Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Készítette: Schveibert Róbert 0/75. Készítette: Schveibert Róbert 1/75 Miért kártékony programok ? erőforrásokat kötnek le (CPU, memória, lemez) program,

Hasonló előadás


Az előadások a következő témára: "Készítette: Schveibert Róbert 0/75. Készítette: Schveibert Róbert 1/75 Miért kártékony programok ? erőforrásokat kötnek le (CPU, memória, lemez) program,"— Előadás másolata:

1 Készítette: Schveibert Róbert 0/75

2 Készítette: Schveibert Róbert 1/75 Miért kártékony programok ? erőforrásokat kötnek le (CPU, memória, lemez) program, vagy adatvesztést okozhatnak még súlyosabb a kár, ha –hibás a víruskód (DOS boot vírus UNIX lemezen) –laikus, kapkodó felhasználó kezd el írtani erkölcsi károkat okozhat a cégeknek Foglalkozni kell velük! Embereket, pénzt köt le!

3 Készítette: Schveibert Róbert 2/75 Vírusok meghatározása Olyan programok, melyek –a rendszerbe ENGEDÉLY NÉLKÜL lépnek be –önmaguk (esetleg módosított) változatát más, „gazda” programokhoz fűzve SZAPORODNAK –bizonyos feltételek teljesülése esetén ROMBOLHATNAK (nem biztos)

4 Készítette: Schveibert Róbert 3/75 Kártékony programok csoportosítása Vírusok –Rendszervírusok (boot szektor, MBR) –Programvírusok („klasszikus” vírusok) –Alkalmazás vírusok (makróvírusok) Egyéb kártékony programok (MalWare)

5 Készítette: Schveibert Róbert 4/75 Egyéb kártékony programok - MalWare -

6 Készítette: Schveibert Róbert 5/75 MalWare típusok Ezeket sem szeretjük, de vírusoknak a definíció alapján mégsem tekinthetők Trójai programok (nem szaporodnak) ANSI bombák (nem szaporodnak) Programférgek (nincs „gazda” program) Vírushordozók (csak a „termék” kártékony) Vírusgenerátorok (csak a „termék” kártékony)

7 Készítette: Schveibert Róbert 6/75 MalWare Trójai programok Olyan program, ami látszólag hasznosat, vagy érdekeset csinál, de káros, nem kívánt mellékfunkciókat is végrehajt mellette. Jellemző változatai: Hálózat felderítő programok (pl. login.exe módosítása) Másolásvédelem (pl. BIOS sorszám figyelése) Beépített vírust tartalmazó programok (adott feltétel teljesülése esetén szabadon engedi a vírust) Időzített bombát tartalmazó programok (adott idő után megszűnik működni - próba verzióknál normális)

8 Készítette: Schveibert Róbert 7/75 Víruskód szöveges állományban van, aktiválni egy batch fájl segítségével lehet (inkább rejtőzködés) átnevezés: ren virus.txt virus.com másolás:type virus.txt > virus.com copy virus.txt virus.com > nul debug:debug < virus.txt Aktiválás után azonnal rombol, majd kimúlik (leggyakoribb eset) ASCII vagy “klasszikus” vírusként szaporodik MalWare ASCII vírusok

9 Készítette: Schveibert Róbert 8/75 MalWare ANSI bombák A DOS ANSI.SYS meghajtója lehetővé teszi, hogy billentyűkkel programokat indíthassunk. (pl. F10 > dir) Az aktiválás minden olyan eszközzel lehetséges, melynek outputja a képernyő: –type - vírus a szövegbe, vagy bináris fájlban –dir - vírus a katalógusban –prompt

10 Készítette: Schveibert Róbert 9/75 MalWare ANSI bombák - folytatás Ha az indított program megerősítést kér, az echo paranccsal vagy átirányítással becsapható: echo y | del *.* del *.* < x.txt (az x.txt tartalma ’y’) Ha nem töltjük be az ANSI.SYS-t, nem működnek A DOS-szal együtt az ANSI bombák kihalnak...

11 Készítette: Schveibert Róbert 10/75 MalWare Programférgek A UNIX rendszerek biztonsági réseit kihasználó programok. Céljuk általában az információ szerzés (pl. jelszótáblák, firewall). Nem irtották őket, hanem kijavították az operációs rendszer hibáit, így nem terjedtek el. Szaporodik, de nem igényel hordozót.

12 Készítette: Schveibert Róbert 11/75 Injektor - “vírusgazda”, ő maga nem beteg, de fertőz Germ - normális úton terjedni nem képes vírusokhoz Dropper - indítás után előállítja a vírust, majd szabadon engedi. A Dropper nem kértékony, róla nem készül másolat sem MalWare Vírustároló programok

13 Készítette: Schveibert Róbert 12/75 MalWare Vírusgenerátorok Eredetileg: Az Assembly kód módosítása –Paraméterei: új sorok szám, módosítandó tartomány –Virus Mutator, Dark Avenger, TridentT stb. Újabban: A víruskészítés TELJES automatizálása, már nem kell programozni sem tudni! –Paraméterei: lopakodó, titkosított, aktiválás stb –Demolition Kit, MVDK, Crazy Bits stb.

