Завгородний В.И. Комплексная защита информации в компьютерных системах

Подождите немного. Документ загружается.

Шаг 1. Считанный из 1-го сектора диска загрузочный

вирус (часть вируса) получает управление, уменьшает объем

свободной памяти ОП и считывает с диска тело вируса.

Шаг 2. Вирус переписывает сам себя в другую область

Oil, чаще всего - в старшие адреса памяти.

Шаг 3. Устанавливаются необходимые вектора

прерываний (вирус резидентный).

Шаг 4. При выполнении определенных условий

производятся деструктивные действия.

Шаг 5. Копируется Boot-сектор в ОП и передается ему

управление.

Рис. 23. Размещение загрузочного вирусанадиске

Если вирус был активизирован с гибкого диска, то он записы-

вается в загрузочный сектор жесткого диска. Активный вирус,

постоянно находясь в ОП, заражает загрузочные сектора всех

гибких дисков, а не только системные диски.

Заражение рабочих гибких дисков загрузочными вирусами

выполняется в расчете на ошибочные действия пользователя ЭВМ

в момент загрузки ОС. Если установлен порядок загрузки ОС сна-

чала с гибкого диска, а затем - с жесткого, то при наличии гибкого

диска в накопители будет считан 1-й сектор с гибкого диска. Если

диск был заражен, то этого достаточно для заражения ЭВМ. Такая

ситуация наиболее часто имеет место при перезагрузке ОС после

«зависаний» или отказов ЭВМ.

10.4. Вирусы и операционные системы

Программы-вирусы создаются для ЭВМ определенного типа,

работающих с конкретными ОС. Для одних ОС созданы тысячи

вирусов. В качестве примера можно привести ОС MS DOS, уста-

навливаемую на ЮМ совместимые персональные компьютеры.

169

Для ОС Unix, OS/2, Windows и некоторых других ОС известно

незначительное количество вирусов. Привлекательность ОС для

создателей вирусов определяется следующими факторами:

распространенность ОС;

отсутствие встроенных антивирусных механизмов;

относительная простота; продолжительность

эксплуатации.

Все приведенные факторы характерны для MS DOS. Наличие

антивирусных механизмов, сложность систем и относительно ма-

лые сроки эксплуатации делают задачу создания вирусов трудно

решаемой. Поэтому авторы вирусов для Windows, OS/2 часто

прибегают к использованию из этих операционных систем хоро-

шо знакомой MS DOS для внедрения вирусов.

Главным недостатком MS DOS является возможность полного

и бесконтрольного доступа любой активной программы ко всем

системным ресурсам ЭВМ, включая и модули самой ОС.

Операционная система Microsoft Windows 3.1 и ее модифика-

ция Microsoft Windows for Workgroups 3.11 не являются самостоя-

тельными ОС, а больше похожи на очень большие программы MS

DOS. В этих ОС введены ограничения на доступ к ОП. Каждая

программа получает доступ только к своему виртуальному про-

странству ОП. Доступ же к дискам, файлам и портам внешних

устройств не ограничены. Сохраняют работоспособность и загру-

зочные вирусы, разработанные для MS DOS, так как они получают

управление еще до загрузки Microsoft Windows 3.1 ив этот период

времени действия их ничем не ограничены.

Слабость защитных функций ОС Microsoft Windows 95/98

также объясняется совместимостью с MS DOS. Эта ОС имеет та-

кую же устойчивость к воздействию вирусов, как и Microsoft

Windows 3.1. К тому же в этой ОС получили распространение и

макровирусы.

Значительно лучше защищена от вирусов операционная сис-

тема ЮМ OS/2. Эта система полностью независима от MS DOS.

Все программы, выполняемые в OS/2, работают в отдельных ад-

ресных пространствах, что полностью исключает возможность

взаимного влияния программ. Существует возможность запретить

рабочим программам (несистемным) иметь доступ к портам пе-

риферийных устройств. Если ЭВМ с Microsoft OS/2 используется

170

в качестве файл-сервера IBM LAN Server, то с помощью драйвера

386 HPFS можно указывать права доступа к каталогам и файлам.

Можно также защитить каталоги от записи в файлы, содержащиеся

в них. В этой системе существует возможность выполнения

программ MS DOS. Но в OS/2 для вирусов, созданных для MS

DOS, гораздо меньше возможностей.

Хорошую защиту от вирусов имеют сетевые операционные

системы Microsoft Windows NT и Novell Net Ware, а также опера-

ционная система Windows 2000.

10.5. Методы и средства борьбы с вирусами

Массовое распространение вирусов, серьезность последствий

их воздействия на ресурсы КС вызвали необходимость разработки

и использования специальных антивирусных средств и методов

их применения. Антивирусные средства применяются для реше-

ния следующих задач [55]:

обнаружение вирусов в КС; блокирование

работы программ-вирусов; устранение

последствий воздействия вирусов.

