunan rastgele verileri de içerirler. Bu nedenle, bir belgeye yeni veri eklerken boyutu, küçülme de dahil olmak üzere öngörülemeyen bir şekilde değişebilir. Bu, bir belge dosyasına makro virüs bulaşıp bulaşmadığını yargılamamıza izin vermez, çünkü bulaşma sonrasında dosyanın boyutu da tahmin edilemeyecek şekilde değişecektir. Ayrıca, kamuya açık bir belge dosyasıyla birlikte yanlışlıkla kaydedilen bilgilerin gizli bilgiler içerebileceğini de not ediyoruz.

Bilinen makro virüslerin çoğu, kodlarını yalnızca makrolara yerleştirir. Ancak belge dosyası makrolarında, virüs kodunun yalnızca makrolarda saklanmadığı virüs türleri de vardır. Bu virüsler, Microsoft Office'te yerleşik makro düzenleyiciyi çağıran, virüs koduyla yeni bir makro oluşturan, onu çalıştıran ve ardından varlığının izlerini gizlemek için oluşturulan makroyu silen, ana virüs kodunun küçük bir makro yükleyicisini içerir. Bu durumda, ana virüs kodu, ya yükleyici makrosunun gövdesinde ya da virüslü belgenin değişken alanında bir dizi dize olarak bulunur.

Normal.dot şablon dosyasına bulaşmak, makro virüslerinin kullanıcının bilgisayarına yayılmasının tek yolu değildir. Ayrıca Microsoft Office klasörünün içindeki Başlangıç ​​klasöründe bulunan ek şablon dosyalarının da virüs bulaşması mümkündür. Kullanıcı belge dosyalarına makro virüsleri bulaştırmanın başka bir yolu da bunları Microsoft Office klasörünün Eklentiler klasöründe bulunan Microsoft Word eklenti dosyalarına enjekte etmektir. Kodlarını ortak normal.dot şablonuna yerleştirmeyen makro virüsleri, yerleşik olmayan virüsler olarak sınıflandırılabilir. Bu makro virüsleri, diğer dosyalara bulaşmak için ya VBA dil dosyaları ve klasörleriyle çalışmak için standart makro komutlarını kullanır ya da Microsoft Word ve diğer Microsoft Office programlarının "Dosya" alt menüsünde bulunan, kullanıcı tarafından yakın zamanda düzenlenen dosyaların listesini kullanır. programlar.

Microsoft Excel elektronik tablo işlemcisi normal.dot şablon dosyasını kullanmaz, bu nedenle Başlangıç ​​klasöründeki dosyalar diğer kullanıcı belge dosyalarına bulaşmak için kullanılır. Excel elektronik tablo dosyalarına bulaşan makro virüslerinin özel bir özelliği, bunların yalnızca VBA programlama dili kullanılarak değil aynı zamanda bu elektronik tablo işlemcisinin sonraki sürümlerinde de desteklenen Microsoft Excel'in "eski" sürümlerinin makro dili kullanılarak yazılabilmeleridir. .

Microsoft Access veritabanı yönetim sisteminde, bazı olaylar meydana geldiğinde (örneğin, bir veritabanının açılması) otomatik olarak kontrolün elde edilmesi için çok sınırlı yeteneklere sahip özel bir komut dosyası dilinde yazılan makrolar kullanılır. Ancak otomatik olarak yürütülen bu komut dosyası makroları (örneğin, Microsoft Access'i başlattığınızda kontrolü otomatik olarak ele alan AutoExec makrosu), VBA'da yazılmış tam makroları çağırabilir. Bu nedenle, bir Microsoft Access veritabanına bulaşmak için, bir virüsün otomatik olarak yürütülen bir makro komut dosyası oluşturması veya değiştirmesi ve virüs kodunun ana bölümünü içeren makroları içeren bir modülü, etkilenen veritabanına kopyalaması gerekir.

Hem Microsoft Access veritabanlarına hem de Microsoft Word belgelerine bulaşabilen birleşik virüsler bilinmektedir. Böyle bir virüs, her biri kendi türündeki (.doc veya .mdb) belge dosyalarına bulaşan iki ana bölümden oluşur. Ancak böyle bir virüsün her iki parçası da kodlarını bir Microsoft Office uygulamasından diğerine aktarma yeteneğine sahiptir. Microsoft Access'ten virüs kodu aktarırken, Başlangıç ​​klasöründe virüslü bir ek şablon dosyası (.dot dosyası) oluşturulur ve Microsoft Word'den virüs kodu aktarılırken, virüslü bir Access veritabanı dosyası oluşturulur ve bu dosya, Microsoft Access'e parametre olarak iletilir. Virüs kodu (msaccess .exe) tarafından başlatılan Microsoft Access uygulaması.

Antivirüs şirketleri virüslerin yayılmasında yeni bir trend olduğunu bildiriyor. Bir e-posta ve komut dosyası virüsleri dalgasından sonra, USB aracılığıyla bir bilgisayara bağlanan flash sürücüler artık kötü amaçlı yazılım dağıtmanın en popüler yollarından biri haline geldi. Bu, varsayılan olarak autorun.inf dosyasını çıkarılabilir bir sürücüden otomatik olarak başlatan Windows işletim sisteminin zayıflığı nedeniyle mümkün oldu.

Bazı uzmanlara göre Windows işletim sistemindeki INF/Autorun hizmeti, bilgisayar sistemlerindeki ana güvenlik açığı olarak değerlendirilebilir. Virüs bulaşmış programları e-postayla göndermenin aksine, bu durumda yetkili bir kullanıcı bile bulaşmayı pratik olarak önleyemez, çünkü virüslü bir cihazı bir USB konektörüne takmanız yeterlidir ve süreç geri döndürülemez hale gelir. Tek önleme, Microsoft'un güvenlik uzmanları tarafından bile önerilen otomatik çalıştırmayı devre dışı bırakmak olabilir.

Bazı açılardan virüslerin USB sürücülere yayılmasının, İnternet'in henüz var olmadığı dönemde virüs oluşumunun kökenlerine bir geri dönüş olduğunu söyleyebilirsiniz. O zamanlar virüsler disketler aracılığıyla bilgisayardan bilgisayara yayılıyordu.

Yazılım yer imi saldırıya uğrayan bilgisayar sisteminin dışında veya içinde bulunan ve bu sistemle ilgili olarak belirli yıkıcı işlevlere sahip bir programdır:

• bilgi güvenliğine yönelik bir veya başka bir tehdidi uygulamak amacıyla dağıtılmış bilgisayar sistemlerinde dağıtım (bilgisayar virüslerinin aksine, kodlarını diğer dosyaların gövdelerine dahil etme özelliğine sahip olmaması gereken bilgisayar veya ağ solucanları);
• kullanıcı tarafından izin verilmeyen çeşitli eylemlerin gerçekleştirilmesi (gizli bilgilerin toplanması ve bunu ihlal eden kişiye aktarılması, kullanıcı bilgilerinin imha edilmesi veya kasıtlı olarak değiştirilmesi, bilgisayarın bozulması, bilgisayar kaynaklarının uygunsuz amaçlarla kullanılması ("Truva atı" programları veya kısaca "Truva atları") );
• CS yazılımının işleyişinin imha edilmesi veya değiştirilmesi, bazı koşulların yerine getirilmesinden veya CS dışından bazı mesajların alınmasından sonra burada işlenen verilerin imha edilmesi veya değiştirilmesi (“mantık bombaları”);
• CS güvenlik alt sisteminin bireysel işlevlerinin değiştirilmesi veya CS'deki bilgilerin güvenliğine yönelik tehditleri uygulamak için içinde "tuzaklar" oluşturulması (örneğin, CS'de kurulu bir donanım şifreleme kartının çalışmasını taklit ederek şifreleme araçlarının değiştirilmesi) ;
• CS kullanıcı şifrelerini, bir giriş daveti simüle ederek veya klavyeden tüm kullanıcı girişlerini engelleyerek ele geçirmek;
• dağıtılmış bir CS'nin (monitörler) nesneleri arasında iletilen bilgi akışının durdurulması;
• Yasal üreticiler tarafından geliştirilen ancak bir saldırganın kullanabileceği potansiyel olarak tehlikeli işlevler içeren fırsatçı programlar.

Kural olarak, bir ağ solucanının çalışmaya başlaması için, e-postayla alınan bir dosyayı başlatmanız (veya doğrudan e-posta mesajında ​​​​bulunan bağlantıyı takip etmeniz) gerekir. Ancak aktivasyonu insan müdahalesi gerektirmeyen solucanlar da var:

• solucan, mektubun metninde bulunur ve kullanıcı mesajı açtığında (veya posta istemcisi penceresindeki önizleme bölmesinde açıldığında) başlatılır (bu durumda mektup, bir komut dosyası içeren bir dildeki metindir). solucan kodu);
• Solucan, işletim sistemlerinin ve diğer programların (örneğin e-posta) güvenlik sistemlerindeki "açıklardan" (boşluklar, güvenlik açıkları) yararlanır.

Suçlular, bir kullanıcıyı e-postayla alınan bir dosyayı çalıştırmaya teşvik etmek için sosyal mühendislik adı verilen çok karmaşık teknolojiler kullanır. Örneğin, kullanıcının kazandığı iddia edilen büyük bir nakit ödülü almak için mektuba ekli formu doldurma teklifi. Veya tanınmış bir yazılım şirketinden gelen resmi bir posta olarak gizlenmiş (bu şirketlerin kullanıcının isteği olmadan asla dosya göndermediğini bilmelisiniz), vb.

Solucan başlatıldığında, kodunu e-posta programının "adres defterini" kullanarak e-postayla gönderebilir. Bundan sonra virüs bulaşan bilgisayarın kullanıcısının arkadaşlarının bilgisayarlarına da virüs bulaşıyor.

Ağ solucanları ile klasik virüsler arasındaki temel fark, ağ üzerinde kendi kendine yayılma yeteneğinin yanı sıra, virüs bulaşmış bilgisayardaki diğer yerel nesnelere bulaşma ihtiyacının bulunmamasıdır.

Ağ solucanları yayılmak için çeşitli bilgisayar ve mobil ağları kullanır: e-posta, anlık mesajlaşma sistemleri, dosya paylaşımı (P2P) ve IRC ağları, yerel alan ağları (LAN), mobil cihazlar (telefonlar, PDA'lar) arasındaki veri alışveriş ağları vb. . .D.

