Конспект лекцій з навчальної дисципліни "Комп’ютерні технології в юридичній дільності"

Вид материала

Конспект

Содержание Спосiб 1: Анонiмайзери Спосiб 2: Служба iproxy Спосiб 3: Проксi сервери Спосіб 4:Спецiально для параноїкiв 4.3.Методи захисту від комп’ютерних вірусів Процес зараження Перші програми, схожі на комп'ютерні віруси Наслідки дії комп'ютерних вірусів Комп'ютерні віруси «без­смертні 4.2.Сучасна класифікація вірусів Спосіб зараження Файлові віруси Комбіновані віруси Файлові віруси Бутові віруси Мережеві віруси Зовсім безпечні віруси Небезпечні віруси Резидентні віруси Поліморфні віруси ... Полное содержание

Подобный материал:

• Робоча навчальна програма з дисципліни «комп’ютерні та інформаційні технології» для, 204.08kb.
• Робоча навчальна програма з дисципліни "Комп’ютерні технології в юридичній діяльності, 796.79kb.
• Робоча навчальна програма навчальної дисципліни " Системне програмне забезпечення", 184.72kb.
• Конспект 2003 Комп’ютерні технології в інженерних та наукових завданнях. Для студентів, 420.01kb.
• Навчальна програма з дисципліни «комп’ютерні та інформаційні технології» для студентів, 131.31kb.
• Комп‘ютерні інформаційні технології в електроенергетиці тексти лекцій для студентів, 1076.06kb.
• Конспект лекцій Суми Видавництво Сумду 2010, 2423.29kb.
• «комп’ютерні та інформаційні технології», 114.46kb.
• Конспект лекцій з дисципліни "Інформаційні системи та технології у фінансових установах", 1112.81kb.
• Робоча програма навчальної дисципліни Сучасні Інтернет-технології (викладач В. К. Толстих), 99.7kb.

^

Спосiб 1: Анонiмайзери

Здiйснити подiбний анонiмний серфiнг дозволяє служба Anonymizer. Вiдправляючись по ссилцi, помiщеної на сторiнцi, що ви переглядаєте за допомогою Анонiмайзера, ви попадаєте на чергову сторiнку знову через Анонiмайзер, так що процес автоматизований, i набирати новий URL знову не потрiбно. Були гарнi часи, коли Анонiмайзер вiдправлявся по зазначенiй адресi негайно, тепер же для тих, хто користається цiєю службою безкоштовно, iснує 30-секундний перiод чекання. Крiм того, Анонiмайзер дозволяв використовувати як HTTP, так i FTP ресурси. Тепер же використовувати FTP можуть лише зареєстрованi користувачi.

При використаннi цiєї служби слiд у log-файлах залишаєте не ви, а Анонiмайзер, що виключає можливiсть збору всiєї тiєї iнформацiї, про яку було написано вище. Нiякi cookies до вас не доходять. Деякi сайти, наприклад Web chat rooms i iншi поштовi служби через нього недоступнi, що, мабуть, зрозумiло бажанням їхнiх власникiв стежити за вiдвiдувачами. Анонiмайзер також не працює з безпечними вузлами, що використовують SSL протокол.

Анонiмайзер має ще двi приємнi особливостi. По-перше, деякi сайти WWW бувають недоступнi з одного мiсця, але доступнi з iншого. Недавно автор на протязi 20 хвилин безуспiшно намагався потрапити на один сайт в Австралiї, знаходячись у Росiї. Використання Анонiмайзера негайно проблему вирiшило, i довгоочiкувана сторiнка швидко завантажилася. По-друге, деякi сайти видають вам iнформацiю в залежностi вiд того, звiдки надходить ваш запит. Приклад з життя. Знаходячись на сайтi Encyclopaedia Britannica, автор захотiв з'ясувати цiни на продукцiю цiєї фiрми. Натискання на кнопку Order Information привело його на сторiнку, що мiстить список дилерiв по усьому свiтi. Захiд на ту ж сторiнку через Анонiмайзер дав зовсiм iнший результат: на екранi з'явився прайс-лист. Порiвняння показало, що в Москвi Encyclopaedia Britannica CD '97 продається в багато разiв дорожче, нiж у Штатах.
^

Спосiб 2: Служба iproxy

Ця служба, що розташовується за адресою www.iproxy.com, працює подiбно Анонiмайзеру. Вiд користувача потрiбно заповнити невелику анкету, вказати свою електронну адресу, i пiсля одержання пiдтвердження по електроннiй поштi i вiдповiдi на це пiдтвердження можна вiдправлятися в шлях, причому без 30-секундних затримок, як у випадку з Анонiмайзером. Обмiн пiдтвердженнями трохи насторожує, виявляючи те, що власникам служби насправдi на privacy наплювати, але оскiльки одержати анонiмну адресу - не проблема, а працює iproxy швидше Анонiмайзера, виявляється розумним використовувати цю службу. Єдине, що сервер iнодi буває в "даунi", причому останнiй раз це продовжувалося цiлий тиждень.
^

