Описание общих принципов и рекомендаций по защите от некоторых видов вирусных атак

Ознакомление с результатами анализа поведения типичного вирусного программного обеспечения. Разработка общих рекомендаций для быстрого восстановления работоспособности Windows после вирусной атаки. Изучение простейшего пакетного файла сценария Windows.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 01.07.2016
Размер файла 74,0 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Государственное бюджетное образовательное учреждение высшего образования Московской области Университет «Дубна»

Описание общих принципов и рекомендаций по защите от некоторых видов вирусных атак

Гутовский Дмитрий Игоревич, студент

Аннотация

В данной статье описаны общие рекомендации для защиты от некоторых видов вирусных атак.

Ключевые слова: вирусная атака; защита; реестр Windows.

Введение

Целью данной статьи является проведение анализа поведения типичного вирусного ПО, поиск решений для устранения последствий с наименьшими усилиями, а также написание общих рекомендаций для быстрого восстановления работоспособности ОС Windows после вирусной атаки.

Актуальность данной темы обусловлена тем, что ОС Windows наиболее широко используется, и как следствие, чаще всего подвергается атаке. В данной статье описаны общие принципы работы и закономерности в поведении некоторых классов вредоносного ПО, а также способы устранения последствий их работы. Здесь не будут описываться алгоритмы работы реальных вирусов, но будут общие рекомендации по профилактическим и экстренным восстановительным мерам.

Задача состояла в анализе изменений реестра, которые вносились вирусным ПО. В основном изучались группы вирусов, направленных на остановку работы ОС (например, WinLock), которые делают невозможной дальнейшую работу ОС Windows, а следовательно, лишают пользователя возможности устранить последствия в штатном режиме, находясь в среде штатно установленной ОС. Также рассмотрены некоторые профилактические меры общего характера, актуальные не только при использовании ОС Windows.

В любой версии ОС Windows (начиная с Windows 95) имеется реестр, представляющий из себя базу данных, в которой хранятся записи параметров, необходимых для работы различного ПО - как установленного, так и входящего в состав самой ОС. Для любых ОС Windows имеются типичные секции реестра, которые не изменяются от версии к версии, для обеспечения совместимости при работе ПО в различных версиях Windows. Например, существуют типичные места для автоматического старта программ - такие как:

В реестре имеется множество секций, которые могут быть - как созданными изначально (при установкеWindows), так и создаваемыми другим ПО, для хранения его параметров.

В реестре Windows содержатся не только параметры старта, но и множество других параметров, необходимых для работы различного ПО. Например, сведения о лицензировании, персональных настройках и так далее.

Типичные секции реестра Windows, в том числе и те, которые отвечают за автозагрузку, как правило часто используются при работе различного вирусного ПО. Вирусы прописываются в эти секции, так как любая ОС Windows отреагирует на них одинаково без дополнительных настроек, что обеспечит наибольшую поражающую силу. Некоторые вирусы, например -Trojan WinLock, загружаются при старте любого пользователя Windows, поэтому приходится выполнять аварийное восстановление ОС, изменяя параметры её реестра, и при этом находиться за её пределами (например, при загрузке с различных дисков аварийного восстановления). На многих дисках могут содержаться антивирусные средства. Есть и такие диски, которые специально предназначены для этого (например - KasperskyRescueDisk). Однако, в базе сигнатур конкретного антивирусного ПО может не быть данной модификации вируса и/или могут отсутствовать драйвера сетевой карты в самой ОС, которая содержится на данном диске. Это лишает пользователя возможности подключиться к Интернету, и как следствие - не даёт обновить вирусную базу.

Несмотря на то, что коды различных вирусов постоянно совершенствуются и шифруются, поведение многих из них остаётся схожим, так как алгоритмы для реализации тех или иных команд Windows часто остаются неизменными. Зачастую, можно обойтись очисткой всех секций реестра, отвечающих за автозагрузку программ. Это даёт возможность отменить старт множества вирусов, затем штатно удалить сами файлы, содержащие их.

Ниже приведён пример простейшего пакетного файла сценария Windows, содержащего вредоносный код:

Данный код выполняет отключение диспетчера задач у всех пользователей. После этого прописывает себя в секцию реестра Windows, вместо стандартного проводника. Потом даёт команду на выключение компьютера с отсрочкой в 10 секунд, выводит предупреждающую надпись и копирует себя в папку Windows.

