Дәріс 14-15. Ақпаратты қауіпсіздіктер және оларды құрушылар

• Жергілікті компьютерлік желілерде ақпаратты қорғау, антивирустық қоғаныс
• Ақпаратты сақтандыру және оның құрамдастары.
• Ақпараттық процеске рұқсатсыз кірісуде сақтану.
• Ұймдастыру шаралары

Компьютерлiк вирустар компьютерлiк және ақпараттық даму үрдiсiнде пайда болған өзiнше бiр құбылыс. Бұл құбылыстың мәнi - программа-вирустардың тiрi ағзалаларға тән туылу, көбею және тiршiлiгiн жою секiлдi қасиеттердi иеленуiнде.

Компьютерге қатысты “вирус” деген терминдi 1984ж. Фред Коэн ұсынған болатын. Ф.Коэннiң вирусқа берген алғашқы анықтамасы: “Компьютерлiк вирус - өзге программаларға өзiнiң немесе өзгертiлген көшiрмелерi арқылы өзгерiс енгiзу арқылы жұқтыратын программа, сондай-ақ, соңғысы әрi қарай көбею мүмкiндiгiн сақтап қалады.” Вирустардың көрсетiлген қасиеттерi тiрi табиғаттағы биологиялық вирустардың жұқтыру әрекетiне пара-пар.

Әдетте вирус компьютер жүйесiнде неғұрлым табылмай қала беретiндей етiп құрастырылады. Вирустардың алғашқы “ұйықтау” периоды оның өмiр сүру механизмi болып табылады. Вирус мысалға жұма 13-i, белгiлi бiр күнде және т.с.с. шақыру оқиғасы пайда болғанда нақты сәтте әрекет жасайды.

Компьютерлiк вирус өзiн компьютерлiк дискілерге құпия түрде жазуға тырысады. Вирустардың көбiсiнiң әрекетi - вирус өз жұмысын компьютердiң әрбiр жүктемелену кезiнде бастайтындай етiп оның жүйелiк файлдарын өзгерту. Мысалға, жүктемелеу аймақтарын жұқтырушы вирустар тек операциялық жүйе және жiберу файлдарын сақтау үшiн оқшауланған дискета мен қаттыл дискiнiң бөлiгiн жұқтырады. Бұлар компьютердi iске қосқан сайын жадыға жүктемеленiп отыратындықтан залалды вирустар болып табылады. Мұндай вирустардың көбею мүмкiндiгi жоғары және олар үнемi жаңа дискiлерге тарала алады.

Әдетте вирустар COM және EXE Файлдарға жақын жүредi. Кейбiр вирустар компьютерлiк жүйенi жұқтыру үшiн жүктемелеу аймағын, сондай-ақ файлдарды жұқтыру әдiсiн пайдаланады. Бұл - вирустарды арнайы программалармен iздеп табу мен айқындауды қиындатып, оның тез таралуына әрекет етедi.

Вирустардың басқа түрлерi де бар. Компьютерлiк вирустар көп түрлi көбейетiндiгiнен және өмiр сүру ортасын бұзатындықтан жүйеге зиян келтiредi.

Жүйелiк “құрт” глобальды торап бойынша таралып, магниттiк тасуышта өз көшiрмесiн қалдырмайтын программа-вирустардың бiр түрi. “Құрт” бос ресурстары бар компьютерлердiң торабында дұрыс пайдаланса “құрт” технологиясы пайдаға асуы мүмкiн. Мысалы: World Wide Web Worm “құрт” Web бөлiмдерiн iздеу индексiн қалыптастырады. Бiрақ, “құрт” зиянды программаға тез айналады.

Зиян келтiрушi программалардың белгiлiсiнiң бiрi - UNIX жүйесiнiң командалық интерпретаторының кiрме тiлiнде және Си тiлiнде 4000 жолдан тұратын Морристiң “құрт” программасы. Бұл программа VAX және SUN компьютерлерiнде UNIX операциялық жүйесiндегi қателердi пайдалану енгенде жұмыс iстейдi. Жүйелiк “құрт” - зиянды программалардың ең қатерлiсi. Себебi олардың жұқтыру объектiсi Internet торабына қосылған миллиондаған компьютердiң кез келгенi болуы мүмкiн.

