Способы защиты операционной системы от вирусных программ
Обоснование комплексной системы защиты информации на предприятии. Основные способы защиты операционной системы от программных закладок типа "троянский конь". Оценка эксплуатационных характеристик информационной системы. Основные показатели надежности.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 12.08.2010 |
Размер файла | 2,7 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие "троянцы" от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде "хозяина", управляющего данной копией троянской программы.
Trojan-PSW - воровство паролей
Данное семейство объединяет троянские программы, "ворующие" различную информацию с зараженного компьютера, обычно - системные пароли (PSW - Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде "троянца" электронному адресу или адресам.
Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т.п. Некоторые троянцы данного типа "воруют" регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.
Trojan-AOL - семейство троянских программ, "ворующих" коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.
Trojan-Clicker - интернет-кликеры
Семейство троянских программ, основная функция которых - организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны "стандартные" адреса интернет-ресурсов (например, файл hosts в MS Windows).
У злоумышленника могут быть следующие цели для подобных действий:
увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
организация DoS-атаки (Denial of Service) на какой-либо сервер;
привлечение потенциальных жертв для заражения вирусами или троянскими программами.
Trojan-Downloader - доставка прочих вредоносных программ
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки "троянцев" или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются "троянцем" на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с "управляющего" интернет-ресурса (обычно с веб-страницы).
Trojan-Dropper - инсталляторы прочих вредоносных программ
Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для "подсовывания" на компьютер-жертву вирусов или других троянских программ.
Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.
Основной код |
|
Файл 1 |
|
Файл 2 |
|
... |
Обычно структура таких программ следующая:
"Основной код" выделяет из своего файла остальные компоненты (файл 1, файл 2,. .), записывает их на диск и открывает их (запускает на выполнение).
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является "обманкой": программой-шуткой, игрой, картинкой или чем-то подобным. "Обманка" должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то "полезное", в то время как троянская компонента инсталлируется в систему.
В результате использования программ данного класса хакеры достигают двух целей:
скрытная инсталляция троянских программ и/или вирусов;
защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy - троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy - шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
Trojan - прочие троянские программы
К данным троянцам относятся те из них, которые осуществляют прочие действия, попадающие под определение троянских программ, т.е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.
В данной категории также присутствуют "многоцелевые" троянские программы, например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.
Rootkit - сокрытие присутствия в операционной системе
Понятие rootkit пришло из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.
Так как инструменты типа rootkit на сегодняшний день "прижились" и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.
Таким образом, rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).
Для поведения Rootkit в классификации "Лаборатории Касперского" действуют правила поглощения: Rootkit - самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.
ArcBomb - "бомбы" в архивах
Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные - зависание или существенное замедление работы компьютера или заполнение диска большим количеством "пустых" данных. Особенно опасны "архивные бомбы" для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации - "архивная бомба" может просто остановить работу сервера.
Встречаются три типа подобных "бомб": некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.
Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.
Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).
Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).
Trojan-Notifier - оповещение об успешной атаке
Троянцы данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере. При этом на адрес "хозяина" отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т.п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице "хозяина", ICQ-сообщением.
Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего "хозяина" об успешной инсталляции троянских компонент в атакуемую систему.
2.3 Краткая история возникновения троянских программ
1998-й год можно смело назвать годом троянцев. Конечно, атаки такого рода происходили и раньше, техника небольшой модификации кода, приводящая к возможности захвата хоста, была очень популярна в unix-системах, но это никогда еще не было таким массовым явлением. Год начался со скромных поделок, представляющих собой обычные пакетные файлы DOS, сжатые с помощью в WinZip в самораспаковывающиеся архивы. Иногда фантазии авторов хватало на преобразование bat-файлов в com, внутри же, как правило, были всевозможные комбинации из деструктивных команд. Чуть позже были освоены конструкции, включающие в себя программы типа pwlview, предназначенные для извлечения из системных файлов имен и паролей для доступа к Internet, а также средства для отправки полученных результатов на некоторый адрес. Разумеется, чтобы заставить пользователя запустить это изделие, придумывались всевозможные приманки. Почетные места в этом ряду занимают "крак интернета", позволяющий получить заветный бесплатный доступ у любого провайдера, всевозможные 3dfx-эмуляторы и icq-ускорители, а также личные письма от компании Microsoft, в знак большой признательности присылающей лично вам последние заплатки, исправляющие очень опасную брешь в системе.
Однако несомненным событием года стало появление BackOrifice. Эта программа стала основоположником нового поколения троянцев, количество которых на данный момент исчисляется десятками. Фактически она представляет собой средство удаленного администрирования и состоит из двух частей - сервера и клиента. До сих пор все вполне прилично и ничем не отличается от любого средства удаленного доступа - того же PCAnywhere. Однако что принципиально отличается - так это поведение сервера, который после запуска тихо добавляет себя в раздел реестра Windows, отвечающий за автоматическую загрузку приложений при старте системы, и начинает ждать соединения на определенном порту. Соединившись с сервером с помощью отдельного клиентского приложения, с серверным компьютером можно делать практически все, что угодно - получать список процессов, запускать/удалять процессы, копировать/удалять файлы, каталоги, перенаправлять входящие пакеты на другие адреса, работать с реестром, выводить диалоговые окна, блокировать систему. Одним словом, компьютер оказывается под полным контролем.
Жертвами BackOrifice порой становились не только пользователи, но и целые системы, включающие в том числе и web-серверы. Так, прошлогодний взлом Relcom-Ukraine был осуществлен именно с помощью BackOrifice, внедренного всего лишь на один компьютер в офисе провайдера.