Так как в стандартном случае интерфейс Windows стартует автоматически, то прописанный в его секцию вирус будет стартовать вместо него у всех пользователей. Но даже после удаления файла с вирусом пользователь не получает интерфейс, так как вместо стандартной команды Explorer.exe в секции Shell прописан вирус, и проводник не стартует. Для возврата работоспособности ОС требуется вернуть стандартные значения в секции Shell и те, которые отвечают за диспетчер задач.

Конечно, этот вирус легко обойти. Например, зайдя в безопасном режиме с поддержкой командной строки. Плюс ко всему, код из BAT-скрипта легко читаем. Однако, это - не пример реального блокирующего вируса, а тестовый код, который показывает приблизительную логику работы такого класса вирусов.

Многие вирусы оставляют после себя неверные значения реестра, а некоторые из них и вовсе удаляются сами, после изменения вышеупомянутых. Как уже было сказано выше, полная очистка секций автозагрузки в большинстве случаев даёт положительный эффект. Очевидным преимуществом такого подхода являются простота и быстрое достижение результата.

Конечно, данный подход имеет множество недостатков. Например, все программы, которые загружались автоматически (за исключением тех, ссылки на которые помещены в папку автозагрузки), не будут загружаться сами, и пользователю нужно будет заново войти в эти программы и выставить соответствующие опции (например, в Skype и других программах). Но, чаще всего это не является проблемой. В большинстве случаев ОС не подвергается негативным изменениям, а блокировка снимается.

Также учтены и некоторые другие изменения, которые часто производятся вирусами, но которые можно вернуть к стандартным значениям, не навредив пользователю. Например, можно удалить файл HOSTS, и скачать новый - со стандартными значениями. Это нужно сделать для отмены работы вирусов, которые “блокируют” попадание на конкретный сайт, перенаправляя пользователя на другой. Так как файл hosts является локальной таблицей соответствия между доменным именем сайта и его IP-адресом (выполняет функцию базы DNS-сервера на конкретном компьютере), то при нахождении IP-адреса к нужному доменному имени Windowsпопадает именно по адресу, который написан в этом файле, а не отправляет запрос по цепочке DNS-серверов (для снижения нагрузки на них). Зачастую, вирусы типа “блокираторов соц. сетей” действуют именно так, меняя адрес конкретного сайта на подставной или локальный (127.0.0.1). Аналогично действуют и некоторые мошеннические программы: подменяют адрес сайта (например, банковского) на адрес сайта-имитатора, который полностью повторяет внешний вид оригинала, но на котором встроен скрипт, ворующий персональные данные. Такой ложный сайт может также не только отправить введённые данные в свои базы, но и передать их оригинальному сайту, перенаправив пользователя на него. Ничего не подозревающий пользователь набирает верное доменное имя, попадает на идентичный по внешнему виду сайт, вводит свои данные и авторизуется уже на оригинальном сайте, при этом не догадываясь, что его данные продублированы злоумышленникам и переданы третьим лицам.

Для исключения таких проблем можно удалить файл hosts, а также не лишним будет очистка кэшей браузеров и удаление сомнительных расширений (дополнений). Также следует отключить разрешение на автоматическую установку и обновление расширений в настройках браузера для всех сайтов. Аналогично стоит поступить и с авто перенаправлениями на другие страницы. windows программный файл

Также, в качестве меры предосторожности можно создать несколько закладок с часто посещаемыми сайтами, в которых прописать их прямой IP-адрес, а не доменное имя. В этом случае соответствие не потребуется, и запрос пользователя будет попадать прямо на прописанный конкретный адрес. Есть множество сервисов, на которых можно узнать IP-адрес конкретного сайта. Например, на сайте 2ip.ru имеется сервис для определения своего IP, IP других сайтов, измерения скорости интернет соединения и так далее.

Также следует отключить авто-сохранение паролей, и вообще авторизоваться на сайтах в “приватном” режиме, когда браузер не запоминает историю посещений и не сохраняет файлы cookie, так как эта информация может быть украдена вирусом.

