Исследование методов отслеживания изменений в операционной системе семейства Windows | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №49 (339) декабрь 2020 г.

Дата публикации: 30.11.2020

Статья просмотрена: 74 раза

Библиографическое описание:

Климов, В. А. Исследование методов отслеживания изменений в операционной системе семейства Windows / В. А. Климов. — Текст : непосредственный // Молодой ученый. — 2020. — № 49 (339). — С. 9-11. — URL: https://moluch.ru/archive/339/75898/ (дата обращения: 18.12.2024).



В статье автор пытается определить методы отслеживания изменений в ОС Windows.

Ключевые слова: pe файл, изменения, ревизор.

В начале 2020 года злоумышленники чаще всего рассылали россиянам банковские трояны, программы для заражения устройств и для скрытого майнинга криптовалют.

Самым активным был способный рассылать фишинговые письма троян Emotet — он атаковал 7 % российских организаций. Далее следуют RigEK и XMRig с охватом 6 % каждый. Первый троян содержит опасные программы для Internet Explorer, Flash, Java и Silverlight, а второй — используется для добычи криптовалюты Monero.

Что касается всего мира, то в топ-3 самых активных вредоносных ПО вошёл банковский троян Dridex, которые используется для перехвата персональных данных и данных банковских карт.

Статистика за первый квартал 2020 года показывает, что уязвимости в пакете Microsoft Office эксплуатируются чаще уязвимостей в других приложениях, что объясняется простотой их использования и высокой стабильностью работы.

На рисунке 1 показан график самых уязвимых приложений, уязвимости которых чаще всего эксплуатируют злоумышленники.

Статистика уязвимостей приложений

Рис. 1. Статистика уязвимостей приложений

Установка программы, отслеживающей изменения в ОС, смогла бы предотвратить эксплуатацию уязвимостей в пакете Microsoft Office и других популярных программах.

Файловый вирус — компьютерный вирус, который для своего размножения использует файловую систему, внедряясь в исполняемые файлы ОС.

Такими файлами могут быть:

Командные файлы, исполняемые файлы в формате COM, исполняемые файлы в формате EXE, исполняемые файлы в формате PE, системные драйверы, файлы оверлеев, и динамически загружаемых библиотек [3].

Основные методы заражения PE файла:

Внедрение в заголовок, расширение последней секции, добавление новой секции.

Методы отслеживания изменений в ОС:

Контроль оперативной памяти.

Эта стадия проверки включает в себя процедуры обнаружения следов активных загрузочных и stealth-вирусов в памяти компьютера. Если такие алгоритмы будут найдены, выдается соответствующее предупреждение.

Контроль системных областей.

Контроль системных областей предназначен для обнаружения вирусов, которые используют для своей активации механизм загрузки. Первой с диска загружается загрузочная запись (boot record), которая содержит в себе мини-программу, управляющую дальнейшей загрузкой. Для жесткого диска первой производится загрузка главной загрузочной записи (Master-Boot Record или MBR).

Контроль неизменяемых файлов.

Последняя стадия проверки, направленная на обнаружение деятельности файловых вирусов, — контроль изменения файлов. Для всех файлов, которые активно используются и в то же время не должны изменяться (обычно это программы типа win.com и т. п.), создаются контрольные таблицы. В них содержатся значения контрольных сумм и размеров файлов. Затем, в ходе дальнейшего использования программы по отслеживанию, информация с дисков сравнивается с эталонной, хранящейся в таблицах. Если информация не совпадает, то весьма вероятно нахождение в системе файлового вируса. Самый явный признак — изменение размера или содержимого файла без изменения даты создания файла [2, с. 12].

Отслеживание изменений размера секции PE файла.

PE формат — это формат исполняемых файлов всех 32- и 64- разрядных Windows систем. На данный момент существует два формата PE-файлов: PE32 и PE32+. PE32 формат для x86 систем, а PE32+ для x64. На рисунке 2 изображена типовая структура PE файла [1, с. 5].

Структура PE файла

Рис. 2. Структура PE файла

Отслеживание изменений размера секции PE файла — это один из эффективных методов отслеживания вируса в исполняемых файлах windows.

Литература:

  1. ГОСТ Р 56545–2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей». — М.: Стандартинформ, 2009.
  2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 г.
  3. PE (Portable Executable): На странных берегах [Электронный ресурс]. URL: https://habr.com/ru/post/266831/ (Дата обращения: 12.11.20)
Основные термины (генерируются автоматически): файл, COM, EXE, MBR, метод отслеживания изменений, отслеживание изменений размера секции, файловый вирус, формат.


Ключевые слова

ревизор, изменения, pe файл

Похожие статьи

Система контроля управления доступом (СКУД)

В статье авторы пытаются рассказать об актуальности разработки СКУД.

Абстрактные и динамически сгенерированные контроллеры в ASP.NET

В данной статье будет рассмотрен подход автоматически сгенерированных контроллеров в одной из самых популярных технологий для написания веб-сайтов — ASP.NET Core MVC.

Современные программные продукты для анализа данных

В статье представлены особенности современного программного обеспечения для анализа данных и сравнительный анализ программных продуктов.

Диагностика утечек памяти в Java-приложениях

Данная статья описывает структуру хранения используемой памяти, простые способы диагностики её утечек и временные исправления их.

Работа с баг-трекером: эффективное управление ошибками в разработке программного обеспечения

В данной статье автор рассмотрел ключевые аспекты использования баг-трекера в разработке программного обеспечения от отслеживания багов и их структурирования до интеграции с другими инструментами.

Использование двухфакторной аутентификации в проекте ASP.NET Core

Данная статья рассматривает процесс настройки двухфакторной аутентификации в проектах ASP.NET Core.

Важность использования распределенных систем контроля версий

В статье авторы определяют важность использования распределенных систем контроля версий для разработки программного продукта.

Разработка командной оболочки с поддержкой конвейера (pipeline)

В данной статье говорится об особенностях разработки командной оболочки (shell) для UNIX систем. Приводятся блок-схемы работы основных алгоритмов работы командной оболочки. Подробно разбирается реализация конвейера (pipeline).

Исследование процессов внутри виртуальной машины Java

В статье подробно описываются процессы виртуальной машины Javа, на что выделяется память, как устроена JVM, как в нее попадает код и как он исполняется.

Обеспечение безопасного доступа и управления идентификацией веб-приложений

В статье рассматривается Kеyсloak — сервис управления идентификацией и доступом с открытым исходным кодом. Его использование упрощает разработку безопасности веб-приложения практически без кода.

Похожие статьи

Система контроля управления доступом (СКУД)

В статье авторы пытаются рассказать об актуальности разработки СКУД.

Абстрактные и динамически сгенерированные контроллеры в ASP.NET

В данной статье будет рассмотрен подход автоматически сгенерированных контроллеров в одной из самых популярных технологий для написания веб-сайтов — ASP.NET Core MVC.

Современные программные продукты для анализа данных

В статье представлены особенности современного программного обеспечения для анализа данных и сравнительный анализ программных продуктов.

Диагностика утечек памяти в Java-приложениях

Данная статья описывает структуру хранения используемой памяти, простые способы диагностики её утечек и временные исправления их.

Работа с баг-трекером: эффективное управление ошибками в разработке программного обеспечения

В данной статье автор рассмотрел ключевые аспекты использования баг-трекера в разработке программного обеспечения от отслеживания багов и их структурирования до интеграции с другими инструментами.

Использование двухфакторной аутентификации в проекте ASP.NET Core

Данная статья рассматривает процесс настройки двухфакторной аутентификации в проектах ASP.NET Core.

Важность использования распределенных систем контроля версий

В статье авторы определяют важность использования распределенных систем контроля версий для разработки программного продукта.

Разработка командной оболочки с поддержкой конвейера (pipeline)

В данной статье говорится об особенностях разработки командной оболочки (shell) для UNIX систем. Приводятся блок-схемы работы основных алгоритмов работы командной оболочки. Подробно разбирается реализация конвейера (pipeline).

Исследование процессов внутри виртуальной машины Java

В статье подробно описываются процессы виртуальной машины Javа, на что выделяется память, как устроена JVM, как в нее попадает код и как он исполняется.

Обеспечение безопасного доступа и управления идентификацией веб-приложений

В статье рассматривается Kеyсloak — сервис управления идентификацией и доступом с открытым исходным кодом. Его использование упрощает разработку безопасности веб-приложения практически без кода.

Задать вопрос