Отказоустойчивость операционных систем

Отказоустойчивость — способность операционной системы восстанавливать свою работоспособность после сбоев как программного, так и аппаратного характера.

В идеале пользователь вообще не должен наблюдать никаких негативных последствий сбоев в работе операционной системы. Сбои программного характера могут возникать по различным причинам: например, вирусная атака, неосторожное обращение с системными файлами, конфликт драйверов устройств и многое другое. Аппаратные сбои могут возникать по причине несоблюдения условий эксплуатации оборудования, из-за некорректного монтажа плат на системную плату.

Для каждой категории причин возникновения программных сбоев существуют методы их предотвращения. Часть методов включается в руководства по операционным системам в виде обязательных рекомендаций. Например, в руководстве по любой операционной системе перечисляются файлы и папки, удаление которых приведет к серьезным нарушениям в работе операционной системы. Большая же часть методов реализуется в виде специализированных программных комплексов. Например, средства защиты от вирусных и сетевых атак, механизмы блокирования доступа к системным файлам, механизмы сохранения состояния системы.

К сожалению, не существует настолько же надежных методов предотвращения аппаратных сбоев, как в случае с программными сбоями. Если в случае вирусной атаки операционную систему можно восстановить с заранее сохраненного образа системы, то в случае замены какого-либо компонента может потребоваться переустановка операционной системы. А если выйдет из строя носитель данных, то можно потерять важную информацию. Зачастую невозможно даже предугадать возникновение аппаратного сбоя и его последствия, в то время как программные сбои сравнительно легко прогнозируются и предотвращаются. Для того чтобы не возникали аппаратные сбои, необходимо соблюдать условия эксплуатации аппаратных компонентов компьютера. К примеру, попытка разбора жесткого диска приведет к необратимым повреждениям и гарантированной утрате информации.

Любая операционная система содержит программы, предотвращающие большинство стандартных сбоев, в том числе и средства мониторинга состояния аппаратных компонентов, но для предотвращения сбоев, возникающих по причине намеренных действий пользователей, необходимо устанавливать дополнительное программное обеспечение. Например, для отражения сетевых атак необходимо наличие в системе сетевого экрана, а для защиты от вирусных воздействий — комплекс антивирусной защиты.

Какие программы могут входить в поставку операционной системы для обеспечения ее отказоустойчивости?

 

Глава 3

Введение в компьютерную вирусологию

· Что такое компьютерный вирус, какими свойствами он обладает.

· Основные виды вирусов и схемы их функционирования.

· Пути проникновения вирусов в компьютер, признаки вирусного заражения компьютера.

· Как своевременно обнаружить вирус и предпринять меры по защите.

· Меры антивирусной профилактики.

· Назначение и порядок использования антивирусных программ.

Практическая работа на персональном компьютере с прикладными программами и реальные ситуации в компьютере часто требуют от вас умения охранять в целостности информацию, защищать ее от возможных разрушений, вызванных дефектами магнитных дисков, сбоями в работе компьютера, воздействиями программных вирусов или лично вашими ошибками.

К сожалению, сегодня массовое применение персональных компьютеров, использование сети Интернет оказалось связанным с появлением программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.

Компьютерные вирусы и их свойства

Прежде всего компьютерный вирус - это программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов.

Вирус не может существовать в «полной изоляции»: нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управление.

Компьютерный вирус - специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе компьютера.

В настоящее время известны тысячи компьютерных вирусов, их можно классифицировать по следующим признакам:

· среде обитания;

· способу заражения среды обитания;

· воздействию;

· особенностям алгоритма.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения СОМ и ЕХЕ. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

· неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

· опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;

· очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные, или троянские программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Основные виды вирусов и схемы их функционирования

Загрузочные вирусы

Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего съемные носители. Мы сознательно обойдем все многочисленные тонкости, которые неизбежно встретились бы при строгом разборе алгоритма его функционирования.

Что происходит, когда вы включаете компьютер? Первым делом управление передается программе начальной загрузки (ПНЗ), которая хранится в постоянно запоминающем устройстве (ПЗУ).

Эта программа тестирует оборудование и при успешном завершении проверок пытается найти съемные носители: Все съемные носители размечены на секторы и дорожки. Секторы объединяются в кластеры, но это для нас несущественно. Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные).