Обнаружение вирусов желательно осуществлять на стадии их

внедрения или, по крайней мере, до начала осуществления дест-

руктивных функций вирусов. Необходимо отметить, что не суще-

ствует антивирусных средств, гарантирующих обнаружение всех

возможных вирусов.

При обнаружении вируса необходимо сразу же прекратить ра-

боту программы-вируса, чтобы минимизировать ущерб от его

воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух

направлениях:

удаление вирусов;

восстановление (при необходимости) файлов, областей

памяти.

Восстановление системы зависит от типа вируса, а также от

момента времени обнаружения вируса по отношению к началу

деструктивных действий. Восстановление информации без ис-

пользования дублирующей информации может быть невыполни-

мым, если вирусы при внедрении не сохраняют информацию, на

171

место которой они помещаются в память, а также, если деструк-

тивные действия уже начались, и они предусматривают измене-

ния информации.

Для борьбы с вирусами используются программные и аппа

ратно-программные средства, которые применяются в определен

ной последовательности и комбинации, образуя методы борьбы с

вирусами. Можно выделить методы обнаружения вирусов и мето

ды удаления вирусов.

10.5.1. Методы обнаружения вирусов

Известны следующие методы обнаружения вирусов [55]:

сканирование; обнаружение изменений; эвристический анализ;

использование резидентных сторожей; вакцинирование программ;

аппаратно-программная защита от вирусов. Сканирование - один

из самых простых методов обнаружения вирусов. Сканирование

осуществляется программой-сканером, которая просматривает

файлы в поисках опознавательной части вируса - сигнатуры.

Программа фиксирует наличие уже известных вирусов, за

исключением полиморфных вирусов, которые применяют

шифрование тела вируса, изменяя при этом каждый раз и

сигнатуру. Программы-сканеры могут хранить не сигнатуры

известных вирусов, а их контрольные суммы. Программы-

сканеры часто могут удалять обнаруженные вирусы. Такие про-

граммы называются полифагами.

Метод сканирования применим для обнаружения вирусов,

сигнатуры которых уже выделены и являются постоянными. Для

эффективного использования метода необходимо регулярное об-

новление сведений о новых вирусах.

Самой известной программой-сканером в России является

Aidstest Дмитрия Лозинского.

Метод обнаружения изменении базируется на использовании

программ-ревизоров. Эти программы определяют и запоминают

характеристики всех областей на дисках, в которых обычно раз-

мещаются вирусы. При периодическом выполнении программ-

172

ревизоров сравниваются хранящиеся характеристики и характери-

стики, получаемые при контроле областей дисков. По результатам

ревизии программа выдает сведения о предположительном нали-

чии вирусов.

Обычно программы-ревизоры запоминают в специальных

файлах образы главной загрузочной записи, загрузочных секторов

логических дисков, характеристики всех контролируемых файлов,

каталогов и номера дефектных кластеров. Могут контролировать-

ся также объем установленной оперативной памяти, количество

подключенных к компьютеру дисков и их параметры.

Главным достоинством метода является возможность обнару-

жения вирусов всех типов, а также новых неизвестных вирусов.

Совершенные программы-ревизоры обнаруживают даже «стеле»-

вирусы. Например, программа-ревизор Adinf, разработанная Д. Ю

Мостовым, работает с диском непосредственно по секторам через

BIOS. Это не позволяет использовать «стелс»-вирусам возмож-

ность перехвата прерываний и «подставки» для контроля нужной

вирусу области памяти.

Имеются у этого метода и недостатки. С помощью программ-

ревизоров невозможно определить вирус в файлах, которые по-

ступают в систему уже зараженными. Вирусы будут обнаружены

только после размножения в системе.

Программы-ревизоры непригодны для обнаружения зараже-

ния макровирусами, так как документы и таблицы очень часто

изменяются.

Эвристический анализ сравнительно недавно начал использо-

ваться для обнаружения вирусов. Как и метод обнаружения изме-

нений, данный метод позволяет определять неизвестные вирусы,

но не требует предварительного сбора, обработки и хранения ин-

формации о файловой системе.

Сущность эвристического анализа заключается в проверке

возможных сред обитания вирусов и выявление в них команд

(групп команд), характерных для вирусов. Такими командами мо-

гут быть команды создания резидентных модулей в оперативной

памяти, команды прямого обращения к дискам, минуя ОС. Эври-

стические анализаторы при обнаружении «подозрительных» ко-

манд в файлах или загрузочных секторах выдают сообщение о

возможном заражении. После получения таких сообщений необ-

173

ходимо тщательно проверить предположительно зараженные

файлы и загрузочные сектора всеми имеющимися антивирусными

средствами. Эвристический анализатор имеется, например, в ан-

тивирусной программе Doctor Web.