Bilinen solucanların çoğu dosya biçiminde dağıtılır: bir e-posta eki, ICQ ve IRC mesajlarındaki bazı Web veya FTP mesajlarındaki virüslü bir dosyaya bağlantı, P2P değişim dizinindeki bir dosya vb. Bazı solucanlar ( yani- "dosyasız" veya "paket" solucanları olarak adlandırılan solucanlar) ağ paketleri şeklinde yayılır, doğrudan bilgisayarın belleğine nüfuz eder ve kodlarını etkinleştirir.

Bazı solucanlar aynı zamanda diğer kötü amaçlı yazılım türlerinin özelliklerine de sahiptir. Örneğin, bazı solucanlar, virüs bulaşmış bilgisayarın kullanıcısının gizli bilgilerini davetsiz misafire iletmek ve toplamak için işlevler içerir veya virüslü bilgisayarın yerel diskindeki yürütülebilir dosyalara bulaşma yeteneğine sahiptirler, yani bir Truva atı programının özelliklerine sahiptirler ve (veya) bir bilgisayar virüsü.

İncirde. Tablo 4.1, 2008 yılında bilgisayar virüslerinin (virüs) ve çeşitli ağ solucanı kategorilerinin (solucan) dağılımını gösteren verileri göstermektedir (Kaspersky Lab'e göre).

Pirinç. 4.1.

Belirli Truva atı programı kategorileri, virüslü bilgisayara zarar vermeden uzaktaki bilgisayarlara ve ağlara zarar verir (örneğin, uzak ağ kaynaklarına büyük DDoS saldırıları için tasarlanmış Truva atı programları).

Solucanların ve virüslerin aksine Truva atları diğer dosyalara zarar vermez ve kendi yayılma araçlarına sahip değildir. Bunlar, virüs bulaşmış bir bilgisayarın kullanıcısına zararlı eylemler gerçekleştiren, örneğin İnternet'e erişim parolasını ele geçiren programlardır.

Şu anda Kaspersky Lab uzmanları Truva atı programları sınıfında üç ana davranış grubunu tanımlıyor:

• Arka kapı (saldırganın virüs bulaşmış bir bilgisayarı uzaktan yönetme yeteneği sağlar), Trojan-Downloader (diğer kötü amaçlı programların kullanıcının bilgisayarına teslim edilmesi), Trojan-PSW (şifre müdahalesi), Trojan (diğer Truva atı programları), en yaygın Truva atı programlar;
• Trojan-Spy (casus yazılım), Trojan-Dropper (diğer kötü amaçlı programların yükleyicileri);
• Trojan-Proxy (“Trojan” proxy sunucuları), Trojan-Clicker (İnternet tıklayıcıları), Rootkit (bilgisayar sistemindeki varlığını gizler), Trojan-DDoS (dağıtılmış hizmet reddi saldırılarına katılma programları), Trojan-SMS (“ Mobil Truva Atları” mobil cihazlara yönelik en acil tehdittir).

Bazı programlarda, yalnızca belirli koşulların yerine getirilmesi durumunda kullanıcıya zarar verebilecek bir dizi işlev bulunur. Üstelik bu tür programlar, örneğin sistem yöneticileri tarafından yasal olarak satılabilir ve günlük işlerde kullanılabilir. Ancak bu tür programlar, davetsiz misafirlerin elinde, kullanıcıya zarar vermek için kullanılabilecek bir araca dönüşebilir. Kaspersky Lab uzmanları bu tür programları, koşullu olarak tehlikeli programlardan oluşan ayrı bir grupta sınıflandırır (bunlar açıkça tehlikeli veya güvenli olarak sınıflandırılamaz).

Bu tür bir program, kullanıcının bilinçli olarak genişletilmiş bir anti-virüs veri tabanı kümesini seçmesi durumunda, anti-virüs programları tarafından isteğe bağlı olarak algılanır. Genişletilmiş veritabanları kullanılırken keşfedilen programlar kullanıcıya tanıdık geliyorsa ve kullanıcı bunların verilerine zarar vermeyeceğinden %100 eminse (örneğin, kullanıcı bu programı kendisi satın aldıysa, işlevlerine aşinaysa ve bunları yasal amaçlarla kullanıyorsa) ), daha sonra kullanıcı genişletilmiş anti-virüs veritabanlarının daha fazla kullanılmasını reddedebilir veya bu tür programları "istisnalar" listesine (daha fazla tespitin devre dışı bırakılacağı programlar) ekleyebilir.

Potansiyel olarak tehlikeli programlar arasında RiskWare (yasal olarak dağıtılan potansiyel olarak tehlikeli programlar), Porn Ware (pornografik bilgileri görüntülemeye yönelik programlar) ve AdWare (reklam yazılımı) sınıflarındaki programlar yer alır.

RiskWare program sınıfı, bir davetsiz misafirin elinde kullanıcıya ve verilerine zarar verebilecek yasal programları içerir (bazıları ücretsiz olarak satılır ve yasal amaçlar için yaygın olarak kullanılır). Bu tür programlarda yasal uzaktan yönetim yardımcı programlarını, IRC istemci programlarını, otomatik arama programlarını (“çeviriciler”), indirme programlarını (“indiriciler”), herhangi bir etkinliğin izleyicilerini (monitör), parolalarla çalışmaya yönelik yardımcı programları ve ayrıca FTP, Web, Proxy ve Telnet hizmetleri için çok sayıda İnternet sunucusu.

Bu programların tümü kendi başlarına kötü amaçlı değildir ancak saldırganların kullanıcılara zarar vermek için yararlanabileceği yeteneklere sahiptir. Örneğin, bir uzaktan yönetim programı uzak bir bilgisayarın arayüzüne erişmenize ve uzaktaki makineyi yönetmek ve izlemek için kullanmanıza olanak tanır. Böyle bir program tamamen yasal olabilir, serbestçe dağıtılabilir ve sistem yöneticilerinin veya diğer teknik uzmanların çalışmalarında gerekli olabilir. Ancak ihlalcilerin elinde böyle bir program, başka birinin bilgisayarına tam uzaktan erişim sağlayarak kullanıcıya ve verilerine zarar verebilir.

Başka bir örnek olarak, bir IRC ağının istemcisi olan bir yardımcı programı düşünün: böyle bir yardımcı programın gelişmiş işlevselliklerinden, ihlal edenler ve dağıttıkları Truva atı programları (özellikle Arka Kapı) tarafından faydalanılabilir. Müşteri işlerinde. Böylece, bir Truva atı programı, kullanıcının bilgisi olmadan IRC istemci yapılandırma dosyasına kendi komut dosyalarını ekleme ve virüslü makinede yıkıcı işlevlerini başarıyla gerçekleştirme yeteneğine sahiptir. Bu durumda kullanıcı, bilgisayarında kötü amaçlı bir Truva atı programının çalıştığından şüphelenmez bile.

Çoğu zaman, kötü amaçlı programlar, daha sonra kendi amaçları doğrultusunda kullanmak üzere kullanıcının bilgisayarına bağımsız olarak bir IRC istemcisi yükler. Bu durumda konum genellikle Windows klasörü ve onun alt klasörleridir. Bu klasörlerde bir IRC istemcisi bulmak neredeyse kesinlikle bilgisayara bir tür kötü amaçlı yazılım bulaştığını gösterir.

Reklam yazılımı (Reklam Yazılımı, Reklam Yazılımı, Casus Yazılım, Tarayıcı Korsanları), reklam mesajlarını (çoğunlukla grafik bannerlar biçiminde) görüntülemek ve arama sorgularını reklam veren Web sayfalarına yönlendirmek için tasarlanmıştır. Bu tür programlar, reklamların görüntülenmesi dışında kural olarak hiçbir şekilde sistemde varlıklarını göstermezler. Genellikle Reklam Yazılımı programlarının bir kaldırma prosedürü yoktur.

• reklam bileşenlerini ücretsiz ve paylaşımlı yazılımlara (ücretsiz yazılım, paylaşımlı yazılım) yerleştirerek;
• Kullanıcı "virüslü" Web sayfalarını ziyaret ettiğinde reklam bileşenlerinin yetkisiz kurulumu yoluyla.

Ücretsiz ve paylaşımlı yazılım kategorilerindeki çoğu program, satın alındıktan ve/veya kaydolduktan sonra reklam görüntülemeyi durdurur. Bu tür programlar genellikle üçüncü taraf üreticilerin yerleşik Reklam Yazılımı yardımcı programlarını kullanır. Bazı durumlarda, bu Reklam Yazılımı yardımcı programları, kullanıcının sistemine ilk girdikleri programları kaydettikten sonra bile kullanıcının bilgisayarında yüklü kalır. Aynı zamanda herhangi bir program tarafından reklam görüntülemek için halen kullanılan Reklam Yazılımı bileşeninin kaldırılması, bu programın arızalanmasına neden olabilir.

Bu tür Reklam Yazılımının temel amacı, kullanıcıya reklam bilgilerinin gösterilmesiyle gerçekleştirilen, yazılım için örtülü bir ödeme şeklidir (reklamverenler, reklamlarının görüntülenmesi için reklam ajansına ödeme yapar ve reklam ajansı da Reklam Yazılımı geliştiricisine ödeme yapar). Reklam yazılımı, hem yazılım geliştiriciler (Adware'den elde edilen gelir, onları yeni yazmaya ve mevcut programları geliştirmeye teşvik eder) hem de kullanıcıların kendileri için maliyetlerin azaltılmasına yardımcı olur.

Bir kullanıcı "virüs bulaşmış" Web sayfalarını ziyaret ettiğinde reklam bileşenlerinin kurulması durumunda, çoğu durumda hacker teknolojileri kullanılır (İnternet tarayıcısının güvenlik sistemindeki bir boşluk yoluyla bilgisayara sızma ve ayrıca "Trojan" kullanımı) ” yazılımları gizlice yüklemek için tasarlanmış programlar). Bu şekilde davranan reklam yazılımı programlarına genellikle "Tarayıcı Korsanları" adı verilir.

Birçok reklam programı, reklam sunmanın yanı sıra bilgisayar ve kullanıcı hakkında gizli bilgiler de toplar (IP adresi, işletim sistemi ve İnternet tarayıcı sürümü, en sık kullanılan İnternet kaynaklarının listesi, arama sorguları ve reklam amacıyla kullanılabilecek diğer bilgiler) ).