Спосiб 3: Проксi сервери

Анонiмiзувати подорож по мережi можна також за допомогою проксi серверу. Проксi сервер працює, по сутi, як Анонiмайзер, тобто документ iз сайту "забирає" вiн, а не ви. Правда, є деякi немаловажнi вiдмiнностi, а саме вiд cookies вас проксi не рятує (позбавте вiд них себе самi, зробiть файл cookies.txt read-only, i всi справи!) проксi сервер працює як з HTTP, так i з FTP, що дає можливiсть анонiмiзувати вiдвiдування не тiльки Web сайтiв, але i FTP архiвiв. Взагалi кажучи, проксi сервери пiдтримують i iншi протоколи, але для анонiмної подорожi по мережi вони мало важливi.

IP адреса вашого рiдного проксi сервера, тобто того, користування яким забезпечує ваш провайдер, усе рiвно вiдображає iм'я вашого домена чи, принаймнi, його зразкове географiчне положення.

Останнiй пункт приводить нас до наступного висновку: якщо вам дуже важливо залишитися анонiмним при роботi з яким-небудь сайтом, чи при читаннi i вiдправленнi пошти з використанням браузера, використовуйте не свiй проксi сервер, а чужий.

Бiльшiсть проксi серверiв обмежують доступ на пiдставi IP адреси, з якого вiдбувається звертання. Iншими словами, якщо ви користаєтеся провайдером Demos, то проксi сервер Glasnet вас до себе просто не пустить. Але на щастя, у мережi завжди можна знайти "добрий" проксi, власники якого або вiдкрито заявляють про його приступнiсть для всiх бажаючих, або проксi, що по тiй чи iншiй причинi не обмежує доступ тiльки свому домену, про що широкiй публiцi не вiдомо.

Для настроювання браузера в роздiлi Manual Proxy Configuration введiть зазначенi значення. Проробивши цю нехитру операцiю, ви зможете подорожувати по мережi, залишаючи слiд як болгарський чи американський користувач, але...отут є один дуже важливий момент. Далеко не всi проксi сервери є цiлком анонiмними. Деякi з них дозволяють адмiнiстратору сайту, що ви вiдвiдуєте з використанням проксi, при бажаннi визначити IP адресу, з якого вiдбувається звертання до проксi, тобто ваш реальна IP адреса.

На закiнчення ще кiлька розмiрковувань дотично використання проксi серверiв. Робота через далеко розташований проксi знижує швидкiсть передачi даних i час чекання. Проксi, побудований на HTTP протокол, не анонiмiзує роботу з SSL вузлами, що працюють по протоколу HTTPS (це для вас, аматори розплатитися фiктивною кредитною карткою).
^

Спосіб 4:Спецiально для параноїкiв

Але ж рiзнi анонiмiзатори можна вибудовувати в ланцюзi! Наприклад ваш браузер побудований на використання проксi А, i ви знаєте адреси i порти ще двох проксi B i C. Тодi URL може виглядати приблизно так: t/t/yougo.com/

У результатi можна потрапити на потрiбний сайт через 3 проксi: А,B i C, причому одним з них може бути Анонiмайзер. УВАГА: Далеко не всi проксi сервери дозволяють вибудовувати себе в ланцюг.


Контрольні запитання

1. Для чого призначена програма Internet Explorer і які її можливості?
   
2. Наведіть способи запуску Internet Explorer.
   
3. Як підключитися до Інтернету за допомогою програми броузера?
   
4. Назвіть елементи вікна Internet Explorer.
   
5. Назвіть відомі вам способи завантаження Web-сторінок.
   
6. Які операції можна виконати за допомогою контекстного меню посилання?
   
7. Назвіть способи переходу між Web-документами у вікні Internet Explorer.
   
8. Як виконується відключення від Інтернету?
   
9. Які засоби завантаження переглянутих сторінок є в Internet Explorer?
   
10. Що таке тимчасові файли Інтернету?
    
11. Для чого призначений журнал і яка його структура?
    
12. Як задається строк зберігання елементів у журналі?Як очистити журнал?
    
13. Для чого призначена панель Избранное?
    
14. Як додати новий елемент в Избранное?
    
15. Як змінити основну сторінку?
    
16. Що потрібно зробити, якщо порушено відображення символів кирилиці?
    
17. Як відключити виведення малюнків, розміщених на Web-сторінках?
    
