Cетевые экраны (firewall). Их назначение
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.
9. Основные аспекты развития вредоносных программ. (Если аспекты = этапы) то может подойдет это я хз.
История компьютерных вирусов делится на несколько этапов:
Доисторический. Вирусы-легенды и документально подтверждённые инциденты на «мейнфреймах» 1970-80-х годов.
«До-интернетовский». В основном ему присущи «классические вирусы» для MS-DOS.
Интернет-этап. Многочисленные черви, эпидемии, приводящие к колоссальным убыткам.
Современный, криминальный этап. Использование интернета в преступных целях.
http://www.securelist.com/ru/threats/detect?chapter=34 // посмотришь оно не оно.
10. Классы вредоносных программ: вредоносное ПО.
Классификация вредоносных программ
У каждой компании-разработчика антивирусного программного обеспечения существует собственная корпоративная классификация и номенклатура вредоносных программ.Приведённая в этой статье классификация основана на номенклатуре «Лаборатории Касперского».
По вредоносной нагрузке
Создание помех работе компьютера: начиная от открытия-закрытия поддона CD-ROM и заканчивая уничтожением данных и поломкой аппаратного обеспечения. Поломками известен, в частности, Win32.CIH.
Блокировка антивирусных сайтов, антивирусного ПО и административных функций ОС с целью усложнить лечение.
Инсталляция другого вредоносного ПО.
Загрузка из сети (downloader).
Распаковка другой вредоносной программы, уже содержащейся внутри файла (dropper).
Кража, мошенничество, вымогательство и шпионаж за пользователем. Для кражи может применяться сканирование жёсткого диска, регистрация нажатий клавиш (Keylogger) и перенаправление пользователя на поддельные сайты, в точности повторяющие исходные ресурсы.
Похищение данных, представляющих ценность или тайну.
Кража аккаунтов различных служб (электронной почты, мессенджеров, игровых серверов…). Аккаунты применяются для рассылки спама. Также через электронную почту зачастую можно заполучить пароли от других аккаунтов, а виртуальное имущество в MMOG — продать.
Кража аккаунтов платёжных систем.
Блокировка компьютера, шифрование файлов пользователя с целью шантажа и вымогательства денежных средств (см. Ransomware). В большинстве случаев после оплаты компьютер или не разблокируется, или вскоре блокируется второй раз.
Использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах.
Платное ПО, имитирующее, например, антивирус, но ничего полезного не делающее (fraudware или scareware). Также бывали случаи, когда продавали ClamAV под собственным брендом; подчас дороже, чем антивирус Касперского.
Прочая незаконная деятельность:
Получение несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него, в том числе прямое управление компьютером (так называемый backdoor).
Организация на компьютере открытых релеев и общедоступных прокси-серверов.
Заражённый компьютер (в составе ботнета) может быть использован для проведения DDoS-атак.
Сбор адресов электронной почты и распространение спама, в том числе в составе ботнета.
Накрутка электронных голосований, щелчков по рекламным баннерам.
Генерация монет платёжной системы Bitcoin.
Файлы, не являющиеся истинно вредоносными, но в большинстве случаев нежелательные:
Шуточное ПО, делающее какие-либо беспокоящие пользователя вещи.
Adware — программное обеспечение, показывающее рекламу.
Spyware — программное обеспечение, посылающее через интернет не санкционированную пользователем информацию.
«Отравленные» документы, дестабилизирующие ПО, открывающее их (например, архив размером меньше мегабайта может содержать гигабайты данных и надолго «завесить» архиватор).
Программы удалённого администрирования могут применяться как для того, чтобы дистанционно решать проблемы с компьютером, так и для неблаговидных целей.
Руткит нужен, чтобы скрывать другое вредоносное ПО от посторонних глаз.
Иногда вредоносное ПО для собственного «жизнеобеспечения» устанавливает дополнительные утилиты: IRC-клиенты[4], программные маршрутизаторы[5], открытые библиотеки перехвата клавиатуры…[6] Такое ПО вредоносным не является, но из-за того, что за ним часто стоит истинно вредоносная программа, детектируется антивирусами. Бывает даже, что вредоносным является только скрипт из одной строчки, а остальные программы вполне легитимны.[7]
Походу это то что она хочет
По методу размножения
Эксплойт — теоретически безобидный набор данных (например, графический файл или сетевой пакет), некорректно воспринимаемый программой, работающей с такими данными. Здесь вред наносит не сам файл, а неадекватное поведение ПО с ошибкой. Также эксплойтом называют программу для генерации подобных «отравленных» данных.
Логическая бомба в программе срабатывает при определённом условии, и неотделима от полезной программы-носителя.
Троянская программа не имеет собственного механизма размножения.
Компьютерный вирус размножается в пределах компьютера и через сменные диски. Размножение через сеть возможно, если пользователь сам выложит заражённый файл в сеть. Вирусы, в свою очередь, делятся по типу заражаемых файлов (файловые, загрузочные, макро-, автозапускающиеся); по способу прикрепления к файлам (паразитирующие, «спутники» и перезаписывающие) и т. д.
Сетевой червь способен самостоятельно размножаться по сети. Делятся на IRC-, почтовые, размножающиеся с помощью эксплойтов и т. д.
Вредоносное ПО может образовывать цепочки: например, с помощью эксплойта (1) на компьютере жертвы развёртывается загрузчик (2), устанавливающий из интернета червя (3).
11. Этапы развития антивирусного ПО. // не знаю!!!
12. Методы обнаружения вредоносных программ: проактивная защита.
Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.
Это походу методы
Эвристический анализ
Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО.
Эмуляция кода
Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.
Анализ поведения
Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).
Sandboxing (Песочница) – ограничение привилегий выполнения
Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде – собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.
Виртуализация рабочего окружения
Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, т.к. доступ на чтение к жесткому диску не запрещен.