Bu nedenle Reklam Yazılımı programlarına genellikle Casus Yazılım da denir (Casus Yazılım kategorisindeki reklam yazılımı, Trojan-Spy casus yazılımıyla karıştırılmamalıdır). Reklam Yazılımı kategorisindeki programlar, yalnızca zaman kaybı ve kullanıcının dikkatinin işinden ayrılmasıyla değil, aynı zamanda gizli verilerin sızması gibi gerçek bir tehditle de bağlantılı olarak zarara neden olur.

RiskWare ve PornWare sınıflarındaki programların davranışa göre dağılımı pasta grafiği şeklinde sunulabilir (Kaspersky Lab'e göre Şekil 4.2).

AdTool, gerekli yasal özelliklere sahip oldukları için AdWare olarak sınıflandırılamayan çeşitli reklam modülleridir: bir lisans sözleşmesiyle donatılmıştır, bilgisayardaki varlıklarını gösterir ve kullanıcıyı eylemleri hakkında bilgilendirir.

Pirinç. 4.2.

Porn-Dialer'lar bağımsız olarak (kullanıcıya bildirimde bulunmadan) premium numaralarla telefon bağlantıları kurar ve bu da genellikle aboneler ile telefon şirketleri arasında davalara yol açar.

Monitör kategorisindeki programlar, resmi olarak üretilen ve satılan yasal "tuş kaydedicileri" (tuş vuruşlarını izlemeye yönelik programlar) içerir, ancak sistemdeki varlıklarını gizleme işlevine sahiplerse, bu tür programlar tam teşekküllü casus yazılım Truva atları olarak kullanılabilir. .

PSW-Aracı kategorisindeki programlar unutulan şifreleri kurtarmak için tasarlanmıştır, ancak suçlular tarafından bu şifreleri şüphelenmeyen bir kurbanın bilgisayar belleğinden çıkarmak için kolaylıkla kullanılabilir. İndirici kategorisindeki programlar, suçlular tarafından kurbanın bilgisayarına kötü amaçlı içerik indirmek için kullanılabilir.

Diğer kötü amaçlı yazılımlar, yürütüldükleri bilgisayara doğrudan tehdit oluşturmayan ancak başka kötü amaçlı programlar oluşturmak, uzak sunuculara DDoS saldırıları düzenlemek, diğer bilgisayarları hacklemek vb. için tasarlanmış çeşitli programları içerir.

Bu tür programlar arasında virüs aldatmacaları (Hoax) ve sahte anti-virüs programları (FraudTool), uzaktaki bilgisayarları "hacklemek" için "hacker" programları (Exploit, HackTool), kötü amaçlı programların yapıcıları ve paketleyicileri (Constructor, VirTool, Packed), spam gönderme ve “tıkanma” saldırıları (SpamTool, IM-Flooder, Flooder), kullanıcıyı yanıltmaya yönelik programlar (BadJoke).

FraudTool'un ana türü, tam teşekküllü antivirüs araçları gibi davranan sahte antivirüs programlarıdır. Bir bilgisayara yükledikten sonra, kesinlikle "temiz" bir bilgisayar sisteminde bile her zaman bir tür virüs "bulurlar" ve "tedavi" için ücretli sürümünü satın almayı teklif ederler. Bu programlar doğrudan kullanıcıları yanıltmanın yanı sıra AdWare işlevini de içerir. Aslında bu, kullanıcıların kötü amaçlı yazılım korkusuna dayanan gerçek bir dolandırıcılıktır.

Exploit ve HackTool kategorilerindeki hacker yardımcı programları, onları daha fazla kontrol etmek (arka kapı Truva atı programlarını kullanarak) amacıyla uzak bilgisayarlara sızmak veya saldırıya uğrayan sisteme diğer kötü amaçlı programları sokmak için tasarlanmıştır. Hacker yardımcı programları, saldırıya uğrayan bilgisayarda yüklü olan işletim sistemindeki veya uygulamalardaki güvenlik açıklarından "istismar" gibi yararlanır.

Virüs ve Truva atı program oluşturucuları, yeni bilgisayar virüsleri ve Truva atları oluşturmak için tasarlanmış yardımcı programlardır. DOS, Windows ve makro virüsleri için virüs tasarımcıları bilinmektedir. Virüs kaynağı metinleri, nesne modülleri ve/veya doğrudan virüslü dosyalar oluşturmanıza olanak tanır.

Bazı yapıcılar standart bir grafik arayüzle donatılmıştır; burada bir menü sistemi kullanarak virüs türünü, etkilenecek nesneleri, şifrelemenin varlığını veya yokluğunu, hata ayıklayıcıya direnci, dahili metin dizelerini ve efektleri seçebilirsiniz. virüsün çalışmasına eşlik eden vb. Diğer yapıcıların bir arayüzü yoktur ve oluşturulan virüsün türü hakkındaki bilgileri yapılandırma dosyalarından okurlar.

Nuker kategorisinin yardımcı programları, ağdaki saldırıya uğrayan bilgisayarlara özel olarak tasarlanmış istekler gönderir ve bunun sonucunda, saldırıya uğrayan sistem çalışmayı durdurur. Bu programlar, ağ hizmetleri ve işletim sistemleri yazılımındaki güvenlik açıklarından yararlanır ve bunun sonucunda özel bir ağ isteği türü, saldırıya uğrayan uygulamada kritik bir hataya neden olur.

Kötü Şaka ve Aldatmaca kategorilerindeki programlar, bilgisayara doğrudan zarar vermeyen ancak bu tür bir zararın zaten verildiğini veya her halükarda kaynaklanacağını belirten mesajlar görüntüleyen veya var olmayan bir sorun hakkında kullanıcıyı uyaran programları içerir. tehlike. "Kötü şakalar", örneğin kullanıcıya sabit sürücüyü biçimlendirmeyle ilgili mesajlar görüntüleyen (gerçekte biçimlendirme olmamasına rağmen), etkilenmemiş dosyalarda virüsleri tespit eden, virüs benzeri tuhaf mesajlar görüntüleyen vb. programları içerir.

Polimorfik jeneratörler, algoritmaları üreme işlevlerini içermediğinden kelimenin tam anlamıyla virüs değildir. Bu tür bir programın ana işlevi, virüsün gövdesini şifrelemek ve buna karşılık gelen bir şifre çözücü oluşturmaktır.

Tipik olarak polimorfik jeneratörler, yazarları tarafından kısıtlama olmaksızın bir arşiv dosyası biçiminde dağıtılır. Herhangi bir jeneratörün arşivindeki ana dosya, bu jeneratörü içeren nesne modülüdür.

Kötü amaçlı yazılımların işleyişinin tek modüllerden karmaşık ve etkileşimli projelere doğru evrimi bu yüzyılın başında başladı. Yeni kötü amaçlı yazılım işleyişi modeli, yalnızca bir dizi yeni kötü amaçlı proje için standart haline gelmemeli, aynı zamanda daha da geliştirilmelidir.

Bu modelin ana özellikleri şunlardır:

• virüs bulaşmış bilgisayarlardan oluşan bir ağ için tek bir kontrol merkezinin bulunmaması;
• üçüncü tarafların araştırma girişimlerine ve kontrolün ele geçirilmesine karşı aktif müdahale;
• Kötü amaçlı kodun eş zamanlı toplu ve kısa süreli dağıtımı;
• sosyal mühendislik araçlarının yetkin kullanımı;
• farklı dağıtım yöntemleri kullanmak ve en görünür olanları (e-posta) aşamalı olarak kaldırmak;
• farklı işlevleri uygulamak için farklı modüller kullanmak (tek bir evrensel olan yerine).

İyi bilinen Web 2.0 terimine benzetilecek olursa, yeni nesil kötü amaçlı yazılımlara MalWare 2.0 adı verilebilir.

Bir sistemdeki varlığı gizleme tekniği (rootkit'ler) yalnızca Truva programlarında değil aynı zamanda dosya virüslerinde de kullanılacaktır. Böylece MS-DOS işletim sisteminin yerleşik gizli virüslerin var olduğu zamanlara geri dönüş olacak. Bu, antivirüs programlarına karşı koyma yöntemlerinin mantıksal bir gelişimidir. Kötü amaçlı programlar artık tespit edildikten sonra bile sistemde "hayatta kalmaya" çalışıyor.

Bilgisayardaki bir programın varlığını gizlemenin bir başka tehlikeli yolu, diskin önyükleme sektörüne (sözde "önyükleme seti") bulaşma teknolojisidir. Bu, kötü amaçlı programın, işletim sisteminin ana kısmı (ve antivirüs programları) yüklenmeden önce kontrolü ele geçirmesine olanak tanıyan eski bir tekniğin başka bir dönüşüdür. Bootkit'ler, herhangi bir cihazın önyükleme sektörlerinden yükleme işlevine sahip rootkit'lerdir. Tehlikeleri, kötü amaçlı kodun, işletim sistemi ve dolayısıyla antivirüs programı başlamadan önce bile kontrolü ele geçirmesidir.

Bootkit teknolojisinin uygulanmasının en çarpıcı örneklerinden biri vbootkit'tir. Basitleştirilmiş bir vbootkit eylemi dizisi şuna benzer: Bilgisayarı açtıktan ve BIOS programlarını çalıştırdıktan sonra Vbootkit kodu (CD'den veya başka bir cihazdan) etkinleştirilir. Daha sonra MBR'den gelen önyükleme programı ve Windows Vista önyükleme yükleyicisi yürütülür ve ardından kontrol bu işletim sisteminin çekirdeğine aktarılır.

Vbootkit sistemin kontrolünü ele geçirdiğinde BIOS 13 kesintisini tetikliyor ve ardından Windows Vista için imzaları arıyor. Tespit edildikten sonra, kendisini gizleyerek (kodunu RAM'in farklı alanlarına küçük parçalar halinde yerleştirerek) Windows Vista'yı değiştirmeye başlar. Bu değişiklikler, elektronik dijital imzaların kontrol edilmesi, karmaların kontrol edilmesi ve önyükleme işleminin hem birinci hem de ikinci aşamaları sırasında sistemin kontrolünü sürdürmek için belirli eylemlerin gerçekleştirilmesi gibi güvenlik önlemlerinin atlanmasını içerir.

