Классификация методов защиты от компьютерных вирусов


 

Проблему защиты от вирусов необходимо рассматривать в об­щем контексте проблемы защиты информации от несанкциониро­ванного доступа и технологической и эксплуатационной безопаснос­ти компьютерных технологий в целом. Основной принцип, который должен быть положен в основу разработки технологии защиты от вирусов, состоит в создании многоуровневой распределенной сис­темы защиты, включающей:

— регламентацию проведения работ на ПЭВМ;

— применение программных средств защиты;

— использование специальных аппаратных средств защиты.

При этом количество уровней защиты зависит от ценности ин­формации, которая обрабатывается на ПЭВМ.

Для защиты от компьютерных вирусов в настоящее время ис­пользуются методы, указанные на рис. 8.3.


 

  Терапия    
Архиви­рование Методы защиты от компьютерных вирусов   Авто­контроль  
Входной контроль Вакци­нация  
Профи­лактика Фильт­рация  
  Ревизия Карантин Сегмен­тация  
           

Рис. 8.3. Методы защиты от компьютерных вирусов

Архивирование. Заключается в копировании системных облас­тей магнитных дисков и ежедневном ведении архивов измененных файлов. Архивирование является одним из основных методов за­щиты от вирусов. Остальные методы защиты дополняют его, но не могут заменить полностью.

Входной контроль. Проверка всех поступающих программ де­текторами, а также проверка длин и контрольных сумм вновь по­ступающих программ на соответствие значениям, указанным в до­кументации. Большинство известных файловых и бутовых виру­сов можно выявить на этапе входного контроля. Для этой цели используется батарея детекторов (несколько последовательно за­пускаемых программ). Набор детекторов достаточно широк и по­стоянно пополняется по мере появления новых вирусов. Однако при этом могут быть обнаружены не все вирусы, а только распоз­наваемые детектором. Следующим элементом входного контроля является контекстный поиск в файлах слов и сообщений, которые могут принадлежать вирусу (например, Virus, COMMAND.COM, Kill и т. д.). Подозрительным является отсутствие в последних 2—3 Кб файла текстовых строк — это может быть признаком вируса, кото­рый шифрует свое тело.

Рассмотренный контроль может быть выполнен с помощью спе­циальной программы, которая работает с базой данных «подозри­тельных» слов и сообщений и формирует список файлов для даль­нейшего анализа. После проведенного анализа новые программы рекомендуется несколько дней эксплуатировать в карантинном ре­жиме. При этом целесообразно использовать ускорение календаря, т. е. изменять текущую дату при повторных запусках программы. Это позволяет обнаружить вирусы, срабатывающие в определен­ные дни недели (пятница, 13-е число месяца, воскресенье и т. д.).

Профилактика. Для профилактики заражения необходимо орга­низовать раздельное хранение (на разных магнитных носителях) вновь поступающих и ранее эксплуатировавшихся программ, ми­нимизацию периодов доступности дискет для записи, разделение общих магнитных носителей между конкретными пользователями.

Ревизия. Анализ вновь полученных программ специальными средствами (детекторами), контроль целостности перед считыва­нием информации, а также периодический контроль состояния си­стемных файлов.

Карантин. Каждая новая программа проверяется на известные типы вирусов в течение определенного промежутка времени. Для этих целей целесообразно выделить специальную ПЭВМ, на кото­рой не проводятся другие работы. В случае невозможности выде­ления ПЭВМ для карантина программного обеспечения для этой цели используется машина, отключенная от локальной сети и не содержащая особо ценной информации.

Сегментация. Предполагает разбиение магнитного диска на ряд логических томов (разделов), часть из которых имеет статус READ_ONLY (только чтение). В данных разделах хранятся выпол­няемые программы и системные файлы. Базы данных должны хра­ниться в других секторах, отдельно от выполняемых программ. Важным профилактическим средством в борьбе с файловыми ви­русами является исключение значительной части загрузочных модулей из сферы их досягаемости. Этот метод называется сегмен­тацией и основан на разделении магнитного диска с помощью спе­циального драйвера, обеспечивающего присвоение отдельным ло­гическим томам атрибута READ_ONLY (только чтение), а также поддерживающего схемы парольного доступа. При этом в защи­щенные от записи разделы диска помещаются исполняемые про­граммы и системные утилиты, а также системы управления база­ми данных и трансляторы, т. е. компоненты программного обеспе­чения, наиболее подверженные опасности заражения. В качестве такого драйвера целесообразно использовать программы типа ADVANCED DISK MANAGER (программа для форматирования и подготовки жесткого диска), которые позволяют не только разбить диск на разделы, но и организовать доступ к ним с помощью паро­лей. Количество используемых логических томов и их размеры за­висят от решаемых задач и объема винчестера. Рекомендуется ис­пользовать 3—4 логических тома, причем на системном диске, с которого выполняется загрузка, следует оставить минимальное количество файлов (системные файлы, командный процессор, а так­же программы-ловушки).