2.3.1 Обзор текущего состояния проблемы
По данным отчета Aladdin Malware Report 2006, уровень активности угроз, содержащихся в веб-контенте, увеличился за прошлый год на 1300%. По мнению авторов отчета, наибольшую опасность представляют шпионские и троянские программы.
В отчете Aladdin отмечается резкое увеличение числа вредоносных программ, "вшитых" в приложения и наносящих значительный ущерб операционной системе.95% новых приложёний, возникших сразу после выявления уязвимости, мгновенно нашли свое применение у разработчиков и распространителей вредоносных приложений, которые якобы позволяют избавиться от программ-шпионов. Многие из таких приложений окончательно выводят систему из строя без возможности восстановления.
Из вышесказанного можно сделать вывод, что из рассмотренных программ наиболее опасными являются троянские программы, поэтому рассмотрим их подробнее.
Рассмотрим также 10 самых опасных троянских программ.
Trojan-Downloader. Win32. Agent. jc - троянский загрузчик
Другие названия: Generic Downloader. p (McAfee), Trojan. DownLoader.1670 (Doctor Web), Troj/Teadoor-A (Sophos), TR/Dldr. Agent. JC (H+BEDV), Trojan. Downloader. Agent. JC (SOFTWIN), Trojan. Downloader. Agent-61 (ClamAV), Trj/Downloader. AMH (Panda)
Троянская программа, скачивающая из Интернет другие (любые, возможно, также троянские) программы и запускающая их незаметно для пользователя. В начале работы пытается выгрузить из памяти все возможные антивирусы и перенести свой исполняемый файл в системный каталог OS Windows.
Trojan. Win32. KillAV. id - троянская программа, выгружающая из памяти различные легальные программы. Является приложением Windows (PE EXE-файл). Имеет размер 3104 байта, упакована при помощи UPX. Размер распакованного файла - около 13 КБ.
Троян Conycspa. AJ предназначен для демонстрации рекламы. Его действие проявляется в том, что он изменяет несколько записей реестра Windows, а также изменяет результаты поиска в Интернете. Благодаря этому троян перенаправляет пользователей на определенные веб-страницы, в основном имеющие отношение к медицине. Также Conycspa. AJ подключается к определенному сайту, с которого загружает различные файлы. Среди них mm 4839. exe, предназначенный для рассылки с компьютеров пользователей спама о лекарствах. Троян также загружает из Интернета разные зараженные файлы, содержащие следующее вредоносное ПО: рекламный код MalwareAlarm, потенциально нежелательные программы DriveCleaner, WinAntivirus 2006 и PsKill. J, троянов Stox. A и Cimuz. EI, а также cookie DriveCleaner и MediaPlex. Также этот опасный троян вносит изменения в папку восстановления файлов за счет создания собственной папки. Следовательно, при попытке операционной системы Windows восстановить поврежденную библиотеку, она заменяется файлами, созданными самим трояном. Так троян защищает внесенные им изменения и предотвращает их удаление операционной системой.
Trojan-Spy. Win32. Briss. g - программа-шпион
Другие названия: TrojanSpy. Win32. Briss. g ("Лаборатория Касперского"), Keylog-Briss (McAfee), Trojan. Briss (Doctor Web), Troj/Briss-A (Sophos), PWS: Win32/Briss (RAV), DR/Bridge. A.2 (H+BEDV), Win32: Trojan-gen. (ALWIL), PSW. Briss. C (Grisoft), Trojan. PWS. Briss. A (SOFTWIN), Trojan. WinFavorites. Bridge (ClamAV), Spyware/Bridge (Panda), Win32/Spy. Briss. G (Eset)
Во время активной сессии Internet может показывать рекламные сообщения, перехватывать клавиатурный ввод пользователя, а также следить за историей посещения веб-сайтов. Собранную информацию может отсылать на свой сайт.
Каждый час скачивает для себя с www2. flingstone.com обновления. При этом отображает ход этого процесса в файле bridge. log.
Trojan-PSW. Win32. Hooker - троянская программа, относящаяся к семейству троянцев, ворующих пароли пользователя. Представляет собой динамически подключаемую библиотеку (DLL), содержащую набор функций предназначенных для мониторинга информации вводимой с клавиатуры. Библиотека разработана в среде Visual Studio с использованием языка программирования С++.
Trojan-PSW. Win32. Hooker.24. h ("Лаборатория Касперского") также известен как: PWS-Hooker. dll (McAfee), Trojan Horse (Symantec), Trojan. PWS. Hooker.24 (Doctor Web), Troj/PWS-AV (Sophos), Win32/Badtrans. B@mm (RAV), WORM_BADTRANS. B (Trend Micro), Worm/BadTrans. B2 (H+BEDV), Win32: Trojan-gen. (ALWIL), I-Worm/BadTrans (Grisoft), Trojan. PSW. Hooker.2. C (SOFTWIN), Worm. BadTrans. B2 (ClamAV), Trj/PSW. Hooker.24. h (Panda), Win32/Badtrans.29020. A (Eset)
Данная библиотека может быть использована в составе других хакерских модулей. Она предоставляет набор функций для слежения за символами, вводимыми с клавиатуры.
Текст этого Трояна - Приложение 2.
Trojan-Dropper. Win32. Small. hq - троянский контейнер
Другие названия: Trojan-Dropper. Win32. Small. hq ("Лаборатория Касперского"), StartPage-DU (McAfee), Trojan. DownLoader.365 (Doctor Web), TROJ_STARTPAG. DU (Trend Micro), TR/Dldr. Delf. CB.3 (H+BEDV), Win32: Trojano-198 (ALWIL), Startpage.7. H (Grisoft), Trj/StartPage. FH (Panda)
Программа создана для скрытной установки в систему других троянских программ. Основной файл является приложением Windows (PE EXE-файл), имеет размер около 25 КБ.