Метод использования резидентных сторожей основан на

применении программ, которые постоянно находятся в ОП ЭВМ и

отслеживают все действия остальных программ.

В случае выполнения какой-либо программой подозрительных

действий (обращение для записи в загрузочные сектора, помеще-

ние в ОП резидентных модулей, попытки перехвата прерываний и

т. п.) резидентный сторож выдает сообщение пользователю. Про-

грамма-сторож может загружать на выполнение другие антиви-

русные программы для проверки «подозрительных» программ, а

также для контроля всех поступающих извне файлов (со сменных

дисков, по сети).

Существенным недостатком данного метода является значи-

тельный процент ложных тревог, что мешает работе пользователя,

вызывает раздражение и желание отказаться от использования

резидентных сторожей. Примером резидентного сторожа может

служить программа Vsafe, входящая в состав MS DOS.

Под вакцинацией программ понимается создание специально-

го модуля для контроля ее целостности. В качестве характеристи-

ки целостности файла обычно используется контрольная сумма.

При заражении вакцинированного файла, модуль контроля обна-

руживает изменение контрольной суммы и сообщает об этом

пользователю. Метод позволяет обнаруживать все вирусы, в том

числе и незнакомые, за исключением «стеле»- вирусов.

Самым надежным методом защиты от вирусов является ис-

пользование аппаратно-программных антивирусных средств. В

настоящее время для защиты ПЭВМ используются специальные

контроллеры и их программное обеспечение. Контроллер уста-

навливается в разъем расширения и имеет доступ к общей шине.

Это позволяет ему контролировать все обращения к дисковой сис-

теме. В программном обеспечении контроллера запоминаются

области на дисках, изменение которых в обычных режимах рабо-

ты не допускается. Таким образом, можно установить защиту на

изменение главной загрузочной записи, загрузочных секторов,

файлов конфигурации, исполняемых файлов и др.

174

При выполнении запретных действий любой программой кон-

троллер выдает соответствующее сообщение пользователю и бло-

кирует работу ПЭВМ.

Аппаратно-программные антивирусные средства обладают

рядом достоинств перед программными: работают постоянно;

обнаруживают все вирусы, независимо от механизма их

действия;

блокируют неразрешенные действия, являющиеся резуль-

татом работы вируса или неквалифицированного пользователя.

Недостаток у этих средств один - зависимость от аппаратных

средств ПЭВМ. Изменение последних ведет к необходимости за-

мены контроллера.

Примером аппаратно-программной защиты от вирусов может

служить комплекс Sheriff.

10.5.2. Методы удаления последствий заражения вирусами

В процессе удаления последствий заражения вирусами осуще-

ствляется удаление вирусов, а также восстановление файлов и об-

ластей памяти, в которых находился вирус. Существует два метода

удаления последствий воздействия вирусов антивирусными

программами.

Первый метод предполагает восстановление системы после

воздействия известных вирусов. Разработчик программы-фага,

удаляющей вирус, должен знать структуру вируса и его характе-

ристики размещения в среде обитания.

Второй метод позволяет восстанавливать файлы и загрузоч-

ные сектора, зараженные неизвестными вирусами. Для восстанов-

ления файлов программа восстановления должна заблаговременно

создать и хранить информацию о файлах, полученную в условиях

отсутствия вирусов. Имея информацию о незараженном файле и

используя сведения об общих принципах работы вирусов, осуще-

ствляется восстановление файлов. Если вирус подверг файл необ-

ратимым изменениям, то восстановление возможно только с ис-

пользованием резервной копии или с дистрибутива. При их отсут-

ствии существует только один выход - уничтожить файл и вос-

становить его вручную.

175

Если антивирусная программа не может восстановить главную

загрузочную запись или загрузочные сектора, то можно попы-

таться это сделать вручную. В случае неудачи следует отформа-

тировать диск и установить ОС.

Существуют вирусы, которые, попадая в ЭВМ, становятся ча-

стью его ОС. Если просто удалить такой вирус, то система стано-

вится неработоспособной.

Одним из таких вирусов является вирус One Half. При загрузке

ЭВМ вирус постепенно зашифровывает жесткий диск. При об-

ращении к уже зашифрованным секторам резидентный вирус One

Half перехватывает обращения и расшифровывает информацию.

Удаление вируса приведет к невозможности использовать зашиф-

рованную часть диска. При удалении такого вируса необходимо

сначала расшифровать информацию на диске. Для этого необхо-

димо знать механизм действия вируса.

10.6. Профилактика заражения вирусами

компьютерных систем

Чтобы обезопасить ЭВМ от воздействия вирусов, пользова-

тель, прежде всего, должен иметь представление о механизме

действия вирусов, чтобы адекватно оценивать возможность и по-

следствия заражения КС. Главным же условием безопасной рабо-

ты в КС является соблюдение ряда правил, которые апробированы

на практике и показали свою высокую эффективность.

