Содержание
|
Содержание |
2
|
1. |
Компьютерные вирусы |
3
|
1.1. |
Понятие компьютерного вируса |
3
|
1.2. |
Классификация вирусов |
3
|
1.3. |
Способы распространения вирусов |
7
|
1.4. |
Основные признаки появления в системе вирусов |
8
|
1.5. |
Последствия действия вирусов |
9
|
1.6. |
Способы защиты от вирусов (антивирусные программы) |
10
|
2.
|
Телевизионные системы видеонаблюдения (ТВС) |
19
|
2.1.
|
Классификация ТВС |
19
|
2.2.
|
Применение ТВС |
19
|
|
Список использованной литературы |
25
|
1. Компьютерные вирусы.
1.1.Понятие компьютерного вируса
Компьютерный вирус это специально созданная, небольшая по размерам программа, которая может «приписывать» себя к другим программам, т.е. «заражать» их, а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и заражает другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы, засоряет оперативную память и дисковое пространство). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой ок находится, и она работает так же, как обычно. Таким образом, внешне работа зараженной программы выглядит так же, как незараженной.
Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается постоянно в памяти компьютера и время от времени заражает программы и выполняет вредные действия. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений.
1.2.Классификация вирусов
В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:
- среда обитания;
- операционная система (OC);
- особенности алгоритма работы;
- деструктивные возможности.
По среде обитания вирусы можно разделить на: файловые, загрузочные, макро и сетевые.
Файловые вирусы различными способами внедряются в исполнимые файлы (программы), имеющие расширения COM и EXE и обычно активизируются при их запуске. После запуска зараженной программы вирус находится в оперативной памяти компьютера и является активным (то есть может заражать другие файлы) вплоть до момента выключения компьютера или перезагрузки операционной системы.
При этом файловые вирусы не могут заразить файлы данных (например, файлы, содержащие изображение или звук).
Рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. Вирус ищет новый объект для заражения - подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции - размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код - следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:
-он не обязан менять длину файла
-неиспользуемые участки кода
-не обязан менять начало файла
Наконец, к файловым вирусам часто относят вирусы, которые "имеют некоторое отношение к файлам", но не обязаны внедряться в их код.
Профилактическая защита от файловых вирусов состоит в том что не рекомендуется запускать на выполнение файлы полученные из сомнительного источника и предварительно не проверенные антивирусными программами.
Загрузочные вирусы записывают себя в загрузочный сектор диска (Boot-сектор). При загрузке операционной системы с заряженного диска вирусы внедряются в оперативную память компьютера. В дальнейшем загрузочный вирус ведет себя так же, как файловый, то есть может заражать файлы при обращении к ним компьютера.
Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты.
Что происходит, когда вы включаете компьютер?
Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:
- выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad)
-копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор
- замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой
- организует цепочку передачи управления согласно схеме.
Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке ПНЗ (ПЗУ) - ПНЗ (диск) – СИСТЕМА появляется новое звено: ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) – СИСТЕМА Профилактическая защита от таких вирусов состоит в отказе от загрузки операционной системы с гибких дисков и установке в BIOS вашего компьютера защиты загрузочного сектора от изменений.
Макровирусы заражают файлы документов Word и электронных таблиц Excel. Макровирусы являются фактически макрокомандами (макросами), которые встраиваются в документ.
После загрузки зараженного документа в приложение макровирусы постоянно присутствуют в памяти компьютера и могут заражать другие документы. Угроза заражения прекращается только после закрытия приложения.
Профилактическая защита от макровирусов состоит в предотвращении и запуска вируса. При открытии документа в приложениях Word и Excel сообщается о присутствии в них макросов (потенциальных вирусов) и предлагает запретить их загрузку. Выбор запрета на загрузку макросов надежно защитит ваш компьютер от заражения макровирусами, однако отключит и полезные макросы, содержащиеся в документе.
Среди алгоритма работы вирусов выделяются следующие виды:
- резидентность;
- использование стелс-алгоритмов;
- самошифрование и полиморфичность;
- использование нестандартных приемов.
Резидентный - при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие 'перезагрузка операционной системы трактуется как выход из редактора.
Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо подставляют вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ - запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов - вирус Frodo, первый загрузочный стелс-вирус - 'Brain'.
Большинство вопросов связано с термином "полиморфный вирус". Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Объясним же, что это такое. Полиморфные вирусы это вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.
Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования.Различные нестандартные приёмы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус '3APA3A'), защитить от обнаружения свою резидентную копию (вирус 'Trout2'), затруднить лечение вируса (например, поместив свою копию в Flash-BIOS) и т.д.
По деструктивным возможностям вирусы можно разделить на:
- безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения путём клонирования самих себя);
- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами (появление логических ошибок);
- опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
- очень опасные, в алгоритм работы, которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров. (Пример, 'ЧЕРНОБЫЛЬ', посылающий ОГРОМНОЕ количество операций в Bios, что приводит, практически, полному краху компьютера).
1.3.Способы распространения вирусов
Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Наибольшее число заражений вирусом происходит при обмене письмами в форматах Word/HTML. Пользователь зараженного макро-вирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма, т.е. в теле заложен код, благодаря чему вирус отправляет заражённые письма, адреса, которых хранятся на компьютере жертве.
Файл-серверы общего пользования и электронные конференции также служат одним из основных источников распространения вирусов. При этом часто зараженные файлы закладываются автором вируса на несколько BBS/ftp или рассылаются по нескольким конференциям одновременно, и эти файлы маскируются под новые версии какого-либо программного обеспечения (иногда - под новые версии антивирусов), так же известны случаи когда, к примеру, какая-либо крупная организация, по разработке ПО, предоставляет новую версию продукта (патчрелиз) на свободную закачку, не зная того, что файл заражён вирусом.
Третий путь быстрого заражения - локальные сети. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере.
Нелегальные копии программного обеспечения, как это было всегда, являются одной из основных зон риска. Часто пиратские копии на дискетах и даже на CD-дисках содержат файлы, зараженные самыми разнообразными типами вирусов.
Опасность представляют также компьютеры, установленные в учебных заведениях. Если один из студентов принес на своих дискетах вирус и заразил какой-либо учебный компьютер, то очередную заразу получат и дискеты всех остальных студентов, работающих на этом компьютере.
То же относится и к домашним компьютерам, если на них работает более одного человека. Нередки ситуации, когда сын-студент (или дочь), работая на многопользовательском компьютере в институте, перетаскивают оттуда вирус на домашний компьютер, в результате чего вирус разносится на другие компьютеры (путём записи информации на накопители и другие компьютеры).
1.4.Основные признаки появления в системе вируса
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
прекращение работы или неправильная работа ранее успешно функционировавших программ:
- медленная работа компьютера
- невозможность загрузки операционной системы
- исчезновение файлов и каталогов или искажение их содержимого
- изменение даты и времени модификации файлов
- изменение размеров файлов
- неожиданное значительное увеличение количества файлов на диске
- существенное уменьшение размера свободной оперативной памяти
- вывод на экран непредусмотренных сообщений или изображений
- подача непредусмотренных звуковых сигналов
- частые зависания и сбои в работе компьютера
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера. К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.
1.5.Последствия действия вирусов
По величине вредных воздействий вирусы можно разделить на:
- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, графическими, звуковыми и другими внешними эффектами;
- опасные, которые могут привести к сбоям зависаниям при работе компьютера;
- очень опасные, активизация которых может привести к потере программ и данных (изменению или удалению файлов и каталогов), форматированию винчестера и так далее.
Выполнять вирус может разные действия. Некоторые вирусы просто осыпали буквы с монитора или рисовали летающий мячик. Такие считаются наиболее безвредными. Другие могут переименовывать файлы на диске, стирать их. Эти, без сомнения гораздо опаснее. Существуют также вирусы, которые могут испортить микросхему BIOS Вашего компьютера. Тут трудно сказать, что хуже - потеря информации или выход из строя компьютера. И, наконец, вирус размножается, то есть дописывает себя везде, где он имеет шанс выполниться. В настоящее время, с развитием операционной системы и программного обеспечения появилось великое множество возможностей для вирусописателей.
Сохраняют свои позиции вирусы "старого" типа, которые надо один раз запустить, после чего они постоянно при загрузке компьютера активно включаются в работу и начинают заражать все исполняемые файлы, которые попадаются им под руку.
Наиболее распространен сейчас вид почтовых вирусов, когда играют на любопытстве людей. Например, Вам приходит письмо с признанием в любви и приложенными фотографиями. Если Вы читали журналы и слышали о таких письмах, то Вы, конечно, немедленно сотрете письмо от незнакомого человека. Однако, первое движение - посмотреть, что же там пришло. И вот, все Ваши фотографии и музыка пропали, а вместо них - злобный вирус "I Love You" (или еще какой, похожий на него). А, кроме того, он еще и пошлет себя всем, кто записан в Вашей адресной книге (эдакое самоходное "письмо счастья"). А может еще и винчестер Вам почистить, чтобы не скучно было.