18. Як настроюються кольори посилань?
    
19. Перелічіть основні команди мови HTML.
    
20. Вкажіть елементи оформлення web-сторінки.
    
21. Як відбувається об’єднання сторінок?
    
22. Створення сторінок в мові HTML.
    
23. Створення таблиць в мові HTML.
    
24. Перелічіть різні способи анонімності в Інтернеті.
    

Тема 4: Технології захисту інформації

4.1.Комп’ютерні віруси як загроза інформаційним системам

4.2.Сучасна класифікація вірусів

^ 4.3.Методи захисту від комп’ютерних вірусів

4.4.Проблеми захисту інформації в сучасних інформаційних системах


4.1.Комп’ютерні віруси як загроза інформаційним системам


Нині про існування комп'ютерних вірусів відомо навіть тим, хто ніколи не працював за комп'ютером. Комп'ютерні віруси стали щоденною проблемою не тільки програмістів, а й інших фахівців, чия професійна діяльність пов'язана з дослідженням, створенням або обслуговуванням комп'ютерної техніки: нині це проблема кожного, хто просто користується комп'ютером, а тому всі користувачі сьогодні повинні мати уявлення про комп'ютерні віруси, усвідомлювати їхню небезпеку, знати методи боротьби та профілактики.

Що таке комп'ютерні віруси ? Коли і чому вони з'явилися ? Якими вони бувають? Як з ними боротися? Щороку кожний викладач інформатики намагається дати відповіді на ці запитання, але вірусів не меншає, навпаки — їх стає дедалі більше, тому кожного року проблема вірусів виглядає дещо по-іншому.

Отже, вірусів з кожним днем з'являється все більше. Наприклад, днями на сайті «Ла­бораторії Касперського» з'яви­лася інформація про 50 най­поширеніших сьогодні вірусів (до речі, перелік «найсвіжіших» з них наведений наприкінці статті). Але так було не завжди.

Гортаючи фахову літературу двадцятиріч­ної давності, присвячену темам програмування та кібернетики (тоді інфор­матику називали так), не зустрінеш жодної згадки про явище, яке згодом стали називати «комп'ю­терним вірусом». Нау­кові дискусії про це то­чилися аж до початку 90-х років. Тому навіть сам термін «комп'ютер­ний вірус» з'явився у другій половині 80-х років, але не всі фахівці зрозуміли його сутність. Наприклад, ще у 1988 p. деякі відомі спеціа­лісти не вірили в існування комп'ютерних вірусів. Ось як згадує про це Евген Касперський: «1988 року вірус Ієрусалим поширився на ти­сячі комп'ютерів, але зали­шався непоміченим, адже антивірусні програми ще не за­стосовували так широко, як нині, а професіонали ще не вірили в існування комп'ю­терних вірусів. Показовим є той факт, що саме тоді ком­п'ютерний гуру, людина-ле­генда Пітер Нортон (Peter Norton), висловився проти того, що комп'ютерні віруси існують: він оголосив їх міфом та «казками про кроко­дилів», що нібито з'явилися в каналізації Нью-Йорка. Од­нак цей казус не завадив фірмі Symantec розпочати згодом власний антивірусний проект — Norton Anti-Virus».

Отже, точну дату створен­ня першого комп'ютерного вірусу нині достеменно не знає ніхто. Деякі джерела повідом­ляють, що це сталося десь на початку 80-х років XX ст. Де­які вказують на 70-ті роки і навіть на кінець 60-х. І це можна пояснити: згадайте, що перший персональний ком­п'ютер фірма IBM створила у 1985 p., а до того часу роботу виконували на великих ЕОМ, мейнфреймах та мінікомп'ю-терах. Це були комп'ютери колективного користування, які знаходилися у великих на­укових та дослідницьких цен­трах. Вони ще не набули тако­го масового поширення, як нині, і більшість із цих машин не були підключені до гло­бальних мереж. Тому якісь місцеві «жарти» та «помилки» програмістів існували, але вони носили локальний харак­тер. До того ж, тоді комп'ю­терною технікою користували­ся висококваліфіковані про­грамісти, які аналізували та швидко усували на­слідки дії таких про­грам. А якщо зважати на той факт, що комп'ютери Радянського Союзу не були підклю­чені до мереж Заходу, то можна констатувати, що до кінця 80-х років СРСР був «терра інкогніта» для всесвітніх комп'ютерних вірусів. Та навіть тоді, коли з'явилися комп'ютерні віруси (переважно це були віруси, які ми нині нази­ваємо файловими), програміс­там було не складно дослідити та знищити їх, адже майже всі вони знали кілька мов програ­мування високого рівня, але вважали гарною манерою про­грамувати не лише в асембле­рах, а навіть (і переважно) у двійкових кодах. Тому порада типу: «Якщо знайшов вірус, то напиши антивірусну програ­му та знищ його» сприймала­ся цілком нормально.

