1.1 Типы и классификация вредоносного ПО
В рамках данной работы не будут рассматриваться особенности борьбы с вредоносными программами, совмещающими черты вирусов с сетевой активностью и взаимодействием с создателем, а также трояны/бэкдоры. Хотя многие современные антивирусы могут также бороться с ними, данный функционал является в них лишь побочным компонентом более сложной комплексной системы борьбы с вредоносным ПО, разработка… Читать ещё >
1.1 Типы и классификация вредоносного ПО (реферат, курсовая, диплом, контрольная)
Классификация вредоносного кода возможна по следующим признакам:
- — цели и задачи вредоносного кода;
- — автономность;
- — способность к самовоспроизведению;
- — резидентность;
- — скрытность;
- — способность противодействовать уничтожению;
- — способ и стадия внедрения вредоносного кода в ИС;
- — поражаемые компоненты ИС.
Цели вредоносного кода позволяют классифицировать его на программ-парольных воров, хакерские утилиты, дропперов и так далее, но данная классификация ортогональна понятию «вируса» как механизмц работы вредоносного ПО и рассматриваться здесь не будет.
По автономности вредоносный код делится на полностью не автономный, требующий ручного внедрения в поражаемую систему злоумышленником и как правило не имеющий механизмов размножения (эксплойты, хакерские утилиты), слабоавтономный, требующий взаимодействия со злоумышленником для достижения своей цели (многие бэкдоры, троянские программы) и полностью автономный. Следует заметить что, будучи группой вредоносного кода, выделяемой по методу распространения, вирусы могут использовать как полностью независимый так и полуавтономный механизмы работы — в зависимости от целей создателя и типа полезной нагрузки. В теории большинству вирусов не обязательно взаимодействие с создателем, если не считать момента первоначального распространения.
Способность к самовоспроизведению — отличительная черта компьютерных вирусов. Вирусы, уничтожающие свою предыдущую копию при распространении практически не встречаются на практике.
Абсолютное большинство файловых вирусов поражают файлы в файловой системе, то есть являются резидентными в дисковой памяти. Самовоспроизводящийся код, поражающий только программы в памяти, сильно отличается от вирусов по алгоритмам работы и относится к червям.
Скрытность не является неотъемлемым качеством вирусов и нередко ограничивается маскировкой под поражаемый файл. Вредоносный код, производящий сокрытие от выявления путём перехвата системных вызовов, модификацией структур в памяти и так далее называется руткитами. Тем не менее, во многих современных и исторически успешных вирусах руткиты используются крайне специфичным образом, что должно учитываться при создании антивирусов.
Способность противодействовать уничтожению не является основной чертой вирусов и зачастую ограничивается пассивной защитой от изъятия из заражённого файла. Тем не менее, способность вредоносного кода активно противостоять удалению желательно учесть при создании антивирусных средств, выполняющих поиск и устранение вирусов в работающей системе.
В зависимости от способа и стадии внедрения выделяют следующие группы вредоносных программ:
- — загрузочные (поражающие код начальной загрузки системы);
- — поражающие исходный код программ;
- — поражающие объектный код программ;
- — поражающие двоичный код программ;
- — поражающие образ программы в памяти;
- — поражающие сетевой трафик;
- — поражающие архивированный исполняемый код
и многие другие. В настоящее время не существует элементов компьютерной системы, не поражавшихся компьютерными вирусами на какой-либо стадии их работы.
Из вышесказанного выведем следующие признаки вирусов, важные в рамках задачи написания антивирусной программы (в порядке убывания важности):
- — вирусы являются вредоносным ПО и наследуют все его общие черты (несанкционированный доступ у информации, разрушительные свойства);
- — вирусы способны к созданию как правило долгоживущих копий своего кода в постоянной памяти вычислительных устройств;
- — вирусы автономны, способны выполнять функции распространения и часть вредоносных действий, включая заражение элементов системы, без вмешательства создателя;
- — вирусы могут скрывать себя от обнаружения путём внедрения в существующие файлы, а также другими способами.
В рамках данной работы не будут рассматриваться особенности борьбы с вредоносными программами, совмещающими черты вирусов с сетевой активностью и взаимодействием с создателем, а также трояны/бэкдоры. Хотя многие современные антивирусы могут также бороться с ними, данный функционал является в них лишь побочным компонентом более сложной комплексной системы борьбы с вредоносным ПО, разработка аналогов которой по сложности и затратности находится вне рамок данной работы.