Referaty
Anglictina
Biologie
Chemie
Dejepis-Historie
Diplom-Projekt
Ekonomie
Filozofie
Finance
Fyzika
Informatika
Literatura
Management
Marketing
Medicina
Nemcina
Ostatni
Politika
Pravo
Psychologie
Public-relations
Sociologie
Technologie
Zemepis-Geografie
Zivotopisy


  

Téma, Esej na téma, Referátu, Referát, Referaty Semestrální práce:

Počítačové viry - definice, principy činnosti. Nové trendy ve vývoji virů a antivirové ochraně.

Počítačové viry - definice, principy činnosti. Nové trendy ve vývoji virů a antivirové ochraně.

Definice viru - potenciálně vykonatelný kód, který je při svém vykonávání schopný vytvářet další kód. Většinou vytváří svoje kopie, které nemusí být shodné s originálem, zpravidla však vykonávají stejné funkce jako originál. Svoje spuštění virus zabezpečuje parazitem na jiném vykonatelném kódu. Kromě množení může virus vykonávat i jiné činnosti, které většinou uživateli škodí, tím se liší od běžných pgm (formátování disku, záměrně prováděné náhodné změny dat na disku, kmitání obrazu). Viry využívají řady technik, které znesnadňují jejich odhalení, analýzu a likvidaci.

Druhy virů - podle způsobu šíření

Boot - ukládají se do master boot recordu (MBR) pevného disku a do boot sektoru diskety nebo disku. Buď se tam vloží celé tělo viru, nebo pouze příkaz k odskoku na virus. Aktivuje se při zavádění operačního systému z takto napadeného média, včetně zapomenutých disket, které nemusí obsahovat systém! (v setupu je A:,C:)

Programové (souborové) - připojují se k vykonatelným souborům (pgm), které mají příponu COM, EXE, BAT, OVL, OVR, BIN, SYS, APP, DLL nebo je přepisují svým kódem. Aktivují se při spuštění napadeného souboru. Nejčastější akcí viru je rezidentní uložení do paměti a postupné infikování dalších souborů. Dvojího typu – přepisující a prodlužující.

  • Přepisující přepíše část hostitelského kódu, aktivuje se při spuštění zavirovaného souboru. Na disketě s datovými soubory se tento typ viru nemůže vyskytnout. Jsou snadno odhalitelné, neboť zničí hostitelský program (je nefunkční, nebo částečně).

  • Prodlužující se šíří připojením kódu viru k napadenému souboru tak, aby pracoval i nadále. Kód viru může být na začátku, konci, uvnitř nebo rozmístěn po souboru, přičemž na začátek umístí skok na svůj kód.

Doprovodné - pro aktivaci využívají vlastnosti DOSu. Při zadání jména pgm na příkazové řádce bez přípony bude spuštěn soubor s příponou COM před souborem EXE. Proto vir vytváří v adresáři skryté soubory COM se stejným názvem souborů EXE. Další možností je využití pořadí zápisu adresářů v proměnné PATH. Pak může být virový soubor umístěn v jiném adresáři než cílový EXE (nebo COM) - vlevo v PATH.

Clusterové - neprovádějí změny v souborech, ale mění informace v adresářové položce daného souboru tak, že přesměrují ukazatel počátku souboru na kód viru. Tím je před spuštěním souboru aktivován vir. Kód viru je mimo napadený soubor.

Podle umístění v paměti

Rezidentní - schopnost setrvat po první aktivaci (spuštění infikovaného souboru, zavedení systému z nakaženého boot sektoru) rezidentně v operační paměti. Rezidentnost pgm je vlastnost umožňující běh těchto pgm na pozadí OS. Vir je tak schopen zasahovat kdykoliv a jakkoliv do činnosti PC. Většina nejčastěji se vyskytujících virů je rezidentních, všechny bootovací viry jsou také rezidentní. Nově se objevily rezidentní viry pro W95, zaváděné do systému přes systémový registr.

