Автор работы: Пользователь скрыл имя, 16 Мая 2012 в 20:45, курсовая работа
Чтобы эффективно бороться с вирусами, необходимо иметь представление о «привычках» вирусов и ориентироваться в методах противодействия вирусам. Вирусом называется специально созданная программа, способная самостоятельно распространяться в компьютерной среде. Если вирус попал в компьютер вместе с одной из программ или с файлом документа, то через некоторое время другие программы или файлы на этом компьютере будут заражены. Если компьютер подключен к локальной или глобальной сети, то вирус может распространиться и дальше, на другие компьютеры. Авторы вирусных программ создают их из разных побуждений, однако результаты работы вирусов оказываются, как правило, схожими: инфекции портят программы и документы, находящиеся на компьютере, что часто приводит к их утрате.
Введение……………………………………………………………….……….3
Компьютерные вирусы, их свойства и классификация………......................6
. Свойства компьютерных вирусов ...…………...………………………7
. Классификация компьютерных вирусов ……………….……………..8
Методы защиты от компьютерных вирусов..……………………..………..10
. Сканирование…………………………………………………………..11
. Обнаружение изменений, или контроль целостности……………....12
. Эвристический анализ…………………………………………………13
. Метод резидентного сторожа…………………………………………13
. Вакцинирование программ………………………………………...….13
Типы антивирусных средств………………………………………………..14
4.1. Программы-детекторы………………………………………………...14
4.2. Программы-мониторы………………………………………………....16
4.3. Программы-ревизоры……………………………………………….....19
Защита на основе штатного функционирования…………………….……21
5.1. Защита от сторонних процессов……………………………………...25
5.2 Защита от атак со стороны санкционированных процессов ………..29
Заключение……… …………………………………………………………41
Литература…………………………………………………………………..43
программы (например, при
использовании системных
Одним из основных проявлений вредоносных программ является наличие в списке запущенных процессов подозрительных программ. Исследуя этот список и, особенно, основных сравнивая его с перечнем процессов, которые были запущены на компьютере сразу после установки системы, то есть до начала работы, или с перечнем процессов из эталона можно сделать достаточно достоверные выводы об инфицировании. Это часто помогает при обнаружении вредоносных программ, имеющих лишь только скрытые или косвенные проявления.
Рис. 2. Типичная реализация процессов
Значительное повышение уровня загруженности центрального процессора.
Центральный процессор (ЦП) - это основное устройство ЭВМ, осуществляющее обработку данных и выполняющее функции управления системой (инициирование ввода/вывода, управление доступом к основной памяти, обработку сигналов, поступающих от различных внешних устройств и от внутренних устройств ЭВМ.
Значительное увеличение количества файлов на диске.
Большинство компьютерных вирусов основаны на самораспространении, другими словами они копируют сами себя в разные директории операционной системы для получения контроля над каталогами и для усложнения их уничтожения. Таким образом, на носителе появляется большое количество однотипных файлов в разных директориях системы, что сразу привлекает внимание антивирусов и умелых пользователей на данный файл как на вредоносное ПО.
Контроль за изменением размеров и других атрибутов файлов.
Поскольку некоторые компьютерные вирусы на этапе размножения изменяют параметры зараженных файлов. Контролирующая программа может обнаружить их деятельность и предупредить пользователя.
Контроль за обращением к жесткому диску.
Поскольку наиболее опасные операции, связанные с работой компьютерных вирусов, так или иначе обращены на модификацию данных, записанных на жестком диске, антивирусные программы могут контролировать обращения к нему и предупреждать пользователя о подозрительной активности.
Для реализации данного подхода необходимо использовать специальную базу правил, реализующую выполнение действий при обнаружении вредоносных программ, возникающих по какой-либо причине на основе датчиков отслеживания вирусов.
База правил.
Датчики для отслеживая вирусов |
Причина |
Действие |
Не эталонные процессы в оперативной памяти. |
Появление процесса, не описанного в эталоне. |
- Блокирование процесса. -Оповещение пользователя. -Запрос на добавление процесса в эталон или его завершение |
Значительное повышение уровня загруженности центрального процессора. |
Загрузка ЦП [50-60]% |
-Оповещение пользователя |
|
Загрузка ЦП [60-70]% |
-Оповещение пользователя; -Запись в лог. | |
|
Загрузка ЦП [70-80]% |
-Оповещение пользователя; -Запись в лог; -Выбор действий (блокировать
процесс, разрешить, удалить | |
|
Загрузка ЦП [80-100]%
|
-Блокирование процесса; -Оповещение пользователя; -Запись в лог; -Выбор действий (блокировать
процесс, разрешить, удалить | |
Значительное увеличение количества файлов на диске (Одновременное появление одинаковых файлов на носителе.) |
Обнаружение двух одинаковых файлов |
-Оповещение пользователя. |
|
Обнаружение более трех и менее пяти одинаковых файлов |
-Оповещение пользователя; -Запись в лог; | |
|
Обнаружение более пяти одинаковых файлов |
-Оповещение пользователя; -Запись в лог; -Выбор действий (удаление, карантин, пропустить); | |
Контроль за изменением размеров и других атрибутов файлов. |
Обнаружение изменения размера файла |
-Оповещение пользователя. |
|
Обнаружение измнения размера и атрибута файла |
-Оповещение пользователя; -Запись в лог; -Выбор действий (удаление, карантин, пропустить). | |
|
Обнаружение изменения размера, атрибута и расширения файла |
-Карантин; -Оповещение пользователя; -Запись в лог. | |
Контроль за обращением к жесткому диску. |
Постоянное наблюдение за модификацией данных, контроль обращения к файлам. |
-Оповещение пользователя; -Запись в лог; -Выбор действий пользователя (удаление, карантин, пропустить). |
5. Заключение
Сегодня как-то принято понимать под комплексной антивирусной защитой использование антивирусов различных производителей, реализующих одни и те же подходы к решению задачи защиты. Подобную рекомендацию иначе как к «странным» мы отнести не можем. Какой смысл объединять средства, построенные по одним и тем же принципам, ведь все их кардинальные недостатки все равно остаются. В работе попытались рассмотреть иной способ, основанный на комплексировании при реализации антивирусной защиты совершенно различных подходов к защите, основанных на реализации разграничительной политики доступа к ресурсам и на контроле. Причем, как можно видеть, именно реализация разграничительной политики доступа к ресурсам для субъекта доступа «процесс» позволяет эффективно решать большинство задач антивирусной защиты, контроль становится вторичным. Все это позволяет нам сделать вывод о перспективности именно такого подхода к комплексированию механизмов и средств для решения задачи антивирусной защиты в корпоративных приложениях.
Итак, выше мы показали, что реализацией разграничительной политики доступа к ресурсам можно эффективно решить следующие ключевые задачи антивирусной защиты:
- Предотвратить запуск любого стороннего процесса;
- Защитить от несанкционированной модификации системные компьютерные ресурсы (как системные файловые объекты, так и объекты реестра ОС);
- Существенно снизить вероятность вирусной атаки на хранящиеся на компьютере информационные ресурсы.
При этом отметим, что данные задачи вирусной защиты решаются в общем виде, не требуют выявления каких-либо сигнатур, что обеспечивает возможность эффективного противодействия как известным вирусам, так и потенциально возможным вирусам. Важнейшим свойством данных подходов к решению задачи вирусной защиты, в отличие от подходов, в основу которых положена реализация механизмов контроля, является минимальное влияние средства защиты на загрузку вычислительного ресурса.
6. Список литературы