İkinci aşama, işletim sistemi çekirdeğinin genişletilmesini içerir, böylece vbootkit, yeniden başlatılana kadar onun kontrolünü elinde tutar. Bu şekilde kullanıcı Windows Vista çekirdeğine yüklenmiş bir vbootkit'e sahip olacaktır.

Önyükleme kitleri, önyükleme sektöründe yalnızca ana kodu çalıştırmak için gereken minimum miktarda depolar. Bu çekirdek kod, önyükleme kitinin içeriği sektörü okumak için BIOS kesintilerini engelleyerek gizlediği diğer sektörlerde depolanır.

Sosyal ağ kullanıcıları, kimlik avı olarak adlandırılan saldırıların ana hedefi haline gelebilir. Çeşitli ağ hizmetlerinin abonelerinin kimlik bilgileri, ihlal edenler arasında yüksek talep görecek. Bu, saldırıya uğramış Web sitelerine kötü amaçlı yazılım yerleştirme tekniğine önemli bir alternatif olacaktır. Truva atı programları, sosyal ağ kullanıcılarının hesapları, blogları ve profilleri aracılığıyla tam olarak dağıtılabilir.

Sosyal ağlarla ilgili bir diğer sorun ise XSSPHPSQL-aTaKH olabilir. Yalnızca aldatma ve sosyal mühendislik tekniklerine dayanan kimlik avının aksine, bu saldırılar Web 2.0 hizmetlerindeki hatalardan ve güvenlik açıklarından yararlanır ve yüksek düzeyde okuryazar kullanıcıları bile etkileyebilir. Bu durumda, ihlalcilerin hedefi, "geleneksel" yöntemleri kullanarak sonraki saldırıları gerçekleştirmek için belirli veritabanları ve listeler oluşturmak için gerekli olan kullanıcıların kişisel verileridir.

Kullanıcıların ve bilgisayar korsanlarının Web 2.0 hizmetlerine eşzamanlı ilgisini sağlayan ana faktörler şunlardır:

• kullanıcı verilerinin kişisel bilgisayardan internete aktarılması;
• birkaç farklı hizmet için bir hesabın kullanılması;
• kullanıcılar hakkında ayrıntılı bilgilerin mevcudiyeti;
• kullanıcıların bağlantıları, kişileri ve tanıdıkları hakkında bilgilerin mevcudiyeti;
• herhangi bir bilginin yayınlanması için bir yer sağlamak;
• kişiler arasındaki güvene dayalı ilişkiler.

Bu sorun zaten oldukça ciddi ve uzmanlara göre büyük bir bilgi güvenliği sorunu haline gelme şansı çok yüksek.

Mobil cihazlara ve özellikle de cep telefonlarına gelince, bunlara yönelik tehditler, ilkel Truva atı programları ile akıllı telefonlara yönelik işletim sistemleri ve uygulamalardaki çeşitli güvenlik açıkları arasında dağıtılır.

Yazılım yer imlerini CS'ye ekleme yöntemlerine ve bunların sisteme yerleştirilebileceği olası konumlara uygun olarak, yer imleri aşağıdaki gruplara ayrılabilir:

• BIOS ile ilişkili yazılım yer imleri;
• işletim sisteminin önyükleme ve önyükleme programlarıyla ilişkili yer imleri;
• işletim sistemi sürücüleri ve diğer sistem modülleriyle ilişkili yer imleri;
• genel amaçlı uygulama yazılımıyla ilişkili yer imleri (örneğin arşivleyiciler);
• yalnızca yer imi kodunu içeren ve toplu iş dosyaları kullanılarak uygulanan program dosyaları;
• genel amaçlı uygulama yazılımı görünümüne bürünen yer imleri;
• Oyun ve eğitim yazılımı olarak gizlenen yer imleri (bilgisayar sisteminde ilk uygulamalarını kolaylaştırmak için).

Bölüm 1. KARŞILAMA ÖZELLİKLERİ ♦ KRİTİK DURUMDA KÖTÜ AMAÇLI YAZILIM

BİLGİ ALANININ ÖNEMLİ BÖLÜMLERİ.

1.1. Bilgi alanının kritik bölümlerine yönelik bir tehdit kaynağı olarak kötü amaçlı programlar.

1.2. Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlara karşı mücadele.

1.3. Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlarla mücadelenin etkinliğinin kapsamlı bir değerlendirmesi sorununun beyanı.

1.4. Sonuçlar.

Bölüm 2. GÖSTERGELERİN OLUŞUMU

BİLGİ ALANININ KRİTİK BÖLÜMLERİNDE KÖTÜ AMAÇLI YAZILIMLARLA MÜCADELE ETKİNLİĞİ.

2.1. Kötü amaçlı yazılımlara karşı performans göstergelerini yapılandırma metodolojisi.

2.2. Kötü amaçlı yazılımdan koruma etkililik göstergelerinin hiyerarşik yapısını sentezlemeye yönelik metodoloji.

2.3. Kötü amaçlı yazılımdan koruma performans göstergelerinin yapısının birleşik bir açıklaması

2.4. Sonuçlar.

Bölüm 3. MATEMATİKSEL MODELLEME

BİLGİ ALANININ KRİTİK BÖLÜMLERİNDE KÖTÜ AMAÇLI YAZILIMLARLA MÜCADELE SÜREÇLERİ.

3.1. Kötü amaçlı yazılımla mücadelenin etkinliğini değerlendirmek için matematiksel bir modelin sentezinin özellikleri.

3.2. Kötü amaçlı yazılımdan koruma araçlarının işleyiş süreçlerinin resmi sunumu.

3.3. Kötü amaçlı yazılımlara karşı mücadelenin zamansal etkinliğini değerlendirmek için simülasyon modeli

3.4. Kötü amaçlı yazılımlara karşı mücadelenin etkinliğine ilişkin olasılıksal göstergelerin değerlendirilmesine yönelik analitik modeller. ^

3.5. Kötü amaçlı yazılımla mücadelenin etkinliğine ilişkin olasılıksal göstergelerin değerlendirilmesine yönelik ilk verilerin sunumu.

3.6. Sonuçlar.

Bölüm 4. BİLGİ ALANININ KRİTİK ÖNEMLİ BÖLÜMLERİNDE KÖTÜ AMAÇLI YAZILIMLARLA MÜCADELE ETKİNLİĞİNİ DEĞERLENDİRMEK İÇİN BİLGİSAYAR DENEYLERİ.

4.1. Kötü amaçlı yazılımlara karşı mücadelenin etkinliğini değerlendirmek için hesaplamalı deneylerin planlanmasına yönelik metodoloji

4.2. Hesaplamalı deneylerin sonuçları.

4.3. Kötü amaçlı yazılımlara karşı önlemin değerlendirilmesi için önerilen yöntemin etkinliğinin analizi.

4.4. Sonuçlar.

Önerilen tez listesi

• Bilgi alanının bölümlerinin güvenliğine yönelik tehditlere karşı koymanın etkinliğinin genelleştirilmiş değerlendirmesinin matematiksel modelleri 2006, Teknik Bilimler Adayı Likhodedov, Denis Yurievich

• Bilgi alanının kritik bölümleri üzerindeki kötü niyetli etkilerin işlevsel modellenmesi 2008, Teknik Bilimler Adayı Modestov, Alexey Albertovich

• Kötü amaçlı yazılımla mücadele bağlamında içişleri organlarının otomatik kontrol sistemlerinin işleyişinin modellenmesi ve optimizasyonu 1999, Teknik Bilimler Doktoru Skryl, Sergey Vasilievich

• Kritik nesnelerin otomatik kontrol kompleksleri için bilgi sistemlerinin sentezinin teorik temelleri ve pratik uygulaması 2009, Teknik Bilimler Doktoru Krupenin, Alexander Vladimirovich

• Güvenli bilgisayar ağlarının bilgi kaynakları üzerindeki yetkisiz etkilere karşı koyarken kötü amaçlı yazılımları tanımaya yönelik algoritmaların araştırılması ve geliştirilmesi 2004, Teknik Bilimler Adayı Kiselev, Vadim Vyacheslavovich

Tezin tanıtımı (özetin bir kısmı) “Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlarla mücadelenin etkinliğinin kapsamlı bir şekilde değerlendirilmesi için algoritmaların geliştirilmesi ve araştırılması” konulu

Araştırma konusunun alaka düzeyi. Bilgi teknolojilerinin yoğun gelişimi ve iyileştirilmesi, bilgi alanının genişlemesinin baskın bir eğilim olarak değerlendirilmesi ihtiyacını doğurmaktadır. Bu, bu alanın ayrı bir unsur sınıfının, sözde kritik bölümlerinin ortaya çıkmasına yol açtı - devlet kurumlarının faaliyetlerini destekleyen bilgi sistemleri /1/, iletişim altyapısı yönetim sistemleri /2/, finans /3/, enerji /4 /, ulaşım 151 ve acil servisler 161. Aynı zamanda, bilgi alanının genişlemesi, bilgi alanının (111) unsurlarına yönelik çeşitli türde tehditlerin ortaya çıkmasına yol açmıştır. Aynı zamanda, kritik bölümleri ana bu tür tehditlerin hedefi. Bu, çeşitli tehdit kaynaklarının varlığında güvenliğinin ihlal edilmesinden kaynaklanan zararları önlemek için bilgi alanının korunmasının organize edilmesiyle ilgili bir dizi sorunun çözülmesi ihtiyacını gerektirdi /8 - 13/.

Bilgi alanındaki en ciddi tehdit kaynaklarından biri kötü amaçlı yazılımdır /14 - 16/ - bilgisayar ağlarında /17/ bilgilerin yasa dışı manipülasyonuna yönelik ana araçlardan biri /18/. Kötü amaçlı programlar, yüksek vasıflı uzmanlar tarafından /19/ virüs tipi programlar olarak /20 - 26/ tasarlanmıştır; bu, bilgisayar virüslerinin izomorfik yapı, kendi kopyalarını oluşturma ve yalnızca belirli koşullar altında kendilerini gösterme yeteneği gibi avantajlarından yararlanmayı mümkün kılar. bilgi işlem ortamının parametreleri /27 - 28/. Bu özellikler, kötü amaçlı programların, bilgilerin yasa dışı manipülasyonu işlevlerini son derece kısa sürelerde uygulamasına izin verir, bu da bunları tespit etme ve ortadan kaldırma yeteneğini önemli ölçüde karmaşıklaştırır ve sonuç olarak bu tür programları en gelişmiş araçlardan biri kategorisine yerleştirir. bugün bilgi alanındaki yasa dışı eylemler için /29/.

