Логическая бомба в программе срабатывает при определённом условии, и неотделима от полезной программы-носителя.



Методы обнаружения вредоносных программ: реактивная защита.

Большинство современных антивирусных программ работают с использованием двух методов – реактивной и превентивной защиты. Реактивная защита обнаруживает вирус в том случае, если он уже есть в базе данных, следовательно, чтобы антивирус действовал эффективно, его необходимо регулярно обновлять. Против новых вирусов, сигнатуры которых в базу еще не попали, используется превентивная защита, основанная на анализе поведения приложений.

2. Физическая структура жесткого диска.

Физическая структура жёстких дисков предполагает разбиение диска на рабочие поверхности, дорожки и секторы, номера которых образуют адрес, по которому на диске хранится информация.

Сектора

Любой жёсткий диск можно представить как огромный «чистый лист», на который можно записывать данные и откуда потом их можно считать. Чтобы ориентироваться на диске, всё его пространство разбивают на небольшие «клеточки» — сектора. Сектор — это минимальная единица хранения данных на диске, обычно его размер составляет 512 байт. Все сектора на диске нумеруются: каждый из n секторов получает номер от 0 до n–1. Благодаря этому любая информация, записанная на диск, получает точный адрес — номера соответствующих секторов. Так что диск ещё можно представить как очень длинную строчку (ленточку) из секторов. Можете посчитать, сколько секторов на вaшем диске размером в N гигабайт.

Разделы

Представлять жёсткий диск как единый «лист» не всегда бывает удобно: иногда полезно «разрезать» его на несколько независимых листов, на каждом из которых можно писать и стирать что угодно, не опасаясь повредить написанное на других листах. Логичнее всего записывать раздельно данные большей и меньшей важности или просто относящиеся к разным вещам.

Конечно, над жёстким диском следует производить не физическое, а логическое разрезание, для этого вводится понятие раздел (partition). Вся последовательность (очень длинная ленточка) секторов разрезается на несколько частей, каждая часть становится отдельным разделом. Фактически, нам не придётся ничего разрезать (да и вряд ли бы это удалось), достаточно объявить, после каких секторов на диске находятся границы разделов.

 

3. Логическая структура жесткого диска.

http://www.thalion.kiev.ua/idx.php/93/760/article/   //можешь почитать

Логическая структура жесткого диска – это способ организации информации. Если кратко, чтобы понять принцип, винчестер следует сопоставить с листом бумаги в клеточку. Каждая клеточка – это сектор, он содержит 0,5 Кб информации. Каждый сектор имеет свой порядковый номер. Когда мы обращаемся к какому-либо файлу, головка ищет по всей площади диска определенный сектор и обращается к нему.

Чтобы не было большой путаницы, винчестер разделяют на разделы. При этом никакого физического разделения не происходит. Все – образно, для удобства.

Запись данных на жесткие диски осуществляется не хаотически, а по определенным правилам и стандартам. На магнитную поверхность наносятся специальная разметка и другая служебная информация, например, создаются закрытые сектора, отвечающие за загрузку операционной системы и т.п. Т.е. создается так называемая логическая структура жесткого диска. Благодаря стандартизации логической структуры операционные системы могут работать с жесткими дисками разной емкости от различных производителей. Любая операционная система предлагает пользователем функцию форматирования жесткого диска (на профессиональном языке - высокоуровневое форматирование). Это самый простой и общедоступный вариант влияния на логическую структуру жесткого диска, который затрагивает только малую часть из необходимой служебной информации.

Логическая структура жёсткого диска предполагает деление общего дискового пространства на области, каждая из которых хранит специфическую информацию: MBR (Master Boot Record), BR (Boot Record), FAT1 и FAT2, Root Directory и область для данных.

 

4. Классы вредоносных программ: файловые вирусы.

Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям "специальные" имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL.EXE или WINSTART.BAT.

 Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). К таким вирусам относятся "ArjVirus" и "Winstart". Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы (см. например, "Worm.Info").

 Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.

 

5. Классы вредоносных программ: сетевые вирусы.