“Троянский конь” (бұл терминдi хакер Дан Эдварс ұсынған) программалық қыстырманың бiр түрi. Ол өзiнiң iшiндегi жасырын түрдегi қатерiн бiлдiртпей пайдаланушыға программаны жiберу жағдайын туғызатын алдау әдiсiн пайдаланады. Мұндай программалар әдетте пайдалы утилиталардың iшiнде байқалмай жүредi. “Троялық ат” программасының қауiптiлiгi - зиянсыз программаға қосылған қосымша командалар блогында. Бұл командалар блогы белгiлi бiр шарттың орындалуымен немесе сыртқы команда бойынша өзiнiң қаскүнемдiк жұмысын iстей бастайды.

15.1 Вирустарды және басқа зиянды программаларды жiктеу

Зиянды программаларды былай жiктестiруге болады:

- қауiптiлiгiнiң дәрежесi бойынша;

- жұқтырылатын объекттер бойынша;

- жұқтыру әдiсi бойынша;

- жүйеде бар болуын жасыру әдiсi бойынша;

- программалау тiлi боынша.

Қауiптiлiгiнiң дәрежесi бойынша жiктеу. Зиянды программаларды қауiптiлiгiнiң дәрежесi бойынша былай бөлуге болады:

- зиянсыз, яғни өзiнде ешқандай бұзатын функцияларды сақтамайды және өзiн тек көбеюмен бiлдiредi;

- қауiпсiз, яғни өзiн хабармен, бейнеәсерiмен және с.с. бiлдiредi;

- қауiптi, яғни есептеу жүйенiң жұмысында маңызды жаңылысуылар пайда болады;

- өте қауiптi, яғни файлдарда, жүйелiк аймақтарда, логикалық дискiлерде ақпаратты жоюға жарамды, аппаратураны бұзуға болады.

Жұқтырылатын объекттер бойынша жiктеу. Тарату үшiн пайдаланылатын объектiлер бойынша зиянды программаларды былай бөлуге болады:

- файлдық вирустар, яғни қандай да бiр тәсiлмен файлдарға қосылатын программалар;

- жүктелетiн вирустар, яғни өз кодасын дискiлердiң жүйелiк аймақтарына жазатын программалар;

- тораптық вирустар, немесе “черви”, яғни есептеу тораптарда қандай да бiр тәсiлмен өз көшiрмелерiн жiберетiн программалар;

- “троянский конь”, яғни қандай болса да зиянсыз программаларға астарланған программалар; вирус алгоритмдерi бойынша файлдарға, жүйелiк аймақтарға немесе тораптық хабарларға жазылу мүмкiн, бiрақ осындай әрекеттердi жасау үшiн арнайы программа керек; трояндылықтарда көбеуi мүмкiндiгi жоқ;

- “логикалық бомбалар”, яғни нормалды программада құрастырушымен программаланған троялық компонентерi (белгiлi шарт бойынша орындалады, мысалы, винчестердiң 0-шi жолында кiлттiк ақпарат болмағанда).

Жұқтыру әдiсi бойынша жiктеу. Әртүрлi зиянды программалар объекттiң жұқтыру әдiсi бойынша әртүрлi жiктеледi.

Осы параметр бойынша Файлдық вирустар былай бөлiнедi:

- вирус-спутниктер, файл атын өзгертiп (әдетте кеңейтуiн өзгертедi) және ескi атын сақтап жаңа файлға өзiн жазып кетедi;

- орнын алатын вирустар, файлдың мазмұнын сақтамай үстiне өзiн жазып кетедi (бұл вирустар өте қауiптi вирустарға жатады);

- жапсыранылатын (пристыковывающиеся) вирустар, немесе паразиттық вирустар программаларға қосылып жазылады, жұмысын бастағанда басқару алдымен вирус кодасына берiледi, содан кейiн вирус жұқтырылған программаның кодасын шақырады.

Жүктелетiн вирустар:

- сирек қолданатын секторға жүктеуiш кодасын сақтайды және оған басқаруды бередi;

- жүктеуiш кодасының орнын алатын вирустар және оның барлық функцияларын өзi орындайды.