Kötü amaçlı programlar, her şeyden önce bilgi alanının unsurlarının geçici özelliklerini etkiler, çünkü etkileri, bilgi süreçlerinin doğruluğunun yeniden sağlanmasıyla ilişkili önemli geçici kayıplara neden olur.

Bu bağlamda, kötü amaçlı programların, faaliyetleri gelen bilgilerin hızlı bir şekilde işlenmesine odaklandığı için, her şeyden önce bilgi alanının kritik bölümlerinin kullanım verimliliğinde önemli bir azalmaya neden olan bir faktör olduğu açıkça ortaya çıkıyor. Bu da kötü amaçlı yazılımları bilgi sektörünün güvenliğine yönelik en ciddi tehditlerin ayrı bir sınıfı olarak sınıflandırmamıza olanak tanır.

Dolayısıyla bilgi alanının kritik bölümlerini bu tür tehditlerden koruma sorunu acil hale geliyor. Çözümünün, kötü amaçlı yazılımdan koruma teknolojilerinin kapsamlı bir çalışmasına dayanarak sistematik olarak yürütülmesi gerektiği açıktır. Bu tür teknolojilerin birçok heterojen parametreyle karakterize edilmesi, araştırma konularını hem bilimsel hem de pratik açıdan karmaşık hale getiriyor.

Benzer çalışmalar şunları önermektedir:

Bilgi alanında ve onun bireysel kritik bölümlerinde bir bütün olarak kötü amaçlı yazılımlara karşı koruma durumunun sistem analizinin yapılması;

Kötü amaçlı yazılımlara karşı etkili yöntem ve araçların araştırılması;

Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımdan koruma teknolojilerinin değerlendirilmesi.

Tüm bunlar, kötü amaçlı yazılımlara karşı mücadelenin etkinliğini değerlendirmeye yönelik, kullanılan teknolojilerin birçok özelliğini sistematik olarak hesaba katacak yaklaşımların aranmasını gerektirdi.

Sorunun durumuna ilişkin bir analizin gösterdiği gibi /30/, bu sorunu çözmenin en umut verici yollarından birinin, kötü amaçlı yazılımlara karşı koymak için kullanılan teknolojilerin yeteneklerini karakterize eden karmaşık bir göstergenin sentezlenmesi olduğunu görüyoruz. Aynı zamanda, karmaşık bir göstergenin sentezi, hem çeşitli teknolojilerin kötü amaçlı yazılımlara karşı koyma yeteneklerinin sınıflandırılmasında hem de araştırma için matematiksel araçların kullanımında birçok yönün varlığıyla ilişkili bir dizi özelliğe sahiptir.

Bu, bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlarla mücadelenin etkinliğinin kapsamlı bir şekilde değerlendirilmesi sorununu çözmek için temelde yeni bir yaklaşım önermeyi mümkün kıldı.

Bu yaklaşımın özü, kötü amaçlı yazılımla mücadelenin etkinliğine ilişkin kapsamlı bir göstergenin sentezi için makul kurallar geliştirmektir; bu göstergenin biçimi, kullanılan karşı eylem teknolojilerinin yeteneklerini yansıtma açısından optimal olacaktır.

Bilgi güvenliğini sağlamaya yönelik teori ve pratiğin geliştirilmesinin son derece acil bir sorun haline gelmesine rağmen, genel olarak bilgi alanındaki kötü amaçlı programlarla mücadelenin ve genel olarak kötü amaçlı programlarla mücadelenin etkinliğinin kapsamlı bir şekilde değerlendirilmesi görevleriyle ilgili özel çalışmalar özellikle kritik bölümler gerçekleştirilmemiştir.

Kötü amaçlı yazılımlara karşı mücadelenin etkinliğini değerlendirmek için önerilen yöntemin mevcut literatürde yer almaması ve bilinen yöntemlerin, kötü amaçlı yazılımdan koruma araçlarının yeteneklerinin kapsamlı bir değerlendirmesine izin vermemesi nedeniyle, bu, Bu araçların etkililiğinin kapsamlı bir şekilde değerlendirilmesine yönelik yöntemlerin geliştirilmesi görevi son derece önemlidir ve bu alanla ilgili konuların hem metodolojik hem de uygulamalı açıdan ciddi bir şekilde incelenmesi gerekmektedir. Bütün bunlar, Rusya Federasyonu Bilgi Güvenliği Doktrini 111'e uygun olarak ve ayrıca Rusya İçişleri Bakanlığı Voronezh Enstitüsü'nün bilimsel yönüne uygun olarak yürütülen bu tez çalışmasının konusunun uygunluğunu göstermektedir. bilgi güvenliği araçları ve sistemlerine yönelik gereksinimlerin doğrulanması.

Araştırmanın amacı, bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlarla mücadele edecek teknolojilerdir.

Araştırmanın konusu, bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlarla mücadelenin etkinliğinin kapsamlı bir şekilde değerlendirilmesine yönelik yöntemlerdir.

Tez çalışmasının amacı, kullanılan karşı eylem teknolojilerinin etkinliğine ilişkin kapsamlı bir göstergenin sentezine dayalı olarak, bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlara karşı önlemi değerlendirmeye yönelik yöntemleri geliştirmektir.

Hedefe ulaşmak için aşağıdaki bilimsel görevler çözülür:

Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımla mücadelenin etkinliğinin kapsamlı bir göstergesinin sentezi için sistem gereksinimlerinin teorik gerekçesi;

Böyle bir göstergenin sentezi için bir algoritmanın geliştirilmesi;

Kullanılan kötü amaçlı yazılımdan koruma teknolojilerinin etkinliğine ilişkin özel göstergelerin optimal yapısının oluşturulması;

Kullanılan kötü amaçlı yazılımdan koruma teknolojilerinin etkinlik göstergelerinin değerlendirilmesini sağlayan bir dizi analitik ve simülasyon modelinin geliştirilmesi;

Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlara karşı mücadelenin etkinliğinin kapsamlı bir şekilde değerlendirilmesi için algoritmaların deneysel olarak test edilmesi.

Araştırma Yöntemleri. Çalışmada sistem analizi, bilgi güvenliği teorisi, küme teorisi, grafik teorisi, matematiksel modelleme, olasılık teorisi ve matematiksel istatistik ve rastgele süreçler teorisi yöntemleri kullanılmaktadır.

Elde edilen sonuçların geçerliliği ve güvenilirliği şu şekilde sağlanır:

Kötü amaçlı yazılımlara karşı mücadele süreçlerinin resmileştirilmesi sürecinde kanıtlanmış matematiksel araçların kullanılması;

Geliştirilen matematiksel modellerin deneysel olarak doğrulanması ve elde edilen sonuçların bilimsel literatürden bilinen vakalara uygunluğu.

Tezde elde edilen sonuçların bilimsel açıdan yeniliği ve teorik önemi şu şekildedir:

1. Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlarla mücadelenin etkinliğinin kapsamlı bir değerlendirmesi için algoritmalar geliştirilmiştir; bu, belirli göstergelerin entegrasyonunun, bunların etkileri dikkate alınarak gerçekleştirilmesi nedeniyle benzer sorunları çözmek için bilinen yöntemlerden farklıdır. hedef işlevine ilişkin - bilgi alanının güvenliğinin ihlali nedeniyle zarar görmesini önleme derecesi.

2. Kötü amaçlı yazılımdan koruma teknolojilerinin belirli göstergelerini değerlendirmek için simülasyon ve analitik modellemeyi birleştirmeye yönelik metodolojik bir yaklaşım önerilmiştir; bu, analogların aksine, incelenen süreçlerin ayrıntı düzeyini kontrol etmeyi mümkün kılar.

3. Rastgele değişkenlerin klasik temsiline karşı koymak için kullanılan teknolojilerin özel göstergelerinin benzerliğinin kullanılmasına dayalı olarak, kötü amaçlı yazılımlara karşı mücadeleye yönelik matematiksel modeller oluşturmak için yeni çözümler önerilmiştir.

Araştırmanın pratik değeri, bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlara karşı kullanılan teknolojileri değerlendirmek için aşağıdaki işlevleri yerine getiren etkili bir karar destek sisteminin geliştirilmesinde yatmaktadır:

Kullanılan karşı önlem teknolojilerine yönelik çeşitli pratik seçenekler için kötü amaçlı yazılımla mücadeleye ilişkin belirli göstergelerin analizi ve genelleştirilmesi;

Kötü amaçlı yazılımdan koruma teknolojileri için pratik anlayışa uygun analiz şemalarının oluşturulması;

Çeşitli kötü amaçlı yazılımdan koruma teknolojilerinin etkinlik göstergelerinin karşılaştırılması.

Teorik ve deneysel araştırmaların sonuçları aşağıdaki bilimsel ve uygulamalı sorunları çözmek için kullanılabilir:

Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlara karşı mücadeleyi organize etmeye yönelik yeni yaklaşımların gerekçelendirilmesi;

Kullanımları sırasında kötü amaçlı yazılımlara karşı koymak için mevcut teknolojilerin analizi.

Elde edilen sonuçlar, bilgi güvenliğinin temelleri incelenirken yüksek öğretim kurumlarındaki ders derslerinde ve eğitim materyallerinde ve ayrıca bilgi alanının kritik bölümlerinin güvenliğinden sorumlu personelin yeniden eğitilmesinde kullanılabilir.

Tez çalışmasının aşağıdaki ana hükümleri savunmaya sunulur:

1. Özel göstergelerin optimal bir yapısının oluşturulmasına ve kötü amaçlı yazılımlara karşı kullanılan teknolojilerin etkinliğini değerlendirmek için uygulanmasına dayalı olarak bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlarla mücadelenin etkinliğine ilişkin kapsamlı bir göstergenin sentezlenmesi sorununun çözümüne ilişkin açıklama ve sonuçlar .

2. Kötü amaçlı yazılımdan koruma teknolojilerinin belirli göstergelerini değerlendirmek için simülasyon ve analitik modellemeyi birleştirmeye yönelik metodolojik bir yaklaşım.

