Антивирусная защита компьютерных систем Лекция по дисциплине «Информатика» к.п.н. Векслер В. А.

Часть 1-я: Общая информация

Информация ПЗУОЗУФайл Файловая система - это совокупность правил, определяющих систему хранения информации. Примеры файловых систем - FAT, FAT32, NTFS, EXT2, ISO9660. Исполняемые Неисполняемые Внутренняя Внешняя

Компьютерная пппрограмма- это последовательность инструкций (команд) для выполнения компьютером определенных действий. Языки программирования Передача программе пользовательских данных может осуществляться: 1. с помощью графического интерфейса, 2. командной строки, 3. конфигурационного файла 4. косвенно через другие программы.

обеспечения работы компьютера самого по себе и выполнения прикладных программ Операционная система - Системное выполнения определенных пользовательских задач и рассчитанные на непосредственное взаимодействие с пользователем Прикладное Программное обеспечение

Способы запуска компьютерных программ: 1. Явный способ 2. Неявный способ Вредоносная пппрограмма - это пппрограмма, наносящая какой-либо вред компьютеру, на котором она запускается, или другим подключенным к нему компьютерам.

Основные виды вредоносных программ : Троянские программы (Trojans) Программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия. Вирусы (Viruses) Программы, которые заражают другие программы – добавляют в них свой код, чтобы получить управление при запуске зараженных файлов. Основное отличие вирусов – прямое повреждение хранимой информации. Черви (Worms) Данная категория вредоносных программ для распространения использует в основном уязвимости операционных систем.

Основные пути распространения вредоносных программ: 1. Мобилиные носители 2. Компьютерные сети (локалиные и глобалиные) 3. Электронная почта Последствия заражения вредоносными пппрограммами: 1. Явные 2. Косвенные 3. Скрытые Признак заражения червем Sasser Компь терный в рус специально со данная н большая ппрограмма способна я присое сняться другим ппрограмма ЭВМ, ра множатьс (создавать свои опии) и выполнять нежелате иные действия без ведома п льзовате я. Искажение текста вирусом

Заражения мобильных пользователей: MMS, Bluetooth, Wi-Fi Запрос на загрузку зараженного червем Caribe сообщения Запрос подтверждения согласия на установку червя Caribe Проявление деятельности червя Caribe

Явные последствия заражения вредоносными пппрограммами: Несанкционированная рассылка электронных писем. Кража конфиденциальной информации. Несанкционированное использование сетевых ресурсов. Удаленное управление компьютером. Ботнеты в т.ч. несанкционированная атака на чужой сервер. Рассылка спама. Фишинг. Уничтожение информации. Вредоносные программы: 1. Файлы в ПЗУ (с 1969 г., например: Pervading Animal) 2. Обновляемые через Интернет файлы в ПЗУ (с 1999, например: Babylonia) 3. Пакеты данных в ОЗУ ( c 2001 г., например: CodeRed )

Операционная система. Уязвимости и заплаты. 1. Автозагрузка 2. Файлы ОС 3. Патч или пакет обновлений Уязвимость (или брешь в системе безопасности) - это место в программном коде, которое теоретически или реально может быть использовано для несанкционированного доступа к управлению программой Заплата или патч (от англ. patch - латать, ставить заплаты) - это программный код, используемый для модификации используемой программы.

Часть 2-я: Классификации вредоносных программ и определение их наличия на ПК

Компьютерный вирус- это пппрограмма, способнаая создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислителиные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способнаость к дальнейшему распространению. Жизненный цикл любого компьютерного вируса можно разделить на пять стадий: Проникновение на чужой компьютер Активация Поиск объектов для заражения Подготовка копий Внедрение копий

Виды вирусов: Загрузочные вирусы заражают загрузочные сектора жестких дисков и мобильных носителей. Файловые вирусы - заражают файлы. Отдельно по типу среды обитания в этой группе также выделяют: Классические файловые вирусы Макровирусы Скрипт-вирусы

Отличие вирусов от других видов вредоносных программ: 1. Назначение 2. Активизация пользователем 3. Привязанность к ОС Технологии вирусов Создание копий Скрытие от антивируса Шифрование Метаморфизм