Троялықтар:

- дербес, яғни кез келген әдiспен пайдалы программаларға астарланған программа;

- жапсыратын (пристыковочные), яғни дроппер-программа көмегiмен орындалатын файлдарға жазылатын программалар;

- “приваживаемые”, яғни қаскүнем жүйелiк конфигурация файлдарына троялықтарды жандандыру командаларын қосу керек

Жүйеде бар болуын жасыру әдiсi бойынша жiктеу.

Жүйеде бар болуын жасыру әдiсi бойынша вирустарды былай бөлуге болады:

- жүйеде өз бар болуын жасырмайтын;

- шифрланатын, яғни кез келген кiлтiмен өз орындалатын кодасын шифлайтын, бiрақта керi шифрлауыш әрқашанда бiр;

- полиморфты, яғни әрбiр жаңа файлға жұқтыру кезiнде вирус кез келген тәсiл бойынша генерацияланған кiлтiмен шифрланады және керi шифрлауышты өзгертедi;

- “көрiнбейтiн” (“стелс”) вирустар, яғни резиденттi вирустар жүйелiк үзулердi ұстап алыды және жүйеде бар болуын жасырады.

Программалау тiлi бойынша жiктеу. Зиянды программалар келесi тiлдерде:

- Ассемблер тiлiнде;

- жоғары деңгейдiң тiлiнде;

- ОЖ командалық тiлiнде;

- қолданбалы программалық кешенiнiң құрамдас тiлiнде/макротiлiнде

жазылу мүмкiн.

15.2 Жұғу алгоритмдері.

Файлдық вирустармен стандартты жұғу алгоритмдері

Спутник-вирустар программаны жұқтырады, олар программалық файлдың мазмұнын өзгертпейді. Спутникті-вируспен жұғудың екі алгоритмі бар. Бірінші алгоритмнің негізі мынада: Dos программалық процессорына ат бергенде, кеңейтусіз программаны қосқанда, ол СОМ кеңейтілуі бар файлды іздейді, одан кейін ЕХЕ, соңында ВАТ. Бұндай спутник-вирусы ЕХЕ файлын тапқан кезде, сондай атпен СОМ кеңейтілуі бар файл құрады. Мұндай вирустардың белсенділігі толығымен VC/DN/NC типті жай файлдық бөлшектерді жұмыс істеуінен тоқтатады, олар ENTER клавишасын басқан кезде көрестілген кеңейтілуімен орындалатын файлды іске қосады.

Екінші жұқпалы спутник-вирусының алгоритмінің негізі, кеңейтуі орындалатын файлдың шектілігін тек командалық процессор қояды. Программаны іске қосатын немесе орныдайтын Dos функциялары, кез келген кеңейтілуі бар файлды қосуға мүмкіндік береді. Берілген алгоритмді іске асыратын спутник-вирусы ЕХЕ файлын іздейді, оның мазмұнын файлға тура сол атымен және кеңейтілуімен көшіреді, ал ЕХЕ файлға вирустың кодын жазады. Құрбан-программасында сақталатын кеңейтілуі стандартты болуы мүмкін, вирус кодынан кейін ЕХЕ файлдың соңына жазады.

Екінші алгоритмнің вариациясы қиындау, манипуляциялық файлдардың жұғуы болып табылады. Бұл жерде екі емес, үш кеңейтілу қолданылады.. Құрбан-программасына басқаруды бергенде, вирус өзін файлға үшінші түрдегі кеңейтілумен сақтайды, құрбан-программаны ЕХЕ файлға көшіреді, оны содан кейін іске қосады, құрбан-программасы аяқталғанда өзін қайта ЕХЕ файлға көшіреді. Үшінші түрдегі кеңейтілуі бар файл жойылады.

Осы алгоритмді қолданатын вирустар, кеңейтуді таңдау кезінде қауіпті немесе өте қауіпті болуы мүмкін.

Файлдың орнын басатын вирустар, өздерін орындалатын файлдың басына көшіреді, бірақ ескі мазмұнын сақтамайды. Бұндай файлдардың резервті көшірмесі болмаса, қалпына келтіру мүмкін емес.

Орындалатын файлға вирус жұққан кезде, ол өзінің кодын файлға жазу керек, құрбан-программасына кіру нүктесін есте сақтап, өзгерту керек, онда вирустың коды басқаруды алады. Мұны СОМ форматты Dos программасында істеген оңай, өйткені олар орындалатын кодтың екілік бейнесін оперативті жадыда ұсынады. СОМ файлдарды жұқтыратын үш стандартты алгоритм бар: соңына жазатын, басына және ортасына.

