NAJVÄČŠIA DATABÁZA
ŠTUDENTSKÝCH REFERÁTOV NA SLOVENSKU

Nájdi si dokument, ktorý potrebuješ v inom jazyku: SK CZ HU

Celkom referátov: (12584)

Jazykové kurzy, štúdium a pobyty v zahraničí
Prihlásenie Prihlásenie Registrácia
Pridaj svoju prácu

Referát Počítačové viry -

Odoslať známemu Stiahnuť Nahlásiť chybu Buď prvý, kto sa vyjadrí k tomuto príspevku (0)

Doplnkové informace o referáte:

Oblasť:Informatika

Autor: antiskola@antiskola.eu

Počet slov:2004

Počet písmen:11,703

Jazyk:Český jazyk

Orient. počet strán A4:6.50

Počet zobrazení / stiahnutí:3940 / 91

Veľkosť:13.51 kB

2. Pocítacové viry - definice, principy cinnosti. Nové trendy ve vývoji viru a antivirové ochrane.
Definice viru - potenciálne vykonatelný kód, který je pri svém vykonávání schopný vytváret další kód. Vetšinou vytvárí svoje kopie, které nemusí být shodné s originálem, zpravidla však vykonávají stejné funkce jako originál. Svoje spuštení virus zabezpecuje parazitem na jiném vykonatelném kódu. Krome množení muže virus vykonávat i jiné cinnosti, které vetšinou uživateli škodí, tím se liší od bežných pgm (formátování disku, zámerne provádené náhodné zmeny dat na disku, kmitání obrazu). Viry využívají rady technik, které znesnadnují jejich odhalení, analýzu a likvidaci.
Druhy viru - podle zpusobu šírení
Boot - ukládají se do master boot recordu (MBR) pevného disku a do boot sektoru diskety nebo disku. Bud se tam vloží celé telo viru, nebo pouze príkaz k odskoku na virus. Aktivuje se pri zavádení operacního systému z takto napadeného média, vcetne zapomenutých disket, které nemusí obsahovat systém! (v setupu je A:,C:)
Programové (souborové) - pripojují se k vykonatelným souborum (pgm), které mají príponu COM, EXE, BAT, OVL, OVR, BIN, SYS, APP, DLL nebo je prepisují svým kódem. Aktivují se pri spuštení napadeného souboru. Nejcastejší akcí viru je rezidentní uložení do pameti a postupné infikování dalších souboru. Dvojího typu – prepisující a prodlužující.
• Prepisující prepíše cást hostitelského kódu, aktivuje se pri spuštení zavirovaného souboru. Na diskete s datovými soubory se tento typ viru nemuže vyskytnout. Jsou snadno odhalitelné, nebot znicí hostitelský program (je nefunkcní, nebo cástecne).
• Prodlužující se šírí pripojením kódu viru k napadenému souboru tak, aby pracoval i nadále. Kód viru muže být na zacátku, konci, uvnitr nebo rozmísten po souboru, pricemž na zacátek umístí skok na svuj kód.
Doprovodné - pro aktivaci využívají vlastnosti DOSu. Pri zadání jména pgm na príkazové rádce bez prípony bude spušten soubor s príponou COM pred souborem EXE. Proto vir vytvárí v adresári skryté soubory COM se stejným názvem souboru EXE. Další možností je využití poradí zápisu adresáru v promenné PATH. Pak muže být virový soubor umísten v jiném adresári než cílový EXE (nebo COM) - vlevo v PATH.
Clusterové - neprovádejí zmeny v souborech, ale mení informace v adresárové položce daného souboru tak, že presmerují ukazatel pocátku souboru na kód viru. Tím je pred spuštením souboru aktivován vir. Kód viru je mimo napadený soubor.
Podle umístení v pameti
Rezidentní - schopnost setrvat po první aktivaci (spuštení infikovaného souboru, zavedení systému z nakaženého boot sektoru) rezidentne v operacní pameti. Rezidentnost pgm je vlastnost umožnující beh techto pgm na pozadí OS. Vir je tak schopen zasahovat kdykoliv a jakkoliv do cinnosti PC. Vetšina nejcasteji se vyskytujících viru je rezidentních, všechny bootovací viry jsou také rezidentní. Nove se objevily rezidentní viry pro W95, zavádené do systému pres systémový registr.
Nerezidentní - viry prímé akce, vždy souborové, po spuštení zavirovaného pgm virus prevezme rízení, provede replikaci nebo jinou destruktivní akci a predá rízení hostitelskému pgm, nezustávají trvale v pameti.
Podle chování, zpusobu vzniku a možnosti detekce