Среди служебных секторов нас пока интересует один - сектор начальной загрузки (boot-sector). В секторе начальной загрузки хранится информация о съемном носителеле - количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки, которая должна загрузить саму операционную систему и передать ей управление.

Таким образом, нормальная схема начальной загрузки следующая:

ПНЗ (ПЗУ) ® ПНЗ (диск) ® СИСТЕМА

Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части - голову и хвост. Хвост, вообще говоря, может быть пустым. Пусть у вас имеются чистый съемный носитель и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в компьютере появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженный съемный носитель, он приступает к заражению. Заражая съемный носитель, вирус производит следующие действия:

· выделяет некоторую область диска и помечает ее как недоступную операционной системе. Это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad);

· копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор;

· замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой;

· организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору.

В цепочке ПНЗ (ПЗУ) ® ПНЗ (диск) ® СИСТЕМА появляется новое звено: ПНЗ (ПЗУ) ® ВИРУС ® ПНЗ (диск) ® СИСТЕМА.

Поэтому никогда не оставляйте (случайно) съемные носители в компьютере.

Мы рассмотрели схему функционирования простого бутового вируса, живущего в загрузочных секторах съемных носителей. Как правило, вирусы способны заражать не только загрузочные сектора съемного носителя, но и загрузочные сектора винчестеров. При этом в отличие от съемных носителей на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление.

При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record - главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных съемных носителях, а соответствующие загрузочные сектора отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки в boot-секторе загрузочного диска.

Файловые вирусы

Рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину» (хотя еще неизвестно, кто в такой ситуации хозяин).

Какие же действия выполняет вирус? Он ищет новый объект для заражения - подходящий по типу файл, который еще не заражен (в том случае, если вирус «приличный», а то попадаются такие, что заражают сразу, ничего не проверяя). Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции - размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от фантазии автора вируса.

Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла.

Заражая исполняемый файл, вирус всегда изменяет его код -следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения: он не всегда изменяет длину файла, может не менять начало файла.

Наконец, к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код. Рассмотрим в качестве примера схему функционирования вирусов известного семейства DIR-II. Нельзя не признать, что, появившись в 1991 г., эти вирусы стали причиной настоящей компьютерной эпидемии в России. Рассмотрим модель, на которой ясно видна основная идея вируса. Информация о файлах хранится в каталогах. Каждая запись каталога включает в себя имя файла, дату и время создания, некоторую дополнительную информацию, номер первого кластера файла и так называемые резервные байты.

При запуске исполняемых файлов система считывает из записи в каталоге первый кластер файла и далее все остальные кластеры. Вирусы семейства DIR-II производят следующую «реорганизацию» файловой системы: сам вирус записывается в некоторые свободные секторы диска, которые он помечает как сбойные. Кроме того, он сохраняет информацию о первых кластерах исполняемых файлов в резервных битах, а на место этой информации записывает ссылки на себя.

Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу. Действие вируса приводит к «размножению» на винчестере секторов, помеченных как сбойные.

Загрузочно-файловые вирусы

Типичным представителем таких вирусов является «популярный» загрузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом.

Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию. Наиболее радикальное действие - просто переписать новый здоровый MBR.

Полиморфные вирусы

Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите. Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: защита от расшифровки. Имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.

Пути проникновения вирусов в компьютер

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы со съемного носителя, содержащей вирус. Такое заражение может быть и случайным, например, если съемный носитель не вынули из компьютера: и перезагрузили компьютер, при этом съемный носитель может быть и не системной. Заразить съемный носитель гораздо проще. На нее вирус может попасть, даже если съемный носитель просто вставили в зараженный компьютер и, например, прочитали ее оглавление.

Примечание. Чтобы исключить заражение съемного носителя компьютерным вирусом, запретите запись.

Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус прежде всего переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, ВАТ. Крайне редко заражаются текстовые файлы.