Программа при запуске скрытно устанавливает в систему другую вредоносную программу, содержащуюся внутри ее исполняемого файла, после чего данный файл запускается на исполнение.
Антивирус Касперского детектирует создаваемый файл как Trojan. Win32. StartPage. is. Также Small. hq пытается скачать и запустить другого троянца с адреса http://81.211.105. xx/, после чего оригинальный запускаемый файл удаляется.
Trojan. Win32. Qhost. dg - троянская программа
Другие названия: Trojan. Win32. Qhost. qs ("Лаборатория Касперского"), Qhosts. apd (McAfee), Trojan. Qhosts. B (SOFTWIN), Trojan. Qhost. A (ClamAV), Trj/Qhost. gen (Panda), Win32/Qhosts (Eset)
Троянская программа представляет собой модифицированный файл ОС Windows%System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Файл модифицирован таким образом, чтобы сделать недоступным пользователю сервера различных антивирусных компаний, таким образом, что все запросы к определённым серверам будут заблокированы.
Backdoor. Rbot. gen - троянская программа удаленного администрированияДругие названия: Backdoor. Rbot. gen ("Лаборатория Касперского"), IRC-Sdbot (McAfee), W32. Spybot. Worm (Symantec), Win32. HLLW. MyBot (Doctor Web), W32/Rbot-BY (Sophos), Backdoor: Win32/Rbot (RAV), Worm/Sdbot.39936. B (H+BEDV), Win32: SdBot-194-B (ALWIL), IRC/BackDoor. SdBot.28. F (Grisoft), Backdoor. SDBot. Gen (SOFTWIN)
Backdoor. Rbot - семейство троянских программ для ОС Windows, предоставляющих злоумышленнику удалённый доступ к заражённой машине.
Trojan. BAT. AnitV. c - троянская программа
Другие названия: rojan. BAT. AnitV. c ("Лаборатория Касперского"), Bat/dt66 (McAfee), BAT. Trojan (Symantec), BAT/AntiV. C* (RAV), BAT/DelTree@troj (FRISK), BV: Malware (ALWIL), BAT. AnitV. C (SOFTWIN), Trojan. Bat. AnitV. C (ClamAV), Trj/HaltWin (Panda), BAT/AntiV. C (Eset)
Троянская программа, выполняющая на компьютере пользователя определенные действия деструктивного характера. Является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 2058 байт.
При запуске троян блокирует работу клавиатуры и мыши.
Также он удаляет определённые каталоги.
Trojan. Win32. KillFiles. ki - троянская программа.
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется в пределах от 28 до 255000 КБ. При этом все модификации данного троянца выполняют одни и те же деструктивные функции. Большие по размеру файлы троянца содержат в своем коде мусор для маскировки.
После запуска вирус извлекает из своего тела BMP-файл и отображает его на экране зараженного компьютера. В различных версиях троянской программы картинки могут отличаться. Троянец заражает пользовательские файлы, заменяя их изображением BMP. Выполняемые вирусом действия приводят к неработоспособности операционной системы.
2.4 Методы проникновения троянских программ
Троянские программы распространяются множеством способов. Рассмотрим некоторые из них:
Друзья. Наиболее популярным способом распространения троянских программ является передача информации между друзьями, при этом пользователи не догадываются об опасности программ. Доверять программам, полученным от друзей, можно только в том случае, если пользователь уверен в их сознательном отношении к безопасности своего компьютера.
Сообщения Usenet. Usenet - компьютерная сеть, используемая для общения и публикации файлов. Многие пользователи запустят программу злоумышленника, просто послав сообщение в группу новостей Usenet. Иногда сообщение Usenet содержит ссылку на Web-страницу, с которой можно скачать программу, что даёт злоумышленнику дополнительное преимущество, так как он может видеть IP-адрес любого пользователя, загрузившего троянскую программу, что в дальнейшем позволит быстрее найти взломанный компьютер.
Исправление недостатков существующих программ. Когда в программе, например, на FTP-сервере, обнаруживается ошибка, в различные группы новостей и списки рассылки поступает множество сообщений по данной тематике. Злоумышленники могут сообщить об исправлении недостатка и предложить собственное решение, которое на самом деле не устраняет проблему или даже пробивает в системе новую брешь. Даже эксперты, которые видят, что ошибка не исправлена, могут предположить, что приславший решение злоумышленник, просто недостаточно хороший программист, и не обратить внимание на присутствие негативного эффекта запуска программы.
Реклама по электронной почте. Некоторые злоумышленники отправляют троянские программы большому количеству адресатов, надеясь на то, что хоть кто-нибудь запустит программу. Многие пользователи обычно из тех, которые не задумываясь инсталлируют и запустят или, по крайней мере, протестируют все, что покажется им интересным.
Проверки системы безопасности. Как и в случае ложного исправления недостатков программ, злоумышленники часто рассылают троянские программы, которые, как они заявляют, помогут найти уязвимые места системы по отношению к самым последним обнаруженным недостаткам. В действительности, предоставленная программа создаёт новую брешь в системе защиты. Нередко, злоумышленник указывает, что для правильной проверки уязвимых мест программа должна быть запущена с правами root.
