تهدیدات برای پیاده سازی در شبکه برنامه های مخرب. تهدیدات راه اندازی برنامه از راه دور

تهدید این است که تمایل به راه اندازی تروجان های مختلف پیش از اجرای در میزبان: برنامه های نشانه گذاری، ویروس ها، "جاسوسی شبکه"، هدف اصلی آن نقض محرمانه بودن، یکپارچگی، دسترسی اطلاعات و کنترل کامل بر کار میزبان است . علاوه بر این، امکان راه اندازی غیر مجاز برنامه های کاربردی کاربر برای غیر مجاز به دست آوردن اطلاعات لازم از نقض کننده، برای شروع فرایندهای مدیریت شده توسط برنامه کاربردی، و غیره امکان پذیر نیست.

سه منبع تهدید داده ها متمایز هستند:

توزیع فایل های حاوی کد اجرایی غیر مجاز؛

راه اندازی برنامه از راه دور با استفاده از overlowing بافرهای کاربردی؛

راه اندازی برنامه از راه دور با استفاده از گزینه های سیستم کنترل از راه دور ارائه شده توسط نرم افزار پنهان و بوک مارک های سخت افزاری و یا استفاده شده توسط ابزار استاندارد راه اندازی شده است.

تهدیدات معمول اول از زیر کلاس های مشخص شده بر اساس فعال سازی فایل های توزیع شده در صورت دسترسی تصادفی به آنها است. نمونه هایی از چنین فایل هایی می تواند باشد: فایل های حاوی کد اجرایی در اسناد مشاهده شامل کد اجرایی در قالب عناصر اکتیو ایکس، اپلت های جاوا، اسکریپت های تفسیر شده (به عنوان مثال، متون در جاوا اسکریپت)؛ فایل های حاوی کدهای برنامه اجرایی. خدمات ایمیل، انتقال فایل، سیستم فایل شبکه را می توان برای توزیع فایل ها استفاده کرد.

با تهدیدات زیر کلاس دوم، کمبودهای برنامه های پیاده سازی خدمات شبکه (به طور خاص، کنترل بیش از سرریز بافر) استفاده می شود. تنظیم ثبت سیستم ها گاهی اوقات ممکن است پردازنده را پس از وقفه ناشی از سرریز بافر، به اجرای کد موجود در خارج از بافر تغییر دهید. یک نمونه از پیاده سازی چنین تهدیدی می تواند معرفی "ویروس موریس" به طور گسترده ای شناخته شود.

در تهدیدات زیر کلاس سوم، متخلفور از راه دور از راه دور مدیریت سیستم ارائه شده توسط اجزای پنهان استفاده می کند (به عنوان مثال، برنامه های تروجان را تایپ کنید. Orifice، اتوبوس خالص) یا کنترل های منظم و مدیریت شبکه های کامپیوتری (صندوق مدیریت Landesk، ManageSwise ، پشت سوراخ، و غیره P.). به عنوان یک نتیجه از استفاده از آنها، امکان دستیابی به کنترل از راه دور بر ایستگاه در شبکه وجود دارد.

اگر موسسه پردازش PDN ها بیش از شبکه ها ارسال نشود استفاده مشترک و تبادل بین المللی، حفاظت از آنتی ویروس نصب شده، پس از آن احتمال اجرای تهدید - بعید است.

در تمام موارد دیگر، احتمال تهدید باید تخمین زده شود.

فهرست عمومی احتمالات پیاده سازی تهدیدها برای انواع مختلف کانال ها در جدول 12 ارائه شده است.

جدول 12

نوع cauden	احتمال تهدید	ضفعه احتمال تهدید یک نقض کننده
IC ITIPA خودمختار	بعید
خودمختار Iitipa است
خودمختار IIEIP است	بعید
خودمختار است
مستقل IC VTIPA	بعید
مستقل IC Vitype
فاکس Utyype	بعید
روباه ایلتپا
توزیع ITIPA	بعید
توزیع شده ITIPA است

عمل کردن سرمقاله 15.02.2008

"مدل پایه تهدیدات به امنیت اطلاعات شخصی هنگام پردازش در سیستم های اطلاعاتی اطلاعات شخصی" (UTV. 15.02.2008 FSTEC RF)

5. تهدیدات دسترسی غیر مجاز به اطلاعات در سیستم اطلاعاتی اطلاعات شخصی

تهدیدات NSD به ساکنان با استفاده از نرم افزار و نرم افزار و سخت افزار در اجرای غیر مجاز، از جمله تصادفی، دسترسی به دست می آید، به عنوان یک نتیجه از نقض محرمانه (کپی، توزیع غیر مجاز)، یکپارچگی (تخریب، تغییر) و در دسترس بودن (مسدود کردن) PDN ها، و شامل موارد زیر است:

دسترسی به تهدیدات (نفوذ) به محیط عملیاتی کامپیوتر با استفاده از نرم افزار استاندارد (ابزار سیستم عامل یا برنامه های کاربردی برنامه عمومی)؛

تهدیدات برای ایجاد حالت های غیرطبیعی نرم افزار (نرم افزار و سخت افزار) به دلیل تغییرات عمدی در داده های خدمات، نادیده گرفتن محدودیت های ارائه شده در شرایط کارکنان برای ترکیب و ویژگی های پردازش اطلاعات، اعوجاج (اصلاحات) داده های خود را نادیده می گیرند و غیره.؛

تهدیدات پیاده سازی برنامه های مخرب (نرم افزار و تاثیر ریاضی).

ترکیب عناصر شرح تهدیدات NSD به اطلاعات در مرگ در شکل 3 نشان داده شده است.

علاوه بر این، تهدیدات ترکیبی ممکن است، که ترکیبی از این تهدیدات است. به عنوان مثال، به دلیل اجرای برنامه های مخرب، شرایط ممکن است برای NSD به محیط عملیاتی کامپیوتر، از جمله تشکیل کانال های اطلاعاتی غیر سنتی ایجاد شود.

تهدید دسترسی (نفوذ) در محیط عملیاتی با استفاده از نرم افزار استاندارد به تهدید مستقیم و دسترسی از راه دور. تهدیدات دسترسی مستقیم با استفاده از نرم افزار و نرم افزار و سخت افزار ورودی / خروجی کامپیوتر انجام می شود. تهدیدات دسترسی از راه دور با استفاده از پروتکل های تعامل شبکه اجرا می شود.

این تهدیدات نسبت به پایگاه داده بر اساس محل کار خودکار اجرا می شود، نه در شبکه ارتباطات عمومی و در رابطه با تمام شرافتی که ارتباط با شبکه های ارتباطی عمومی و شبکه های تبادل اطلاعات بین المللی دارد، اجرا نمی شود.

شرح تهدیدات برای دسترسی (نفوذ) به محیط عملیاتی کامپیوتر به صورت رسمی می تواند به شرح زیر باشد:

تهدید NSD در نقطه: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.

شکل 3. عناصر توصیف تهدیدات NSD به اطلاعات در CDN

تهدیدات برای ایجاد حالت اضطراری عملکرد نرم افزار (نرم افزار و سخت افزار) بودجه تهدید "امتناع از حفظ" است. به عنوان یک قاعده، این تهدیدات در رابطه با پایگاه داده بر اساس سیستم های اطلاعات محلی و توزیع شده، صرف نظر از مبادله اطلاعات، در نظر گرفته می شود. پیاده سازی آنها به دلیل این واقعیت است که هنگام توسعه سیستم یا نرم افزار کاربردی، امکان اقدامات عمدی را بر روی یک تغییر هدف قرار نمی دهد:

شرایط پردازش داده ها (به عنوان مثال، محدودیت ها را در طول بسته پیام نادیده گرفت)؛

فرمت های نمایندگی داده ها (با عدم انطباق فرمت های اصلاح شده نصب شده برای پردازش تحت پروتکل های تعامل شبکه)؛

نرم افزار پردازش داده ها.

در نتیجه پیاده سازی تهدیدات "امتناع از تعمیر و نگهداری"، سرریز های بافر و مسدود کردن روش های پردازش، روش های پردازش "حلقه" و "روشنگری" یک رایانه، از بین بردن بسته های پیام، و غیره. توصیف چنین تهدیدهای می تواند به صورت رسمی باشد نمایندگی به شرح زیر است:

تهدید "امتناع از حفظ": \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.

تهدید به معرفی برنامه های مخرب (نرم افزار و تاثیر ریاضی) غیر عملی است که با همان جزئیات به عنوان تهدیدات فوق توضیح داده شود. این به خاطر این واقعیت است که، اول از همه، تعداد برنامه های مخرب امروز به طور قابل توجهی بالاتر از صد هزار است. ثانیا، زمانی که سازماندهی حفاظت از اطلاعات در عمل، به عنوان یک قاعده، به اندازه کافی فقط به دانستن کلاس برنامه های مخرب، روش ها و پیامدهای آن از پیاده سازی آن (عفونت) کافی است. در این راستا، تهدید نرم افزار و تاثیر ریاضی (PMW) می تواند به صورت رسمی به شرح زیر باشد:

تهدید PMW در نقطه: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.

در زیر ویژگی های کلی منابع تهدیدات امنیتی اطلاعات، آسیب پذیری هایی است که می تواند در اجرای تهدیدات NSD و مشخصه نتایج دسترسی غیر مجاز یا تصادفی استفاده شود. مشخصه روش های اجرای تهدیدات در هنگام توصیف تهدیدات برای دسترسی (نفوذ) به محیط عملیاتی کامپیوتر، تهدید به رد تعمیر و نگهداری PMW داده می شود.

منابع تهدید NSD در دوج می توانند عبارتند از:

نقض کننده؛

حامل نرم افزارهای مخرب؛

تب سخت افزار

تهدیدات ایمنی PDN مرتبط با اجرای بوک مارک های سخت افزاری مطابق با اسناد قانونی خدمات امنیتی فدرال تعیین می شود فدراسیون روسیه به نحوی تجویز شده.

با توجه به حضور حقوق دائمی یا یک بار دسترسی به منطقه کنترل شده (KZ)، مزاحمان به دو نوع تقسیم می شوند:

متخلفانی که دسترسی به خانه هایی ندارند که تهدیدهای شبکه های ارتباطی عمومی خارجی را اجرا می کنند و (OR) شبکه های تبادل اطلاعات بین المللی، مهاجمان خارجی هستند؛

متخلفانی که دسترسی به گول زدن دارند، از جمله کاربران نقطه، تهدیدهای را به طور مستقیم به مزاحمان داخلی اعمال می کنند.

متخلفان خارجی می توانند عبارتند از:

خدمات شناسایی دولت ها؛

ساختارهای جنایی؛

رقبا (سازمان های رقابتی)؛

همکاران ناعادلانه؛

افراد خارجی (افراد).

مزاحم خارجی دارای ویژگی های زیر است:

ورزش دسترسی غیر مجاز به کانال های ارتباطی، خارج از محل خدمات؛

دسترسی غیر مجاز را از طریق مشاغل خودکار متصل به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی انجام دهید؛

دسترسی غیر مجاز به اطلاعات را با استفاده از اثرات نرم افزاری ویژه از طریق ویروس های نرم افزاری، نرم افزارهای مخرب، الگوریتم یا بوک مارک های نرم افزاری انجام دهید.

دسترسی غیر مجاز را از طریق عناصر زیرساخت اطلاعات CADN انجام دهید که در روند آنها چرخه زندگی (مدرنیزاسیون، تعمیر و نگهداری، تعمیر، بازیافت، بازیافت) خارج از منطقه کنترل شده؛

تأثیر دسترسی غیر مجاز از طریق سیستم های اطلاعاتی بخش های تعامل، سازمان ها و موسسات زمانی که آنها به CD متصل هستند.

امکانات اختلال داخلی به طور قابل توجهی وابسته به رژیم و اقدامات فنی و فنی است که باید در داخل منطقه کنترل شده عمل کنند، از جمله پذیرش افراد به PDN ها و کنترل روش انجام کار.

متخلفان بالقوه بالقوه به هشت دسته تقسیم می شوند، بسته به روش دسترسی و مجوز دسترسی به PDN ها.

اولین رده شامل افرادی با دسترسی مجاز به گول زدن، اما دسترسی به PDN ها نیست. این نوع نقض کنندگان شامل مقامات است که عملکرد طبیعی ناخوشایند را تضمین می کنند.

دسترسی به قطعات اطلاعاتی حاوی PDN ها را داشته باشید و از طریق کانال های ارتباطی داخلی CDM گسترش دهید؛

قطعات اطلاعاتی در مورد توپولوژی CDN (بخش ارتباط زیر شبکه) و پروتکل های ارتباطی مورد استفاده و خدمات آنها مورد استفاده قرار می گیرند؛

نام محل و شناسایی رمزهای عبور کاربران ثبت نام شده؛

پیکربندی ابزار فنی Chadna را تغییر دهید، بوک مارک های نرم افزاری و سخت افزاری را تهیه کنید و اطلاعات را با استفاده از اتصال مستقیم به آنها ارائه دهید ابزار فنی گرفتار.

دارای تمام امکانات افراد اول رده اول است؛

حداقل یک نام دسترسی قانونی را می داند؛

دارای ویژگی های لازم (به عنوان مثال، رمز عبور)، دسترسی به یک زیر مجموعه خاص PD را فراهم می کند؛

این اطلاعات محرمانه ای دارد که دسترسی دارد.

دسترسی آن، احراز هویت و دسترسی به حقوق دسترسی به یک زیر مجموعه خاص PDN ها باید توسط دسترسی مربوط به حذف دسترسی اداره شود.

همه امکانات مربوط به اشخاص اول و دوم را دارد؛

اطلاعاتی در مورد توپولوژی پایگاه داده بر اساس یک سیستم اطلاعاتی محلی و (یا) توزیع شده است که از طریق آن دسترسی به آن انجام می شود و ترکیب ابزار فنی CDN؛

این توانایی به طور مستقیم (فیزیکی) دسترسی به قطعات فنی فنی CDN دارد.

این اطلاعات کامل در مورد سیستم و نرم افزار کاربردی مورد استفاده در بخش (قطعه) CDM است.

این اطلاعات کامل در مورد ابزار فنی و پیکربندی بخش (قطعه) CDN است.

دسترسی به وسیله حفاظت از اطلاعات و ورود به سیستم، و همچنین عناصر فردی مورد استفاده در بخش (قطعه) CDN.

این دسترسی به تمام بخش های فنی (قطعه) CETS است؛

او دارای حقوق پیکربندی و پیکربندی اداری یک زیر مجموعه خاص از ابزار فنی بخش (قطعه) CDN است.

همه امکانات مربوط به افراد از دسته های قبلی دارد؛

اطلاعات کامل در مورد سیستم و نرم افزار منبع کاربردی دارد؛

اطلاعات کامل در مورد وسایل فنی و پیکربندی دارد.

دسترسی به تمام ابزار فنی پردازش اطلاعات و داده های ناخوشایند دارد؛

او دارای حقوق پیکربندی و تنظیم اداری ابزار فنی است.

مدیر سیستم پیکربندی و مدیریت نرم افزار (نرم افزار) و تجهیزات را انجام می دهد، از جمله تجهیزات مسئول ایمنی جسم محافظت شده: ابزار حفاظت از اطلاعات رمزنگاری، نظارت، ثبت نام، بایگانی، حفاظت در برابر NSD.

همه امکانات مربوط به افراد از دسته های قبلی دارد؛

اطلاعات کامل در مورد Dodge؛

دسترسی به وسیله حفاظت از اطلاعات و ورود به سیستم و بخشی از عناصر کلیدی CDN را دارد؛

این دسترسی به پیکربندی ابزار فنی شبکه را ندارد، به استثنای کنترل (بازرسی).

مدیر امنیتی مسئول انطباق با قوانین جدایی دسترسی، برای تولید عناصر کلیدی، انتقال گذرواژهها است. مدیر امنیت حسابرسی از همان حفاظت از هدف را به عنوان یک مدیر سیستم انجام می دهد.

اطلاعات مربوط به الگوریتم ها و برنامه های پردازش اطلاعات برای Dodge؛

امکان ایجاد اشتباهات، قابلیت های غیرقانونی، بوک مارک های نرم افزاری، نرم افزارهای مخرب در نرم افزار CDN در مرحله توسعه، معرفی و نگهداری آن را دارد.

این می تواند هر قطعه ای از اطلاعات مربوط به توپولوژی DNT و ابزار فنی پردازش و حفاظت از PDS پردازش شده را به CAD داشته باشد.

دارای امکانات ساخت بوک مارک ها به معنی فنی Phdn در مرحله توسعه، پیاده سازی و نگهداری آنها؛

این می تواند هر قطعه ای از اطلاعات مربوط به توپولوژی شأن و ابزار فنی پردازش و حفاظت از اطلاعات را در خانه داشته باشد.

حامل یک برنامه مخرب می تواند یک عنصر سخت افزاری رایانه یا یک ظرف نرم افزاری باشد. اگر برنامه مخرب با هیچ برنامه کاربردی مرتبط نباشد، پس به عنوان حامل آن در نظر گرفته شده است:

رسانه های بیگانه، I.E. دیسکت، دیسک نوری (CD-R، CD-RW)، حافظه فلش، وینچستر بیگانه و غیره؛

داخلی داخلی (وینچسترها، میکروکنارهای RAM، پردازنده، تراشه های هیئت مدیره سیستم، تراشه های دستگاه تعبیه شده در واحد سیستم- آداپتور ویدئو، کارت شبکه، کارت صدا، مودم، دستگاه های I / O مغناطیسی سخت و دیسک های نوری، منبع تغذیه، و غیره، Microcircuits دسترسی مستقیم، تایرهای انتقال داده، پورت های I / O)؛

مدارهای دستگاه های خارجی (مانیتور، صفحه کلید، چاپگر، مودم، اسکنر، و غیره).

اگر برنامه مخرب با هر برنامه کاربردی مرتبط باشد، با فایل هایی که دارای پسوندهای خاص یا ویژگی های دیگر هستند، پیام های ارسال شده در شبکه، سپس حامل های آن عبارتند از:

بسته های ارسال شده توسط پیام های شبکه کامپیوتری؛

فایل ها (متن، گرافیک، اجرایی، و غیره).

