Скачать презентацию Вирусы и антивирусные программы Прежде всего вирус Скачать презентацию Вирусы и антивирусные программы Прежде всего вирус

Вирусы и антивирусные программы.ppt

  • Количество слайдов: 42

Вирусы и антивирусные программы Вирусы и антивирусные программы

Прежде всего, вирус это программа. Вирус программа, обладающая способностью к самовоспроизведению. Компьютерный вирус – Прежде всего, вирус это программа. Вирус программа, обладающая способностью к самовоспроизведению. Компьютерный вирус – это специально, а также написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам выполнять различные нежелательные действия на компьютере.

Классификация вирусов среда обитания; способ заражения среды обитания; воздействие; особенности алгоритма. Классификация вирусов среда обитания; способ заражения среды обитания; воздействие; особенности алгоритма.

Среда обитания Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом Среда обитания Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

Способ заражения среды обитания Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти Способ заражения среды обитания Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п. ) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

Степень воздействия Неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и Степень воздействия Неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких либо графических или звуковых эффектах. Опасные вирусы, которые могут привести к различным нарушениям в работе компьютера. Очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Особенности алгоритма Простейшие вирусы паразитические, они изменяют содержимое файлов и секторов диска и могут Особенности алгоритма Простейшие вирусы паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Вирусы-мутанты (наиболее трудно обнаружить) содержат алгоритмы шифровки расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Квазивирусные или «троянские» программы не способны к самораспространению, но маскируются под полезную программу и разрушают загрузочный сектор и файловую систему дисков.

Признаки появления вирусов прекращение работы или неправильная работа ранее успешно функционировавших программ; медленная работа Признаки появления вирусов прекращение работы или неправильная работа ранее успешно функционировавших программ; медленная работа компьютера; невозможность загрузки операционной системы; исчезновение файлов и каталогов или искажение их содержимого; изменение даты и времени модификации файлов; изменение размеров файлов; неожиданное значительное увеличение количества файлов на диске; существенное уменьшение размера свободной оперативной памяти; вывод на экран непредусмотренных сообщений или изображений; подача непредусмотренных звуковых сигналов; частые зависания и сбои в работе компьютера ;

вывод на экран непредусмотренных сообщений или изображений; подача непредусмотренных звуковых сигналов; неожиданное открытие вывод на экран непредусмотренных сообщений или изображений; подача непредусмотренных звуковых сигналов; неожиданное открытие и закрытие лотка CD ROM устройства; произвольный, без вашего участия, запуск на компьютере каких либо про грамм; при наличии на вашем компьютере межсетевого экрана, появление предупреж денийо попытке какой либо из программ вашего компьютера выйти в Интернет, хотя вы это никак не инициировали.

Методы защиты от компьютерных вирусов общие средства защиты информации, которые полезны также и как Методы защиты от компьютерных вирусов общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя; профилактические меры, позволяющие уменьшить вероятность заражения вирусом; специализированные программы для защиты от вирусов.

Антивирусные программы Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных Антивирусные программы Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.

Виды антивирусных программ программы детекторы программы доктора или фаги программы ревизоры программы фильтры Виды антивирусных программ программы детекторы программы доктора или фаги программы ревизоры программы фильтры

Программы-детекторы Осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах Программы-детекторы Осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора (фаги, программы-вакцины) Не только находят зараженные вирусами файлы, но и «лечат» их, т. Программы-доктора (фаги, программы-вакцины) Не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. программы доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton Anti. Virus, Doctor Web.

Программы-ревизоры Относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, Программы-ревизоры Относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» Представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при Программы-фильтры или «сторожа» Представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться: попытки коррекции файлов с расширениями COM, EXE изменение атрибутов файла прямая запись на диск по абсолютному адресу запись в загрузочные сектора диска загрузка резидентной программы При попытке какой либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы фильтра является программа Vsafe.