Stealth, substealth (utajené, poloutajené) - jsou speciální skupinou rezidentních viru, které se velice dumyslne maskují. Pri žádosti pgm (i AV) o zjištení údaju, které by vedly k odhalení, vrátí virus puvodní údaje. Skrývá napr. zmenu délky souboru, casu a datumu. Monitorují cinnost systému a napadají soubory pri spouštení, otevírání, kopírování. Vlastnosti stealth viru, které ho ciní težko odhalitelným - falšuje údaje nactené z disku tak, že nejen detekcní pgm je dostávají chybné (podstrcení puvodního obsahu boot sektoru, délky nakažených souboru zmenšené o velikost viru), umí dezinfikovat spouštený nakažený pgm, když je nacítán do pameti. Sub-stealth viry využívají pouze nekteré výše uvedené techniky. Tyto techniky muže využívat souborový i boot sektorový virus.
AV pgm proto používají speciální techniky pro zjištení skutecných údaju o pevném disku a pameti.
Kódované - kódují cást svého tela, a tím znesnadnují svou detekci AV pgm, disassemblování vlastních funkcí a umožnují ukrýt text v tele viru. Jestliže je kódování promenné, mluví se o polymorfním kódování a polymorfních virech.
Polymorfní - charakteristický znak této skupiny je skutecnost, že žádné ze dvou kopií virového tela nejsou stejné. Pocátek tela je tvoren u semipolymorfních viru dekódovací rutinou, která provede dekódování zbylé cásti tela viru v pameti po jeho spuštení. Existují ovšem i plne polymorfní viry, v jejich prípade jsou i dekódovací rutiny generovány ruznými zpusoby. Nejnovejší generace viru (napr. slovenský Running Line) si v pameti dekóduje vždy jen jednu instrukci, takže ho prakticky není možné detekovat. Objevují se také polymorfní makroviry (napr. Dictator), které se vyznacují neustálým generováním nových názvu náveští a zmenou príkazu. Takový virus lze najít prakticky jen heuristickými metodami detekce.
Hledají se algoritmickými metodami, protože není možné je odhalit za pomoci charakteristických retezcu (signatur) viru. Tyto viry mení svuj kód zakódováním, takže se liší predchozí a nová generace viru. Výjimkou je zpravidla jen dekódovací podprogram, který se nachází na zacátku viru. Vir muže být kódován i v pameti a kódování muže být použito i jako škodící funkce viru (zakódování cásti disku, která je prístupná pouze je-li virus aktivní v pameti).
Retroviry, odvetné - jsou úmyslne zamereny proti známým AV pgm. Aktivní vir muže modifikovat kód AV pgm nebo smazat jeho soubory, zastavit jeho cinnost, vyradit z cinnosti rezidentní AV pgm.
Vyhýbající se AV pgm - mají v sobe seznam názvu AV pgm jejichž napadení se vyhýbají (na rozdíl od retroviru). Tím oddalují své odhalení, nebot vetšina AV pgm si kontroluje integritu.
Specifických aplikací - napadající specifické konkrétní aplikace.
Tunelující - používají prímý vstupní bod (napr. porty radicu disku) pro komunikaci s BIOSem ci systémem, a tak obcházejí pametove rezidentní AV ochrany.
Multipartitní - mají vetší nadeji na prežití nebo se šírit, protože využívají nekolik technik infekce. Napr. infikují soubory i boot sektory. Na druhou stranu se zvetšuje možnost odhalení, protože se vyskytuje na více místech.
Metamorfické (kompilacní) - vygenerují do pameti pokaždé nového jedince. Typickým predstavitelem je slovenský virus TMS.
Makroviry - první zmínka se datuje k roku 1989 v souvislosti s tabulkovým procesorem Lotus1-2-3. Makrovirus je hrozbou ve všech aplikacích podporujících makrojazyk. Makrojazyk je interní soubor instrukcí dané aplikace, vytvorený za úcelem efektivnejšího využití pracovního prostredí. Mnoho pgm (kancelárské balíky typu MS Office) nabízí takové možnosti pro tvorbu maker, že lze s jejich pomocí vytvorit i “množivá makra”, které se mohou nepozorovane šírit stejne jako typický pocítacový virus.
Podle rychlosti šírení
Rychlé - aktivní v pameti napadají všechny pgm, které jsou otevreny. Jestliže není vir odhalen v pameti, muže pak prohledáváním disku (použitím AV pgm) být zavirován celý PC.