5.2. ویژگی های کلی آسیب پذیری سیستم اطلاعاتی شخصی

آسیب پذیری سیستم اطلاعات شخصی اطلاعات، کمبود یا یک مکان ضعیف در سیستم یا نرم افزار کاربردی (نرم افزار و سخت افزار) ارائه یک سیستم اطلاعاتی خودکار است که می تواند برای اجرای تهدید امنیتی به اطلاعات شخصی استفاده شود.

علل وقوع آسیب پذیری ها عبارتند از:

خطاها در طراحی و توسعه نرم افزار (نرم افزار و سخت افزار) امنیت؛

اقدامات عمدی برای ایجاد آسیب پذیری در طول طراحی و توسعه نرم افزار (نرم افزار و سخت افزار) امنیت؛

تنظیمات نرم افزار نادرست، تغییر غیرقانونی در دستگاه ها و حالت های برنامه؛

پیاده سازی غیر مجاز و استفاده از برنامه های غیرقانونی با هزینه های منابع غیر منطقی بعدی (پردازنده بارگیری، ضبط RAM و حافظه در رسانه های خارجی)؛

معرفی نرم افزارهای مخرب، ایجاد آسیب پذیری ها در نرم افزار و نرم افزار و سخت افزار؛

اقدامات غیر مجاز غیر مجاز کاربران منجر به آسیب پذیری؛

شکست در کار سخت افزار و نرم افزار (ناشی از شکست های قدرت، شکست عناصر سخت افزاری به عنوان یک نتیجه از پیری و کاهش قابلیت اطمینان، تأثیرات خارجی میدان های الکترومغناطیسی دستگاه های فنی و غیره.).

طبقه بندی آسیب پذیری های اصلی در شکل 4 تغییر می کند.

شکل 4. طبقه بندی آسیب پذیری های نرم افزاری

در زیر ویژگی کلی گروه های اصلی آسیب پذیری های CDN، از جمله:

آسیب پذیری های نرم افزاری سیستماتیک (از جمله پروتکل های تعامل شبکه)؛

آسیب پذیری نرم افزار کاربردی (از جمله ابزارهای امنیتی اطلاعات).

5.2.1. ویژگی های عمومی آسیب پذیری های نرم افزاری سیستم

آسیب پذیری های نرم افزاری سیستم باید با اشاره به معماری ساخت سیستم های محاسباتی در نظر گرفته شود.

در عین حال، آسیب پذیری ممکن است:

در سیستم عامل، در ROM Firmware، PPZA؛

در ابزار سیستم عامل در نظر گرفته شده برای مدیریت منابع محلی CDM (ارائه توابع کنترل عملکرد، حافظه، دستگاه های ورودی / خروجی، رابط کاربر، و غیره)، رانندگان، آب و برق؛

در استفاده از سیستم عامل در نظر گرفته شده برای اجرای توابع کمکی - Utilities (بایگانی، defragmentation، و غیره)، برنامه های پردازش سیستم (کامپایلرها، لینک ها، اشکال زدایی، و غیره)، برنامه های ارائه خدمات اضافی به کاربر (گزینه های رابط های ویژه ، ماشین حساب ها، بازی ها، و غیره)، کتابخانه های روش های مختلف (کتابخانه های توابع ریاضی، توابع I / O و غیره)؛

در ابزار تعامل ارتباطی (به معنای شبکه) سیستم عامل.

آسیب پذیری ها در سیستم عامل و در استفاده از سیستم عامل در نظر گرفته شده برای مدیریت منابع محلی و توابع کمکیشاید:

توابع، رویه ها، تغییر پارامترهای آن به صورت خاصی به آنها اجازه می دهد تا از آنها برای دسترسی غیر مجاز استفاده کنند بدون شناسایی چنین تغییراتی در سیستم عامل؛

قطعاتی از کد برنامه ("سوراخ"، "دریچه")، معرفی شده توسط توسعه دهنده، اجازه می دهد دور زدن روش های شناسایی، احراز هویت، چک های یکپارچه، و غیره.

اشتباهات در برنامه ها (در اعلام متغیرها، توابع و رویه ها، در کدهای برنامه)، که تحت شرایط خاص (به عنوان مثال، هنگام انجام انتقال منطقی) منجر به شکست، از جمله شکست عملکرد بودجه و سیستم های حفاظت اطلاعات.

آسیب پذیری های تعامل شبکه با ویژگی های پیاده سازی نرم افزار خود مرتبط هستند و به دلیل محدودیت های اندازه بافر مورد استفاده، معایب روش احراز هویت، عدم بررسی برای صحت اطلاعات خدمات و غیره توصیف مختصر است از این آسیب پذیری ها در رابطه با پروتکل ها در جدول 2 نشان داده شده است.

جدول 2

آسیب پذیری های جداگانه پروتکل های جداگانه TCP / IP پروتکل های پشته بر اساس شبکه های مشترک جهانی کار می کنند.

نام پروتکل	پروتکل های سطح پشته	نام (ویژگی) آسیب پذیری	محتوای نقض امنیت اطلاعات
FTP (پروتکل انتقال فایل) - پروتکل انتقال فایل بر روی شبکه		1. تأیید اعتبار پایگاه داده متن باز (کلمه عبور در رمزگذاری نشده ارسال می شود) 2. دسترسی به پیش فرض 3. حضور دو پورت باز	توانایی شناسایی داده ها حساب (نام کاربری ثبت شده، کلمه عبور). گرفتن دسترسی میزبان از راه دور
tELNET - پروتکل مدیریت ترمینال از راه دور	کاربردی، نماینده، جلسه	تأیید اعتبار پایگاه داده متن باز (رمز عبور در رمزگذاری نشده ارسال می شود)	توانایی دستگیری داده های حساب کاربری کاربر. گرفتن دسترسی میزبان از راه دور
UDP - پروتکل انتقال داده بدون اتصال	حمل کردن	هیچ مکانیسم بیش از حد بافر	امکان اجرای طوفان UDP. به عنوان یک نتیجه از مبادله بسته ها، کاهش قابل توجهی در عملکرد سرور وجود دارد
ARP - پروتکل انتقال آدرس IP در آدرس فیزیکی	شبکه	تأیید اعتبار پایگاه داده متن باز (اطلاعات در فرم رمزگذاری نشده ارسال می شود)	توانایی انتقال ترافیک کاربر توسط مهاجم
RIP - پروتکل اطلاعات مسیریابی	حمل کردن	هیچ احراز هویت پیام های کنترل در مورد تغییر مسیر	توانایی هدایت ترافیک از طریق میزبان مهاجم
TCP - پروتکل مدیریت انتقال	حمل کردن	بدون مکانیسم برای بررسی صحت بسته های خدمات پر کردن	کاهش قابل توجهی در نرخ ارز و حتی شکاف کامل اتصالات دلخواه در پروتکل TCP
DNS - پروتکل برای ایجاد انطباق نام های Mnemonic و آدرس های شبکه	کاربردی، نماینده، جلسه	ابزارهای احراز هویت از داده های منبع وجود ندارد	falsification از پاسخ سرور DNS
IGMP - پروتکل پیام مسیریابی	شبکه	هیچ پیام احراز هویت در تغییر پارامترهای مسیر	WIN 9X / NT / 200 سیستم
SMTP - پروتکل خدمات پیام پیام ایمیل	کاربردی، نماینده، جلسه		توانایی ایمیل های جعلی، و همچنین آدرس فرستنده آدرس
SNMP - پروتکل مدیریت مسیر روتر	کاربردی، نماینده، جلسه	کمبود پیام های تأیید هویت پشتیبانی	توانایی پهنای باند شبکه بیش از حد

برای توصیف یک توصیف مجموعه ای از آسیب پذیری، یک پایگاه داده آسیب پذیری CVE (آسیب پذیری های مشترک و مواجهه های معمول) در توسعه متخصصان بسیاری از شرکت ها و سازمان های شناخته شده مانند میتر، ISS، سیسکو، BindView، Axent استفاده می شود ، NFR، L-3، Cybersafe، Cert، دانشگاه کارنگی ملون، موسسه SANS و غیره این پایگاه داده به طور مداوم به روز شده و در شکل گیری پایگاه های داده های متعدد تجزیه و تحلیل امنیتی و بالاتر از همه، اسکنر شبکه استفاده می شود.

5.2.2. ویژگی های کلی آسیب پذیری نرم افزار کاربردی

نرم افزار کاربردی شامل برنامه های کاربردی مشترک و برنامه های کاربردی خاص است.

برنامه های کاربردی کاربردی عمومی - متن و ویرایشگر گرافیک، برنامه های رسانه ای (پخش کننده های صوتی و تصویری، نرم افزار پذیرش برنامه تلویزیونی، و غیره)، سیستم های مدیریت پایگاه داده، سیستم عامل های نرم افزاری عمومی برای نرم افزار توسعه نرم افزار ( نوع دلفی را تایپ کنید، ویژوال بیسیک)، ابزار حفاظت از اطلاعات عمومی، و غیره

برنامه های کاربردی ویژه برنامه هایی هستند که در منافع حل وظایف خاص کاربردی در این CD (از جمله نرم افزار حفاظت از اطلاعات توسعه یافته برای یک CDN خاص) توسعه یافته است.

آسیب پذیری نرم افزار کاربردی ممکن است:

توابع و رویه های مربوط به برنامه های کاربردی مختلف و ناسازگار در میان خود (نه در یک محیط عملیاتی) به دلیل درگیری های مرتبط با توزیع منابع سیستم؛

توابع، رویه ها، تغییر در یک روش خاص که به شما اجازه می دهد تا از آنها برای نفوذ به چهارشنبه عملیاتی استفاده کنید و از عملکرد های استاندارد سیستم عامل استفاده کنید، بدون شناسایی چنین تغییراتی در سیستم عامل، دسترسی غیر مجاز را انجام دهید.

قطعاتی از کد برنامه ("سوراخ"، "دریچه ها")، وارد شده توسط توسعه دهنده، اجازه می دهد دور زدن روش های شناسایی، احراز هویت، چک های یکپارچه، و غیره ارائه شده در سیستم عامل؛

عدم استفاده از ابزارهای امنیتی لازم (احراز هویت، بررسی یکپارچگی، تأیید فرمت های پیام، مسدود کردن توابع اصلاح نشده غیر مجاز، و غیره)؛

خطاهای در برنامه ها (در اعلام متغیرها، توابع و روش ها، در کدهای برنامه)، که تحت شرایط خاص (به عنوان مثال، هنگام انجام انتقال منطقی) منجر به شکست، از جمله شکست های عملکرد وجوه سیستم های حفاظت از اطلاعات، به دسترسی غیر مجاز به دسترسی به اطلاعات.

داده های مربوط به آسیب پذیری های توسعه یافته و توزیع شده در نرم افزار کاربردی مبتنی بر تجاری جمع آوری شده، خلاصه شده و در پایگاه داده CVE تجزیه و تحلیل می شود<*>.

<*> توسط یک شرکت خارجی CERT به صورت تجاری انجام شده است.

5.3. ویژگی کلی تهدیدات مستقیم دسترسی مستقیم به محیط عملیاتی سیستم اطلاعاتی شخصی

تهدیدات دسترسی (نفوذ) در محیط عملیاتی کامپیوتر و دسترسی غیر مجاز به PDN همراه با دسترسی است:

به اطلاعات و دستورات ذخیره شده در سیستم اولیه I / O (BIOS) ساکن، با امکان رسیدگی به بارگیری سیستم عامل و دریافت حقوق کاربر مورد اعتماد؛

در محیط عملیاتی، یعنی، بر عملکرد سیستم عامل محلی یک ابزار فنی جداگانه، میزان امکان دسترسی غیر مجاز را با فراخوانی کارکنان سیستم عامل یا راه اندازی برنامه های ویژه توسعه یافته که چنین اقداماتی را اجرا می کنند، امکان پذیر است ؛

در عملکرد برنامه های کاربردی (به عنوان مثال، به سیستم مدیریت پایگاه داده محلی)؛

به طور مستقیم به اطلاعات کاربر (به فایل ها، متون، صوتی و اطلاعات گرافیکی، زمینه ها و نوشته ها در پایگاه های الکترونیکی) و به دلیل امکان نقض محرمانه بودن، یکپارچگی و دسترسی به آن است.

این تهدید ها را می توان در مورد به دست آوردن دسترسی فیزیکی به ساکنان یا حداقل به وسیله ورود به اطلاعات در CD اجرا کرد. آنها را می توان تحت شرایط پیاده سازی به سه گروه ترکیب کرد.

گروه اول شامل تهدیدات اجرا شده در بوته سیستم عامل است. این تهدیدات امنیتی اطلاعات با هدف شناسایی رمزهای عبور یا شناسه ها، اصلاح سیستم ورودی / خروجی نرم افزار (BIOS)، کنترل کنترل بار با تغییر در اطلاعات تکنولوژیکی لازم برای به دست آوردن NSD به یک محیط عملیاتی، هدایت می شود. اغلب چنین تهدیدها با استفاده از رسانه های بیگانه اجرا می شود.

گروه دوم - تهدیدات پس از بارگیری محیط عملیاتی بدون در نظر گرفتن برنامه کاربردی آغاز می شود. این تهدیدات معمولا با هدف دسترسی مستقیم به اطلاعات غیر مجاز به اطلاعات می پردازد. پس از دریافت دسترسی به محیط عملیاتی، نقض کننده می تواند از هر دو تابع سیستم عامل استاندارد یا هر برنامه کاربردی عمومی (به عنوان مثال، سیستم های مدیریت پایگاه داده) استفاده کند و به طور خاص برای انجام دسترسی غیر مجاز با برنامه ها ایجاد شده است، مثلا:

مشاهده برنامه و اصلاح رجیستری؛

برنامه های جستجوی متن در فایل های متنی توسط کلمات کلیدی و کپی کردن؛

برنامه های مشاهده ویژه و کپی های کپی در پایگاه های داده؛

برنامه ها مشاهده سریع فایل های گرافیکی، ویرایش یا کپی کردن آنها؛

برنامه های پشتیبانی از قابلیت های بازسازی محیط نرم افزار (تنظیمات نگهداری شده در منافع مزاحم) و غیره

در نهایت، گروه سوم شامل تهدیدات، پیاده سازی آن تعیین می شود که توسط کدام برنامه های کاربردی توسط کاربر تعیین می شود یا واقعیت راه اندازی هر یک از برنامه های کاربردی است. اکثر این تهدیدات تهدیدی برای معرفی برنامه های مخرب است.

5.4. ویژگی های کلی تهدید به امنیت اطلاعات شخصی با استفاده از پروتکل های تعامل اینترنت

اگر پایگاه داده بر اساس یک سیستم اطلاعات محلی یا توزیع شده اجرا شود، می توان آن را در تهدیدات ایمنی به استفاده از پروتکل های اتصال متصل کرد. این ممکن است توسط NSD به PDN ها یا تهدید امتناع از حفظ ارائه شود. به ویژه تهدیدات خطرناک هنگام مرگ توزیع می شود سیستم اطلاعاتمتصل به شبکه های عمومی استفاده و (یا) شبکه های تبادل اطلاعات بین المللی. طرح طبقه بندی تهدیدها که در سراسر شبکه اجرا شده است، در شکل 5 نشان داده شده است. این بر اساس هفت نشانه اصلی زیر طبقه بندی است.

1. ماهیت تهدید. بر این اساس، تهدید می تواند منفعل و فعال باشد. تهدید منفعل تهدیدی است، و پیاده سازی آن تاثیر مستقیمی بر عملکرد CDN ندارد، اما قوانین جداسازی دسترسی به PDN ها یا منابع شبکه را می توان نقض کرد. یک نمونه از چنین تهدیدها تهدید "تجزیه و تحلیل ترافیک شبکه" است، با هدف گوش دادن به کانال های ارتباطی و اطلاعات انتقال داده شده است.

تهدید فعال تهدیدی است که با تأثیرات بر منابع CDN همراه است، با اجرای آن، تاثیر مستقیمی بر عملکرد سیستم (تغییر در پیکربندی، اختلال عملکرد و غیره)، و با نقض قوانین ایجاد شده برای تشخیص دسترسی به PDN ها یا منابع شبکه. یک نمونه از چنین تهدیدها تهدید "امتناع از نگهداری" است که به عنوان "طوفان پرس و جو TCP" اجرا می شود.

2. هدف از تحقق تهدید. بر این اساس، تهدید می تواند با هدف نقض محرمانه بودن، یکپارچگی و دسترسی به اطلاعات (از جمله نقض عملکرد CAD یا عناصر آن)، هدف قرار گیرد.

3. وضعیت شروع به اجرای روند تحقق تهدید کرد. بر این اساس، تهدید می تواند اجرا شود:

بر اساس درخواست یک جسم نسبت به آن تهدید اجرا می شود. در این مورد، متخلفان انتظار می رود انتقال یک نوع خاص از درخواست، که شرط شروع دسترسی غیر مجاز خواهد بود؛

شکل 5. طرح طبقه بندی تهدیدات با استفاده از پروتکل های متقابل بین تیراندازی

در وقوع رویداد مورد انتظار در تسهیلات، نسبت به آن تهدیدی اجرا می شود. در این مورد، نقض کننده نظارت دائمی از وضعیت سیستم عامل Cadov را انجام می دهد و زمانی که یک رویداد خاص در این سیستم اتفاق می افتد، دسترسی غیر مجاز آغاز می شود؛

تاثیر بی قید و شرط. در این مورد، آغاز پیاده سازی دسترسی غیر مجاز، بدون قید و شرط نسبت به هدف دسترسی است، یعنی تهدید بلافاصله و بی اهمیت به وضعیت سیستم اجرا می شود.

4. حضور بازخورد از CPF. بر این اساس، روند اجرای تهدید می تواند با بازخورد و بدون بازخورد باشد. تهدید انجام شده در حضور بازخورد از CTF با این واقعیت مشخص می شود که برخی از درخواست های منتقل شده به ساکنین به نقض کننده مورد نیاز است تا پاسخی دریافت کنند. در نتیجه، بازخورد بین نقض کننده و گول زدن وجود دارد که اجازه می دهد تا نقض کننده به طور کامل به تمام تغییرات موجود در CDN پاسخ دهد. در مقایسه با تهدیدات اجرا شده در حضور بازخورد از CD، در اجرای تهدیدات بدون بازخورد، لازم نیست پاسخ به هر گونه تغییری در PM.