Крім того, семінари, де об­говорювали комп'ютерні про­блеми, тоді проводили такі фахівці, яких нині ми нази­ваємо фундаторами. Наприк­лад, у Києві семінари прово­див один із засновників ук­раїнської вірусології Микола Безруков. У деяких вдома й досі зберігається його книга «Вірусологія». Думаю, що сучасним інформатикам цікаво буде дізнатися про те, як у 1990 p. сам Микола Безруков аналізував явище «комп'ютер­ний вірус». Ви зрозумієте, чому дата створення першого вірусу така неточна, адже де­які програми, які тоді вважа­лися комп 'ютерними іграми (наприклад програму «Animal» («Тварина»)), нині сміливо можна класіфікувати як вірус. Отже, проведемо екскурс у минуле.

Комп'ютерні віруси — це спеціально створені і, як пра­вило, невеличкі програми, здатні заражати інші програ­ми включенням до них своєї, можливо модифікованої, копії (яка зберігає здатність до по­дальшого розмноження). Програма, заражена комп'ю­терним вірусом, може бути автоматично створеною «тро­янською» програмою, прихо­ваним модулем якої є тіло комп'ютерного вірусу. Крім зараження, вірус може вико­нувати й інші несанкціоновані дії, від цілком безпечних до вкрай руйнівних (наприклад, знищення даних на заражено­му диску). У цьому разі вірус можна розглядати як логічну міну. Несанкціоновані дії мо­жуть бути зумовлені або на­станням певної дати (такі «троянські» програми ана­логічні до мін з годиннико­вим механізмом), або певною кількістю розмножень, або збігом певних умов, наприк­лад, записом зараженої про­грами на вінчестер. Такі про­грами аналогічні до безкон­тактних мін. При цьому ком­бінація умов може бути досить складною, як наприк­лад, у віруса, відомого за наз­вою «Пінг-понг».

^ Процес зараження про­грамних файлів спрощено можна подати в такий спосіб. Вірус змінює код зараженої програми так, щоб саме ком­п'ютерний вірус отримав ке­рування першим, ще до по­чатку роботи програми-віру­соносія. У процесі отримання керування вірус певним чи­ном знаходить нову програму і встановлює власну копію в початок або додає її до кінця цієї, ще не зараженої, програ­ми. В останньому випадку він коригує код програми, щоб отримати керування першим. Для цього кілька перших байтів запам'ятовуються в тілі вірусу, а на їхнє місце встав­ляється команда переходу на початок вірусу. Отримавши керування, вірус відновлює «приховані» перші байти, а після відпрацювання свого тіла передає керування про­грамі-вірусоносію, і вона нормально виконує свої функції.

Іноді вірус вбудовує себе кудись усередину програми, наприклад, в область стека. Заражені програми (або їхні копії) можуть передаватися через дискети або мережею на інші комп'ютери. Оскільки користувачі персональних електронних обчислювальних машин (ПЕОМ) широко об­мінюються інформацією на дискетах, кількість заражених програм може бути значною, призводячи до епідемій. Цьо­му також сприяє розповсю­джена в нашій країні практи­ка використання одного персонального комп’ютера кіль­кома користувачами. Небез­пека істотно зростає за наяв­ності вінчестера. У цьому разі один некваліфікований ко­ристувач може завдати знач­них збитків усім іншим. Особливу небезпеку станов­лять прихильники комп'ю­терних ігор, які зазвичай по­гано знають операційну сис­тему (ОС) і не завжди усві­домлюють зміст виконуваних ними дій.

^ Перші програми, схожі на комп'ютерні віруси, було ство­рено в 1972 p. (гра «Дарвін») і в 1976 p. (системна програма WORM («Хробак»)). У 1984 p. було поширено гру ANIMAL («Тварина»), яка мала майже всі риси сучасного комп'ютер­ного вірусу. Програма, реалізо­вана як гра, пропонувала грав­цю задумати якусь тварину і за певний час намагалася за допо­могою уточнювальних запи­тань (чи має шерсть, чи живе у воді тощо) відгадати задумане. Якщо програма не встигала відгадати назву задуманої тва­рини, то просила гравця по­відомити, яке запитання по­трібно поставити, щоб відгада­ти. Програма запам'ятовувала це запитання й у такий спосіб «самонавчалася». Але розроб­ник такої програми використо­вував, імовірно, той факт, що на його комп'ютері будь-якому користувачу виділявся власний каталог для роботи, але не було механізму захисту каталогу від інших користувачів (або про­грам). Програміст змінив гру так, що після кожного «навчан­ня» програма копіювала себе в каталог іншого користувача. Гра була популярною, і незаба­ром усі комп'ютери фірми вже мали програму, яка повільно розмножувалася. Ситуація не була небезпечною, але чис­ленні копії гри дуже засмічува­ли дисковий простір. Знищен­ня копій не дало потрібного ефекту: достатньо було зали­шити одну копію — і незаба­ром розмноження повторюва­лося знову. Проблему було ви­рішено за допомогою засобу, який за сучасною термінологією мож­на назвати антивірусом.