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.

 

6. Типы логических разделов жесткого диска.

Разделы

Весь жесткий диск может быть разбит на несколько разделов (partitions), причем каждый раздел представлен так, как если бы это был отдельный диск. Разделение используется, например, при работе с двумя операционныи системами на одном диске. При этом каждая операционная система использует для работы отдельный раздел и не взаимодействует с другими. Таким образом, две различные системы могут быть установлены на одном жестком диске. Без использования разделов в данном случае возникла бы необходимость в приобритении второго диска.

С точки зрения менеджеров дисков, таких как Norton PartitionMagic и Acronis PartitionEx-pert, существуют три основных типа разделов (partition) жесткого диска:

первичный (Primary partition);

расширенный (Extended partition);

логический (Logical partition).

В первичном разделе жесткого диска может быть размещена операционная система, приложения и пользовательские данные. В каждом сеансе работы с компьютером только один первичный раздел может быть активным, т.е. таким, с которого загружается операционная система.

 

Многие операционные системы, в том числе DOS и Windows, могут загружаться только с активного первичного раздела. Если вы намерены использовать на компьютере несколько различных операционных систем, вам может потребоваться создать на диске несколько первичных разделов. На жестком диске может быть создано не более четырех первичных разделов. Некоторые операционные системы, например OS/2, не видят первичные разделы, кроме тех, с которых они загружаются.

 

В расширенном разделе жесткого диска создаются логические диски, которые в терминологии менеджеров дисков называются логическими разделами (Logical partition). Причем, имеется возможность создать любое количество логических разделов (дисков). Но все они будут располагаться, повторим, только в расширенном разделе.

 

Логические разделы (диски) почти не отличаются от первичных разделов. В них могут размещаться приложения, пользовательские данные, а также устанавливаться некоторые операционные системы, для загрузки которых не требуется первичный раздел, например, Linux.

 

 

Первичные разделы лучше использовать для загрузки операционных систем и хранить на них исключительно системные папки и файлы. На логических разделах можно хранить всю остальную информацию, поскольку эти разделы будут доступны из большинства операционных систем. Кроме того, если вы предполагаете использовать на компьютере несколько разных операционных систем, то те из них, которые способны загружаться с логических разделов, лучше именно туда и устанавливать, чтобы они не занимали первичные разделы, количество которых ограничено.

 

Первичный и логический разделы являются основными типами разделов. Физический жесткий диск может содержать до четырех первичных разделов или до трех первичных и одного расширенного раздела, в котором можно создать неограниченное количество логических дисков.

 

Информация о разделах на жестком диске записывается в специальной области диска, называемой Таблицей разделов (Partition Table). Она располагается в нулевом секторе нулевого цилиндра, головки 0. Этот сектор называется Главной загрузочной записью (Master Boot Record, MBR). Первые 446 байт MBR заняты программой главного загрузчика. За ней следует Таблица разделов длиной 64 байта. Последние 2 байта содержат «магическое число», которое используется для проверки, является ли данный сектор загрузочным.

 

Каждый первичный, расширенный и логический разделы также содержат свою Таблицу разделов, которая хранится в загрузочных секторах своих разделов (нулевой сектор раздела). Загрузочный сектор раздела содержит также программу-загрузчик операционной системы. Главный загрузчик и загрузчик раздела связаны следующим образом: функция главного загрузчика - найти положение первого (загрузочного) сектора активного раздела, загрузить содержащийся там код в память и передать ему управление. Дальнейшие действия по загрузке операционной системы осуществляет загрузчик активного раздела.

 

Чтобы понять, какие именно инструкции содержит код главного загрузчика (загрузчика раздела), вы можете воспользоваться программой Debug, входящей в состав DOS и Windows. Эта программа позволяет как прочитать любой сектор диска, так и дизассембли-ровать содержащийся там код, то есть перевести машинный код на язык ассемблера. Конечно, понимание полученных инструкций будет зависеть от того, насколько вы знакомы с языком ассемблера.