5. محل مزاحم نسبتا رنگ شده است. مطابق با این علامت، تهدید هر دو در گوهر و integnetivity اجرا می شود. بخش شبکه یک ارتباط فیزیکی میزبان (ابزار فنی دوج یا عناصر ارتباطی با آدرس شبکه) است. به عنوان مثال، بخش نقطه ای، مجموعه ای از میزبان های متصل به سرور را با توجه به طرح "کل اتوبوس" تشکیل می دهد. در مورد زمانی که یک تهدید درونی بارور می شود، نقض کننده دسترسی فیزیکی به عناصر سخت افزاری CAD دارد. اگر یک تهدید تقاطع رخ دهد، مزاحم در خارج از ساکن قرار دارد، تهدیدی از یک شبکه دیگر یا بخش دیگری از CAD را اجرا می کند.

6. سطح مدل مرجع تعامل سیستم های باز<*> (ISO / OSI)، که در آن تهدید اجرا می شود. بر این اساس، تهدید را می توان بر روی فیزیکی، کانال، شبکه، حمل و نقل، جلسه، نماینده و سطح برنامه مدل ISO / OSI اجرا کرد.

<*> سازمان استاندارد بین المللی (ISO) استاندارد ISO 7498 را توصیف کرد که تعامل سیستم های باز (OSI) را توصیف می کند.

7. نسبت تعداد متخلفان و عناصر شأن و منزلت نسبت به آن تهدیدی اجرا می شود. بر این اساس، تهدید می تواند به کلاس تهدیداتی که توسط یک نقض کننده توسط یک روش فنی کاددینگ (تهدید "یک تا یک") اعمال شود، نسبت به چندین ابزار فنی CAD (تهدید به "یکی به بسیاری از") یا چندین متخلف با کامپیوترهای مختلف با توجه به یک یا چند وسیله فنی، کوین ها (تهدیدهای توزیع شده یا ترکیبی).

با توجه به طبقه بندی، هفت اغلب در حال حاضر در تهدیدهای کنونی اجرا می شود.

1. تجزیه و تحلیل ترافیک شبکه (شکل 6).

شکل 6. طرح تهدید "تجزیه و تحلیل ترافیک شبکه"

این تهدید با استفاده از یک برنامه تجزیه و تحلیل بسته ویژه (Sniffer) اجرا می شود، تمام بسته های ارسال شده از طریق بخش شبکه را متوقف می کند و کسانی که شناسه کاربر و رمز عبور آن ارسال می شوند. در طی اجرای تهدید، متخلفان منطق عملیات شبکه را بررسی می کنند - یعنی، به دنبال دستیابی به یک انطباق یکپارچه از وقایع رخ داده در سیستم، و دستورات ارسال شده با میزبان در زمان این رویدادها است. در آینده، این اجازه می دهد تا یک مهاجم بر اساس وظیفه دستورات مربوطه برای به دست آوردن، به عنوان مثال، حقوق ممتاز به اقدامات در سیستم و یا گسترش قدرت خود را در آن، جریان داده های انتقال داده شده است که ارتباطات اجزای عملیات شبکه را منتقل می کند سیستم، برای استخراج اطلاعات محرمانه یا شناسایی (به عنوان مثال، کاربران استاتیک کاربران برای دسترسی به میزبان های از راه دور با استفاده از پروتکل های FTP و Telnet که برای رمزگذاری ارائه نمی شوند)، جایگزینی آن، اصلاحات و غیره

2. شبکه اسکن

ماهیت فرایند اجرای تهدید این است که انتقال درخواست ها به خدمات شبکه های کلید های میزبان و تجزیه و تحلیل پاسخ ها از آنها. هدف این است که شناسایی پروتکل های مورد استفاده در دسترس برای پورت خدمات شبکه، قوانین تشکیل شناسه های اتصال، تعریف خدمات شبکه فعال، انتخاب شناسه ها و کلمه عبور کاربر.

3. تهدید به تشخیص رمز عبور.

هدف از اجرای تهدید، بدست آوردن NSD با غلبه بر حفاظت از رمز عبور است. مهاجم می تواند تهدیدی با تعدادی از روش ها، مانند یک نیروی ساده، نیروی بی رحم با استفاده از لغت نامه های ویژه، نصب یک برنامه مخرب برای از بین بردن رمز عبور، جایگزینی یک شیء شبکه مورد اعتماد (IP spoofing) و تعویض بسته (sniffing) . به طور عمده برای اجرای تهدیدات توسط برنامه های ویژه ای که در حال تلاش برای دسترسی به میزبان توسط یک انتخاب سازگار از کلمه عبور استفاده می شود استفاده می شود. اگر موفقیت آمیز باشد، مهاجم می تواند یک "پاس" برای خود را برای دسترسی به آینده ایجاد کند، که حتی اگر شما باید رمز عبور دسترسی را در میزبان تغییر دهید.

4. جایگزینی یک شیء شبکه قابل اعتماد و انتقال پیام ها از طرف کانال های ارتباطی از طرف آن با تخصیص حقوق دسترسی آن (شکل 7).

شکل 7. طرح تهدید "جایگزینی یک شیء شبکه مورد اعتماد"

چنین تهدیدی به طور موثر در سیستم هایی که الگوریتم های ناپایدار برای شناسایی و تأیید هویت میزبان ها، کاربران و غیره اعمال می شود، اجرا می شود. تحت شی مورد اعتماد به عنوان شیء شبکه (کامپیوتر، فایروال، روتر، و غیره) درک می شود، به طور قانونی به سرور متصل می شود.

دو نوع فرآیند اجرای تهدید مشخص می تواند جدا شود: با استقرار و بدون ایجاد یک اتصال مجازی.

فرآیند پیاده سازی با ایجاد یک ترکیب مجازی، تعیین حقوق یک نهاد قابل اعتماد تعامل است که اجازه می دهد تا متخلفان بتوانند جلسه ای را با هدف شبکه از طرف نهاد مورد اعتماد انجام دهند. پیاده سازی تهدید این نوع نیاز به غلبه بر سیستم شناسایی و احراز هویت (به عنوان مثال، حمله میزبان میزبان یونیکس) دارد.

فرآیند اجرای تهدید بدون ایجاد یک اتصال مجازی ممکن است در شبکه هایی که پیام های منتقل شده را فقط از طریق آدرس شبکه فرستنده شناسایی می کنند، رخ دهد. این نهاد انتقال پیام های خدماتی از طرف دستگاه های کنترل شبکه (به عنوان مثال، از طرف روترها) در تغییر داده های مسیر است. باید به یاد داشته باشید که تنها شناسه ها و اتصالات مشترک (از طریق TCP) دو پارامتر 32 بیتی شماره توالی اولیه اولیه - ISS (شماره توالی) و شماره تایید - ACK (شماره تأیید) است. در نتیجه، برای تشکیل یک بسته TCP نادرست به نقض، شما باید شناسایی شناسه های فعلی برای این اتصال - ISSA و ISSB، جایی که:

ISSA - برخی از مقدار عددی مشخص کردن تعداد توالی بسته TCP شماره ارسال شده توسط اتصال TCP آغاز شده توسط میزبان A؛

ISSB - برخی از مقدار عددی مشخصه شماره توالی بسته TCP ارسال شده توسط اتصال TCP آغاز شده توسط میزبان B.

مقدار ACK (شماره تایید تایید اتصال TCP) به عنوان مقدار شماره دریافت شده از ISS پاسخ دهنده (شماره توالی) به همراه ACKB \u003d ISSA + 1 تعریف شده است.

به عنوان یک نتیجه از اجرای تهدید، نقض کننده حقوق دسترسی ایجاد شده توسط کاربر خود را برای یک مشترک معتبر به ابزار فنی تراکم تهدیدات دریافت می کند.

5. اعمال یک مسیر شبکه کاذب.

این تهدید توسط یکی از دو روش اجرا می شود: با اعمال درونی بارور یا تقلید. توانایی تحمیل یک مسیر نادرست به دلیل معایب ناشی از الگوریتم های مسیریابی است (به ویژه، به دلیل مشکل شناسایی دستگاه های کنترل شبکه)، به عنوان مثال ممکن است، به عنوان مثال، به میزبان یا در شبکه مهاجم، جایی که شما می توانید محیط عملیاتی ابزار فنی را در محیط عملیاتی CDN وارد کنید. پیاده سازی تهدید بر مبنای استفاده غیر مجاز از پروتکل های مسیریابی (RIP، OSSPF، LSP) و مدیریت شبکه (ICMP، SNMP) برای ایجاد تغییرات در جداول مسیر است. در عین حال، نقض کننده باید به نمایندگی از دستگاه کنترل شبکه (به عنوان مثال، یک روتر) پیام کنترل (شکل 8 و 9) ارسال شود.

شکل 8. طرح اجرای حمله "اتصال مسیر نادرست" (داخل بخش) با استفاده از پروتکل ICMP به منظور نقض ارتباطات

شکل 9. طرح اجرای تهدید "اعمال یک مسیر نادرست" (پیوستن) به منظور جلوگیری از ترافیک

6. پیاده سازی یک شیء شبکه کاذب.

این تهدید بر اساس استفاده از کمبودهای الگوریتم های جستجو از راه دور است. اگر اشیاء شبکه در ابتدا اطلاعات آدرس را بر روی یکدیگر نداشته باشند، از پروتکل های جستجوی مختلف از راه دور استفاده نمی شود (به عنوان مثال SAP در شبکه های Novell Netware؛ ARP، DNS، برنده در شبکه های با پروتکل TCP / IP پشته)، که از طریق یک انتقال داده می شود درخواست های شبکه ویژه و دریافت پاسخ به آنها با جستجوی اطلاعات. در این مورد، می توان از نقض کننده پرس و جو جستجو و صدور پاسخ نادرست به آن عبور کرد، استفاده از آن منجر به تغییر مطلوب در داده های آدرس مسیر می شود. در آینده، کل جریان اطلاعات مربوط به قربانی شیء از طریق شیء شبکه کاذب عبور می کند (شکل 10 تا 13).

شکل 10. طرح اجرای تهدید "اجرای یک سرور ARP نادرست"

شکل 11. طرح پیاده سازی "پیاده سازی یک سرور DNS دروغین" را با دستگیری یک درخواست DNS

شکل 12. طرح پیاده سازی "پیاده سازی یک سرور DNS دروغین" توسط طوفان پاسخ DNS در یک شبکه

شکل 13. طرح اجرای تهدید "پیاده سازی یک سرور DNS دروغین" توسط طوفان DNS پاسخ به سرور DNS

7. امتناع از حفظ

این تهدیدات بر اساس کمبودهای نرم افزار شبکه، آسیب پذیری های آن است که اجازه می دهد که متخلفان اجازه ایجاد شرایط زمانی که سیستم عامل قادر به پردازش بسته های دریافتی نیست.

انواع مختلفی از چنین تهدیدی ها می توانند جدا شوند:

الف) امتناع پنهان برای حفظ، ناشی از دخالت بخشی از منابع پردازش بسته منتقل شده توسط مهاجم با کاهش پهنای باند کانال های ارتباطی، دستگاه های شبکه، نقض الزامات درخواست درخواست درخواست. نمونه هایی از اجرای تهدیدات این نوع می تواند باشد: توسط درخواست های ECHO توسط ICMP (سیل سیل)، طوفان برای تنظیم اتصالات TCP (Syn-flooding)، یک پرس و جو طوفان به سرور FTP؛

ب) امتناع صریح برای حفظ، ناشی از خستگی منابع، هنگام پردازش بسته های منتقل شده توسط مهاجم (اشغال کل پهنای باند پهنای باند، صف های پرس و جو خدمات)، که در آن درخواست های حقوقی را نمی توان از طریق شبکه به دلیل عدم دسترسی به شبکه منتقل کرد رسانه انتقال یا عدم حفظ به دلیل درخواست صف های پرس و جو، فضای دیسک حافظه و غیره نمونه هایی از تهدیدات این نوع می تواند به عنوان یک طوفان از درخواست های ICMP-Echo پخش (SMURF)، که توسط طوفان (Syn-flooding)، طوفان پیام ها به سرور ایمیل (هرزنامه) هدایت می شود، خدمت می کند.

ج) امتناع صریح برای حفظ، ناشی از نقض وابستگی منطقی بین ابزارهای فنی CTADV، هنگام انتقال نقض کننده پیام های کنترل از طرف دستگاه های شبکه، منجر به تغییر داده های آدرس مسیر (به عنوان مثال، ICMP Redirect Host ، DNS-Flooding) یا اطلاعات شناسایی و احراز هویت؛

د) امتناع صریح از نگهداری ناشی از انتقال توسط مهاجم بسته ها با ویژگی های غیر استاندارد (تهدید به "نوع زمین"، "Teardrop"، "Bonk"، "Nuke"، "UDP-Bomb") یا داشتن طول بیش از حداکثر اندازه مجاز (نوع تهدید "Ping Death")، که می تواند به مجموعه ای از دستگاه های شبکه درگیر در پردازش پرس و جو منجر شود، با توجه به اشتباهات در برنامه هایی که پروتکل های تبادل شبکه را اجرا می کنند.

نتیجه اجرای این تهدید می تواند نقض خدمات مربوطه برای ارائه دسترسی از راه دور به PDNS به PD، انتقال از یک آدرس از چنین تعداد درخواست ها به ابزار فنی در ترکیب CDN، که حداکثر می تواند ترافیک (کارگردانی "Storm Storm" را اداره کند) که شامل سرریز صف پرس و جو و شکست یکی از خدمات شبکه یا توقف کامل کامپیوتر به دلیل عدم توانایی سیستم برای تعامل در هر دیگر، به جز پردازش پرس و جو.

8. راه اندازی برنامه از راه دور

تهدید در تمایل به راه اندازی نرم افزارهای مخرب مختلف پیش اجرا شده در میزبان است: برنامه های نشانه گذاری، ویروس ها، "جاسوسی شبکه"، هدف اصلی آن نقض محرمانه بودن، یکپارچگی، دسترسی به اطلاعات و کنترل کامل بر روی کار است میزبان علاوه بر این، امکان راه اندازی غیر مجاز برنامه های کاربردی کاربر برای غیر مجاز به دست آوردن اطلاعات لازم از نقض کننده، برای شروع فرایندهای مدیریت شده توسط برنامه کاربردی، و غیره امکان پذیر نیست.

سه منبع تهدید داده ها متمایز هستند:

1) توزیع فایل های حاوی کد اجرایی غیر مجاز؛

2) راه اندازی از راه دور از برنامه توسط overlowing بافر برنامه کاربردی-سرور؛

3) راه اندازی از راه دور راه اندازی با استفاده از کنترل از راه دور سیستم ارائه شده توسط نرم افزار پنهان و بوک مارک های سخت افزاری و یا استفاده شده توسط ابزار استاندارد.

تهدیدات معمول اول از زیر کلاس های مشخص شده بر اساس فعال سازی فایل های توزیع شده در صورت دسترسی تصادفی به آنها است. نمونه هایی از این فایل ها می توانند خدمت کنند: فایل های حاوی کد اجرایی در قالب Macrosample (مایکروسافت ورد، اسناد اکسل، و غیره)؛ اسناد HTML حاوی کد اجرایی به عنوان عناصر ActiveX، اپلت های جاوا تفسیر شده توسط اسکریپت ها (به عنوان مثال، متون جاوا اسکریپت)؛ فایل های حاوی کدهای برنامه اجرایی. خدمات ایمیل، انتقال فایل، سیستم فایل شبکه را می توان برای توزیع فایل ها استفاده کرد.

در تهدیدات زیر کلاس دوم، معایب برنامه های اجرای خدمات شبکه (به طور خاص، بدون کنترل کنترل سرریز کنترل) استفاده می شود. تنظیم ثبت سیستم ها گاهی اوقات ممکن است پردازنده را پس از وقفه ناشی از سرریز بافر، به اجرای کد موجود در خارج از بافر تغییر دهید. یک نمونه از پیاده سازی چنین تهدیدی می تواند معرفی "ویروس موریس" به طور گسترده ای شناخته شود.

در تهدیدات سومین زیر کلاس، مجرم توانایی از راه دور مدیریت سیستم ارائه شده توسط اجزای پنهان (به عنوان مثال، "Troyan" برنامه های خروجی نوع عقب، اتوبوس خالص) یا کنترل های منظم و مدیریت شبکه های کامپیوتری را استفاده می کند (Suite Management Landesk ، مدیریت، عقب عقب، و غیره). به عنوان یک نتیجه از استفاده از آنها، امکان دستیابی به کنترل از راه دور بر ایستگاه در شبکه وجود دارد.

به طور خلاصه، مراحل اصلی کار این برنامه ها به نظر می رسد:

نصب در حافظه؛

در انتظار یک پرس و جو میزبان از راه دور که برنامه مشتری در حال اجرا است، و تبادل پیام های آمادگی با آن؛

انتقال اطلاعات متوقف شده به مشتری یا ارائه او با کنترل بر روی کامپیوتر مورد حمله.

پیامدهای احتمالی از اجرای تهدیدات کلاس های مختلف در جدول 3 نشان داده شده است.