1.6.Способы защиты от вирусов (антивирусные программы)
Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Антивирусные программы могут использовать различные принципы для поиска и лечения зараженных файлов. Антивирусы - программы, призванные обнаруживать и удалять все вирусные программы с Вашего компьютера. Наиболее представительными, на мой взгляд, являются DrWeb, Antiviral Tolkit Pro, ADInf .Первые две программы постоянно получают всяческие международные сертификаты и вообще считаются одними из лучших. В революционном деле борьбы с вирусами главное - иметь свежий антивирус.
Также важно все-таки не запускать неизвестно что. Однако, при борьбе с вирусами не стоит впадать в дикую крайность и стирать все подряд. На этом построено действие "психологических" вирусов, рассчитанных именно на то, что Вы своими руками порушите систему.
Антивирусы-полифаги — наиболее распространенные средства по борьбе с вредоносными программами. Исторически они появились первыми и до сих пор удерживают несомненное лидерство в этой области.
Самыми популярными и эффективными антивирусными программами являются антивирусные программы полифаги (например, Kaspersky Anti-Virus, Dr.Web).Принцип работы полифагов основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов.
Для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа обнаруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.
Для поиска новых вирусов используются алгоритмы “эвристического сканирования “, то есть анализ последовательности команд в проверяемом объекте. Если “подозрительная” последовательность команд обнаруживается, то полифаг выдает сообщение о возможном заражении объекта.
Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами.
К достоинствам полифагов относится их универсальность. К недостаткам можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости вирусов.
В основе работы полифагов стоит простой принцип — поиск в программах и документах знакомых участков вирусного кода (так называемых сигнатур вирусов). Под сигнатурой могут пониматься разные вещи.
В общем случае сигнатура — это такая запись о вирусе, которая позволяет однозначно идентифицировать присутствие вирусного кода в программе или документе. Чаще всего сигнатура — это непосредственно участок вирусного кода или его контрольная сумм.
Первоначально антивирусы-полифаги работали по очень простому принципу — осуществляли последовательный просмотр файлов на предмет нахождения в них вирусных программ. Если сигнатура вируса была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа. Прежде чем начать проверку файлов, программа-фаг всегда проверяет оперативную память. Если в оперативной памяти оказывается вирус, то происходит его деактивация. Это вызвано тем, что зачастую вирусные программы производят заражение тех программ, которые запускаются или открываются в тот момент, когда вирус находится в активной стадии (это связано со стремлением экономить на усилиях по поиску объектов заражения). Таким образом, если вирус останется активным в памяти, то тотальная проверка всех исполняемых файлов приведет к тотальному заражению системы.
Тем более в настоящее время вирусные программы значительно усложнились. Например, появились так называемые “stealth- вирусы”. В основе их работы лежит тот факт, что операционная система при обращении к периферийным устройствам (в том числе и к жестким дискам) использует механизм прерываний. Здесь для неискушенного читателя необходимо сделать “лирическое” отступление на тему “Как работает механизм прерываний”. При возникновении прерывания управление передается специальной программе — ”Обработчику прерывания”. Эта программа отвечает за ввод и вывод информации в/из периферийного устройства. Кроме того, прерывания делятся на уровни взаимодействия с периферией (в нашем случае — с жесткими и гибкими дисками). Есть уровень операционной системы (в среде MS DOS — прерывание 25h), есть уровень базовой системы ввода/вывода (уровень BIOS — прерывание 13h). Опытные системные программисты могут работать и напрямую, обращаясь к портам ввода/вывода устройств. Но это — уже довольно серьезная и трудная задача. Столь многоуровневая система сделана, прежде всего, с целью сохранения переносимости приложений. Именно благодаря такой системе, скажем, оказалось возможным осуществлять запуск DOS-приложений в многозадачных средах типа MS Windows или IBM OS/2.