Программы взлома системы безопасности. После обнаружения нового уязвимого места определённой программы, часто на сайтах можно получить программу атаки, которая позволяет взломать компьютер с помощью обнаруженного недостатка. Эти программы могут применять системные администраторы, чтобы проверить справедливость утверждения, но чаще они используются злоумышленниками-новичками, которые не в состоянии самостоятельно создать собственные программы атаки. Часто злоумышленник дает ссылку на программный код, как бы предназначенный для выполнения удаленной атаки. На самом деле этот код взламывает компьютер, с которого запускается данная программа атаки. На такую уловку обычно попадаются только те пользователи, которые хотят получить несанкционированный доступ к чужим компьютерам.
2.4.1 Обоснование выбора данного типа атак
Некоторые троянские программы просто разрушительны; они предназначены для уничтожения систем или данных. Одним из примеров чисто разрушительной программы-троянца была программа для записи CD-ROM, доступная в Internet пару лет назад и обещавшая огромные функциональные возможности. Она будто бы конвертировала стандартный читающий привод компакт-дисков (используемых для установки программного обеспечения или проигрывания музыки) в привод, который может записывать компакт-диски - и все это лишь посредством установки предлагаемого бесплатного обновления программы! Согласно файлу README, распространявшемуся с таким, очевидно фантастическим, инструментом, можно было создавать собственные музыкальные компакт-диски или делать резервное копирование системы при помощи всего лишь бесплатного обновления программы. В этой поразительной сделке имелись всего две подозрительные вещи. Во-первых, такое просто физически невозможно сделать в программе. Во-вторых, этот инструмент был троянским конем, который стирал все содержимое жестких дисков пользователей. Многие люди загрузили его и в результате потеряли все свои данные.
Некоторые троянцы просто разрушают систему, другие позволяют атакующему похищать данные или даже управлять системами дистанционно. Опасность троянских программ заключается в сборе чужих персональных данных (паролей, кодов, номеров счетов и т.п.) и отправке их своему автору, отключении некоторые функции системы безопасности, маскировке под другие процессы. Некоторые троянские программы могут самостоятельно скачивать из Internet дополнительные программы (например, другие троянские программы), использовании для связи с злоумышленником порты, открытые другими приложениями. При обнаружении доступа в Интернет серверная часть трояна сообщает клиентской части IP адрес пораженного компьютера и порт для прослушивания.
Банковские трояны, предназначенные для кражи финансовой информации, стремительно развиваются. Один из последних экземпляров, троян StealAll. A, предназначен для кражи информации, вводимой пользователями в онлайновых формах.
Исходя из этого можно сделать вывод, что троянские программы имеют множество различных модификаций и опасны как для компьютеров обычных пользователей, так и для компьютерных сетей предприятий.
2.4.2 Способы обнаружения троянских программ без использования специальных средств
Троянские программы установлены на огромном количестве компьютеров, причем работающие на них пользователи даже не догадываются об этом. Большинство троянских программ не афиширует своего присутствия на компьютере пользователя, однако предположить, что компьютер заражен, можно по ряду косвенных признаков:
отказ работы одной либо нескольких программ, особенно антивируса и брандмауэра;
появление всплывающих окон, содержащих рекламу;
периодическое появление окна dial-up-соединения с попытками соединиться с провайдером либо вообще с неизвестным номером;
при отсутствии активности пользователя на подключенном к Интернету компьютере (пользователь ничего не скачивает, программы общений неактивны и т.д.) индикаторы подключения к сети продолжают показывать обмен информацией;
стартовая страница браузера постоянно меняется, а страница, указанная в роли стартовой, не сохраняется;
при попытке посетить сайты, куда раньше пользователь легко заходил (например, в поисковые системы), компьютер переадресовывает пользователя на незнакомый сайт, часто содержащий порнографическую либо рекламную информацию.
Если троян не умеет скрывать свой процесс, то он виден через стандартный Диспетчер Задач.
Чаще всего цель трояна - через сеть переслать какую-либо ценную информацию, поэтому необходимо отслеживать подозрительные сетевые соединения.
Обнаружить троянскую программу можно и с помощью программных и аппаратных средств.
2.4.3 Предлагаемые способы решения задачи с элементами новизны
Атаки на компьютеры под управлением Windows с использованием троянов, задачей которых является похищение и передача злоумышленнику различной ключевой информации, содержащейся на компьютере (пароли доступа к Интернет, пользовательские пароли и идентификаторы) в последнее время стали использоваться все чаще и чаще.
Одним из способов избежать заражения такими троянами является использование антивирусных программ, проверяющих всю почту или централизованно на почтовых серверах, или локально на рабочих станциях. Однако, эти программы не дают 100% гарантии того, что вирус будет обезврежен, поскольку новые вирусы и способы их внедрения развиваются с опережением антивирусного программного обеспечения.
Safe'n'Sec Pro New - комплексная система защиты компьютера: обнаружение новых вирусов, защита от червей, блокирование троянских программ, шпионского программного обеспечения, предотвращение хакерских атак.
Anti Trojan Elite 3.6.5 - Программа для очистки компьютера от таких вредоносных файлов, как трояны, кейлогеры и пр. Anti Trojan Elite сканирует не только жесткий диск (включая архивы), но и смотрит на то, какие процессы запущены. Также она располагает менеджером сетевых процессов, при помощи которого можно определить, где запущен нежелательный процесс. Кроме этого, вы можете просмотреть ключи и значения реестра и удалить подозрительные, починить Internet Explorer, оптимизировать работу Windows вообще. Программа имеет опцию отката.