جدول 3

پیامدهای احتمالی اجرای تهدیدهای کلاس های مختلف

n p / n	نوع حمله		پیامدهای احتمالی
1	تجزیه و تحلیل ترافیک شبکه		بررسی ویژگی های ترافیک شبکه، رهگیری از داده های منتقل شده، از جمله شناسه های کاربر و رمزهای عبور
2	شبکه اسکن		تعریف پروتکل های موجود برای پورت خدمات شبکه، قوانین تشکیل شناسه اتصالات، خدمات شبکه فعال، شناسه ها و کلمه عبور کاربر
3	"رمز عبور" حمله		انجام هر گونه اقدام مخرب مرتبط با به دست آوردن دسترسی غیر مجاز
4	جایگزینی یک شیء قابل اعتماد		تغییر گذر از پیام ها، تغییر غیر مجاز در داده های مسیر. دسترسی غیر مجاز به منابع شبکه، تحمیل اطلاعات نادرست
5	تحمیل مسیر نادرست		تغییر غیر مجاز در داده های مسیر، تجزیه و تحلیل و اصلاح داده های منتقل شده، اعمال پیام های نادرست
6	پیاده سازی یک شیء دروغین		رهگیری و مشاهده ترافیک دسترسی غیر مجاز به منابع شبکه، تحمیل اطلاعات نادرست
7	عدم خدمات	خستگی جزئی از منابع	کاهش پهنای باند کانال های ارتباطی، دستگاه های شبکه. کاهش عملکرد برنامه سرور
		خستگی کامل از منابع	ناتوانی در انتقال پیام ها به دلیل عدم دسترسی به رسانه انتقال، امتناع از برقراری ارتباط. امتناع از ارائه خدمات (ایمیل، فایل، و غیره)
		نقض ارتباط منطقی بین صفات، داده ها، اشیاء	عدم انتقال انتقال، پیام ها به دلیل عدم وجود داده های مسیر صحیح. عدم امکان اخذ خدمات به دلیل اصلاح غیر مجاز شناسه ها، رمزهای عبور و غیره
		استفاده از اشتباهات در برنامه ها	نقض دستگاه های شبکه
8	راه اندازی از راه دور برنامه های کاربردی	با ارسال فایل های حاوی کد اجرایی مخرب، عفونت ویروسی	نقض محرمانه بودن، یکپارچگی، دسترسی به اطلاعات
		با پر کردن بافر برنامه سرور
		با استفاده از قابلیت های کنترل از راه دور سیستم ارائه شده توسط نرم افزار پنهان و بوک مارک های سخت افزاری یا استفاده شده توسط استاندارد	سیستم مدیریت پنهان

فرایند اجرای تهدید در مورد کلی شامل چهار مرحله است:

مجموعه اطلاعات؛

تهاجم (نفوذ به محیط عملیاتی)؛

استفاده از دسترسی غیر مجاز؛

از بین بردن آثار دسترسی غیر مجاز.

در مرحله جمع آوری اطلاعات، متخلفان ممکن است علاقه مند به اطلاعات متنوع در مورد چگالی، از جمله:

الف) در توپولوژی شبکه، که در آن سیستم کار می کند. این ممکن است منطقه را در اطراف شبکه بررسی کند (به عنوان مثال، مزاحم ممکن است علاقه مند به آدرس های میزبان مورد اعتماد، اما کمتر محافظت شده باشد). برای تعیین قابلیت دسترسی میزبان، ساده ترین دستورات می تواند مورد استفاده قرار گیرد (به عنوان مثال، دستور Ping برای ارسال echo_request ICMP پرس و جو با انتظارات از پاسخ های echo_Reply ICMP. خدماتی وجود دارد که تعریف موازی از دسترس بودن میزبان ها (مانند FPing) را انجام می دهند، که قادر به اسکن منطقه بزرگ فضای آدرس برای دسترسی میزبان در یک دوره کوتاه مدت هستند. توپولوژی شبکه اغلب بر اساس "Meter Meter" (فاصله بین میزبان) تعریف شده است. در این مورد، روش هایی مانند "مدولاسیون TTL" و ضبط مسیر را می توان اعمال کرد.

روش مدولاسیون TTL توسط Traceroute (برای ویندوز NT - tracert.exe) اجرا می شود و این است که فیلد TTL بسته IP را تعدیل کند. بسته های ICMP ایجاد شده توسط فرمان پینگ می توانند برای ضبط مسیر استفاده شوند.

مجموعه اطلاعات نیز می تواند بر اساس پرس و جو باشد:

به سرور DNS در مورد لیست میزبان ثبت شده (و احتمالا فعال)؛

به روتر پروتکل RIP در مسیرهای شناخته شده (اطلاعات در مورد توپولوژی شبکه)؛

دستگاه های پیکربندی نشده پیکربندی پشتیبانی SNMP (اطلاعات توپولوژی شبکه).

اگر کینن ها پشت فایروال (من) هستند، ممکن است اطلاعات مربوط به پیکربندی من و در مورد توپولوژی سی دی ها را برای من جمع آوری، از جمله ارسال بسته به تمام بنادر تمام میزبان های ادعایی داخلی (محافظت شده) شبکه؛

ب) در نوع سیستم عامل (OS) در ساکنین. معروف ترین روش تعیین نوع سیستم عامل میزبان بر اساس این واقعیت است که انواع متفاوت سیستم عامل به روش های مختلف اجرای استانداردهای RFC به پشته TCP / IP. این اجازه می دهد تا نقض کننده از راه دور شناسایی نوع سیستم عامل نصب شده بر روی میزبان با ارسال درخواست های خاص تشکیل شده و تجزیه و تحلیل پاسخ های دریافت شده.

ابزار خاصی وجود دارد که این روش ها را به طور خاص اجرا می کند، به ویژه NMAP و Queso. شما همچنین می توانید این روش را برای تعیین نوع سیستم عامل، به عنوان ساده ترین پرس و جو برای برقراری ارتباط از طریق پروتکل دسترسی از راه دور Telnet (اتصالات Telnet) توجه داشته باشید، به عنوان یک نتیجه از نوع میزبان می تواند توسط "ظاهر" تعیین شود پاسخ. حضور خدمات خاص همچنین می تواند به عنوان یک ویژگی اضافی برای تعیین نوع سیستم عامل میزبان خدمت کند؛

ج) درباره خدمات عملیاتی میزبان. تعریف خدمات اجرا شده بر روی میزبان بر اساس روش شناسایی "پورت های باز" با هدف جمع آوری اطلاعات در مورد دسترسی به میزبان است. به عنوان مثال، برای تعیین در دسترس بودن پورت UDP، شما باید پاسخی را در پاسخ به فرضیه بسته UDP به بندر مربوطه دریافت کنید:

اگر ICMP Port Unerearble در پاسخ دریافت شود، سرویس مربوطه در دسترس نیست؛

اگر این پیام وارد نشده باشد، پورت "باز شده".

تغییرات بسیار متنوع استفاده از این روش بسته به پروتکل مورد استفاده در پشته پروتکل TCP / IP امکان پذیر است.

بسیاری از نرم افزارها برای خودکار سازی مجموعه اطلاعات در مورد تراکم توسعه یافته است. به عنوان مثال، موارد زیر را می توان ذکر کرد:

1) Strobe، Portscanner - بهینه سازی بهینه شده به معنی خدمات موجود بر اساس یک نظرسنجی پورت TCP؛

2) NMAP - ابزار اسکن برای خدمات موجود برای لینوکس، FreeBSD، باز BSD، Solaris، ویندوز NT. محبوب ترین ابزار فعلی برای اسکن خدمات شبکه است؛

3) Queso یک ابزار دقیق با دقت بالا برای تعیین سیستم میزبان شبکه بر اساس بسته مدار بسته های TCP درست و نادرست، تجزیه و تحلیل پاسخ و مقایسه آن با بسیاری از پاسخ های شناخته شده از سیستم عامل های مختلف است. این یعنی همچنین محبوب است که اسکن را به روز می کند؛

4) Cheops - اسکنر توپولوژی شبکه اجازه می دهد تا شما را به گرفتن توپولوژی شبکه، از جمله یک تصویر دامنه، آدرس IP، و غیره. این توسط سیستم عامل میزبان، و همچنین دستگاه های شبکه ممکن (پرینتر، روتر، و غیره) تعیین می شود؛

5) Fireewalk یک اسکنر با استفاده از روش های برنامه Traceroute در منافع تجزیه و تحلیل پاسخ به بسته های IP برای تعیین پیکربندی فایروال و ساخت توپولوژی شبکه است.

در مرحله تهاجم، حضور آسیب پذیری های معمول در خدمات سیستم یا خطاهای سیستم در اداره سیستم مورد بررسی قرار گرفته است. یک نتیجه موفق از استفاده از آسیب پذیری ها معمولا توسط فرایند یک حالت اعدام ممتاز (دسترسی به حالت اجرای فرماندهی فرماندهی Privileged) به دست می آید، وارد حساب کاربری حسابداری یک کاربر غیرقانونی، دریافت فایل رمز عبور یا اختلال عملیات از میزبان حمله شده.

این مرحله از توسعه تهدید معمولا چند فاز است. فازهای فرآیند اجرای تهدید ممکن است شامل موارد زیر باشد:

ایجاد ارتباط با میزبان، نسبی که تهدید به آن می شود؛

شناسایی آسیب پذیری؛

معرفی یک برنامه مخرب در منافع گسترش حقوق و دیگران.

تهدیدات اجرا شده در مرحله نهایی به سطوح پشته پروتکل TCP / IP تقسیم می شوند، زیرا آنها بر روی شبکه، حمل و نقل یا سطح کاربردی بسته به مکانیزم تهاجم مورد استفاده تشکیل می شوند.

نوع تهدیدات در سطح شبکه و انتقال شامل موارد زیر است:

الف) تهدید به منظور جایگزینی یک شیء مورد اعتماد؛

ب) تهدید با هدف ایجاد یک مسیر نادرست در شبکه؛

الف) تهدیدات با هدف ایجاد یک شیء نادرست با استفاده از کمبودهای الگوریتم های جستجو از راه دور؛

د) تهدید "امتناع از نگهداری"، بر اساس IP Defragmentation، بر اساس درخواست های ICMP نادرست (به عنوان مثال، حمله "پینگ مرگ" و "Smurf")، در شکل گیری درخواست های TCP نادرست (حمله زمین )، در ایجاد بسته های "طوفان" با درخواست های اتصال (حملات سیل SYN) و غیره

تهدیدات معمولی که در سطح برنامه اجرا شده اند عبارتند از تهدیدات با هدف راه اندازی غیر مجاز برنامه های کاربردی، تهدیدات، اجرای آن با اجرای بوک مارک های نرم افزاری (مانند اسب تروجان ")، با شناسایی گذرواژه های دسترسی به شبکه یا به یک میزبان خاص و غیره

اگر تحقق این تهدید، متخلفان بالاترین حقوق دسترسی را در این سیستم نیاورد، تلاش کرد تا این حقوق را به بالاترین سطح ممکن گسترش دهد. برای این، آسیب پذیری های نه تنها خدمات شبکه را می توان مورد استفاده قرار داد، بلکه آسیب پذیری میزبان نرم افزار سیستم است.

در مرحله اجرای دسترسی غیر مجاز، دستیابی به هدف اجرای یک تهدید انجام می شود:

نقض محرمانه (کپی کردن، توزیع غیرقانونی)؛

نقض یکپارچگی (تخریب، تغییر)؛

نقض در دسترس بودن (مسدود کردن).

در همان مرحله، پس از این اقدامات، به عنوان یک قانون، به اصطلاح "ورودی سیاه" به شکل یکی از خدمات (شیاطین) در خدمت برخی از پورت و اجرای دستورات مزاحم تشکیل شده است. "ورود سیاه" در سیستم به منافع وثیقه در سیستم قرار دارد:

فرصت هایی برای دسترسی به میزبان، حتی اگر سرپرست آسیب پذیری را از بین ببرد که به طور موفقیت آمیز تهدیدی را اجرا می کند؛

فرصت ها برای دسترسی به میزبان به همان اندازه که ممکن است؛

فرصت ها برای دسترسی به میزبان به سرعت (بدون تکرار روند تحقق تهدید).

به عنوان مثال، "ورودی سیاه" اجازه می دهد تا متخلفان برای پیاده سازی یک برنامه مخرب به یک شبکه یا یک میزبان خاص، به عنوان مثال، یک "تجزیه و تحلیل رمز عبور" (رمز عبور Sniffer) یک برنامه است که شناسایی شناسه های کاربر و رمزهای عبور از ترافیک شبکه را در هنگام کار در سطح بالا اختصاص می دهد پروتکل ها (FTP، Telnet، Rlogin و T .D.). اشیاء پیاده سازی مخرب می تواند احراز هویت و برنامه های شناسایی، خدمات شبکه، هسته سیستم عامل، سیستم فایل، کتابخانه ها، و غیره

در نهایت، در مرحله از بین بردن آثار تهدید، تلاش برای از بین بردن آثار از اعمال نقض کننده ساخته شده است. در عین حال، نوشته های مناسب از همه سیاهههای مربوط به حسابرسی ممکن، از جمله سوابق مربوط به واقعیت جمع آوری اطلاعات حذف می شوند.

5.5. ویژگی های کلی تهدیدات نرم افزار و تاثیرات ریاضی

تاثیر نرم افزار-ریاضی تاثیر می گذارد با کمک برنامه های مخرب. این برنامه با عواقب بالقوه خطرناکی یا برنامه مخرب، برخی از برنامه های مستقل (مجموعه ای از دستورالعمل ها) نامیده می شود، که قادر به انجام هر گونه زیرمجموعه غیر خالی است توابع زیر:

نشانه های حضور خود را در نرم افزار کامپیوتر؛

توانایی خودپنداره، انجمن خود را با سایر برنامه ها و (یا) انتقال قطعات آن به سایر زمینه های حافظه عملیاتی یا خارجی داشته باشید؛

نابود کردن (تحریف یک روش دلخواه) کد برنامه در RAM؛

اجرای بدون شروع از کاربر (برنامه کاربر در حالت منظم اجرای آن) توابع مخرب (کپی، تخریب، مسدود کردن، و غیره)؛

ذخیره قطعات اطلاعات از RAM در برخی از مناطق دسترسی مستقیم خارجی (محلی یا از راه دور)؛

برای تحریف یک روش دلخواه، بلوک و (یا) برای جایگزینی حافظه خارجی یا کانال ارتباطی، مجموعه ای از اطلاعات شکل گرفته به عنوان یک نتیجه از برنامه های کاربردی برنامه های کاربردی، و یا در حال حاضر در حافظه خارجی از آرایه های داده است.

برنامه های مخرب را می توان به طور عمدی و به طور تصادفی در نرم افزار مورد استفاده در طراحی، در روند توسعه، همراه، تغییرات و تنظیمات آن ساخته شده است. علاوه بر این، بدافزار را می توان در طول عملیات CDN از رسانه های خارجی یا با تعامل شبکه هر دو به عنوان یک نتیجه از NSD ها و توسط کاربران تصادفی CAD ساخته شده است.

برنامه های مخرب مدرن مبتنی بر استفاده از آسیب پذیری های مختلف نرم افزار (سیستماتیک، عمومی، کاربردی) و فن آوری های مختلف شبکه هستند طیف وسیع قابلیت های مخرب (از مطالعه غیر مجاز پارامترهای PDN بدون دخالت در عملکرد PDN، قبل از تخریب PDN ها و نرم افزار CDN) و می تواند در تمام انواع نرم افزار (سیستم، اعمال شده، در رانندگان سخت افزاری، و غیره عمل کند .).

حضور برنامه های مخرب ممکن است به وقوع پنهان، از جمله کانال های دسترسی غیر سنتی به اطلاعاتی کمک کند که به شما امکان باز کردن، دور زدن یا مسدود کردن مکانیسم های حفاظتی ارائه شده در سیستم، از جمله رمز عبور و حفاظت رمزنگاری کمک می کند.

انواع اصلی برنامه های مخرب عبارتند از:

بوک مارک های نرم افزار؛

ویروس های کلاسیک (کامپیوتر)؛

برنامه های مخرب که از طریق شبکه پخش می شوند (کرم های شبکه)؛

سایر برنامه های مخرب در نظر گرفته شده برای اجرای NSD.

بوک مارک های نرم افزاری شامل برنامه ها، قطعات کد، دستورالعمل هایی هستند که قابلیت های نرم افزاری غیر رسمی را تشکیل می دهند. به عنوان مثال، برنامه های مخرب می توانند از یک گونه به دیگری حرکت کنند، به عنوان مثال، یک لایه بندی نرم افزاری می تواند یک ویروس نرم افزاری تولید کند که به نوبه خود به شرایط شبکه متصل می شود، می تواند یک کرم شبکه یا برنامه های مخرب دیگر طراحی شده برای اجرای NSD را تشکیل دهد.

طبقه بندی ویروس های نرم افزاری و کرم های شبکه در شکل 14 ارائه شده است. شرح مختصری از برنامه های مخرب اصلی به موارد زیر کاهش می یابد. ویروس های بوت شدن خود را به بخش بوت دیسک (بخش بوت) یا در بخش حاوی رکورد اصلی بوت) بنویسید یا اشاره گر را به بخش بوت فعال تغییر دهید. آنها هنگام بارگیری از یک دیسک آلوده به حافظه کامپیوتر معرفی می شوند. در این مورد، سیستم عامل Loader محتویات بخش اول دیسک را می خواند که از آن دانلود شده است، اطلاعات خواندن را به حافظه و انتقال به آن (I.E.، ویروس) کنترل می کند. پس از آن، دستورالعمل های ویروس آغاز می شود، که به عنوان یک قاعده، مقدار حافظه آزاد را کاهش می دهد، کد آن را به محل خالی کپی می کند و ادامه آن را از دیسک می خواند (اگر وجود داشته باشد)، بردار وقفه لازم را (معمولا int 13h)، بخش اصلی بوت حافظه را می خواند و کنترل آن را انتقال می دهد.

در آینده، ویروس بوتا به همان شیوه رفتار می کند: دسترسی سیستم عامل را به دیسک ها متصل می کند و آنها را آلوده می کند، بسته به شرایط برخی از شرایط، آنها را آلوده می کند اقدامات مخرب، باعث جلوه های صوتی یا جلوه های ویدئویی می شود.

اقدامات اصلی مخرب انجام شده توسط این ویروس ها عبارتند از:

تخریب اطلاعات در بخش فلاپی و هارد دیسک؛

از بین بردن قابلیت های سیستم عامل (کامپیوتر "آویزان")؛

اعوجاج کد لودر؛

قالب بندی دیسک یا دیسک های منطقی هارد دیسک؛

بسته شدن دسترسی به پورت COM و LPT؛

جایگزینی نمادها هنگام چاپ متون؛

صفحه نمایش twitching؛

تغییر برچسب دیسک یا فلاپی دیسک؛

ایجاد خوشه های شبه آزاد؛

ایجاد صدا و (یا) جلوههای بصری (به عنوان مثال، در حروف روی صفحه قرار دهید)؛

فایل های داده آسیب؛

نمایش پیام های مختلف؛

قطع اتصال دستگاه های جانبی (به عنوان مثال، صفحه کلید)؛

تغییر پالت صفحه نمایش؛

پر کردن صفحه نمایش با بیگانگان یا تصاویر؛

بازپرداخت صفحه نمایش و حالت ورودی ترجمه از صفحه کلید؛

رمزگذاری بخش های وینچستر؛

تخریب انتخابی شخصیت های نمایش داده شده بر روی صفحه نمایش زمانی که از صفحه کلید تنظیم شده است؛

کاهش RAM؛

تماس با چاپ صفحه؛

مسدود کردن سوابق بر روی دیسک؛

جدول جدول پارتیشن دیسک، پس از آن، کامپیوتر تنها می تواند از یک فلاپی دیسک دانلود شود؛

مسدود کردن شروع فایل های اجرایی؛

مسدود کردن دسترسی به وینچستر.