У 1985 p. було опубліковано гру «Core War» («Війна в пам'яті»). У ній два гравці пишуть по одній програмі мовою низького рівня. Програми вмішуються у велику циклічно замк­нуту ділянку пам'яті. Кожна команда займає одну комірку пам'яті ЕОМ. Керуюча програма по черзі виконує по одній команді з кожної програми, як це робить найпростіша система ре­ального часу. Програми гравців атаку­ють одна одну, намагаючись уникну­ти ушкоджень і відновлюючи ушко­джені ділянки. Найпростіша атака — це використання команди MOV (запи­сати в пам'ять). Наприклад, MOV 1000 може «вбити наповал» ворожу програ­му, якщо потрапить у наступну ко­манду (тобто якщо наступна викону­вана команда «ворога» знаходиться за адресою 1000), або «поранити», якщо за адресою 1000 у «ворога» записані дані або команди, чи «не влучити», якщо комірка за адресою 1000 «воро­гом» не використовується.

«Справжні» віруси, тобто програ­ми, орієнтовані на те, щоб завдати збитків, з'явилися на початку 80-х pp. XX ст. Це пов'язано з появою ПЕОМ і має характер протистояння користувачів групі безвідповідальних або кримінальних елементів. Перші випадки масового зараження ком­п'ютерів було зафіксовано 1987 p. Так, лехайський вірус, що з'явився в однойменному університеті США, впродовж кількох днів знищив вміст кількох сотень дискет як з публічної бібліотеки університету, так і особис­тих дискет студентів. У грудні 1987 p. було виявлено вірус у Ієрусалимському університеті (Ізраїль). Хоча істот­ної шкоди цей вірус не завдав, він швидко поширився по всьому світу і, вочевидь, є першим вірусом, поши­рення якого набуло характеру пан­демії. 1988 p. ця проблема в країнах США і Західної Європи стала пріо­ритетною. Особливу увагу громадсь­кості привернув так званий вірус Морріса. Другого листопада 1988 p. Роберт Морріс-молодший, аспірант факультету інформатики Корнелльського університету, інфікував за допомогою написаного ним вірусу ве­лику кількість комп'ютерів (орієн­товно 6000), підключених до амери­канської національної мережі Інтернет. Хоча ніякої втрати або зміни даних не відбулося, корис­тувачі Інтернету втратили багато тисяч годин робочого часу. До кінця 1989 p. у деяких країнах (США, Великобританія, ФРН) розглядали закони щодо кримі­нальної відповідальності розроб­ників і розповсюджувачів ком­п'ютерних вірусів (у США — до 15 років позбавлення волі). Це дає змогу, окрім програмних і організаційних заходів для бо­ротьби з вірусами, застосувати й правові методи. Тому важливим аспектом боротьби з комп'ютер­ними вірусами стає виявлення злочинця або злочинної групи, відповідальної за створення або поширення відповідного вірусу.

Для більшості комп'ютерних вірусів, так само, як для біо­логічних, характерний певний інкубаційний період, упродовж якого виконувані вірусом несанкціоновані дії обмежуються зараженням інших програм. Інфікуючи програми або носії, віруси можуть поширюватися від однієї програми до іншої, що робить комп'ютерні віруси не­безпечнішими порівняно з ін­шими методами комп'ютерного вандалізму. Операційна система типу MS-DOS, що відрізняється практично повною відсутністю захисту від несанкціонованих дій, полегшує розробку вірусів. Однак комп'ютерні віруси не є програмами, що використовують помилки або недоліки конкрет­ної ОС. Для забезпечення їхньо­го функціонування цілком дос­татньо звичайних операцій, ви­користовуваних більшістю «нормальних» програм. Тому прин­ципово не може існувати універ­сального методу, що захищає ОС від поширення будь-якого віру­су. Проте можна значно усклад­нити завдання створення і по­ширення комп'ютерних вірусів, застосовуючи спеціальні методи в ОС та використовуючи додат­кові резидентні і нерезидентні програмні засоби захисту.