Фильтрация. Заключается в использовании программ-сторо­жей для обнаружения попыток выполнить несанкционированные действия.

Вакцинация. Специальная обработка файлов и дисков, имити­рующая сочетание условий, которые используются некоторым ти­пом вируса для определения, заражена уже программа или нет.

Автоконтроль целостности. Заключается в использовании спе­циальных алгоритмов, позволяющих после запуска программы оп­ределить, были ли внесены изменения в ее файл.

Терапия. Предполагает дезактивацию конкретного вируса в за­раженных программах специальными программами (фагами). Про­граммы-фаги «выкусывают» вирус из зараженной программы и пытаются восстановить ее код в исходное состояние (состояние до момента заражения). В общем случае технологическая схема за­щиты может состоять из следующих этапов:

— входной контроль новых программ;

— сегментация информации на магнитном диске;

— защита операционной системы от заражения;

— систематический контроль целостности информации.

Необходимо отметить, что не следует стремиться обеспечить глобальную защиту всех файлов, имеющихся на диске. Это су­щественно затрудняет работу, снижает производительность сис­темы и в конечном счете ухудшает защиту из-за частой работы в открытом режиме. Анализ показывает, что только 20—30% фай­лов должны быть защищены от записи.

Анализ рассмотренных методов и средств защиты показывает, что эффективная защита может быть обеспечена при комплексном использовании различных средств в рамках единой операционной среды. Для этого необходимо разработать интегрированный про­граммный комплекс, поддерживающий рассмотренную техноло­гию защиты. В состав программного комплекса должны входить компоненты, указанные на рис. 8.4.

  Семейство (батарея) детекторов  
Программа – ловушка вирусов Программный комплекс защиты от компьютерных вирусов Программа для вакцинации
  База данных о вирусах и их характеристиках Резидентные средства защиты  
       

 

Рис. 8.4. Состав программного комплекса защиты от компьютерных вирусов

Семейство (батарея) детекторов. Детекторы, включенные в се­мейство, должны запускаться из операционной среды комплекса. При этом должна быть обеспечена возможность подключения к се­мейству новых детекторов, а также указание параметров их за­пуска из диалоговой среды. С помощью данной компоненты может быть организована проверка ПО на этапе входного контроля.

Программа — ловушка вирусов. Данная программа порождает­ся в процессе функционирования комплекса, т. е. не хранится на диске, поэтому оригинал не может быть заражен. В процессе тес­тирования ПЭВМ программа-ловушка неоднократно выполняется, изменяя при этом текущую дату и время (организует ускоренный календарь). Наряду с этим программа-ловушка при каждом запус­ке контролирует свою целостность (размер, контрольную сумму, дату и время создания). В случае обнаружения заражения про­граммный комплекс переходит в режим анализа зараженной про­граммы-ловушки и пытается определить тип вируса.

Программа для вакцинации. Предназначена для изменения среды функционирования вирусов таким образом, чтобы они теря­ли способность к размножению. Известно, что ряд вирусов помеча­ет зараженные файлы для предотвращения повторного зараже­ния. Используя это свойство, возможно создание программы, кото­рая обрабатывала бы файлы таким образом, чтобы вирус считал, что они уже заражены.

База данных о вирусах и их характеристиках. Предполагается, что в базе данных будет храниться информация о существующих вирусах, их особенностях и сигнатурах, а также рекомендуемая стратегия лечения. Информация из БД может использоваться при анализе зараженной программы-ловушки, а также на этапе вход­ного контроля ПО. Кроме того, на основе информации, хранящейся в БД, можно выработать рекомендации по использованию наибо­лее эффективных детекторов и фагов для лечения от конкретного типа вируса.

Резидентные средства защиты. Эти средства могут резидентно разместиться в памяти и постоянно контролировать целостность системных файлов и командного процессора. Проверка может вы­полняться по прерываниям от таймера или при выполнении опера­ций чтения и записи в файл.


Глава 9

 



Дата добавления: 2016-09-06; просмотров: 2516;


Поиск по сайту:

Воспользовавшись поиском можно найти нужную информацию на сайте.

Поделитесь с друзьями:

Считаете данную информацию полезной, тогда расскажите друзьям в соц. сетях.
Poznayka.org - Познайка.Орг - 2016-2024 год. Материал предоставляется для ознакомительных и учебных целей.
Генерация страницы за: 0.01 сек.