После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания и, наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

· прекращение работы или неправильная работа ранее успешно функционировавших программ;

· медленная работа компьютера;

· невозможность загрузки операционной системы;

· исчезновение файлов и каталогов или искажение их содержимого;

· изменение даты и времени модификации файлов;

· изменение размеров файлов;

· неожиданное значительное увеличение количества файлов на диске;

· существенное уменьшение размера свободной оперативной памяти;

· вывод на экран непредусмотренных сообщений или изображений;

· подача непредусмотренных звуковых сигналов;

· частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Обнаружение вирусов и меры по защите и профилактике

Итак, некий вирусописатель создает вирус и запускает его в «жизнь». Некоторое время он, возможно, погуляет вволю, но рано или поздно кто-то заподозрит что-нибудь неладное. Как правило, вирусы обнаруживают обычные пользователи, которые замечают те или иные аномалии в поведении компьютера. Они в большинстве случаев не способны самостоятельно справиться с заразой, но этого от них и не требуется. Необходимо лишь, чтобы как можно скорее вирус попал в руки специалистов. Профессионалы будут его изучать, выяснять, «что он делает», «как он делает», «когда он делает» и т.п. В процессе такой работы собирается вся необходимая информация о данном вирусе, в частности, выделяется сигнатура вируса - последовательность байтов, которая вполне определенно его характеризует. Для построения сигнатуры обычно берутся наиболее важные и характерные участки кода вируса. Одновременно становятся ясны механизмы работы вируса, например, в случае загрузочного вируса важно знать, где он прячет свой хвост, где находится оригинальный загрузочный сектор, а в случае файлового - способ заражения файла. Полученная информация позволяет выяснить:

· как обнаружить вирус, для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки – файлах и/или загрузочных секторах;

· как обезвредить вирус, если это возможно, разрабатываются алгоритмы удаления вирусного кода из пораженных объектов.

АНТИВИРУСНЫЕ ПРОГРАММЫ

Для обнаружения и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать компьютерные вирусы. Такие программы называются антивирусными. Практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов. Антивирусные программы используют различные методы обнаружения вирусов.

К основным методам обнаружения компьютерных вирусов можно отнести следующие:

- метод сравнения с эталоном;

- эвристический анализ;

- антивирусный мониторинг;

- метод обнаружения изменений;

- встраивание антивирусов в BIOS компьютера и др.

Метод сравнения с эталоном. Самый простой метод обнаружения заключается в том, что для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Антивирусная программа последовательно просматривает (сканирует) проверяемые файлы в поиске масок известных вирусов. Антивирусные сканеры способны найти только уже известные вирусы, для которых определена маска. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Применение простых сканеров не защищает компьютер от проникновения новых вирусов. Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить маску, поэтому антивирусные сканеры их не обнаруживают.

Эвристический анализ. Для того чтобы размножаться, компьютерный вирус должен совершать какие-то конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (который является частью антивирусного ядра) содержит список таких действий и проверяет программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполняемый файл программы. Обнаружив зараженный файл, анализатор обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек антивирус может также направлять сообщение об обнаруженном вирусе администратору сети. Эвристический анализ позволяет обнаруживать неизвестные ранее вирусы. Первый эвристический анализатор появился в начале 90-х годов прошлого века. Практически все современные антивирусные программы реализуют собственные методы эвристического анализа. В качестве примера такой программы можно указать сканер McAffee VirusScan.

Антивирусный мониторинг. Суть данного метода состоит в том, что в памяти компьютера постоянно находится антивирусная программа, осуществляющая мониторинг всех подозрительных действий, выполняемых другими программами. Антивирусный мониторинг позволяет проверять все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты либо компакт-диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие. Пример такой программы - сторож Spider Guard, который входит в комплект сканера Dr. Web и выполняет функции антивирусного монитора.

Метод обнаружения изменений. При реализации метода обнаружения изменений антивирусные программы, называемые ревизорами диска, запоминают предварительно характеристики всех областей диска, которые могут подвергнуться нападению, а затем периодически проверяют их. Заражая компьютер, вирус изменяет содержимое жесткого диска: например, дописывает свой код в файл программы или документа, добавляет вызов программы-вируса в файл AUTOEXEC.BAT, изменяет загрузочный сектор, создает файл-спутник. При сопоставлении значений характеристик областей диска антивирусная программа может обнаружить изменения, сделанные как известным, так и неизвестным вирусом.

Встраивание антивирусов в BIOS компьютера. В системные платы компьютеров тоже встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо программа пытается изменить содержимое загрузочных секторов, срабатывает защита и пользователь получает соответствующее предупреждение. Однако эта защита не очень надежна. Известны вирусы, которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.

Виды антивирусных программ

Различают следующие виды антивирусных программ:

- программы-фаги (сканеры);

- программы-ревизоры (CRC-сканеры);

- программы-блокировщики;

- программы-иммунизаторы.