Nerezidentní - viry přímé akce, vždy souborové, po spuštění zavirovaného pgm virus převezme řízení, provede replikaci nebo jinou destruktivní akci a předá řízení hostitelskému pgm, nezůstávají trvale v paměti.

Podle chování, způsobu vzniku a možnosti detekce

Stealth, substealth (utajené, poloutajené) - jsou speciální skupinou rezidentních virů, které se velice důmyslně maskují. Při žádosti pgm (i AV) o zjištění údajů, které by vedly k odhalení, vrátí virus původní údaje. Skrývá např. změnu délky souboru, času a datumu. Monitorují činnost systému a napadají soubory při spouštění, otevírání, kopírování. Vlastnosti stealth viru, které ho činí těžko odhalitelným - falšuje údaje načtené z disku tak, že nejen detekční pgm je dostávají chybné (podstrčení původního obsahu boot sektoru, délky nakažených souborů zmenšené o velikost viru), umí dezinfikovat spouštěný nakažený pgm, když je načítán do paměti. Sub-stealth viry využívají pouze některé výše uvedené techniky. Tyto techniky může využívat souborový i boot sektorový virus.

AV pgm proto používají speciální techniky pro zjištění skutečných údajů o pevném disku a paměti.

Kódované - kódují část svého těla, a tím znesnadňují svou detekci AV pgm, disassemblování vlastních funkcí a umožňují ukrýt text v těle viru. Jestliže je kódování proměnné, mluví se o polymorfním kódování a polymorfních virech.

Polymorfní - charakteristický znak této skupiny je skutečnost, že žádné ze dvou kopií virového těla nejsou stejné. Počátek těla je tvořen u semipolymorfních virů dekódovací rutinou, která provede dekódování zbylé části těla viru v paměti po jeho spuštění. Existují ovšem i plně polymorfní viry, v jejich případě jsou i dekódovací rutiny generovány různými způsoby. Nejnovější generace virů (např. slovenský Running Line) si v paměti dekóduje vždy jen jednu instrukci, takže ho prakticky není možné detekovat. Objevují se také polymorfní makroviry (např. Dictator), které se vyznačují neustálým generováním nových názvů návěští a změnou příkazů. Takový virus lze najít prakticky jen heuristickými metodami detekce.

Hledají se algoritmickými metodami, protože není možné je odhalit za pomoci charakteristických řetězců (signatur) virů. Tyto viry mění svůj kód zakódováním, takže se liší předchozí a nová generace viru. Výjimkou je zpravidla jen dekódovací podprogram, který se nachází na začátku viru. Vir může být kódován i v paměti a kódování může být použito i jako škodící funkce viru (zakódování části disku, která je přístupná pouze je-li virus aktivní v paměti).

Retroviry, odvetné - jsou úmyslně zaměřeny proti známým AV pgm. Aktivní vir může modifikovat kód AV pgm nebo smazat jeho soubory, zastavit jeho činnost, vyřadit z činnosti rezidentní AV pgm.

Vyhýbající se AV pgm - mají v sobě seznam názvů AV pgm jejichž napadení se vyhýbají (na rozdíl od retrovirů). Tím oddalují své odhalení, neboť většina AV pgm si kontroluje integritu.

Specifických aplikací - napadající specifické konkrétní aplikace.

Tunelující - používají přímý vstupní bod (např. porty řadičů disku) pro komunikaci s BIOSem či systémem, a tak obcházejí paměťově rezidentní AV ochrany.

Multipartitní - mají větší naději na přežití nebo se šířit, protože využívají několik technik infekce. Např. infikují soubory i boot sektory. Na druhou stranu se zvětšuje možnost odhalení, protože se vyskytuje na více místech.

Metamorfické (kompilační) - vygenerují do paměti pokaždé nového jedince. Typickým představitelem je slovenský virus TMS.

Makroviry - první zmínka se datuje k roku 1989 v souvislosti s tabulkovým procesorem Lotus1-2-3. Makrovirus je hrozbou ve všech aplikacích podporujících makrojazyk. Makrojazyk je interní soubor instrukcí dané aplikace, vytvořený za účelem efektivnějšího využití pracovního prostředí. Mnoho pgm (kancelářské balíky typu MS Office) nabízí takové možnosti pro tvorbu maker, že lze s jejich pomocí vytvořit i “množivá makra”, které se mohou nepozorovaně šířit stejně jako typický počítačový virus.