Программа для удаления и защиты от троянских программ - Trojan Remover 6.5.4. С помощью данной программы выполняется проверка всех системных файлов, включая и реестр операционной системы. При обнаружении трояна или нераспознанной программы Trojan Remover выдает предупреждение с указанием места расположения файла и его имени, предлагая при этом либо удалить ссылку из системного файла или переименовать найденный файл. Более подробную информацию о найденных троянах можно получить из встроенной базы данных.
Также для защиты от троянских программ можно использовать популярные программы, которые обеспечивают комплексную антивирусную защиту персонального компьютера: "Антивирус Касперского Personal", Dr. Web для Windows, Norton AntiVirus, avast! Antivirus, McAfee VirusScan Professional, Panda Antivirus Titanium, и др.
Антивирус Касперского Personal Pro обеспечивает полномасштабную защиту всех приложений и содержит новые уникальные компоненты и технологии. Обеспечивает защиту от вирусов, вредоносных программ как в файлах на локальном компьютере, так и в электронной почте.
Антивирус Dr. Web для Windows - чрезвычайно компактный и быстрый антивирус для персональных компьютеров, обеспечивает многоуровневую защиту системной памяти, файловой системы и всех сменных носителей от всех известных типов вирусов, троянских программ, шпионского и рекламного программного обеспечения, платных программ дозвона, хакерских утилит и программ-шуток. Компоненты Dr. Web позволяют в реальном времени обнаружить и пресечь попытки проникновения на компьютер вредоносных программ из любых внешних источников.
Разработанная компанией Symantec программа Norton AntiVirus 2006 является наиболее популярным антивирусным средством в мире. Эта программа автоматически удаляет вирусы, интернет-червей и троянские компоненты, не создавая помех работе пользователя. Norton AntiVirus позволяет противостоять угрозам самых современных вредоносных программ и блокирует работу таких программ еще до того момента, как пользователь перенаправляется на другой сайт.
Avast Antivirus Professional Edition 4.6 763 - это популярная антивирусная программа, защищает от большинства новых видов вирусов и логических бомб, троянских программ и других вредоносных программ. Возможности: резидентный и обычный сканеры, проверка всей входящей и исходящей почты, интеграция в систему, блокирование потенциально опасных скриптов на веб-страницах, работа из командной строки, планировщик, возможность автообновления через Интернет.
Panda Titanium 2006 Antivirus+Antispyware - антивирус, который осуществляет защиту от вирусов, шпионов, мошенников, хакеров, неизвестных угроз. Непрерывно и автоматически защищает от атак всех типов вирусов и программ-шпионов. Он усиливает безопасность вторым уровнем защиты от новых вирусов и вторжений с помощью интеллектуальной технологии защиты TruPrevent™. Он также содержит брандмауэрную технологию, блокирующую атаки хакеров соединения; технологию защиты от онлайн-мошенничеств.
McAfee VirusScan 2006 10 - это антивирусный продуктов для серверов и рабочих станций, реализующий функции сразу трех систем защиты: антивируса, системы предотвращения вторжений и персонального брандмауэра. Объединенная триада технологий безопасности McAfee обеспечивает упреждающую защиту от всего спектра современных угроз, включая вторжения с использованием переполнения буфера и гибридные атаки, и предлагает гибкие механизмы автоматического реагирования для минимизации негативных последствий инцидентов безопасности. Утилита для борьбы с троянами Cleaner 3.5 build 3501 позволяет обнаруживать и удалять трояны с жесткого диска компьютера.
Но для эффективной защиты персонального компьютера использование только указанных средств недостаточно.
2.5 Общие сведения об операционных системах
Современные аппаратные средства могут выполнять огромное множество разнообразных программных приложений. Чтобы повысить эффективность использования аппаратуры, приложения проектируются в расчёте на то, что они будут работать одновременно друг с другом. Если эти приложения не будут разработаны должным образом, то они будут создавать друг другу помехи. Во избежание этого было создано специальное программное обеспечение, которое называется операционной системой. Операционная система отделяет приложения от аппаратных средств, к которым они имеют доступ, и обеспечивает условия для безопасной и эффективной работы приложений.
Операционная система - это программное обеспечение, контролирующее работу прикладных программ и системных приложений и исполняющее роль интерфейса между приложениями и аппаратным обеспечением компьютера. Ее предназначение можно разделить на три основные составляющие.
Удобство. Операционная система делает использование компьютера простым и удобным.
Эффективность. Операционная система позволяет эффективно использовать ресурсы компьютерной системы.
Возможность развития. Операционная система должна быть организована так, чтобы она допускала эффективную разработку, тестирование и внедрение новых приложений и системных функций, причем это не должно мешать нормальному функционированию вычислительной системы.
Комплекс программ, составляющих основу операционной системы, называется ядром. Операционную систему можно обнаружить в самых различных устройствах от мобильных телефонов и автомобилей до персональных компьютеров и универсальных вычислительных машин. В большинстве компьютерных систем пользователь обращается к компьютеру для выполнения действия (например, требует запустить приложение или распечатать документ), а операционная система управляет программным обеспечением и аппаратными средствами, чтобы получить желаемый результат.
Для большинства пользователей операционная система - это "черный ящик", посредник между приложениями и аппаратными средствами, с которыми они работают. Этот посредник обеспечивает необходимый результат при наличии соответствующих исходных данных. Операционные система - это, в первую очередь, диспетчеры ресурсов, они управляют аппаратными средствами, включая процессоры, память, устройства ввода/вывода и устройства связи. Они также должны управлять приложениями и другими программными элементами, которые в отличие от аппаратных средств не являются физическими объектами.
Операционная система Windows XP была выпущена корпорацией Microsoft в 2001 году и объединила в себе два направления развития операционных систем: семейство корпоративных систем и пользовательских систем. По статистике на начало 2003 года более трети всех пользователей сети Internet работали с Windows XP.
