Общий алгоритм обнаружения вируса
При анализе алгоритма вируса необходимо выяснить:
· способ(ы) размножения вируса;
· характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках;
· метод лечения оперативной памяти и зараженных файлов (секторов).
При анализе файлового вируса необходимо выяснить, какие файлы (COM, EXE, SYS) поражаются вирусом, в какое место (места) в файле записывается код вируса - в начало, конец или середину файла, в каком объеме возможно восстановление файла (полностью или частично), в каком месте вирус хранит восстанавливаемую информацию.
При анализе загрузочного вируса основной задачей является выяснение адреса (адресов) сектора, в котором вирус сохраняет первоначальный загрузочный сектор.
Для резидентного вируса требуется также выделить участок кода, создающий резидентную копию вируса. Необходимо также определить, каким образом и где в оперативной памяти вирус выделяет место для своей резидентной копии.
Для анализа макровирусов необходимо получить текст их макросов. Для нешифрованных ("не-стелс") вирусов это достигается при помощи меню Сервис/Макрос. Если же вирус шифрует свои макросы или использует "стелс"-приемы, то необходимо воспользоваться специальными утилитами просмотра макросов. Такие специализированные утилиты есть практически у каждой фирмы-производителя антивирусов, однако, они являются утилитами "внутреннего пользования" и не распространяются за пределы фирм.
В любом случае, если есть возможность, правильнее всего передавать зараженные файлы специалистам антивирусных лабораторий.
Выводы по теме
1. Некоторые загрузочные вирусы практически сразу можно обнаружить по наличию различных текстовых строк выводимых на экран при активизации вируса.
2. Отсутствие или изменение строки-заголовка boot-сектора (строка, название фирмы-производителя программного обеспечения) также может служить сигналом о заражении вирусом.
3. Если в компьютере обнаружены следы деятельности вируса, но видимых изменений в файлах и системных секторах дисков не наблюдается, то вполне возможно, что компьютер поражен одним из "стелс"-вирусов.
4. Обнаружить резидентный Windows-вирус можно, если загрузить DOS и проверить запускаемые файлы Windows.
5. Для проверки системы на предмет наличия вируса можно использовать пункт меню Сервис/макрос, если обнаружены неизвестные макросы, то они могут принадлежать вирусу.
6. Сигналом о вирусе являются и изменения в файлах и системной конфигурации Word, Excel и Windows.
7. При анализе алгоритма вируса необходимо выяснить: способ(ы) размножения вируса, характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках, метод лечения оперативной памяти и зараженных файлов (секторов).
Вопросы для самоконтроля
1. Как обнаружить загрузочный вирус?
2. Как обнаружить резидентный вирус?
3. Характерные черты макровируса.
4. Как проверить систему на наличие макровируса?
5. Является ли наличие скрытых листов в Excel признаком заражения макровирусом?
6. Перечислите основные этапы алгоритма обнаружения вируса.
Ссылки на дополнительные материалы (печатные и электронные ре-сурсы)
Основные:
1. Касперский Е. Компьютерные вирусы в MS-DOS. – М.: Эдель, 1992.
2. Касперский Е. Компьютерные вирусы, 2003. – Электронная энциклопедия. – Режим доступа к энциклопедии: www.viruslist.com/viruslistbooks.html.
3. Щербаков А. Ю. Введение в теорию и практику компьютерной безо-пасности. – М.: Издательство Молгачева С. В., 2001.
4. Фролов А. В., Фролов Г. В. Осторожно: компьютерные вирусы. – М.: ДИАЛОГ-МИФИ, 1996.
5. Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ. РУ, 2003.
6. www.jetinfo.ru.
Раздел 3. Информационная безопасность вычислительных сетей
Тема 3.1. Особенности обеспечения информационной безопасности в компьютерных сетях
Введение
Цели изучения темы
· изучить особенности обеспечения информационной безопасности в компьютерных сетях и специфику средств защиты компьютерных сетей.
Требования к знаниям и умениям
Студент должен знать:
· особенности обеспечения информационной безопасности компьютерных сетей;
· основные цели информационной безопасности компьютерных сетей;
· специфику методов и средств защиты компьютерных сетей.
План изложения материала
1. Особенности информационной безопасности в компьютерных сетях.
2. Специфика средств защиты в компьютерных сетях.
Ключевой термин
Ключевой термин: информационная безопасность компьютерной сети.
Особенности обеспечения информационной безопасности компьютерной сети заключаются в том, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений и программно при помощи механизма сообщений.
Второстепенные термины
· удаленная угроза;
· средства защиты компьютерных сетей.
Структурная схема терминов
В этой теме рассмотрим ситуации, с которыми может столкнуться пользователь в том случае, если он подозревает, что его компьютер поражен вирусом, но ни одна из известных антивирусных программ не дает положительного результата.