İş sonuçlarının uygulanması. Tez çalışmasının sonuçları şu ülkelerde uygulanmaktadır:

Rusya Federasyonu Savunma Bakanlığı Askeri Radyo Elektroniği Enstitüsü;

Rusya Federasyonu İçişleri Bakanlığı Voronej Enstitüsü;

Voronej Bölgesi Ana İçişleri Bakanlığı;

Tambov bölgesi İçişleri Bakanlığı.

Sonuçların uygulanması ilgili kanunlarla teyit edilir.

İşin onaylanması. Araştırmanın ana metodolojik ve pratik sonuçları aşağıdaki konferanslarda sunuldu:

Araştırmanın ana metodolojik ve pratik sonuçları aşağıdaki konferanslarda sunuldu:

1. Tüm Rusya bilimsel ve pratik konferansı “Suçla mücadelenin modern sorunları” - Voronej, 2002 /48/.

2. Bölgelerarası bilimsel ve pratik konferans “Bilgi ve Güvenlik” - Voronezh, 2002 /56/.

3. IV Tüm Rusya Bilimsel ve Uygulamalı Konferansı “Güvenlik, Güvenlik ve İletişim” - Voronej, 2003 /49/.

4. Tüm Rusya bilimsel ve pratik konferansı “Suçla mücadelenin modern sorunları” - Voronej, 2005 /57/.

Ortak yazarlı olarak yayınlanan çalışmalarda, başvuru sahibi kişisel olarak şunları önerdi: /28/'de - bilgisayar virüslerinin ilişkilendirilebilirlik, kopyalanabilirlik ve izomorfizm özelliklerinin karmaşık tezahürlerini dikkate alarak sınıflandırılması; /29/'da - bilgisayar sistemlerindeki bilgilere yetkisiz erişime yönelik genel stratejinin aşamalarını uygularken saldırganların bilgisayar virüslerinin çeşitli özelliklerini kullanmalarının bir örneği; /30/'da, bunların faaliyetlerini ve hayatta kalmalarını, kötü amaçlı programların özelliklerinin ana sınıflandırma özellikleri olarak kabul edin; /35/'de - kolluk kuvvetlerinin eylemlerini gizli tutma ihtiyacını belirleyen koşulların sistemleştirilmesi; /48/'de - iki seviyeli bir sistem kullanarak bilgisayar bilgisi alanındaki yasadışı eylemleri tanımlamak; ilk seviyesi, yasadışı bir eylemin varlığının tanımlanmasını ve ikinci seviyesi bu tür etkilerin izlerini sağlar; /49/'da - bilgi işlem süreçlerinin bilgi parametrelerinin anlamsal kontrolünü kullanarak bilgisayar ağlarındaki bilgiler üzerindeki yasadışı etkinin gerçeklerini tanımlamak; /50/'de - bilgisayar suçlarını tanımlamanın temel ilkesi olarak, bilgisayar sistemlerindeki bilgilere yetkisiz erişime yönelik stratejilerin hiyerarşik tanımı ilkesi; /53/'de - bilgisayar suçlarının soruşturulmasında adli açıdan önemli bilgilerin kaynağı olarak dağıtılmış bilgi koruma teknolojilerini kullanmak; /54/'de - bu tür yasadışı eylemlerin tam bir dizi tanımlayıcı işaretinin varlığını, bilgisayar suçlarının tespit oranının arttırılmasında baskın faktör olarak değerlendirin; /56/'de - bilgi ve telekomünikasyon sistemlerinin güvenliğini, bilgi güvenliğine yönelik tehditlerden, göstergelerin hiyerarşik bir yapısını oluşturmaya yönelik bir prosedür olarak değerlendirme metodolojisini düşünün, özel kuvvetler rejiminin faaliyetlerini işlevsel bir bilgi modeli örneği olarak düşünün çalışanlara resmi belgelerin sağlanmasında hizmet; /57/'de - özel göstergelerin hiyerarşik yapılanmasına dayalı olarak kötü amaçlı yazılımla mücadelenin etkinliğini değerlendirmek için kapsamlı bir gösterge oluşturmak; /67/'de - bilgi süreçlerinin işlevsel bir tanımını resmileştirmelerinin gerekli bir aşaması olarak kullanın.

İşin yapısı ve kapsamı. Tez 164 sayfa olup, giriş, dört bölüm, sonuç, kullanılmış literatür bibliyografyası ve eklerden oluşmakta olup, 51 şekil ve 19 tablodan oluşmaktadır.

Benzer tezler "Bilgi güvenliği yöntem ve sistemleri, bilgi güvenliği" uzmanlığında, 05.13.19 VAK kodu

• Bilgi işlem kaynaklarının dikkatinin dağılmasını en aza indirirken, çeşitli bilgi güvenliği araçlarını kullanarak bilgi ve telekomünikasyon sistemlerine yetkisiz erişime karşı koymanın matematiksel modeli 2002, teknik bilimler adayı Kochedykov, Sergey Sergeevich

• Bilgi güvenliğine yönelik tehditlerle mücadele bağlamında içişleri organlarının birleşik bilgi ve telekomünikasyon sisteminin bölgesel bölümlerindeki bilgi süreçlerinin modellenmesi ve optimizasyonu 2006, Teknik Bilimler Adayı Chagina, Lyudmila Vladimirovna

• Bilgisayar bilgileri alanındaki yasa dışı eylemlerin tespit edilmesi amacıyla korunan bilgi sistemleri üzerindeki kötü niyetli etkilerin modellenmesi 2005, Teknik Bilimler Adayı Tyunyakin, Roman Nikolaevich

• Gizli Markov modellerine dayalı kötü amaçlı yazılım tanıma 2012, Teknik Bilimler Adayı Kozachok, Alexander Vasilievich

• Özel güvenlik birimlerinin teknik bilgi koruması alanında hizmet sağlamadaki etkinliğini değerlendirmeye yönelik matematiksel modeller 2005, Teknik Bilimler Adayı Fedorov, Ivan Semenovich

Tezin sonucu “Bilgi güvenliği yöntem ve sistemleri, bilgi güvenliği” konulu Sushkov, Pavel Feliksovich

4.4. sonuçlar

1. Hesaplamalı deney planına uygun olarak karşı önlemlerin kullanılmasına yönelik çeşitli seçeneklerin analizine dayanarak, bilgi alanının kritik bölümlerinde kötü amaçlı yazılımla mücadelenin etkinliğinin değerlendirilmesi tavsiye edilir.

2. Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlarla mücadelenin etkinliğini değerlendirmek için tezde geliştirilen yöntemlerin kullanılması, kullanılan matematiksel modellerin aralığını %50 oranında azaltmamıza olanak tanır.

3. Tezde önerilen göstergelerin hiyerarşik yapısının doğruluk özellikleri, olasılık ölçeğinin kullanılması nedeniyle, bilinen entegre gösterge yapılarının doğruluk özelliklerinden en az iki kat daha yüksektir.

4. Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlarla mücadelenin etkinliğini değerlendirmek için tezde geliştirilen yöntem, bilgi nesnelerinin güvenliğini değerlendirmek için evrensel bir yöntem olarak düşünülebilir.

Seviye 5

Bilgi korumasının amacı, bilgi güvenliği ihlallerinden kaynaklanan zararları önlemektir.

Seviye 4

3. seviye

Seviye 2

Bilginin gizliliğinin ihlal edilmesini (sızdırılmasını) önleme fırsatları

Infoormacin bütünlüğünün ihlal edilmesini önleme olanakları

Yan elektromanyetik radyasyon ve parazit nedeniyle bilgileri sızıntıya karşı koruma olanakları

Bilginin erişilebilirliğinin ihlal edilmesini (engellenmesini) önleme olanakları

Bilgileri yetkisiz erişime karşı koruma fırsatları

Konuşma bilgilerini koruma olanakları (akustik kanaldan sızıntıya karşı)

Tehditlerin ortaya çıkmasına elverişli koşulları önleme fırsatları

NSD tehditlerinin ortaya çıkmasını önlemeye yönelik fırsatlar 1

Fiziksel alanlardan bilgi sızıntısı tehdidinin ortaya çıkmasını engelleme fırsatları

Tespit edilen tehdit kaynaklarına yönelik fırsatlar

Vay< южк» ста по закрытию доступа в обход системы защиты и и форма-цкн

Tarafsız ve olumsuz tehditlere yönelik fırsatlar NSD X X

Fiziksel alanlar aracılığıyla bilgi sızıntısı tehditlerini etkisiz hale getirmeye yönelik fırsatlar X

NSD tehditlerinin tespiti ve etkisine yönelik fırsatlar

PEMIN kanalları aracılığıyla bilgi sızıntısı tehditlerinin etkisini tespit etme fırsatları

Akustik kanal X aracılığıyla bilgi sızıntısı tehditlerinin tespiti ve etkisine yönelik olanaklar

NSD tehditlerine maruz kaldıktan sonra bilgileri kurtarma olanakları

BOiMG&HdCTtt, ghemim kanalları aracılığıyla bilgi sızıntısı tehditlerine maruz kaldıktan sonra bilgi kurtarma hakkında

Fırsatlar yeniden sağlandı!! yu bilgi tehditlerine maruz kaldıktan sonra akustik kanala sızıntı

Belki*

Seviye 1

Muhtemelen Mümkün

Bilgi kaynaklarına erişimi sınırlamaya yönelik yönergeler

ITKS ITKS

Bilgilendirici kanallardan (fiziksel alanlar) radyasyonu ve paraziti gizleme olanakları

Belki

Dezenformasyona ilişkin STA (radyasyonun ve parazitin taklidi)

Bilginin kriptografik dönüşümü için olanaklar

Belki

TSOI ve ITKS'nin öğelerinin (öğelerin durumu) izlenmesine ilişkin kılavuzlar

TSIOI'nin işleyişi hakkındaki bilgileri RF açısından kaydetmek mümkündür.