Вакцины или иммунизаторы Это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы Вакцины или иммунизаторы Это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы вакцины имеют ограниченное применение. Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Межсетевой экран (МЭ) Это система межсетевой защиты, позволяющая разделить общую сеть на две части Межсетевой экран (МЭ) Это система межсетевой защиты, позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet. МЭ пропускает через себя весь трафик, принимая для каждого проходящего пакета решение – пропускать его или отбросить.

Fire. Wall 1 Межсетевой экран Fire. Wall 1 компании Check Point Software Technologies — Fire. Wall 1 Межсетевой экран Fire. Wall 1 компании Check Point Software Technologies — это брандмауэр экспертного уровня, реализующий передовую технологию фильтрации пакетов с контролем состояния соединения (Stateful Inspection Technology). Дистрибутивный компакт диск содержит инсталляционные варианты данного брандмауэра для Windows NT, а также таких разновидно стей. UNIX, как Sun. OS, Solaris и HP UX.

Активное сетевое управление. Полностью интегрированное с сетевой безопасностью это свойство дает управление конфигурацией Активное сетевое управление. Полностью интегрированное с сетевой безопасностью это свойство дает управление конфигурацией сети в ре альном масштабе времени, включая учет и мониторинг текущих соедине ний, балансировку нагрузки и экспорт записей журнала в базу данных Informix. Синхронизация и балансировка загрузки. Разные модули Fire. Wall, рабо тающие на разных машинах могут разделять информацию о состоянии сетевых соединений и обновлять ее друг у друга. В дополнение, синхро низированные модули Fire. Wall могут заменять друга в случае, когда один из них прекращает работать. Балансировка загрузки позволяет рас пределятьвычислительную нагрузку по любому числу серверов.

Возможности Fire. Wall 1 Аутентификация пользователей и сессий. Пользователям не нужно открывать отдельный сеанс Возможности Fire. Wall 1 Аутентификация пользователей и сессий. Пользователям не нужно открывать отдельный сеанс аутентификации с брандмауэром для того, чтобы аутентифицироваться. Вместо этого, Fire Wall 1 перехватывает сессии FTP, HTTP, TELNET и RLOGIN, проходящие через него, и пропускает их через соответствующих посредников. Аутентификация сессий может быть использована для аутентификации любого сервиса с точностью до сеанса. Проверка содержимого информационного потока. Эта возможность дает администратору прекрасные инструменты для Web , Mail , FTP соединений, включая антивирусную проверку передаваемых файлов, управление доступом к определенным сетевым ресурсам (например URL's, файлы и т. д. ) и командам протокола SMTP. Трансляция адресов. Пользователи Windows и X/Motif GUI теперь могут назначать правила трансляции адресов с использованием знакомого представления базы правил. Правила трансляции адресов могут быть сгенерированы автоматически на любой платформе.

Криптографическая защита потока сообщений Fire. Wall 1 обеспечивает безопасную двунаправленную связь через Internet на Криптографическая защита потока сообщений Fire. Wall 1 обеспечивает безопасную двунаправленную связь через Internet на основе криптографического закрытия и подписи пакетов сообщений. При этом поддерживается безопасность обмена данными как между локальными сетями, так и при удаленном доступе к локальной сети.

Архитектура Fire. Wall 1 Состоит из модуля инспекции, реализующего фильтрацию пакетов с контролем состояния Архитектура Fire. Wall 1 Состоит из модуля инспекции, реализующего фильтрацию пакетов с контролем состояния соединения, посредников для прикладных сервисов, подсистемы криптографической защиты трафика и модуля управления с графическим интерфейсом.

Модуль инспекции Fire. Wall 1 Динамически загружается в ядро операционной системы между канальным и Модуль инспекции Fire. Wall 1 Динамически загружается в ядро операционной системы между канальным и сетевым уровнем модели OSI, перехватывая весь пакетный трафик для определения соответствия пакета ряду условий. Когда приходит первый пакет нового соединения, модуль проверки Fire. Wall 1 проверяет базу правил для определения, должно ли быть разрешено это соединение. Как только соединение установлено, Fire. Wall 1 добавляет его во внутреннюю таблицу соединений. Из соображений эффективности, последующие пакеты установленного соединения проверяются по таблице соединений, а не по базе правил. Пакету разрешается быть переданным, только если соединение имеется в таблице соединений.