شکل 14. طبقه بندی ویروس های نرم افزاری و کرم های شبکه

بیشترین ویروس های قابل بوت شدن خود را بر روی دیسک های فلاپی بازنویسی می کنند.

روش عفونت "بازنویسی" ساده ترین است: ویروس کد خود را به جای کد فایل آلوده ثبت می کند، محتوای آن را از بین می برد. به طور طبیعی، در حالی که فایل متوقف می شود و بازسازی نشده است. چنین ویروس ها بسیار سریع خود را تشخیص می دهند، زیرا سیستم عامل و برنامه های کاربردی بسیار سریع کار را متوقف می کند.

رده "همراه" شامل ویروس هایی است که فایل های آلوده را تغییر نمی دهند. الگوریتم کار این ویروس ها این است که یک فایل دوگانه برای فایل آلوده ایجاد شده است، و هنگامی که فایل آلوده آغاز می شود، کنترل این دوقلو را دریافت می کند، یعنی ویروس. رایج ترین ویروس های شرکت CompanyOn با استفاده از ویژگی DOS برای اولین بار فایل ها را با Extension.com اجرا کنید، اگر دو فایل با همان نام در یک دایرکتوری وجود داشته باشد، اما با نام های مختلف نام - .com i.exe. چنین ویروس ها فایل های ماهواره ای را برای فایل های EXE ایجاد می کنند که دارای همان نام هستند، اما با Extension.com، فایل xcopy.com برای فایل xcopy.exe ایجاد می شود. این ویروس در فایل COM ثبت شده است و فایل EXE را تغییر نمی دهد. هنگامی که شما چنین فایل DOS را شروع می کنید، اولین فایل COM را شناسایی و اجرا می کند، یعنی ویروس که پس از آن شروع خواهد شد و فایل EXE. گروه دوم باعث می شود ویروس هایی که هنگام آلوده شدن، فایل را به هر نام دیگری تغییر نام دهند، آن را به یاد داشته باشید (برای راه اندازی بعدی فایل میزبان) و کد خود را به دیسک تحت نام فایل آلوده بنویسید. به عنوان مثال، فایل xcopy.exe به xcopy.exd تغییر نام داده شده است، و ویروس تحت نام xcopy.exe نوشته شده است. هنگام شروع، کنترل کد ویروس را دریافت می کند، که سپس XCopy اصلی ذخیره شده زیر نام xcopy.exd را آغاز می کند. جالب این واقعیت است که این روش به نظر می رسد در تمام سیستم عامل ها باشد. گروه سوم شامل ویروس های به اصطلاح "Path-Companion" است. آنها یا کد خود را تحت نام فایل آلوده قرار می دهند، اما "بالا" یک سطح در مسیرهای تجویز شده (DOS، بنابراین اولین بار اولین بار شناسایی و راه اندازی فایل ویروس)، و یا تحمل فایل قربانی به یک زیر شاخه بالا را تحمل می کند ، و غیره.

ممکن است وجود داشته باشد و سایر انواع ویروس های همراه با استفاده از سایر ایده های اصلی یا ویژگی های دیگر سیستم عامل ها وجود داشته باشد.

کرم های فایل (کرم ها)، به یک معنا، یک نوع از ویروس های Companyon هستند، اما به هیچ وجه حضور خود را با هر گونه فایل اعدام نمی کنند. در تولید مثل، آنها تنها کد خود را به هر کاتالوگ دیسک کپی می کنند، امیدوار است که این نسخه های جدید هرگز توسط کاربر اجرا شود. گاهی اوقات این ویروس ها کپی های خود را از نام های "ویژه" می دهند تا کاربر را فشار دهید تا کپی خود را شروع کنند - به عنوان مثال، install.exe یا winstart.bat. به عنوان مثال، ویروس های Wormi وجود دارد که از تکنیک های نسبتا غیر معمول استفاده می کنند، به عنوان مثال، ضبط نسخه های خود را در آرشیو ها (ARJ، ZIP و دیگران) ضبط می کنند. برخی از ویروس ها راه اندازی یک فایل آلوده را در فایل های خفاش ثبت می کنند. ویروس های Chervi فایل را با کرم های شبکه اشتباه نگیرید. اولین بار تنها از توابع فایل هر سیستم عامل استفاده می شود، دوم در بازتولید آنها از پروتکل های شبکه استفاده می کند.

پیوند ویروس ها، مانند ویروس های همراه، محتوای فیزیکی فایل ها را تغییر ندهید، با این حال، هنگامی که فایل آلوده آغاز می شود، سیستم عامل "علت" کد شما را اجرا می کند. این اهداف آنها به اصلاح فیلدهای سیستم لازم نیاز می رسند.

ویروس ها، آلوده کردن کتابخانه های کامپایلر، ماژول های شیء و متون منبع برنامه ها کاملا عجیب و غریب و عملا معمول نیستند. ویروس ها، آلوده کردن فایل های OBJ- و LIB، کد خود را در آنها در قالب ماژول Object یا کتابخانه بنویسید. بنابراین فایل آلوده انجام نمی شود و قادر به گسترش بیشتر ویروس در حالت فعلی خود نیست. حامل ویروس "زنده" یک فایل exe یا exe می شود.

پس از دریافت کنترل، ویروس فایل اقدامات عمومی زیر را انجام می دهد:

RAM را برای حضور کپی خود چک می کند و حافظه کامپیوتر را آلوده می کند اگر یک نسخه از ویروس یافت نشد (اگر ویروس ساکن باشد)، به دنبال فایل های غیرقابل دسترسی در دایرکتوری ROOT فعلی و (یا) با اسکن یک دیسک منطقی درخت دایرکتوری، و سپس فایل های شناسایی شده را آلوده می کند؛

عملکردهای اضافی (در صورت وجود) را انجام می دهد: اقدامات مخرب، جلوه های گرافیکی یا صدا، و غیره ( توابع اضافی ویروس Resident می تواند بعد از یک زمان پس از فعال شدن، بسته به زمان فعلی، پیکربندی سیستم، شمارنده های ویروس داخلی یا سایر شرایط، نامیده شود ؛

لازم به ذکر است که سریعتر ویروس توزیع شده است، به احتمال زیاد ظهور اپیدمی این ویروس، ویروس کندتر گسترش می یابد، سخت تر است که آن را تشخیص دهیم (اگر البته، این ویروس ناشناخته است). ویروس های غیر ساکن اغلب "آهسته" هستند - اکثر آنها هنگام شروع آن یک یا دو فایل را آلوده می کنند و قبل از اجرای برنامه آنتی ویروس (یا ظاهر یک نسخه جدید از آنتی ویروس پیکربندی شده، کامپیوتر را شناور نمی کند این ویروس). البته، البته، ویروس های غیر ساکن "سریع" وجود دارد که به دنبال و آلوده کردن تمام فایل های اجرایی هستند، با این حال، چنین ویروس ها بسیار قابل توجه هستند: هنگامی که شما هر فایل آلوده را شروع می کنید، کامپیوتر دارای زمان (گاهی اوقات به اندازه کافی طولانی) به طور فعال است کار با هارد دیسک، که ویروس را از بین می برد. سرعت توزیع (عفونت) در ویروس های ساکن معمولا بالاتر از غیر ساکن است - آنها فایل ها را با هر گونه تجدید نظر به آنها آلوده می کنند. به عنوان یک نتیجه، تمام فایل هایی که به طور مداوم در عمل استفاده می شود، بر روی دیسک آلوده می شوند. سرعت توزیع (عفونت) ویروس های پرونده ساکن فایل های آلوده به فایل ها تنها زمانی که آنها شروع به اجرای، کمتر از ویروس های آلوده به فایل ها و زمانی که آنها باز، تغییر نام، تغییر ویژگی های فایل، و غیره

بنابراین، اقدامات اصلی مخرب انجام شده توسط ویروس های فایل همراه با شکست فایل ها (اغلب اجرایی یا فایل های داده های داده شده)، راه اندازی غیر مجاز از دستورات مختلف (از جمله قالب بندی، تخریب، دستورات کپی، و غیره)، تغییر جدول از بردارهای وقفه و دکتر در همان زمان، بسیاری از اقدامات مخرب مشابه آنچه که برای ویروس های بوت نشان داده شده است می تواند انجام شود.

Macroviruses (ویروس های ماکرو) زبان (ماکرو زبان) ساخته شده در برخی از سیستم های پردازش داده ها ( ویراستاران متن، صفحات گسترده، و غیره). برای تولید مثل آن، چنین ویروس ها از قابلیت های زبان های ماکرو استفاده می کنند و با کمک آنها از یک فایل آلوده (سند یا جدول) به دیگران انتقال می دهند. Macroviruses بزرگترین توزیع را برای بسته نرم افزاری دریافت کرد مایکروسافت آفیس..

برای وجود ویروس ها در یک سیستم خاص (ویرایشگر)، لازم است که یک زبان ماکرو داخلی ساخته شده را با قابلیت های ایجاد کنید:

1) پیوند برنامه در زبان ماکرو به یک فایل خاص؛

2) کپی ماکروپروگرام از یک فایل به دیگری؛

3) به دست آوردن مدیریت برنامه ماکرو بدون مداخله کاربر (ماکروهای اتوماتیک یا استاندارد).

این شرایط مورد استفاده قرار می گیرد برنامه های مایکروسافت کلمه، اکسل و مایکروسافت دسترسی. آنها حاوی ماکوماز هستند: کلمه اساسی، ویژوال بیسیک برای برنامه های کاربردی. که در آن:

1) ماکروگرام ها به یک فایل خاص وابسته هستند یا در داخل فایل قرار دارند؛

2) ماکرو زبان اجازه می دهد تا شما را به کپی فایل ها و یا حرکت ماکروپروگرام به فایل های خدمات سیستم و فایل های قابل ویرایش؛

3) هنگام کار با یک فایل تحت شرایط خاص (باز کردن، بسته شدن، و غیره)، فریم های ماکرو (اگر هر کدام) نامیده می شوند، که به صورت خاص تعریف شده اند یا نام های استاندارد دارند.

این ویژگی MacRoeads طراحی شده اند تا به طور خودکار داده ها را در سازمان های بزرگ یا شبکه های جهانی پردازش کنند و به شما اجازه می دهد تا به اصطلاح "مدیریت سند خودکار" سازماندهی کنید. از سوی دیگر، قابلیت های ماکرو زبان این سیستم ها به ویروس اجازه انتقال کد خود را به فایل های دیگر و در نتیجه آنها را آلوده می کند.

اکثر ماکروویروس ها نه تنها در زمان باز کردن (بسته شدن) فایل فعال هستند، اما تا زمانی که ویرایشگر خود فعال باشد. آنها شامل تمام توابع خود را در قالب استاندارد Word / Excel / Office Macros هستند. با این حال، ویروس هایی که از پذیرش کد خود استفاده می کنند و کد خود را به صورت ماکرو ندارند، وجود دارد. سه چنین پذیرایی وجود دارد، همه آنها از توانایی ایجاد، ویرایش و اجرای دیگر ماکروها استفاده می کنند. به عنوان یک قاعده، ویروس های مشابه دارای کلان کوچک (گاهی چند مورفیک) ویروس هستند که باعث ایجاد ویرایشگر ماکرو داخلی می شود، ماکرو جدید را ایجاد می کند، آن را با کد پایه ویروس پر می کند، انجام می شود و سپس به عنوان یک قانون، از بین می رود (برای پنهان کردن آثار حضور ویروس). کد اصلی این ویروس ها یا در ماکرو ویروس خود را در قالب رشته های متن (گاهی اوقات رمزگذاری شده) وجود دارد یا در منطقه متغیرهای سند ذخیره می شود.

شبکه شامل ویروس هایی است که به طور فعال از پروتکل ها و امکانات شبکه های محلی و جهانی برای توزیع آنها استفاده می کنند. اصل اصلی ویروس شبکه، توانایی انتقال کد شما به یک سرور یا ایستگاه کاری از راه دور است. ویروس های شبکه "Full-Fulledged" این فرصت را برای شروع کد خود دارند کامپیوتر از راه دور یا حداقل "کاربر را فشار دهید تا یک فایل آلوده را راه اندازی کند.

برنامه های مخرب که اطمینان از اجرای NSD ممکن است عبارتند از:

انتخاب و باز کردن برنامه ها؛

تهدیدات برنامه های اجرایی؛

برنامه ها نشان دهنده استفاده از نرم افزار و قابلیت های سخت افزاری و سخت افزاری غیرقانونی است

برنامه های ژنراتور ویروس کامپیوتر؛

برنامه های نشان دهنده آسیب پذیری های ابزارهای امنیتی اطلاعات و دیگران است.

با توجه به عوارض و افزایش تنوع نرم افزار، تعداد برنامه های مخرب به سرعت در حال افزایش است. امروزه بیش از 120 هزار امضا از ویروس های کامپیوتری شناخته شده است. در عین حال، همه آنها یک تهدید واقعی را نشان نمی دهند. در بسیاری از موارد، حذف آسیب پذیری ها در سیستم های سیستم یا نرم افزار منجر به این واقعیت شد که تعدادی از برنامه های مخرب دیگر قادر به اجرای آنها نیستند. اغلب خطر اصلی نشان دهنده برنامه های مخرب جدید است.

5.6. ویژگی های کلی کانال های اطلاعاتی غیر سنتی

کانال اطلاعات غیر سنتی یک کانال امنيت اطلاعات با استفاده از کانال های ارتباطی سنتی و تحولات ویژه اطلاعات منتقل شده است که مربوط به رمزنگاری نیستند.

روش ها را می توان برای تشکیل کانال های غیر متعارف استفاده کرد:

کامپیوتر steganography؛

بر اساس دستکاری ویژگی های مختلف Caiden، که می تواند تحریم شود (به عنوان مثال، پردازش زمان های مختلف پرس و جو، حجم پاسخ به حافظه یا قابل دسترسی برای خواندن شناسه های فایل ها یا فرایندها، و غیره).

روش های استیگانوگرافی کامپیوتری برای مخفی کردن واقعیت انتقال پیام با تعبیه اطلاعات پنهان در داده های بی ضرر بی نظیر (متن، گرافیک، صوتی یا فایل های ویدئویی) طراحی شده اند و شامل دو گروه از روش های مبتنی بر:

با استفاده از خواص ویژه فرمت های کامپیوتری برای ذخیره سازی و انتقال داده ها؛

در مورد افزونگی صوتی، تصویری یا اطلاعات متن از موقعیت ویژگی های روانشناختی فیزیولوژیکی ادراک انسان.

طبقه بندی روش های Seganography کامپیوتر در شکل 15 نشان داده شده است. مشخصه مقایسهای آنها در جدول 4 نشان داده شده است.

بزرگترین توسعه و برنامه در حال حاضر روش های پنهان کردن اطلاعات را در stegrotainers گرافیک پیدا می کند. این به دلیل مقدار نسبتا زیادی از اطلاعات است که می تواند در چنین ظروف بدون اعوجاج تصویر قابل توجه، حضور یک اطلاعات پیشین در مورد اندازه ظرف، وجود در اکثر تصاویر واقعی از مناطق بافتی دارای ساختار نویز و خوب است نامناسب برای جاسازی اطلاعات، روش های در حال توسعه پردازش تصویر دیجیتال و روش های دیجیتال ارائه تصویر. در حال حاضر، تعدادی از محصولات نرم افزاری تجاری و رایگان موجود برای کاربر معمولی وجود دارد که روش های شناخته شده Seganographic را از پنهان کردن اطلاعات استفاده می کنند. در عین حال، کاندیدان گرافیک و صوتی عمدتا مورد استفاده قرار می گیرند.