Правило первое. Использование программных продуктов, по-

лученных законным официальным путем.

Вероятность наличия вируса в пиратской копии во много раз

выше, чем в официально полученном программном обеспечении.

Правило второе. Дублирование информации.

Прежде всего, необходимо сохранять дистрибутивные носите-

ли программного обеспечения. При этом запись на носители, до-

пускающие выполнение этой операции, должна быть, по возмож-

ности, заблокирована. Следует особо позаботиться о сохранении

рабочей информации. Предпочтительнее регулярно создавать ко-

пии рабочих файлов на съемных машинных носителях информа-

ции с защитой от записи. Если создается копия на несъемном но-

сителе, то желательно ее создавать на других ВЗУ или ЭВМ. Ко-

176

пируется либо весь файл, либо только вносимые изменения. По-

следний вариант применим, например, при работе с базами дан-

ных.

Правило третье. Регулярно использовать антивирусные

средства. Перед началом работы целесообразно выполнять про-

граммы-сканеры и программы-ревизоры (Aidstest и Adinf). Анти-

вирусные средства должны регулярно обновляться.

Правило четвертое. Особую осторожность следует прояв-

лять при использовании новых съемных носителей информации и

новых файлов. Новые дискеты обязательно должны быть прове-

рены на отсутствие загрузочных и файловых вирусов, а получен-

ные файлы - на наличие файловых вирусов. Проверка осуществ-

ляется программами-сканерами и программами, осуществляющи-

ми эвристический анализ (Aidstest, Doctor Web, AntiVirus). При

первом выполнении исполняемого файла используются резидент-

ные сторожа. При работе с полученными документами и таблица-

ми целесообразно запретить выполнение макрокоманд средства-

ми, встроенными в текстовые и табличные редакторы (MS Word,

MS Excel), до завершения полной проверки этих файлов.

Правило пятое. При работе в распределенных системах или в

системах коллективного пользования целесообразно новые смен-

ные носители информации и вводимые в систему файлы прове-

рять на специально выделенных для этой цели ЭВМ. Целесооб-

разно для этого использовать автоматизированное рабочее место

администратора системы или лица, отвечающего за безопасность

информации. Только после всесторонней антивирусной проверки

дисков и файлов они могут передаваться пользователям системы.

Правило шестое. Если не предполагается осуществлять за-

пись информации на носитель, то необходимо заблокировать вы-

полнение этой операции. На магнитных дискетах 3,5 дюйма для

этого достаточно открыть квадратное отверстие.

Постоянное следование всем приведенным рекомендациям по-

зволяет значительно уменьшить вероятность заражения про-

граммными вирусами и защищает пользователя от безвозвратных

потерь информации.

В особо ответственных системах для борьбы с вирусами необ-

ходимо использовать аппаратно-программные средства (напри-

мер, Sheriff).

7 В. И. Завгородний 177

10.7. Порядок действий пользователя

при обнаружении заражения ЭВМ вирусами

Даже при скрупулезном выполнении всех правил профилакти

ки возможность заражения ЭВМ компьютерными вирусами пол-

ностью исключить нельзя. И если вирус все же попал в КС, то по»-

следствия его пребывания можно свести к минимуму, придержи-

ваясь определенной последовательности действий.

О наличии вируса в КС пользователь может судить по сле-

дующим событиям:

появление сообщений антивирусных средств о заражении

или о предполагаемом заражении;

явные проявления присутствия вируса, такие как сообще-

ния, выдаваемые на монитор или принтер, звуковые эффекты,

уничтожение файлов и другие аналогичные действия, однозначно

указывающие на наличие вируса в КС;

неявные проявления заражения, которые могут быть вы-

званы и другими причинами, например, сбоями или отказами ап-

паратных и программных средств КС.

К неявным проявлениям наличия вирусов в КС можно отнести

«зависания» системы, замедление выполнения определенных дей-

ствий, нарушение адресации, сбои устройств и тому подобное.

Получив информацию о предполагаемом заражении, пользо-

ватель должен убедиться в этом. Решить такую задачу можно с

помощью всего комплекса антивирусных средств. Убедившись в

том, что заражение произошло, пользователю следует выполнить

следующую последовательность шагов:

Шаг 1. Выключить ЭВМ для уничтожения резидентных виру-

сов.

Шаг 2. Осуществить загрузку эталонной операционной систе-

мы со сменного носителя информации, в которой отсутствуют

вирусы.

Шаг 3. Сохранить на сменных носителях информации важные

для вас файлы, которые не имеют резервных копий.

Шаг 4. Использовать антивирусные средства для удаления ви-

русов и восстановления файлов, областей памяти. Если работо-

способность ЭВМ восстановлена, то осуществляется переход к

шагу 8, иначе - к шагу 5.

178