Червь (сетевой червь) - это вредоносная пппрограмма, распространяющаяся по сетевым каналам и способнаая к самостоятельному преодолению систем защиты компьютерных сетей. Жизненный цикл червей: Проникновение в систему Активация Поиск объектов для заражения Подготовка копий Распространение копий

Виды червей: Сетевые черви Почтовые черви IRC-черви P2P-черви Отличие червей от других видов вредоносных программ: 1. Назначение 2. Активизация пользователем или учет уязвимости

Троян (троянский конь) - пппрограмма, основной целью которой является вредоносное воздействие по отношению к компьютерной системе. Жизненный цикл : Проникновение в систему (с вирусом или червем) Активация Выполнение вредоносных действий

Виды троянских программ: Клавиатурные шпионы. Похитители паролей. Утилиты скрытого удаленного управления. Анонимные SMTP-сервера и прокси-сервера Утилиты дозвона. Модификаторы настроек браузера. Логические бомбы. Участник DDoS-атак. Отличие троянов от других видов вредоносных программ: 1. Назначение 2. Координация с вирусами или сетевыми червями 3. Активизация пользователем или учет уязвимости

Проявление деятельности вредоносных программ включают: Явные проявления Наличие в памяти подозрительных процессов Наличие на компьютере подозрительных файлов Наличие подозрительных ключей в системном реестре Windows Подозрительная сетевая активность

Подозрителиные процессы

Автозапуск 1. Через главное меню

Автозапуск 2. Через системный реестр Системный реестр Windows - это основное хранилище большинства настроек операционной системы и многих приложений. Для доступа к системному реестру используется системная утилита regedit.exe, расположенная в папке операционной системы HKEY_CURRENT_USER – HKCU\Software\Microsoft\W indows\CurrentVersion HKEY_LOCAL_MACHINE – HKLM\Software\Microsoft\ Windows\CurrentVersion Run RunOnce RunServices RunServicesOnce

Автозапуск 3. Конфигурационные файлы win.ini и system.ini Windows 3.x, 9x, Me win.ini Load= Run= system.ini shell= Стандартной программной оболочкой является explorer.exe. Windows NT, 2000, XP HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon в параметре Shell.

Автозапуск 4. Системная утилита msconfig.exe

Подозрительная сетевая активность Для обеспечения доступа к компьютеру по сети со стороны злоумышленника вредоносные программы открывают определенный порт.

Доступна на сайте

Для выяснения природы подозрительных процессов проще всего использовать Интернет. В глобальной сети имеются сайты, собирающие информацию о различных процессах. Одним из таких сайтов является

Часть 3-я: Методы защиты от вредоносных программ

Методы защиты Организационные: изменить поведение пользователя Технические: антивирусные программы, брандмауэры, средства борьбы со спамом, исправления, устраняющие "дыры" в операционной системе

Организационные методы Правила работы за компьютером Не открывать почтовые сообщения от незнакомых отправителей Проверять сменные накопители на наличие вирусов перед использованием Проверять на наличие вирусов файлы, загружаемые из Интернет Работая в Интернет, не соглашаться на непрошенные предложения загрузить файл или установить программу Следить за тем, чтобы программы, обеспечивающие защиту, были постоянно запущены, и чтобы функции защиты были активированы Регулярно обновлять антивирусные базы Регулярно устанавливать исправления операционной системы и часто используемых программ

Технические методы Исправления

Технические методы Брандмауэры Брандмауэр - это пппрограмма, которая следит за сетевыми соединениями и принимает решение о разрешении или запрещении новых соединений на основании заданного набора правил.

Технические методы Брандмауэры

Технические методы Брандмауэры Универсалиные защитные программы, объединяющие возможности брандмауэра и антивируса: Kaspersky Internet Security, Norton Internet Security, McAfee Internet Security

Технические методы Антивирус Антивирусные программы - это программы, основной задачей которых является защита от вредоносных программ. Режимы работы антивирусов: Проверка в режиме реального времени Проверка по требованию Из всех методов антивирусной защиты можно выделить две основные группы: Сигнатурные методы Эвристические методы

Тестирование работы антивируса В окне Notepad нужно набрать строку STANDARD-ANTIVIRUS-TEST-FILE!$H+H* сохранить файл под именем eicar.com, и все – вирус для тестирования готов.

Антивирусный комплекс - набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз. Виды антивирусных комплексов: Рабочие станции Сетевые сервера Почтовые системы

Общие выводы: