Исследование методов отслеживания изменений в операционной системе семейства Windows | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 9 июля, печатный экземпляр отправим 13 июля.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №49 (339) декабрь 2020 г.

Дата публикации: 30.11.2020

Статья просмотрена: 23 раза

Библиографическое описание:

Климов, В. А. Исследование методов отслеживания изменений в операционной системе семейства Windows / В. А. Климов. — Текст : непосредственный // Молодой ученый. — 2020. — № 49 (339). — С. 9-11. — URL: https://moluch.ru/archive/339/75898/ (дата обращения: 01.07.2022).



В статье автор пытается определить методы отслеживания изменений в ОС Windows.

Ключевые слова: pe файл, изменения, ревизор.

В начале 2020 года злоумышленники чаще всего рассылали россиянам банковские трояны, программы для заражения устройств и для скрытого майнинга криптовалют.

Самым активным был способный рассылать фишинговые письма троян Emotet — он атаковал 7 % российских организаций. Далее следуют RigEK и XMRig с охватом 6 % каждый. Первый троян содержит опасные программы для Internet Explorer, Flash, Java и Silverlight, а второй — используется для добычи криптовалюты Monero.

Что касается всего мира, то в топ-3 самых активных вредоносных ПО вошёл банковский троян Dridex, которые используется для перехвата персональных данных и данных банковских карт.

Статистика за первый квартал 2020 года показывает, что уязвимости в пакете Microsoft Office эксплуатируются чаще уязвимостей в других приложениях, что объясняется простотой их использования и высокой стабильностью работы.

На рисунке 1 показан график самых уязвимых приложений, уязвимости которых чаще всего эксплуатируют злоумышленники.

Статистика уязвимостей приложений

Рис. 1. Статистика уязвимостей приложений

Установка программы, отслеживающей изменения в ОС, смогла бы предотвратить эксплуатацию уязвимостей в пакете Microsoft Office и других популярных программах.

Файловый вирус — компьютерный вирус, который для своего размножения использует файловую систему, внедряясь в исполняемые файлы ОС.

Такими файлами могут быть:

Командные файлы, исполняемые файлы в формате COM, исполняемые файлы в формате EXE, исполняемые файлы в формате PE, системные драйверы, файлы оверлеев, и динамически загружаемых библиотек [3].

Основные методы заражения PE файла:

Внедрение в заголовок, расширение последней секции, добавление новой секции.

Методы отслеживания изменений в ОС:

Контроль оперативной памяти.

Эта стадия проверки включает в себя процедуры обнаружения следов активных загрузочных и stealth-вирусов в памяти компьютера. Если такие алгоритмы будут найдены, выдается соответствующее предупреждение.

Контроль системных областей.

Контроль системных областей предназначен для обнаружения вирусов, которые используют для своей активации механизм загрузки. Первой с диска загружается загрузочная запись (boot record), которая содержит в себе мини-программу, управляющую дальнейшей загрузкой. Для жесткого диска первой производится загрузка главной загрузочной записи (Master-Boot Record или MBR).

Контроль неизменяемых файлов.

Последняя стадия проверки, направленная на обнаружение деятельности файловых вирусов, — контроль изменения файлов. Для всех файлов, которые активно используются и в то же время не должны изменяться (обычно это программы типа win.com и т. п.), создаются контрольные таблицы. В них содержатся значения контрольных сумм и размеров файлов. Затем, в ходе дальнейшего использования программы по отслеживанию, информация с дисков сравнивается с эталонной, хранящейся в таблицах. Если информация не совпадает, то весьма вероятно нахождение в системе файлового вируса. Самый явный признак — изменение размера или содержимого файла без изменения даты создания файла [2, с. 12].

Отслеживание изменений размера секции PE файла.

PE формат — это формат исполняемых файлов всех 32- и 64- разрядных Windows систем. На данный момент существует два формата PE-файлов: PE32 и PE32+. PE32 формат для x86 систем, а PE32+ для x64. На рисунке 2 изображена типовая структура PE файла [1, с. 5].

Структура PE файла

Рис. 2. Структура PE файла

Отслеживание изменений размера секции PE файла — это один из эффективных методов отслеживания вируса в исполняемых файлах windows.

Литература:

  1. ГОСТ Р 56545–2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей». — М.: Стандартинформ, 2009.
  2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 г.
  3. PE (Portable Executable): На странных берегах [Электронный ресурс]. URL: https://habr.com/ru/post/266831/ (Дата обращения: 12.11.20)
Основные термины (генерируются автоматически): файл, COM, EXE, MBR, метод отслеживания изменений, отслеживание изменений размера секции, файловый вирус, формат.


Ключевые слова

ревизор, изменения, pe файл

Похожие статьи

Компьютерные вирусы — проблема XXI века | Статья в журнале...

