Исследование методов отслеживания изменений в операционной системе семейства Windows | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 13 марта, печатный экземпляр отправим 17 марта.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №49 (339) декабрь 2020 г.

Дата публикации: 30.11.2020

Статья просмотрена: 8 раз

Библиографическое описание:

Климов, В. А. Исследование методов отслеживания изменений в операционной системе семейства Windows / В. А. Климов. — Текст : непосредственный // Молодой ученый. — 2020. — № 49 (339). — С. 9-11. — URL: https://moluch.ru/archive/339/75898/ (дата обращения: 01.03.2021).



В статье автор пытается определить методы отслеживания изменений в ОС Windows.

Ключевые слова: pe файл, изменения, ревизор.

В начале 2020 года злоумышленники чаще всего рассылали россиянам банковские трояны, программы для заражения устройств и для скрытого майнинга криптовалют.

Самым активным был способный рассылать фишинговые письма троян Emotet — он атаковал 7 % российских организаций. Далее следуют RigEK и XMRig с охватом 6 % каждый. Первый троян содержит опасные программы для Internet Explorer, Flash, Java и Silverlight, а второй — используется для добычи криптовалюты Monero.

Что касается всего мира, то в топ-3 самых активных вредоносных ПО вошёл банковский троян Dridex, которые используется для перехвата персональных данных и данных банковских карт.

Статистика за первый квартал 2020 года показывает, что уязвимости в пакете Microsoft Office эксплуатируются чаще уязвимостей в других приложениях, что объясняется простотой их использования и высокой стабильностью работы.

На рисунке 1 показан график самых уязвимых приложений, уязвимости которых чаще всего эксплуатируют злоумышленники.

Статистика уязвимостей приложений

Рис. 1. Статистика уязвимостей приложений

Установка программы, отслеживающей изменения в ОС, смогла бы предотвратить эксплуатацию уязвимостей в пакете Microsoft Office и других популярных программах.

Файловый вирус — компьютерный вирус, который для своего размножения использует файловую систему, внедряясь в исполняемые файлы ОС.

Такими файлами могут быть:

Командные файлы, исполняемые файлы в формате COM, исполняемые файлы в формате EXE, исполняемые файлы в формате PE, системные драйверы, файлы оверлеев, и динамически загружаемых библиотек [3].

Основные методы заражения PE файла:

Внедрение в заголовок, расширение последней секции, добавление новой секции.

Методы отслеживания изменений в ОС:

Контроль оперативной памяти.

Эта стадия проверки включает в себя процедуры обнаружения следов активных загрузочных и stealth-вирусов в памяти компьютера. Если такие алгоритмы будут найдены, выдается соответствующее предупреждение.

Контроль системных областей.

Контроль системных областей предназначен для обнаружения вирусов, которые используют для своей активации механизм загрузки. Первой с диска загружается загрузочная запись (boot record), которая содержит в себе мини-программу, управляющую дальнейшей загрузкой. Для жесткого диска первой производится загрузка главной загрузочной записи (Master-Boot Record или MBR).

Контроль неизменяемых файлов.

Последняя стадия проверки, направленная на обнаружение деятельности файловых вирусов, — контроль изменения файлов. Для всех файлов, которые активно используются и в то же время не должны изменяться (обычно это программы типа win.com и т. п.), создаются контрольные таблицы. В них содержатся значения контрольных сумм и размеров файлов. Затем, в ходе дальнейшего использования программы по отслеживанию, информация с дисков сравнивается с эталонной, хранящейся в таблицах. Если информация не совпадает, то весьма вероятно нахождение в системе файлового вируса. Самый явный признак — изменение размера или содержимого файла без изменения даты создания файла [2, с. 12].

Отслеживание изменений размера секции PE файла.

PE формат — это формат исполняемых файлов всех 32- и 64- разрядных Windows систем. На данный момент существует два формата PE-файлов: PE32 и PE32+. PE32 формат для x86 систем, а PE32+ для x64. На рисунке 2 изображена типовая структура PE файла [1, с. 5].

Структура PE файла

Рис. 2. Структура PE файла

Отслеживание изменений размера секции PE файла — это один из эффективных методов отслеживания вируса в исполняемых файлах windows.

Литература:

  1. ГОСТ Р 56545–2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей». — М.: Стандартинформ, 2009.
  2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 г.
  3. PE (Portable Executable): На странных берегах [Электронный ресурс]. URL: https://habr.com/ru/post/266831/ (Дата обращения: 12.11.20)
Основные термины (генерируются автоматически): файл, COM, EXE, MBR, метод отслеживания изменений, отслеживание изменений размера секции, файловый вирус, формат.


Ключевые слова

ревизор, изменения, pe файл
Задать вопрос