شکل 15. طبقه بندی روش های تبدیل اطلاعات استگانگرافی (SP)

جدول 4

ویژگی های مقایسه ای از روش های تبدیل اطلاعات سازماندهی اطلاعات

روش Steganographic	روش مشخصه کوتاه	معایب	فواید
روش های پنهان کردن اطلاعات در محرمانهای صوتی
	بر اساس ضبط پیام به کوچکترین بیت های قابل توجه سیگنال منبع. به عنوان یک ظرف استفاده می شود، به عنوان یک قاعده، یک سیگنال صوتی غیر فشرده	انتقال پیام اسرارآمیز کم. مقاومت کم تحریف فقط برای فرمت های فایل صوتی خاص استفاده می شود.
روش پنهان سازی بر اساس توزیع طیف	بر اساس نسل سر و صدا شبه تصادفی، که عملکرد پیام معرفی شده است، و صدای حاصل را به مخزن سیگنالینگ اصلی به عنوان یک جزء افزودنی مخلوط کنید. جریان های اطلاعاتی کدگذاری شده توسط داده های طیف داده های پراکنده
روش Calfaction بر اساس استفاده از سیگنال اکو	بر اساس استفاده از سیگنال صوتی خود، بازداشت شده برای دوره های مختلف زمان بسته به پیام اجرا شده ("مرکز شهر")	ضریب استفاده از کانتینر کم. هزینه های محاسباتی قابل توجه	پیامهای خفیف پیشین
روش Calfaction در فاز سیگنال	بر اساس واقعیت عدم حساسیت گوش انسان به ارزش مطلق فاز هارمونیک. سیگنال صوتی به ترتیب توالی تقسیم می شود، پیام با تغییر فاز اول بخش تعبیه شده است	ضریب استفاده از ظرف کوچک	این تظاهرات بسیار بالایی نسبت به روش های پنهان در NBB دارد
روش های پنهان کردن اطلاعات در ظروف متن
روش پنهانی Sonic مبتنی بر	بر اساس فضا در انتهای خطوط، پس از نشانه های نقطه گذاری، بین کلمات در هنگام هماهنگ کردن طول رشته ها	روش ها به انتقال متن از یک فرمت به دیگری حساس هستند. از دست دادن ارتباطات ممکن است. محرمانه کم	پهنای باند بسیار بزرگ
روش Calfaction بر اساس ویژگی های نحوی متن	این بر اساس این واقعیت است که قوانین نشانه گذاری اجازه می دهد برای ابهامات در هنگام هماهنگ کردن علائم نقطه گذاری	پهنای باند بسیار کم. تکمیل تشخیص پیام	یک فرصت بالقوه برای انتخاب این روش وجود دارد که در آن روش های بسیار پیچیده ای برای افشای پیام مورد نیاز است.
روش پنهانی مترادف مبتنی بر	بر اساس قرار دادن اطلاعات به متن با استفاده از متناوب کلمات از هر گروه مترادف	با توجه به انواع مختلف سایه ها در مترادف های مختلف، در ارتباط با زبان روسی پیچیده شده است	یکی از روش های امیدوار کننده ترین. پست نسبتا بالا پست دارد
روش Calfaction بر اساس استفاده از خطا	این بر اساس ماسک از بیت های اطلاعاتی تحت خطاهای طبیعی، اشتباهات، نقض قوانین برای نوشتن ترکیبات واکه ها و هماهنگ ها، جایگزینی سیریلیک به مشابه در ظاهر نامه های لاتین و غیره است.	پهنای باند کم. به سرعت با تجزیه و تحلیل آماری نشان داد	بسیار آسان برای استفاده. هنگام تجزیه و تحلیل مرد، محرمانه است
روش مبتنی بر تولید کلستکتک	بر اساس نسل یک ظرف متن با استفاده از مجموعه ای از پیشنهادات برای قوانین. رمزنگاری متقارن استفاده می شود	پهنای باند کم. بی نظمی از متن ایجاد شده	محرمانه با روش های رمزنگاری تعیین می شود و به عنوان یک قانون کاملا بالا است
روش پنهان بر اساس استفاده از ویژگی های فونت	بر اساس اطلاعات وارد شده به دلیل تغییرات در نوع فونت و اندازه نامه، و همچنین امکان تعبیه اطلاعات در بلوک های ناشناخته برای شناسه های مرورگر	هنگامی که مقیاس سند تبدیل می شود، به راحتی تشخیص داده می شود، با stewardy آماری	ضریب بالا استفاده از ظرف
روش Calfaction بر اساس استفاده از کد سند و فایل	بر اساس ارسال اطلاعات در زمینه های رزرو شده و استفاده نشده از طول متغیر	محرمانه کم با فرمت فایل شناخته شده	آسان برای استفاده
روش Calfaction بر اساس استفاده از اصطلاحات	بر اساس تغییر کلمات	پهنای باند کم. Nerco تخصصی محرمانه کم	آسان برای استفاده
روش Calfaction بر اساس استفاده از متناوب کلمات	بر اساس نسل متن - ظرف با تشکیل کلمات یک طول مشخص با توجه به قانون برنامه نویسی شناخته شده	پیچیدگی تشکیل ظرف و پیام	هنگام تجزیه و تحلیل مرد، محرمانه است
روش Calfaction بر اساس استفاده از نامه های اول	بر اساس معرفی پیام در حروف اول از کلمات متن با انتخاب کلمات	پیچیدگی تدوین پیام. پیام کم محرمانه	آزادی بیشتری را برای انتخاب یک اپراتور اختراع یک پیام می دهد
روش های پنهان کردن اطلاعات در ظروف گرافیک
روش پنهان شدن در کوچکترین بیت های مهم	بر اساس ارسال پیام به کوچکترین بیت های قابل توجه تصویر اصلی	انتقال پیام اسرارآمیز کم. مقاومت کم تحریف	ظرفیت کانتینر به اندازه کافی بالا (تا 25٪)
روش Calfaction بر اساس اصلاح فرمت ارسال شاخص	بر اساس کاهش (جایگزینی) پالت رنگ و مرتب سازی رنگ در پیکسل با تعداد مجاور	این به طور عمده به تصاویر فشرده استفاده می شود. پست کم قدرت انتقال	ظرفیت کانتینر بازدارنده بالا
روش Calfaction بر اساس استفاده از عملکرد خودکار سازمانی	بر اساس جستجو با استفاده از عملکرد خودکار همبستگی مناطق حاوی داده های مشابه	مجتمع تکمیل	مقاومت به بیشتر تحولات ظروف غیر خطی
روش Calfaction بر اساس استفاده از مدولاسیون غیر خطی یک پیام جاسازی شده	بر اساس مدولاسیون سیگنال شبه تصادفی به سیگنال حاوی اطلاعات پنهان
روش Calfaction بر اساس استفاده از مدولاسیون نمادین پیام جاسازی شده	بر اساس مدولاسیون سیگنال شبه تصادفی توسط یک سیگنال دو قطبی حاوی اطلاعات پنهان	دقت تشخیص کم. تحریفات	پیام اسرارآمیز به اندازه کافی بالا
روش پنهان سازی مبتنی بر موجک	بر اساس ویژگی های تحولات موجک	مجتمع تکمیل	ترشح
روش Calfaction بر اساس استفاده از تحول گسسته کوزین	بر اساس ویژگی های تبدیل کوزین گسسته	محاسبه کامل	ترشح

در کانال های اطلاعاتی غیر متعارف بر اساس دستکاری ویژگی های مختلف منابع CDN، برای انتقال برخی از منابع به اشتراک گذاشته شده استفاده می شود. در عین حال، در کانال ها با استفاده از ویژگی های زمان، مدولاسیون زمان اشتغال یک منبع مشترک (به عنوان مثال، مدولاسیون زمان اشتغال پردازنده، برنامه های کاربردی می توانند داده ها را مبادله کنند).

در کانال های حافظه، منبع به عنوان یک بافر متوسط \u200b\u200bاستفاده می شود (به عنوان مثال، برنامه های کاربردی می توانند داده ها را با قرار دادن آنها در نام ها مبادله کنند فایل های ایجاد شده و دایرکتوری) در کانال های پایگاه های داده و وابستگی های دانش استفاده از داده ها بین داده هایی که رخ می دهد پایه های ارتباطی داده ها و دانش

کانال های اطلاعاتی غیر سنتی را می توان در سطوح مختلف بیکار تشکیل داد:

در سطح سخت افزاری؛

در سطح میکروکودیدها و رانندگان دستگاه؛

در سطح سیستم عامل؛

در سطح نرم افزار کاربردی؛

در سطح عملکرد کانال های انتقال داده ها و خطوط ارتباطی.

این کانال ها را می توان برای انتقال پنهان اطلاعات کپی شده و دستورات مخفی برای اجرای اقدامات مخرب، راه اندازی برنامه های کاربردی و غیره استفاده کرد.

برای پیاده سازی کانال ها به عنوان یک قانون، لازم است که یک نرم افزار یا نرم افزار و سخت افزار را در یک سیستم خودکار اجرا کنید که باعث ایجاد یک کانال غیر سنتی می شود.

کانال اطلاعات غیر متعارف می تواند در سیستم به طور مداوم یا یک بار یا در شرایط مشخص شده فعال شود. در این مورد، وجود بازخورد با موضوع NSD امکان پذیر است.

5.7. ویژگی های کلی نتایج دسترسی غیر مجاز یا تصادفی

پیاده سازی تهدیدات NSD ها به اطلاعات می تواند به انواع زیر از نقض امنیتی خود منجر شود:

نقض محرمانه (کپی کردن، توزیع غیرقانونی)؛

ضعف یکپارچگی (تخریب، تغییر)؛

نقض در دسترس بودن (مسدود کردن).

اختلال حریم خصوصی را می توان در صورت نشت اطلاعات اجرا کرد:

کپی کردن آن به رسانه های بیگانه؛

انتقال آن از طریق کانال های داده؛

هنگام مشاهده یا کپی آن در طول تعمیر، اصلاح و دفع نرم افزار و سخت افزار؛

با "مونتاژ زباله" توسط ویروسی در طول عملیات CDN.

نقض یکپارچگی اطلاعات از طریق تاثیر (اصلاح) بر روی برنامه ها و داده های کاربر، و همچنین اطلاعات تکنولوژیکی (سیستم)، از جمله:

سیستم عامل، داده ها و رانندگان دستگاه های سیستم محاسبات؛

برنامه ها، اطلاعات و دستگاه های رانندگان که سیستم عامل سیستم عامل را ارائه می دهند؛

برنامه ها و داده ها (توصیفگرها، توصیفگرها، سازه ها، جداول، و غیره) از سیستم عامل؛

برنامه ها و اطلاعات نرم افزار نرم افزار؛

برنامه های ویژه نرم افزار و داده ها؛

مقادیر متوسط \u200b\u200b(عملیاتی) برنامه ها و داده ها در فرآیند پردازش (خواندن / نوشتن، دریافت / انتقال) با استفاده از ابزار و دستگاه های محاسبات.

نقض یکپارچگی اطلاعات به CPF همچنین ممکن است ناشی از معرفی یک برنامه مخرب و برنامه سخت افزاری یا تاثیر بر سیستم امنیتی اطلاعات یا عناصر آن باشد.

علاوه بر این، ممکن است بر اطلاعات شبکه های تکنولوژیکی تأثیر بگذارد، که می تواند عملکرد ابزار مختلف کنترل شبکه محاسبات را تضمین کند:

تنظیمات شبکه؛

آدرس ها و انتقال اطلاعات مسیر در شبکه؛

کنترل شبکه عملکردی؛

امنیت اطلاعات در شبکه.

نقض موجود بودن اطلاعات توسط شکل گیری (اصلاح) داده های منبع ارائه می شود، که هنگام پردازش باعث عملیات نادرست، خرابی های تجهیزات یا ضبط (بارگیری) از منابع محاسباتی سیستم که برای انجام برنامه ها و عملیات تجهیزات مورد نیاز است.

این اقدامات می تواند منجر به نقض یا شکست عملکرد تقریبا هر وسیله فنی CADN شود:

پردازش اطلاعات؛

اطلاعات I / O اطلاعات؛

رسانه ذخیره سازی اطلاعات؛

تجهیزات و کانال های انتقال؛

ابزارهای امنیتی اطلاعات.

لازم است برای نویسندگان ویروس و وظیفه مجرمان سایبری، معرفی یک ویروس، کرم یا تروجان برنامه در یک کامپیوتر فداکاری یا تلفن همراه. این هدف به روش های مختلفی به دست می آید که به دو دسته اصلی تقسیم می شوند:

• مهندسی اجتماعی (همچنین از اصطلاح "مهندسی اجتماعی" استفاده کرد - ردیابی با انگلیسی "مهندسی اجتماعی")؛
• تکنیک های فنی برای معرفی کد مخرب به یک سیستم آلوده بدون دانش کاربر.

اغلب این روش ها به طور همزمان استفاده می شود. در عین حال، اقدامات ویژه ای برای مقابله با برنامه های ضد ویروس استفاده می شود.

مهندسی اجتماعی

روش های مهندسی اجتماعی در یک راه یا دیگر، کاربر را اجرا می کند فایل آلوده را اجرا می کند یا لینک را به وب سایت آلوده باز می کند. این روش ها نه تنها توسط کرم های متعدد متعدد، بلکه همچنین با سایر انواع نرم افزارهای مخرب نیز اعمال می شود.

وظیفه هکرها و نویسندگان ویروس - برای جذب توجه کاربر به فایل آلوده (یا لینک HTTP به فایل آلوده)، علاقه به کاربر، آن را بر روی فایل (یا در لینک به فایل) کلیک کنید. "کلاسیک از این ژانر" Loveletter Postwall در ماه مه سال 2000، هنوز هم حفظ رهبری در مقیاس آسیب های مالی ناشی از داده های اقتصاد است. پیامی که کرم روی صفحه نمایش داده شد، به نظر می رسید:

به رسمیت شناختن "من عاشق تو" خیلی زیاد واکنش نشان دادم، و به عنوان یک نتیجه، سرورهای ایمیل شرکت های بزرگ نمی توانستند بارها مقاومت کنند - کرم نسخه های خود را در همه مخاطبین از کتاب آدرس ارسال هر بار که فایل VBS سرمایه گذاری شده باز شد.

کرم پست MyDoom، "عجله" در اینترنت در ژانویه 2004، متون مورد استفاده را شبیه سازی پیام های فنی سرور ایمیل.

همچنین لازم به ذکر است که کرم سوئن، که خود را برای پیام از مایکروسافت صادر کرده است و تحت پچ قرار گرفته است که تعدادی از آسیب پذیری های جدید را در ویندوز حذف می کند (تعجب آور نیست که بسیاری از کاربران به تنظیم "بخش بعدی مایکروسافت" .

همچنین مواردی وجود دارد که یکی از آنها در نوامبر 2005 رخ داده است. در یکی از نسخه های کرم آرام، گزارش شده است که پلیس جنایی آلمان در مورد بازدید از وب سایت های غیرقانونی تحقیق می کند. این نامه به طرفداران پورنوگرافی کودک افتاد، که آن را برای نامه رسمی گرفت و به شدت به مقامات تسلیم شد.

به تازگی، محبوبیت در نامه سرمایه گذاری شده در نامه ساخته نشده است، اما پیوندهایی به فایل های واقع در سایت آلوده شده است. این پیام به قربانی بالقوه - پستی ارسال می شود، از طریق ICQ یا یکی دیگر از پیجر، کمتر - از طریق IRC اینترنت چت های اینترنتی (در مورد ویروس های تلفن همراه، یک پیام SMS در روش تحویل معمول استفاده می شود) ارسال می شود. این پیام شامل هر متن جذاب است که باعث می شود کاربر unsuspecting بر روی لینک کلیک کنید. این روش نفوذ در رایانه های فداکاری امروز محبوب ترین و موثر ترین است، زیرا اجازه می دهد تا شما را به دور زدن فیلتر های ضد ویروس هوشیار در سرورهای ایمیل.

امکانات شبکه های به اشتراک گذاری فایل (شبکه P2P) نیز استفاده می شود. کرم یا برنامه تروجان در شبکه P2P تحت انواع "نام های خوشمزه" قرار گرفته است، به عنوان مثال:

• AIM & AOL Password Hacker.exe
• Microsoft CD کلید Generator.exe
• pornstar3d.exe.
• ایستگاه بازی شبیه ساز Crack.exe

در جستجوی برنامه های جدید، کاربران شبکه های P2P به این نام ها متصل می شوند، فایل ها را دانلود کرده و آنها را اجرا می کنند تا اجرا شوند.

همچنین "سیم کشی" محبوب، زمانی که قربانی یک ابزار رایگان یا دستورالعمل های رایگان برای هک کردن مختلف را اعمال می کند سیستم های پرداخت. به عنوان مثال، پیشنهاد دریافت دسترسی به اینترنت رایگان یا اپراتور سلولی، دانلود ژنراتور شماره کارت اعتباری، مقدار پول را در یک کیف پول شخصی شخصی و غیره افزایش دهید. به طور طبیعی، قربانیان چنین تقلب بعید به نظر می رسد که به سازمان های اجرای قانون بروند (پس از همه، در واقع، خودشان سعی کردند راهی جعلی کسب کنند) و مجرمان اینترنتی توسط این استفاده می شود.

راه غیر معمول "سیم کشی" از مهاجم ناشناخته از روسیه در سال های 2005 تا 2006 استفاده کرد. برنامه تروجان به آدرس های موجود در وب سایت Job.ru متخصص در استخدام و جستجوی پرسنل ارسال شد. برخی از کسانی که رزومه خود را منتشر کردند، پیشنهاد ادعایی برای کار با پرونده ای که در یک نامه سرمایه گذاری شده اند، دریافت کرد که پیشنهاد کرد تا خود را باز و آشنا کند. فایل، البته، برنامه تروجان بود. همچنین جالب است که این حمله عمدتا بر روی آدرس های پستی شرکت انجام شده است. محاسبه، ظاهرا، بر این واقعیت ساخته شده است که کارکنان شرکت ها بعید به عنوان منبع عفونت گزارش شده اند. بنابراین این اتفاق افتاد - متخصصان آزمایشگاه کسپرسکی برای بیش از شش ماه نمیتوانند اطلاعات قابل فهم در مورد روش نفوذ برنامه تروجان در رایانه های کاربران دریافت کنند.

به عنوان مثال، یک نامه با یک سند سرمایه گذاری شده نیز وجود دارد، که در آن مشتری بانک خواسته شده است تا کد های دسترسی خود را تأیید کند (یا نه - به جای آن) - سند را چاپ کنید، فرم پیوست را پر کنید و سپس آن را ارسال کنید توسط فکس به شماره تلفن مشخص شده در نامه.

یکی دیگر از موارد تحویل غیر معمول برنامه جاسوسی "به خانه" در ژاپن در پاییز سال 2005 رخ داده است. برخی از مهاجمان به CDS را با جاسوسی تروجان به آدرس های خانگی (شهر، خیابان، خانه) از مشتریان یکی از بانک های ژاپنی فرستادند. در عین حال، اطلاعات از یک پایگاه مشتری پیش از سرقت شده از این بانک استفاده شد.

پیاده سازی فناوری

این فن آوری ها توسط مزاحمان استفاده می شود تا کد مخرب را در سیستم پیاده سازی کند، محرمانه است و توجه صاحب کامپیوتر را جلب نمی کند. از طریق آسیب پذیری ها در سیستم امنیتی سیستم های عامل و نرم افزار انجام می شود. حضور آسیب پذیری ها اجازه می دهد یک کرم شبکه کرم ساخته شده کرم یا یک برنامه تروجان برای نفوذ به قربانی و به طور مستقل خود را راه اندازی.

آسیب پذیری ها اساسا خطاهای در کد یا منطق کار برنامه های مختلف هستند. سیستم عامل های مدرن و برنامه های کاربردی دارای یک ساختار پیچیده و قابلیت های گسترده هستند و به سادگی غیرممکن است که از خطاهای طراحی و توسعه آنها جلوگیری شود. این توسط ویروس ها و مزاحمان های کامپیوتری استفاده می شود.

آسیب پذیری ها در مشتریان Outlook Postal از کرم های پستی Nimda و Aliz استفاده کردند. به منظور شروع فایل کرم، آن را به اندازه کافی برای باز کردن یک نامه آلوده و یا به سادگی برای آوردن مکان نما بر روی آن در پنجره پیش نمایش بود.