Стандартты түрде файлдың соңына жазылатын вирус, кіру нүктесін өзінде есептейді. Ол бірінші байттарды есте сақтайды (көбінесе 3, 5 немесе 6) және олардың орнына өзіне берілетін басқару командасын жазады. Істің соңында, вирус есте сақтаған командалрды орындайды, немесе CS: 100h адресімен байттарды қалпына келтіреді және соған басқаруды жібереді, мысалы:

mov ax6 1000h

push ax

retn

Стандартты түрде басына жазылатын вирус, файлдың соңына сол ұзындықтағы кесек кодты көшіреді. Содан, вируспен қоданылмайтын және кодсыз, берілген программасыз команда адресі соңғы программаны жадыда қалпына келтіреді, вирус бұл кесекті CS: 100h адресімен көшіреді және басқаруды осы адреске жібереді.

Файлдың ортасына жазылатын вирустар, бірдей мәнді файлдарды жұқтырады, көлемімен үлкен вирус файлды ажыратады, орын босаған жерге өзінің кодын жазады. Құрбан-программаға басқаруды жіберу, стандартты түрде соңына жазылатын вирустардыкіндей.

Структурозацияланған орындалатын файлдарды жұқтыратын вирустар (MZ EXE, LE EXE, ELF т.б.) өте қиын жұғу алгоритмдерін қолданады.

Структурозацияланған орындалатын файлды жұқтырғанда, вирус тақырып атының алаңын анализдейді, оны файлдың соңына жазады және тақырып атының алаңын модификациялайды. Бұл информация сосын құрбан-программаға жіберуді орындайды.

Іске қосылған вирустармен жұқтыратын стандартты алгоритмдер

Іске қосылған вирустар жүйелік аумақты үш түрлі стандартты алгоритммен жұқтырады.

Бірінші алгоритм, айталық “Brain” вирусымен қолданылсын, файл кластерінен бос құрбан аумағының жазылуында қорытындылады.

Екінші алгоритм, айталық “Stone” вирусымен қолданылсын, құрбан аумақ қолданылмайтын немесе кейде қолданылатын секторларға көшіріледі. Кейде вирус дискіде қосымша жолды форматтайды және сонда құрбан аумақпен құйрықты көшіреді.

Үшінші алгоритм, вирус құрбан аймақты ешқайда сақтамайды. Бұндай вирустар ОС-ты өздері іске қосады. Мысалы Troian.Surprise.456. НМД-ны жұқтырады.

Жұқтыру модификациясының алгоритмдері

Егер вирусты тазалау алгоритмі, стандартты алгоритмдердің файлдарын жұқтыртса, ол антивируста орындалған, онда жаңа вирусты тазалауды орындау бірнеше секунд ғана алады. Сондықтан вирус жазушылар әрдайым жаңа алгоритм ойлап табуға тырысады.

Ең оңай амалдың бірі – вирусты екіге бөлу. Вирус стандартты түрде файлды жұқтырады, ол басына немесе ортасына жазады, бірақ онда кодтың бір ғана бөлігін сақтайды, ал қалғанын соңына жазады. Негізінде бұндай вирусты табу қиынға түспейді, өйткені вирустың екі бөлігі жұқпалыдан жұқпалыға өзгермейді. Алдымен құйрығын кесіп, содан вирусты кәдімгідей тазарту керек.

Есеп кейде қиындайды, егер вирус бірнеше подпрограммаға бөлінсе, әр жаңа жұқтыру кезінде түрлі подпрограмма санын құйрыққа қояды. Бұндай вирус файлдың соңы мен басына байланысты фиксациялы сигнатурлары болмауы мүмкін, және ол кіру нүктесіне де байланысты. Мұндай вирусты тазалау әрбір подпрограмманың сигнатруларын тексеруін, оның басы мен құйрығының ұзындығын табуын немесе кіру нүктесінен подпрограмманы шақыру командасына өтуін қамтамасыз етеді.

Псевдо іске қосатын вирустар, қосылатын секторларды жұқтырпайды, дискідегі фиксацияланған аумақтағы жүйелік файлдарды жұқтырады. Бұл файлдар басқа жерге жазылады, ал вирус жүйелік файлдың үстіне жазылады. Бұндай вирусты тазалау үшін тіке FAT-қа немесе тамыр каталогына бару керек.