Harcanan ve kullanılmayan bilgilerin zamanında imha edilmesi fırsatları

Yasadışı faaliyetlerin tezahürlerini ve tehditlerini bildirme fırsatları

PEMIN kanalları aracılığıyla bilgi sızıntısı tehditlerinin tezahürünü sinyalize etme olanakları

Tehditlerin tezahürlerine yanıt vermek (tehditleri etkisiz hale getirmek) için akustik kanallar aracılığıyla bilgi sızıntısı tehditlerinin tezahürünü sinyalize etme olanakları

NSD'nin belirtileri ve tehditlerinin İngilizceleştirilmesi için fırsatlar

Tehditlerin tezahürüne akustik kanallar aracılığıyla yanıt vermek (tehditleri etkisiz hale getirmek) mümkündür

Pirinç. 4.3.2. Heterojen teknik sistem göstergelerinin yapısı ve bilgi ve telekomünikasyon sistemlerinin bilgi güvenliği araçları

ÇÖZÜM

Tez çalışmasında elde edilen başlıca bilimsel sonuçlar şunlardır:

1. Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlarla mücadeleye yönelik bir sistemin etkinliğinin genelleştirilmiş bir değerlendirme yöntemi, belirli karşı önlem göstergelerinin yapılandırılmasına dayalı olarak teorik olarak gerekçelendirilmiş ve pratik olarak uygulanmıştır.

2. Kötü amaçlı yazılımlarla mücadeleye yönelik özel göstergelerin yapısını optimize edecek bir yöntem geliştirilmiştir. Buna uygun olarak şu teklifte bulunulmuştur:

Karşı önlem göstergeleri kümesini, karşı önlemlerin özelliklerinin tutarlı bir şekilde genelleştirilmesiyle hiyerarşik bir yapı biçiminde sunmak;

Hiyerarşik yapının seviyeleri, bilgi alanının maddi temelini oluşturan bilgisayar ağlarının güvenliğini sağlamaya yönelik karşı önlemlerin ana yetenek sınıflarına karşılık gelen gösterge setleri şeklinde sunulur;

Kötü amaçlı yazılımlara karşı mücadelenin etkinliğini incelemek için bir araç olarak, karşı önlemlerin işleyiş süreçlerini açıklayan simülasyon ve analitik modelleri kullanın.

3. Tezde geliştirilen matematiksel modelleri kullanan hesaplamalı deneyler teorisinin ilkelerine dayanarak, bilgisayar ağlarını anti-virüs araçlarıyla donatmak için çeşitli seçenekleri değerlendirmek için bir metodoloji geliştirilmiştir.

Tezde aşağıdaki yeni pratik sonuçlar elde edildi:

1. Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlara karşı mücadele için geliştirilmiş matematiksel modeller kullanılarak gerçekleştirilen araştırma, aşağıdakileri ileri sürmek için temel oluşturmaktadır:

Bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlara karşı mücadeleyi değerlendirmek için tezde geliştirilen yöntemlerin kullanılması, kullanılan matematiksel model aralığının %50 oranında azaltılmasını mümkün kılmaktadır.

Tezde önerilen göstergelerin hiyerarşik yapısının doğruluk özellikleri, olasılık ölçeğinin kullanılması nedeniyle, bilinen entegre gösterge yapılarının doğruluk özelliklerinden en az iki kat daha yüksektir.

Bu sonuçların pratik önemi, bilgi alanının kritik bölümlerinde kötü amaçlı yazılımla mücadeleye yönelik önlemlerin uygulanmasının fizibilitesini ölçmeyi mümkün kılmasıdır.

2. Geliştirilen yöntemler, modeller ve algoritmalar, bilgi alanının kritik bölümlerinde kötü amaçlı yazılımlara karşı mücadelenin etkinliğini değerlendirmeye yönelik pratik sorunun çözümüne yönelik metodolojik desteği temsil etmektedir. Bilgi nesnelerinin güvenliğini, bilgi güvenliğine benzer tehditlerden değerlendirirken benzer sorunları çözmek için kullanılabilir.

Tez araştırması için referans listesi Teknik Bilimler Adayı Sushkov, Pavel Feliksovich, 2005

1. Telekomünikasyon. Dünya ve Rusya. Devlet ve kalkınma eğilimleri / Kleshchev N.T., Fedulov A.A., Simonov V.M., Borisov Yu.A., Osenmuk M.P., Selivanov S.A. M.: Radyo ve iletişim, 1999. - 480 s.

2. Khomyakov N.N., Khomyakov D.N. Terör saldırıları sırasında nükleer santral güvenliğinin analizi. // Güvenlik sistemi. 2002. - Sayı 2(44). - sayfa 74-76.

3. Moshkov G.Yu. Ulaşım tesislerinin güvenliğini sağlamak önceliğimizdir. // Güvenlik sistemi. - 2003. - Sayı 6(48). - S.8-9.

4. Agapov A.N. Nükleer ve radyasyon güvenliği. Acil durum hazırlığı. // Güvenlik sistemi. 2003. - No.2(50). - S.8-10.

5. Rusya Federasyonu'nun bilgi güvenliği doktrini // 28 Eylül 2000 tarihli Rossiyskaya Gazeta.

6. Gerasimenko V.A. Otomatik veri işleme sistemlerinde bilgilerin korunması: 2 kitapta: Kitap. 1. M .: Energoatomizdat, 1994. - 400 s.

7. Gerasimenko V.A. Otomatik veri işleme sistemlerinde bilgilerin korunması: 2 kitapta: Kitap. 2.M .: Energoatomizdat, 1994. - 176

8. Gerasimenko V.A., Malyuk A.A. Bilgi güvenliğinin temelleri: Rusya Federasyonu Genel ve Mesleki Eğitim Bakanlığı'nın yüksek öğretim kurumları için ders kitabı M.: MEPhI, 1997. - 538 s.

9. Bilgi güvenliğinin temelleri: Rusya İçişleri Bakanlığı yüksek öğretim kurumları için ders kitabı / Ed. Minaeva, V.A. ve Skryl S.V. - Voronej: Rusya İçişleri Bakanlığı Voronej Enstitüsü, 2001. - 464 s.

10. Shcherbakov A.A. Yıkıcı yazılım etkileri. M.: Yayınevi "Edel", 1993. 64 s.

11. Muhin V.I. Bilgi ve yazılım silahları. Yıkıcı yazılım etkileri. // Bilimsel ve metodolojik materyaller. M.: Büyük Petro'nun adını taşıyan Askeri Stratejik Füze Kuvvetleri Akademisi, 1998.-44 s.

12. Skryl S.V. Otomatik bilgi sistemlerinde bilgilerin çalınması ve bozulmasına yönelik yazılımların sınıflandırılması // Teknoloji, tıp ve eğitimde yüksek teknolojiler: Üniversitelerarası koleksiyon. ilmi tr., Bölüm 2. Voronej: VSTU, 1997. - S. 131-137.

13. Bilgisayar ağları. İlkeler, teknolojiler, protokoller: Üniversiteler için ders kitabı. / V.G. Olifer, N.A. Olifer SPb.: Peter, 2003. - 864 s.

14. Syrkov B.Yu. Bir bilgisayar korsanının gözünden bilgisayar sistemi // Teknolojiler ve iletişim. -1998. 6. S. 98-100

15. Bezrukov N.N. Bilgisayar virolojisine giriş. MS-DOS'taki en yaygın virüslerin genel çalışma prensipleri, sınıflandırılması ve kataloğu. Kiev, 1989. - 196 s.

16. Bezrukov N.N. Bilgisayar Virolojisi: Bir Referans Kılavuzu. -Kiev, 1991.

17. Bezrukov N.N. Bilgisayar virüsleri. - M., 1991. - 132 s.

18. Kaspersky E.V. MS-DOS'taki bilgisayar virüsleri. M.: Edel Yayınevi, 1992. - 120 s.

19. Kaspersky E.V. Bilgisayar virüsleri, ne oldukları ve onlarla nasıl savaşılacağı. M.: "SK Basını", 1998. - 288 s.

20. F., Johnston P., Kratz M. Bilgisayar virüsüyle savaşır: sorunlar ve tahmin. -M.: Mir, 1993. 175 s.

21. Guliev N.A. Bilgisayar virüsleri, içeriden bir bakış. M.: DMK, 1998.-304 s.

22. Bilgisayar virüslerine dayalı kötü amaçlı yazılım geliştirme teknolojileri // E.G. Gennadieva, K.A. Razinkin, Yu.M. Safonov, P.F. Sushkov, R.N. Tyunyakin // Bilgi ve güvenlik. Sorun 1. - Voronezh: VSTU, 2002. - s. 79-85.

23. Kötü amaçlı programların virolojik tiplendirilmesi // JI.B. Chagina, K.S. Skryl, P.F. Sushkov // Üretim Bilimi, 2005. - Sayı 6. - s. 12-17.

24. Minaev V.A., Skryl S.V. Sistemik kötülük olarak bilgisayar virüsleri. // Güvenlik sistemleri SB-2002: Uluslararası Bilişim Forumu XI bilimsel ve teknik konferansının materyalleri - M.: GPS Akademisi, 2002. - s. 18-24.

25. Veri iletim sistemleri ve ağları: Ders kitabı. / M.V. Garanin, V.I. Zhuravlev, S.V. Kunegin M.: Radyo ve iletişim, 2001. - 336 s.

26. Telekomünikasyon sistemleri ve ağları: Ders Kitabı 3 cilt halinde. Cilt 1 Modern teknolojiler / B.I. Kruk, V.N. Popantonopoulo, Başkan Yardımcısı. Shuvalov - M .: Yardım Hattı - Telekom, 2003. - 647 s.

27. Bilgisayar sistemleri ve ağlarındaki bilgilerin korunması. / Romanets Yu.V., Timofeev P.A., Shangin V.F. M.: Radyo ve iletişim, 2001. - 376 s.

28. İçişleri organlarının faaliyetlerinde bilgiye erişimin kısıtlanmasının örgütsel ve yasal yönleri / Asyaev P.I., Pozhilykh V.A., Sushkov P.F., Belousova I.A., Potanina I.V., Razinkin K.A. // Bilgi ve güvenlik. - Sayı 1. Voronezh: VSTU, 2002. - S. 43-47.

29. Kaspersky K. Ağ saldırı teknikleri. Karşı koyma teknikleri. M.: Solon-R, 2001.-397 s.

30. Serdyuk V.A. Bilgi saldırılarını tespit etmek için gelecek vaat eden teknolojiler. // Güvenlik sistemi. 2002. - Sayı 5(47). - s. 96-97.

31. Bilgi güvenliği algoritmalarının programlanması: Ders Kitabı. / Domashev A.V. Gruntovich M.M., Popov V.O., Pravikov D.I., Prokofiev I.V., Shcherbakov A.Yu. M.: Bilgi, 2002. - 416 s.