Существует шесть различных версий Windows XP. Версия Windows XP Home представляет собой базовый вариант операционной системы, позиционируемый для настольных систем, остальные версии обладают расширенной функциональностью. Windows XP Professional характеризуется улучшенной безопасностью, наличием дополнительных средств защиты конфиденциальности информации, поддержкой широких сетевых возможностей и средств восстановления данных. Версия Windows XP Tablet PC ориентирована на ноутбуки и портативные ЭВМ, которые нуждаются в расширенной поддержке беспроводных сетей и цифровых ручек. Windows XP Media Center Edition обеспечивает расширенную поддержку мультимедийных приложений. Windows XP Starter Edition представляет собой простое доступное решение и поддерживает все функции, необходимые начинающему пользователю. Windows XP Embedded является компонентной версией операционной системы Windows, которая часто ассоциируется с потребительскими электронными устройствами, такими как телевизионные абонентские приставки или приборы.
Несмотря на различия, все версии ядра Windows XP построены на основании одной и той же архитектуры.
Для рабочей станции локальной сети предприятия "Искра" выбираем операционную систему Windows XP Professional SP2.
2.5.1 Структура системы Windows XP
Windows XP построена на основе микроядра и её архитектуру нередко называют модифицированной архитектурой микроядра. С одной стороны, Windows XP обладает модульной структурой и компактным ядром, которое представляет базовые сервисы для других компонентов операционной системы. Однако в отличие от операционных систем, построенных исключительно на архитектуре микроядра, эти компоненты (например, диспетчер памяти или файловая система) выполняются не в пользовательском режиме, а в режиме ядра. Windows XP представляет собой многоуровневую операционную систему, в которой отдельные уровни подчиняются общей иерархии, где нижние уровни обеспечивают функциональность верхних уровней. Но, в отличие от строго иерархических систем, возможны ситуации, когда между собой могут общаться несмежные уровни.
На рис.2 показана структура системы Windows XP. Уровень абстракций аппаратуры (Hardware Abstraction Layer, HAL) взаимодействует непосредственно с оборудованием, скрывая детали взаимодействия операционной системы с конкретной аппаратной платформой для остальной части системы, HAL позволяет абстрагироваться от конкретного оборудования, которое в разных системах с одной и той же архитектурой может быть различным. В большинстве случаев, компоненты, выполняемые в режиме ядра, не работают непосредственно с аппаратным обеспечением, вместо этого они вызывают функции, доступные в HAL. Поэтому компоненты режима ядра могут создаваться без учета деталей реализации, специфичных для конкретной архитектуры, таких как размер кэша и количество подключенных процессоров. HAL взаимодействует с драйверами устройств, чтобы обеспечить доступ к периферийному оборудованию.
Кроме того, уровень абстракций аппаратуры взаимодействует с микроядром. Микроядро обеспечивает основные механизмы функционирования системы, такие как планирование выполнения потоков для поддержки других компонентов режима ядра. Микроядро управляет синхронизацией потоков, обслуживанием прерываний и обработкой исключений. Кроме того, микроядро позволяет не учитывать архитектурно-зависимые функциональные возможности, например, количество прерываний в различных архитектурах. Таким образом, микроядро и HAL обеспечивают переносимость операционной системы Windows XP, позволяя работать на самом разнообразном оборудовании.
Микроядро формирует только небольшую часть пространства ядра. Пространство ядра описывает среду выполнения, в которой компоненты могут получать доступ к системной памяти и службам. Компоненты, размещаемые в пространстве ядра, выполняются в режиме ядра. Микроядро предоставляет базовые услуги другим компонентам, размещенным в пространстве ядра.
Выше уровня ядра расположены компоненты режима ядра, отвечающие за администрирование подсистем операционной системы (например, диспетчер ввода/вывода и диспетчер виртуальной памяти). Все эти компоненты называются исполняющие или управляющие программы. На рис.1 показаны основные управляющие программы. Исполняющие программы предоставляют услуги пользовательским процессам через интерфейс прикладного программирования (API - application programming interface). Этот API носит название собственного API.
Рис.2 Структурная схема системы Windows XP
Диспетчер ввода-вывода обслуживает запросы ввода данных с аппаратных устройств и вывода на них. К устройствам ввода относятся клавиатура, мышь, микрофон и сканер; к устройствам вывода - монитор, принтер и акустическая система.
Драйвер устройства является программным компонентом операционной системы и взаимодействует непосредственно с аппаратными ресурсами. Драйвер располагает специфическим для данного устройств набором команд, предназначенных для выполнения запрашиваемых операций ввода/вывода.
Контрольный монитор безопасности обеспечивает правильность осуществления политики безопасности, а также позволяет точно настроить систему и корректно запустить ее.
Большинство пользовательских процессов обращаются не к функциям собственного API, а вызывают функции API, предоставляемые системными компонентами пользовательского режима, которые называют подсистемами операционной среды. Подсистемы операционной среды представляют собой процессы, выполняемые в пользовательском режиме, которые размещаются между исполняющей программой и остальной частью пространства пользователя, экспортируя API для определённой компьютерной среды.
На верхнем уровне архитектуры Windows XP расположены процессы, выполняемые в пользовательском режиме. К ним относятся широко распространённые приложения (например, текстовые процессоры, компьютерные игры и веб-обозреватели), а также динамически подключаемые библиотеки (DLL). Библиотеки DLL - это модули, предоставляющие процессам функции и данные. API подсистемы среды состоит из модулей DLL, динамически подключаемых при вызове функции в API подсистемы. Так как библиотеки DLL подключаются динамически, это позволяет повысить модульность приложений. В случае внесения изменений в реализацию функций в DLL, достаточно будет перекомпилировать только подключаемую библиотеку, а не все использующее её приложение.
