22-23-Ma’ruza mashg’ulot. Kompyuter viruslari va virusdan himoyalanish muammolari. Antivirus dasturiy vositalar Reja Zararli daturiy vositalarni aniqlash
Antivirus dasturiy vositalar
Kompyuter virusi bu – zararli dasturlarning bir turi bo’lib, bajarilgan vaqtida boshqa kompyuter dasturlarini o’zgartirish va o’z kodini kiritish orqali o’zini ko’paytiradi. Ushbu jarayon muvaffaqiyatli amalga oshilgan taqdirda, ta’sirlangan
soha kompyuter virusi bilan “zararlangan” deb aytiladi.
Virus yaratuvchilar tizimlarni dastlabki zararlash va unda virusni tarqatish uchun ijtimoiy injineriya aldovlari va xavfsizlik zaifliklari to’g’risidagi batafsil ma’lumotlardan foydalanadi. Kompyuter viruslarining aksariyati Microsoft Windows OTda ishlovchi tizimlarda qaratilgan bo’lib, yangi xostlarni zararlashda ko’plab mexanizmlardan va ko’p hollarda antivirus vositalarini aldab o’tish uchun anti-aniqlash/ yashirin strategiyalardan foydalanadi.
Kompyuter viruslarining tasnifi.Hozirgi kunda kompyuter viruslarining yagona tizimli tasnifi mavjud emas va turli manbalarda ularni turlicha omillar asosida tasniflari keltirilgan. Xususan, kompyuter viruslarini quyidagi omillar bo’yicha tasniflash mumkin:
Resurslardan foydalanish usuliga ko’ra. Hozirgi kunda kompyuter viruslarini resursdan foydalanish usuliga ko’ra virus-parazitlar (yoki shunchaki virus) va virus-chervlar (yoki shunchaki chervlar) ga ajratish maqsadga muvofiq bo’ladi.
Resurslardan foydalanib ko’payishning birinchisi bu – boshqa dasturga mansub bo’lish hisoblanib, ular boshqa dasturlar ichida joriy qilinadi va ushbu dastur yuklanishi bilan aktivlashadi.
Ikkinchisi, odatda faqat hisoblash tizimi resursidan (tezkor va doimiy xotira, dasturiy bo’lmagan fayllar) foydalanib, tarmoq orqali o’z nusxalarini tarqatadi, axborot eltuvchilari, xotira buferi va begona arxivlar yordamida barchaga taqsimlanadi. Chervlar avtonom bo’lib, ular boshqa dasturlarga biriktirilmaydi.
Zararlaydigan obyektlar turiga ko’ra. Ushbu tasnifga ko’ra viruslarni dasturiy, yuklanuvchi,makroviruslarva ko’pplatformaliviruslarga ajratish mumkin. Dasturiyviruslar boshqa dasturlarning fayllarini zararlaydi. Masalan,
Win9X.CIHvirusi Windows 95/98/ME OT dasturlari uchun parazit hisoblanadi.
Yuklanuvchi viruslar yuklangan qattiq diskdagi, disketa yoki fleshka sektorlarida joylashgan kichik programmalarni zararlaydi yoki uni almashtiradi. Bunga misol sifatida, BIOS sathida ishlovchi Michelangelo virusini keltirish mumkin.
Makroviruslar uchun sharoit yaratuvchi vosita sifatida ma’lum dasturlash tilida yozilgan va turli ofis ilovalari – MS Word hujjati, MS Excel elektron jadvali, Corel Draw tasviri, fayllarida joylashgan “makroslar” yoki “skriptlar” xizmat qiladi. Bunga misol qilib, MS Word hujjatlarini zararlovchi Concept virusi, Excel jadvallarini zararlovchi Laroux viruslarini keltirish mumkin.
Ko’p platformali viruslar bir vaqtning o’zida turli xildagi obyektlarni zararlaydi. Masalan, OneHalf.3544 virusi ham MS-DOS dasturlari ham qattiq diskning yuklanuvchi sektorlarini zararlasa, Anarchy oilasiga tegishli viruslar MS- DOS va Windows dasturlaridan tashqari, MS Word hujjatlarini ham zararlay oladi.
Faollashishprinsipiga ko’ra.Viruslarni ushbu xususiyatiga ko’ra rezident va norezident turlarga ajratish tavsiya etiladi. Rezident viruslar doimo kompyuter xotirasida aktiv holatda joylashadi. Boshqa dastur yoki operasion tizim orqali jabrlanuvchiga murojaatlarini kuzatib boradi va shundan so’ng unga yuqadi. Masalan, bajariluvchi dasturlar yuklanish vaqtida, ishni tugatish vaqtida yoki ularning fayllarini ko’chirish vaqtida zararlanadi. Bularga misol qilib, OneHalf.3544 (MS-DOS muhitida) va Win9X.CIH(Windows 95/98/ME muhitida) viruslarini olish mumkin.