Самыми популярными и эффективными антивирусными программами являются программы-фаги (антивирусные сканеры). На втором месте по эффективности и популярности находятся программы-ревизоры (CRC-сканеры). Обычно оба указанных вида программ объединяют в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

Программы-фаги (сканеры) используют для обнаружения вирусов метод сравнения с эталоном, метод эвристического анализа и некоторые другие методы.

Программы-фаги осуществляют поиск характерной для конкретного вируса маски путем сканирования содержимого оперативной памяти и файлов и при обнаружении выдают соответствующее сообщение. Программы-фаги не только находят зараженные вирусами файлы, но и лечат их, то есть удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы программы-фаги сканируют оперативную память, обнаруживают вирусы и уничтожают их и только затем переходят к лечению файлов. Среди фагов выделяют полифаги, то есть программы-фаги, предназначенные для поиска и уничтожения большого количества вирусов.

Программы-фаги можно разделить на две категории: универсальные и специализированные сканеры. Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов. Специализированные сканеры, рассчитанные только на макровирусы, оказываются более удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Программы-фаги делятся также на резидентные мониторы, производящие сканирование «на лету», и нерезидентные сканеры, обеспечивающие проверку системы только по запросу. Резидентные мониторы обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам программ-фагов всех типов относится их универсальность. К недостаткам программ-фагов следует отнести относительно небольшую скорость поиска вирусов и относительно большие размеры антивирусных баз.

Наиболее известные из программ-фагов: Aidstest, Scan, Norton AntiVirus, Dr. Web. Учитывая, что постоянно появляются новые вирусы, программы-фаги быстро устаревают и требуется регулярное обновление версий.

Программы-ревизоры (CRC-сканеры) используют для поиска вирусов метод обнаружения изменений. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов/системных секторов. Затем в базе данных антивируса сохраняются эти CRC- суммы, а также некоторая другая информация: длины файлов, даты их последней модификации и другие параметры. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. Как правило, сравнение состояний производят сразу после загрузки операционной системы.

CRC-сканеры, использующие антистелс-алгоритмы, являются довольно мощным средством против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у CRC- сканеров имеется недостаток, заметно снижающий их эффективность. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии или распаковываемых из архива), поскольку в их базах данных отсутствует информация об этих файлах.

Программы-блокировщики реализуют метод антивирусного мониторинга. Антивирусные блокировщики - это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным ситуациям относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные сектора дисков или MBR жесткого диска, попытки программ остаться в памяти резидентно и т.п., то есть вызовы, которые характерны для вирусов в моменты их размножения.

При попытке какой-либо программы произвести указанные действия блокировщик посылает пользователю сообщение и предлагает запретить соответствующее действие. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что бывает особенно полезно в случаях, когда регулярно появляется давно известный вирус. Однако они не лечат файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам блокировщиков можно отнести существование путей обхода их защиты и их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла).

Следует отметить, что созданы антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера. Наиболее распространенной является встроенная в BIOS защита от записи в MBR жесткого диска.

Программы-иммунизаторы - это программы, предотвращающие заражение файлов. Иммунизаторы делятся на два типа: сообщающие о заражении и блокирующие заражение каким-либо типом вируса. Иммунизаторы первого типа обычно записываются в конец файлов и при запуске файла каждый раз проверяют его на изменение. У таких иммунизаторов имеется один серьезный недостаток: они не могут обнаружить заражение стелс-вирусом. Поэтому этот тип иммунизаторов практически не используется в настоящее время.

Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Этот иммунизатор модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов. Однако подобные иммунизаторы могут в качестве полумеры вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.

Критерии качества антивирусной программы

Качество антивирусной программы можно оценить по нескольким критериям. Эти критерии, перечисленные в порядке убывания их важности, следующие:

- надежность и удобство работы - отсутствие «зависаний» антивируса и прочих

технических проблем, требующих от пользователя специальной подготовки;

- качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц (MS Word, Excel и других приложений из пакета Office), архивированных файлов. Возможность лечения заражен ных объектов;

- существование версий антивируса под все популярные платформы (DOS, Windows, Novell NetWare, OS/2, Alpha, Linux и т.д.); наличие режимов сканирования по запросу и сканирования «на лету», существование серверных версий с возможностью администрирования сети;

- скорость работы и другие полезные особенности.