^ Наслідки дії комп'ютерних вірусів:

1) відмова системи у вико­нанні певної функції (наприклад, блокування вірусом RC-1701 за­вантаження програми з захищеної від запису дискети), виконання дій, не передбачених програмою (наприклад, зміна даних у будь-якому файлі);

2) руйнування окремих файлів, керуючих блоків або усієї файлової системи (фор­матування диска, видалення файла тощо);

3) видача помилкових, дратівливих повідомлень (на­приклад: «Скажи «бебе»);

4) створення звукових або візуальних ефектів (наприклад, падіння літер у вірусі RC-1701, уповільнене виконання про­грами у вірусі RCE-1913, про­гравання мелодії в RCE-1805 або поява на екрані рухомого ромбика у ВхІ-ІС тощо);

5) ініціювання помилок або збоїв у програмі чи ОС (наприклад, переповнення стека);

6) перезавантаження або «за­висання» операційної системи;

7) блокування доступу до системних ресурсів (розрос­тання заражених файлів за ра­хунок їх багаторазового пов­торного зараження;

8) неможливість переда­вання зараженій програмі па­раметрів, уповільнення робо­ти комп'ютера шляхом вико­нання пустого циклу з кіль­кох команд після кожного переривання таймера);

9) імітація збоїв апаратури (перетворення частини клас­терів на псевдозбійні на дис­кеті або вінчестері, «зависання» комп'ютера через якийсь час після перезавантаження ОС);

10) прискорення зношу­вання обладнання або спроби його псування.


Збитки, яких завдають віруси, можуть мати катастро­фічний характер (знищення вінчестера), якщо в них три­валий «інкубаційний період». Або навпаки: вірус може спричиняти незначні ушко­дження даних, які набагато складніше виявити. Через це дії таких вірусів набагато небезпечніші, ніж масове руй­нування даних.

Найбільш незахищена час­тина файлової системи типу MS-DOS — таблиця розмі­щення файлів. Якщо вона зруйнована, то ОС не може визначити місцезнаходження файла, хоча самі файли не ушкоджено. Вірус може також виконувати формалізацію де­яких ділянок диска, які містять системні дані. Тому необхідно часто дублювати керуючі дані файлової систе­ми на іншу, заздалегідь відо­му ділянку диска або на дис­кету. Для цього можна вико­ристовувати, наприклад, ути­літи Нортон. На комп'ютерах типу AT дані про конфігура­цію системи (тип установле­ного вінчестера тощо) зберіга­ються в невеличкій енергонезалежній пам'яті (CMOS). Знищення вмісту CMOS-па­м'яті унеможливлює заванта­ження з вінчестера. Віднов­лення CMOS-пам'яті потре­бує знання всіх технічних да­них про вінчестер. Тому цей тип пам'яті також є потенцій­ним об'єктом атаки вірусу.

^ Комп'ютерні віруси «без­смертні» і можуть необмеже­ний час зберігатися в різних архівах. Навіть цілком «зни­щені» віруси можуть зберег­тися в будь-якому архівному файлі й випадково або нав­мисно «реанімуватися» через багато місяців або навіть років після їхнього першого вияв­лення і знищення. Отже, піс­ля появи певного вірусу не­обхідно вжити спеціальних заходів для запобігання пов­торним зараженням. Тут мож­на діяти в двох напрямках:

знайти першоджерело зара­ження, розробити або устано­вити програми, що ускладню­ють (пильнуючи) чи роблять неможливим вакцинуючи) розмноження вірусу.

Далеко не всі ушкодження файлової системи, несправ­ність вінчестера або обладнан­ня спричинені вірусами. На­приклад, деякі типи вінчес­терів мають низьку надійність і псуються без втручання віру­сів. Є комп'ютери, які можна завантажити тільки після про­грівання, через деякий час. Існують дисководи, що не тільки фрезерують дискети, а й під час запису іноді стира­ють таблицю розміщення файлів, причому відновити її за допомогою утиліт Нортон не вдається. Багато комп'ю­терів і без вірусів регулярно «зависають». Однак є тенденція атрибутувати будь-яке уш­кодження даних у присутності комп'ютерних вірусів.

Ходять чутки, що віруси ушкоджують обладнання. Справді, такі ушкодження мож­ливі. Наприклад, можна ушко­дити ділянку люмінофора («випалити пляму») на монохрома­тичному моніторі, використову­ючи особливості схеми керування. Однак для кольоро­вого монітора це зробити не­можливо.

Кажуть також, існують що якісь підступні віруси, що нібито вводять у резонанс го­лівку вінчестера. Це схоже на міф, але проблема «вірус — засіб захисту» аналогічна до проблеми «зброя нападу — зброя захисту». Тому слід очікувати, що тривалий час віруси становитимуть актуальну проблему, причому вдосконалювання засобів за­хисту буде супроводжуватися вдоско­наленням самих вірусів.