Norezident viruslar zararlangan tashib yuruvchilarni yuklash vaqtida ishga tushadi va ularning faoliyat vaqti cheklangan bo’ladi. Masalan, Vienna.648 virusi zararlangan dastur ishga tushgandan so’ng darhol ishga tushadi. Biroq, ushbu vaqtda diskdan ko’plab qurbonlarni topishga va ularni biriktirishga ulguradi. Shundan so’ng, boshqaruvni o’zining saqlovchisiga uzatadi va o’zi keyingi yuklanishga qadar “uxlaydi”.
Ko’p vazifali operasion tizimlarda “yarim rezidentli” viruslar mavjud bo’lib, ular xuddi norezident viruslar kabi yuklanadi. Alohida oqimli yuklangan dasturlar kabi tashkil qilib, ushbu dasturlarning butun ishlash davomida o’zini rezident kabi tutadi va o’z ishini saqlovchi-dasturi bilan birgalikda tugatadi. Masalan, Win32.Funlove.4070 bunga misol bo’la oladi.
Dastur kodini tashkil qilish yondashuviga ko’ra. Mazkur taksanomik belgilar viruslarni shifrlangan, shifrlanmagan va polimorflarga ajratishga imkon beradi.
Shifrlanmaganviruslaro’zini oddiy dasturlar kabi ko’rsatadi va bunda dastur kodida hyech qanday qo’shimcha ishlanmalar mavjud bo’lmaydi. Bunday viruslarni (masalan, Vienna.648) dasturlarda osonlik bilan aniqlash hamda dizassamberlash va dekompilyatorlar orqali tadqiq qilish va o’chirib tashlash mumkin.
Shifrlangan viruslar kodida bir qancha o’zgarishlar mavjud bo’ladi. Shifrlangan virus hisoblash qurilmasining xotirasida dastlab deshifrlanadi va shundan so’ng zararlashni boshlaydi. Shuning uchun, mazkur viruslarni aniqlash, o’rganish va o’chirish murakkab bo’lib, bu murakkablik kamida undagi qaytarish amali – kodni deshifrlash bilan xarakterlanadi. Odatda virusni shifrlash koddagi maxsus anti-debaggerlash usulidan foydalanish orqali amalga oshiriladi. Bunday viruslar sirasiga Sayha.Diehard virusini kiritish mumkin.
Polimorf viruslar turli ko’rinishdagi shifrlangan viruslar bo’lib, o’zining ikkilik shaklini nusxadan-nusxaga o’zgartirib boradi. Mazkur sinfdagi viruslarga OneHalfoilasi viruslarini kiritish mumkin. Xususiy hollarda polimorflik metamorfik viruslar bo’lib, o’zining ikkilik tanasini shifrlamasdan, faqat ularni o’zgartirish orqali o’z nusxalarini yaratadi. Bunday viruslarga misol qilib, Win32.Zmystvirusini keltirish mumkin.
Virus-chervlarning tasnifi. Virus-chervlarni tasniflash ularni tarqalish yo’llariga asoslanadi. Masalan, pochta chervlari (masalan, E-Worm.Win32.Aliz) elektron pochta orqali tarqalsa, tarmoqchervlari(odatda ular Internetchervlarideb ham yuritiladi) tarmoq protokollari yordamida tarqaladi va ma’lumot paketlari ichida yashiringan holda uzatiladi (masalan, Net-Worm.Win32.Lovesan). “Telefon” yoki “mobil” chervlar (masalan, Cabir) esa turli “tarmoq”lar, masalan, simsiz axborot uzatish tarmog’i hisoblangan BlueTooth orqali tarqaladi. Bundan tashqari, 1980 yillarda tarqalgan fayl chervlari deb nomlangan turi (masalan, Mkworm.715) esa, o’zi mustaqil ravishda tarqalmaydi. Balki, o’zini turli tashib yuruvchilar va kataloglarda, hattoki, ZIP, RAR fayllarda nusxalaydi hamda shu tartibda tarqaladi.
Kompyuter viruslarining boshqa omillar bo’yicha tasnifi. Kompyuter viruslarining yuqorida keltirilgan omillardan tashqari quyidagi omillar asosida ham tasniflash mumkin:
zararlaydigan operasion tizimi va platformasiga ko’ra (DOS, Windows, Unix, Linux, Android);
kompyuter virusi yozilgan dasturlash tili bo’yicha (assembler, yuqori dasturlash tili, senariy tili va hak.);
qo’shimcha zararli funksiyalariga ko’ra (bekdorlar, keyloggerlar, shpionlar, botnetlar va h.).
Albatta, yuqorida keltirilgan kompyuter viruslarining tasnifi yakuniy emas va har bir muallif tanlab olgan omillari asosida ularni tahlil qilishi mumkin. Quyida esa hisoblash tarmoqlarida ko’p zarar keltirilgan va mashhur zararli dasturiy vositalar bilan tanishib chiqiladi.