Но в такой системе изначально скрыта и уязвимость: управляя обработчиком прерываний, можно управлять потоком информации от периферийного устройства к пользователю. Stealth-вирусы, в частности, используют механизм перехвата управления при возникновении прерывания. Заменяя оригинальный обработчик прерывания своим кодом, stealth-вирусы контролируют чтение данных с диска. В случае, если с диска читается зараженная программа, вирус “выкусывает” собственный код (обычно код не буквально ”выкусывается”, а происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения “чистый” код. Таким образом, до тех пор
В целях борьбы со stealth-вирусами ранее рекомендовалось (и, в принципе, рекомендуется и сейчас) осуществлять альтернативную загрузку системы с гибкого диска и только после этого проводить поиск и удаление вирусных программ. В настоящее время загрузка с гибкого диска может оказаться проблематичной (для случая с win32 антивирусными приложениями запустить их не удастся). Ввиду всего вышесказанного, антивирусы-полифаги оказываются максимально эффективными только при борьбе с уже известными вирусами, то есть с такими, чьи сигнатры и методы поведения знакомы разработчикам. Только в этом случае вирус со 100-процентной точностью будет обнаружен и удален из памяти компьютера, а потом — и из всех проверяемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. Поэтому главное при пользовании любым полифагом — как можно чаще обновлять версии программы и вирусные базы. Для удобства пользователей базы вынесены в отдельный модуль, и, например, пользователи AVP могут обновлять эти базы ежедневно при помощи Интернета.
Особняком тут стоят так называемые эвристические анализаторы. Дело в том, что существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов. Как правило, такие вариации создают непрофессиональные программисты, которые по каким-то причинам решили написать вирус. Для борьбы с такими “копиями” и были придуманы эвристические анализаторы. С их помощью антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не 100%, но все же его коэффициент полезного действия больше 0,5. Вирусы, которые не распознаются антивирусными детекторами, способны написать только наиболее опытные и квалифицированные программисты.
Эвристическим анализатором кода называется набор подпрограмм, анализирующих код исполняемых файлов, памяти или загрузочных секторов для обнаружения в нем разных типов компьютерных вирусов. Основной частью эвристического анализатора является эмулятор кода. Эмулятор кода работает в режиме просмотра, то есть его основная задача — не эмулировать код, а выявлять в нем всевозможные события, т. е. совокупность кода или вызов определенной функции операционной системы, направленные на преобразование системных данных, работу с файлами или часто используемые вирусные конструкции. Грубо говоря, эмулятор просматривает код программы и выявляет те действия, которые эта программа совершает. Если действия этой программы укладываются в какую-то определенную схему, то делается вывод о наличии в программе вирусного кода.
Конечно, вероятность как пропуска, так и ложного срабатывания весьма высока. Однако правильно используя механизм эвристики, пользователь может самостоятельно прийти к верным выводам. Например, если антивирус выдает сообщение о подозрении на вирус для единичного файла, то вероятность ложного срабатывания весьма высока. Если же такое повторяется на многих файлах (а до этого эвристик ничего подозрительного в этих файлах не обнаруживал), то можно говорить о заражении вашей системы вирусом с вероятностью, близкой к 100%. Наиболее мощным эвристическим анализатором в настоящее время обладает антивирус Dr.Web (http://www.drweb.ru). Если и уступает ему, то ненамного AVP (http://www.avp.com).
Использование эвристического анализатора, помимо всего вышеперечисленного, позволяет также бороться с вирус-генераторами и полиморфными вирусами. Классический метод с определением вирусов по сигнатуре в этом случае вообще оказывается неэффективен. Вирус-генераторы — это специализированный набор библиотек, который позволяет легко сконструировать свой собственный вирус, даже имея слабые познания в программировании. Написав несложную программу, вы далее подключаете к этой программе библиотеки генератора, вставляете в нужных местах вызовы внешних процедур — и вот ваш элементарный вирус превратился в достаточно сложный продукт. Самое печальное, что в этом случае сигнатура вируса будет каждый раз другая, поэтому отследить вирус оказывается возможным только по характерным вызовам внешних процедур — а это уже работа эвристического анализатора. Полиморфный вирус имеет еще более сложную структуру. Само тело вируса видоизменяется от заражения к заражению, при этом сохраняя свое функциональное наполнение.
В простейшем случае — если разбросать в теле вируса случайным образом ничего не делающие операторы (типа “ mov ax, ax” или “nop”), то тело вирусного кода претерпит значительные изменения, а алгоритм останется прежним. В этом случае на помощь также приходит эвристический анализатор.
Антивирусные блокировщики- это программы, перехватывающие “вирусоопасные” ситуации и сообщающие об этом пользователю. К таким ситуациям относится, например, запись в загрузочный сектор диска. Эта запись происходит при установке на компьютер новой операционной системы или при заражении загрузочным вирусом.