Надежность работы антивируса является наиболее важным критерием, поскольку даже идеальный антивирус может оказаться бесполезным, если он будет не в состоянии довести процесс сканирования до конца, то есть «повиснет» и не проверит часть дисков и файлов и в результате вирус останется незамеченным в системе.

Качество обнаружения вирусов стоит на следующем месте по вполне естественной причине. Главная обязанность антивирусных программ - обнаруживать 100% вирусов и лечить их. При этом антивирусная программа не должна иметь высокий уровень ложных срабатываний.

Следующим по важности критерием является многоплатформенность антивируса, поскольку только программа, рассчитанная на конкретную операционную систему, может полностью использовать функции этой системы. Достаточно важным свойством антивируса является также возможность проверки файлов «на лету». Моментальная и принудительная проверка приходящих на компьютер файлов и вставляемых дискет является практически 100-процентной гарантией от заражения вирусом. Если в серверном варианте антивируса присутствуют возможность антивирусного администрирования сети, то его ценность еще более возрастает.

Скорость работы также является важным критерием качества антивирусной программы. В разных антивирусах используются различные алгоритмы поиска вирусов, один алгоритм может оказаться более быстрым и качественным, другой - медленным и менее качественным.

Профилактические меры защиты

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры. Абсолютно надежных программ, гарантирующих обнаружение и уничтожение любого вируса, не существует. Важным методом борьбы с компьютерными вирусами является своевременная профилактика.

У каждого типа антивирусных программ есть свои достоинства и недостатки. Только комплексное использование нескольких типов антивирусных программ может привести к приемлемому результату. Программные средства защиты информации представляют собой комплекс алгоритмов и программ специального и общего обеспечения функционирования компьютеров и вычислительных сетей, нацеленных на контроль, разграничение доступа и исключение проникновения несанкционированной информации. Это наиболее распространенные методы защиты информации. Они обладают универсальностью, простотой реализации, гибкостью, адаптивностью и др.

АНТИВИРУСНЫЕ ПРОГРАММНЫЕ КОМПЛЕКСЫ

Существует целый спектр программных комплексов, предназначенных для профилактики заражения вирусом, обнаружения и уничтожения вирусов.

Антивирус Касперского (AVP) Personal. Этот российский антивирусный пакет - один из лидеров антивирусной индустрии.

В состав пакета входят: поведенческий блокиратор Office Guard - обеспечивает 100-процентную защиту от макровирусов; ревизор Inspector - отслеживает все изменения, происходящие на компьютере, и при обнаружении вирусной активности позволяет восстановить оригинальное содержимое диска и удалить вредоносные коды; фоновый перехватчик вирусов Monitor - постоянно присутствует в памяти компьютера и проводит антивирусную проверку всех файлов в момент их запуска, создания или копирования. Это позволяет программе полностью контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами; антивирусный модуль Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков. Можно запустить сканер вручную или автоматически в заданное время.

В пакете реализована уникальная технология поиска неизвестных вирусов благодаря эвристическому анализатору второго поколения. С его помощью программа способна защитить компьютер от неизвестных вирусов. Кроме того, осуществляется постоянная антивирусная фильтрация электронной почты и комплексная проверка почтовой корреспонденции, имеется перехватчик вирусов для MS Office и система перехвата вирусов-сценариев, поддержка архивированных и компрессированных файлов. Обновление антивирусной базы осуществляется через Интернет. Компания предоставляет возможность ежедневного обновления пакета через Интернет. Продукты Лаборатории Касперско-го являются хорошим решением для небольших офисов, а также компаний, широко использующих в своей работе продукты Linux и FreeBSD.

Антивирус Dr. Web. Популярная российская антивирусная программа предназначена для поиска и обезвреживания файловых, загрузочных и файлового загрузочных вирусов. Программа включает в себя резидентный сторож SpIDer Guard, автоматическую систему получения обновлений вирусных баз через Интернет и планировщик расписания автоматических проверок. Реализована проверка почтовых файлов. Кроме того, программа обнаруживает вирусы внутри архивов, вакцинированных файлов, файлов документов MS Word и Excel. В настоящий момент вирусная база содержит более 28 тыс. записей, но это не значит, что она менее полная, чем у других программ, - просто в программе Dr. Web одной записью в базе может определяться до нескольких сотен вирусов.

