Основные пути проникновения в систему и активации

Существует утверждение - всякую вредоносную программку юзер может одолеть без помощи других, т. е. не прибегая к использованию антивирусных программ. Это вправду так, за успешными деяния хоть какой антивирусной программки стоит труд вирусных аналитиков, которые на самом деле дела вручную разбираются с методами работы новых вирусов, выделяют сигнатуры, обрисовывают метод работы Основные пути проникновения в систему и активации вируса.

Сигнатура вируса - в широком смысле, информация, позволяющая совершенно точно найти наличие данного вируса в файле либо ином коде.

Примерами сигнатур являются: уникальная последовательность б, присутствующая в данном вирусе и не встречающаяся в других программках; контрольная сумма таковой последовательности.

Таким макаром, антивирусную программку можно рассматривать как средство автоматизации борьбы с Основные пути проникновения в систему и активации вирусами. Следует увидеть, что анализ вирусов просит от юзера владения огромным объемом специфичных познаний в области программирования, работы операционных систем и т. д. Современные вредные программки употребляют сложные технологии маскировки и защиты собственных копий, которые обуславливают необходимость применение особых средств для их анализа.

Процесс подготовки вредной программкой собственных Основные пути проникновения в систему и активации копий для распространения может значительно отличаться от обычного копирования. Создатели более сложных в технологическом плане вирусов стараются сделать различные копии очень непохожими для усложнения их обнаружения антивирусными средствами. Как следствие, составление сигнатуры для такового вируса очень затруднено.

При разработке копий для маскировки могут применяться последующие технологии:

· Шифрование - вирус состоит из Основные пути проникновения в систему и активации 2-ух многофункциональных блоков: фактически вируса и шифратора. Любая копия вируса состоит из шифратора, случайного ключа и вирусного блока, зашифрованного этим ключом.

· Метаморфизм - создание разных копий вируса методом подмены групп команд на эквивалентные, перестановки местами блоков кода, вставки меж означающими кусочками кода "мусорных" команд, которые фактически ничего не Основные пути проникновения в систему и активации делают.

Сочетание этих 2-ух технологий приводит к возникновению последующих типов вирусов.

· Шифрованный вирус - вирус, использующий обычное шифрование со случайным ключом и постоянный шифратор. Такие вирусы просто обнаруживаются по сигнатуре шифратора.

· Метаморфный вирус - вирус, применяющий метаморфизм ко всему собственному телу для сотворения новых копий.

· Полиморфный вирус - вирус, использующий метаморфный шифратор для шифрования основного Основные пути проникновения в систему и активации тела вируса со случайным ключом. При всем этом часть инфы, применяемой для получения новых копий шифратора также может быть зашифрована. К примеру, вирус может реализовывать несколько алгоритмов шифрования и при разработке новейшей копии поменять не только лишь команды шифратора, да и сам метод.

Рассматривая современные вирусные опасности стоит Основные пути проникновения в систему и активации отметить, что более 90% процентов вирусных угроз в ближайшее время связаны с червяками. Более многочисленную группу в этом классе вредных программ составляют почтовые червяки. Интернет-черви также являются приметным явлением, но не столько из-за количества, сколько из-за свойства: эпидемии, вызванные Интернет-червями часто отличаются высочайшей скоростью Основные пути проникновения в систему и активации распространения и большенными масштабами. IRC и P2P червяки встречаются довольно изредка, почаще IRC и P2P служат другими каналами распространения для почтовых и Интернет-червей. Распространение через LAN также употребляется в большей степени как дополнительный метод распространения.

Не считая того, на шаге активации червяков можно поделить на две огромные Основные пути проникновения в систему и активации группы отличающиеся как по технологиям активации, так и по срокам жизни:

· Для активации нужно активное роль юзера.

· Для активации роль юзера не требуется совсем или довольно только пассивного роли.

Активация сетевого червяка без роли юзера всегда значит, что червяк употребляет бреши в безопасности программного обеспечении компьютера. Это приводит к очень Основные пути проникновения в систему и активации резвому распространению червяка снутри корпоративной сети с огромным числом станций, значительно наращивает загрузку каналов связи и может стопроцентно обездвиживать сеть. Конкретно этот способ активации использовали червяки Lovesan и Sasser. Под пассивным ролью юзера понимается, к примеру, просмотр писем в почтовом клиенте, при котором юзер не открывает вложенные файлы, но его Основные пути проникновения в систему и активации компьютер все же оказывается зараженным.