Наибольшее распространение получили антивирусные блокировщики в BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами.
К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения.
Антивирусные программы-ревизоры позволяют обнаружить вирус. Чаще всего обнаружением вируса дело и заканчивается. Существует блок лечения для популярного антивируса-ревизора Adinf, так называемый Cure Module, но такой блок позволяет лечить лишь те файлы, которые были не заражены на момент создания базы данных программы. Однако обнаружить вирус на компьютере (или даже подозрение на него) антивирусы-ревизоры могут с большой степенью надежности. Обычно наиболее оптимальным является связка полифаг и ревизор. Ревизор служит для обнаружения факта заражения системы. Если система заражена, то в дело пускается полифаг. Если же ему не удалось уничтожить вирус, то можно обратиться к разработчику антивирусных средств, — скорее всего на ваш компьютер попал новый, неизвестный разработчикам вирус.
Недостаток ревизоров состоит в том, что они не могут обнаружить вирус в новых файлах (на дискетах, при распаковке файлов из архива, в электронной почте), поскольку в их базах данных отсутствует информация об этих файлах.
Основу работы ревизоров составляет контроль за изменениями, характерными для работы вирусных программ. Далее мы рассмотрим, как этот контроль осуществляется. Как уже говорилось выше, в качестве примера будет рассматриваться работа антивируса AP’98. При установке программы создаются специальные таблицы. В них содержится информация: о контрольных суммах неизменяемых файлов, содержимом системных областей, адресах обработчиков прерываний, размере доступной оперативной памяти и т. п. Вся остальная работа ревизора состоит в сравнении текущего состояния диска с ранее сохраненными данными, поэтому крайне важно, чтобы все контрольные таблицы создавались не на зараженной машине. Только в этом случае работа ревизора будет достаточно эффективной. Итак, перейдем к стадиям работы программы-ревизора.
Контроль оперативной памяти. Эта стадия проверки включает в себя процедуры обнаружения следов активных загрузочных и stealth-вирусов в памяти компьютера. Если такие алгоритмы будут найдены, вы получите соответствующее предупреждение. Сначала программа ищет уже знакомые вирусы. Далее программа проверяет, изменился ли обработчик Int13h. Если он изменился, то с вероятностью 90% можно сказать, что компьютер инфицирован загрузочным вирусом (загрузочные вирусы вынуждены перехватывать это прерывание с тем, чтобы после своей активизации передать управление “нормальному” загрузочному сектору и система загрузилась без сбоев). Ревизор выдаст вам предупреждение об этом и сообщит адрес в памяти, по которому находится новый обработчик Int13h. В принципе информация о местонахождении обработчика необходима программистам и системным администраторам, а рядовому пользователю следует обратить внимание на предупреждение.EXE удается обнаружить истинный адрес обработчика Int13h в BIOS и работать, используя его. Если по каким-либо причинам ревизору не удалось получить реальный адрес обработчика, то выдается предупреждение. Истинный адрес обработчика прерывания достигается путем пошагового просмотра тела вируса (по алгоритму своей работы загрузочный вирус вынужден в конце концов передавать управление оригинальному обработчику). Некоторые вирусы блокируют трассировку прерываний: при попытке трассировать их коды они “завешивают” систему, перезагружают компьютер и т. д. Поэтому, если при трассировке прерываний компьютер начинает вести себя “странно”, то следует быть очень осторожным — не исключено, что оперативная память поражена вирусом.
Важным параметром является и размер свободной оперативной памяти. Обычно ревизор запускается самым первым, до загрузки каких-либо еще программ. Если же размер оперативной памяти уменьшился — это верный признак присутствия в ОЗУ еще какой-то программы. Скорее всего программа эта — вирус.
Контроль системных областей. Контроль системных областей предназначен для обнаружения вирусов, которые используют для своей активации механизм загрузки. Как известно, первой с диска загружается загрузочная запись (boot record), которая содержит в себе мини-программу, управляющую дальнейшей загрузкой. Для жесткого диска первой производится загрузка главной загрузочной записи (MasterBootRecord или MBR).