Резидентті вирустармен жұғу алгоритмдері

Файлдарды іздегенде резидентті вирустар жұқпалы каталогтарды айналмайды. Олар жүйелік үзулерді жібермейді, ол аргументтерге файлдың аты кіреді (немесе басқа аргументтер бойынша анықтауға болады). Резидентті вирустар файлдарды ашқанда, жапқанда, атын өзгерткенде, іске қосқанда және т.б. жұқтыруы мүмкін. Теориялық түрде файлдарды жұқтыратын вирус істеуге болады, мысалы, файлдағы позицияны өзгерткенде, бірақ жұғу үшін мұндай функцияларды ұстау машинаның жұмысы төмендегенде білінетін еді. Файлдағы позицияны өзгерту типінде жүйелік функция резидентті «стелс»-вирустарды ғана ұстайды, ол басқа програмаларға вирус кодының үстіне бүлдіртпей жазылмас үшін істелінеді.

Жады көптеген рет жұқпалы болса, ол вирустың жұмысын тоқтатады. Шынында да, машинада бірнеше жұқпалы программаларда ашылған вирус бар делік. Резидентті вирустардың көшірмесі тез арада жадыны толтырады да, машинаның жұмысы төмендетеді немесе тоқтатып тастайды. Сондықтан резидентті вирус орнату уақытында қолда барын тексереді.

Бұндай тексерудің үш алгоритмі бар. Бірінші алгоритм – кейбір үзу кезіндегі жаңа «мен мұнда» функциясын ұстау, ол өзінің орындалуы кезінде вирусты шақырады. Екінші алгоритм - өзінің сигнатурларына компьютер жадысын көшіру - көбінесе вирустар қолданады, ол белгілі бір адрес бойынша резиденттік көшірмелерді жазады, мысалы, видеожадының нолі жоқ нөмірлер бетіне жазады. Ал үшінші алгоритм – резидентті вирустар Dos жадысындағы сөздердің өлшемін кішірейтеді, мысалы, 640-тың орнына 639К-ны қояды. Бұның орындалуы жадының жұқпалы екенін көрсетеді.

HLLP вирустраымен жұққан алгоритмдердің қаупі

HLLP (High Level Language, Prasitic) вирустары жоғарғы дәрежедегі тілде жазылған программаларды таныстырады. Осында олардың негізгі қаупі білінеді.

Бұл программалар ЕХЕ форматтағы файлдармен компиляцияланады. СОМ файлдарға қарағанда, программадағы домп коды жадыда болмайды. HLLP вирусы өзін жадыдан оқиды және кәдімгі түрде файлды жұқтырады, кіру нүктесін өзінің денесінде сақтайды, Ехе тақырып атын модификациялайды, оны жасау өте қиынға түседі. Ол жоғарғы класификацияны және кодты генерациялайтын қолданылатын компиляторды жоғарғы деңгейде білу қажет. Бұл парадоксальды естілгенімен, кәдімгі түрде вируспен жұққан алгоритмді Паскаль мен Си-ға қарағанда, Ассемблерде жазған оңай. HLLP вирусының авторлары Ассемблерді білмейді және білгісі де келмейді. Сондықтан олар өзінің басымдылығымен примитивті жұқпалы алгоритмдерді жасайды, негізінде олар деструктивті емес функцияларды көрсетеді. Оның себебі, жаңа файлды жұқтыртқан кезде типтік HLLP вирустары өздерін жадыда оқымайды, ол тек сол іске қосылған файлда оқылады.

Енді осы алгоритмдердің өзімен нені ұсынатынын және оларды қолданатын вирустардың неге теориялық түрде қауіпсіз болмауын қарастырайық.

HLLP вирустарында қоданылатын жұқпалы алгоритмдер. HLLP вирусы екі біртипті жұқпалы алгоритмдерін қолданады, олар бір-бірінен тек құрбан-файлының кодын түрлі жағдаймен көшірілуімен ғана ерекшеленеді.

