Руткиты и средства защиты
Руткиты
Руткиты - это программы или набор программ и файлов, пытающихся скрывать свое присутствие, даже если владелец зараженной машины прикладывет определённые усилия к их розыску или удалению. Руткиты содержат ПО, которые могут быть установлены вирусами, шпионами. Это программы определённым образом маскируются.
1. Руткиты во встроенном ПО. Могут прятататься за счёт перезаписи BIOS той копией, в которой они находятся и получать управление при каждом запуске машины или функции BIOS.
2. Руткиты-гипервизоры - коварная разновидность, способная запускать всю ОС и ПО на виртуальной машине под своим управлением.
3. Руткиты в ядре. Наиболее распространённая разновидность, заражает ОС, прячась в ней в виде драйверов устройств или загружаемых модулях ядра. Часто это происходит при замене большого сложного часто модифицируемого драйвера на новый, в котором старый драйвер + руткит.
4. Руткиты в библиотеках. Например, в системных библиотеках, например libe в Linux. Даёт возможность проверять системные вызовы, изменяя их по своему усмотрению.
5. Руткиты в приложениях. Особенно в больших прикладных программах, создающих в процессе работы большое количество файлов, таких как профили пользователя и других.
Методы обнаружения
1. Метод, основанный на хронометрировании, особенно устройств виртуального ввода-вывода. Предположим, что считывание регистра на машине часто повторяется. В виртуальной среде значения регистра поступают из памяти и время считывания зависит от ее типа (Кэш 1-ого, 2-ого уровней). Программа засчитывает время между этими действиями.
2. Замеры времени на выполнение привилегированных команд, особенно тех, которые при эмуляции заменяют в десяти-сотни раз больше времени.
3. Определение руткита для ОС. Его трудно обнаружить, так как при ОС доверять нельзя. В этом случае загрузка компьютера происходит с внешнего носителя.
Средства защиты
Одно из наиболее важных понятий - глубокая эшелонированность обороны. Идея состоит в наличии нескольких уровней безопасности. При порыве одного из них будут оставаться ещё и другие.
1. Брандмауэр
Работает со входящими и исходящими опасностями. Входящие включают взлом и вирусы, исходящие - нарушение конфиденциальности данных. Поскольку поток данных - это битовый подход. Механизм брандмауэра или фаэрвола является адаптацией идеи средневекового защитного фильтра. Такой приём возможен при работе в сети, даже если она включает множество локальных сетей, весь электронный поток направляется через электронный подъёмный мост - брандмауэр. Он поставляется в программном и аппаратном видах.
Руткиты - это программы или набор программ и файлов, пытающихся скрывать свое присутствие, даже если владелец зараженной машины прикладывет определённые усилия к их розыску или удалению. Руткиты содержат ПО, которые могут быть установлены вирусами, шпионами. Это программы определённым образом маскируются.
1. Руткиты во встроенном ПО. Могут прятататься за счёт перезаписи BIOS той копией, в которой они находятся и получать управление при каждом запуске машины или функции BIOS.
2. Руткиты-гипервизоры - коварная разновидность, способная запускать всю ОС и ПО на виртуальной машине под своим управлением.
3. Руткиты в ядре. Наиболее распространённая разновидность, заражает ОС, прячась в ней в виде драйверов устройств или загружаемых модулях ядра. Часто это происходит при замене большого сложного часто модифицируемого драйвера на новый, в котором старый драйвер + руткит.
4. Руткиты в библиотеках. Например, в системных библиотеках, например libe в Linux. Даёт возможность проверять системные вызовы, изменяя их по своему усмотрению.
5. Руткиты в приложениях. Особенно в больших прикладных программах, создающих в процессе работы большое количество файлов, таких как профили пользователя и других.
Методы обнаружения
1. Метод, основанный на хронометрировании, особенно устройств виртуального ввода-вывода. Предположим, что считывание регистра на машине часто повторяется. В виртуальной среде значения регистра поступают из памяти и время считывания зависит от ее типа (Кэш 1-ого, 2-ого уровней). Программа засчитывает время между этими действиями.
2. Замеры времени на выполнение привилегированных команд, особенно тех, которые при эмуляции заменяют в десяти-сотни раз больше времени.
3. Определение руткита для ОС. Его трудно обнаружить, так как при ОС доверять нельзя. В этом случае загрузка компьютера происходит с внешнего носителя.
Средства защиты
Одно из наиболее важных понятий - глубокая эшелонированность обороны. Идея состоит в наличии нескольких уровней безопасности. При порыве одного из них будут оставаться ещё и другие.
1. Брандмауэр
Работает со входящими и исходящими опасностями. Входящие включают взлом и вирусы, исходящие - нарушение конфиденциальности данных. Поскольку поток данных - это битовый подход. Механизм брандмауэра или фаэрвола является адаптацией идеи средневекового защитного фильтра. Такой приём возможен при работе в сети, даже если она включает множество локальных сетей, весь электронный поток направляется через электронный подъёмный мост - брандмауэр. Он поставляется в программном и аппаратном видах.
Кроме IP-адресов, они имеют номер порта, который определяет, какой процесс на машине получает пакет с определёнными портами связаны службы.
Антивирусные технологии
Работают по принципу сканирования каждого исполняемого файла и проверки его по известным базам данных.
Программы проверки целостности
После сканирования диска определяется контрольная сумма для каждого исполняемого файлов. Список контрольных сумм записывается в файл checksum в том же каталоге, при следующем запуске контрольные суммы вычисляются заново и проверяются.
Программы, контролирующие поведение
Суть работы в том, что антивирусная программа самостоятельно отлавливает системные вызовы, отслеживая все действия в системе и выявляя подозрительные. Например, никакая обычная программа не будет перезаписывать загрузочный сектор. Программы могут отделяться от своих процессов и становиться резидентами. В этом случае выдаётся предупреждение.
Комментарии
Отправить комментарий