Тут необходимо сделать очередное “лирическое” отступление, посвященное обнаружению загрузочных вирусов. В случае, если система поражена загрузочным вирусом, то именно ему передается управление при попытке загрузиться с пораженного диска. В этом сила вируса — если поражен жесткий диск, то управление вирусу будет передаваться при каждом включении компьютера. Загрузочные вирусы в чистом виде передаются исключительно через дискеты, причем заражение осуществляется при попытке загрузиться с пораженной дискеты. Со временем использование дискет вообще и загрузочных дискет, в частности, сократилось до минимума. Однако способ захвата управления оказался столь удобен, что в настоящее время очень распространены вирусы, которые могут поражать как файлы, так и загрузочные сектора. Попав на “чистый” копьютер, такие вирусы первым делом поражают главную загрузочную запись. Однако методы обнаружения именно загрузочных вирусов в настоящее время крайне эффективны и приближаются к 100% надежности. Чтобы понять, как происходит обнаружение вируса, рассмотрим обнаружение такого вируса “вручную”.
Произведем загрузку с чистой дискеты (при этом прерывание 13h гарантировано не будет перехвачено загрузочным вирусом) и рассмотрим сектор 0/0/1 винчестера (это физический адрес сектора главной загрузочной записи). Если винчестер разделен (при помощи fdisk) на логические диски, то код занимает приблизительно половину сектора и начинается с байтов FAh 33h COh (вместо 33h иногда может быть 2Bh). Заканчиваться код должен текстовыми строками типа “Missing operating system”. В конце сектора размещаются внешне разрозненные байты таблицы разделов. Нужно обратить внимание на размещение активного раздела в таблице разделов. Если операционная система расположена на диске С, а активен 2, 3 или 4 раздел, то вирус мог изменить точку старта, сам разместившись в начале другого логического диска (заодно нужно посмотреть и там). Но также это может говорить о наличии на машине нескольких операционных систем и какого-либо boot-менеджера, обеспечивающего выборочную загрузку. Проверяем всю нулевую дорожку. Если она чистая, то есть ее сектора содержат только байт-заполнитель, все в порядке. Наличие мусора, копий сектора 0/0/1 и прочего может говорить о присутствии загрузочного вируса. Впрочем, антивирусы при лечении загрузочных вирусов лишь “обезглавливают” противника (восстанавливают исходное значение сектора 0/0/1), оставляя тело “догнивать” на нулевой дорожке. Проверяем boot-сектор MS-DOS, он обычно расположен в секторе в 0/1/1. Его внешний вид для сравнения можно найти как в книге Е. Касперского, так и на любой “чистой” машине.
Примерно таким же способом действуют и программы-ревизоры. Их особенность в том, что они не могут судить об изначальной “чистоте” оперативной памяти, поэтому чтение Master Boot Record происходит тремя различными способами:
(bios) — прямым обращением в BIOS; (i13h) — чтением через BIOS-прерывание Int13h; (i25h) — чтением средствами операционной системы (прерывание Int25h).
Если считанная информация не совпадает, налицо действие stealth-алгоритмов. Для большей надежности AP’98 производит чтение MBR через IDE-порты жесткого диска. На сегодня в “дикой природе” не встречались вирусы, которые могут маскироваться от ревизора, обладающего такой функцией.
Аналогичным образом проводится проверка и простого (не главного) загрузочного сектора.
Обычно за счет того, что ревизор сохраняет резервную копию системных областей, восстановление повреждений от загрузочного вируса происходит довольно прозаично: если пользователь дает на то свое согласие, ревизор просто записывает системные области заново, используя сохраненные ранее данные.
Контроль неизменяемых файлов. Последняя стадия проверки, направленная на обнаружение деятельности файловых вирусов — контроль изменения файлов. Для всех файлов, которые активно используются и в то же время не должны изменяться (обычно это программы типа win.com и т. п.) создаются контрольные таблицы. В них содержатся значения контрольных сумм и размеров файлов. Затем, в ходе дальнейшего использования ревизора, информация с дисков сравнивается с эталонной, хранящейся в таблицах. Если информация не совпадает, то весьма вероятно нахождение в системе файлового вируса. Самый явный признак — изменение размера или содержимого файла без изменения даты создания файла.
В принципе, рекомендуется внести в разряд “неизменяемых” те исполняемые файлы, путь к которым указан в переменной PATH. Они чаще всего становятся жертвой файловых вирусов.
Чтобы не дать stealth-вирусам “обмануть” систему, чтение данных также происходит как средствами операционной системы, так и средствами BIOS. Если эти данные не совпали, то можно говорить о том, что в системе активно действует вирус-“невидимка”.
После того как все файлы проверены, ревизоры часто сохраняют дополнительные области памяти, которые могут быть испорчены вирусами. Это FLASH- и CMOS-память. Эти области памяти также изменяются достаточно редко и поэтому их изменения могут быть подозрительны.