Бірінші алгоритмде құрбан-файлының мазмұны түгелімен вирустың соңына жазылады. Екінші алгоритмде жұқпалы файлдың басынан вирустың көлеміндей фрагмент «кесіледі». Ол файлдың соңына жазылады, ал вирус өзін өзінің файл тасушысынан оқиды және босаған орынға жазады. Басқа сөзбен айтқанда, осы екі алгоритм құрбан-программадағы ЕХЕ тақырып атынның модификациялауын қарастырмайды, вирус денесінен CALL FAR, JMP FAR немесе RETF командаларына басқаруды да бермейді, жадыда келесі файлды жұқтыртқанда вирустың көшірмесін де есептемейді. Вирус жіберілген жерден вирустың көшірмесі жұқпалы файлдың басында есептелінеді. Орындалғаннан кейін алгоритмді жұқтыратын вирус кейбір орындалатын файлдарды жасайды да, онда жұққан программаның кодын көшіреді, одан соң өшіреді.

Осындай жұққан алгоритмдердің қандай деструктивті салдарға әкелетінін қарастырайық.

Орындалатын файлдардың жинақталуы мен ашылуы. HLLPвирусымен жұққанорындалатын файл, Dos-тың ойынша, «құйрығы» бар қысқа программаны береді, ол оверлей немесе басқа бір нәрсе болуы мүмкін. Сонымен қатар, заңды түрде вирус жинақталған болады. Орындалатын файлдардағы жинақтаушылардың бір бөлігі (PKlite, DIET6 WWPACK және т.б.), мұндай файлдарды байламайды,өйткені құйрығы бар файлды табады немесе жинақталған вирусты қыса аламайды. Бірақ осындай файлдарды жинақтайтын программалар бар.

Негізінде дұрыс істелінген HLLP вирустары (мысалы, HLLP.Yarik.7991) қосылғанда өзінің сигнатурын тексереді, таппаса, хабарлайды, файлды ашуын сұрайды және жұмыс істеуге қарсы болады. Бірақ бұл көбінесе көмектеспейді. Сол HLLP.Yarik.7991 осындай ашылудан кейін тазаланбайды.

Орындалатын бар файлдарды вирустармен алмастыру. HLLP вирусы, авторы деструктивті функцияларды программалау ойында болмағандықтан, тексергенде қауіпті болуы мүмкін. Керекті орындалатын файлдар немесе мәліметтер файлы атын дұрыс жазбағандықтан немесе кеңейтілуін дұрыс қоймағаннан осындай вирустармен жойылуы мүмкін.

15.3 Антивирустың әдісінің классификациясы

Антивирустық программалардың барлығы фагтарға, детекторларға, ревизорларға, вакциналарға және резидентті күзетшлерге бөлінеді.

Фаг – бұл программа өзіне белгілі сигнатур бойынша вирустарды анықтайды, яғни осы вирусқа байланысты кодтардың тармағында анықтайды. Вирусты анықтаған кезде, оны файлдан тазалайды немесе өшіреді. Егер вирус қайта орнына келген болса, оны «өлтірген» жөн.

Детектор вирустарды табады, бірақ фагқа қарағанда тазалай алмайды. Вирусты тапқанда фагты шақыратын детекторлар болады, оған тазалау үшін керекті мәліметтерді беріп тұрады.

Ревизор дискіде әрбір өзгертулерді қадағалау үшін қажет: іске қосылған аумақтың кодын өзгерту, дискті бөлуді өзгерту, файлдардың пайда болуы/өшірілуі/өзгертілуі және т.б. Жақсы жасалынған ревизорлар оперативті жадыдағы тексеру алгоритмдерінен тұрады, қосылған резидентті стелс-вирустардың жоқ болған жағдайда. Нақты вирустарды сигнатур бойынша анықтауға ревизор тағайындалмаған.

Программалық вакцина, вирустармен жұққан жүйеде, қолда барын немесе өңделген файлдарды тексеретін программаларды қорғауға арналған. Егер резидентті вакцина қолданбалы болса, қазіргі кезде файлдық ескіріп кеткен. Файлдарды вакциналаудың 1980 жылдары маңызы болды, ол кезде бірнеше вирустар жиындары болды, олар вирустарды сигнатур бойынша анықтаған жоқ, оның атрибуттары бойынша анықтады.

