Một phương pháp vô hiệu hóa phần mềm độc hại chặn hoạt động của PC, sử dụng một thiết bị riêng để người dùng kích hoạt quy trình chống phần mềm độc hại. Đặc điểm chung của các công cụ trung hòa máy tính

Phân loại virus

Vì vấn đề lý thuyết về việc phát hiện virus là không thể giải quyết được nên trong thực tế cần phải giải quyết các vấn đề cụ thể trong việc chống lại các trường hợp phần mềm độc hại cụ thể.

Tùy thuộc vào đặc tính đặc trưng của virus, có thể sử dụng nhiều phương pháp khác nhau để phát hiện và vô hiệu hóa chúng. Điều này đặt ra câu hỏi về việc phân loại phần mềm độc hại, đó là nội dung của chương này.

Cần lưu ý rằng trên thực tế, các phân loại được các nhà sản xuất sản phẩm chống vi-rút khác nhau áp dụng là khác nhau, mặc dù chúng được xây dựng trên các nguyên tắc tương tự. Do đó, trong quá trình trình bày, các nguyên tắc sẽ được xây dựng trước tiên và sau đó là các ví dụ từ cách phân loại được sử dụng tại Kaspersky Lab.

Định nghĩa virus máy tính là một vấn đề có vấn đề trong lịch sử, vì rất khó đưa ra định nghĩa rõ ràng về virus, trong khi phác thảo các đặc tính duy nhất của virus và không áp dụng cho các hệ thống phần mềm khác. Ngược lại, khi đưa ra một định nghĩa chặt chẽ về vi-rút là một chương trình có những đặc tính nhất định, người ta gần như có thể tìm thấy ngay một ví dụ về vi-rút không có những đặc tính đó.

Thuộc tính bắt buộc (cần thiết) của virus máy tính là khả năng tạo các bản sao của riêng bạn (không nhất thiết phải giống với bản gốc) và triển khai chúng vào mạng máy tính và (hoặc) tệp, vùng hệ thống của máy tính và các đối tượng thực thi khác. Đồng thời, các bản sao vẫn giữ được khả năng lây lan thêm.

Vi-rút(theo GOST R 51188–98) – một chương trình có khả năng tạo các bản sao của chính nó (không nhất thiết phải giống với bản gốc) và đưa chúng vào các tệp, vùng hệ thống của máy tính, mạng máy tính, cũng như thực hiện các hành động phá hoại khác. Đồng thời, các bản sao vẫn giữ được khả năng được phân phối thêm. Virus máy tính là một loại chương trình độc hại.

Có thể dễ dàng nhận thấy rằng định nghĩa trong GOST gần như lặp lại hoàn toàn định nghĩa của E. Kaspersky.

Hai định nghĩa này phần lớn lặp lại định nghĩa của F. Cohen hoặc cách làm rõ do D. Chess và S. White đề xuất, cho phép chúng tôi mở rộng cho chúng (các định nghĩa) kết luận rằng không thể tạo ra một thuật toán phát hiện tất cả các chương trình như vậy hoặc thậm chí là tất cả “hiện thân” của một trong các loại virus. Tuy nhiên, trên thực tế, hóa ra tất cả các loại vi-rút đã biết đều có thể được phát hiện bởi các chương trình chống vi-rút. Đặc biệt, kết quả đạt được là do các bản sao vi-rút bị hỏng hoặc không thành công, không có khả năng tạo và giới thiệu các bản sao của chính chúng, được phát hiện và phân loại cùng với tất cả các vi-rút "chính thức" khác. Do đó, từ quan điểm thực tế, tức là. Từ quan điểm của các thuật toán tìm kiếm, khả năng tái tạo hoàn toàn không cần thiết để một chương trình được phân loại là vi-rút.

Một vấn đề khác liên quan đến định nghĩa về vi-rút máy tính nằm ở chỗ ngày nay vi-rút thường không có nghĩa là vi-rút “truyền thống” mà là hầu hết mọi chương trình độc hại. Điều này dẫn đến sự nhầm lẫn về thuật ngữ, càng phức tạp hơn bởi hầu hết các phần mềm diệt virus hiện đại đều có khả năng phát hiện các loại phần mềm độc hại này, do đó mối liên hệ “malware – virus” ngày càng trở nên ổn định hơn.

Dựa trên điều này, cũng như mục đích của các công cụ chống vi-rút, trong tương lai, trừ khi có quy định khác, vi-rút sẽ được hiểu là chương trình độc hại.

Chương trình độc hại – một chương trình máy tính hoặc mã di động được thiết kế để thực hiện các mối đe dọa đối với thông tin được lưu trữ trong CS hoặc để ngầm lạm dụng tài nguyên CS hoặc các tác động khác cản trở hoạt động bình thường của CS. Các chương trình độc hại bao gồm virus máy tính, Trojan, sâu mạng, v.v.

Virus máy tính, ngựa Trojan và sâu máy tính là những loại phần mềm độc hại chính.

5.1.1. Virus

Vì đặc điểm nổi bật của vi-rút theo nghĩa truyền thống là khả năng sinh sản trong một máy tính nên vi-rút được chia thành các loại tùy theo phương pháp sinh sản.

Bản thân quá trình sinh sản có thể được chia thành nhiều giai đoạn:

1. Thâm nhập máy tính.

2. Kích hoạt virus.

3. Tìm kiếm đối tượng lây nhiễm.

4. Chuẩn bị bản sao virus.

5. Giới thiệu các bản sao virus.

Các tính năng triển khai của từng giai đoạn làm phát sinh các thuộc tính, tập hợp các thuộc tính này thực sự xác định loại vi-rút.

Virus xâm nhập vào máy tính cùng với các tệp bị nhiễm hoặc các đối tượng khác (khởi động của đĩa mềm), không giống như sâu, mà không ảnh hưởng đến quá trình xâm nhập. Do đó, khả năng xâm nhập hoàn toàn được xác định bởi khả năng lây nhiễm và không có ý nghĩa gì khi phân loại vi rút riêng biệt theo các giai đoạn này của vòng đời.

Để kích hoạt virus, đối tượng bị nhiễm phải giành quyền kiểm soát. Ở giai đoạn này, virus được phân chia theo loại đối tượng có thể lây nhiễm:

1. Virus khởi động – vi-rút lây nhiễm vào các phần khởi động của phương tiện cố định và di động.

Ví dụ. Chương trình độc hại Virus.Boot.Snow.a viết mã của anh ấy vào MBRổ cứng hoặc vùng khởi động của đĩa mềm. Trong trường hợp này, các vùng khởi động ban đầu đã bị virus mã hóa. Sau khi nhận được quyền kiểm soát, virus vẫn còn trong bộ nhớ máy tính (nơi cư trú) và chặn các ngắt INT 10h, 1Ch và 13h. Đôi khi virus biểu hiện dưới dạng hiệu ứng hình ảnh – tuyết bắt đầu rơi trên màn hình máy tính.

Một loại virus khởi động khác, Virus.Boot.DiskFiller, cũng lây nhiễm vào ổ cứng MBR hoặc các vùng khởi động của đĩa mềm, tồn tại trong bộ nhớ và chặn các ngắt - INT 13h, 1Ch và 21h. Đồng thời, khi lây nhiễm vào đĩa mềm, virus sẽ định dạng thêm một track được đánh số 40 hoặc 80 (tùy thuộc vào kích thước của đĩa mềm, nó có thể có 40 hoặc 80 track được đánh số lần lượt là 0–39 hoặc 0–79). Chính trên đường đua không chuẩn này, bên ngoài trường có thể nhìn thấy bình thường, vi-rút viết mã của nó, chỉ thêm một đoạn nhỏ vào khu vực khởi động - phần đầu của vi-rút.

Khi lây nhiễm vào ổ cứng, Virus.Boot.DiskFiller đặt mã của nó ngay sau MBR và trong chính MBR, nó thay đổi tham chiếu đến khu vực khởi động đang hoạt động, cho biết địa chỉ của khu vực chứa nó.

2. Tập tin virus – virus lây nhiễm các tập tin. Nhóm này được chia thành ba tùy thuộc vào môi trường mà mã được thực thi.

Trên thực tế tập tin virus– những người làm việc trực tiếp với tài nguyên hệ điều hành.

Ví dụ. Virus tập tin nổi tiếng nhất của nhóm này là Virus.Win9x.CIH, còn được gọi là “Chernobyl”. Có kích thước nhỏ - khoảng 1 KB - vi-rút lây nhiễm các tệp PE (Portable Executable) trên các máy tính chạy hệ điều hành Windows 95/98 theo cách mà kích thước của các tệp bị nhiễm không thay đổi. Để đạt được hiệu ứng này, virus tìm kiếm các vùng “trống” trong các tệp phát sinh do sự căn chỉnh phần đầu của mỗi phần của tệp với nhiều giá trị byte. Sau khi giành được quyền kiểm soát, virus sẽ chặn API IFS, giám sát các lệnh gọi đến chức năng truy cập tệp và lây nhiễm vào các tệp thực thi. Vào ngày 26 tháng 4, chức năng phá hoại của virus được kích hoạt, đó là xóa Flash BIOS và các cung ban đầu của ổ cứng. Kết quả là máy tính không thể khởi động được (trong trường hợp xóa Flash BIOS thành công) hoặc mất dữ liệu trên tất cả các ổ cứng của máy tính.

Trong số các phần mềm độc hại mới nhất có chức năng lan truyền, chúng ta có thể kể đến Email-Worm.Win32.Bagle.p (cũng như các bản mod.q và.r của nó). Vốn là một loại sâu có kênh phân phối chính là qua email, Bagle.p còn chứa chức năng lây nhiễm các tập tin EXE bằng cách thêm mã virus đa hình vào cuối chúng.

Virus vĩ mô– virus được viết bằng ngôn ngữ macro và được thực thi trong môi trường của ứng dụng. Trong phần lớn các trường hợp chúng ta đang nói về macro trong tài liệu Microsoft Office.

Ví dụ. Một số macrovirus có sức tàn phá mạnh nhất là thành viên của họ Macro.Word97.Thus. Những vi-rút này chứa ba thủ tục Document_Open, Document_Close và Document_New, thay thế các macro tiêu chuẩn được thực thi khi mở, đóng và tạo tài liệu, từ đó lây nhiễm sang các tài liệu khác. Vào ngày 13 tháng 12, chức năng phá hoại của virus được kích hoạt - nó xóa tất cả các tệp trên ổ C:, bao gồm cả các thư mục và thư mục con.

Bản sửa đổi Macro.Word97.Thus.aa, ngoài các hành động được chỉ định, khi mở từng tài liệu bị nhiễm, sẽ chọn một tệp ngẫu nhiên trên đĩa cục bộ và mã hóa 32 byte đầu tiên của tệp này, dần dần khiến hệ thống không thể hoạt động.

Virus macro không chỉ có thể lây nhiễm vào các tài liệu Microsoft Word và Excel. Có những chương trình độc hại nhắm vào các loại tài liệu khác: Macro.Visio.Radiant lây nhiễm các tệp của chương trình lập sơ đồ nổi tiếng Visio, Virus.Acad.Pobresito lây nhiễm các tài liệu AutoCAD, Macro.AmiPro.Green lây nhiễm các tài liệu trong từ Ami Pro phổ biến trước đây bộ xử lý.

Virus tập lệnh– virus được thực thi trong môi trường của một shell lệnh cụ thể: trước – con dơi-files trong lệnh shell DOS, bây giờ thường xuyên hơn VBS Và JS-script trong shell lệnh Máy chủ tập lệnh Windows (WSH).

Ví dụ. Virus.VBS.Sling được viết bằng VBScript (Visual Basic Script). Khi khởi chạy, nó sẽ tìm kiếm các tệp có phần mở rộng .VBS hoặc .VBE và lây nhiễm chúng. Khi xảy ra ngày 16 tháng 6 hoặc tháng 7, vi-rút sẽ xóa tất cả các tệp có phần mở rộng .VBS và .VBE, bao gồm cả chính nó, khi khởi chạy.

Virus.WinHLP.Pluma.a là một loại vi-rút lây nhiễm vào các tệp trợ giúp của Windows. Khi một tệp trợ giúp bị nhiễm được mở, một tập lệnh vi-rút sẽ được thực thi, sử dụng một phương pháp không tầm thường (về cơ bản là một lỗ hổng trong xử lý tập lệnh), sẽ khởi chạy một dòng mã nhất định có trong tập lệnh để thực thi dưới dạng tệp Windows thông thường. Mã đang chạy tìm kiếm các tệp trợ giúp trên đĩa và đưa tập lệnh tự động chạy vào khu vực Hệ thống của chúng.

Trong thời đại virus DOS, virus khởi động tập tin lai rất phổ biến. Sau một quá trình chuyển đổi lớn sang hệ điều hành của gia đình các cửa sổ Cả virus khởi động và các virus lai được đề cập trên thực tế đã biến mất.

Riêng biệt, điều đáng chú ý là thực tế là các vi-rút được thiết kế để hoạt động trong môi trường của một hệ điều hành hoặc ứng dụng cụ thể lại không hiệu quả trong môi trường của các hệ điều hành và ứng dụng khác. Do đó, môi trường mà nó có khả năng thực thi được xác định là một thuộc tính riêng biệt của virus. Đối với virus tập tin, đây là DOS, các cửa sổ, Linux, Hệ điều hành Mac, hệ điều hành/2. Đối với virus vĩ mô - Từ, Excel, PowerPoint, Văn phòng. Đôi khi virus yêu cầu một phiên bản cụ thể của hệ điều hành hoặc ứng dụng để hoạt động chính xác, khi đó thuộc tính được chỉ định hẹp hơn: win9x, Excel97.

Ở giai đoạn tìm kiếm đối tượng để lây nhiễm, có hai cách hoạt động của virus.

1. Sau khi nhận được quyền kiểm soát, vi rút thực hiện tìm kiếm nạn nhân một lần, sau đó nó chuyển quyền kiểm soát cho đối tượng được liên kết với nó (đối tượng bị nhiễm).

Ví dụ. Thông thường, khi làm chủ một nền tảng mới, virus loại này sẽ xuất hiện đầu tiên. Đây là những gì đã xảy ra khi virus xuất hiện. DOS, dưới các cửa sổ 9x, dưới Windows NT, dưới Linux.

Ví dụ, một loại virus như vậy là Virus.Multi.Pelf.2132– một trong số ít đại diện của virus đa nền tảng. Loại virus này có thể lây nhiễm cả THỂ DỤC.-files và các tập tin ở định dạng ELF(định dạng tập tin thực thi dưới Linux). Khi được khởi chạy, virus tạo ra trong các thư mục hiện tại (trong cả hai hệ điều hành) và các thư mục cao hơn (trong các cửa sổ) các tập tin có định dạng có thể lây nhiễm ( THỂ DỤC. Và ELF), xác định định dạng tệp thực tế theo cấu trúc của nó. Sau khi lây nhiễm vào các file tìm thấy, virus sẽ thoát ra và trả lại quyền kiểm soát cho file đang chạy.

2. Sau khi nhận được quyền kiểm soát, vi-rút bằng cách nào đó vẫn tồn tại trong bộ nhớ và liên tục tìm kiếm nạn nhân cho đến khi môi trường nơi nó chạy bị tắt.

Ví dụ. Virus.DOS.Anarchy.6093 cũng là đa nền tảng theo nghĩa là nó có khả năng lây nhiễm DOS COM- Và EXE-tập tin và tài liệu Phần mềm soạn thảo văn bản 6/7. Trong trường hợp này, virus có thể được kích hoạt khi khởi động, cả trong môi trường DOS, và trong môi trường các cửa sổ 95. Sau khi khởi chạy, virus chặn ngắt INT 21h và trong môi trường các cửa sổ Ngoài ra còn thực hiện các thay đổi đối với trình điều khiển VMM32.VXD (Trình quản lý bộ nhớ ảo) nhằm mục đích chặn các yêu cầu về tệp. Khi khởi động hoặc mở COM-, EXE Và DOC-file virus lây nhiễm nó. Ngoài ra, trong phiên bản tệp, virus có tính đa hình (xem bên dưới) và ở bất kỳ phiên bản nào nó cũng có lén lút-chức năng (xem bên dưới).

Virus loại thứ hai trong thời gian thực hiện một tác vụ DOS thường được gọi là cư dân. Với sự chuyển đổi sang các cửa sổ vấn đề lưu giữ trong bộ nhớ đã không còn phù hợp nữa: hầu hết tất cả các loại virus đều được thực thi trong môi trường các cửa sổ, cũng như trong môi trường ứng dụng bộ phần mềm Microsoft Office, là virus thuộc loại thứ hai. Ngược lại, virus script là virus loại 1. Theo đó, thuộc tính Resident chỉ áp dụng cho file file DOS virus. Sự tồn tại của người không cư trú các cửa sổ virus là có thể xảy ra, nhưng trong thực tế chúng là một ngoại lệ hiếm hoi.

Riêng biệt, thật hợp lý khi xem xét cái gọi là lén lút-vi-rút là vi-rút thường xuyên tồn tại trong bộ nhớ, chặn các cuộc gọi đến tệp bị nhiễm và xóa mã vi-rút khỏi tệp đó một cách nhanh chóng, truyền phiên bản không thay đổi của tệp để đáp ứng yêu cầu. Vì vậy, những virus này che giấu sự hiện diện của chúng trong hệ thống. Để phát hiện chúng, các công cụ chống vi-rút yêu cầu khả năng truy cập trực tiếp vào đĩa, bỏ qua hệ điều hành. Phân phối lớn nhất lén lút-chúng tôi đã nhiễm virus trong lúc DOS.

Chữ ký virus– theo nghĩa rộng, thông tin cho phép bạn xác định rõ ràng sự hiện diện của một loại vi-rút nhất định trong một tệp hoặc mã khác. Ví dụ về chữ ký là: một chuỗi byte duy nhất có trong một loại virus nhất định và không tìm thấy trong các chương trình khác; tổng kiểm tra của một chuỗi như vậy.

Quá trình chuẩn bị các bản sao để phân phối có thể khác biệt đáng kể so với việc sao chép đơn giản. Tác giả của những loại virus phức tạp nhất về mặt công nghệ cố gắng tạo ra các bản sao khác nhau giống nhau nhất có thể để làm phức tạp việc phát hiện chúng bằng các công cụ chống vi-rút. Do đó, việc biên soạn chữ ký cho một loại virus như vậy là cực kỳ khó khăn hoặc thậm chí là không thể.

Khi tạo bản sao để ngụy trang, có thể sử dụng các công nghệ sau:

- mã hóa– virus bao gồm hai phần chức năng: bản thân virus và bộ mã hóa. Mỗi bản sao của vi-rút bao gồm một bộ mã hóa, một khóa ngẫu nhiên và chính vi-rút được mã hóa bằng khóa này;

- sự biến thái– tạo các bản sao khác nhau của vi-rút bằng cách thay thế các khối lệnh bằng các khối tương đương, hoán đổi các đoạn mã, chèn các lệnh “rác” giữa các đoạn mã quan trọng mà thực tế không làm được gì.

Sự kết hợp của hai công nghệ này sẽ tạo ra các loại vi-rút sau.

- virus mã hóa– một loại virus sử dụng mã hóa đơn giản bằng khóa ngẫu nhiên và bộ mã hóa bất biến. Những virus như vậy dễ dàng bị phát hiện bằng chữ ký mã hóa;

- virus biến chất– một loại virus áp dụng quá trình biến thái lên toàn bộ cơ thể của nó để tạo ra các bản sao mới;

- virus đa hình– một loại vi-rút sử dụng bộ mã hóa siêu hình để mã hóa phần chính của vi-rút bằng một khóa ngẫu nhiên. Trong trường hợp này, một phần thông tin được sử dụng để lấy bản sao mới của bộ mã hóa cũng có thể được mã hóa. Ví dụ: vi-rút có thể triển khai một số thuật toán mã hóa và khi tạo một bản sao mới, nó không chỉ thay đổi các lệnh mã hóa mà còn cả chính thuật toán đó.

Virus đa hình có thể được chia thành các lớp tùy theo mức độ đa hình.

Sự phổ biến của virus đa hình đạt đến đỉnh điểm vào thời kỳ DOS Tuy nhiên, tính đa hình sau đó đã được sử dụng ở nhiều loại virus và tính đa hình vẫn tiếp tục được sử dụng cho đến ngày nay.

Ví dụ.Đã đề cập ở trên Email-Worm.Win32.Bagle.p là một loại virus đa hình.

Một trong những loại virus đa hình phức tạp và tương đối muộn nhất là Virus.Win32.Etap. Khi một tệp bị nhiễm, vi-rút sẽ xây dựng lại và mã hóa mã của chính nó, ghi mã đó vào một trong các phần của tệp bị nhiễm, sau đó tìm kiếm lệnh gọi hàm trong mã tệp. Quá trình thoát và thay thế nó bằng lệnh gọi mã virus. Do đó, vi-rút giành được quyền kiểm soát không phải trước khi thực thi mã nguồn của tệp bị nhiễm mà sau đó.

Việc đưa các bản sao virus có thể được thực hiện bằng hai phương pháp cơ bản khác nhau:

Tiêm mã virus trực tiếp vào đối tượng bị nhiễm;

Thay thế một đối tượng bằng một bản sao virus. Đối tượng được thay thế thường được đổi tên.

Đối với virus, phương pháp đầu tiên chủ yếu là đặc trưng. Phương pháp thứ hai thường được sử dụng bởi sâu và Trojan, hay chính xác hơn là các thành phần Trojan của sâu, vì bản thân Trojan không lây lan.

Ví dụ. Một trong số ít sâu thư lây lan qua sổ thư Con dơi! – Email-Worm.Win32.Stator.a, trong số những thứ khác, lây nhiễm một số tập tin các cửa sổ theo nguyên tắc của virus đồng hành. Cụ thể, các file bị nhiễm bao gồm: mplayer.exe, winhlp32.exe, notepad.exe, control.exe, scanregw.exe. Khi bị nhiễm, các tập tin sẽ được đổi tên thành phần mở rộng. VXD, và vi-rút tạo ra các bản sao của chính nó dưới tên gốc của các tệp bị nhiễm. Sau khi giành được quyền kiểm soát, virus sẽ khởi chạy tệp gốc được đổi tên tương ứng.

Là một biến thể của phương pháp thứ hai trong thời gian DOS Kỹ thuật sau đây đã được sử dụng. Khi gõ tên của tập tin thực thi mà không chỉ định phần mở rộng, DOS tìm kiếm theo thứ tự đầu tiên CON DƠI, sau đó COM và cuối cùng EXE-tài liệu. Theo đó, bản sao virus được tạo trong cùng thư mục với EXE-file, sao chép tên của nó và lấy phần mở rộng COM. Vì vậy, khi cố gắng chạy cái này EXE-file mà không chỉ định rõ ràng phần mở rộng, virus đã được khởi chạy trước.

Một kỹ thuật tương tự có thể được sử dụng trong các cửa sổ-hệ thống, nhưng vì phần lớn người dùng các cửa sổ hiếm khi sử dụng các file đang chạy từ dòng lệnh nên hiệu quả của phương pháp này sẽ thấp.

5.1.2. Giun

Thật không may, không có định nghĩa nào về sâu trong các tiêu chuẩn và tài liệu quy định của chính phủ, vì vậy ở đây chúng tôi chỉ cung cấp định nghĩa trực quan đưa ra ý tưởng về nguyên tắc hoạt động và chức năng của loại phần mềm độc hại này.

Worm (sâu mạng)– một loại chương trình độc hại lây lan qua các kênh mạng, có khả năng tự động vượt qua các hệ thống bảo vệ của mạng máy tính và tự động, cũng như tạo và phân phối thêm các bản sao của chính chúng, không phải lúc nào cũng trùng với bản gốc và thực hiện các hành vi có hại khác các hiệu ứng.

Cũng giống như virus, vòng đời của sâu có thể được chia thành các giai đoạn nhất định:

1) thâm nhập vào hệ thống;

2) kích hoạt;

3) tìm kiếm “nạn nhân”;

4) chuẩn bị bản sao;

5) phân phối các bản sao.

Giai đoạn 1 và 5 nhìn chung có tính đối xứng và được đặc trưng chủ yếu bởi các giao thức và ứng dụng được sử dụng.

Giai đoạn 4 - Chuẩn bị bản sao - thực tế không khác gì giai đoạn tương tự trong quá trình sinh sản của virus. Những gì đã nói về việc chuẩn bị các bản sao của vi-rút cũng được áp dụng mà không có sự thay đổi nào đối với sâu.

Ở giai đoạn xâm nhập hệ thống, sâu được phân chia chủ yếu theo loại giao thức được sử dụng:

- sâu mạng– sâu sử dụng Internet và các giao thức mạng cục bộ để lây lan. Thông thường, loại sâu này lây lan bằng cách khai thác việc xử lý sai các gói ngăn xếp giao thức cơ bản của một số ứng dụng. tcp/ip;

- sâu thư– sâu lây lan dưới dạng tin nhắn email;

- sâu IRC– sâu lây lan qua các kênh IRC (Trò chuyện chuyển tiếp Internet);

- Sâu P2P– sâu lây lan bằng cách sử dụng mạng ngang hàng ( ngang hàng) mạng chia sẻ tập tin;

- sâu IM– sâu sử dụng hệ thống nhắn tin tức thời để phát tán ( TÔI., Tin nhắn tức thì – ICQ, Ứng dụng tin nhắn Microsoft Network, MỤC TIÊU và vân vân.).

Ví dụ. Giun mạng cổ điển là thành viên của gia đình Net-Worm.Win32.Sasser. Những sâu này khai thác lỗ hổng trong dịch vụ LSASS Microsoft Windows. Khi sinh sản, sâu phóng FTP-dịch vụ cho TCP-port 5554, sau đó chọn IP-address để tấn công và gửi yêu cầu tới cổng 445 tới địa chỉ này, kiểm tra xem dịch vụ có đang chạy không LSASS. Nếu máy tính bị tấn công phản hồi yêu cầu, sâu sẽ gửi bản khai thác lỗ hổng trong dịch vụ tới cùng một cổng. LSASS, là kết quả của việc thực thi thành công lệnh shell được khởi chạy trên máy tính từ xa TCP-port 9996. Thông qua lớp vỏ này, sâu tải xuống từ xa một bản sao của sâu bằng giao thức FTP từ máy chủ đã khởi chạy trước đó và tự khởi chạy từ xa, hoàn tất quá trình thâm nhập và kích hoạt.

Như một ví dụ về sâu thư, hãy xem xét Email-Worm.Win32.Zafi.d. Tin nhắn bị nhiễm bao gồm chủ đề và văn bản được chọn từ danh sách, nội dung là lời chúc ngày lễ (chủ yếu là Giáng sinh vui vẻ) và lời mời đọc thiệp chúc mừng trong tệp đính kèm. Lời chúc mừng có thể bằng nhiều ngôn ngữ khác nhau. Tên file worm có trong file đính kèm gồm từ bưu thiếp bằng ngôn ngữ tương ứng với lời chào và một bộ ký tự tùy ý. Phần mở rộng tệp sâu được chọn ngẫu nhiên từ danh sách. CON DƠI, .COM, .EXE, .PIF, .Mã ZIP. Để gửi tin nhắn, sâu sử dụng địa chỉ email được tìm thấy trên máy tính bị nhiễm. Để giành quyền kiểm soát, sâu phải được người dùng khởi chạy.

IRC-Worm.Win32.Golember.a là, như tên cho thấy, IRC- một con sâu. Khi chạy nó tự lưu vào thư mục các cửa sổ dưới cái tên trlmsn.exe và thêm nó vào phần autorun của sổ đăng ký các cửa sổ tham số với dòng để khởi chạy tập tin này. Ngoài ra, sâu còn lưu một bản sao của chính nó vào đĩa dưới dạng kho lưu trữ. Janey2002.zip và tập tin hình ảnh Janey.jpg. Con sâu sau đó kết nối ngẫu nhiên IRC-các kênh dưới các tên khác nhau và bắt đầu gửi các chuỗi văn bản nhất định, mô phỏng hoạt động của người dùng thông thường. Đồng thời, một bản sao lưu trữ của sâu sẽ được gửi tới tất cả người dùng các kênh này.

Chức năng phân phối thông qua P2P Nhiều sâu mạng và sâu email có kênh. Ví dụ, Email-Worm.Win32.Netsky.qđể sao chép qua mạng chia sẻ tệp, tìm kiếm trên đĩa cục bộ các thư mục chứa tên của các mạng phổ biến nhất hoặc từ “ đã chia sẻ”, sau đó anh ấy đặt các bản sao của mình dưới nhiều tên khác nhau trong các thư mục này.

TÔI.-Worms hiếm khi chuyển các tập tin bị nhiễm trực tiếp giữa các máy khách. Thay vào đó, họ gửi liên kết đến các trang web bị nhiễm bệnh. Vâng, sâu IM-Worm.Win32.Kelvir.k gửi qua Ứng dụng tin nhắn Microsoft Network tin nhắn có chứa văn bản " Đó là bạn" và liên kết " http://www. malignancy.us//pictures.php?email=", tại địa chỉ được chỉ định nơi chứa tệp sâu.

Ngày nay, nhóm đông đảo nhất bao gồm sâu email. Sâu mạng cũng là một hiện tượng đáng chú ý nhưng không quá nhiều vì số lượng mà vì chất lượng: dịch bệnh do sâu mạng gây ra thường có đặc điểm là tốc độ lây lan cao và quy mô lớn. IRC-, P2P- Và TÔI.-sâu khá hiếm, thường xuyên hơn IRC, P2P Và TÔI.đóng vai trò là kênh phân phối thay thế cho email và sâu mạng.

Ở giai đoạn kích hoạt, sâu được chia thành hai nhóm lớn, khác nhau cả về công nghệ và tuổi thọ:

1. Cần có sự tham gia tích cực của người dùng để kích hoạt.

2. Để kích hoạt, không cần có sự tham gia của người dùng hoặc chỉ cần tham gia thụ động là đủ.

Ví dụ: sự tham gia thụ động của người dùng vào nhóm thứ hai có nghĩa là xem các bức thư trong ứng dụng email, trong đó người dùng không mở các tệp đính kèm nhưng máy tính của anh ta vẫn bị nhiễm virus.

Sự khác biệt trong những cách tiếp cận này sâu sắc hơn so với cái nhìn đầu tiên. Việc kích hoạt sâu mạng mà không có sự tương tác của người dùng luôn đồng nghĩa với việc sâu này đang khai thác các lỗ hổng bảo mật trong phần mềm của máy tính. Điều này dẫn đến sự lây lan rất nhanh của sâu trong mạng công ty với số lượng trạm lớn, làm tăng đáng kể tải trọng trên các kênh liên lạc và có thể làm tê liệt hoàn toàn mạng. Chính phương pháp kích hoạt này mà sâu đã sử dụng Lovesan Và Sasser. Do hậu quả của dịch bệnh do sâu mạng như vậy gây ra, lỗ hổng bị khai thác sẽ bị quản trị viên hoặc người dùng đóng lại và khi số lượng máy tính có lỗ hổng mở giảm đi thì dịch bệnh sẽ kết thúc. Để lặp lại dịch bệnh, các nhà phát triển virus phải khai thác một lỗ hổng khác. Do đó, dịch bệnh do sâu hoạt động gây ra có tác động đáng kể hơn đến hoạt động của toàn bộ mạng, nhưng chúng xảy ra ít thường xuyên hơn so với dịch bệnh do sâu mạng thụ động gây ra. Một biện pháp bảo vệ bắt buộc trước những dịch bệnh như vậy là cài đặt kịp thời các bản vá bảo mật. Chúng tôi cũng lưu ý rằng các hệ điều hành có khả năng điều khiển từ xa hoặc khởi chạy chương trình đặc biệt dễ bị tấn công bởi loại sâu này - đây là một họ sâu Microsoft Windows NT/2000/XP/2003.

Ví dụ. Lỗ hổng dịch vụ LSASS, lần đầu tiên được sử dụng trong sâu MyDoom vào đầu năm 2004, tiếp tục được sử dụng thành công một năm rưỡi sau đó. Vì thế, Net-Worm.Win32.Mytob.be,được phát hiện vào tháng 6 năm 2005, vẫn sử dụng lỗ hổng này làm phương thức phân phối bên cạnh việc phân phối qua email.

Mặt khác, sự tham gia tích cực của người dùng vào việc kích hoạt sâu có nghĩa là người dùng đã bị các phương pháp lừa đảo xã hội đánh lừa. Trong hầu hết các trường hợp, yếu tố chính là hình thức trình bày tin nhắn bị nhiễm: nó có thể bắt chước một lá thư từ một người bạn (bao gồm cả địa chỉ email nếu người bạn đó đã bị nhiễm), một tin nhắn dịch vụ từ hệ thống bưu điện hoặc một cái gì đó tương tự. điều đó cũng phổ biến không kém trong luồng thư từ thường xuyên. Người dùng, trong tình trạng hỗn loạn, chỉ đơn giản là không phân biệt được giữa một lá thư bình thường và một lá thư bị nhiễm bệnh và tự động khởi chạy nó.

Không thể tự bảo vệ mình khỏi những loại sâu này bằng các miếng vá. Ngay cả việc thêm chữ ký sâu mạng vào cơ sở dữ liệu virus cũng không giải quyết được hoàn toàn vấn đề. Các nhà phát triển vi-rút chỉ cần thay đổi tệp thực thi để phần mềm chống vi-rút không phát hiện ra và thay đổi một chút văn bản của thông báo, bao gồm cả việc sử dụng các công nghệ thư rác được sử dụng để vượt qua các bộ lọc.

Kết quả là dịch bệnh do sâu mạng thụ động gây ra có thể kéo dài lâu hơn và làm phát sinh toàn bộ dòng sâu mạng cùng loại.

Gần đây có xu hướng kết hợp cả hai phương pháp nhân giống giun. Nhiều thành viên trong gia đình Mytob có chức năng phân phối qua email và thông qua lỗ hổng trong dịch vụ LSASS.

Phương pháp tìm kiếm máy tính nạn nhân hoàn toàn dựa trên các giao thức và ứng dụng được sử dụng. Đặc biệt, nếu chúng ta đang nói về sâu email, các tệp máy tính sẽ được quét để tìm sự hiện diện của địa chỉ email, kết quả là các bản sao của sâu sẽ được gửi đến đó.

Theo cách tương tự, sâu Internet sẽ quét phạm vi IP-địa chỉ tìm kiếm các máy tính dễ bị tấn công, và P2P sâu đặt các bản sao của chúng trong các thư mục công khai của các máy khách mạng ngang hàng. Một số sâu có khả năng khai thác danh sách liên lạc của các trình nhắn tin Internet, chẳng hạn như ICQ, MỤC TIÊU, Ứng dụng tin nhắn Microsoft Network, Yahoo! Tin nhắn và vân vân.

Những gì đã nói trước đó về việc chuẩn bị các bản sao để phát tán virus cũng áp dụng cho sâu.

Phổ biến nhất trong số các sâu là việc thực hiện biến đổi đơn giản hóa. Một số sâu có khả năng gửi bản sao của chính chúng bằng chữ cái có hoặc không có chèn tập lệnh, điều này dẫn đến việc sâu tự động kích hoạt. Hành vi này của sâu là do hai yếu tố: tập lệnh kích hoạt tự động làm tăng khả năng sâu chạy trên máy tính của người dùng, nhưng đồng thời làm giảm khả năng lọt qua các bộ lọc chống vi-rút trên máy chủ thư.

Tương tự như vậy, sâu có thể thay đổi chủ đề và nội dung của tin nhắn, tên, phần mở rộng bị nhiễm và thậm chí cả định dạng của tệp đính kèm - mô-đun thực thi có thể được đính kèm nguyên trạng hoặc ở dạng nén. Tất cả những điều này không thể được coi là siêu hình hay đa hình, nhưng sâu chắc chắn có một mức độ biến đổi nhất định.

5.1.3. Trojan

Hãy để chúng tôi đưa ra một định nghĩa trực quan về chương trình Trojan hoặc Trojan.

Trojan (con ngựa thành Troy)– một loại phần mềm độc hại có mục đích chính là gây ra các tác động có hại cho hệ thống máy tính. Trojan được phân biệt bởi sự thiếu cơ chế tạo bản sao của riêng chúng. Một số Trojan có khả năng tự động vượt qua các hệ thống bảo vệ máy tính để xâm nhập và lây nhiễm vào hệ thống. Nói chung, Trojan xâm nhập vào hệ thống cùng với vi-rút hoặc sâu do hành động bất cẩn của người dùng hoặc hành động chủ động của kẻ tấn công.

Do thiếu chức năng tái tạo và phân phối trong Trojan nên vòng đời của chúng cực kỳ ngắn - chỉ có ba giai đoạn:

Sự thâm nhập máy tính;

Kích hoạt;

Thực hiện các chức năng được giao.

Tất nhiên, điều này không có nghĩa là Trojan có tuổi thọ ngắn. Ngược lại, một Trojan có thể không được chú ý trong bộ nhớ máy tính trong một thời gian dài mà không để lộ sự hiện diện của nó dưới bất kỳ hình thức nào cho đến khi bị các công cụ chống vi-rút phát hiện.

Trojan thường giải quyết vấn đề xâm nhập vào máy tính của người dùng bằng một trong hai phương pháp sau.

1. Ngụy trang– một Trojan giả vờ là một ứng dụng hữu ích mà người dùng tải xuống một cách độc lập từ Internet và khởi chạy. Đôi khi người dùng bị loại khỏi quá trình này bằng cách đăng lên mạng lưới- một trang có tập lệnh đặc biệt, sử dụng các lỗ hổng trong trình duyệt, sẽ tự động bắt đầu quá trình tải xuống và khởi chạy Trojan.

Ví dụ. Trojan.SymbOS.Hobble.a là một kho lưu trữ cho hệ điều hành Symbian (SIS-lưu trữ). Đồng thời, nó cải trang thành một phần mềm chống vi-rút Symantec và có một cái tên symantec.sis. Sau khi khởi chạy trên điện thoại thông minh, Trojan sẽ thay thế tệp shell gốc FExplorer.appđến cái bị hư hỏng. Kết quả là, lần sau khi bạn khởi động hệ điều hành, hầu hết các chức năng của điện thoại thông minh sẽ không còn khả dụng nữa.

Một trong những tùy chọn ngụy trang cũng có thể là kẻ tấn công chèn mã Trojan vào mã của ứng dụng khác. Trong trường hợp này, việc nhận ra Trojan thậm chí còn khó khăn hơn vì ứng dụng bị nhiễm có thể công khai thực hiện một số hành động hữu ích, nhưng đồng thời cũng bí mật gây ra thiệt hại do các chức năng của Trojan.

Phương thức đưa Trojan vào máy tính người dùng thông qua các trang web cũng rất phổ biến. Trong trường hợp này, tập lệnh độc hại được sử dụng để tải xuống và chạy chương trình Trojan trên máy tính của người dùng, sử dụng lỗ hổng trong trình duyệt web hoặc các phương pháp kỹ thuật xã hội - nội dung và thiết kế của trang web kích động người dùng tải xuống Trojan trên của riêng anh ấy. Với phương pháp tiêm này, không thể sử dụng một bản sao của Trojan mà là một trình tạo đa hình tạo ra một bản sao mới mỗi khi nó được tải. Các công nghệ đa hình được sử dụng trong các máy tạo như vậy thường không khác biệt với các công nghệ đa hình của virus.

2. Hợp tác với virus và sâu– Trojan di chuyển cùng với sâu hoặc ít phổ biến hơn là virus. Về nguyên tắc, các cặp “worm-Trojan” như vậy có thể được coi hoàn toàn là một loại sâu tổng hợp, nhưng trong thực tế, người ta thường coi thành phần Trojan của sâu, nếu nó được triển khai trong một tệp riêng biệt, được coi là một Trojan độc lập. với tên riêng của nó. Ngoài ra, thành phần Trojan có thể đến máy tính muộn hơn file worm.

Ví dụ. sử dụng cửa sau-Chức năng của họ sâu bánh mì tròn, tác giả của sâu đã tiến hành cài đặt ẩn Trojan SpamTool.Win32. Nhỏ.b, được thu thập và gửi đến một địa chỉ email cụ thể được tìm thấy trong các tệp trên máy tính bị nhiễm.

Sự hợp tác giữa sâu và vi-rút thường được quan sát thấy, khi sâu vận chuyển vi-rút giữa các máy tính và vi-rút lây lan khắp máy tính, lây nhiễm vào các tệp.

Ví dụ. Con sâu nổi tiếng ngày xưa Email-Worm.Win32.Klez.h Khi máy tính bị nhiễm virus cũng tung ra trên đó Virus.Win32.Elkern.c. Thật khó để nói tại sao điều này lại được thực hiện, vì bản thân vi-rút, ngoài sự lây nhiễm và các biểu hiện độc hại liên quan đến lỗi trong mã (không có quy trình độc hại rõ ràng nào trong đó), không thực hiện bất kỳ hành động nào, tức là. không phải là sự "tăng cường" của con sâu theo bất kỳ nghĩa nào.

Các kỹ thuật ở đây cũng giống như các kỹ thuật được sâu sử dụng: chờ người dùng khởi chạy một tệp hoặc sử dụng các lỗ hổng để tự động khởi chạy tệp.

Không giống như virus và sâu, được chia thành các loại theo phương pháp sinh sản/phân phối của chúng, Trojan được chia thành các loại tùy theo bản chất của các hành động độc hại mà chúng thực hiện. Các loại Trojan phổ biến nhất là:

- Keylogger– Trojan cư trú vĩnh viễn trong bộ nhớ và lưu trữ tất cả dữ liệu đến từ bàn phím nhằm mục đích truyền dữ liệu này cho kẻ tấn công sau đó. Thông thường, đây là cách kẻ tấn công cố gắng tìm ra mật khẩu hoặc thông tin bí mật khác.

Ví dụ. Trước đây, chỉ cách đây vài năm, vẫn còn những keylogger ghi lại tất cả các thao tác gõ phím và ghi vào một file riêng. Trojan-Spy.Win32.Small.b, ví dụ: trong một vòng lặp vô tận, hãy đọc mã của các phím được nhấn và lưu chúng vào một tệp C:\SYS.

Phần mềm gián điệp hiện đại được tối ưu hóa để thu thập thông tin do người dùng truyền trên Internet, vì dữ liệu này có thể bao gồm thông tin đăng nhập và mật khẩu tài khoản ngân hàng, GHIM-mã thẻ tín dụng và các thông tin bí mật khác liên quan đến hoạt động tài chính của người dùng. Trojan-Spy.Win32.Agent.fa theo dõi các cửa sổ đang mở trình duyệt web IE và lưu thông tin từ các trang web được người dùng truy cập, nhập bằng bàn phím vào một tệp được tạo đặc biệt servms.dll trong thư mục hệ thống các cửa sổ.

- Kẻ trộm mật khẩu– Trojan, cũng được thiết kế để lấy mật khẩu nhưng không sử dụng tính năng theo dõi bàn phím. Những Trojan như vậy thực hiện các phương pháp trích xuất mật khẩu từ các tệp trong đó các mật khẩu này được lưu trữ bởi các ứng dụng khác nhau.

Ví dụ. Trojan-PSW.Win32.LdPinch.kw thu thập thông tin về hệ thống, cũng như thông tin đăng nhập và mật khẩu cho các dịch vụ và chương trình ứng dụng khác nhau - trình nhắn tin tức thời, ứng dụng email, trình quay số. Thông thường, dữ liệu này được bảo vệ kém, điều này cho phép Trojan lấy được dữ liệu đó và gửi cho kẻ tấn công qua email.

- Tiện ích quản lý từ xa– Trojan cung cấp khả năng điều khiển từ xa hoàn toàn trên máy tính của người dùng. Có những tiện ích hợp pháp có cùng đặc tính, nhưng chúng khác nhau ở chỗ chúng cho biết mục đích của chúng trong quá trình cài đặt hoặc được cung cấp tài liệu mô tả chức năng của chúng. Ngược lại, các tiện ích điều khiển từ xa của Trojan không tiết lộ mục đích thực sự của chúng dưới bất kỳ hình thức nào, vì vậy người dùng thậm chí không nghi ngờ rằng máy tính của mình đang bị kẻ tấn công kiểm soát. Tiện ích điều khiển từ xa phổ biến nhất là Trở lại lỗ.

Ví dụ. Cửa sau.Win32.Netbus.170 cung cấp toàn quyền kiểm soát máy tính của người dùng, bao gồm thực hiện bất kỳ thao tác tệp nào, tải xuống và khởi chạy các chương trình khác, chụp ảnh màn hình, v.v.

- Cửa sập (cửa sau)– Trojan cung cấp cho kẻ tấn công quyền kiểm soát hạn chế đối với máy tính của người dùng. Chúng khác với các tiện ích điều khiển từ xa ở chỗ thiết kế đơn giản hơn và do đó có một số ít hành động khả dụng. Tuy nhiên, một trong những hành động thông thường là khả năng tải xuống và chạy bất kỳ tệp nào theo lệnh của kẻ tấn công, cho phép bạn biến quyền kiểm soát hạn chế thành quyền kiểm soát hoàn toàn nếu cần.

Ví dụ. Lần cuối cùng cửa sau-Chức năng đã trở thành một đặc điểm đặc trưng của sâu. Ví dụ, Email-Worm.Win32.Bagle.at sử dụng cổng 81 để nhận lệnh từ xa hoặc tải xuống các Trojan mở rộng chức năng của sâu.

Ngoài ra còn có các Trojan riêng biệt như cửa sau. Trojan Cửa sau.win32. Wootbot.gen công dụng IRC-channel để nhận lệnh từ “master”. Theo lệnh, Trojan có thể tải xuống và khởi chạy các chương trình khác, quét các lỗ hổng trên máy tính khác và tự cài đặt trên máy tính thông qua các lỗ hổng được phát hiện.

- Máy chủ và proxy smtp ẩn danh– Trojan thực hiện các chức năng của máy chủ thư hoặc proxy và trong trường hợp đầu tiên được sử dụng để gửi thư rác và trong trường hợp thứ hai - để che đậy dấu vết của chúng bởi tin tặc.

Ví dụ. Trojan từ gia đình Trojan-Proxy.Win32.Mitglieder lây lan với các phiên bản sâu khác nhau bánh mì tròn. Trojan được khởi chạy bởi một con sâu, mở một cổng trên máy tính và gửi thông tin về IP-địa chỉ của máy tính bị nhiễm virus. Sau đó, máy tính có thể được sử dụng để gửi thư rác.

- tiện ích quay số– một loại Trojan tương đối mới, là các tiện ích quay sô Truy cập Internet thông qua các dịch vụ bưu chính đắt tiền. Những Trojan như vậy được đăng ký trong hệ thống dưới dạng tiện ích quay số mặc định và gây ra những chi phí khổng lồ khi sử dụng Internet.

Ví dụ. Trojan.Win32.Dialer.a Khi ra mắt, nó sẽ quay số tới Internet thông qua các dịch vụ bưu chính trả phí. Không thực hiện bất kỳ hành động nào khác, bao gồm tạo khóa trong sổ đăng ký, tức là. Nó thậm chí không đăng ký như một trình quay số tiêu chuẩn hoặc cung cấp tính năng tự động khởi động.

- Công cụ sửa đổi cài đặt trình duyệt– Trojan thay đổi trang bắt đầu của trình duyệt, trang tìm kiếm hoặc các cài đặt khác, mở thêm cửa sổ trình duyệt, bắt chước nhấp chuột vào biểu ngữ, v.v.

Ví dụ. Trojan-Clicker.JS.Pretty thường được tìm thấy ở html-trang. Nó mở thêm cửa sổ với các trang web cụ thể và làm mới chúng sau một khoảng thời gian xác định.

- Bom logic– thường không có nhiều Trojan như các thành phần Trojan của sâu và vi rút, bản chất của chúng là thực hiện một hành động nhất định, chẳng hạn như phá hủy dữ liệu, trong một số điều kiện nhất định (ngày, giờ trong ngày, hành động của người dùng, lệnh bên ngoài).

Ví dụ. Virus.Win9x.CIH, Macro.Word97.Thus.

Worm và virus có thể thực hiện tất cả các hành động tương tự như Trojan (xem đoạn trước). Ở cấp độ triển khai, đây có thể là các thành phần Trojan riêng lẻ hoặc các chức năng tích hợp sẵn. Ngoài ra, do tính chất phổ biến của chúng, virus và sâu còn có đặc điểm là các dạng hành động độc hại khác:

- Quá tải các kênh liên lạc– một loại thiệt hại đặc trưng của sâu, liên quan đến thực tế là trong các đợt dịch bệnh quy mô lớn, số lượng lớn yêu cầu, thư bị nhiễm hoặc bản sao trực tiếp của sâu được truyền qua các kênh Internet. Trong một số trường hợp, việc sử dụng dịch vụ Internet trong thời kỳ dịch bệnh trở nên khó khăn. Ví dụ: Net-Worm.Win32.Slammer.

- tấn công DDoS– do tính chất phổ biến của chúng, sâu có thể được sử dụng một cách hiệu quả để thực hiện các cuộc tấn công từ chối dịch vụ phân tán ( DDoS tấn công). Ở đỉnh điểm của dịch bệnh, khi hàng triệu, thậm chí hàng chục triệu máy tính bị lây nhiễm, tất cả các hệ thống bị lây nhiễm truy cập vào một tài nguyên Internet cụ thể đều dẫn đến việc chặn hoàn toàn tài nguyên này. Vì vậy, trong một cuộc tấn công sâu MyDoom Trang web của công ty SCOđã không có sẵn trong một tháng. Ví dụ: Net-Worm.Win32.CodeRed.a- cuộc tấn công không mấy thành công vào www.whitehouse.gov, Email-Worm.Win32.Mydoom.a- tấn công thành công www.sco.com.

- Mất dữ liệu– hành vi điển hình của vi-rút hơn là Trojan và sâu, liên quan đến việc cố ý phá hủy một số dữ liệu nhất định trên máy tính của người dùng. Ví dụ: Virus.Win9x.CIH– xóa các phần bắt đầu của đĩa và nội dung BIOS flash; Macro.Word97.Thus- xóa tất cả các tập tin trên đĩa C:; Email-Worm.Win32.Mydoom.e– xóa các tập tin có phần mở rộng nhất định tùy thuộc vào bộ đếm số ngẫu nhiên.

- Sự cố phần mềm– cũng là một đặc điểm đặc trưng hơn của virus. Do lỗi về mã virus, các ứng dụng bị nhiễm có thể hoạt động bị lỗi hoặc không hoạt động được. Ví dụ: Net-Worm.Win32.Sasser.a– khởi động lại máy tính bị nhiễm.

– việc phần mềm độc hại sử dụng nhiều tài nguyên máy tính dẫn đến giảm hiệu suất của cả hệ thống nói chung và các ứng dụng riêng lẻ. Ví dụ: ở các mức độ khác nhau - bất kỳ chương trình độc hại nào.

Sự hiện diện của các hành động phá hoại hoàn toàn không phải là tiêu chí bắt buộc để phân loại mã chương trình là virus. Cũng cần lưu ý rằng virus có thể gây ra thiệt hại to lớn chỉ bằng quá trình tự sao chép. Ví dụ nổi bật nhất là Net-Worm.Win32.Slammer.

5.1.4. Các mối đe dọa an ninh thông tin

Hãy xem xét các mối đe dọa đối với an ninh thông tin từ quan điểm của virus. Xem xét thực tế rằng tổng số vi-rút tính đến ngày nay đã vượt quá 100.000, việc phân tích các mối đe dọa từ mỗi vi-rút là một công việc quá tốn thời gian và vô ích, vì số lượng vi-rút tăng lên hàng ngày, điều đó có nghĩa là danh sách kết quả phải được sửa đổi hàng ngày. . Trong công việc này, chúng tôi sẽ giả định rằng vi-rút có khả năng thực hiện bất kỳ mối đe dọa nào đối với bảo mật thông tin.

Có nhiều cách để phân loại các mối đe dọa bảo mật đối với thông tin được xử lý trong hệ thống tự động. Việc phân loại các mối đe dọa được sử dụng phổ biến nhất dựa trên tác động của chúng đối với thông tin, cụ thể là vi phạm tính bảo mật, tính toàn vẹn và tính sẵn sàng.

Đối với mỗi mối đe dọa, có một số cách mà virus có thể thực hiện nó.

Mối đe dọa bảo mật:

Trộm cắp thông tin và phát tán thông tin bằng các phương tiện truyền thông tiêu chuẩn hoặc các kênh truyền ẩn: Email-Worm.Win32.Sircam– gửi các tài liệu tùy ý được tìm thấy trên một máy tính bị nhiễm cùng với các bản sao vi-rút;

Trộm cắp mật khẩu truy cập, khóa mã hóa, v.v.: bất kỳ Trojan nào ăn cắp mật khẩu, Trojan-PSW.Win32.LdPinch.gen;

Điều khiển từ xa: Backdoor.Win32.NetBus, Email-Worm.Win32. bánh mì tròn (cửa sau-chức năng).

Mối đe dọa về tính toàn vẹn:

Sửa đổi thông qua tiêu hủy hoặc mã hóa (xóa một số loại tài liệu): Virus.DOS.OneHalf– mã hóa nội dung đĩa, Virus.Win32.Gpcode.f– mã hóa các tập tin với một số phần mở rộng nhất định, sau đó nó tự hủy, để lại tọa độ bên cạnh các tập tin được mã hóa để liên lạc về việc giải mã tập tin;

Sửa đổi bằng cách phá hủy phương tiện ở mức độ thấp (định dạng phương tiện, phá hủy bảng phân phối tệp): Virus.MSWord.Melissa.w– Ngày 25 tháng 12 định dạng đĩa C:.

Mối đe dọa về tính sẵn có:

Bất kỳ hoạt động nào dẫn đến việc không thể truy cập thông tin; hiệu ứng âm thanh và hình ảnh khác nhau: Email-Worm.Win32.Bagle.p– chặn quyền truy cập vào trang web của các công ty chống vi-rút;

Vô hiệu hóa máy tính bằng cách phá hủy hoặc làm hư hại các thành phần quan trọng (phá hủy BIOS flash): Virus.Win9x.CIH- hư hại BIOS flash.

Như dễ thấy, đối với mỗi phương pháp thực hiện các mối đe dọa ở trên, bạn có thể đưa ra một ví dụ cụ thể về một loại vi-rút thực hiện một hoặc một số phương pháp cùng một lúc.

Các chương trình độc hại khác nhau về điều kiện tồn tại, công nghệ được sử dụng ở các giai đoạn khác nhau của vòng đời và tác động có hại thực tế - tất cả những yếu tố này là cơ sở để phân loại. Kết quả là, dựa trên đặc điểm chính (theo quan điểm lịch sử) - tái tạo - phần mềm độc hại được chia thành ba loại: vi-rút, sâu và Trojan.

Bất kể loại nào, phần mềm độc hại đều có khả năng gây ra thiệt hại đáng kể bằng cách thực hiện bất kỳ mối đe dọa nào đối với thông tin - các mối đe dọa vi phạm tính toàn vẹn, bảo mật và tính sẵn sàng. Về vấn đề này, khi thiết kế các hệ thống bảo vệ chống vi-rút phức tạp và thậm chí nói chung hơn là các hệ thống bảo vệ thông tin phức tạp, cần phải phân cấp và phân loại các đối tượng mạng theo tầm quan trọng của thông tin được xử lý trên chúng và khả năng lây nhiễm vi-rút cho các nút này. .

Đặc điểm chung của các công cụ diệt virus máy tính

Các phương tiện phổ biến nhất để vô hiệu hóa virus máy tính là chương trình chống vi-rút (anti-virus). Phần mềm chống vi-rút, dựa trên phương pháp xác định và vô hiệu hóa vi-rút được triển khai trong chúng, thường được chia thành các nhóm sau (Hình 8.2):

Máy dò;

Vắc-xin;

Tiêm chủng;

Kiểm toán viên;

Màn hình.

Máy dò	Phần mềm chống virus	Màn hình
Thể thực khuẩn	Kiểm toán viên
	Vắc-xin	Tiêm chủng

Cơm. 8.2 Phân loại phần mềm diệt virus

Máy dò cung cấp khả năng phát hiện vi-rút bằng cách xem các tệp thực thi và tìm kiếm cái gọi là chữ ký - các chuỗi byte ổn định được tìm thấy trong phần thân của các vi-rút đã biết. Sự hiện diện của chữ ký trong một tệp cho thấy rằng nó đã bị nhiễm vi-rút tương ứng. Một phần mềm chống vi-rút cung cấp khả năng tìm kiếm các chữ ký khác nhau được gọi là máy dò đa năng.

Thể thực khuẩn thực hiện các chức năng điển hình của máy dò, nhưng ngoài ra, còn "chữa" các chương trình bị nhiễm bằng cách "cắn" vi rút ra khỏi cơ thể chúng. Bằng cách tương tự với các máy dò đa năng, các phage tập trung vào việc vô hiệu hóa các loại virus khác nhau được gọi là đa thực bào.

Không giống như máy dò và phage vắc-xin về nguyên tắc hoạt động, chúng giống với virus. Vắc xin được cấy vào chương trình được bảo vệ và ghi nhớ một số đặc điểm về số lượng và cấu trúc của chương trình sau. Nếu chương trình tiêm chủng không bị nhiễm virus tại thời điểm tiêm chủng, thì điều sau đây sẽ xảy ra ở lần khởi động đầu tiên sau khi bị nhiễm bệnh. Việc kích hoạt vật mang vi rút sẽ dẫn đến việc kiểm soát vi rút, vi rút này sau khi hoàn thành các chức năng mục tiêu sẽ chuyển quyền kiểm soát sang chương trình tiêm chủng. Sau đó, vắc xin trước tiên sẽ nhận được quyền kiểm soát, điều này sẽ kiểm tra sự phù hợp của các đặc điểm mà nó đã ghi nhớ với các đặc điểm tương tự thu được ở thời điểm hiện tại. Nếu các bộ đặc điểm được chỉ định không khớp thì có thể đưa ra kết luận rằng văn bản của chương trình tiêm chủng đã bị vi rút sửa đổi. Các đặc điểm được sử dụng bởi vắc xin có thể là độ dài của chương trình, tổng kiểm tra của chương trình, v.v.

Nguyên lý hoạt động tiêm chủng dựa trên việc tính đến thực tế là bất kỳ vi rút nào, theo quy luật, đều đánh dấu các chương trình bị nhiễm bằng một số thuộc tính để ngăn chúng bị tái nhiễm. Nếu không, nhiều đợt lây nhiễm sẽ xảy ra, kèm theo sự gia tăng đáng kể và do đó dễ dàng phát hiện được về số lượng chương trình bị nhiễm. Việc tiêm chủng, không thực hiện bất kỳ thay đổi nào khác đối với văn bản của chương trình được bảo vệ, đánh dấu nó bằng dấu hiệu giống như vi-rút, do đó, sau khi kích hoạt và kiểm tra sự hiện diện của dấu hiệu được chỉ định, sẽ coi nó đã bị nhiễm và “để yên”.

Kiểm toán viên cung cấp khả năng giám sát trạng thái của hệ thống tệp, sử dụng phương pháp tiếp cận tương tự như phương pháp được triển khai trong vắc xin. Trong quá trình hoạt động, chương trình kiểm tra thực hiện, đối với mỗi tệp thực thi, một bản so sánh các đặc điểm hiện tại với các đặc điểm tương tự thu được trong quá trình xem xét tệp trước đó. Nếu phát hiện ra rằng, theo thông tin hệ thống có sẵn, tệp chưa được người dùng cập nhật kể từ lần xem trước và các bộ đặc điểm được so sánh không khớp thì tệp được coi là bị nhiễm. Các đặc điểm của tệp thực thi thu được trong lần xem xét tiếp theo được lưu trữ trong một tệp (tệp) riêng biệt và do đó, việc tăng độ dài của tệp thực thi xảy ra trong quá trình tiêm chủng không xảy ra trong trường hợp này. Một điểm khác biệt giữa kiểm toán viên và vắc xin là mỗi lần kiểm tra tệp thực thi của kiểm toán viên đều yêu cầu phải khởi động lại.

    Chúng ta sẽ nói về những cách đơn giản nhất để vô hiệu hóa vi-rút, đặc biệt là những cách chặn máy tính để bàn của người dùng Windows 7 (họ vi-rút Trojan.Winlock). Những loại virus như vậy được phân biệt bởi thực tế là chúng không che giấu sự hiện diện của chúng trong hệ thống, mà ngược lại, chứng minh điều đó, khiến việc thực hiện bất kỳ hành động nào khác ngoài việc nhập một “mã mở khóa” đặc biệt là cực kỳ khó khăn để có được thứ đó, được cho là , bạn cần chuyển một số tiền nhất định cho những kẻ tấn công bằng cách gửi SMS hoặc bổ sung tài khoản điện thoại di động thông qua thiết bị đầu cuối thanh toán. Mục tiêu ở đây là một - buộc người dùng phải trả tiền và đôi khi là một khoản tiền khá kha khá. Một cửa sổ xuất hiện trên màn hình với cảnh báo đe dọa về việc chặn máy tính sử dụng phần mềm không được cấp phép hoặc truy cập các trang web không mong muốn và những hành động tương tự khác, thường khiến người dùng sợ hãi. Ngoài ra, vi-rút không cho phép bạn thực hiện bất kỳ hành động nào trong môi trường làm việc Windows - nó chặn việc nhấn các tổ hợp phím đặc biệt để mở menu nút Bắt đầu, lệnh Chạy, trình quản lý tác vụ, v.v. Con trỏ chuột không thể di chuyển ra ngoài cửa sổ virus. Theo quy định, hình ảnh tương tự sẽ được quan sát khi tải Windows ở chế độ an toàn. Tình hình có vẻ vô vọng, đặc biệt nếu không có máy tính nào khác, khả năng khởi động vào hệ điều hành khác hoặc từ phương tiện di động (LIVE CD, ERD Commander, trình quét chống vi-rút). Tuy nhiên, trong phần lớn các trường hợp, vẫn có một lối thoát.

    Các công nghệ mới được triển khai trong Windows Vista / Windows 7 đã khiến phần mềm độc hại khó xâm nhập và chiếm toàn quyền kiểm soát hệ thống hơn, đồng thời cung cấp cho người dùng những cơ hội bổ sung để loại bỏ chúng tương đối dễ dàng, ngay cả khi không có phần mềm chống vi-rút (phần mềm). Chúng ta đang nói về khả năng khởi động hệ thống ở chế độ an toàn với sự hỗ trợ dòng lệnh và khởi chạy phần mềm giám sát và phục hồi từ nó. Rõ ràng, theo thói quen, do việc triển khai chế độ này khá kém trong các phiên bản hệ điều hành trước của họ Windows nên nhiều người dùng đơn giản là không sử dụng nó. Nhưng vô ích. Dòng lệnh Windows 7 không có màn hình thông thường (có thể bị vi-rút chặn), nhưng có thể khởi chạy hầu hết các chương trình - trình chỉnh sửa sổ đăng ký, trình quản lý tác vụ, tiện ích khôi phục hệ thống, v.v.

Loại bỏ vi-rút bằng cách khôi phục hệ thống về điểm khôi phục

    Virus là một chương trình thông thường và ngay cả khi nó nằm trên ổ cứng của máy tính nhưng không có khả năng tự động khởi động khi hệ thống khởi động và đăng ký người dùng, thì nó cũng vô hại như một chương trình thông thường. tập tin văn bản. Nếu bạn giải quyết được vấn đề chặn việc tự động khởi chạy một chương trình độc hại thì nhiệm vụ loại bỏ phần mềm độc hại có thể coi như đã hoàn thành. Phương pháp khởi động tự động chính mà vi-rút sử dụng là thông qua các mục đăng ký được tạo đặc biệt khi chúng được đưa vào hệ thống. Nếu bạn xóa các mục này, virus có thể được coi là vô hiệu hóa. Cách dễ nhất là thực hiện khôi phục hệ thống bằng dữ liệu điểm kiểm tra. Điểm kiểm tra là bản sao của các tệp hệ thống quan trọng, được lưu trữ trong một thư mục đặc biệt ("Thông tin ổ đĩa hệ thống") và chứa các bản sao của tệp đăng ký hệ thống Windows, cùng với những thứ khác. Việc thực hiện khôi phục hệ thống về điểm khôi phục, ngày tạo trước khi bị nhiễm vi-rút, cho phép bạn có được trạng thái của sổ đăng ký hệ thống mà không có các mục do vi-rút xâm nhập thực hiện và do đó loại trừ quá trình khởi động tự động của nó, tức là. loại bỏ sự lây nhiễm ngay cả khi không sử dụng phần mềm chống vi-rút. Bằng cách này, bạn có thể loại bỏ phần lớn vi-rút lây nhiễm vào hệ thống của mình một cách đơn giản và nhanh chóng, bao gồm cả những vi-rút chặn màn hình Windows. Đương nhiên, không thể loại bỏ vi-rút chặn sử dụng, chẳng hạn như sửa đổi phần khởi động của ổ cứng (vi-rút MBRLock), vì việc khôi phục hệ thống về điểm khôi phục không ảnh hưởng đến bản ghi khởi động của đĩa và sẽ không thể khởi động Windows ở chế độ an toàn với sự hỗ trợ dòng lệnh vì vi-rút được tải trước bộ tải khởi động Windows. Để loại bỏ sự lây nhiễm như vậy, bạn sẽ phải khởi động từ một phương tiện khác và khôi phục các bản ghi khởi động bị nhiễm. Nhưng có tương đối ít loại vi-rút như vậy và trong hầu hết các trường hợp, bạn có thể loại bỏ sự lây nhiễm bằng cách khôi phục hệ thống về điểm khôi phục.

1. Khi bắt đầu tải xuống, hãy nhấn nút F8. Menu bộ tải khởi động Windows sẽ được hiển thị trên màn hình, với các tùy chọn có thể có để khởi động hệ thống

2. Chọn tùy chọn khởi động Windows - "Chế độ an toàn với hỗ trợ dòng lệnh"

Sau khi tải xuống hoàn tất và người dùng đã đăng ký, cửa sổ bộ xử lý lệnh sẽ được hiển thị thay vì màn hình Windows thông thường cmd.exe

3. Chạy công cụ System Restore bằng cách gõ rstrui.exe và hãy nhấn ĐI VÀO.

Chuyển chế độ sang "Chọn điểm khôi phục khác" và trong cửa sổ tiếp theo, chọn hộp "Hiển thị các điểm khôi phục khác"

Sau khi chọn điểm khôi phục Windows, bạn có thể xem danh sách các chương trình bị ảnh hưởng trong quá trình khôi phục hệ thống:

Danh sách các chương trình bị ảnh hưởng là danh sách các chương trình đã được cài đặt sau khi điểm khôi phục hệ thống được tạo và có thể yêu cầu cài đặt lại vì các mục đăng ký liên quan của chúng sẽ bị thiếu.

Sau khi nhấp vào nút "Hoàn tất", quá trình khôi phục hệ thống sẽ bắt đầu. Sau khi hoàn thành, Windows sẽ khởi động lại.

Sau khi khởi động lại, một thông báo sẽ được hiển thị cho biết quá trình khôi phục thành công hay thất bại và nếu thành công, Windows sẽ trở về trạng thái tương ứng với ngày điểm khôi phục được tạo. Nếu khóa màn hình không dừng, bạn có thể sử dụng phương pháp nâng cao hơn được trình bày bên dưới.

Loại bỏ vi-rút mà không đưa hệ thống về điểm khôi phục

    Có thể hệ thống không có dữ liệu điểm khôi phục vì nhiều lý do, quy trình khôi phục kết thúc với lỗi hoặc quá trình khôi phục không cho kết quả khả quan. Trong trường hợp này, bạn có thể sử dụng tiện ích chẩn đoán Cấu hình Hệ thống MSCONFIG.EXE. Như trong trường hợp trước, bạn cần khởi động Windows ở chế độ an toàn với sự hỗ trợ dòng lệnh và trong cửa sổ trình thông dịch dòng lệnh cmd.exe quay số msconfig.exe và hãy nhấn ĐI VÀO

Trên tab General, bạn có thể chọn các chế độ khởi động Windows sau:

Khởi động bình thường- khởi động hệ thống bình thường.
Chạy chẩn đoán- khi hệ thống khởi động, chỉ các dịch vụ hệ thống và chương trình người dùng được yêu cầu tối thiểu mới được khởi chạy.
Khởi động có chọn lọc- cho phép bạn chỉ định thủ công danh sách các dịch vụ hệ thống và chương trình người dùng sẽ được khởi chạy trong quá trình khởi động.

Để loại bỏ vi-rút, cách dễ nhất là sử dụng khởi chạy chẩn đoán khi tiện ích tự xác định một bộ chương trình sẽ tự động khởi động. Nếu ở chế độ này, vi-rút ngừng chặn máy tính để bàn, thì bạn cần chuyển sang bước tiếp theo - xác định chương trình nào là vi-rút. Để thực hiện việc này, bạn có thể sử dụng chế độ khởi chạy chọn lọc, chế độ này cho phép bạn bật hoặc tắt tính năng khởi chạy từng chương trình theo cách thủ công.

Tab "Dịch vụ" cho phép bạn bật hoặc tắt tính năng khởi chạy các dịch vụ hệ thống có loại khởi động được đặt thành "Tự động". Hộp không được chọn ở phía trước tên dịch vụ có nghĩa là nó sẽ không được khởi chạy trong quá trình khởi động hệ thống. Ở cuối cửa sổ tiện ích MSCONFIG có một trường để cài đặt chế độ "Không hiển thị các dịch vụ của Microsoft", khi được bật, chế độ này sẽ chỉ hiển thị các dịch vụ của bên thứ ba.

Tôi lưu ý rằng khả năng hệ thống bị nhiễm vi-rút được cài đặt dưới dạng dịch vụ hệ thống, với cài đặt bảo mật tiêu chuẩn trong Windows Vista / Windows 7 là rất thấp và bạn sẽ phải tìm dấu vết của vi-rút trong danh sách của các chương trình người dùng được khởi chạy tự động (tab "Khởi động").

Giống như trong tab Dịch vụ, bạn có thể bật hoặc tắt tính năng tự động khởi chạy bất kỳ chương trình nào có trong danh sách được hiển thị bởi MSCONFIG. Nếu vi-rút được kích hoạt trong hệ thống bằng cách tự động khởi chạy bằng các khóa đăng ký đặc biệt hoặc nội dung của thư mục Khởi động, thì bằng cách sử dụng msconfig, bạn không chỉ có thể vô hiệu hóa nó mà còn có thể xác định đường dẫn và tên của tệp bị nhiễm.

Tiện ích msconfig là một công cụ đơn giản và thuận tiện để định cấu hình khởi động tự động các dịch vụ và ứng dụng khởi động theo cách tiêu chuẩn cho các hệ điều hành thuộc họ Windows. Tuy nhiên, những kẻ tạo ra virus thường sử dụng các kỹ thuật cho phép chúng khởi chạy các chương trình độc hại mà không cần sử dụng các điểm tự động chạy tiêu chuẩn. Rất có thể bạn có thể loại bỏ vi-rút như vậy bằng phương pháp được mô tả ở trên bằng cách khôi phục hệ thống về điểm khôi phục. Nếu không thể khôi phục và việc sử dụng msconfig không mang lại kết quả tích cực, bạn có thể sử dụng tính năng chỉnh sửa trực tiếp sổ đăng ký.

    Trong quá trình diệt virus, người dùng thường phải thực hiện hard reset bằng cách reset (Reset) hoặc tắt nguồn. Điều này có thể dẫn đến tình trạng hệ thống khởi động bình thường nhưng không đạt được đăng ký người dùng. Máy tính bị treo do vi phạm cấu trúc dữ liệu logic trong một số tệp hệ thống, xảy ra khi tắt máy không chính xác. Để giải quyết vấn đề, tương tự như các trường hợp trước, bạn có thể khởi động vào chế độ an toàn với sự hỗ trợ dòng lệnh và chạy lệnh kiểm tra đĩa hệ thống

chkdsk C:/F- kiểm tra ổ C: và sửa các lỗi phát hiện được (phím /F)

Vì đĩa hệ thống bị chiếm dụng bởi các dịch vụ và ứng dụng hệ thống khi chkdsk chạy, chkdsk không thể có quyền truy cập độc quyền vào nó để thực hiện kiểm tra. Do đó, người dùng sẽ nhận được thông báo cảnh báo và được yêu cầu thực hiện kiểm tra vào lần khởi động lại hệ thống tiếp theo. Sau khi trả lời Y Thông tin sẽ được nhập vào sổ đăng ký để đảm bảo quá trình kiểm tra đĩa bắt đầu khi Windows khởi động lại. Sau khi kiểm tra xong, thông tin này sẽ bị xóa và Windows khởi động lại bình thường mà không cần sự can thiệp của người dùng.

Loại bỏ khả năng virus chạy bằng Trình chỉnh sửa sổ đăng ký.

    Để khởi chạy trình soạn thảo sổ đăng ký, như trong trường hợp trước, bạn cần khởi động Windows ở chế độ an toàn với sự hỗ trợ dòng lệnh, trong loại cửa sổ thông dịch dòng lệnh regedit.exe và hãy nhấn ĐI VÀO    Windows 7, với cài đặt bảo mật hệ thống tiêu chuẩn, được bảo vệ khỏi nhiều phương pháp khởi chạy phần mềm độc hại được sử dụng cho các phiên bản trước của hệ điều hành Microsoft. Virus cài đặt trình điều khiển và dịch vụ của riêng chúng, cấu hình lại dịch vụ WINLOGON bằng cách kết nối các mô-đun thực thi của riêng chúng, sửa các khóa đăng ký phù hợp với tất cả người dùng, v.v. - tất cả các phương pháp này đều không hoạt động trong Windows 7 hoặc yêu cầu chi phí lao động nghiêm trọng đến mức chúng thực tế là không thể đáp ứng được. Thông thường, những thay đổi đối với sổ đăng ký cho phép vi-rút chạy chỉ được thực hiện trong bối cảnh các quyền tồn tại đối với người dùng hiện tại, tức là. Trong chuong HKEY_CURRENT_USER

Để trình diễn cơ chế đơn giản nhất để chặn máy tính để bàn bằng cách thay thế shell người dùng (shell) và không thể sử dụng tiện ích MSCONFIG để phát hiện và loại bỏ vi-rút, bạn có thể tiến hành thử nghiệm sau - thay vì vi-rút, chính bạn sửa dữ liệu đăng ký để có được, chẳng hạn như một dòng lệnh thay vì màn hình nền . Máy tính để bàn quen thuộc được tạo bởi Windows Explorer (chương trình Explorer.exe) chạy dưới dạng shell người dùng. Điều này được đảm bảo bởi các giá trị tham số Vỏ bọc trong khóa đăng ký

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon- Cho tất cả người dùng.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon- cho người dùng hiện tại.

Tham số Vỏ bọc là một chuỗi chứa tên chương trình sẽ được sử dụng làm shell khi người dùng đăng nhập. Thông thường, trong phần dành cho người dùng hiện tại (HKEY_CURRENT_USER hoặc viết tắt là HKCU), tham số Shell bị thiếu và giá trị từ khóa đăng ký cho tất cả người dùng được sử dụng (HKEY_LOCAL_MACHINE\ hoặc viết tắt là HKLM)

Khóa đăng ký trông như thế này HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon với cài đặt Windows 7 tiêu chuẩn

Nếu bạn thêm tham số chuỗi Shell lấy giá trị “cmd.exe” vào phần này thì lần sau khi người dùng hiện tại đăng nhập vào hệ thống, thay vì shell người dùng dựa trên Explorer tiêu chuẩn, shell cmd.exe sẽ được khởi chạy và thay vì màn hình nền Windows thông thường, cửa sổ dòng lệnh sẽ được hiển thị.

Đương nhiên, bất kỳ chương trình độc hại nào cũng có thể được khởi chạy theo cách này và người dùng sẽ nhận được biểu ngữ khiêu dâm, trình chặn và những thứ khó chịu khác thay vì máy tính để bàn.
Việc thay đổi khóa cho tất cả người dùng (HKLM...) yêu cầu đặc quyền quản trị, vì vậy các chương trình vi-rút thường sửa đổi cài đặt khóa đăng ký của người dùng hiện tại (HKCU...)

Nếu, để tiếp tục thử nghiệm, chúng tôi chạy tiện ích msconfig, thì bạn có thể đảm bảo rằng trong danh sách các chương trình được khởi chạy tự động cmd.exe không có sẵn dưới dạng shell người dùng. Tất nhiên, việc khôi phục hệ thống sẽ cho phép bạn đưa sổ đăng ký về trạng thái ban đầu và loại bỏ quá trình tự động khởi động của vi-rút, nhưng nếu vì lý do nào đó, điều này là không thể, thì lựa chọn duy nhất còn lại là trực tiếp chỉnh sửa sổ đăng ký. Để quay lại màn hình tiêu chuẩn, chỉ cần xóa tùy chọn Vỏ bọc, hoặc thay đổi giá trị của nó từ "cmd.exe" thành "explorer.exe" và đăng ký lại người dùng (đăng xuất và đăng nhập lại) hoặc khởi động lại. Bạn có thể chỉnh sửa sổ đăng ký bằng cách chạy Trình soạn thảo sổ đăng ký từ dòng lệnh regedit.exe hoặc sử dụng tiện ích console REG.EXE. Dòng lệnh ví dụ để loại bỏ tham số Shell:

REG xóa "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Ví dụ đã cho về việc thay thế shell của người dùng ngày nay là một trong những kỹ thuật phổ biến nhất được vi-rút sử dụng trong môi trường hệ điều hành Windows 7. Mức độ bảo mật khá cao trong cài đặt hệ thống tiêu chuẩn sẽ ngăn phần mềm độc hại truy cập vào các khóa đăng ký được sử dụng để lây nhiễm Windows XP và các phiên bản cũ hơn. Ngay cả khi người dùng hiện tại là thành viên của nhóm Quản trị viên, việc truy cập vào phần lớn cài đặt đăng ký được sử dụng để lây nhiễm yêu cầu chạy chương trình với tư cách quản trị viên. Chính vì lý do này mà phần mềm độc hại sửa đổi các khóa đăng ký mà người dùng hiện tại được phép truy cập (phần HKCU...). Yếu tố quan trọng thứ hai là khó khăn khi ghi tệp chương trình vào thư mục hệ thống. Chính vì lý do này mà hầu hết vi-rút trong môi trường Windows 7 đều sử dụng việc khởi chạy các tệp thực thi (.exe) từ thư mục tệp tạm thời (Temp) của người dùng hiện tại. Khi phân tích các điểm khởi chạy tự động của các chương trình trong sổ đăng ký, trước hết bạn cần chú ý đến các chương trình nằm trong thư mục tệp tạm thời. Thông thường đây là một thư mục C:\USERS\tên người dùng\AppData\Local\Temp. Đường dẫn chính xác của thư mục tệp tạm thời có thể được xem thông qua bảng điều khiển trong thuộc tính hệ thống - "Biến môi trường". Hoặc trên dòng lệnh:

đặt nhiệt độ
hoặc
tiếng vang %temp%

Ngoài ra, việc tìm kiếm chuỗi đăng ký tương ứng với tên thư mục cho các tệp tạm thời hoặc biến %TEMP% có thể được sử dụng như một công cụ bổ sung để phát hiện vi-rút. Các chương trình hợp pháp không bao giờ tự động khởi chạy từ thư mục TEMP.

Để có được danh sách đầy đủ các điểm bắt đầu tự động có thể có, thật thuận tiện khi sử dụng một chương trình đặc biệt Tự động chạy từ gói SysinternalsSuite.

Những cách đơn giản nhất để loại bỏ các trình chặn thuộc họ MBRLock

Các chương trình độc hại có thể giành quyền kiểm soát máy tính không chỉ bằng cách lây nhiễm vào hệ điều hành mà còn bằng cách sửa đổi các bản ghi khu vực khởi động của đĩa nơi quá trình khởi động được thực hiện. Virus thay thế dữ liệu khu vực khởi động của phân vùng đang hoạt động bằng mã chương trình của nó để thay vì Windows, một chương trình đơn giản được tải, hiển thị thông báo ransomware trên màn hình đòi tiền cho kẻ gian. Vì vi-rút giành được quyền kiểm soát trước khi hệ thống khởi động, nên chỉ có một cách để vượt qua nó - khởi động từ phương tiện khác (CD/DVD, ổ đĩa ngoài, v.v.) trong bất kỳ hệ điều hành nào có thể khôi phục mã chương trình của các phần khởi động . Cách dễ nhất là sử dụng Live CD / Live USB, thường được cung cấp miễn phí cho người dùng bởi hầu hết các công ty chống vi-rút (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk, v.v.). Ngoài việc khôi phục các boot boot, các sản phẩm này cũng có thể thực hiện và kiểm tra hệ thống tệp để tìm phần mềm độc hại cũng như xóa hoặc khử trùng các tệp bị nhiễm. Nếu không thể sử dụng phương pháp này, bạn có thể tải xuống bất kỳ phiên bản Windows PE nào (đĩa cài đặt, đĩa khôi phục khẩn cấp ERD Commander), cho phép bạn khôi phục khả năng khởi động hệ thống bình thường. Thông thường chỉ cần truy cập dòng lệnh và chạy lệnh là đủ:

ký tự ổ đĩa hệ thống bootect /nt60 /mbr:

bootect /nt60 /mbr E:>- khôi phục các cung khởi động của ổ E: Phần này phải chứa ký tự của ổ đĩa được sử dụng làm thiết bị khởi động cho hệ thống bị vi-rút làm hỏng.

Hoặc cho Windows trước Windows Vista

ký tự ổ đĩa hệ thống bootect /nt52 /mbr:

Tính thiết thực bootect.exe có thể được đặt không chỉ trong các thư mục hệ thống mà còn trên bất kỳ phương tiện di động nào, có thể được thực thi trong bất kỳ hệ điều hành nào thuộc họ Windows và cho phép bạn khôi phục mã chương trình của các cung khởi động mà không ảnh hưởng đến bảng phân vùng và hệ thống tệp. Theo quy định, khóa /mbr là không cần thiết vì nó khôi phục mã chương trình của bản ghi khởi động chính MBR mà vi rút không sửa đổi (có lẽ chúng chưa sửa đổi nó).

Virus mã hóa và các vấn đề mới trong việc lưu dữ liệu người dùng.

Ngoài việc chặn máy tính, vi-rút ransomware còn sử dụng mã hóa tệp người dùng, việc mất tệp này có thể gây ra hậu quả nghiêm trọng và nạn nhân sẵn sàng trả tiền để khôi phục tệp. Theo quy luật, những loại virus mã hóa như vậy sử dụng các công nghệ mã hóa dữ liệu nghiêm trọng khiến không thể khôi phục thông tin nếu không có khóa mã hóa, thứ mà những kẻ tấn công đề nghị mua với số tiền khá lớn. Đúng, không có gì đảm bảo. Và ở đây, nạn nhân có một số lựa chọn - quên dữ liệu của mình mãi mãi, trả tiền cho những kẻ tống tiền mà không đảm bảo sẽ phục hồi hoặc tìm đến các chuyên gia liên quan đến việc khôi phục. Bạn có thể tự mình khôi phục dữ liệu nếu có đủ kiến ​​thức và kỹ năng, hoặc việc mất dữ liệu không quá đáng kể nếu thất bại. Việc khôi phục hoàn toàn mọi thứ sẽ không hiệu quả, nhưng với một chút may mắn, một phần thông tin quan trọng có thể được trả lại. Vài ví dụ:

Khôi phục dữ liệu từ bản sao bóng của ổ đĩa - về bản sao bóng và khả năng khôi phục tệp từ bản sao bóng của ổ đĩa.

Recuva - Sử dụng chương trình Recuva miễn phí từ Piriform để khôi phục các tệp và tệp đã xóa từ các bản sao bóng của ổ đĩa.

Với sự xuất hiện của thế hệ virus ransomware mới, vấn đề an toàn dữ liệu người dùng trở nên gay gắt hơn rất nhiều. Virus không chỉ mã hóa tài liệu, kho lưu trữ, ảnh, video và các tệp khác mà còn làm mọi cách có thể để ngăn chặn việc người dùng bị ảnh hưởng bởi sự lây nhiễm khôi phục ít nhất một phần dữ liệu. Ví dụ: vi-rút ransomware cố gắng xóa bản sao bóng của các tập bằng lệnh vssadmin, khi Kiểm soát tài khoản người dùng (UAC) bị tắt, sẽ không được chú ý và được đảm bảo không thể khôi phục các bản sao trước đó của tệp hoặc sử dụng phần mềm cho phép bạn trích xuất dữ liệu từ các bản sao ẩn (Recuva, các công cụ Windows tiêu chuẩn, v.v.) . Khi tính đến việc sử dụng các thuật toán mã hóa mạnh, việc khôi phục dữ liệu được mã hóa, dù chỉ một phần, trở thành một nhiệm vụ rất khó khăn, chỉ khả thi đối với các chuyên gia trong lĩnh vực này. Ngày nay, có lẽ cách duy nhất để bảo vệ bạn khỏi bị mất dữ liệu hoàn toàn - sử dụng bản sao lưu tự động với việc lưu trữ các bản sao ở một nơi mà vi rút không thể tiếp cận hoặc sử dụng phần mềm “cỗ máy thời gian” cho phép bạn tạo các bản sao tức thì của hệ thống tệp (ảnh chụp nhanh). ) và thực hiện khôi phục nội dung của chúng bất kỳ lúc nào. Phần mềm như vậy không sử dụng hệ thống tệp tiêu chuẩn và có bộ tải khởi động cũng như bộ điều khiển riêng hoạt động độc lập mà không cần khởi động Windows, điều này ngăn phần mềm độc hại hoàn toàn kiểm soát các công cụ khôi phục hệ thống tệp. Ngoài ra, phần mềm này hầu như không ảnh hưởng tới hiệu suất hoạt động của Windows. Một ví dụ về phần mềm như vậy là một số sản phẩm thương mại từ Horizon DataSys và miễn phí. Cỗ máy thời gian Comodo Và Trang chủ khôi phục RX

Comodo Time Machine - một bài viết riêng về Comodo Time Machine và liên kết tải xuống phiên bản miễn phí.

Rollback Rx Home - bài viết riêng về Rollback Rx Home Edition của Horizon DataSys và liên kết tải xuống phiên bản miễn phí.

Chủ sở hữu bằng sáng chế RU 2527738:

Sáng chế liên quan đến lĩnh vực bảo vệ chống virus. Kết quả kỹ thuật là cung cấp khả năng mở khóa máy tính mà không làm mất dữ liệu hoặc khởi động lại máy tính, tăng hiệu quả của hệ thống chống vi-rút và theo đó, tăng tính bảo mật của hệ thống máy tính. Phương pháp vô hiệu hóa phần mềm độc hại chặn hoạt động của máy tính liên quan đến việc sử dụng một thiết bị kích hoạt chống vi-rút riêng biệt, được thiết kế để người dùng kích hoạt quy trình chống phần mềm độc hại và chứa các đầu nối để kết nối với bus điều khiển, bộ điều khiển và thiết bị kích hoạt . Quy trình mở khóa và khử trùng máy tính được khởi chạy để phản hồi tín hiệu kích hoạt nhận được từ thiết bị kích hoạt chống vi-rút. Hơn nữa, quy trình mở khóa và xử lý được đề cập bao gồm: kiểm tra trạng thái của hệ thống con đồ họa hệ điều hành, tìm kiếm tất cả các cửa sổ và màn hình nền đã tạo mà người dùng có thể nhìn thấy; phân tích tất cả các tiến trình và luồng đang chạy trên máy tính tại thời điểm bị lây nhiễm; xây dựng, dựa trên dữ liệu được thu thập, ràng buộc từng cửa sổ và màn hình được đề cập với một quy trình cụ thể và/hoặc hệ thống phân cấp của các quy trình; phân tích dữ liệu nhận được về các quy trình và xác định các mô-đun được tải trong mỗi quy trình có liên quan đến việc thực hiện quy trình; tìm kiếm các chương trình được thực thi tự động trong quá trình khởi động hệ điều hành; tạo danh sách các đối tượng được xác định là độc hại; và cô lập đối tượng độc hại, xóa các tham chiếu đến nó khỏi các tệp cấu hình hệ điều hành và xóa quy trình độc hại do đối tượng tạo ra. 5 lương f-ly, 3 bệnh.

Lĩnh vực công nghệ

Sáng chế liên quan đến lĩnh vực bảo vệ chống vi-rút và cụ thể hơn là phương pháp vô hiệu hóa một số loại phần mềm (phần mềm) độc hại.

Hiện đại nhất

Các hệ thống bảo vệ phần mềm độc hại hiện có cho phép bạn phát hiện nó theo hai cách:

Dựa trên dữ liệu đặc trưng thu được trước đó từ nội dung của các tệp độc hại (chữ ký, mẫu, tổng kiểm tra, v.v.);

Dựa trên hành vi của phần mềm độc hại (máy phân tích hành vi và phỏng đoán).

Những phương pháp này là cổ điển và hoạt động tốt trên các loại phần mềm độc hại đã biết. Thật không may, những phương pháp này thường bất lực trước phần mềm độc hại mới, mới nổi. Lý do đầu tiên cho điều này là dữ liệu đặc trưng của chúng (chữ ký, tổng kiểm tra) chưa có trong cơ sở dữ liệu vi-rút chống vi-rút. Thứ hai là các máy phân tích hành vi và heuristic không phát hiện ra mối đe dọa, bởi vì khi phát triển chương trình độc hại, những kẻ tấn công đã cố tình thay đổi hành vi của nó để không làm dấy lên sự nghi ngờ trong máy phân tích hành vi chống vi-rút. Đồng thời, những chương trình độc hại như vậy mà các chương trình chống vi-rút vẫn chưa biết đến, thường biểu hiện trong quá trình hoạt động, tiết lộ sự hiện diện của chúng cho người dùng đang làm việc trên máy tính bị nhiễm vào lúc này. Một ví dụ về hành vi như vậy là ransomware chặn hoạt động của máy tính và yêu cầu người dùng, chẳng hạn như thông qua tin nhắn trên màn hình, phải tuân thủ các yêu cầu phạm tội của họ (thường liên quan đến việc thanh toán tiền bằng cách này hay cách khác). Do đó, việc máy tính bị nhiễm phần mềm độc hại là điều hiển nhiên đối với người dùng (phần mềm độc hại yêu cầu anh ta thực hiện một số hành động nhất định) và máy tính bị khóa, khiến người dùng không thể hoạt động bình thường hoặc thậm chí khởi chạy các quy trình để chống lại phần mềm độc hại. Đồng thời, hệ thống chống vi-rút không phát hiện hoặc xử lý sự lây nhiễm vì nó không xác định mối đe dọa mới bằng các dấu hiệu hoặc hành vi đặc trưng.

Bản chất của phát minh

Bản chất của sáng chế là khởi động quy trình vô hiệu hóa sự lây nhiễm đang hoạt động trực tiếp bởi người dùng máy tính đã phát hiện ra sự lây nhiễm này, bằng cách tương tác với phức hợp chống vi-rút (AK) chạy trên hệ thống bị nhiễm thông qua một thiết bị kích hoạt bên ngoài được kết nối với máy tính này. Trong trường hợp này, quy trình này phân tích trạng thái hiện tại (tại thời điểm lây nhiễm đang hoạt động) của dữ liệu nội bộ của hệ điều hành và chọn một phương pháp cụ thể để chống lại phần mềm độc hại “đang hoạt động”. Thuật ngữ “phần mềm độc hại đang hoạt động” sau đây định nghĩa phần mềm độc hại đang chạy trên máy tính bị nhiễm và đang chạy trên máy tính đó tại một thời điểm cụ thể nhất định, thể hiện sự hiện diện của nó theo cách này hay cách khác.

Do đó, việc sử dụng phương pháp được đề xuất cho phép chúng tôi giải quyết vấn đề được mô tả của các hệ thống chống vi-rút đã biết, trong đó hệ thống chống vi-rút không phát hiện và xử lý sự lây nhiễm, vì nó không xác định được mối đe dọa mới bằng các dấu hiệu đặc trưng hoặc hành vi. Điều này đạt được bằng cách cho người dùng cơ hội thông báo cho chương trình chống vi-rút về thực tế lây nhiễm trên máy tính bị khóa và kích hoạt trước các quy trình tìm kiếm và vô hiệu hóa phần mềm độc hại, chỉ áp dụng ở giai đoạn lây nhiễm đang hoạt động. Phương pháp này có những đặc điểm nổi bật sau:

Việc sử dụng một thiết bị ngoại vi riêng biệt cho phép bạn kích hoạt quy trình vô hiệu hóa trong trường hợp phần mềm độc hại đã vô hiệu hóa hoặc hạn chế việc sử dụng các phương tiện truyền thống để nhập thông tin vào máy tính, chẳng hạn như bàn phím và chuột (ví dụ: đây là hành vi tiêu chuẩn của phần mềm tống tiền);

Quy trình vô hiệu hóa chương trình độc hại và việc mở khóa tiếp theo được thực hiện mà không cần khởi động lại máy tính và dẫn đến mất dữ liệu người dùng hiện tại chưa được lưu;

Phương pháp này cho phép bạn tìm và loại bỏ hoặc vô hiệu hóa việc khởi chạy phần mềm độc hại mà trước đây không có trong cơ sở dữ liệu vi-rút chống vi-rút, nhờ vào việc xác định thực tế lây nhiễm bởi chính người dùng đã kích hoạt quy trình vô hiệu hóa và phân tích tự động thêm về trạng thái hiện tại của hệ điều hành tại thời điểm bị lây nhiễm;

Phương pháp này cho phép phát hiện phần mềm độc hại mà các nhà phân tích hành vi không phát hiện được bằng hành vi của nó, vì là một trong những tiêu chí chính để đánh giá mức độ gây hại của chương trình, nó không chỉ sử dụng hành vi chính thức mà còn sử dụng thực tế nhận tín hiệu. từ người dùng (thông qua việc sử dụng thiết bị kích hoạt) và các đặc điểm của nó (tạm thời và tình huống).

Phương pháp này giúp đơn giản hóa sự tương tác của AK với người dùng, để kích hoạt quy trình xử lý máy tính, chỉ cần lắp thiết bị và nhấn nút trên thiết bị mà không cần thực hiện các hành động đòi hỏi trình độ chuyên môn cao trong lĩnh vực máy tính. bảo vệ.

Kết quả kỹ thuật của sáng chế được đề xuất là cung cấp khả năng mở khóa máy tính mà không làm mất dữ liệu và khởi động lại máy tính, tăng hiệu quả của hệ thống chống vi-rút và theo đó, tăng tính bảo mật của hệ thống máy tính.

Theo sáng chế, phương pháp được triển khai để vô hiệu hóa phần mềm độc hại chặn hoạt động của máy tính bằng cách sử dụng một thiết bị kích hoạt chống vi-rút riêng biệt, được thiết kế để người dùng kích hoạt quy trình chống lại phần mềm độc hại và chứa các đầu nối để kết nối với bus điều khiển, một bộ điều khiển cung cấp logic phần mềm và phần cứng cho hoạt động của thiết bị và thực hiện liên lạc trên bus và bộ kích hoạt. Phương pháp đã nói có chứa:

1. kết nối thiết bị kích hoạt chống vi-rút với máy tính;

2. truyền tín hiệu kích hoạt từ thiết bị kích hoạt;

3. Kích hoạt quy trình mở khóa và khử trùng máy tính bằng thiết bị kích hoạt. Trong trường hợp này, quy trình mở khóa và xử lý được đề cập bao gồm: kiểm tra trạng thái của hệ thống con đồ họa hệ điều hành, tìm kiếm tất cả các cửa sổ và màn hình nền đã tạo mà người dùng có thể nhìn thấy; phân tích tất cả các tiến trình và luồng đang chạy trên PC tại thời điểm bị lây nhiễm; xây dựng, dựa trên dữ liệu được thu thập, ràng buộc từng cửa sổ và màn hình được đề cập với một quy trình cụ thể và/hoặc hệ thống phân cấp của các quy trình; phân tích dữ liệu thu được về các quy trình và xác định các mô-đun được tải trong mỗi quy trình có liên quan đến việc thực hiện quy trình; tìm kiếm các chương trình được thực thi tự động trong quá trình khởi động hệ điều hành; tạo danh sách các đối tượng được xác định là độc hại; và cô lập đối tượng độc hại, xóa các tham chiếu đến nó khỏi các tệp cấu hình hệ điều hành và xóa quy trình độc hại do đối tượng tạo ra.

Mô tả ngắn gọn về bản vẽ

Hình 1 thể hiện một ví dụ sơ đồ về việc triển khai khái niệm thiết bị kích hoạt chống vi-rút.

Hình 2 cho thấy các giai đoạn chính của quá trình vô hiệu hóa phần mềm độc hại bằng ví dụ về ransomware.

Hình 3 trình bày sơ đồ của thuật toán mở khóa và xử lý PC.

Mô tả chi tiết sáng chế

Để đạt được các mục tiêu nêu trên và các mục tiêu liên quan, một số khía cạnh minh họa nhất định được mô tả ở đây liên quan đến mô tả sau đây và các hình vẽ kèm theo. Tuy nhiên, những khía cạnh này chỉ thể hiện một số cách tiếp cận khả thi đối với việc áp dụng các nguyên tắc được trình bày ở đây và nhằm mục đích bao quát tất cả các khía cạnh đó và những khía cạnh tương đương của chúng. Các ưu điểm và tính năng khác xuất hiện từ phần mô tả chi tiết sau đây được đưa ra cùng với các bản vẽ.

Trong phần mô tả sau đây, nhằm mục đích giải thích, nhiều chi tiết cụ thể được nêu ra nhằm mang lại sự hiểu biết thấu đáo về sáng chế. Tuy nhiên, rõ ràng là các phương án mới có thể được thực hiện mà không cần những chi tiết cụ thể này. Trong các trường hợp khác, các quy trình, cấu trúc và thiết bị phổ biến được hiển thị dưới dạng sơ đồ khối để tạo điều kiện thuận lợi cho việc mô tả chúng.

Mô tả thiết bị kích hoạt

Thiết bị kích hoạt chống vi-rút (Hình 1), dùng để kích hoạt quy trình vô hiệu hóa, có thể được kết nối với máy tính thông qua các bus truyền thông tiêu chuẩn được sử dụng trong PC, chẳng hạn như USB, COM, LPT, (các) ATA, FireWire và các thiết bị khác. Trong trường hợp này, thiết bị này có các đầu nối 1 để kết nối với một bus điều khiển cụ thể, bộ điều khiển 2, cung cấp logic phần mềm và phần cứng cho hoạt động của thiết bị và giao tiếp qua bus, và bộ kích hoạt 3, có thể được thực hiện trong dạng nút bấm, cảm biến hoặc công tắc. Cần lưu ý rằng văn bản này chỉ hiển thị một trong các tùy chọn triển khai sơ đồ cho một thiết bị như vậy và việc triển khai kỹ thuật có thể khác biệt đáng kể.

1. Người dùng đang làm việc trên PC (21), nhập dữ liệu vào đó và tạo tài liệu mới (26), bị nhiễm (22) ransomware, khiến anh ta phải trả một số tiền nhất định hoặc thực hiện một số hành động khác để tiếp tục làm việc. Trong trường hợp này, chương trình độc hại sẽ vô hiệu hóa hoặc giới hạn hoạt động của bàn phím và chuột, do đó ngăn chương trình độc hại bị xóa bằng bất kỳ phương tiện nào được cài đặt trước đó trên PC hoặc tiếp tục hoạt động hoặc thậm chí lưu dữ liệu đã nhập của bạn.

2. Người dùng kết nối (23) thiết bị kích hoạt chống vi-rút (10) với PC. Sau khi kết nối qua đầu nối bus truyền thông tiêu chuẩn, điều sau sẽ xảy ra:

Một. thiết bị 10 được nhận dạng bởi phần cứng máy tính (bộ điều khiển bus, hệ thống đầu vào-đầu ra mức thấp) và hệ điều hành 28 hiện đang được tải và đang chạy, được thực thi bởi bộ xử lý PC trong không gian địa chỉ bộ nhớ PC;

b. hệ điều hành đang chạy 28, được thực thi bởi phần cứng PC, sẽ gửi tín hiệu tương ứng để tải chương trình điều khiển cho thiết bị này 10 (trình điều khiển của thiết bị này).

Với. Chương trình điều khiển (trình điều khiển) cấu hình thiết bị 10 để hoạt động trong hệ điều hành hiện tại 28, bao gồm cả việc cung cấp tài nguyên phần cứng của nó để sử dụng.

3. Người dùng nhấn một nút (kích hoạt công tắc) trên thân thiết bị 10. Hành động này kích hoạt bắt đầu quy trình mở khóa và khử trùng máy tính, được thực hiện trên bộ xử lý PC và trong không gian địa chỉ của nó, sử dụng chuỗi sự kiện sau :

MỘT. bộ điều khiển thiết bị 10 nhận tín hiệu từ công tắc (nút) và tạo ra một chuỗi lệnh trên bus truyền thông;

b. các lệnh được nhận bởi phần cứng của PC, tới bus của thiết bị 10 được kết nối (bộ điều khiển bus và hệ thống đầu vào-đầu ra có liên quan đến quá trình xử lý) và được chuyển đến hệ điều hành 28 để xử lý PC hiện tại đang chạy trên bộ xử lý sử dụng RAM của nó;

c. hệ điều hành 28, sau khi nhận được dữ liệu để xử lý, sẽ chuyển dữ liệu đó đến trình điều khiển thiết bị tương ứng 10, đã được tải trước đó ở bước 2.b.

d. Trình điều khiển thiết bị nhận dữ liệu về việc kích hoạt công tắc từ hệ điều hành 28 và thông báo cho chương trình chống vi-rút đang chạy trên máy tính này trong hệ điều hành hiện tại 28 về điều này.

e. chương trình chống vi-rút nhận được tín hiệu kích hoạt và bắt đầu quy trình mở khóa và khử trùng máy tính 24. Hơn nữa, việc kích hoạt như vậy bằng thiết bị của bên thứ ba cho phép kích hoạt mà không cần sử dụng các công cụ nhập liệu tiêu chuẩn đã bị chương trình độc hại chặn.

Sau khi xử lý và mở khóa máy tính, người dùng được thông báo rằng quy trình đã hoàn tất và sau đó có thể tháo thiết bị ra 10. Trong trường hợp này, anh ta có thể tiếp tục làm việc25 mà không mất dữ liệu29 mà không bị tổn hại dưới bất kỳ hình thức nào bởi phần mềm tống tiền.

Quy trình mở khóa và khử trùng máy tính do chương trình chống vi-rút khởi chạy, thực hiện các hành động để khôi phục toàn bộ chức năng của người dùng trên PC này, thực hiện như sau:

Một. hệ thống con để theo dõi tất cả các cửa sổ hiện có của giao diện đồ họa người dùng 31 tại thời điểm kích hoạt quy trình xử lý trong hệ điều hành sẽ kiểm tra trạng thái của hệ thống con đồ họa của hệ điều hành 32, tìm thấy tất cả các cửa sổ và màn hình nền đã tạo 33 mà người dùng có thể nhìn thấy , cũng như các thủ tục xử lý I/O cửa sổ chặn đầu ra của người dùng đầu vào hiện tại, bao gồm cả các phiên bản ẩn của chúng. Trong số các cửa sổ này có cả cửa sổ của chương trình thông thường và cửa sổ của chương trình độc hại 36. Thông tin được tổng hợp thành danh sách 37, được truyền đi để xử lý tiếp.

b. hệ thống con giám sát 38 của trình quản lý quy trình OS 39 chạy trên bộ xử lý và RAM của PC hiện tại, được tích hợp trong chương trình chống vi-rút, phân tích tất cả các quy trình và luồng đang chạy trên máy tính tại thời điểm bị lây nhiễm, xây dựng mô hình các quy trình' sự phụ thuộc lẫn nhau. Một trong những quy trình này là quy trình của chương trình độc hại 310. Dựa trên dữ liệu được thu thập, liên kết của từng cửa sổ thu được ở giai đoạn trước với quy trình cụ thể và/hoặc hệ thống phân cấp của quy trình 311 được xây dựng.

c. hệ thống phân tích các mô-đun đã tải 312 sẽ phân tích dữ liệu nhận được về các quy trình và xác định trong mỗi mô-đun được tải vào không gian địa chỉ 313 của nó tham gia vào việc thực hiện quy trình. Đối với mỗi mô-đun, tệp lưu trữ nội dung của nó được xác định bằng trình quản lý hệ thống tệp 314. Trong số các mô-đun này, mô-đun thực thi của chương trình độc hại 315 cũng được phát hiện. Dữ liệu thu thập được về các mô-đun được lưu trong danh sách các mô-đun được liên kết với các quy trình và tệp tương ứng của chúng 316.

d. quy trình phân tích các đối tượng 317 được khởi chạy tự động khi hệ điều hành khởi động, là một phần của phức hợp chống vi-rút, tìm kiếm các chương trình 318 được thực thi tự động trong quá trình khởi động hệ điều hành. chương trình độc hại 319, nếu có, sẽ được xác định và danh sách được biên soạn mô tả loại liên kết và vị trí của nó trong tệp cấu hình OS 320.

đ. Quy trình phân tích thông tin thu thập được 321, sử dụng dữ liệu được thu thập ở các giai đoạn a, b, c, d, thực hiện phân tích tình hình hiện tại dựa trên thuật toán tích hợp sẵn, tạo danh sách ứng cử viên cho các đối tượng đáng ngờ và độc hại. Các danh sách này được truyền tới hệ thống đánh giá mức độ độc hại 322, hệ thống này dựa trên nội dung của các đối tượng đáng ngờ và cơ sở dữ liệu bổ sung về các đối tượng đáng tin cậy 323, tạo ra danh sách cuối cùng về các đối tượng được nhận dạng là độc hại. Trong trường hợp này, có thể sử dụng dữ liệu điều trị bổ sung được lưu trữ trong các tệp dữ liệu, cả trên máy tính đã cài đặt và trên thiết bị kích hoạt bên ngoài.

f. danh sách cuối cùng của các đối tượng độc hại được chuyển đến hệ thống con cách ly và loại bỏ đối tượng 325, hệ thống này cô lập chính đối tượng đó và xóa các tham chiếu đến nó khỏi các tệp cấu hình hệ điều hành, đồng thời xóa quá trình độc hại mà chính đối tượng đó tạo ra.

Người dùng đã kích hoạt quá trình mở khóa và chữa lành sẽ được thông báo rằng quy trình đã hoàn tất và sau đó có thể tháo thiết bị kích hoạt. Đồng thời, anh ta có cơ hội tiếp tục làm việc mà không bị mất dữ liệu, không bị phần mềm ransomware làm hại dưới bất kỳ hình thức nào.

Một tính năng đặc biệt của quy trình xử lý là khả năng xác định phần mềm độc hại chưa được biết trước đó, vì thông tin phức tạp về trạng thái hệ thống được sử dụng trực tiếp tại thời điểm kích hoạt chương trình độc hại. Trong trường hợp này, người dùng thực hiện chức năng quan trọng là thông báo (trong trường hợp này đóng vai trò là chuyên gia) về tình trạng lây nhiễm đang hoạt động, tức là. đóng vai trò là yếu tố kích hoạt để bắt đầu quy trình trong tình huống khẩn cấp này. Sau khi nhận được tín hiệu từ người dùng về sự lây nhiễm, hệ thống phân tích này cho phép bạn xác định thủ phạm mà không cần nghiên cứu trước và nhập vào cơ sở dữ liệu vi-rút.

Như được sử dụng trong ứng dụng này, các thuật ngữ "thành phần" và "mô-đun" đề cập đến một thực thể máy tính là phần cứng, sự kết hợp giữa phần cứng và phần mềm, phần mềm hoặc phần mềm thực thi. Ví dụ: một mô-đun có thể là, nhưng không giới hạn ở, một quy trình chạy trên bộ xử lý, bộ xử lý, ổ đĩa cứng, nhiều ổ đĩa (phương tiện quang và/hoặc từ tính), một đối tượng, một tệp thực thi, một luồng thực thi , một chương trình và/hoặc một máy tính. Bằng cách minh họa, một mô-đun có thể là một ứng dụng chạy trên máy chủ hoặc chính máy chủ đó. Một hoặc nhiều mô-đun có thể nằm trong một quy trình và/hoặc luồng thực thi và một mô-đun có thể nằm trên một máy tính và/hoặc được phân phối trên hai hoặc nhiều máy tính.

Mặc dù mô tả nêu trên thường liên quan đến các lệnh máy tính có thể được thực thi trên một hoặc nhiều máy tính, nhưng những người có hiểu biết về lĩnh vực này sẽ đánh giá cao rằng phương án mới cũng có thể được triển khai cùng với các mô-đun phần mềm khác và/hoặc dưới dạng kết hợp giữa phần cứng và phần mềm. .

Nhìn chung, các mô-đun phần mềm bao gồm các thủ tục, chương trình, đối tượng, thành phần, cấu trúc dữ liệu, v.v. thực hiện các tác vụ cụ thể hoặc triển khai các kiểu dữ liệu trừu tượng cụ thể. Ngoài ra, những người có hiểu biết về lĩnh vực này sẽ đánh giá cao rằng các phương pháp của sáng chế có thể được thực hiện thông qua các cấu hình hệ thống máy tính khác, bao gồm hệ thống máy tính một bộ xử lý hoặc đa bộ xử lý, máy tính mini, máy tính lớn cũng như máy tính cá nhân, thiết bị tính toán cầm tay, bộ vi xử lý. các thiết bị điện tử tiêu dùng dựa trên cơ sở hoặc có thể lập trình, v.v., mỗi thiết bị có thể được kết nối với một hoặc nhiều thiết bị tương ứng trong quá trình hoạt động.

Một máy tính thường bao gồm nhiều phương tiện có thể đọc được bằng máy tính. Phương tiện có thể đọc được trên máy tính có thể là bất kỳ phương tiện có sẵn nào mà máy tính có thể truy cập và bao gồm phương tiện dễ bay hơi và không dễ bay hơi, phương tiện di động và cố định. Bằng ví dụ và không giới hạn, phương tiện máy tính có thể đọc được có thể bao gồm phương tiện lưu trữ máy tính và phương tiện truyền thông dữ liệu. Phương tiện lưu trữ máy tính bao gồm phương tiện có thể thay đổi và không thay đổi, có thể tháo rời và không thể tháo rời được triển khai bằng bất kỳ phương pháp hoặc công nghệ nào để lưu trữ thông tin, chẳng hạn như hướng dẫn máy tính có thể đọc được, cấu trúc dữ liệu, mô-đun chương trình hoặc dữ liệu khác. Phương tiện lưu trữ máy tính bao gồm nhưng không giới hạn ở RAM, ROM, EEPROM, bộ nhớ flash hoặc công nghệ bộ nhớ khác, CD-ROM, đĩa đa năng kỹ thuật số (DVD) hoặc các đĩa quang khác, băng từ, băng từ, ổ đĩa từ hoặc các loại khác. thiết bị lưu trữ từ tính hoặc bất kỳ phương tiện nào khác có thể được sử dụng để lưu trữ thông tin hữu ích và máy tính có thể truy cập.