При поиске вредоносного программного обеспечения методом обнаружения изменений периодически сканируется содержимое дисков

Вирус в компьютере и вирус в организме работают по одной и той же схеме: вместо того, чтобы выполнять программу, записанную в...

Применение простой стеганографии при передаче файлов...

В файловой системе NTFS файл может быть связан не только с основными данными, но и с одним или несколькими дополнительными потоками данных. При этом дополнительный поток может быть произвольного размера, в том числе может превышать размер основного файла.

Программно-аппаратные средства защиты автоматизированных...

Основной задачей программного средства является мониторинг изменений в конфигурационных файлах сетевого оборудования и файлов пользовательских правил.

Файловые вирусы. Они внедряются в файлы расширения com или exe, но если они будут.

Анализ методов обнаружения вредоносных программ

‒ эвристический анализ; ‒ обнаружение изменений. При сканировании программа, выполняющая его, просматривает содержимое файлов, расположенных на дисках компьютера, а также содержимое оперативной памяти компьютера с целью поиска вирусов.

Zero Waste Cooking, или Ноль отходов в индустрии питания

Zero Waste — это движение единомышленников, пропагандирующие способы и варианты снижения отходов на разных уровнях жизни. География этого сообщества обширна, есть организации в Великобритании, Канаде, Мексике, Финляндии, Франции, Японии и многих других...

Анализ финансовой устойчивости предприятия | Статья в журнале...

В статье автор пытается определить основные особенности анализа финансовой устойчивости предприятия, факторы, влияющие на него, а также классифицировать основные показатели финансовой устойчивости предприятий.

Продление срока содержания под стражей свыше 18 месяцев

Авторы: Федюнин Антон Евгеньевич, Мизбахов Тимур Ринатович. Рубрика: Юриспруденция. Опубликовано в Молодой учёный №21 (416) май 2022 г. Статья просмотрена: < 10 раз.

История в загадках. Петр I. Царь-реформатор | Статья в журнале...

Некоторые изменения были настолько важны, что Россия могла реализовывать новые возможности и принимать вызовы соответствия европейским странам.

И направление тем изменениям задавал сам, опираясь на собственные увлечения и жизненные установки.

Анализ программного обеспечения | Статья в журнале...

Статья раскрывает сущность программного обеспечения, его основные направления, а также приводятся примеры подразделов каждого программного обеспечения.

Похожие статьи

Компьютерные вирусы — проблема XXI века | Статья в журнале...

При поиске вредоносного программного обеспечения методом обнаружения изменений периодически сканируется содержимое дисков

Вирус в компьютере и вирус в организме работают по одной и той же схеме: вместо того, чтобы выполнять программу, записанную в...

Применение простой стеганографии при передаче файлов...

В файловой системе NTFS файл может быть связан не только с основными данными, но и с одним или несколькими дополнительными потоками данных. При этом дополнительный поток может быть произвольного размера, в том числе может превышать размер основного файла.

Программно-аппаратные средства защиты автоматизированных...

Основной задачей программного средства является мониторинг изменений в конфигурационных файлах сетевого оборудования и файлов пользовательских правил.

Файловые вирусы. Они внедряются в файлы расширения com или exe, но если они будут.

Анализ методов обнаружения вредоносных программ

‒ эвристический анализ; ‒ обнаружение изменений. При сканировании программа, выполняющая его, просматривает содержимое файлов, расположенных на дисках компьютера, а также содержимое оперативной памяти компьютера с целью поиска вирусов.

Zero Waste Cooking, или Ноль отходов в индустрии питания

Zero Waste — это движение единомышленников, пропагандирующие способы и варианты снижения отходов на разных уровнях жизни. География этого сообщества обширна, есть организации в Великобритании, Канаде, Мексике, Финляндии, Франции, Японии и многих других...

Анализ финансовой устойчивости предприятия | Статья в журнале...

В статье автор пытается определить основные особенности анализа финансовой устойчивости предприятия, факторы, влияющие на него, а также классифицировать основные показатели финансовой устойчивости предприятий.

Продление срока содержания под стражей свыше 18 месяцев

Авторы: Федюнин Антон Евгеньевич, Мизбахов Тимур Ринатович. Рубрика: Юриспруденция. Опубликовано в Молодой учёный №21 (416) май 2022 г. Статья просмотрена: < 10 раз.

История в загадках. Петр I. Царь-реформатор | Статья в журнале...

Некоторые изменения были настолько важны, что Россия могла реализовывать новые возможности и принимать вызовы соответствия европейским странам.

И направление тем изменениям задавал сам, опираясь на собственные увлечения и жизненные установки.

Анализ программного обеспечения | Статья в журнале...

Статья раскрывает сущность программного обеспечения, его основные направления, а также приводятся примеры подразделов каждого программного обеспечения.

Задать вопрос