1.



Способы заражения программ

• метод приписывания. Код вируса приписывается к концу файла заражаемой программы, и тем или иным способом осуществляется переход вычислительного процесса на команды этого фрагмента;

• метод оттеснения. Код вируса располагается в начале зараженной программы, а тело самой программы приписывается к концу.

• метод вытеснения. Из начала (или середины) файла изымается фрагмент, равный по объему коду вируса, и приписывается к концу файла. Сам вирус записывается в освободившееся место. Разновидность метода вытеснения — когда оригинальное начало файла не сохраняется вообще. Такие программы являются убитыми насмерть и не могут быть восстановлены никаким антивирусом.

• прочие методы. Сохранение вытесненного фрагмента программы в кластерном хвосте файла и пр Стандартные методы заражения

Случай СОМ-программы. Тело вируса приписывается к концу файла, где-то внутри его сохраняются несколько (обычно, три) байтов оригинального начала программы, на их место записываются команды перехода на начало вируса. Когда вирус заканчивает выполнение предусмотренных им действий, он восстанавливает оригинальные байты начала программы и передает туда управление. Случай ЕХЕ-программы. Тело вируса приписывается к концу файла, в заголовке его модифицируются значения полей, определяющих местоположение точки входа и размер программы (иногда еще — местоположения стека). В результате управление получает вирусный код. По окончании работы вирус, используя сохраненные при заражении значения измененных полей, осуществляет переход на оригинальное начало программы.

ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) – СИСТЕМА

Была рассмотрена схема функционирования простого бутового вируса, живущего в загрузочных

секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы жестких дисков — винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record — главная загрузочная запись). Если жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). 9Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров.

Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов — программа начальнойзагрузки в MBR и программа начальной загрузки в boot-секторе загрузочного диска. Приведем обобщенный пример структуры программы-вируса. Она состоит из псевдокоманд DOS и подпрограмм — маленьких внутренних программ (составляющие их инструкции хранятся отдельно от главной программы), выполняющих некоторые специальные функции всякий раз, когда к ним обращаются.

this := findfile

LOAD (this)

loc := search (this)

insert (loc)

STORE (this)

Подпрограмма под названием findfile обращается к каталогу выполняемых файлов или программ на диске, берет произвольное имя файла и присваивает имя этого файла переменной this (этот). В следующей строке программы используется псевдокоманда DOS LOAD (загрузить), с помощью которой файл помещается в оперативную память компьютера. Другая подпрограмма под названием search (поиск) просматривает только что загруженную программу в поисках инструкции, которая могла бы послужить подходящим местом, куда можно занести вирус. Когда процедура search находит такую инструкцию, она определяет соответствующий номер строки и присваивает его в качестве значения переменной loc. Теперь все готово для того, чтобы подпрограмма-вирус могла проникнуть в произвольно выбранную из каталога программу. Подпрограмма insert (вставить) заменяет выбранную инструкцию другой (например такой, как вызов подпрограммы). Замененная инструкция передает управление блоку команд, составляющих главное тело подпрограммы-вируса, которая присоединяется к концу программы.Затем к концу добавленной подпрограммы присоединяется инструкция, возвращающая управление зараженной программе на инструкцию, следующую за вставленной. Таким образом, когда выполняется подпрограмма-вирус, выполняется также и подмененная инструкция зараженной программы. Исходная программа работает так, будто ничего особенного не произошло. Однако на самом деле подпрограмма-вирус воспользовалась каким-то мгновением, чтобы захватить власть над средствами операционной системы и прицепить свою копию к еще одной программе, хранящейся на диске. Приведенный пример демонстрирует лишь один из приемов, используемых авторами вирусов. В настоящее время специалисты выделили и другие приемы, отличающиеся друг от друга идеями и изощренностью выполнения. 2. Подготовительный этап контроля

Подготовительному этапу соответствует качественная оценка вибро- и звукоизоляции

помещения с целью выявления наиболее уязвимых мест с точки зрения утечки речевой

информации. Оценка должна содержать анализ архитектурно-планировочных и

конструктивных особенностей помещения, устройства его ограждающих конструкций (стен,

перекрытий, дверей, окон) и инженерно-технических систем (систем водо- и теплоснабжения,

вентиляции), неоднородностей в ограждающих конструкциях. Обследованию подлежат также

конструктивные особенности элементов отделки.

Далее определяется или уточняется степень конфиденциальности речевой информации и21

соответствие ее категории объекта защиты, а также соответствующее значение

нормированного показателя противодействия речевой разведке, руководствуясь которым

необходимо проводить инструментальный контроль.

Для уточнения условий речевой деятельности в контролируемом помещении проводится

слуховой контроль звукоизоляции ограждающих конструкций путем прослушивания без

инструментальных средств акустических сигналов из контролируемого помещения. В

качестве таких сигналов рекомендуется использовать естественную речь нормальной громко-

сти, записанную на магнитофон.

Оцениваются пространственные соотношения ограждающих конструкций помещения и

элементов технических систем относительно границы контролируемой зоны и прилегающих к

контролируемой зоне строительных объектов. Эти соотношения необходимы для

использования в расчетах эффективности защиты.

Определяются места возможного съема информации лазерными средствами и

направленными микрофонами, а также точки контроля для определения характеристик этих

каналов утечки информации.

Для направленных микрофонов место съема информации находится непосредственно за

ограждающей конструкцией помещения, видимое из-за границы контролируемой зоны.

Расстояние возможного съема информации определяется чувствительностью аппаратуры

технической разведки и устанавливается согласно данных ее модели.

Для средств лазерного съема информации контроль может производиться как прямым

способом так и косвенным. Для применения прямого способа контроля необходимо иметь

специальный имитатор ИК-излучения. Косвенный способ предполагает получение оценки по

результатам измерения виброзащищенности оконных стекол выделенного помещения, выхо-

дящих на разведопасные направления. Оценка проводится как для наружных, так и для

внутренних стекол. Для внутренних стекол оценка не обязательна, если между наружными и

внутренними стеклами находится светозащитный материал, либо наружное стекло покрыто

специальной светоотражающей пленкой.

Расстояние возможного съема информации определяется по данным модели

инженерно-технической разведки для направлений, близких к нормальным (30) по

отношению к поверхности стекла. Если к окнам возможен непосредственный доступ с

неохраняемой территории, то для них раз- ведопасными являются все направления.

Когда помещение расположено в здании высоко и для проведения контроля доступ

снаружи к нему затруднен, то инструментальный контроль проводится на аналогичном окне,

расположенном ниже, но имеющем аналогичные условия расположения по зашумленности

(выходящем на ту же сторону здания).

Оценка защищенности акустической информации от случайного прослушивания,

например, в приемной учреждения, проводится только по акустическому каналу.