Выполняя фильтрацию, модуль инспекции Fire. Wall 1 извлекает и анализирует данные, полученные от Выполняя фильтрацию, модуль инспекции Fire. Wall 1 извлекает и анализирует данные, полученные от всех уровней коммуникаций. Эти данные о "состоянии" и "контексте" запоминаются и обновляются динамически, обеспечивая виртуальную информацию о сессии для отслеживания протоколов без установки соединений (таких как RPC и приложений, основанных на UDP). Данные, собранные из состояний соединений и приложений, конфигурации сети и правил безопасности, используются для принятия соответствующего решения. Любой трафик, который намеренно не разрешен правилами безопасности, блокируется по умолчанию, и одновременно в режиме реального времени генерируются сигналы оповещения, обеспечивая системного администратора полной информацией о состоянии сети.

Политика безопасности Fire. Wall 1 выражается в виде базы правил и свойств. База Политика безопасности Fire. Wall 1 выражается в виде базы правил и свойств. База правил — это упорядоченный набор правил, с помощью которых проверяется каждое соединение. Если источник соединения, назначение и тип сервиса соответствуют правилу, с соединением будет выполнено действие, описанное в правиле. Если соединение не соответствует ни одно муиз правил, оно блокируется, в соответствии с принципом "Что специально не разрешено, всегда запрещено".

Fire. Wall 1 позволяет администратору определять политику безопасности для каждого пользователя, где не Fire. Wall 1 позволяет администратору определять политику безопасности для каждого пользователя, где не только источник соединения, пункт назначения и сервис проверяются, но и каждый пользователь должен быть аутентифицирован. Более того, соединения могут быть разрешены или запрещены исходя из их содержания. К примеру, почта, связанная с определенными адресами получателя и отправителя, может быть запрещена или перенаправлена. Кроме того, может быть запрещен доступ к заданным URL и включена антивирусная проверка над передаваемыми файлами. Аутентификация пользователей и конечных узлов, а также проверка содержимого пакетов сообщений обеспечиваются посредниками Fire. Wall 1 для прикладных сервисов.

Наилучшим из известных в настоящее время сертифицированных аппаратно программных комплексов, способных решить проблему Наилучшим из известных в настоящее время сертифицированных аппаратно программных комплексов, способных решить проблему защиты от всевозможных атак "извне", является разработанный "Информзащитой" "Континент К", являющийся реализацией идеологии VPN (Virtual Private Network), т. е. безопасный доступ в корпоративную сеть через Internet (для авторизованных удаленных пользователей. При этом используется протокол РРТР (Point to Point Tunelling Protocol — туннельный протокол точка), который создает в общей сети безопасный «туннель» , через который «прозрачно» проходит весь трафик.

Технология VPN Позволяет формировать виртуальные защищенные каналы в сетях общего пользования (Internet), гарантирующие конфиденциальность Технология VPN Позволяет формировать виртуальные защищенные каналы в сетях общего пользования (Internet), гарантирующие конфиденциальность и достоверность информации.

VPN сеть Представляет собой объединение локальных сетей (ЛВС) или отдельных компьютеров, подключенных к сети VPN сеть Представляет собой объединение локальных сетей (ЛВС) или отдельных компьютеров, подключенных к сети общего пользования, в единую защищенную виртуальную сеть.

Причины использования VPN низкой стоимость эксплуатации за счет использования сетей общего пользования вместо собственных Причины использования VPN низкой стоимость эксплуатации за счет использования сетей общего пользования вместо собственных или арендуемых линий связи; практически неограниченная масштабируемость; простота изменения конфигурации и наращивания корпоративной сети; “прозрачностью” для пользователей и приложений.