Существенной особенностью программы Dr. Web, выделяющей ее среди других, является использование оригинального эвристического анализатора наряду с традиционным методом обнаружения вирусов по их сигнатурам. Использование эвристического анализатора позволяет выявлять вирусы, сигнатуры которых еще неизвестны. Алгоритмы, используемые в Dr. Web, позволяют выявлять все известные в настоящее время типы вирусов. Другая существенная особенность программы Dr. Web - использование эмулятора процессора, что позволяет обнаруживать сложные шифрованные и полиморфные вирусы, для которых в принципе не работает обычный сигнатурный поиск.

Антивирус Norton AntiVirus от Symantec. Norton AntiVirus - набор антивирусных продуктов компании Symantec, предлагаемый корпоративным пользователям. Объединяет все антивирусные продукты Symantec - для серверов, рабочих станций, коммуникационных пакетов Lortus Notes и MS Exchange, SMTP почтовых серверов и брандмауэров, а также включает управляющую консоль Symantec System Center.

Применение продуктов Symantec целесообразно при общем количестве рабочих мест не менее 100 и наличии хотя бы одного сервера.

Отличительными особенностями данного пакета являются:

- иерархическая модель управления;

- наличие механизма реакции на возникновение новых вирусов.

Программа Norton AntiVirus предназначена для обнаружения и обезвреживания вирусов, злонамеренных программ ActiveX, апплетов Java. Как и все современные антивирусные пакеты, содержит сканер и монитор. Поддерживается функция Script Blocking (Блокировка сценариев), которая постоянно проверяет сценарии и оповещает пользователя о наличии вредоносной программы, останавливая и обезвреживая вирус до того, как он распространится и заразит файлы. Программа осуществляет обнаружение и лечение вирусов в сжатых файлах (MIME/UU, LHA/LZH, ARJ, CAB, PKLite, LZEXE, ZIP). LiveUpdate проверяет наличие обновлений к базам данных по вирусам при загрузке системы (с центрального сервера), автоматически скачивает и устанавливает последние версии на вашу систему.

Антивирус McAfee. Антивирус McAfee Active Virus Defense охватывает все операционные системы и групповые приложения, используемые в современных корпоративных сетях. Является хорошим решением на уровне почтовых шлюзов а также для платформы HP-UX. Целесообразно применять при количестве рабочих мест более 500.

Антивирус AntiVir Personal Edition. Эта антивирусная программа обладает почти такими же возможностями, как Dr. Web, AV P и другие антивирусные программы. В комплект поставки входят: сканер дисков, резидентный сторож, программа управления, планировщик. Программа сканирует файлы, загружаемые из Интернета. Продукт бесплатен для частного некоммерческого использования.

Большая антивирусная база (более 40 тыс. записей) обновляется раз в неделю и доступна на сайте производителя. Есть также функция автоматической проверки и загрузки обновлений через Интернет. Поддерживается технология drag-and-drop (перетаскивание мышью): любой файл, архив, каталог, перенесенные в основное окно программы, тут же будут проверены. Программа проверяет память, загрузочные сектора. Имеется обширный справочник по вирусам. Для коммерческого использования доступна версия AntiVir Professional с расширенным набором функций, работающая с различными операционными системами.

ПОСТРОЕНИЕ СИСТЕМЫ АНТИВИРУСНОЙ ЗАЩИТЫ СЕТИ

В настоящее время проблема антивирусной защиты является одной из приоритетных проблем безопасности корпоративных информационных ресурсов организации. Актуальность данной проблемы объясняется следующими причинами:

- лавинообразный рост числа компьютерных вирусов. Данные независимых отчетов свидетельствуют о том, что средний уровень заражения вирусами корпоративных компьютерных сетей увеличился с 55% в 1995 году, до 99,9% в 2001 году;

- неудовлетворительное состояние антивирусной защиты в существующих корпоративных компьютерных сетях. Сегодня сети компаний находятся в постоянном развитии. Однако вместе с этим развитием постоянно растет и число точек проникновения вирусов в корпоративные сети Интернет/intranet. Как правило, такими точками проникновения вирусов являются: шлюзы и серверы Интернета, серверы файл-приложений, серверы групповой работы и электронной почты, рабочие станции.

