Сучасні інформаційні технології/4. Інформаційна безпека.

Мелешко О. О., доц.; Голишевська І.В., студентка

Національний авіаційний університет, Київ

Методи боротьби зі шкідливими програмами

Шкідлива програма (ШП) - комп'ютерна програма або переносний код, призначений для реалізації загроз інформації, що зберігається в комп'ютерній системі, або для прихованого нецільового використання ресурсів системи, або іншої дії, що перешкоджає нормальному функціонуванню комп'ютерної системи.

Проблема ШП загострюється з кожним роком, проте останнім часом змінилися цілі їх розробки і застосування, що обумовлює деякі особливості сучасних ШП, і, як наслідок, вимагає наявності в антивірусних програмних засобах відповідних механізмів боротьби з ними. Якщо в недавньому минулому ШП розроблялися вузьким колом фахівців, а цілі їх розробки були вельми туманні, то зараз переважна більшість ШП розробляється з метою отримання фінансової вигоди. Найбільш поширені класи сучасних ШП наступні:

·                        Троянські програми - використовуються для розкрадання конфіденційної інформації.

·                        Черви з троянськими компонентами - на їх основі створюються керовані розподілені мережі, які використовуються для розсилки спаму і розподілених мережевих атак.

·                        AdWare (рекламне ПЗ) – використовується для показу рекламних повідомлень на комп'ютері.

·                        SpyWare (шпигунське ПЗ) -  програма, яка потайним чином встановлюється на комп'ютер з метою повного або часткового контролю за роботою комп'ютера і користувача без згоди останнього.

Для протидії ШП використовуються антивірусні програми. Найбільш розповсюджений спосіб виявлення ШП - сигнатурний пошук. Цей метод виявлення застосовується антивірусними програмами в першу чергу. Він реалізовується шляхом перевірки вмісту аналізованого об'єкта на предмет наявності в ньому сигнатур вже відомих загроз. Сигнатурою називається безперервна кінцева сукупність електронних даних, необхідна і достатня для однозначної ідентифікації загрози. При цьому порівняння вмісту досліджуваного об'єкта з сигнатурами проводиться не безпосередньо, а за їх контрольними сумами, що дозволяє значно знизити розмір записів у вірусних базах, зберігши при цьому однозначність відповідність і, отже, коректність виявлення загроз і лікування інфікованих об'єктів. Недоліком цього способу є необхідність постійного оновлення баз сигнатур.

Іншим методом є емуляція виконання програмного коду. Даний спосіб використовується для виявлення поліморфних і шифрованих вірусів, коли використання пошуку по контрольних сумах сигнатур не застосовується або значно ускладнено через неможливість побудови надійних сигнатур. Метод полягає в імітації виконання аналізованого коду за допомогою емулятора - програмної моделі процесора і середовища виконання програм. Емулятор оперує з захищеною областю пам'яті (буфером емуляції). При цьому інструкції не передаються на центральний процесор для реального виконання. Якщо код, що обробляється емулятором, інфікований, то результатом його емуляції стане відновлення вихідного шкідливого коду, доступного для сигнатурного аналізу. Цей шлях є найбільш перспективним, оскільки дозволяє підтримувати широкий спектр існуючих і розроблених в майбутньому пакувальників (крипторів), але одночасно пред'являє високі вимоги до швидкодії емулятора. Необхідні модифікації емулятора при такому підході полягають в його доопрацювання з метою додавання емуляції додаткових функцій або структур ОС. Якісні зміни в цьому напрямку відбуваються доволі рідко, оскільки розробка таких алгоритмів доволі трудомістка та витратна. 

Для боротьби з модифікацією ШП на рівні вихідного коду в сучасному антивірусному ПО використовується такий механізм, як евристичний аналізатор. В даному методі  його робота грунтується на наборі евристик (припущень, статистична значимість яких підтверджена дослідним шляхом) про характерні ознаки шкідливого і, навпаки, безпечного виконуваного коду. Кожна ознака коду має певне політичне значення (тобто число, що показує важливість і достовірність цієї ознаки). Вага може бути як позитивною, якщо ознака вказує на наявність шкідливої поведінки коду, так і негативною, якщо ознака не властива комп'ютерним загрозам. На підставі сумарної ваги, що характеризує вміст об'єкта, евристичний аналізатор обчислює ймовірність вмісту в ньому невідомого шкідливого об'єкта. Якщо ця ймовірність перевищує деяке порогове значення, то видається висновок про те, що аналізований об'єкт є шкідливим.

 Недоліком цього методу є те, що дуже часто мають місце випадки помилкового спрацьовування, при чому доволі часто вони перевищують кількість вірних.

На сьогоднішній день кількість ШП стрімко збільшується, тому, відповідно, розробляється багато нових способів виявлення та захисту від них. Використання передових технологій боротьби дозволяє ефективно виявляти не тільки існуючі ВП, а й запобігати вірусні атаки, що використовують нові ВП.