 

Описанное выше ограничение на количество первичных разделов на диске обусловлено емкостью Таблицы разделов, которая состоит только из четырех записей по 16 байт каждая.

 

Разбиение жесткого диска на разделы осуществляется специальными программами или системными служебными программами. Как правило, такие программы позволяют:

 

создать первичный раздел, содержащий единственный логический диск;

 

создать расширенный раздел и разбить его на произвольное количество логических разделов (дисков);

 

установить активный раздел - раздел, с которого загружается операционная система.

 

После установки операционной системы Windows XP, обратившись к Панели управления (Control Panel), вы можете вызвать административную консоль, инструменты которой (Disk Management) позволят удалить раздел, создать раздел (первичный, расширенный, логический) на свободном (незанятом) пространстве диска, отформатировать раздел.

 

Но изменить структуру разделов с помощью системных средств вы не сможете. Для этого понадобится специализированная программа, такая, как Norton PartitionMagic или Ас-ronis PartitionExpert. В отличие от системных средств, эти программы позволят вам изменить размер раздела или переместить его в другое место диска, сделать невидимым или изменить признак активности, создать копию раздела и выполнить другие операции над разделами без потери данных или каких-либо нарушений работоспособности операционной системы и приложений.

 

7. Классы вредоносных программ: трояны.

 

Трояны бывают трех основных типов:

 

Май Sender - тип Троянов, работающих на основе отправки информации "хозяину". На данный момент это очень распространенный вид Троянов. С помощью такого типа "коней" люди, настроившие их (ну, и автор, конечно же), могут получать по почте аккаунты Интернета, пароли ICQ, почтовые пароли, пароли к ЧАТам, Короче, запустив такую вот 'лапочку" у себя на компе, можно лишиться всего, что так мило и дорого сердцу юзверя:), И это в лучшем случае. В худшем же ты даже не будешь знать о том, что некто (вот гнида!) читает твою почту, входит в Инет через твой ак-каунт (черт! Почему у меня счет ушел в даун?), пользуется твоим UIN'ом ICQ для распространения таких же Троянов пользователям твоего же контакт листа (Маша! Нет! Я не присылал тебе ЭТО!). MailSender никак не зависит от "хозяина", он живет своей жизнью в твоем компе, так как в него все закладывается в момент настройки - Троян все выполняет по плану (послать - поспать, еще послать и т.д.).

 

BackDoor (если переводить дословно - задняя дверь) - тип Трояна, функции которого включают в себя все, на что способен Троян типа Mail Sender, плюс еще десяток-другой функций удаленного администрирования (управления твоего компа с другой машины, например, через Инет). Раньше такси Троян можно было отловить по размеру файла, но сейчас уже нет. Такой Троян ждет соединения со стороны клиента (неотъемлемая часть Всякого трояна, с помощью которой посылаются команды на сервер). Трояны такого типа дают кому угодно полный доступ к твоему компьютеру.Log Writer - это последний тип Тронное (из основных), копирующий всю информацию, вводимую с клавы, и записывающий ее в файл, который впоследствии будет либо отправлен на определенный E-Mail адрес, либо просмотрен через FTP (File Transfer Protocol). В общем-то, есть что-то схожее с Mail Sender'ом.

 

8. Cетевые экраны (firewall). Их назначение.

 

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

 

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

 

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

 

9. Основные аспекты развития вредоносных программ. (Если аспекты = этапы) то может подойдет это я хз.

 

История компьютерных вирусов делится на несколько этапов:

Доисторический. Вирусы-легенды и документально подтверждённые инциденты на «мейнфреймах» 1970-80-х годов.

«До-интернетовский». В основном ему присущи «классические вирусы» для MS-DOS.

Интернет-этап. Многочисленные черви, эпидемии, приводящие к колоссальным убыткам.

Современный, криминальный этап. Использование интернета в преступных целях.

http://www.securelist.com/ru/threats/detect?chapter=34 // посмотришь оно не оно.

 

10. Классы вредоносных программ: вредоносное ПО.