Резидентті күзетші – бұл программа жүйелік функцияларды қарауды байқайды, олар алгоритмдерге тән программаларды вирустармен жұқтыру және қолдданушыдан оның орындалуын рұқсат сұраудан тұрады. Бірақ та бұл функциялар жай программалармен белсенді орындалады. Сондықтан барлық бар резидентті күзетшілерге бірдей кемшіліктер тән – көптеген өтірік урейленулер мен мазасыз хабардың жіберілуі. Оған қарамастан, резидентті күзетші өңай келісімге келеді немесе оперативті жадыдағы өңдеушілердің модификациялауымен немесе аппараттық ресурстарға тікелей көңіл бөледі.

15.4 Алгоритмдерді тазалау

Алгоритмдерді тазалауды бейнелеу

Алгоритмді тазалау негізінде жұғу алгоритіміне қарайды. Файлдың басына жазылатын СОМ-вирустары, HLLP вирустары мен сол алгоритмдармен жұқтыратын вирустар, HLLP сияқты кодтың орнын ауыстыруы арқылы тазаланады.

Спутник-вирустары ЕХЕ-ге қайта құрбан-файлынның атын өзгертумен тазаланады. Оның алдында вирустың денесіде кеңейтілуі саналуы мүмкін, оның астында құрбан-файлы сақталады, ал егер вирус шифрланса, онда оған кілт болу керек.

Программалық кодты көретін вирустар, қайтымсыз файлдар құртады. Бұндай файлдарды тек өшіру керек. Бір қателіктермен қалпына келген файлдан вирус қайта іске қосылмас үшін, оның басына INT 20h командасын жазған жөн.

Орындалатын файлдың сруктурасына негізделген вирустарға қарағанда, алгоритмдер қиынырақ тазалады. Файлдардан алгоритмдерді тазалау келесі қадамдарға келеді:

1) Егер вирус шифрланса, расшифровщиктен сигнатурды табу керек, кілтті есептеу, вирус денесінен шифрды ашу керек.

2) Вируста сигнатура бар екенін тексеру керек. Сигнатура табылмаса – шығу, қайта кодты есептеу.

3) Құрбан-программасының тақырып атының жолдарын вирус денесінен есептеу керек, тақырыптың атын қалпына келтіру.

4) Программадан вирустың кодын өшіру керек, программаның өзінің кодын қалпына келтіру керек.Резидентті вирустарды файлдан тазалау мағынасыз, олар оперативті жадыда орналасса, файлдарды қайта-қайта жұқтыруы мүмкін. Егер вирус файлдарды жабу кезінде жұқтыртса, онда антивирусты іске қосудың еш көмегі болмайды. Оперативті жадыдан вирусты тазалау алгоритмінің келесі қадамдары бар:

1) «Мен мұнда» функциясын шақыру немесе жадыда вирустың сигнатурлары барын тексеру. Егер вирус жадыда табылмаса – шығу.

2) Вирус өңдеушіден үзулерді санау немесе нағыз өңдеушіден жүйелік өзгермелі адрестерді санау.

3) Өңдеуші үзулерін қалпына келтіру, вируспен орын алған жадыдағы аумақты босату.

4) Жадыда вирус кодын үстінен басу, мысалы, нольдермен. Өңдеуші вирустың басына өту командасын жазуға болады.

Үзулердің бірін ұстайтын резидентті вирустар болады, олар өңдеуші вирустардан үзу векторларының орын босатуынан қорғайды. Сондықтан, дәл осы векторлар, вирусты операциялық жүйеде тазалаған кезде, бірінші болып құтқарылуы керек. Осыған қарап, векторларды Dos 25h немесе 35h функцияларына жүктемей, тікелей векторлар кестесіне қарау керек.

Іске қосатын вирустардың тазалау алгоритмі келесі қадамдарға тән:

1) Жүйелік аумақты есептеу, вирус сигнатурының болуын тексеру. Таппаса – шығу.

2) Вируспен сақталған кодтарды MBR немесе BOOT-қа қайта жазу, ал егер вирус оларды ешқайда сақтамаса, антивирустағы стандартты кодты жазу керек.

3) Дискіде вирустың «құйрығының» үстін басу.

Вирустардың басқа вирустарда немесе маңызды программаларда жасырынуы.