Аппаратно программный комплекс Аппаратно программный комплекс "Континент К" Предназначен для обеспечения защиты конфиденциальной информации в корпоративных VPN сетях, использующих протоколы семейства TCP/IP.

Аппаратно программный комплекс “Континент К” обеспечивает защиту внутренних сегментов сети от несанкционированного доступа со Аппаратно программный комплекс “Континент К” обеспечивает защиту внутренних сегментов сети от несанкционированного доступа со стороны пользователей сетей общего пользования; скрытие внутренней структуры защищаемых сегментов сети; криптографическую защиту данных, передаваемых по каналам связи сетей общего пользования между защищаемыми сегментами сети (абонентскими пунктами); безопасный доступ пользователей VPN к ресурсам сетей общего пользования; централизованное управление настройками VPN устройств сети.

Комплекс “Континент К” включает в свой состав следующие компоненты центр управления сетью криптогра фических Комплекс “Континент К” включает в свой состав следующие компоненты центр управления сетью криптогра фических шлюзов; криптографический шлюз; программа управления сетью криптогра фических шлюзов.

Центр управления сетью (ЦУС) Осуществляет управление работой всех КШ, входящих в состав виртуальной сети. Центр управления сетью (ЦУС) Осуществляет управление работой всех КШ, входящих в состав виртуальной сети. ЦУС осуществляет контроль над состоянием всех зарегистрированных КШ, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления КШ, обеспечивает получение и хранение содержимого системных журналов КШ, а также ведение журнала событий НСД.

Криптографический шлюз (КШ) Обеспечивает криптографическую защиту информации при ее передаче по открытым каналам сетей Криптографический шлюз (КШ) Обеспечивает криптографическую защиту информации при ее передаче по открытым каналам сетей общего пользования и защиту внутренних сегментов сети от проникновения извне.

Программа управления Обеспечивает отображение состояний КШ, просмотр содержимого системных журналов КШ, изменение настроек маршрутизации Программа управления Обеспечивает отображение состояний КШ, просмотр содержимого системных журналов КШ, изменение настроек маршрутизации и правил фильтрации пакетов.

Защита соединения «точка» Защита соединения «точка»

Защита соединения «точка» Предполагает использование КШ для защиты данных, передаваемых по неконтролируемой территории между Защита соединения «точка» Предполагает использование КШ для защиты данных, передаваемых по неконтролируемой территории между двумя защищенными сегментами территориально разделенных ЛВС через сеть Internet или по выделенному каналу связи. Обеспечивается шифрование и имитозащита данных, передаваемых между двумя защищенными сегментами разделенной ЛВС. Управление параметрами КШ осуществляется из той ЛВС, в которой установлена программа управления и на криптошлюзе которой установлен центр управления сетью.

Защищенная корпоративная VPN сеть Защищенная корпоративная VPN сеть

Защищенная корпоративная VPN сеть Предполагает, что защищаемые сегменты сети предприятия объединены между собой через Защищенная корпоративная VPN сеть Предполагает, что защищаемые сегменты сети предприятия объединены между собой через каналы передачи данных сети общего пользования (выделенные каналы различной пропускной способности, в том числе сеть Internet). В этом случае обеспечивается: шифрование и имитозащита данных, передаваемых по каналам связи; аутентификация удаленных абонентов; фильтрация входящих и исходящих IP пакетов; скрытие внутренней структуры каждого защищаемого сегмента сети; распределение и управление сменой ключей шифрования.

Для централизованного управления работой КШ (настройка, контроль состояния, распределение ключей шифрования и т. Для централизованного управления работой КШ (настройка, контроль состояния, распределение ключей шифрования и т. д. ) используются центр управления сетью и программа управления. Центр управления сетью устанавливается на одном из криптошлюзов сети. Программа управления может быть установлена на компьютерах внутри защищаемых центром управления сегментов сети. Оповещение администратора о попытках НСД осуществляется на АРМ управления сетью. Шифрование передаваемой информации для пользователей VPN является прозрачным.