Диспетчер виртуальной памяти создаёт схему управления памятью, позволяющую выделять каждому процессу собственное большое закрытое адресное пространство, объём которого может превышать доступную физическую память.
Диспетчер конфигурации отвечает за реализацию и управление системным реестром.
Диспетчер электропитания координирует события, связанные с электропитанием, генерирует уведомления системы управления электропитанием, посылаемые драйверам. Когда система не занята, диспетчер можно настроить на остановку процессора для снижения энергопотребления. Изменение энергопотребления отдельных устройств возлагается на их драйверы, но координируется диспетчером электропитания.
Диспетчер кэша повышает производительность файлового ввода/вывода за счёт сохранения в основной памяти дисковых данных, к которым недавно было обращение.
Диспетчер объектов создаёт, управляет и удаляет объекты и абстрактные типы данных исполнительной системы, используемые для представления таких ресурсов операционной системы, как процессы, потоки и различные синхронизирующие объекты.
В Windows XP также существуют специальные процессы пользовательского режима, называемые системными службами или службами Win32. эти процессы обычно выполняются в фоновом режиме, независимо от того, произошёл ли вход пользователя в систему, выполняя, как правило, роль приложений, работающих по схеме клиент/сервер. В качестве примера системных служб можно привести Планировщик (с помощью которого пользователи могут задавать выполнение задач в определённые моменты времени), IPsec (который контролирует безопасность Internet во время операций по передаче данных) и службу просмотра компьютеров (которая обеспечивает работу со списком компьютеров, подключённых к локальной сети).
2.5.2 Задачи операционной системы
Пользователи привыкли рассчитывать на определенные свойства операционных систем, такие как:
эффективность,
живучесть,
масштабируемость,
расширяемость,
мобильность,
защищенность,
интерактивность,
практичность.
Эффективная операционная система обладает высокой производительностью и малым средним значением времени обработки запросов. Производительность определяет тот объем работы, который может быть выполнен процессором за определенный промежуток времени. Эффективная операционная система сводит к минимуму время, затрачиваемое на предоставление этих услуг.
Живучая операционная система - это отказоустойчивая и надежная система, не дающая сбоя в работе при ошибке отдельного приложения или компонента аппаратуры. Если такая ошибка произошла, данная система осуществляет амортизацию отказов (т.е. сводит к минимуму потерю результатов работы и предотвращает выход из строя аппаратуры компьютера). Операционная система этого типа будет продолжать предоставлять услуги каждому отдельному приложению, пока не выйдет из строя аппаратура, необходимая данному приложению.
Масштабируемая операционная система способна использовать ресурсы по мере их наращивания. Если же система не является таковой, она быстро достигнет отметки, когда дополнительные ресурсы будут использоваться не в полном объеме.
Расширяемая операционная система может адаптироваться к новым технологиям и обладает возможностью расширения для решения задач, изначально не предусмотренных при разработке данной операционной системы.
Мобильная операционная система разработана для функционирования на различных конфигурациях аппаратных средств. Важна также мобильность (переносимость) приложений, так как их разработка обходится очень дорого. Приложения должны работать на различных конфигурациях аппаратных средств, чтобы снизить затраты на их освоение.
Защищенная (безопасная) операционная система препятствует пользователям и программному обеспечению в получении несанкционированного доступа к услугам и ресурсам. Средства защиты опираются на механизмы, которые реализуют политику безопасности системы.
Интерактивная операционная система позволяет приложениям быстро реагировать на действия пользователей и другие события в системе.
Практичная операционная система - это система, способная удовлетворить широкому спектру пользовательских потребностей. Как правило, такие операционные системы предоставляют удобный в использовании интерфейс пользователя. Операционные системы, как, например, Linux, Windows могут быть отнесены к практичным, так как каждая из них поддерживает огромное количество приложений и располагает стандартными интерфейсами пользователя.
2.5.3 Способы защиты, встроенные в операционную систему
Есть несколько простых правил, соблюдая которые, можно не беспокоиться о своей безопасности:
1. Скачивать программы можно ТОЛЬКО из надежных источников и как можно меньше со всяческих якобы "хакерских" сайтов... Львиная доля Троянов приходится именно на файлы с этих серверов.
2. Если скачали какую-то программу - ОБЯЗАТЕЛЬНО необходимо проверить ее на наличие вирусов и других вредоносных программ.
3. Никогда не надо запускать программы, пришедшие по E-MAIL.
4. В качестве паролей надо всегда использовать замысловатые наборы символов, типа Jqp2FQs, и по возможности стараться их вводить в окне терминала вручную - это обезоружит Троянов, отсылающих пароли на чей-то E-MAIL адрес.
5. Следует ограничить число посторонних, имеющих доступ к компьютеру, поскольку достаточно большое число троянов и вирусов переносится на внешних носителях (дискетах и дисках). Также рекомендуется периодически менять пароли на особо важные аккаунты.
Те троянские программы, которые постоянно обеспечивают доступ к зараженной ЭВМ, а, следовательно, держат на ней открытый порт какого-либо транспортного протокола, можно обнаруживать с помощью утилит контроля за сетевыми портами. Например, для операционных систем клона Microsoft Windows такой утилитой является программа NetStat. Запуск ее с ключом "netstat - a" выведет на экран все активные порты ЭВМ. От оператора в этом случае требуется знать порты стандартных сервисов, которые постоянно открыты на ЭВМ, и тогда, любая новая запись на мониторе должна привлечь его внимание. На сегодняшний день существует уже несколько программных продуктов, производящих подобный контроль автоматически.