Еще раз скажем, что наиболее эффективной антивирусной защитой будет использование “связки” ревизор — полифаг. Ревизор позволяет отследить активность вируса на вашем диске, а полифаг служит для проверки новых файлов, а также удаления уже известных вирусов. Но при работе с антивирусными средствами надо четко представлять их реальные возможности, общие алгоритмы работы и следовать тем рекомендациям, которые мы вам дали.
2. Телевизионные системы видеонаблюдения (ТВС)
2.1.Классификация ТВС
Классификация ТСВ по категории значимости объекта приведена в таблице 1.
Таблица 1
2.2.Применение ТВС
1. ТСВ являются техническими средствами охраны, предназначенными для противодействия преступным посягательствам на охраняемые объекты и должны применяться, как правило, совместно с другими техническими средствами охраны: средствами охранной, пожарной и тревожной сигнализации, системами контроля доступа.
2. Не допускается использование ТСВ вместо средств охранной, пожарной и тревожной сигнализации в случаях, когда тактикой охраны предусматривается использование средств сигнализации.
3. На объектах, охраняемых подразделениями охраны, могут использоваться только устройства ТСВ, имеющие сертификаты соответствия:
- телекамеры,
- устройства управления режимом отображения,
- мониторы,
- компьютеры,
- специализированные охранные видеомагнитофоны,
- источники питания,
- поворотные устройства.
4. На объектах, охраняемых подразделениями охраны, могут использоваться только ТСВ, соответствующие следующим стандартам: для систем цветного телевидения - стандарту PAL, для систем черно-белого - CCIR.
Применение устройств ТСВ других стандартов допустимо только в тех случаях, когда необходима дополнительная установка устройств ТСВ на охраняемых объектах, где уже эксплуатируются устройства ТСВ других стандартов.
Построение ТСВ должно осуществляться по модульному принципу.
Рекомендуемые составы модулей в зависимости от эксплуатационных параметров технических средств и от категории значимости объекта приведены в таблице 2.
По функциональным признакам системы видеонаблюдения подразделяют на следующие модули:
- модули видеонаблюдения;
- модули видеозаписи;
- модули видеоохраны;
- модули видеопередачи по кабельным и проводным сетям; модули видеопередачи по беспроводным каналам связи;
- модули видеопередачи по цифровым каналам и коммутируемым линиям общего пользования.
Состав модулей и их возможная комплектация приведена в таблице 2.
Модули общего применения содержат простейшие устройства (телевизионные камеры и средства их оснащения, коммутаторы, мониторы и т.п.).
Рекомендуется их применять для систем обычного использования на объектах категорий значимости Б и В.
В состав модулей среднего класса входят устройства с обычными или улучшенными характеристиками, имеющие входы и выходы тревоги (телевизионные камеры и средства их оснащения, коммутаторы, квадраторы, мониторы, видеомультиплексоры с ограниченными возможностями, специализированные видеомагнитофоны и т.п.) Они используются для технических комплексов среднего уровня на объектах категории значимости Б.
Модули высшего класса оснащаются устройствами с наилучшими качественными показателями, имеющими входы и выходы тревоги (телевизионные камеры и средства их оснащения, профессиональные видеодетекторы движения с цифровой обработкой сигналов, мониторы и специализированные видеомагнитофоны повышенного разрешения (S-VHS класса), многофункциональные мультиплексоры, матричные коммутаторы и т.п.). Они включаются в состав систем высшего и среднего класса на объектах категорий значимости А и Б.
Выбор устройств ТСВ для использования в модулях высшего класса для применения на особо важных объектах, в том числе для охраны учреждений банков, производится с учетом следующих требований:
- Допускается применение цветных телекамер с чувствительностью не хуже 4 лк на ПЗС-матрице.
- При необходимости обеспечения переменного угла обзора охраняемой зоны допускается применение трансфокаторов и поворотных устройств.
- Телекамеры для внутреннего и наружного наблюдения в зависимости от условий эксплуатации могут снабжаться инфракрасной подсветкой.
- Устройства обработки видеоизображения (коммутаторы, квадраторы, мультиплексоры, матричные коммутаторы) выбираются в зависимости от конкретной конфигурации системы видеонаблюдения, т.е. количества телекамер (видеовходов) и устройств контроля (видеовыходов), задач охраны и требований к качеству видеозаписи и изображения, выводимого на экран монитора.