Podle rychlosti šíření

Rychlé - aktivní v paměti napadají všechny pgm, které jsou otevřeny. Jestliže není vir odhalen v paměti, může pak prohledáváním disku (použitím AV pgm) být zavirován celý PC.

Pomalé - množí se pozvolna a nenápadně a tím snižují možnost odhalení. Záměrně odkládají svou reprodukci až když pgm modifikuje, kopíruje soubory.

Viry “vzácně” napadající - Napadají soubory po splnění jistých podmínek (určité datum, délka, každý desátý soubor, vyhýbání se některým souborům podle názvu).

Projevy virů

Vnější (mohou upozornit uživatele na přítomnost viru) - zpomalení zavedení pgm do paměti a snížení výkonu počítače, zmenšování volného prostoru na pevném disku a systémové paměti, změna atributů infikovaných souborů, poruchy pgm, různá hlášení na obrazovce a další speciální projevy, pokus o zápis na chráněnou disketu, hlášení souborů o modifikaci, nečekané bootování, změny jmen souborů, výskyt nových souborů.

Vnitřní (souvisí s jejich uložením, šířením, destruktivní činností, aktivací atd.) - kód viru v operační paměti nebo na disku, změna systémových částí disku (MBR, boot sektor), vektorů přerušení, změny ve spustitelných souborech, poškození datových souborů a zkřížené clustery (záměrné postupné poškozování FAT tabulky) nebo výskyt vadných clusterů na disku (virus se může skrývat v neporušených oblastech disku, které si označí jako vadné.

Další škodlivé programy

Červ - pgm, který neinfikuje spustitelné soubory, jak je tomu v případě virů, ale infikuje systémy tím způsobem, že pomocí počítačové sítě rozšiřuje svoje kopie na připojené PC. To způsobuje problémy se zatížením sítě a zahlcením diskového prostoru připojených počítačových stanic. Nejznámější červ je Velký internetovský červ, který dokázal během dvou dnů zasáhnout asi 6000 unixovských pracovních stanic.

Trojský kůň - pgm provádějící nějakou nedokumentovanou činnost, o které uživatel neví a nemůže ji ovlivnit. Uživatel očekává od pgm běžné funkce, např. nainstaluje novou verzi pgm pro elektronickou poštu. Trojský kůň neobsahuje žádnou replikační rutinu, je prostě připojen k pgm a před jeho spuštěním vykoná většinou destrukční akci.

Bomby logické - aktivačním symptomem může být např. změna obsahu určitého souboru, např. odstranění copyrightu z hlavičky pgm, či definovaná vstupní datová sekvence pgm.

Bomby časované - jsou logické bomby, jejichž rozbuška je nastavena na datum případně čas. Jsou známy případy, kdy programátoři opouštějící firmu tímto způsobem načasovali zničení firemních databází.

Části viru

Reprodukční - zajišťuje šíření viru bez vědomí uživatele, reprodukce je u řady virů spojena i se změnou zápisu programového kódu. Součástí reprodukce u souborových virů bývá označování napadených souborů tak, aby soubor nebyl stejným virem napaden znovu.

Analytická - může provádět analýzu činnosti systému (kopírování a spouštění souborů, aktivní AV pgm v paměti) nebo analýzu pgm na disku (výběr pgm pro napadení). Na základě výsledků analýzy provádí virus reprodukci, maskování, napadení AV pgm atd.

Akční (destruktivní, manipulační) - provedení škodlivé činnosti i jiné projevy např. zvukové. Postupná úprava dat na disku, přeformátování disku, smazání souborů. Může být spouštěna průběžně, periodicky nebo jednorázově.

Spouštěcí mechanismus - aktivování akční části v závislosti na vyhodnocení různých faktorů (výskyt určité kombinace kláves, datum a čas, určitá doba od napadení PC, spuštění aplikace, dosažení počtu infikovaných souborů).