Складність опису різних засобів захисту від комп'ютерних вірусів і часте дублювання цих засобів роб­лять актуальним питання про класи­фікацію комп'ютерних вірусів. Ця класифікація має сприяти однознач­ному опису не тільки відомих вірусів, а й їх нових різновидів за обмеженою кількістю порівняно простих ознак. Пропонуємо класифі­кацію, у якій ім'я вірусу складається з літерного префікса, цифрового ко­реня і, можливо, літерного суфікса. Префікс характеризує середовище розмноження вірусу.


У 1990 p. існувало чотири основ­них типи комп'ютерних вірусів:

1) ті, що розміщуються в бут-секторі і збійних секторах на диску (тип В, бутові віруси);

2) у файлах типу .com (тип С, файлові віруси);

3) у файлах типу .ехе (тип Е, фай­лові віруси);

4) ті, що передаються по мережі (тип N, чи так звані мережеві віруси).


Цифровий корінь характеризує довжину вірусу. Для комп'ютерних вірусів типу С, Е і СЕ (файлових вірусів) він відповідає збільшенню довжини файла під час зараження. Це збільшення для низки файлових вірусів є нестабільним і залежить як від типу файла (.com або .ехе), так і від довжини файла, що заражається (наприклад, після дописування свого тіла в кінець файла, що заражається, деякі віруси вирівнюють початок свого тіла на початок параграфа, тоб­то на зсув, кратний 16). У цьому разі за цифровий корінь беруть мінімаль­ну довжину збільшення. Для вірусів типу В як апроксимацію довжини бе­руть кількість використовуваних сек­торів, помножену на 512 (довжину сектора).

Комп'ютерні віруси також поділяють­ся на резиденті й нерезидентні. Нерезидентні віруси отримують керування після завантаження в пам'ять зараженої програми, а потім шукають файл-жерт­ву, використовуючи PATH чи іншу інформацію, і заражають цей файл. Потім керування повертається зара­женій програмі, і після закінчення її ро­боти пам'ять комп'ютера звільняється від вірусу. На відміну від них, резидентні віруси після завантаження в пам'ять і передачі керування зара­женій програмі перехоплюють низ­ку переривань і залишаються в пам­'яті резидентними. Отримавши ке­рування після переривання, вони виконують певні дії (наприклад, за­ражають кожну програму, що запус­кається, заражають .ехе і .com фай­ли тощо). Для класифікації таких вірусів використовують суфікс R.

Структурно віруси можна пода­ти у вигляді двох частин: голови і хвоста. Головою називається час­тина вірусу, яка першою отримує керування, хвостом — його части­на, розміщена окремо від голови.

Часто вірус складається з однієї голови (більшість файлових вірусів). Такі віруси називаються несегментованими. На відміну від них, сегментовані віруси мають хвіст і якоюсь мірою аналогічні до оверлейних файлів. Прикладом сегментованих вірусів є бутові віруси, хоча можлива й реалізація сегментованих файлових вірусів.

В операційній системі MS-DOS найпоширенішими є файлові нере­зидентні, файлові резидентні та бутові віруси. Нині для цієї ОС існує кілька сотень комп'ютерних вірусів.


^ 4.2.Сучасна класифікація вірусів


Отже, спочатку з'явилися файлові віруси, за ними заванта­жувальні, а потім, з появою вірусів, які самі шифрувалися, вірусологія стала розвиватися ша­леними темпами, як і віруси. Фахівці вже називали їх полі­морфними вірусами (напевне, се­ред читачів знайдеться хоча б один, хто пам'ятає вірус Фантом, через який «захворіли» комп'ю­тери в середині 90-х років).

Але перед тим як перейти до класифікації, давайте з'ясуємо, яку дефініцію вірусу дають кла­сики. Наприклад, всесвітньо відомий американський розроб­ник програмного забезпечення для комп'ютерних мереж, зокре­ма міжнародних, як от Novell, — програміст Пітер Дайсон (Peter Dyson) дав таке означення вірусу:

«Вірус — це програма, призначен­ням якої є порушення роботи комп'ютерної системи без відома користувача цієї системи. Вірус може приєднувати сам себе до іншої програми, таблиці розділів або до завантажуваль­ного сектора диска та активі­зуватися за певних ситуацій або комбінації певних ситуа­цій».

Що таке комбінація пев­них ситуацій, можна проде­монструвати на прикладі по­ведінки вірусу Ієрусалим (цей приклад уже став класичним, майже всі вірусологи наво­дять його, тому не будемо по­рушувати традиції).