Также следует создать отдельного пользователя с ограниченными правами, а лучше - виртуальную машину с отдельной гостевой ОС. Это нужно в случаях, когда есть необходимость переходить по сомнительным ссылкам. В гостевой ОС не следует оставлять своих данных, иначе она станет бесполезна для вышеприведённой ситуации. На виртуальной машине, которая создана для этих целей, не следует авторизоваться на проверенных сайтах, оставлять какие-либо конфиденциальные данные, пароли и так далее. Существует множество программ для работы с виртуальными машинами. Например, Oracle Virtual Box (бесплатная), VMWare (платная) и так далее. Общий принцип создания и настройки виртуальной машины достаточно прост. Все программы подобного рода эмулируют работу различных основных устройств (видеокарты, звуковой платы и т.д.). Под эти виртуальные устройства имеются пакеты драйверов, которые идут в комплекте с самой программой для работы с ВМ. Гостевая ОС работает не с реальными устройствами, а с эмулированными, а сама программа для работы с ВМ преобразует команды реальных устройств в команды для работы с виртуальными. Также эмулируется работа отдельного ПЗУ, который является файлом (или набором файлов), реальная разметка накопителей и файловые системы разделов - не затрагиваются. Такой подход делает возможной изоляцию гостевой ОС от основной, а также делает гостевую ОС программно-независимой от реального оборудования. Однако, стоит помнить, что ресурсы для работы виртуальной машины даёт основная ОС, а сама она берёт их от реального оборудования, распределяя ресурсы между приложениями. Если работает виртуальная машина, то вирусы, проникшие на неё, не поразят основную ОС, так как гостевая ОС работает на более высоком уровне абстракции, чем основная, и программа для запуска виртуальных машин работает как обычное приложение в основной ОС.

Заключение

В заключение хотелось бы отметить, что даже соблюдение всех вышеупомянутых мер не является панацеей, однако существенно снижает вероятность атаки на пользователя. Ещё раз подведу краткий список рекомендаций:

· При блокировке Windows вирусным ПО, очищать все места автозагрузки;

· Запретить изменения файла hosts (все изменения вносить только вручную, при необходимости);

· Запретить автоматическую установку расширений (дополнений) браузеров;

· Запретить автоматические перенаправления на другие страницы;

· Не использовать авто-сохранение паролей;

· Периодически очищать кэши браузеров;

· Авторизоваться на сайтах в “приватном” режиме;

· Не сохранять/удалять файлы cookie, для сайтов, требующих авторизации;

· Использовать виртуальную машину с гостевой ОС, для посещения сомнительных ресурсов в Интернете, а также для работы с неизвестным ПО.

Библиографический список

1.Официальный сайт компании Microsoft [Электронный ресурс] URL: https://www.microsoft.com (дата обращения: 03.10.2015)

2.Официальный сайт лаборатории Касперского [Электронный ресурс] URL:http://www.kaspersky.ru (дата обращения: 03.10.2015)

3.Официальный сайт компании Dr.Web[Электронный ресурс] URL:http://www.drweb.ru (дата обращения: 03.10.2015)

4.Официальный сайт компании AvastSoftware [Электронный ресурс] URL:https://www.avast.ru/ (дата обращения: 03.10.2015)

5.Официальный сайт компании VBA [Электронный ресурс] URL:http://www.anti-virus.by (дата обращения: 03.10.2015)

6.Официальный сайт компании Symantec[Электронный ресурс] URL:https://www.symantec.com (дата обращения: 03.10.2015)

Размещено на Allbest.ru

...

Подобные документы

  • Описание области применения операционной системы (ОС) Windows 7, ее основные характеристики и причины для сбоев в работе. Выбор программного обеспечения и алгоритма для диагностики и восстановления ОС. Расчет экономических затрат на реализацию проекта.

    дипломная работа [2,3 M], добавлен 10.04.2017

  • Назначение команды "diskcomp". Текст и запуск командного файла. Сравнение команды в Windows 7 и Windows XP. Разработка файла-сценария в ОС Linux. Создание файла в подкаталоге. Создание файла "oglavlenie.txt" с отсортированным по времени списком файлов.

    курсовая работа [1,6 M], добавлен 22.08.2012

  • Методика исследования и анализа средств аудита системы Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин. Анализ угрозы информационной безопасности. Алгоритм работы программного средства.

    дипломная работа [2,9 M], добавлен 28.06.2011

  • Изучение общих понятий операционной системы Android, разработанной для коммуникаторов, планшетных компьютеров, основанной на ядре Linux. Разработка программного обеспечения Android. Преимущества и недостатки мобильной операционной системы Windows Mobile.

    реферат [60,6 K], добавлен 16.04.2012

  • Изучение технических возможностей операционной системы Windows XP – ОС семейства Windows NT корпорации Microsoft. Особенности интегрированного программного обеспечения. Дополнительные аплеты в панели управления Windows. Графический интерфейс пользователя.