همچنین برنامه های مخرب فعالانه از آسیب پذیری ها در اجزای شبکه سیستم عامل استفاده می کنند. برای توزیع آن، کرم های برنامه نویسی، Sasser، Slammer، Lovesan (Blaster) و بسیاری از کرم های دیگر تحت ویندوز از چنین آسیب پذیری ها استفاده می شود. تحت ضربه و سیستم های لینوکس - کرم ها Ramen و Slapper از طریق آسیب پذیری ها در این محیط عملیاتی و برنامه های کاربردی برای آن نفوذ کرده اند.

در سال های اخیر یکی از محبوب ترین روش های عفونت، معرفی کد مخرب از طریق صفحات وب است. اغلب از آسیب پذیری ها در مرورگرهای اینترنتی استفاده می شود. صفحه وب در برنامه پیشرفته فایل و اسکریپت قرار می گیرد که از آسیب پذیری در مرورگر استفاده می کند. هنگامی که کاربر به صفحه آلوده وارد می شود، برنامه اسکریپت باعث می شود که آسیب پذیری فایل آلوده را به کامپیوتر دانلود کند و آن را برای اعدام اجرا کند. به عنوان یک نتیجه، برای آلوده کردن تعداد زیادی از رایانه ها، به اندازه کافی از کاربران به این صفحه وب استفاده می شود. این به روش های مختلف به دست می آید، به عنوان مثال، ارسال هرزنامه با آدرس صفحه، ارسال پیام های مشابه از طریق پیکرهای اینترنتی، گاهی اوقات حتی موتورهای جستجو برای این استفاده می شود. در صفحه آلوده یک متن متنوع وجود دارد که زودتر یا دیر شده توسط موتورهای جستجو بررسی می شود - و لینک به این صفحه در لیست صفحات دیگر در نتایج جستجو است.

یک کلاس جداگانه برنامه های تروجان است که برای دانلود و راه اندازی سایر برنامه های تروجان طراحی شده اند. معمولا این تروجان ها که دارای اندازه بسیار کوچک هستند، به عنوان مثال، یک راه دیگر (به عنوان مثال، با استفاده از آسیب پذیری بعدی در سیستم) "مناسب" در کامپیوتر فداکاری، و سپس به طور مستقل از اینترنت خارج می شوند و سایر اجزای مخرب را به طور مستقل از بین می برند سیستم. اغلب چنین تروجان تنظیمات مرورگر را به ناامن ترین را تغییر می دهد تا "تسهیل جاده" را به تروجان های دیگر تسهیل کند.

آسیب پذیری هایی که شناخته شده اند کاملا به سرعت توسط توسعه دهندگان اصلاح می شوند، اما اطلاعات مربوط به آسیب پذیری های جدید به طور مداوم ظاهر می شود، که بلافاصله شروع به استفاده از هکرها و ویروس های متعدد می شود. بسیاری از تروجان "رباتها" از آسیب پذیری های جدید برای افزایش تعداد آنها استفاده می کنند و خطاهای جدیدی در مایکروسافت آفیس بلافاصله شروع به معرفی برنامه های منظم تروجان به رایانه ها می شود. در عین حال، متاسفانه، تمایل به کاهش شکاف موقت بین ظهور اطلاعات در مورد آسیب پذیری بعدی و آغاز استفاده از کرم ها و تروجان ها وجود دارد. در نتیجه، تولید کنندگان نرم افزار آسیب پذیر و توسعه دهندگان برنامه های آنتی ویروس در وضعیت ZEIETIC قرار دارند. اولین بار باید در اسرع وقت ثابت شود، نتیجه را آزمایش کنید (معمولا به نام "پچ"، "پچ") و ارسال آن به کاربران، و دوم این است که بلافاصله ابزار تشخیص و مسدود کردن اشیاء (فایل ها، بسته های شبکه) را آزاد کنید استفاده از آسیب پذیری

استفاده همزمان از فن آوری های پیاده سازی و روش های مهندسی اجتماعی

اغلب، مزاحمان های کامپیوتری در هر دو روش استفاده می شوند. روش مهندسی اجتماعی این است که توجه یک قربانی بالقوه و فنی را جذب کند تا احتمال نفوذ شیء آلوده را به سیستم افزایش دهد.

به عنوان مثال، کرم پستی Mimail به عنوان یک جاسازی در یک ایمیل گسترش یافت. به منظور اینکه کاربر به این نامه توجه کند، یک متن مخصوص تزئین شده به آن وارد می شود و برای شروع یک کپی از کرم از بایگانی ZIP متصل به نامه - آسیب پذیری در مرورگر اینترنت اکسپلورر به عنوان یک نتیجه، هنگام باز کردن یک فایل از آرشیو، کرم یک کپی را روی دیسک ایجاد کرد و آن را بدون هیچ گونه هشدارهای سیستم یا اقدامات اضافی کاربر اجرا کرد. به هر حال، این کرم یکی از اولین، در نظر گرفته شده برای سرقت بود اطلاعات شخصی اینترنت کیف پول کاربران الکترونیکی سیستم طلا.

مثال دیگری، ارسال اسپم با "سلام" و متن "ببینید که آنها درباره شما چه می نویسند". متن پیوند را به یک صفحه وب خاص دنبال کرد. هنگامی که تجزیه و تحلیل شد، معلوم شد که این صفحه وب شامل یک برنامه اسکریپت است که با استفاده از آسیب پذیری دیگری در اینترنت اکسپلورر، برنامه LDPinch Trojan را به کاربر بارگذاری می کند که برای سرقت گذرواژه های مختلف طراحی شده است.

مقابله با برنامه های آنتی ویروس

از آنجایی که هدف از مزاحمان های کامپیوتری، معرفی کد مخرب در رایانه های قربانی است، پس برای این کار آنها نه تنها باید کاربر را مجبور به شروع یک فایل آلوده و یا وارد سیستم از طریق هر گونه آسیب پذیری، بلکه از طریق فیلتر آنتی ویروس نصب شده نیز به طور قابل توجهی لغزش را لغو کند. بنابراین، تعجب آور نیست که مهاجمان هدفمند مبارزه با برنامه های آنتی ویروس هستند. تکنیک های فنی مورد استفاده بسیار متنوع هستند، اما اغلب موارد زیر یافت می شوند:

کد بسته بندی و رمزگذاری بخش قابل توجهی (اگر نه بیشتر) از کرم های کامپیوتری مدرن و برنامه های تروجان بسته بندی شده یا رمزگذاری شده در یک یا چند راه دیگر. علاوه بر این، کامپیوتر زیرزمینی به طور خاص برای این بسته بندی و نرم افزارهای رمزگذاری طراحی شده است. به عنوان مثال، مخرب معلوم شد که کاملا تمام فایل های تحت درمان با Cryptexe، Exeref، PolyCrypt Utilities و برخی دیگر.

برای شناسایی چنین کرم ها و تروجان ها، برنامه های ضد ویروس باید روش های جدید باز کردن و رمزگشایی را اضافه کنند یا امضا را برای هر نمونه از یک برنامه مخرب اضافه کنند که کیفیت تشخیص را کاهش می دهد، زیرا تمام نمونه های کد اصلاح شده در دست هستند از شرکت ضد ویروس.

جهش کد رقیق کردن دستورالعمل تروجان "سطل زباله". در نتیجه، توابع برنامه تروجان باقی می ماند، اما به طور قابل توجهی تغییر می کند " ظاهر" موارد به صورت دوره ای رخ می دهد زمانی که جهش کد در زمان واقعی رخ می دهد - با هر بار دانلود از برنامه تروجان از وب سایت آلوده. کسانی که. همه یا بخش قابل توجهی از نمونه های تروجان از این سایت متفاوت است. یک نمونه از کاربرد این تکنولوژی، کرم پست الکترونیکی Warezov است، نسخه های متعددی از آن در نیمه دوم سال 2006، اپیدمی های مهم را ایجاد کرد.

پنهان کردن حضور آن. به اصطلاح "فن آوری های rootkit" (از "rootkit انگلیسی")، معمولا در برنامه های تروجان استفاده می شود. ردگیری و جایگزینی توابع سیستم انجام می شود، به این ترتیب که فایل آلوده قابل مشاهده نیست، نه به طور منظم از سیستم عامل و نه برنامه های آنتی ویروس. گاهی اوقات شاخه های رجیستری نیز پنهان شده اند که در آن یک کپی از تروجان و دیگر مناطق سیستم کامپیوتری ثبت می شود. این فن آوری ها به طور فعال استفاده می شود، به عنوان مثال، Trojan-Backdoor Hacdef.

متوقف کردن کار آنتی ویروس و سیستم برای به دست آوردن به روز رسانی پایگاه های آنتی ویروس (به روز رسانی). بسیاری از برنامه های تروجان و کرم های شبکه اقدامات ویژه ای را علیه برنامه های ضد ویروس انجام می دهند - به دنبال آنها در لیست برنامه های فعال هستند و سعی کنید کار خود را متوقف کنید، پایگاه های داده های آنتی ویروس را خراب کنید، دریافت به روز رسانی ها را مسدود کنید و غیره برنامه های آنتی ویروس باید خود را با روش های کافی محافظت کنند - نظارت بر یکپارچگی پایگاه های داده، مخفی کردن فرآیندهای خود را از تروجان ها و غیره

پنهان کردن کد خود را در وب سایت ها. آدرس صفحات وب که در آن فایل های تروجان حضور دارند، دیر یا زود، شرکت های آنتی ویروس شناخته می شوند. به طور طبیعی، چنین صفحاتی تحت توجه دقیق تحلیلگران ضد ویروس قرار می گیرند - محتویات صفحه به صورت دوره ای بارگیری می شود، نسخه های جدید برنامه های تروجان ثبت می شوند به روز رسانی آنتی ویروس. برای مقابله با این، صفحه وب به روش خاصی تغییر می کند - اگر درخواست از آدرس شرکت ضد ویروس می رود، پس از آن برخی از فایل های هسته ای به جای تروجان دانلود می شود.

مقدار حمله تولید و توزیع در اینترنت تعداد زیادی نسخه های جدید برنامه های تروجان در یک دوره کوتاه مدت. به عنوان یک نتیجه، شرکت های ضد ویروس با نمونه های جدید "Risen" هستند، که نیاز به زمان برای تجزیه و تحلیل زمان، که یک کد قابل پیوست را فرصتی اضافی برای معرفی موفقیت آمیز به کامپیوتر می دهد.

این و سایر روش ها توسط کامپیوتر زیرزمینی برای مقابله با برنامه های آنتی ویروس مورد استفاده قرار می گیرند. در عین حال، فعالیت های مجرمان سایبری سال پس از سال رشد می کند و اکنون می توانیم درباره "Technologies Race" کنونی صحبت کنیم، که بین صنعت ضد ویروس و صنعت ویروسی تبدیل شده است. در عین حال، تعداد هکرها و گروه های جنایتکار، و همچنین حرفه ای بودن آنها، در حال رشد است. این همه با هم به شدت پیچیدگی و میزان کار لازم برای شرکت های آنتی ویروس را برای توسعه سطوح کافی افزایش می دهد.

تاثیر نرم افزار-ریاضی تاثیر می گذارد با کمک برنامه های مخرب. این برنامه با عواقب بالقوه خطرناک یا برنامه مخرب، برخی از برنامه های مستقل (مجموعه ای از دستورالعمل ها) نامیده می شود، که قادر به انجام هر زیرمجموعه غیر خالی از توابع زیر است: · پنهان کردن نشانه های حضور آن در Midcomptees نرم افزار؛ \u200b\u200b· توانایی داشته باشید به تنظیم خود، خودتان را با برنامه های مستقیم و (یا) انتقال قطعات خود را به سایر نقاط حافظه عملیاتی یا خارجی مرتبط کنید؛ · برای از بین بردن (تحریف یک کد دلخواه) برنامه های حافظه پروتیک؛ · انجام بدون شروع از کاربر (برنامه کاربر در حالت اجرای استاندارد) توابع مخرب (کپی، تخریب، مسدود کردن، و غیره)؛ · صرفه جویی در قطعات اطلاعات از RAM در پلورهای حافظه خارجی از دسترسی مناسب (محلی یا رها شده)؛ · تحریف یک شیوه دلخواه، بلوک و (یا) بدون تغییر به حافظه بیرونی و یا در کانال ارتباطی، مجموعه ای از اطلاعات به عنوان یک نتیجه از برنامه های کاربردی، و یا در حال حاضر در حافظه خارجی آرایه داده ها قرار گرفته است.

برنامه های مخرب را می توان به طور عمدی و به طور تصادفی در نرم افزار مورد استفاده در طراحی، در روند توسعه، همراه، تغییرات و تنظیمات آن ساخته شده است. علاوه بر این، بدافزار را می توان در طول عملیات CDN از رسانه های خارجی یا با تعامل شبکه هر دو به عنوان یک نتیجه از NSD ها و توسط کاربران تصادفی CAD ساخته شده است.

برنامه های مخرب مدرن مبتنی بر استفاده از آسیب پذیری های مختلف نرم افزار (سیستماتیک، عمومی، کاربردی) و فن آوری های مختلف شبکه هستند، دارای طیف گسترده ای از قابلیت های مخرب (از مطالعه غیر مجاز پارامترهای PDN بدون دخالت در عملکرد CDN، قبل از تخریب PDN ها و نرم افزار CDN) و ممکن است در تمام انواع نرم افزار (سیستم، اعمال شده، در رانندگان سخت افزاری، و غیره) عمل کند.

حضور برنامه های مخرب ممکن است به وقوع پنهان، از جمله کانال های دسترسی غیر سنتی به اطلاعاتی کمک کند که به شما امکان باز کردن، دور زدن یا مسدود کردن مکانیسم های حفاظتی ارائه شده در سیستم، از جمله رمز عبور و حفاظت رمزنگاری کمک می کند.

انواع اصلی برنامه های مخرب عبارتند از:

· بوک مارک های نرم افزار؛

· ویروس های نرم افزار کلاسیک (کامپیوتر)؛

· برنامه های مخرب که از طریق شبکه پخش می شوند (کرم های شبکه)؛

· برنامه های مخرب دیگر در نظر گرفته شده برای اجرای NSD.

بوک مارک های نرم افزاری شامل برنامه ها، قطعات کد، دستورالعمل هایی هستند که قابلیت های نرم افزاری غیر رسمی را تشکیل می دهند. به عنوان مثال، برنامه های مخرب می توانند از یک گونه به دیگری حرکت کنند، به عنوان مثال، یک لایه بندی نرم افزاری می تواند یک ویروس نرم افزاری تولید کند که به نوبه خود به شرایط شبکه متصل می شود، می تواند یک کرم شبکه یا برنامه های مخرب دیگر طراحی شده برای اجرای NSD را تشکیل دهد.

شرح مختصری از برنامه های مخرب اصلی به موارد زیر کاهش می یابد. ویروس های بوت شدن خود را به بخش بوت دیسک (بخش بوت) یا در بخش حاوی رکورد اصلی بوت) بنویسید یا اشاره گر را به بخش بوت فعال تغییر دهید. آنها هنگام بارگیری از یک دیسک آلوده به حافظه کامپیوتر معرفی می شوند. در این مورد، سیستم عامل Loader محتویات بخش اول دیسک را می خواند که از آن دانلود شده است، اطلاعات خواندن را به حافظه و انتقال به آن (I.E.، ویروس) کنترل می کند. پس از آن، دستورالعمل های ویروس آغاز می شود، که به عنوان یک قاعده، مقدار حافظه آزاد را کاهش می دهد، کد آن را به محل خالی کپی می کند و ادامه آن را از دیسک می خواند (اگر وجود داشته باشد)، بردار وقفه لازم را (معمولا int 13h)، بخش اصلی بوت حافظه را می خواند و کنترل آن را انتقال می دهد.

در آینده، ویروس بوت به همان شیوه رفتار می کند: دسترسی سیستم عامل را به دیسک ها متصل می کند و آنها را آلوده می کند، بسته به شرایط برخی از شرایطی که اقدامات مخرب را ایجاد می کند، باعث جلوه های صوتی یا جلوه های ویدئویی می شود.

اقدامات اصلی مخرب انجام شده توسط این ویروس ها عبارتند از:

· تخریب اطلاعات در بخش فلاپی دیسک و هارد دیسک؛

· امکان بارگیری سیستم عامل را حذف کنید (کامپیوتر "فریزر")؛

· اعوجاج کد لودر؛

· قالب بندی دیسک یا دیسک های منطقی هارد دیسک؛

· بسته شدن دسترسی به پورت COM و LPT؛

· جایگزینی نمادها هنگام چاپ متون؛

· چرخش صفحه نمایش؛

· برچسب دیسک یا فلاپی دیسک را تغییر دهید؛

· ایجاد خوشه های شبه آزاد؛

· ایجاد صدا و (یا) جلوه های بصری (به عنوان مثال، قطره
حروف روی صفحه نمایش)؛

· فایل های داده بیمار؛

· پیام های مختلف را نمایش می دهد؛

· جدا کردن دستگاه های محیطی (به عنوان مثال، صفحه کلید)؛

· پالت صفحه را تغییر دهید

· صفحه را با پیشین یا تصاویر پر کنید

· بازپرداخت صفحه نمایش و ترجمه در حالت آماده به کار از صفحه کلید؛

· بخش های رمزنگاری هارد دیسک؛

· تخریب انتخابی شخصیت های نمایش داده شده بر روی صفحه نمایش هنگامی که از صفحه کلید تنظیم شده است؛

· کاهش RAM؛

· تغییر چاپ صفحه نمایش صفحه؛

· مسدود کردن سوابق بر روی دیسک؛

· جدا کردن جدول پارتیشن (جدول پارتیشن دیسک)، پس از آن، کامپیوتر را می توان تنها از فلاپی دیسک دانلود کرد.

· مسدود کردن شروع فایل های اجرایی؛

· مسدود کردن دسترسی به وینچستر.

مافوق

شکل 3. طبقه بندی ویروس های نرم افزاری و کرم های شبکه

بیشترین ویروس های قابل بوت شدن خود را بر روی دیسک های فلاپی بازنویسی می کنند.