Отже, вірус Ієрусалим уперше було зафіксовано у 1988 p. в мережі одного з ізраїльських університетів. Вірус виявляв себе так: на ек­рані монітора з'являлися чорні квадрати, уповільнюва­лася робота комп'ютера, тобто вірус викликав лише роздра­тованість користувачів, але якщо програма, яка була інфікована цим вірусом, за­вантажувалася в оперативну пам'ять комп'ютера саме у п'ятницю 13-го, то вірус зни­щував кожну активну в цей момент програму.

Було зафіксовано також вірус Тайвань (1998 p.), дія яко­го, залежно від поточної дати, могла бути або непомітною, або дуже агресивною. Вірус міг навіть знищити дані у флеш-BIOS, чого було достатньо, щоб змусити користувача замінити материнську плату. А це у гро­шовому еквіваленті те саме, що купити новий комп'ютер.

Отже, зрозуміло, що не можна одразу визначити міру шкідливості вірусу. Це справа фахівців. Але знати типи вірусів, які можуть загрожу­вати комп'ютеру, необхідно кожному користувачу.

Сучасні фахівці, зокрема Євген Касперський, поділя­ють комп'ютерні віруси на такі типи:

• файлові;• бутові;• поліморфні;• макровіруси;• невидимі;• резидентні;• хробаки;• мережеві.

Вірусологи поділяють віруси не тільки на типи, а й на класи за такими властивостями: середови­ще розповсюдження вірусу; опе­раційна система, в якій він може існувати; ступінь агресивних дій та особливості алгоритму роботи вірусу (див. таблицю).


Таблиця: Класифікація комп'ютерних вірусів

Клас вірусу за властивістю	Тип вірусу	^ Спосіб зараження
1	2	3
За середовищем розповсюдження вірусу	файлові; бутові; макровіруси мережеві; комбіновані	^ Файлові віруси будь-яким чином вбудовуються у файли .cow, .exe або створюють файли-клони (компаньйони) чи використовують особливості будови файлової системи (лінковані). Бутові (або завантажувальні) віруси вбудовують себе у завантажувальний сектор диска або змінюють вказівку на активний бут-сектор диска. Макровіруси вбудовуються у файли документів офісних прикладних програм, таких як Word, Excel, Access. Мережеві віруси використовують для свого розповсюдження протоколи мереж та електронної пошти. ^ Комбіновані віруси: а) файлово-бутові віруси, заражають файли та бут-сектори дисків; б) мережеві макровіруси, заражають документи офісних програм і розповсюджують свої копії електронною поштою
За операційною системою, в якій може існувати вірус	файлові; бутові; макровіруси; мережеві	^ Файлові віруси заражають певні файли операційної системи, наприклад, можуть бути заражені exe-файли ОС Windows-95, а сусідній комп'ютер у мережі, який працює в ОС Linux, не матиме жодного зараженого exe-файла. ^ Бутові віруси також заражають тільки певні формати даних бут-секторів певної ОС. Макровіруси заражають тільки певні файли певних форматів певної ОС. ^ Мережеві віруси заражають тільки файли певних форматів певної ОС
За ступенем агресивних дій	зовсім безпечні; безпечні; небезпечні; дуже небезпечні	^ Зовсім безпечні віруси ніяк не впливають на роботу комп'ютера (якщо не враховувати зменшення вільного простору на диску через розмноження вірусів). Безпечні віруси діють так само, як і зовсім безпечні, але можуть виявлятися через будь-які аудіо- або графічні ефекти. ^ Небезпечні віруси можуть призвести до будь-яких значних збоїв у роботі комп'ютерної системи, «зависання» тощо. Дуже небезпечним вірусам характерні значні деструктивні дії, наприклад: знищення частини даних, файлів і навіть програм, ушкодження системних ділянок дисків, виведення з ладу системи BIOS тощо
За особливостями алгоритму роботи вірусу	резиденті; невидимі; поліморфні	^ Резидентні віруси заражають пам'ять комп'ютера: під час інфікування комп'ютера вірус залишає в оперативній пам'яті резиденту частину, яка перехоплює звернення ОС до об'єктів зараження та вбудовується в них. Отже, нерезиденті віруси не заражають пам'ять. Невидимі, або стелс-віруси перехоплюють запити ОС на читання/запис заражених об'єктів і підставляють у цьому об'єкті замість себе незаражену ділянку об'єкта; маскування (використання стелс-алгоритмів) дає змогу вірусам сховатися. ^ Поліморфні віруси (або ті, що самошифруються) постійно змінюються, і дві копії одного й того самого вірусу можуть зовсім не збігатися. Віруси використовують змінність для того, щоб їх було складніше виявити