 

Классификация вредоносных программ

 

У каждой компании-разработчика антивирусного программного обеспечения существует собственная корпоративная классификация и номенклатура вредоносных программ.[2] Приведённая в этой статье классификация основана на номенклатуре «Лаборатории Касперского».[3]

 

По вредоносной нагрузке

Создание помех работе компьютера: начиная от открытия-закрытия поддона CD-ROM и заканчивая уничтожением данных и поломкой аппаратного обеспечения. Поломками известен, в частности, Win32.CIH.

Блокировка антивирусных сайтов, антивирусного ПО и административных функций ОС с целью усложнить лечение.

Инсталляция другого вредоносного ПО.

Загрузка из сети (downloader).

Распаковка другой вредоносной программы, уже содержащейся внутри файла (dropper).

Кража, мошенничество, вымогательство и шпионаж за пользователем. Для кражи может применяться сканирование жёсткого диска, регистрация нажатий клавиш (Keylogger) и перенаправление пользователя на поддельные сайты, в точности повторяющие исходные ресурсы.

Похищение данных, представляющих ценность или тайну.

Кража аккаунтов различных служб (электронной почты, мессенджеров, игровых серверов…). Аккаунты применяются для рассылки спама. Также через электронную почту зачастую можно заполучить пароли от других аккаунтов, а виртуальное имущество в MMOG — продать.

Кража аккаунтов платёжных систем.

Блокировка компьютера, шифрование файлов пользователя с целью шантажа и вымогательства денежных средств (см. Ransomware). В большинстве случаев после оплаты компьютер или не разблокируется, или вскоре блокируется второй раз.

Использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах.

Платное ПО, имитирующее, например, антивирус, но ничего полезного не делающее (fraudware или scareware). Также бывали случаи, когда продавали ClamAV под собственным брендом; подчас дороже, чем антивирус Касперского.

Прочая незаконная деятельность:

Получение несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него, в том числе прямое управление компьютером (так называемый backdoor).

Организация на компьютере открытых релеев и общедоступных прокси-серверов.

Заражённый компьютер (в составе ботнета) может быть использован для проведения DDoS-атак.

Сбор адресов электронной почты и распространение спама, в том числе в составе ботнета.

Накрутка электронных голосований, щелчков по рекламным баннерам.

Генерация монет платёжной системы Bitcoin.

Файлы, не являющиеся истинно вредоносными, но в большинстве случаев нежелательные:

Шуточное ПО, делающее какие-либо беспокоящие пользователя вещи.

Adware — программное обеспечение, показывающее рекламу.

Spyware — программное обеспечение, посылающее через интернет не санкционированную пользователем информацию.

«Отравленные» документы, дестабилизирующие ПО, открывающее их (например, архив размером меньше мегабайта может содержать гигабайты данных и надолго «завесить» архиватор).

Программы удалённого администрирования могут применяться как для того, чтобы дистанционно решать проблемы с компьютером, так и для неблаговидных целей.

Руткит нужен, чтобы скрывать другое вредоносное ПО от посторонних глаз.

Иногда вредоносное ПО для собственного «жизнеобеспечения» устанавливает дополнительные утилиты: IRC-клиенты[4], программные маршрутизаторы[5], открытые библиотеки перехвата клавиатуры…[6] Такое ПО вредоносным не является, но из-за того, что за ним часто стоит истинно вредоносная программа, детектируется антивирусами. Бывает даже, что вредоносным является только скрипт из одной строчки, а остальные программы вполне легитимны.[7]

Походу это то что она хочет

По методу размножения

Эксплойт — теоретически безобидный набор данных (например, графический файл или сетевой пакет), некорректно воспринимаемый программой, работающей с такими данными. Здесь вред наносит не сам файл, а неадекватное поведение ПО с ошибкой. Также эксплойтом называют программу для генерации подобных «отравленных» данных.

Логическая бомба в программе срабатывает при определённом условии, и неотделима от полезной программы-носителя.


Дата добавления: 2018-04-15; просмотров: 582; Мы поможем в написании вашей работы!

Поделиться с друзьями:






Мы поможем в написании ваших работ!