Một hệ thống máy tính mẫu để triển khai các khía cạnh khác nhau bao gồm máy tính, máy tính bao gồm bộ xử lý, bộ nhớ hệ thống và bus phía trước. Bus hệ thống cung cấp giao diện cho các thành phần hệ thống, bao gồm nhưng không giới hạn ở bộ nhớ hệ thống, tới bộ xử lý. Bộ xử lý có thể là bất kỳ bộ xử lý thương mại nào có sẵn. Bộ vi xử lý kép và các kiến ​​trúc đa bộ xử lý khác cũng có thể được sử dụng làm bộ xử lý.

Bus hệ thống có thể là bất kỳ loại cấu trúc bus nào và có thể được kết nối thêm với bus bộ nhớ (có hoặc không có bộ điều khiển bộ nhớ), bus ngoại vi và bus cục bộ bằng cách sử dụng bất kỳ kiến ​​trúc bus thương mại nào có sẵn. Bộ nhớ hệ thống bao gồm bộ nhớ chỉ đọc (ROM) và bộ nhớ truy cập ngẫu nhiên (RAM). Hệ thống Đầu vào/Đầu ra Cơ bản (BIOS) được lưu trữ trong bộ nhớ cố định như ROM, EPROM, EEPROM và BIOS chứa các quy trình cơ bản giúp truyền thông tin giữa các thành phần của máy tính, chẳng hạn như khi khởi động. RAM cũng có thể bao gồm RAM tốc độ cao, chẳng hạn như RAM tĩnh để lưu trữ dữ liệu.

Máy tính còn bao gồm một ổ đĩa cứng bên trong (HDD) (ví dụ: EIDE, SATA), ổ đĩa cứng bên trong này cũng có thể được cấu hình để sử dụng bên ngoài trong một vỏ bọc thích hợp (không hiển thị), ổ đĩa mềm từ tính (FDD) (ví dụ: để đọc hoặc ghi vào đĩa mềm di động) và ổ đĩa quang (ví dụ: đầu đọc CD-ROM hoặc để đọc hoặc ghi vào phương tiện quang học dung lượng cao khác, chẳng hạn như DVD). Ổ đĩa cứng, ổ đĩa từ và ổ đĩa quang có thể được kết nối với bus hệ thống thông qua giao diện ổ đĩa cứng, giao diện ổ đĩa từ và giao diện ổ đĩa quang tương ứng. Giao diện để triển khai ổ đĩa ngoài bao gồm ít nhất một hoặc cả hai công nghệ giao diện Universal Serial Bus (USB) và IEEE 1394.

Ổ đĩa và phương tiện lưu trữ máy tính liên quan cung cấp khả năng lưu trữ dữ liệu, cấu trúc dữ liệu, hướng dẫn máy tính, v.v. Đối với máy tính, ổ đĩa và phương tiện cung cấp khả năng lưu trữ bất kỳ dữ liệu nào ở định dạng kỹ thuật số phù hợp. Mặc dù mô tả ở trên về phương tiện có thể đọc được trên máy tính đề cập đến ổ cứng HDD, đĩa từ có thể tháo rời và phương tiện quang học có thể tháo rời như CD hoặc DVD, những người có kỹ năng trong lĩnh vực này sẽ đánh giá cao các loại phương tiện có thể đọc được trên máy tính khác như đĩa zip, băng từ, thẻ flash Ký ức. , hộp mực và những thứ tương tự cũng có thể được sử dụng trong môi trường vận hành mẫu và hơn nữa, bất kỳ phương tiện nào như vậy đều có thể chứa hướng dẫn máy tính để triển khai các kỹ thuật mới của kiến ​​trúc được tiết lộ.

Ổ đĩa và RAM có thể lưu trữ một số mô-đun phần mềm, bao gồm hệ điều hành, một hoặc nhiều chương trình ứng dụng, mô-đun phần mềm khác và dữ liệu chương trình. Tất cả hoặc một phần hệ điều hành, ứng dụng, mô-đun và/hoặc dữ liệu cũng có thể được lưu vào bộ nhớ đệm trong RAM. Cũng sẽ được đánh giá cao rằng kiến ​​trúc được bộc lộ cũng có thể được triển khai với nhiều hệ điều hành có sẵn trên thị trường hoặc sự kết hợp của các hệ điều hành.

Người dùng có thể nhập lệnh và thông tin vào máy tính thông qua một hoặc nhiều thiết bị đầu vào có dây/không dây, chẳng hạn như bàn phím và thiết bị trỏ như chuột. Các thiết bị đầu vào/đầu ra có thể bao gồm micrô/loa và một thiết bị khác như điều khiển từ xa IR, cần điều khiển, bảng điều khiển trò chơi, bút, màn hình cảm ứng, v.v. Các thiết bị này và các thiết bị đầu vào khác thường được kết nối với bộ xử lý thông qua giao diện thiết bị đầu vào. được kết nối với bus hệ thống, nhưng có thể được kết nối qua các giao diện khác, chẳng hạn như cổng song song, cổng nối tiếp SHEE 1394, cổng trò chơi, cổng USB, giao diện IR, v.v.

Màn hình hoặc loại thiết bị hiển thị khác cũng được kết nối với bus hệ thống thông qua một giao diện, chẳng hạn như bộ điều hợp video. Ngoài màn hình, máy tính thường bao gồm các thiết bị đầu ra ngoại vi khác như loa, máy in, v.v..

Ví dụ về kiến ​​trúc được tiết lộ đã được mô tả ở trên. Tất nhiên, không thể mô tả mọi sự kết hợp có thể hình dung được của các thành phần hoặc phương pháp, nhưng một người có kỹ năng trong lĩnh vực này sẽ đánh giá cao rằng có thể có nhiều kết hợp và hoán vị bổ sung. Theo đó, kiến ​​trúc mới nhằm mục đích bao gồm tất cả những thay đổi, sửa đổi và biến thể nằm trong tinh thần và phạm vi của yêu cầu bảo hộ. Ngoài ra, trong phạm vi thuật ngữ “bao gồm” được sử dụng trong bản mô tả chi tiết hoặc yêu cầu bảo hộ, thuật ngữ đó nhằm mục đích bao hàm theo cách tương tự như thuật ngữ “bao gồm”, vì “chứa” được hiểu khi được sử dụng như một từ chuyển tiếp trong các yêu sách.

1. Phương pháp vô hiệu hóa phần mềm độc hại chặn hoạt động của máy tính bằng thiết bị kích hoạt chống vi-rút riêng biệt, được thiết kế để người dùng kích hoạt quy trình chống lại phần mềm độc hại và chứa các đầu nối để kết nối với bus điều khiển, bộ điều khiển cung cấp phần mềm và logic phần cứng của hoạt động của thiết bị và giao tiếp qua bus cũng như khối kích hoạt, trong đó phương thức này chứa các bước:
kết nối thiết bị kích hoạt chống vi-rút với máy tính;
truyền tín hiệu kích hoạt từ thiết bị kích hoạt; Và
kích hoạt bắt đầu quy trình mở khóa và khử trùng máy tính;
trong đó quy trình mở khóa và xử lý nói trên bao gồm:
nghiên cứu trạng thái của hệ thống con đồ họa hệ điều hành, tìm kiếm tất cả các cửa sổ và màn hình nền đã tạo mà người dùng có thể nhìn thấy;
phân tích tất cả các tiến trình và luồng đang chạy trên máy tính tại thời điểm bị lây nhiễm;
xây dựng, dựa trên dữ liệu được thu thập, ràng buộc từng cửa sổ và màn hình được đề cập với một quy trình cụ thể và/hoặc hệ thống phân cấp của các quy trình;
phân tích dữ liệu nhận được về các quy trình và xác định các mô-đun được tải trong mỗi quy trình có liên quan đến việc thực hiện quy trình;
tìm kiếm các chương trình được thực thi tự động trong quá trình khởi động hệ điều hành;
tạo danh sách các đối tượng được xác định là độc hại;
cô lập một đối tượng độc hại, xóa các tham chiếu đến nó khỏi các tệp cấu hình hệ điều hành và xóa quá trình độc hại do đối tượng sinh ra.

2. Phương pháp theo điểm 1, đặc trưng ở chỗ thiết bị kích hoạt chống vi-rút được kết nối với máy tính thông qua các bus truyền thông tiêu chuẩn được sử dụng trong máy tính cá nhân (PC), chẳng hạn như USB, COM, LPT, (s)ATA, Fire Wire.

3. Phương pháp theo điểm 1, đặc trưng ở chỗ bộ phận kích hoạt được chế tạo dưới dạng nút, cảm biến hoặc công tắc.

4. Phương pháp theo điểm 1, đặc trưng ở chỗ nó còn bao gồm các bước:
xác định thiết bị kích hoạt chống vi-rút bằng phần cứng máy tính và hệ điều hành hiện được tải và đang chạy;
gửi tín hiệu tương ứng để tải chương trình điều khiển thiết bị kích hoạt chống vi-rút.

5. Phương pháp theo yêu cầu 1, đặc trưng ở chỗ trình điều khiển của thiết bị kích hoạt chống vi-rút nhận được dữ liệu về kích hoạt khối kích hoạt và trình điều khiển của thiết bị kích hoạt chống vi-rút thông báo cho chương trình chống vi-rút đang chạy trên máy tính hiện tại. Hệ điều hành về kích hoạt nói trên.

6. Phương pháp theo điểm 1, đặc trưng ở chỗ việc hình thành danh sách các đối tượng được coi là độc hại được đề cập được thực hiện dựa trên nội dung của các đối tượng đáng ngờ và cơ sở dữ liệu bổ sung về các đối tượng đáng tin cậy.

Bằng sáng chế tương tự:

Phương pháp phá hủy các mạch bộ nhớ tích hợp của phương tiện lưu trữ, được thiết kế để ngăn chặn rò rỉ thông tin cấu thành bí mật thương mại trong nỗ lực loại bỏ trái phép phương tiện có thông tin được ghi trên đó.

Sáng chế liên quan đến công nghệ truyền thông và có thể được sử dụng trong dịch vụ di động hàng hải để đảm bảo thu nhận thông tin tự động đáng tin cậy về an toàn hàng hải trong phạm vi sóng ngắn trên các tàu biển nằm ở bất kỳ khu vực nào trên đại dương trên thế giới.

Sáng chế liên quan đến công nghệ máy tính. Kết quả kỹ thuật bao gồm việc ngăn chặn việc sử dụng các tham số vai trò của các đối tượng vi phạm hệ thống thông tin được bảo vệ.

Sáng chế liên quan đến công nghệ máy tính, cụ thể là phương tiện bảo vệ dữ liệu nhận dạng người dùng khi truy cập trang web của bên thứ ba. Kết quả kỹ thuật bao gồm việc cung cấp quản lý dịch vụ xác thực đa yếu tố cho các trang web và bên thứ ba.

Sáng chế liên quan đến công cụ kiểm soát tải xuống phần mềm. Kết quả kỹ thuật là tăng tính bảo mật trước khi tải phần mềm.

Sáng chế đề cập đến phương pháp bảo vệ dữ liệu bảo mật được truyền từ máy phát đến máy thu, bao gồm việc truyền định kỳ đến máy thu, luân phiên với dữ liệu bảo mật nói trên, dữ liệu trung tính được thiết kế để ngăn chặn việc lọc dữ liệu bảo mật.

Sáng chế liên quan đến công nghệ máy tính, cụ thể là phương tiện liên lạc an toàn trong mạng. Kết quả kỹ thuật bao gồm việc tăng cường tính bảo mật khi truyền dữ liệu bằng cách chia khóa thành các phân đoạn để phân phối sơ bộ tài liệu tạo khóa theo cách phân phối thay đổi. Phương pháp này liên quan đến việc truyền thông tin an toàn từ nút đầu tiên (N1) đến nút thứ hai (N2) của mạng, trong đó nút thứ nhất chứa vật liệu tạo khóa (KM(ID1)) của nút đầu tiên, nút thứ hai chứa vật liệu tạo khóa (KM(ID2)) của nút thứ hai trong đó mỗi vật liệu tạo khóa của nút thứ nhất và vật liệu tạo khóa của nút thứ hai bao gồm nhiều phần tạo khóa chung được tạo thành bởi phần tạo khóa chung phân đoạn. Mạng truyền thông chứa ít nhất hai thiết bị liên lạc thực hiện phương pháp trên. 3 n. và lương 10 f-ly, 5 bệnh.

Sáng chế liên quan đến lĩnh vực hệ thống và phương pháp phát hiện sự hiện diện của các chương trình độc hại trong hệ điều hành gây cản trở khả năng làm việc với hệ điều hành của người dùng. Kết quả kỹ thuật là phát hiện sự hiện diện của phần mềm độc hại cản trở sự tương tác của người dùng với giao diện hệ điều hành. Để xác định sự hiện diện của các chương trình độc hại được đề cập trong hệ điều hành: (a) phát hiện sự xuất hiện của một sự kiện được đặc trưng bởi sự vi phạm trong tương tác của người dùng với giao diện hệ điều hành; (b) so sánh trạng thái hiện tại của hệ điều hành với các mẫu trạng thái đặc trưng cho hoạt động của hệ điều hành với một chương trình độc hại ngăn người dùng tương tác với giao diện hệ điều hành; và (c) khi sự kiện nói trên được phát hiện, đặc trưng bởi sự vi phạm trong tương tác của người dùng với giao diện hệ điều hành và trạng thái hiện tại của hệ điều hành trùng với các mẫu trạng thái được đề cập đặc trưng cho hoạt động của hệ điều hành với phần mềm độc hại nói trên chương trình, sự hiện diện của chương trình độc hại này trong hệ điều hành được tiết lộ. 2n. và lương 9 f-ly, 6 bệnh.

Sáng chế liên quan đến thiết bị quản lý nội dung số. Kết quả kỹ thuật là tăng cường tính bảo mật cho việc truy cập nội dung số. Phương pháp này bao gồm việc gửi, thông qua thiết bị thứ nhất, khóa nội dung được mã hóa tới thiết bị thứ hai; gửi, thông qua thiết bị thứ hai đến thiết bị thứ ba, dữ liệu cấp phép mô tả quyền sử dụng nội dung kỹ thuật số nói trên của thiết bị thứ ba để đáp ứng yêu cầu từ thiết bị thứ ba về việc sử dụng nội dung kỹ thuật số nói trên, dữ liệu giấy phép nói trên bao gồm cả khóa nội dung được mã hóa nói trên; và nhận, thông qua thiết bị thứ ba, từ thiết bị thứ nhất, dữ liệu để giải mã khóa nội dung được mã hóa nói trên. 4 n. và lương 11 f-ly, 6 bệnh.

Sáng chế liên quan đến lĩnh vực an ninh mạng, đặc biệt là hệ thống và phương pháp đàm phán khóa đa hướng phù hợp với hệ thống cuộc gọi nhóm với công nghệ truy cập băng thông rộng SCDMA (Đa truy cập phân chia mã đồng bộ). Kết quả kỹ thuật là tăng cường tính bảo mật của các dịch vụ cuộc gọi nhóm được cung cấp qua đường truyền đa hướng. Kết quả kỹ thuật đạt được là do thiết bị đầu cuối người dùng (UT) đàm phán khóa unicast với trạm gốc (BS), nhận khóa mã hóa thông tin và khóa kiểm tra tính toàn vẹn theo khóa unicast và đăng ký trên BS mã định danh của nhóm dịch vụ mà UT thuộc về; BS thông báo cho UT về khóa multicast của nhóm dịch vụ mà UT nên áp dụng, tạo gói thông báo khóa multicast và gửi nó đến UT; sau khi nhận được gói thông báo khóa multicast do BS gửi, UT lấy khóa multicast của nhóm dịch vụ mà UT nên áp dụng bằng cách giải mã danh sách ứng dụng khóa nhóm dịch vụ, tạo gói xác nhận khóa multicast và gửi nó đến BS; BS xác nhận rằng khóa multicast nhóm dịch vụ của UT đã được tạo thành công theo gói xác nhận khóa multicast được UT gửi. 2n. và 6 lương f-ly, 1 bệnh.

Sáng chế liên quan đến lĩnh vực bảo vệ chống lại các mối đe dọa máy tính, cụ thể là các công cụ phân tích các sự kiện khởi chạy tệp để xác định mức độ bảo mật của chúng. Kết quả kỹ thuật của sáng chế là giảm thời gian quét chống vi-rút. Chỉ định xếp hạng bảo mật cho ít nhất một tệp. Việc khởi chạy ít nhất một tệp do người dùng thực hiện đã được đăng ký. Giám sát các sự kiện trong hệ điều hành, bao gồm các sự kiện khởi chạy tệp. Thông tin về ít nhất một tệp đang chạy trong hệ điều hành được so sánh với thông tin về ít nhất một tệp được đăng ký khởi chạy. Chúng giảm xếp hạng bảo mật của tệp nếu không có thông tin về việc đăng ký khởi chạy hoặc tăng xếp hạng bảo mật của tệp nếu có thông tin về đăng ký khởi chạy. Các tệp có xếp hạng bảo mật vượt quá ngưỡng chỉ định sẽ bị loại khỏi quá trình quét chống vi-rút. 2n. và lương 19 f-ly, 5 bệnh.

Sáng chế liên quan đến việc lưu trữ và xử lý các bản sao lưu một cách an toàn và bí mật. Kết quả kỹ thuật là tăng tính bảo mật cho việc lưu trữ dữ liệu. Phương pháp này nhận được, bởi ít nhất một thiết bị máy tính trong vùng điều khiển thứ nhất, từ ít nhất một thiết bị máy tính trong vùng điều khiển thứ hai, dữ liệu được mã hóa được tạo bằng cách mã hóa toàn bộ dữ liệu sao lưu cho một bộ dữ liệu nhất định từ ít nhất một thiết bị máy tính trong vùng điều khiển thứ hai. khu vực thứ hai. kiểm soát theo ít nhất một thuật toán mã hóa tìm kiếm dựa trên thông tin khóa mật mã, nhận ít nhất một thiết bị máy tính trong khu vực điều khiển thứ nhất từ ​​ít nhất một thiết bị máy tính trong khu vực điều khiển thứ hai, siêu dữ liệu được mã hóa được tạo bằng cách phân tích toàn bộ sao lưu dữ liệu và mã hóa đầu ra phân tích dựa trên thông tin khóa mật mã, nhận dữ liệu bí mật cho phép truy cập hiển thị vào dữ liệu được mã hóa được chỉ định bởi ít nhất một bí mật mật mã của dữ liệu bí mật và duy trì dữ liệu sao lưu tổng hợp đầy đủ cho một bộ dữ liệu nhất định dựa trên dữ liệu được mã hóa, siêu dữ liệu được mã hóa và dữ liệu bí mật. 3 n. và lương 12 tập tin, 42 bệnh.