    презентация [7,4 M], добавлен 23.05.2010

  • Появление и развитие Microsoft. Крупнейшая в мире компания-разработчик компьютерного программного обеспечения. Появление Windows и Интернета. Выход Windows XP с обновленным дизайном. Разработка интеллектуальных функций для обеспечения безопасности.

    реферат [32,7 K], добавлен 19.11.2013

  • Новая операционная система – Windows Vista. Новая интеллектуальная технология управления системной памятью. Обеспечение совместимости. Преимущества Windows Vista перед Windows XP. Варианты программного обеспечения Windows Vista. Свойство мобильности.

    реферат [18,6 K], добавлен 19.11.2008

  • Изучение общих возможностей операционной системы Windows, осуществление навигации по ее структурам с помощью мышки. Порядок работы с программами, окнами и справочной информацией. Основные операции над папками и файлами. Построение структуры каталогов.

    лабораторная работа [156,1 K], добавлен 23.10.2013

  • Архитектура Windows NT 5. Приоритеты выполнения программного кода. Описание формата MIDI-данных. Установка драйвера в системе. Выбор средств разработки программного обеспечения. Обработка запросов драйверной модели WDM. Использование библиотеки DirectKS.

    курсовая работа [498,8 K], добавлен 24.06.2009

  • Теоретические сведения о возможностях Microsoft.NET. Разработка Windows-приложения на платформе Microst.NET: функциональное назначение, описание логической структуры, изучение требований по установке и техническому обеспечению программного продукта.

    курсовая работа [3,8 M], добавлен 28.06.2011

  • История создания. Windows 9x/NT. Операционная система Microsoft Windows. Преимущества и недостатки Windows. Некоторые клавиатурные комбинации Windows 9x и NT. Windows XP Professional. Наиболее совершенная защита.

    реферат [19,3 K], добавлен 18.07.2004

  • Управление задачами и процессами, запускаемыми под управлением Microsoft Windows. Учетные записи пользователей Windows. Установка оборудования и программного обеспечения. Изменение параметров и удаление учетной записи. Проверка дисков на наличие ошибок.

    реферат [2,7 M], добавлен 23.05.2012

  • Протоколирование событий Windows, общее описание и значение, принципы и обоснование данного процесса. Модель безопасности Windows XP Professional, ее основополагающие элементы и эффективность. Центр обеспечения безопасности Windows, его структура.

    контрольная работа [47,0 K], добавлен 07.05.2012

  • Создание системной утилиты, работающей с реестром ОС Windows; структура, функции и роль реестра. Разработка программного обеспечения: интерфейс, структурная схема вызовов окон приложений; реализация и тестирование программы, процедуры; листинг модулей.

    курсовая работа [1,2 M], добавлен 01.06.2013

  • Характеристика операционной системы. История развития Windows. Сравнительная характеристика версий Windows. Элементы и инструменты Windows XP. Прикладные программы в Windows XP. Работа настольных и портативных компьютеров под управлением Windows.

    доклад [19,1 K], добавлен 16.10.2011

  • Ознакомление с общей организацией компьютерного класса учреждения "Гуманитарно-экономический колледж". Рассмотрение используемых операционных систем (Windows XP Professional SP 2). Описание специализированного прикладного программного обеспечения.

    отчет по практике [26,2 K], добавлен 10.06.2015

  • Общее понятие об оперативной системе Windows Vista. Сравнительный анализ систем Windows XP и Windows Vista. Специфика процесса установки, трехмерный интерфейс Aero Glass, действие некоторых мини-приложений. Новости управления папками, работа в интернете.

    реферат [2,4 M], добавлен 01.02.2010

  • Эволюция графических пользовательских интерфейсов. Устройство системы X Window и менеджеры окон. Описание рабочего стола и приложения KDE и GNOME. Обзор основных принципов организации интерфейса в системе Windows, описание пакета ее прикладных программ.

    реферат [1,8 M], добавлен 15.02.2012

  • Общая характеристика используемых типов параметров дерева реестра в разных версиях Windows. Сравнение способов хранения реестров Windows. Анализ взаимосвязи между кустами реестра и соответствующими им файлами. Понятие, сущность и значение reg-файла.

    реферат [420,2 K], добавлен 04.10.2010

  • Системные требования для установки программного обеспечения Windows XP Professional, особенности его интерфейса, структуры, возможностей, практическое применение и круг пользователей. Характеристика работы приложений операционной системы, ее надежность.

    презентация [1020,0 K], добавлен 02.02.2010

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.