Pomalé - množí se pozvolna a nenápadne a tím snižují možnost odhalení. Zámerne odkládají svou reprodukci až když pgm modifikuje, kopíruje soubory.
Viry “vzácne” napadající - Napadají soubory po splnení jistých podmínek (urcité datum, délka, každý desátý soubor, vyhýbání se nekterým souborum podle názvu).
Projevy viru
Vnejší (mohou upozornit uživatele na prítomnost viru) - zpomalení zavedení pgm do pameti a snížení výkonu pocítace, zmenšování volného prostoru na pevném disku a systémové pameti, zmena atributu infikovaných souboru, poruchy pgm, ruzná hlášení na obrazovce a další speciální projevy, pokus o zápis na chránenou disketu, hlášení souboru o modifikaci, necekané bootování, zmeny jmen souboru, výskyt nových souboru.
Vnitrní (souvisí s jejich uložením, šírením, destruktivní cinností, aktivací atd.) - kód viru v operacní pameti nebo na disku, zmena systémových cástí disku (MBR, boot sektor¬), vektoru prerušení, zmeny ve spustitelných souborech, poškození datových souboru a zkrížené clustery (zámerné postupné poškozování FAT tabulky) nebo výskyt vadných clusteru na disku (virus se muže skrývat v neporušených oblastech disku, které si oznací jako vadné.
Další škodlivé programy
Cerv - pgm, který neinfikuje spustitelné soubory, jak je tomu v prípade viru, ale infikuje systémy tím zpusobem, že pomocí pocítacové síte rozširuje svoje kopie na pripojené PC. To zpusobuje problémy se zatížením síte a zahlcením diskového prostoru pripojených pocítacových stanic. Nejznámejší cerv je Velký internetovský cerv, který dokázal behem dvou dnu zasáhnout asi 6000 unixovských pracovních stanic.
Trojský kun - pgm provádející nejakou nedokumentovanou cinnost, o které uživatel neví a nemuže ji ovlivnit. Uživatel ocekává od pgm bežné funkce, napr. nainstaluje novou verzi pgm pro elektronickou poštu. Trojský kun neobsahuje žádnou replikacní rutinu, je proste pripojen k pgm a pred jeho spuštením vykoná vetšinou destrukcní akci.
Bomby logické - aktivacním symptomem muže být napr. zmena obsahu urcitého souboru, napr. odstranení copyrightu z hlavicky pgm, ci definovaná vstupní datová sekvence pgm.
Bomby casované - jsou logické bomby, jejichž rozbuška je nastavena na datum prípadne cas. Jsou známy prípady, kdy programátori opouštející firmu tímto zpusobem nacasovali znicení firemních databází.
Cásti viru
Reprodukcní - zajištuje šírení viru bez vedomí uživatele, reprodukce je u rady viru spojena i se zmenou zápisu programového kódu. Soucástí reprodukce u souborových viru bývá oznacování napadených souboru tak, aby soubor nebyl stejným virem napaden znovu.
Analytická - muže provádet analýzu cinnosti systému (kopírování a spouštení souboru, aktivní AV pgm v pameti) nebo analýzu pgm na disku (výber pgm pro napadení). Na základe výsledku analýzy provádí virus reprodukci, maskování, napadení AV pgm atd.
Akcní (destruktivní, manipulacní) - provedení škodlivé cinnosti i jiné projevy napr. zvukové. Postupná úprava dat na disku, preformátování disku, smazání souboru. Muže být spouštena prubežne, periodicky nebo jednorázove.
Spouštecí mechanismus - aktivování akcní cásti v závislosti na vyhodnocení ruzných faktoru (výskyt urcité kombinace kláves, datum a cas, urcitá doba od napadení PC, spuštení aplikace, dosažení poctu infikovaných souboru).
Maskovací - maskování statické a dynamické. Statické souvisí s reprodukcí (mutacní mechanismy, oddelené ukládání virového kódu). Dynamické maskování muže být provádeno v prípade, že je virus aktivní v pameti. Virus monitoruje tok informací v systému a informace mení tak, že disk nebo soubory, které nejsou obohaceny o kód viru resp. jsou zastreny škody v datech (prehozená data, k´dování cástí disku), vir muže napríklad skrývat i skutecný obsah disku nebo operacní pameti.