32. Grusho A.A., Timonina E.E. Bilgi güvenliğinin temelleri. M.: Yatçı, 1996.-192 s.

33. Departman bilgi ve telekomünikasyon sistemlerinin güvenliği. / Getmantsev A.A., Lipatnikov V.A., Plotnikov A.M., Sapaev E.G. VAS, 1997. 200 s.

34. Skryl S.V. Kötü amaçlı yazılımla mücadele bağlamında içişleri organlarının otomatik kontrol sistemlerinin işleyişinin modellenmesi ve optimizasyonu: Dr. teknoloji. Bilimler M.: Rusya İçişleri Bakanlığı Devlet İtfaiye Akademisi, 2000. - 48 s.

35. Joel T. Patz Antivirus programları / PC Magazine / Russian Edition, 1996, No. 3 (46), s. 70-85

36. Doctor Web antivirüsünün akıllı teknolojileri. / JSC "Dialognauka". // Güvenlik sistemi. 2002. - Sayı 2(44). - s. 84-85.

37. Antimonov S.G. Ön saflarda entelektüel çatışmalar Virüs-antivirüs. // Bilgi ve güvenlik: Bölgeler arası bilimsel ve pratik çalışma materyalleri. konf. Bilgi ve güvenlik. - Sayı 2. - Voronezh: VSTU, 2002. - S. 39-46.

38. Vorobyov V.F., Gerasimenko V.G., Potanin V.E., Skryl S.V. Bilgisayar suçlarına yönelik izolojik tanımlama araçlarının tasarımı. Voronej: Rusya İçişleri Bakanlığı Voronej Enstitüsü, 1999. - 136 s.

39. Bilgisayar suçlarının izleri / Voynalovich V.Yu., Zavgorod-niy M.G., Skryl S.V., Sumin V.I. // “Kolluk Uygulama Sistemlerinin Bilgilendirilmesi” uluslararası konferansının raporlarının özetleri, Bölüm 2. M .: Rusya İçişleri Bakanlığı Yönetim Akademisi, 1997. s. 53-55.

40. Yüksek teknoloji alanındaki suçları araştırırken birincil soruşturma eylemlerini yürütme metodolojisi. / Sushkov P.F., Kochedykov S.S., Kiselev V.V., Artemov A.A. Rusya İçişleri Bakanlığı VI Bülteni 2(9)" 2001 - Voronej: Rusya İçişleri Bakanlığı VI 2001. - S. 152-155.

41. Bilgisayar suçlarının tespit oranının arttırılması // Bogachev S.Yu., A.N. Obukhov, P.F. Sushkov // Bilgi ve güvenlik. Cilt 2. - Voronej: VSTU, 2004. - S. 114 - 115.

42. Yasa dışı eylemlerin bilgisayar ve teknik incelemesi. // Sushkov P.F. // Rusya İçişleri Bakanlığı Voronej Enstitüsü Bülteni. T.4(19). -2004.-№4(19) - S. 52-55.

43. Maminov A.G., Kulba V.V., Shchelkov A.B. Otomatik kontrol sistemlerinde bilgilerin güvenilirliği, korunması ve yedeklenmesi. M.: Energoatomizdat, 1986. - 304 s.

44. Sokolov A.V., Shangin V.F. Dağıtılmış kurumsal sistemlerde bilgilerin korunması. M.: DMK Press, 2002. - 656 s.

45. Khasin E.V. Bilgi ve bilgi işlem sistemlerinin izlenmesine yönelik entegre bir yaklaşım. // Bilimsel oturum MEPhI 2002: IX Tüm Rusya bilimsel ve pratik konferansının materyalleri. konf. - M.: MEPhI, 2002. - S. 110-111.

46. ​​​​Buslenko N.P. Karmaşık sistemlerin modellenmesi / N.P. Buslenko. - M.: Nauka, 1978.-400 s.

47. Sovyet B.Ya. Sistemlerin modellenmesi: Üniversiteler için uzmanlık üzerine ders kitabı. “Otomatik kontrol sistemleri” / B.Ya. Sovyetov, S.A. Yakovlev. - M .: Yüksekokul, 1985. - 271 s.

48.Iglehart D.L. Kuyruk ağlarının rejeneratif modellemesi: Per. İngilizceden / D.L. Iglehart, D.S. Shedler. M.: Radyo ve iletişim, 1984. - 136 s.

49.Buslenko V.N. Karmaşık sistemlerin simülasyon modellemesinin otomasyonu / V.N. Buslenko. - M .: Nauka, 1977. - 239 s.

50. Tarakanov K.V. Sistemleri incelemek için analitik yöntemler / K.V. Tarakanov, Los Angeles Ovcharov, A.N. Tyryshkin. - M .: Sovyet radyosu, 1974. 240 s.

51. Vilkas E.J., Mayminas E.Z. Çözümler: teori, bilgi, modelleme. M.: Radyo ve iletişim, 1981. - 328 s. s. 91-96.

52. Özel amaçlı bilgi sistemleri için güvenlik süreçlerinin yapılandırılmış modelleme ilkeleri. / P.I. Asyaev, V.N. Aseev, A.R. Mozhaitov, V.B. Shcherbakov, P.F. Sushkov // Radyo mühendisliği (dergi içindeki dergi), 2002, No. 11.

53. Tatg U. Grafik teorisi: Transl. İngilizceden M.: Mir, 1988. - 424 s.

54. Ventzel E.S. Olasılık teorisi. M.: Fiziksel ve Matematiksel Edebiyat Yayınevi, 1958. - 464 s.

55. Fortran'daki bilimsel programların toplanması. Cilt 1. İstatistikler. New York, 1970. / Çev. İngilizceden M.: “İstatistikler”, 1974. - 316 s.

56. Zaryaev A.V. Bilgi güvenliği uzmanlarının eğitimi: yönetim modelleri: Monograph M.: “Radyo ve İletişim”, 2003. - 210 s.

57. Kini P.JI., Raiffa X. Çoklu tercih ve ikame kriterleri altında karar verme. M.: Radyo ve iletişim, 1981. - 560 s.

58. Larichev O.I. Karar verme bilimi ve sanatı. M.: Nauka, 1979.-200 s.

59. Yakovlev S.A. Bilgi sistemlerinin tasarımında simülasyon deneylerinin planlanması sorunları. // Otomatik veri işleme ve yönetim sistemleri. L.: 1986. - 254 s.

60. Doctor Web antivirüsünün akıllı teknolojileri. / JSC "Dia-lognauka". // Güvenlik sistemi. 2002. - Sayı 2(44). - s. 84-85.

61. Bilgisayar virüsleri ansiklopedisi. / EVET. Kozlov, A.A. Parandovsky, A.K. Parandovsky M.: “Solon-R”, 2001. - 457 s.

62. Joel T. Patz Antivirus programları / PC Magazine / Russian Edition, 1996, No. 3 (46), s. 70-85.

63. Bilgi güvenliği gereksinimleri No. ROSS RU.OOI.OIBHOO'ya göre bilgi güvenliği araçları için sertifikasyon sistemi. Sertifikalı bilgi güvenliği araçlarının devlet kaydı. Rusya Devlet Teknik Komisyonu'nun resmi web sitesi, 2004.

64. Skryl S.V. Kötü amaçlı yazılımla mücadele bağlamında içişleri organlarının otomatik kontrol sistemlerinin işleyişinin modellenmesi ve optimizasyonu: Dr. teknoloji. Bilimler M.: Rusya İçişleri Bakanlığı Devlet İtfaiye Akademisi, 2000. - 48 s.

65. Bilgi ve telekomünikasyon sistemlerinde bilgi güvenliğinin değerlendirilmesi. / Minaev V.A., Skryl S.V., Potanin V.E., Dmitriev Yu.V. // Ekonomi ve üretim. 2001. - Sayı 4. - s. 27-29.

66. Ventzel E.S. Yöneylem Araştırması M.: Sovyet Radyosu, 1972 - 552 s.

67. Zadeh J1.A. Dilsel değişken kavramı ve yaklaşık karar vermede uygulanması. M.: Mir, 1976. - 168 s.

68.Pospelov D.A. Kontrol sistemlerinde mantıksal-dilsel modeller. M.: Enerji, 1981.-231 s.

69.Pospelov D.A. Durumsal yönetim: teori ve pratik. -M.: Nauka, 1986.-284 s.

70. Raifa G. Karar analizi (belirsizlik koşullarında seçim problemine giriş). M.: Nauka, 1977. - 408 s.

71. Dilsel değişkenlere dayalı karar verme modelleri / A.N. Borisov, A.V. Aleksev, O.A. Krumberg ve diğerleri Riga: Zinatne, 1982. - 256 s.

72. Kofman A. Bulanık kümeler teorisine giriş. M.: Radyo ve iletişim, 1982. - 432 s.

73. Kontrol ve yapay zeka modellerinde bulanık kümeler. / Ed. EVET. Pospelov. M.: Nauka, 1986. - 312 s.

74. Araştırma sonuçlarının uygulanmasına ilişkin eylemler

75. Merkezi İçişleri Müdürlüğü “K” daire başkan yardımcısı, polis yarbay1. Komisyon üyeleri: md. Merkezi İçişleri Müdürlüğü “K” dairesi dedektifi, polis yüzbaşısı, Merkezi İçişleri Müdürlüğü “K” dairesi dedektifi, polis teğmeni1. Sokolovsky I.V.1. Povalukhin A.A.1. Razdymalin R.S.41. ONAYLADIM

76. Yardımcısı Tambov Bölgesi İçişleri Dairesi Başkanı Polis Yarbay1. Komisyon üyeleri: 1. B.J.I. Vorotnikov

77. Tambov Bölgesi USTM İçişleri Bakanlığı “K” Daire Başkanı, polis şefi

78. Tambov Bölgesi USTM İçişleri Bakanlığı İçişleri Bakanlığı kıdemli dedektif memuru, polis şefi1. R.V. Belevitin1. AV. Bogdanov

Yukarıda sunulan bilimsel metinlerin yalnızca bilgilendirme amaçlı olarak yayınlandığını ve orijinal tez metni tanıma (OCR) yoluyla elde edildiğini lütfen unutmayın. Bu nedenle kusurlu tanıma algoritmalarıyla ilişkili hatalar içerebilirler. Teslim ettiğimiz tez ve özetlerin PDF dosyalarında bu tür hatalar bulunmamaktadır.