Ещё один способ обнаружить троянцев - посмотреть открытые порты компьютера и процессы, которые их открыли. Обычно троянская программа использует порты >1000 (например, 30003,47891,6666,31337). Список портов, использующихся троянскими программами - Приложение 1.
В Windows XP Professional SP2 есть встроенное средство защиты - брандмауэр Windows.
Брандмауэр (межсетевой экран или фаервол) - комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
Брандмауэры бывают двух видов, программные и аппаратные.
Брандмауэр используется для защиты компьютера от несанкционированного доступа через сеть или Интернет. Брандмауэр Windows встроен в Windows XP и включен автоматически для защиты компьютера от вирусов и других угроз безопасности.
Брандмауэр отличается от антивирусного программного обеспечения, однако их совместная работа обеспечивает надежную защиту компьютера. Можно сказать, что брандмауэр охраняет окна и двери от проникновения неизвестных и нежелательных программ, в то время как антивирусное программное обеспечение предотвращает появление вирусов или других угроз безопасности, которые стремятся пробраться через парадный вход. В Microsoft Windows XP (SP2) брандмауэр Windows включен по умолчанию. Необязательно использовать именно брандмауэр Windows - можно установить и включить любой брандмауэр по выбору.
2.5.4 Как работает брандмауэр?
Когда к компьютеру пытается подключиться кто-то из Интернета или локальной сети, такие попытки называют "непредусмотренными запросами". Когда на компьютер поступает непредусмотренный запрос, брандмауэр Windows блокирует подключение. Если на компьютере используются такие программы, как программа передачи мгновенных сообщений или сетевые игры, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр запрашивает пользователя о блокировании или разрешении подключения. Если пользователь разрешает подключение, брандмауэр Windows создает исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы.
Если идет обмен мгновенными сообщениями с собеседником, который собирается прислать файл (например фотографию), брандмауэр Windows запросит подтверждения о снятии блокировки подключения и разрешении передачи фотографии на компьютер. А при желании участвовать в сетевой игре через Интернет с друзьями пользователь может добавить эту игру как исключение, чтобы брандмауэр пропускал игровую информацию на компьютер.
Хотя имеется возможность отключать брандмауэр Windows для отдельных подключений к Интернету или локальной сети, это повышает вероятность нарушения безопасности компьютера.
2.6 Предлагаемые способы защиты от троянских программ
На сегодняшний день существует достаточно большая статистика угроз операционным системам, направленных на преодоление встроенных в операционную систему механизмов защиты, позволяющих изменить настройки механизмов безопасности, обойти разграничения доступа и т.д.
Таким образом, статистика фактов несанкционированного доступа к информации показывает, что большинство распространённых операционных систем довольно уязвимы с точки зрения безопасности.
На практике современные операционные системы, предназначенные для обработки конфиденциальной информации, строятся уже с учётом дополнительных мер безопасности.
Подобные документы
Правовые основы защиты информации на предприятии. Анализ среды пользователей. Автоматизированная система предприятия. Краткие сведения об операционной системе Windows XP. Классификация троянских программ. Способы защиты операционной системы Windows XP.
дипломная работа [187,3 K], добавлен 14.07.2013Основные угрозы по отношению к информации. Понятия, методы и способы обеспечения защиты данных. Требования к системе защиты. Механизм авторизации в информационной базе для определения типа пользователя. Работа администратора с системой безопасности.
курсовая работа [201,1 K], добавлен 24.06.2013Понятие и состав научно-методологических основ обеспечения информационной безопасности. Основные положения теории систем. Содержание принципов организации комплексной системы защиты информации, предъявляемые к ней требования и порядок работ при создании.
реферат [158,8 K], добавлен 05.11.2011Угрозы в сфере информационного обеспечения. Цели и задач и создания комплексной системы защиты информации на предприятии. Применение скрытия и уничтожения информации, дезинформации противника, легендирования. Анализ функций системы защиты предприятия.
курсовая работа [60,7 K], добавлен 23.06.2012Анализ объекта информатизации. Политику информационной безопасности. Подсистемы технической защиты информации: управления доступом, видеонаблюдения, охранной и пожарной сигнализаций, защиты от утечки по техническим каналам, защиты корпоративной сети.
презентация [226,0 K], добавлен 30.01.2012Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Проект комплексной системы защиты информации на примере Администрации г. Миасса: объект защиты; модель бизнес-процессов с целью выявления конфиденциальной информации, "Перечень сведений конфиденциального характера", объекты защиты, угрозы, уязвимости.
курсовая работа [2,6 M], добавлен 16.04.2008Системная концепция комплексного обеспечения системы защиты информации. Описание автоматизированной системы охраны "Орион" и ее внедрение на объекте защиты. Технические каналы утечки информации. Разработка системы видеонаблюдения объекта защиты.
дипломная работа [1,2 M], добавлен 30.08.2010Актуальность и важность технической защиты информации, нормативные документы. Анализ деятельности ООО "Технология защиты", информационные потоки. Обоснование угроз по техническим каналам. Разработка системы управления информационной безопасности.
дипломная работа [771,4 K], добавлен 13.06.2012Концепция обеспечения безопасности информации в ООО "Нейрософт"; разработка системы комплексной защиты. Информационные объекты фирмы, степень их конфиденциальности, достоверности, целостности; определение источников угроз и рисков, выбор средств защиты.
курсовая работа [458,9 K], добавлен 23.05.2013