Maskovací - maskování statické a dynamické. Statické souvisí s reprodukcí (mutační mechanismy, oddělené ukládání virového kódu). Dynamické maskování může být prováděno v případě, že je virus aktivní v paměti. Virus monitoruje tok informací v systému a informace mění tak, že disk nebo soubory, které nejsou obohaceny o kód viru resp. jsou zastřeny škody v datech (přehozená data, k´dování částí disku), vir může například skrývat i skutečný obsah disku nebo operační paměti.

Šíření viru na lokální počítač:

  • vnější paměti - pomocí disket, výměnných pevných disků (Bernoulli), magnetických pásek (streamer), magnetooptických disků, méně často i disky CDROM, WROM, RAM kartami

  • komunikační linky - viry se mohou přenášet lokální i globální počítačovou sítí, telefonními linkami, sériovou nebo paralelní linkou, i přes družicové vysílání.

Šíření viru na počítačové síti:

  • přenos ze serveru na podřízené PC v případě nakažení spustitelných souborů na serveru je jednoduchý - spuštění nakaženého pgm uloženého na serveru

  • přenos z podřízeného PC na server (spustitelné soubory serveru) je obtížný při dobré ochraně spustitelných pgm na serveru 15813inl24rnd5r

  • přenos mezi podřízenými PC - výměna nakaženého souboru přes společný adresář na síti (tyto adresáře s právem zápisu je vhodné vůbec nevytvářet), nebo pomocí e-mailu

Zdroje šíření virů - diskety s nelegálně zkopírovanými pgm, diskety formátované na nakaženém PC, záložní instalační diskety, diskety s datovými soubory, disketa s legálně zakoupeným SW, diskety kolující mezi studenty, bootovací diskety na učebnách, stanice BBS, pevný disk s nainstalovaným SW, instalace nového HW, rozbalení zkomprimovaných souborů, obnova zrušených souborů, záměrné zavirování.

Trendy vývoje - propojování PC do celosvětové sítě, růst velikosti paměťových médií, obtížné prokazování autorství viru.Tvůrci AV pgm jsou vždy o krok pozadu za tvůrci virů.

Trendy vývoje virů

  • Exponenciální tempo tvorby nových virů, roste kvalita, přenositelnost a všestrannost virů, nové generace virů a používání vyšších programovacích prostředků pro tvorbu virů (makroviry), zvyšování organizovanosti tvůrců virů.

  • vytvoření pgm (mutátor pgm a virů), který změní libovolný stávající pgm (virus) vložením nových instrukcí nebo záměnou instrukcí v pgm (např. vložení škodlivé instrukce)

  • budou se ve větší míře objevovat cílené útoky virů proti AV pgm (odstraňování kontrolních součtů u souborů, poškození, rozvoj stealth technik, náhrada datových souborů pro scanner, odstranění rezidentního AV pgm z paměti nn813i5124rnnd

  • objeví se řada metod pro oklamání AV pgm - ztížení přesné identifikace viru, soustředění tvůrců virů na sítě.

Trendy vývoje antivirové ochrany

  • Poroste vzdělanost a ukázněnost uživatelů. Přechod na bezpečnější OS. Zabudování AV ochrany do OS a APV. Vývoj AV pgm proti neznámým virům.

  • Zabudování AV ochrany do OS (založených na Javě) a APV, zabudování mnohoúrovňového přístupu uživatelů, zabudování systému ochrany dat, bezpečnější způsob uložení dat.

  • Růst kvality AV pgm (Heuristická analýza).

  • AV pgm budou umět vyhledat a odstranit neznámé viry.

  • Užší kooperace a integrace do OS.

  • Do většiny pgm bude zabudována již tvůrcem pgm kontrola neporušenosti.

  • AV pgm budou vybaveny vedle heuristické analýzy i umělou inteligencí schopnou analyzovat a likvidovat i neznámé viry

  • úprava legislativy pro postih za tvorbu a šíření virů