Кез-келген компьютерлік вирусты табу есебі, оның жұққан программадағы сигнатурлардың барлығын көрсетеді. Алдында кодтың шифрын ашу қажет етіледі, полиморфты шифр ашушыны детектрлеу және шифрды ашу реттілігін генерациялайды, программа тақырыбының өзгеруінсіз вирусқа кіруі – кіру нүктесінен басқаруды анализ командасына беру.

Бірақ вирустардың авторлар, антивируспен берілген сигнатурларды және берілген А вирусында орналасуын біле тұра, Б вирусын жазуы мүмкін, ол да сол сигнатур бойынша басы/соңы/кіру нүктесі қосылу арқылы болады. Ескі полифаг түрі арқылы сыпайсыз файлдардың тазалығына әкеп соғады, А вирусын біле, Б вирусын білмейді.

Басқа да «алдамшылар» болуы мүмкін

Неге бұл болуы мүмкін? Бір себепті біз атағанбыз, заң бойынша сигнатура вирустың көшірмесі болмайды, және вирус табылған болып есептеледі. Жеткілікті ұзындықтағы сигнатура (8-16 байт) және оны дұрыс таңдауда, жұқпаған файлда жұмыс істеу ықтималдығы нольге ұмтылады. Жай сөзбен айтқанда, бұл жерде жұқпаған сигнатура файлы болмайды.

Бірақ та, осы айтылғанның бәрі жұқпаған файлдарға жатады. Ешкім вирус жазуға кедергі жасамайды, ол дәл сол ығысумен, сол сигнатураны қояды. Келесіде не болады? Антивирус оған белгілі сигнатура бойынша жұмыс істейді, ол кезде файл басқа вируспен жұқпалы болады, және оның басқа ұзындығы, байты сақтайтын ығысуы, мүмкін басқа алгроитмі болады. «Тазалау» қорытындысында вирустан программаның жұмыс істеу қабілеті тоқтайды.

«Технотышқанның» тағы бір амалы, стандартты тесттік файлдардың болуында, мысалы, EICAR. Осы сигнатурдан файлды өзінің вирусының басына қойса, мұндай эффект алуға болады: осы вирусты білмейтін полифаг жұқпалы программаларды «модификацияланған тесттік файл EICAR (Вирус емес)» немесе өзгертілмейтін тесттік файл ретінде табады.

Үшінші амалы – сапасыз антивирустар, вирустың сигнатурынан басқа, «біле тұра таза» файлдардың сигнатурынан тұрады. Мысалы, TBAV сигнатуры кіру нүктесінде бар болса, белгілі вирустардағы файлдарды мүлде тексермейді. Одан да «біле тұра таза файлдар» сигнатураны қолданбаған жөн, онсыз болмаса, онда олардың барын тексеру үшін барлық вирус сигнатурын тексергеннен кейін орындалу керек.

Бұндай вирустарға қалай қарсы тұруға болады. Авторларға мұндай вирустарға қарсы тұру белгілі:

- ұзын сигнатурларды қолдану, оларға орындалуға қажетті кесек кодтарын таңдау керек;

- біреуден көп сигнатура қолдану;

- стандартты тесттік файлдарға сигнатураны таңдау, оны қарсылас керексіз эффектерден қашу үшін, кодтың кесектерін модификациялауға болатындай ету;

- Антивирусты қоса, «тигізбейтін» сигнатурларды жүйеге қоспау; стандартты тесттік файлдарды жүйеде бейнелеу, егер олорынбасатын вирус болса, тазалау уақытында, оны өшіруіне әкеледі;

- Жаңа вирус пайда болу кезінде, сол өзгерісі мен байты бар, алдынғы белгілі антивирустардікіндей, алдын ала белгілі анитивирус жүйесіне қосу, одан да екі вирустың сигнатурларын өзгертіп немесе үлкейтіп тазалаған жөн;

- «Тигізбейтін» сигнатурларды ұстайтын антивирустар, біле тұра сапасыз деп санаймыз да, түгелімен қолданудан алып тастаймыз және жадыда ұстамаймыз.

Негізгі әдебиеттер: [4] – 225-244 c.

Бақылау сұрақтары:

1. Зиянды программалардың классификациясының параметрін атаңыз.
2. Орындалатын файлдың структурасына негізделген алгоритмдерді вирустардан тазалау қандай қадамдардан тұрады.
3. Жұқпалы объектілерде классификацияланған зиянды программалардың түрлерін атаңыз.