Sáng chế liên quan đến công nghệ máy tính. Kết quả kỹ thuật bao gồm việc tăng hiệu quả đánh giá mức độ nguy hiểm của mã được thực thi trong không gian địa chỉ của một quy trình đáng tin cậy. Phương pháp đánh giá mức độ nguy hiểm của mã được thực thi trong không gian địa chỉ của một quy trình đáng tin cậy, trong đó các đặc điểm của quy trình không đáng tin cậy, các chức năng quan trọng và tiêu chí về mức độ nguy hiểm của mã thực thi được chỉ định; lưu các dấu hiệu cụ thể của các quy trình không đáng tin cậy, các chức năng và tiêu chí quan trọng về mức độ nguy hại của mã thực thi; xác định một tiến trình không đáng tin cậy trong số các tiến trình đang chạy trong hệ điều hành dựa trên sự hiện diện của các dấu hiệu được chỉ định; chặn lệnh gọi chức năng quan trọng được thực hiện thay mặt cho một quy trình không đáng tin cậy; xác định mã thực thi đã khởi tạo lệnh gọi hàm quan trọng bằng cách phân tích ngăn xếp lệnh gọi; nhận dạng mã thực thi là độc hại dựa trên phân tích các tiêu chí được chỉ định. 2n. và lương 12 f-ly, 7 bệnh.

Sáng chế liên quan đến hệ thống liên lạc và đặc biệt hơn là các thiết bị liên lạc và ứng dụng dành cho các thiết bị đó cho phép chỉ định các dịch vụ duy trì cho thiết bị nói trên khi đăng ký dịch vụ. Kết quả kỹ thuật là đảm bảo tính liên tục của phiên và dịch vụ trong trường hợp mạng bị lỗi hoặc bị từ chối dịch vụ bằng cách chỉ định động các dịch vụ có khả năng sống sót cho các thiết bị liên lạc dựa trên vị trí hiện tại của thiết bị và môi trường mạng dữ liệu. Kết quả kỹ thuật đạt được nhờ máy chủ quản lý phiên trung tâm xác thực thiết bị liên lạc đầu tiên bằng cách đánh giá thông tin tài khoản và chỉ định máy chủ có khả năng sống sót đầu tiên cho thiết bị liên lạc đầu tiên dựa trên thông tin vị trí hiện tại được cung cấp trong tin nhắn ban đầu. 3 n. và lương 16 f-ly, 4 bệnh.

Sáng chế liên quan đến hệ thống chống vi-rút. Kết quả kỹ thuật là ngăn chặn việc cập nhật trái phép chương trình chống vi-rút. Thiết bị lưu trữ chứa phần vận hành lưu trữ tệp cần quét, chương trình giao diện người dùng chỉ đọc và phần ẩn lưu trữ mã vi-rút. Bộ xử lý được kết nối hoạt động với thiết bị hiển thị, trong đó chương trình giao diện người dùng chỉ đọc, khi được bộ xử lý thực thi, sẽ khiến bộ xử lý cung cấp giao diện người dùng trên thiết bị hiển thị, nhận yêu cầu truy cập thông qua giao diện người dùng nói trên và tạo ra, để đáp lại yêu cầu truy cập, yêu cầu xác nhận mật khẩu để Xác nhận mật khẩu cập nhật chương trình/mã được sử dụng để kiểm soát việc cập nhật chương trình chống vi-rút và mã vi-rút. Thiết bị chống vi-rút thực hiện quét vi-rút tệp cần quét trong phần vận hành nói trên dựa trên mã vi-rút đã nói trong phần ẩn nói trên và bao gồm bộ xử lý chống vi-rút. lương 8 f-ly, 4 bệnh.

Sáng chế đề cập đến phương tiện kiểm soát ứng dụng của thiết bị chụp ảnh. Kết quả kỹ thuật bao gồm khả năng sử dụng ứng dụng thiết bị tạo hình ảnh khi thay đổi cấu hình thiết bị. Dịch vụ quản lý thiết bị nhận được yêu cầu lấy thông tin ứng dụng cho một ứng dụng được áp dụng từ thiết bị hình ảnh, tạo và truyền thông tin ứng dụng tương ứng với thiết bị hình ảnh khi thông tin cấu hình thiết bị cho thiết bị hình ảnh đáp ứng điều kiện ứng dụng có trong bộ lõi thông tin ứng dụng và có giấy phép sử dụng để áp dụng ứng dụng đó vào thiết bị tạo ảnh. 4 n. và 4 mức lương f-ly, 25 bị bệnh.

Sáng chế liên quan đến lĩnh vực bảo vệ chống virus. Kết quả kỹ thuật là cung cấp khả năng mở khóa máy tính mà không làm mất dữ liệu hoặc khởi động lại máy tính, tăng hiệu quả của hệ thống chống vi-rút và theo đó, tăng tính bảo mật của hệ thống máy tính. Phương pháp vô hiệu hóa phần mềm độc hại chặn hoạt động của máy tính liên quan đến việc sử dụng một thiết bị kích hoạt chống vi-rút riêng biệt, được thiết kế để người dùng kích hoạt quy trình chống phần mềm độc hại và chứa các đầu nối để kết nối với bus điều khiển, bộ điều khiển và thiết bị kích hoạt . Quy trình mở khóa và khử trùng máy tính được khởi chạy để phản hồi tín hiệu kích hoạt nhận được từ thiết bị kích hoạt chống vi-rút. Hơn nữa, quy trình mở khóa và xử lý được đề cập bao gồm: kiểm tra trạng thái của hệ thống con đồ họa hệ điều hành, tìm kiếm tất cả các cửa sổ và màn hình nền đã tạo mà người dùng có thể nhìn thấy; phân tích tất cả các tiến trình và luồng đang chạy trên máy tính tại thời điểm bị lây nhiễm; xây dựng, dựa trên dữ liệu được thu thập, ràng buộc từng cửa sổ và màn hình được đề cập với một quy trình hoặc hệ thống phân cấp quy trình cụ thể; phân tích dữ liệu nhận được về các quy trình và xác định các mô-đun được tải trong mỗi quy trình có liên quan đến việc thực hiện quy trình; tìm kiếm các chương trình được thực thi tự động trong quá trình khởi động hệ điều hành; tạo danh sách các đối tượng được xác định là độc hại; và cô lập đối tượng độc hại, xóa các tham chiếu đến nó khỏi các tệp cấu hình hệ điều hành và xóa quy trình độc hại do đối tượng tạo ra. 5 lương f-ly, 3 bệnh.

Vấn đề bảo vệ chống vi-rút phải được xem xét trong bối cảnh chung của vấn đề bảo vệ thông tin khỏi bị truy cập trái phép và bảo mật công nghệ và vận hành của phần mềm nói chung. Nguyên tắc cơ bản làm cơ sở cho sự phát triển của công nghệ bảo vệ chống virus là tạo ra một hệ thống bảo vệ phân tán nhiều cấp độ, bao gồm:

quy định công việc trên PC;

sử dụng các công cụ bảo vệ phần mềm;

sử dụng bảo vệ phần cứng đặc biệt.

Trong trường hợp này, số cấp độ bảo vệ phụ thuộc vào giá trị của thông tin được xử lý trên PC.

Các phương pháp sau đây hiện đang được sử dụng để bảo vệ chống lại virus máy tính.

Đang lưu trữ. Nó bao gồm việc sao chép các vùng hệ thống của đĩa từ và duy trì kho lưu trữ hàng ngày các tập tin đã thay đổi. Lưu trữ là một trong những phương pháp chính để bảo vệ chống lại virus. Các phương pháp bảo vệ khác bổ sung cho nó nhưng không thể thay thế hoàn toàn.

Kiểm soát đầu vào. Kiểm tra tất cả các chương trình đến bằng bộ dò tìm, cũng như kiểm tra độ dài và tổng kiểm tra của các chương trình mới nhận được xem có tuân thủ các giá trị được chỉ định trong tài liệu hay không. Hầu hết các virus khởi động và tập tin đã biết đều có thể được phát hiện ở giai đoạn kiểm tra đầu vào. Với mục đích này nó được sử dụng ắc quymáy dò(một số chương trình được tung ra liên tiếp). Phạm vi phát hiện khá rộng và được cập nhật liên tục khi có virus mới xuất hiện. Tuy nhiên, không phải tất cả các loại virus đều có thể được phát hiện mà chỉ những loại được máy dò nhận ra. Yếu tố tiếp theo của kiểm soát đầu vào là tìm kiếm theo ngữ cảnh trong tệp để tìm các từ và thông báo có thể thuộc về vi-rút (ví dụ: Virus, COMMAND.COM, Kill, v.v.). Việc không có chuỗi văn bản trong 2-3 kilobyte cuối cùng của tệp là điều đáng ngờ - đây có thể là dấu hiệu của vi-rút mã hóa phần thân của tệp.

Việc kiểm soát được xem xét có thể được thực hiện bằng cách sử dụng một chương trình đặc biệt hoạt động với cơ sở dữ liệu về các từ và thông báo “đáng ngờ” và tạo danh sách các tệp để phân tích thêm. Sau khi phân tích, nên vận hành các chương trình mới ở chế độ cách ly trong vài ngày. Trong trường hợp này, nên sử dụng tính năng tăng tốc lịch, tức là. thay đổi ngày hiện tại khi khởi động lại chương trình. Điều này cho phép bạn phát hiện vi-rút kích hoạt vào một số ngày nhất định trong tuần (Thứ Sáu, ngày 13 hàng tháng, Chủ Nhật, v.v.).

Phòng ngừa.Để ngăn ngừa lây nhiễm, cần tổ chức lưu trữ riêng biệt (trên các phương tiện từ tính khác nhau) các chương trình mới nhận và đã sử dụng trước đó, giảm thiểu thời gian có sẵn đĩa mềm để ghi và phân chia phương tiện từ tính chung giữa những người dùng cụ thể.

Ôn tập. Phân tích các chương trình mới nhận được bằng các công cụ đặc biệt (máy dò), giám sát tính toàn vẹn trước khi đọc thông tin, cũng như giám sát định kỳ trạng thái của tệp hệ thống.

Cách ly. Mỗi chương trình mới đều được kiểm tra các loại vi-rút đã biết trong một khoảng thời gian nhất định. Vì những mục đích này, nên bố trí một PC đặc biệt để không thực hiện công việc nào khác. Nếu không thể phân bổ một PC để cách ly phần mềm, một máy bị ngắt kết nối với mạng cục bộ và không chứa thông tin đặc biệt có giá trị sẽ được sử dụng cho mục đích này.

Phân đoạn. Nó liên quan đến việc chia một đĩa từ thành một số khối logic (phân vùng), một số trong đó có trạng thái READ_ONLY (chỉ đọc). Các phân vùng này lưu trữ các chương trình thực thi và tập tin hệ thống. Cơ sở dữ liệu nên được lưu trữ ở các khu vực khác, tách biệt với các chương trình đang chạy. Một biện pháp phòng ngừa quan trọng trong cuộc chiến chống lại vi-rút tập tin là loại trừ một phần đáng kể các mô-đun khởi động khỏi tầm với của chúng. Phương pháp này được gọi là phân đoạn và dựa trên việc phân vùng đĩa từ (ổ cứng) bằng trình điều khiển đặc biệt gán thuộc tính READ_ONLY (chỉ đọc) cho các ổ đĩa logic riêng lẻ và cũng hỗ trợ các sơ đồ truy cập mật khẩu. Đồng thời, các chương trình thực thi và tiện ích hệ thống, cũng như hệ thống quản lý cơ sở dữ liệu và trình dịch, được đặt trong các phân vùng đĩa được bảo vệ chống ghi, tức là. các thành phần phần mềm có nguy cơ bị lây nhiễm cao nhất. Với tư cách là một trình điều khiển như vậy, bạn nên sử dụng các chương trình như ADVANCEDDISKMANAGER (chương trình định dạng và chuẩn bị ổ cứng), chương trình này không chỉ cho phép bạn chia đĩa thành các phân vùng mà còn tổ chức quyền truy cập vào chúng bằng mật khẩu. Số lượng khối logic được sử dụng và kích thước của chúng phụ thuộc vào các tác vụ đang được giải quyết và kích thước của ổ cứng. Bạn nên sử dụng 3 - 4 ổ logic và trên đĩa hệ thống mà bạn đang khởi động, bạn nên để lại số lượng tệp tối thiểu (tệp hệ thống, shell và chương trình bẫy).

Lọc. Nó bao gồm việc sử dụng các chương trình giám sát để phát hiện các nỗ lực thực hiện các hành động trái phép.

Tiêm chủng. Xử lý đặc biệt các tệp và đĩa mô phỏng sự kết hợp của các điều kiện được một số loại vi-rút sử dụng để xác định xem chương trình đã bị nhiễm hay chưa.

Kiểm soát tính toàn vẹn tự động. Nó bao gồm việc sử dụng các thuật toán đặc biệt cho phép, sau khi khởi động chương trình, xác định xem các thay đổi đã được thực hiện đối với tệp của nó hay chưa.

Trị liệu. Nó liên quan đến việc vô hiệu hóa một loại vi-rút cụ thể trong các chương trình bị nhiễm bằng các chương trình đặc biệt (phage). Các chương trình phage “cắn” virus ra khỏi chương trình bị nhiễm và cố gắng khôi phục mã của nó về trạng thái ban đầu (trạng thái trước thời điểm lây nhiễm). Nhìn chung, kế hoạch bảo vệ công nghệ có thể bao gồm các giai đoạn sau:

kiểm soát đầu vào của các chương trình mới;

phân đoạn thông tin trên đĩa từ;

bảo vệ hệ điều hành khỏi bị nhiễm trùng;

kiểm soát tính toàn vẹn thông tin một cách có hệ thống.

Cần lưu ý rằng bạn không nên cố gắng cung cấp sự bảo vệ toàn cầu cho tất cả các tệp trên đĩa. Điều này làm phức tạp đáng kể hoạt động, giảm hiệu suất hệ thống và cuối cùng là giảm tính bảo mật do hoạt động thường xuyên ở chế độ mở. Phân tích cho thấy chỉ có 20-30% tệp cần được bảo vệ chống ghi.

Khi bảo vệ hệ điều hành khỏi vi-rút, cần phải đặt nó và một số tiện ích đúng cách, điều này có thể đảm bảo rằng sau lần khởi động đầu tiên, hệ điều hành chưa bị nhiễm vi-rút tệp thường trú. Điều này đạt được bằng cách đặt bộ xử lý lệnh trên một đĩa được bảo vệ chống ghi, từ đó, sau lần khởi động đầu tiên, nó sẽ được sao chép sang đĩa ảo (điện tử). Trong trường hợp này, khi bị vi-rút tấn công, bộ xử lý lệnh trùng lặp trên đĩa ảo sẽ bị nhiễm. Khi khởi động lại, thông tin trên đĩa ảo sẽ bị hủy khiến virus không thể lây lan qua bộ xử lý lệnh.

Ngoài ra, để bảo vệ hệ điều hành, có thể sử dụng bộ xử lý lệnh không chuẩn (ví dụ: bộ xử lý lệnh 4DOS do J.P. Software phát triển), có khả năng chống lây nhiễm cao hơn. Việc đặt một bản sao hoạt động của shell vào một đĩa ảo cho phép nó được sử dụng làm chương trình mồi nhử. Để làm điều này, một chương trình đặc biệt có thể được sử dụng để giám sát định kỳ tính toàn vẹn của bộ xử lý lệnh và thông báo về hành vi vi phạm của nó. Điều này cho phép phát hiện sớm sự tấn công của virus.

Để thay thế cho MS DOS, một số hệ điều hành đã được phát triển có khả năng chống lây nhiễm cao hơn. Trong số này, cần lưu ý DR DOS và Hi DOS. Bất kỳ hệ thống nào trong số này đều có khả năng “kháng virus” tốt hơn MS DOS. Hơn nữa, virus càng phức tạp và nguy hiểm thì càng ít có khả năng hoạt động trên một hệ điều hành thay thế.

Phân tích các phương pháp và phương tiện bảo vệ được xem xét cho thấy rằng việc bảo vệ hiệu quả có thể được đảm bảo thông qua việc sử dụng tích hợp nhiều phương tiện khác nhau trong một môi trường hoạt động duy nhất. Để làm được điều này, cần phát triển một gói phần mềm tích hợp hỗ trợ công nghệ bảo vệ đang được xem xét. Gói phần mềm nên bao gồm các thành phần sau.

Dòng (pin) của máy dò. Các máy dò thuộc dòng này phải được phóng từ môi trường hoạt động của tổ hợp. Đồng thời, có thể kết nối các máy dò mới với dòng, cũng như chỉ định các tham số để khởi chạy chúng từ môi trường hộp thoại. Sử dụng thành phần này, việc kiểm thử phần mềm có thể được tổ chức ở giai đoạn kiểm tra sắp tới.

Chương trình bẫy virus. Chương trình này được tạo ra trong quá trình hoạt động của khu phức hợp, tức là. không được lưu trên đĩa nên bản gốc không thể bị nhiễm virus. Trong quá trình kiểm tra PC, chương trình bẫy được thực hiện lặp đi lặp lại, thay đổi ngày giờ hiện tại (tổ chức lịch tăng tốc). Cùng với đó, chương trình mồi nhử sẽ giám sát tính toàn vẹn của nó (kích thước, tổng kiểm tra, ngày và giờ tạo) mỗi khi nó được khởi chạy. Nếu phát hiện thấy sự lây nhiễm, hệ thống phần mềm sẽ chuyển sang chế độ phân tích chương trình bị nhiễm - một cái bẫy - và cố gắng xác định loại vi-rút.

Chương trình tiêm chủng. Được thiết kế để thay đổi môi trường hoạt động của virus khiến chúng mất khả năng sinh sản. Một số loại vi-rút được biết là có chức năng đánh dấu các tệp bị nhiễm để ngăn ngừa tái nhiễm. Sử dụng thuộc tính này, có thể tạo một chương trình xử lý các tệp theo cách mà vi-rút tin rằng chúng đã bị nhiễm.

Cơ sở dữ liệu về virus và đặc điểm của chúng. Dự kiến, cơ sở dữ liệu sẽ lưu trữ thông tin về các loại virus hiện có, tính năng và dấu hiệu của chúng cũng như chiến lược xử lý được đề xuất. Thông tin từ cơ sở dữ liệu có thể được sử dụng khi phân tích chương trình mồi nhử bị nhiễm, cũng như ở giai đoạn kiểm soát phần mềm đến. Ngoài ra, dựa trên thông tin được lưu trữ trong cơ sở dữ liệu, có thể đưa ra khuyến nghị về việc sử dụng các thiết bị phát hiện và thể thực khuẩn hiệu quả nhất để điều trị một loại vi rút cụ thể.

Bảo vệ khu dân cư. Những công cụ này có thể nằm trong bộ nhớ và liên tục giám sát tính toàn vẹn của các tệp hệ thống và shell. Việc kiểm tra có thể được thực hiện bằng cách sử dụng các ngắt hẹn giờ hoặc khi thực hiện các thao tác đọc và ghi vào một tệp.