Для небольших предприятий, использующих до десятка узлов, целесообразны решения по антивирусной защите, имеющие удобный графический интерфейс и допускающие локальное конфигурирование без применения централизованного управления, например локальные решения AVP Лаборатории Касперского. Для крупных предприятий предпочтительнее системы антивирусной защиты с несколькими консолями и менеджерами управления, подчиненными некоторому единому общему центру, например Trend Enterprise Solution Suite (TESS) компании Trend Micro. Такие решения позволяют обеспечить оперативное централизованное управление локальными антивирусными клиентами и дают возможность при необходимости интегрироваться с другими решениями в области безопасности корпоративных сетей.

АКТУАЛЬНОСТЬ ЦЕНТРАЛИЗОВАННОГО УПРАВЛЕНИЯ АНТИВИРУСНОЙ ЗАЩИТОЙ КОРПОРАТИВНОЙ СЕТИ ПРЕДПРИЯТИЯ

В настоящее время корпоративная компьютерная сеть средней компании включает в себя десятки и сотни рабочих станций, десятки серверов, различное активное и пассивное телекоммуникационное оборудование и имеет, как правило, достаточно сложную структуру.

Согласно отчетам компании Trend Micro корпоративные пользователи постоянно сталкиваются с фактами проникновения вирусов в свои сети. Опыт практической работы показывает, что вирусные атаки на корпоративные системы Интернет/intranet происходят регулярно, а заражение рабочей станции пользователя, осуществленное с помощью принесенного инфицированного носителя информации, является обычным делом.

Приведем описания некоторых вирусов, которые нанесли существенный ущерб корпоративным пользователям в последнее время:

- PE_FUNLOVE.4099 - это уже не новый резидентный вирус под Windows, который был недавно обнаружен несколькими пользователями Интернета. PE_FUNLOVE инфицирует файлы как на локальных дисках, так и на дисках, доступных по сети;

- TROJ_NAVIDAD.E - это вариант TROJ_NAVIDAD.A, который был впервые обнаружен в ноябре 2000 года. Этот вирус инсталлируется в системе, после чего рассылает себя по адресам из адресной книги инфицированного пользователя в виде присоединенного файла EMANUEL.EXE;

- PE_KRIZ.4050 (деструктивный вирус) - это 32-битовый вирус под Windows. Содержит деструктивную функцию, сходную с функцией вируса PE_CIH, которая позволяет ему изменять данные в CMOS и обнулять BIOS;

- VBS_FUNNY - это новое семейство червей, написанных на языке Visual Basic. При запуске эти черви ищут определенный ключ в реестре, и если его нет, то они рассылают по почте сообщения по всем адресам из адресной книги Microsoft Outlook с присоединенным к ним вирусом. Если указанный ключ найден, то черви записывают на диск исполняемый файл (startx.exe), который является известным «троянцем», похищающим пароли;

- VBS_COLOMBIA - это новая модификация вируса VBS_LOVELETTER.A, имеющего деструктивную функцию, нацеленную на файлы с расширениями: VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP3 и MP2.

Когда корпоративная сеть становится объектом атаки вирусов и других вредоносных программ, часто вся антивирусная защита сети сводится к следующему: через некоторое время после атаки осуществляют сканирование и лечение ряда рабочих станций с помощью локального антивирусного ПО - и считают, что защита обеспечена. На самом деле такая локализация проблемы только отодвигает, но не решает проблему эффективной антивирусной защиты, является минимальной мерой и не гарантирует устойчивого функционирования корпоративной системы в дальнейшем.

Широко известные факты распространения вирусов показывают, что использование локальных антивирусных решений в корпоративной сети является необходимым, но не достаточным средством для эффективной реализации антивирусной защиты предприятия. Сложившаяся ситуация требует создания эффективной системы антивирусной защиты корпоративной сети предприятия.

Эффективная корпоративная система антивирусной защиты - это гибкая динамичная система с обратными связями, реализованная по технологии клиент- сервер, чутко улавливающая любое подозрительное действие в сети. Такая система не допускает распространения вирусов и других враждебных программ в рамках внутренней структуры корпоративной сети. Эффективная корпоративная система антивирусной защиты обнаруживает и нейтрализует различные вирусные атаки - как известные, так неизвестные - на самой ранней стадии их проявления.

Стоимость обслуживания корпоративной сети быстро увеличивается вместе с ростом числа подключаемых рабочих станций. Расходы на антивирусную защиту корпоративной сети являются не последним пунктом в списке общих расходов предприятия. Оптимизация и снижение этих расходов возможны путем реализации централизованного управления антивирусной защитой корпоративной сети в реальном масштабе времени. Такие решения дают возможность администраторам сети предприятия отслеживать все точки проникновения вирусов с единой консоли управления и эффективно управлять всеми присутствующими в корпоративной сети антивирусными средствами различных производителей.