روش عفونت رونویسی ساده ترین است: ویروس کد خود را به جای کد فایل آلوده ثبت می کند، محتوای آن را از بین می برد. به طور طبیعی، در حالی که فایل متوقف می شود و بازسازی نشده است. چنین ویروس ها بسیار سریع خود را تشخیص می دهند، زیرا سیستم عامل و برنامه های کاربردی بسیار سریع کار را متوقف می کند.

رده "همراه" شامل ویروس هایی است که فایل های آلوده را تغییر نمی دهند. الگوریتم کار این ویروس ها این است که یک فایل دوگانه برای فایل آلوده ایجاد شده است، و هنگامی که فایل آلوده آغاز می شود، کنترل این دوقلو را دریافت می کند، یعنی ویروس. رایج ترین ویروس های شرکت CompanyOn با استفاده از ویژگی DOS برای اولین بار فایل ها را با Extension.com اجرا کنید، اگر دو فایل با همان نام در یک دایرکتوری وجود داشته باشد، اما با نام های مختلف نام - .com i.exe. چنین ویروس ها فایل های ماهواره ای را برای فایل های EXE ایجاد می کنند که دارای همان نام هستند، اما با Extension.com، فایل xcopy.com برای فایل xcopy.exe ایجاد می شود. این ویروس در فایل COM ثبت شده است و فایل EXE را تغییر نمی دهد. هنگامی که شما چنین فایل DOS را شروع می کنید، اولین فایل COM را شناسایی و اجرا می کند، یعنی ویروس که پس از آن شروع خواهد شد و فایل EXE. گروه دوم باعث می شود ویروس هایی که هنگام آلوده شدن، فایل را به هر نام دیگری تغییر نام دهند، آن را به یاد داشته باشید (برای راه اندازی بعدی فایل میزبان) و کد خود را به دیسک تحت نام فایل آلوده بنویسید. به عنوان مثال، فایل xcopy.exe به xcopy.exd تغییر نام داده شده است، و ویروس تحت نام xcopy.exe نوشته شده است. هنگام شروع، کنترل کد ویروس را دریافت می کند، که سپس XCopy اصلی ذخیره شده زیر نام xcopy.exd را آغاز می کند. جالب این واقعیت است که این روش، ظاهرا در تمام سیستم های عامل کار می کند. گروه سوم شامل ویروس های به اصطلاح "Path-Companion" است. آنها یا کد خود را تحت نام فایل آلوده بنویسید، اما "بالا" یک سطح در مسیرهای پیشنهادی (DOS، بنابراین برای اولین بار اولین بار شناسایی و راه اندازی فایل ویروس)، و یا تحمل فایل فداکاری به یک زیر شاخه بالا، و غیره.

ممکن است وجود داشته باشد و سایر انواع ویروس های همراه با استفاده از سایر ایده های اصلی یا ویژگی های دیگر سیستم عامل ها وجود داشته باشد.

کرم های فایل (کرم ها)، به یک معنا، یک نوع از ویروس های Companyon هستند، اما به هیچ وجه حضور خود را با هر گونه فایل اعدام نمی کنند. در تولید مثل، آنها تنها کد خود را به هر کاتالوگ دیسک کپی می کنند، امیدوار است که این نسخه های جدید هرگز توسط کاربر اجرا شود. گاهی اوقات این ویروس ها نسخه های "ویژه" خود را برای فشار دادن کاربر برای راه اندازی نسخه های خود می دهند - به عنوان مثال، install.exe یا winstart.bat. به عنوان مثال، ویروس های Wormi وجود دارد که از تکنیک های نسبتا غیر معمول استفاده می کنند، به عنوان مثال، ضبط نسخه های خود را در آرشیو ها (ARJ، ZIP و دیگران) ضبط می کنند. برخی از ویروس ها راه اندازی یک فایل آلوده را در فایل های خفاش ثبت می کنند. ویروس های Chervi فایل را با کرم های شبکه اشتباه نگیرید. اولین بار تنها از توابع فایل هر سیستم عامل استفاده می شود، دوم در بازتولید آنها از پروتکل های شبکه استفاده می کند.

پیوند ویروس ها، مانند همراه با همراهان، محتوای فیزیکی فایل ها را تغییر ندهید، اما زمانی که فایل آلوده آغاز می شود، نرم افزار OS کد خود را اجرا می کند. این اهداف آنها به اصلاح فیلدهای سیستم لازم نیاز می رسند.

ویروس ها، آلوده کردن کتابخانه های کامپایلر، ماژول های شیء و متون منبع برنامه ها کاملا عجیب و غریب و عملا معمول نیستند. ویروس ها، آلوده کردن فایل های OBJ- و LIB، کد خود را در آنها در قالب ماژول Object یا کتابخانه بنویسید. بنابراین فایل آلوده انجام نمی شود و قادر به گسترش بیشتر ویروس در حالت فعلی خود نیست. حامل ویروس "زندگی" یک فایل com- یا exe می شود.

پس از دریافت کنترل، ویروس فایل اقدامات عمومی زیر را انجام می دهد:

· RAM را برای کپی و آلوده چک کنید

حافظه کامپیوتر اگر یک نسخه از ویروس یافت نشد (اگر ویروس یک ساکن باشد)، برای فایل های غیر مجاز در دایرکتوری فعلی و (یا) ریشه با اسکن دایرکتوری های دیسک منطقی جستجو می کند و سپس فایل های شناسایی شده را آلوده می کند؛

· انجام موارد اضافی (اگر هر) توابع: مخرب

اقدامات، جلوه های گرافیکی یا صدا، و غیره (توابع اضافی از ویروس Resident را می توان پس از یک زمان پس از فعال شدن، بسته به زمان فعلی، پیکربندی سیستم، شمارنده های ویروس داخلی و یا سایر شرایط، نامیده می شود، در این مورد ویروس زمانی که فعال سازی فرآیندهای وضعیت ساعت سیستم، آن را تنظیم می کند شمارنده ها، و غیره)؛

· بازگشت مدیریت برنامه اصلی (اگر آن است).

لازم به ذکر است که سریعتر ویروس گسترش یافته است، احتمال بیشتری رخ می دهد که وقوع اپیدمی این ویروس، کندتر از ویروس گسترش یافته است، سخت تر برای تشخیص آن (اگر، البته، این ویروس ناشناخته است). ویروس های غیر ساکن اغلب "آهسته" هستند - اکثر آنها با یک یا دو یا سه فایل آلوده به هنگام شروع و زمان برای شناور کردن کامپیوتر قبل از راه اندازی برنامه آنتی ویروس (یا ظاهر یک نسخه جدید از آنتی ویروس پیکربندی شده است به این ویروس). البته، البته، ویروس های غیر ساکن "سریع" وجود دارد که به دنبال آن هستند و همه فایلها را آلوده می کنند، اما این ویروس ها بسیار قابل توجه هستند: هنگامی که شما هر فایل آلوده را شروع می کنید، کامپیوتر دارای برخی از (گاهی اوقات به اندازه کافی طولانی) زمان فعالانه کار می کند با هارد دیسک، که ویروس را از بین می برد. سرعت توزیع (عفونت) در ویروس های ساکن معمولا بالاتر از غیر ساکن است - آنها فایل ها را با هر گونه تجدید نظر به آنها آلوده می کنند. به عنوان یک نتیجه، تمام فایل هایی که به طور مداوم در عمل استفاده می شود، بر روی دیسک آلوده می شوند. سرعت توزیع (عفونت) ویروس های پرونده ساکن فایل های آلوده به فایل ها تنها زمانی که آنها شروع به اجرای، کمتر از ویروس های آلوده به فایل ها و زمانی که آنها باز، تغییر نام، تغییر ویژگی های فایل، و غیره

بنابراین، اقدامات اصلی مخرب انجام شده توسط ویروس های فایل همراه با شکست فایل ها (اغلب اجرایی یا فایل های داده های داده شده)، راه اندازی غیر مجاز از دستورات مختلف (از جمله قالب بندی، تخریب، دستورات کپی، و غیره)، تغییر جدول از بردارهای وقفه و دکتر در همان زمان، بسیاری از اقدامات مخرب مشابه آنچه که برای ویروس های بوت نشان داده شده است می تواند انجام شود.

Macroviruses (ویروس های ماکرو) زبان ها هستند (ماکرو زبان) تعبیه شده در برخی از سیستم های پردازش داده (ویراستاران متن، صفحات گسترده، و غیره). برای تولید مثل آن، چنین ویروس ها از قابلیت های زبان های ماکرو استفاده می کنند و با کمک آنها از یک فایل آلوده (سند یا جدول) به دیگران انتقال می دهند. Macroviruses برای بسته نرم افزاری مایکروسافت آفیس رایج بود.

برای وجود ویروس ها در یک سیستم خاص (ویرایشگر)، لازم است که یک زبان ماکرو داخلی ساخته شده را با قابلیت های ایجاد کنید:

1) پیوند برنامه در زبان ماکرو به یک فایل خاص؛

2) کپی ماکروپروگرام از یک فایل به دیگری؛

3) به دست آوردن مدیریت برنامه ماکرو بدون مداخله کاربر (ماکروهای اتوماتیک یا استاندارد).

این شرایط با برنامه های کاربردی مایکروسافت ورد، اکسل و مایکروسافت راضی هستند. آنها حاوی ماکوماز هستند: کلمه اساسی، ویژوال بیسیک برای برنامه های کاربردی. که در آن:

1) ماکروگرام ها به یک فایل خاص وابسته هستند یا در داخل فایل قرار دارند؛

2) ماکرو زبان اجازه می دهد تا شما را به کپی فایل ها و یا حرکت ماکروپروگرام به فایل های خدمات سیستم و فایل های قابل ویرایش؛

3) هنگام کار با یک فایل تحت شرایط خاص (باز کردن، بسته شدن، و غیره)، فریم های ماکرو (اگر هر کدام) نامیده می شوند، که به صورت خاص تعریف شده اند یا نام های استاندارد دارند.

این ویژگی از زبان ماکرو برای پردازش داده های خودکار در سازمان های بزرگ یا در شبکه های جهانی طراحی شده است و به شما اجازه می دهد تا به اصطلاح "مدیریت سند خودکار" سازماندهی کنید. از سوی دیگر، قابلیت های ماکرو زبان این سیستم ها به ویروس اجازه انتقال کد خود را به فایل های دیگر و در نتیجه آنها را آلوده می کند.

اکثر ماکروویروس ها نه تنها در زمان باز کردن (بسته شدن) فایل فعال هستند، اما تا زمانی که ویرایشگر خود فعال باشد. آنها شامل تمام توابع خود را در قالب استاندارد Word / Excel / Office Macros هستند. با این حال، ویروس هایی که از پذیرش کد خود استفاده می کنند و کد خود را به صورت ماکرو ندارند، وجود دارد. سه چنین پذیرایی وجود دارد، همه آنها از توانایی ایجاد، ویرایش و اجرای دیگر ماکروها استفاده می کنند. به عنوان یک قاعده، ویروس های مشابه دارای کلان کوچک (گاهی چند مورفیک) ویروس هستند که باعث ایجاد ویرایشگر ماکرو داخلی می شود، ماکرو جدید را ایجاد می کند، آن را با کد پایه ویروس پر می کند، انجام می شود و سپس به عنوان یک قانون، از بین می رود (برای پنهان کردن آثار حضور ویروس). کد اصلی این ویروس ها یا در ماکرو ویروس خود را در قالب رشته های متن (گاهی اوقات رمزگذاری شده) وجود دارد یا در منطقه متغیرهای سند ذخیره می شود.

شبکه شامل ویروس هایی است که به طور فعال از پروتکل ها و امکانات شبکه های محلی و جهانی برای توزیع آنها استفاده می کنند. اصل اصلی ویروس شبکه، توانایی انتقال کد شما به یک سرور یا ایستگاه کاری از راه دور است. ویروس های شبکه "کامل" نیز توانایی اجرای کد خود را بر روی یک کامپیوتر از راه دور یا حداقل "کاربر را فشار دهید تا فایل آلوده را راه اندازی کند.

برنامه های مخرب که اطمینان از اجرای NSD ممکن است عبارتند از:

· برنامه های انتخاب و باز کردن رمزهای عبور؛

· برنامه هایی که تهدیدهای را اجرا می کنند

· برنامه ها نشان دادن استفاده از قابلیت های غیر اعلام شده نرم افزار و نرم افزار و سخت افزار CDM؛

· برنامه های ژنراتور ویروس کامپیوتر؛

· برنامه های نشان دادن آسیب پذیری های امنیتی
اطلاعات، و غیره

با توجه به عوارض و افزایش تنوع نرم افزار، تعداد برنامه های مخرب به سرعت در حال افزایش است. امروزه بیش از 120 هزار امضا از ویروس های کامپیوتری شناخته شده است. در عین حال، همه آنها یک تهدید واقعی را نشان نمی دهند. در بسیاری از موارد، حذف آسیب پذیری ها در سیستم های سیستم یا نرم افزار منجر به این واقعیت شد که تعدادی از برنامه های مخرب دیگر قادر به اجرای آنها نیستند. اغلب خطر اصلی نشان دهنده برنامه های مخرب جدید است.

طبقه بندی متخلفان

بر اساس تعلق به دوج، همه متخلفان به دو گروه تقسیم می شوند:

متخلفان خارجی - افرادی که حق ندارند در قلمرو منطقه کنترل شده باقی بمانند، که در آن تجهیزات بی صبرانه است؛

نقض کنندگان داخلی - افرادی که حق دارند در قلمرو منطقه کنترل شده باقی بمانند، که در آن تجهیزات اعمال می شود.

نقض کننده خارجی

به عنوان یک نقض کننده امنیت اطلاعات خارجی، یک نقض کننده در نظر گرفته شده است، که دسترسی مستقیم به منابع فنی و منابع سیستم را در ناحیه کنترل شده ندارد.

فرض بر این است که متخلفان خارجی نمی توانند بر اطلاعات محافظت شده در کانال های فنی نشت تأثیر بگذارند، زیرا میزان اطلاعات ذخیره شده و پردازش شده به ساکنان برای انگیزه احتمالی نقض کننده خارجی برای انجام اقدامات با هدف نشت اطلاعات در مورد نشت اطلاعات کافی نیست کانال ها

فرض بر این است که مزاحم خارجی می تواند اطلاعات محافظت شده را تنها در طی انتقال آن از طریق کانال های ارتباطی تحت تاثیر قرار دهد.

نقض کننده داخلی

امکان اختلالات داخلی به طور قابل توجهی وابسته به عوامل محدود کننده ای است که در حال حاضر در منطقه کنترل شده عمل می کنند، که حفظ مجموعه ای از اقدامات سازمانی و فنی، از جمله انتخاب، ترتیب و ارائه پرسنل آموزش عالی، به پذیرش افراد است در داخل منطقه کنترل شده و کنترل کار روش با هدف جلوگیری و جلوگیری از دسترسی غیر مجاز.

سلولهای سیستم توزیع توزیع سیستم دسترسی، تعریف حقوق کاربر را برای دسترسی به اطلاعات، نرم افزار، سخت افزار و سایر منابع، مطابق با سیاست های امنیتی اطلاعات پذیرفته شده (قوانین) فراهم می کند. به نقض کنندگان داخلی ممکن است مرتبط باشد (جدول):

مدیران زیرسیستم های خاص یا پایگاه های داده ای از رده II)؛

کاربران خارجی نسبت به AC خاص (رده IV)؛

افراد با توانایی دسترسی به سیستم انتقال داده (رده V)؛

کارمندان ORT با دسترسی مجاز به محل در محل، که در آن عناصر بی صبرانه هستند، اما دسترسی به آنها (رده VI)؛

پرسنل خدمات (امنیت، مهندسی و کارگران مهندسی، و غیره) (رده VII)؛

پرسنل مجاز توسعه دهندگان CDN، که بر اساس قرارداد است، حق دارد نگهداری و اصلاح اجزای کد (رده VIII).

چهره های دسته های I و II وظایف برای مدیریت نرم افزار و سخت افزار و پایگاه های پایگاه داده پایگاه داده برای ادغام و اطمینان از تعامل زیر سیستم های مختلف که بخشی از CDN هستند، تعیین می کنند. مدیران می توانند به طور بالقوه تهدیدات IB را اجرا کنند، با استفاده از امکان دسترسی مستقیم به اطلاعات محافظت شده پردازش شده و ذخیره شده در ساکنین، و همچنین فنی و فنی نرم افزار Caiden، از جمله وسیله حفاظت مورد استفاده در AC خاص، مطابق با اداره اداری که برای آنها ایجاد شده است.

این افراد به خوبی با الگوریتم های اصلی، پروتکل های پیاده سازی شده و استفاده شده در زیر سیستم های خاص و ناامنی به عنوان یک کل، و همچنین اصول و مفاهیم قابل اجرا از امنیت، آشنا هستند.

فرض بر این است که آنها می توانند استفاده کنند تجهیزات استاندارد یا برای شناسایی آسیب پذیری ها یا برای تحقق تهدیدات IB. این تجهیزات می تواند هر دو بخش از کارکنان باشد و ممکن است به راحتی به دست آمده (به عنوان مثال، نرم افزار به دست آمده از منابع خارجی قابل دسترسی به دست آمده) مربوط باشد.

علاوه بر این، فرض بر این است که این افراد می توانند داشته باشند تجهیزات تخصصی.

افراد دسته بندی های I و II با توجه به نقش استثنایی آنها، مجموعه ای از اقدامات خاص سازمانی و رژیم باید به انتخاب، اشتغال، انتصاب و کنترل آنها بر اجرای وظایف عملکردی اعمال شود.

فرض بر این است که تنها افراد مورد اعتماد در تعداد دسته های I و II شامل خواهند شد و بنابراین این افراد از تعداد متخلفان احتمالی محروم می شوند.

فرض بر این است که چهره دسته های III-VIII به متخلفان احتمالی اشاره دارد.

امکانات اختلال داخلی به طور قابل توجهی وابسته است
از رژیم معتبر در منطقه کنترل شده
و اقدامات سازمانی و فنی حفاظت، از جمله پذیرش افراد به PDN ها و کنترل روش انجام کار.

متخلفان بالقوه بالقوه به هشت دسته تقسیم می شوند، بسته به روش دسترسی و مجوز دسترسی به PDN ها.