Активное роль юзера в активации червяка значит, что юзер был введен в заблуждение способами социальной инженерии. Почти всегда главным фактором служит форма подачи инфицированного сообщения: оно может имитировать письмо от знакомого человека (включая электрический адресок, если знакомый уже заражен), служебное сообщение от Основные пути проникновения в систему и активации почтовой системы либо же что-либо схожее, настолько же нередко встречающееся в потоке обыкновенной корреспонденции.

При инфецировании компьютера червяки обычно создают последующие деяния:

· Делают исполняемый файл с расширением .exe с произвольным именованием либо именованием очень схожим на имя системных файлов Windows. В неких червяках могут употребляться технологии присущие вирусам, в Основные пути проникновения в систему и активации таком случае червяки инфицируют уже имеющийся файл приложения (к примеру WSOCK32.DLL) либо подменяют его на собственный файл (к примеру I-Worm.MTX записывает одну из собственных процедур в файл WSOCK32.DLL таким макаром, что она перехватывает отсылку данных в Веб (процедура send). В итоге червяк в Основные пути проникновения в систему и активации зараженной библиотеке WSOCK32.DLL получал управление всякий раз, когда данные отправляются в Веб).

· Не считая этого, вкупе с добавлением в систему исполняемых файлов, в ряде всевозможных случаев червяки помещают в систему файлы библиотек, которые обычно делают функции Backdoor компонент (к примеру один из клонов червяка MyDoom - I-Worm.Mydoom.aa создавал системном Основные пути проникновения в систему и активации каталоге Windows файл tcp5424.dll, являющийся Backdoor-компонентом и регистрировал его в системном реестре: HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 {Default} = "%SysDir%\tcp5424.dll").

· Вредная программка может заносить конфигурации в системные файлы win.ini и system.ini. К примеру, Email-Worm.Win Основные пути проникновения в систему и активации32.Toil при установке в заражаемой системе копирует себя в папку Windows со случайным именованием и записывает в файл system.ini последующие значения:

· [boot]

shell=Explorer.exe %имя червяка%

что обеспечивает ему автозапуск при каждой перезагрузке Windows (но только под Win9x/Me).

Email-Worm.Win32.Atak.h в процессе Основные пути проникновения в систему и активации установки копирует себя с именованием dec25.exe в системный каталог Windows и видоизменит файл win.ini для собственного следующего пуска - добавляет полный путь к файлу dec25.exe в ключ run секции [windows]:

[windows]

run=%SystemDir%\dec25.exe)

Следует так же отметить, что в файле system.ini не считая секции Основные пути проникновения в систему и активации [boot] вредные программки могут использовать секцию [Drivers]

· Вредные программки могут заносить конфигурации в последующие ветки реестра:

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion в ключи Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce - для того, чтоб система запускала сделанные червяком файлы.

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion в ключ Run.

К примеру, Email Основные пути проникновения в систему и активации-Worm.Win32.Bagle.ax после пуска копирует себя в системный каталог Windows, после этого регистрирует в реестре скопированный файл: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Sysformat"="%System%\sysformat.exe.

· HKEY_CLASSES_ROOT\exefile\shell\open\command.

К примеру вирус I-Worm.Navidad. вносил последующие Основные пути проникновения в систему и активации конфигурации:

HKEY_CLASSES_ROOT\exefile\shell\open\command {Default} = %SystemDir%\wintask.exe %1 %*).

Таким макаром, пуск всех ехе-файлов проходил через воззвание к инфицированному файлу wintask.exe. В итоге, если файл wintask.exe удалялся до правки реестра, операционная система теряла возможность запускать файлы с расширением .exe.

· HKEY_CLASSES_ROOT\txtfile\shell\open\command Основные пути проникновения в систему и активации.

К примеру Email-Worm.Win32.LovGate.ad изменяет ключ системного реестра HKCR\txtfile\shell\open\command {default}="Update_OB.exe %1", таким макаром, чтоб при открытии текстовых файлов получать управление.

· Не считая выше перечисленных веток и ключей реестра вредные программки могут заносить конфигурации и в другие ветки и ключи реестра Основные пути проникновения в систему и активации, к примеру:

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\boot

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon

· HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion Основные пути проникновения в систему и активации\AeDebug


osnovnie-razlichiya-v-funkcii-i-sposobe-dejstviya.html
osnovnie-razmeri-stolov-i-stulev-dolzhni-sootvetstvovat-prilozheniyu-6-k-nastoyashim-sanitarnim-normam-pravilam-i-gigienicheskim-normativam.html
osnovnie-registri-816-32-bitnie-ispolzovanie-harakteristiki.html