Цель централизованного управления антивирусной защитой довольно проста - блокировать все возможные точки проникновения вирусов, а именно:

- проникновение вирусов на рабочие станции при использовании на рабочей станции инфицированных файлов с переносимых источников (дискеты, компакт-диска, Zip, Jazz, Floptical, Flash и т.д.);

- заражение вирусами с помощью бесплатного инфицированного программного обеспечения, полученного из Интернета через Web или FTP и сохраненного на локальной рабочей станции;

- проникновение вирусов при подключении к корпоративной сети инфицированных рабочих станций удаленных или мобильных пользователей;

- заражение вирусами с удаленного сервера, подсоединенного к корпоративной сети и обменивающегося инфицированными данными с корпоративными серверами файлприложений и баз данных;

- распространение сообщений электронной почты, содержащих в приложениях файлы Excel и Word, инфицированные макровирусами.

ЭТАПЫ ПОСТРОЕНИЯ СИСТЕМЫ АНТИВИРУСНОЙ ЗАЩИТЫ КОРПОРАТИВНОЙ СЕТИ

Решения антивирусной защиты корпоративной сети должны эффективно защищать от вирусов и других вредоносных программ все основные компоненты корпоративной сети (шлюзы Интернет/intranet, брандмауэры, серверы, рабочие станции).

Методически процесс построения корпоративной системы защиты от вирусов и других вредоносных программ состоит из следующих этапов.

1 этап. Проведение анализа объекта защиты и определение основных принципов обеспечения антивирусной безопасности

На первом этапе необходимо выявить специфику защищаемой сети, выбрать и обосновать несколько вариантов антивирусной защиты. Этап разбивается на следующие работы:

- проведение аудита состояния компьютерной системы и средств обеспечения антивирусной безопасности (АВБ);

- обследование и картирование информационной системы;

- анализ возможных сценариев реализации потенциальных угроз, связанных с проникновением вирусов. Результатом первого этапа является оценка общего состояния антивирусной защиты.

2 этап. Разработка политики антивирусной безопасности

Этап содержит следующие шаги:

- классификация информационных ресурсов - перечень и степень защиты раз личных информационных ресурсов организации;

- создание сил обеспечения АВБ, разделение полномочий - структура и обязанности подразделения, ответственного за организацию антивирусной безопасности;

- организационно-правовая поддержка обеспечения АВБ - перечень документов, определяющих обязанности и ответственность различных групп пользователей за соблюдение норм и правил АВБ;

- определение требований к инструментам АВБ - к антивирусным системам, которые будут установлены в организации;

- расчет затрат на обеспечение антивирусной безопасности.

Результатом данного этапа является политика антивирусной безопасности предприятия.

3 этап. Разработка плана обеспечения антивирусной безопасности

На этом этапе осуществляется выбор программных средств, средств автоматизированной инвентаризации и мониторинга информационных ресурсов. Разработка требований и выбор средств антивирусной защиты для:

- серверов в локальной сети;

- рабочих станций в локальной сети;

- удаленных серверов/удаленных пользователей;

- групповых приложений и электронной почты типа Мicrosoft Exchange, Lotus Notes, НР ОреnMail;

- шлюзов Интернета (брандмауэров, ргоху-серверов, серверов электронной почты Интернета).

Разработка перечня организационных мероприятий по обеспечению АВБ, разработка (корректировка) должностных и рабочих инструкций персонала с учетом политики АВБ и результатов анализа рисков:

- периодический анализ и оценка ситуации по обеспечению АВБ;

- мониторинг средств АВБ;

- план и порядок обновления средств АВБ;

- контроль соблюдения персоналом своих обязанностей по обеспечению АВБ;

- план обучения определенных категорий пользователей;

- порядок действий в критических ситуациях.

Здесь основным результатом является план обеспечения антивирусной защиты предприятия.

4 этап. Реализация плана антивирусной безопасности

В ходе выполнения последнего этапа реализуется выбранный и утвержденный план антивирусной безопасности. Этап содержит следующие шаги:

- приобретение антивирусных средств;

- внедрение антивирусных средств;

- поддержка антивирусных средств.

В результате выполнения данных работ становится возможным построение эффективной системы корпоративной антивирусной защиты.