Šírení viru na lokální pocítac:
• vnejší pameti - pomocí disket, výmenných pevných disku (Bernoulli), magnetických pásek (streamer), magnetooptických disku, méne casto i disky CDROM, WROM, RAM kartami
• komunikacní linky - viry se mohou prenášet lokální i globální pocítacovou sítí, telefonními linkami, sériovou nebo paralelní linkou, i pres družicové vysílání.
Šírení viru na pocítacové síti:
• prenos ze serveru na podrízené PC v prípade nakažení spustitelných souboru na serveru je jednoduchý - spuštení nakaženého pgm uloženého na serveru
• prenos z podrízeného PC na server (spustitelné soubory serveru) je obtížný pri dobré ochrane spustitelných pgm na serveru
• prenos mezi podrízenými PC - výmena nakaženého souboru pres spolecný adresár na síti (tyto adresáre s právem zápisu je vhodné vubec nevytváret), nebo pomocí e-mailu
Zdroje šírení viru - diskety s nelegálne zkopírovanými pgm, diskety formátované na nakaženém PC, záložní instalacní diskety, diskety s datovými soubory, disketa s legálne zakoupeným SW, diskety kolující mezi studenty, bootovací diskety na ucebnách, stanice BBS, pevný disk s nainstalovaným SW, instalace nového HW, rozbalení zkomprimovaných souboru, obnova zrušených souboru, zámerné zavirování.
Trendy vývoje - propojování PC do celosvetové síte, rust velikosti pametových médií, obtížné prokazování autorství viru.Tvurci AV pgm jsou vždy o krok pozadu za tvurci viru.
Trendy vývoje viru
• Exponenciální tempo tvorby nových viru, roste kvalita, prenositelnost a všestrannost viru, nové generace viru a používání vyšších programovacích prostredku pro tvorbu viru (makroviry), zvyšování organizovanosti tvurcu viru.
• vytvorení pgm (mutátor pgm a viru), který zmení libovolný stávající pgm (virus) vložením nových instrukcí nebo zámenou instrukcí v pgm (napr. vložení škodlivé instrukce)
• budou se ve vetší míre objevovat cílené útoky viru proti AV pgm (odstranování kontrolních souctu u souboru, poškození, rozvoj stealth technik, náhrada datových souboru pro scanner, odstranení rezidentního AV pgm z pameti
• objeví se rada metod pro oklamání AV pgm - ztížení presné identifikace viru, soustredení tvurcu viru na síte.
Trendy vývoje antivirové ochrany
• Poroste vzdelanost a ukáznenost uživatelu. Prechod na bezpecnejší OS. Zabudování AV ochrany do OS a APV. Vývoj AV pgm proti neznámým virum.
• Zabudování AV ochrany do OS (založených na Jave) a APV, zabudování mnohoúrovnového prístupu uživatelu, zabudování systému ochrany dat, bezpecnejší zpusob uložení dat.
• Rust kvality AV pgm (Heuristická analýza).
• AV pgm budou umet vyhledat a odstranit neznámé viry.
• Užší kooperace a integrace do OS.
• Do vetšiny pgm bude zabudována již tvurcem pgm kontrola neporušenosti.
• AV pgm budou vybaveny vedle heuristické analýzy i umelou inteligencí schopnou analyzovat a likvidovat i neznámé viry
• úprava legislativy pro postih za tvorbu a šírení viru


Diskusia

Buď prvý, kto sa vyjadrí k tomuto príspevku (0)