- Для контроля изображения в полноэкранном режиме должны использоваться мониторы 5" (13 см), 9" (23 см), 12" (31 см), для просмотра мультикартины (одновременный вывод изображения от нескольких телекамер) - мониторы 14" (35 см), 15 " (38 см), 17" (43 см), 20" (50 см), 21 "(51 см), 28" (70 см),
- Разрешение черно-белых мониторов по горизонтали, применяемых в системах видеонаблюдения учреждений банков, должно быть не менее 700 телевизионных линий в центре экрана.
- При использовании цветных телевизионных камер допускается применять цветные мониторы с разрешением по горизонтали не менее 340 телевизионных линий в центре экрана.
- Все модули ТСВ для установки в учреждениях банков должны в обязательном порядке комплектоваться специализированными охранными магнитофонами класса S-VHS.
Записанная на видеокассете информация должна храниться не менее 7 суток.
- Для записи изображения должны использоваться специализированные охранные видеомагнитофоны, позволяющие записывать изображение контролируемого объекта, получаемое с одной или нескольких камер в реальном времени или покадровом режиме с различными временными промежутками (паузами) между отдельными
- Спецвидеомагнитофон должен иметь соответствующие входы и возможность при поступлении сигнала тревоги от средств охранной, тревожной сигнализации или систем контроля доступа перехода на запись в режиме реального времени.
- Все оборудование, выбранное для системы видеонаблюдения, должно быть одного стандарта.
- Для исключения воздействия внешних климатических условий на видеокамеру необходимо применять специальные климатические кожухи .
- Для защиты видеокамеры от механических повреждений (ударов) необходимо применять специальные кожухи, изготовленные из высокопрочных материалов (сплавов) и стекла.
Список литературы:
1.Алтухов Е.В. Основы информатики и вычислительной техники: Учеб.пособие для сред.спец.учеб.заведений / Е.В.Алтухов,Л.А.Рыбалко,В.С.Савченко.-М.: Высш.шк., 1992.-302с.
2. «Портфолио». Фестиваль исследовательских и творческих работ учащихся [Электронный ресурс] . — Электрон. дан. (8 файлов, 50 тыс. записей). —М., [2005].- Режим доступа: http://portfolio.1september.ru/
3. Бурин Е. А. Введение в основы информатики и вычислительной техники: Курс лекций: [для вузов].-Алма-Ата: Мектеп, 1989.-143 с.: ил.; 20 см.-Библиогр.: с.143
4. Безруков Н.Н. Компьютерные вирусы. - М. : Наука, 1991.
5.Основы информатики и вычислительной техники: Пробный учебник для 10-11 классов средн. шк..-2-е изд..-М.: Просвещение, 1992.-254с
6.Николаев Р. Начала информатики: Язык Лого / Под ред. Б.Сендова; Пер. с болг. Э.Паскалевой.-М.: Наука, 1989.-173с
7.Кушниренко А.Г. Основы информатики и вычислительной техники: Проб.учеб.для сред.учеб.заведений / А.Г.Кушниренко, Г.В.Лебедев, Р.А.Сворень.-2-е изд..-М.: Просвещение, 1991.-223с.: ил.
8.Информатика: Энцикл.словарь для начинающих / [Александров В.В. и др.];Под общ.ред.Д.А.Поспелова.-М.: Педагогика-пресс, 1994
9.Дворкин П.Л. Основы информатики и вычислительной техники: Учебн.пособие / Под ред.Лапчика М.П..-Омск: ОМПИ, 1988.
10. Компьютерная документация от А до Я — Вирусы [Электронный ресурс] . — Электрон. дан. (3 файлов, 112 тыс. записей). —М., [2004].- Режим доступа
11. Барсуков В.С. Безопасность: технологии, средства, услуги / В.С. Барсуков. – М., 2001 – 496 с.
12. Ярочкин В.И. Информационная безопасность. Учебник для студентов вузов / 3-е изд. – М.: Академический проект: Трикста, 2005. – 544 с.
13. Барсуков В.С. Современные технологии безопасности / В.С. Барсуков, В.В. Водолазский. – М.: Нолидж, 2000. – 496 с., ил.
14. Зегжда Д.П. Основы безопасности информационных систем / Д.П. Зегжда, А.М. Ивашко. - М.: Горячая линия – Телеком, 2000. - 452 с., ил.
15. Компьютерная преступность и информационная безопасность / А.П. Леонов [и др.]; под общ. Ред. А.П. Леонова. – Минск: АРИЛ, 2000. – 552 с.