14 Készítette: Schveibert Róbert 13/75 Rendszervírusok (Boot rekord, Partíciós tábla)

15 Készítette: Schveibert Róbert 14/75 Az operációs rendszer betöltése A Winchester 0. sávjának 0. szektorában (Master Boot Record, MBR) lévő program elindul, feladata, hogy az ugyancsak itt elhelyezkedő Partíciós táblából meghatározza, melyik partíció aktív, és ráadja a vezérlést az ott lévő betöltő programra (Boot record)

16 Készítette: Schveibert Róbert 15/75 Boot vírusok működése Mivel az MBR-ben, illetve a boot rekordban található program indul először (még az operációs rendszer betöltése előtt !!!), feltétlen ellenőrzése alá vonhatja a vírus a gépet. Megelőzés: Hardver (alaplap, kártya) védelem Helyreállítás: FDISK /MBR, vírusirtók

17 Készítette: Schveibert Róbert 16/75 Programvírusok

18 Készítette: Schveibert Róbert 17/75 Programvírusok Megfertőzhető állományok COMMax. 64 Kbájt hosszú (COMMAND.COM!) EXEKicsit bonyolultabb szerkezet (EXE Header) SYSEszközmeghajtók OVLOverlay állományok BINvégrehajtható kódú bináris állomány OBJ LIBTárgykódos vagy könyvtárállományok Egyéb Windows-os állományok (DLL, PIF, DOT, stb.)

19 Készítette: Schveibert Róbert 18/75 A számítógépvírus részei Reprodukciós rutin Aktiválási mechanizmus –ellenőrzi bizonyos feltételek teljesülését, illetve események bekövetkezését –ha a feltételek teljesülnek, aktiválja a vírust Objektív (büntető) rutin –romboló utasítások –“reklámszövegek”, ijesztgető feliratok stb.

20 Készítette: Schveibert Róbert 19/75 A reprodukciós rutin Víruskód futtatása Célpont keresése - program - boot szektor - partíciós tábla Fertőzött a célpont? igen Víruskód beillesztése Megjelöli a programot (már fertőzött) Program módosítása (végrehajtási sorrend) nem

21 Készítette: Schveibert Róbert 20/75 Vírusok csoportosítása Generációk szerint Fertőzési sebesség szerint Visszafejthetőség szerint Objektív (büntető) rutin szerint Elhelyezkedés szerint –Fájlban –Memóriában

22 Készítette: Schveibert Róbert 21/75 Vírusok csoportosítása Generációk szerint Első generációs vírusok Egyszerű terjedésű, könnyen visszafejthető vírusok Lopakodó (stealth) vírusok Mindent az eredeti fertőzésmentes állapotban mutat Polimorf, mutációs vírusok Terjedés közben átírja magát, több változat készül FAT és CEB (companion) vírusok FAT: Egy példányban írja fel magát az utolsó clusterbe CEB: DOS programindítási rendszerét használja ki

23 Készítette: Schveibert Róbert 22/75 Lassú fertőző –(Általában a nem rezidens vírusok ilyenek) A fertőzött program indítása után keres egy-két áldozatot, és azt megfertőzi Gyors fertőző –Minden elindított, vagy megnyitott fájlt megfertőz. Egy nem tökéletes víruskereső, amely minden fájlt megnyit, végigfertőzheti az összes fájlt. Vírusok csoportosítása Fertőzési sebesség

24 Készítette: Schveibert Róbert 23/75 Nem ellenálló –Könnyen visszafejthető, elég a DEBUG, vagy egy DISASSEMBLER Billentyűzet letiltó –Letiltja a DEBUGGER billentyűzet kezelését Titkosító –Kódolja magát, a visszafordított kód értelmetlen Vírusok csoportosítása Visszafejthetőség

25 Készítette: Schveibert Róbert 24/75 Romboló szándékú Fizikailag romboló (winchester, IC) Erőteljesen romboló (format) Részlegesen romboló (bad sector) Szelektíven romboló (bizonyos programokat támad) Nem romboló szándékú ("jópofa") Szöveg, zene, grafika megjelenítése Billentyűzet átdefiniálás stb. Objektív rész nélküli Vírusok csoportosítása Objektív (büntető) rutin szerint

26 Készítette: Schveibert Róbert 25/75 Nem felülíró típusok –Hozzáfűző (appendelő) –Kód elé beszúró Felülíró típusok –Program elejére író –Véletlenszerű helyre író Felülíró és nem felülíró hibrid típusú –Exe fejlécbe (stack terület) telepedő –Command.com-ba telepedő –Speciális (FAT, CEB) vírusok Vírusok csoportosítása Elhelyezkedés a fájlban

27 Készítette: Schveibert Róbert 26/75 Rezidens (kikapcsolásig a memóriában marad) –TSR (Terminate and Stay Resident) –Felső memóriába installálja magát –Videomemória kihasználatlan részében –MCB (Memory Control Block) keresztül –DOS puffereiben –memória tetejében –mindig ugyanarra a címre tölti be magát –640 KB feletti részen Nem rezidens (csak a végrehajtás ideje alatt) Vegyes (az objektív rutin rezidens, a szaporodó tranziens) Vírusok csoportosítása Elhelyezkedés a memóriában

28 Készítette: Schveibert Róbert 27/75 Polimorf, mutációs vírusok Alapötlet: Nehezebb felfedezni egy vírust, ha mindig más alakot ölt ! Vírusmag Kódoló (encryptor) Dekódoló (decryptor) Változó KULCS Kódolt részNem kódolható

29 Készítette: Schveibert Róbert 28/75 Változó bináris kód Változó kulcs (ezt mindegyik alkalmazza) Alternatív műveleti kód –pl. MOV AX, BX89D8 vagy 8BC3 Egyenértékű utasítássorozatok váltogatása –pl. MOV AX, CSPUSH CS – MOV DS, AXPOP DS Hatástalan utasítások beszúrása –- pl. NOP, vagy PUSH AX, POP AX

30 Készítette: Schveibert Róbert 29/75 Permutációs vírusok A vírus egyes részei –nem összefüggően –nem állandó sorrendben –nem feltétlenül kódoltan jelennek meg. pl. OneHalf VIR1 VIR2 VIR3 PRG1 JMP VIR2 JMP VIR3 JMP PRG1 JMP VIR1 JMP PRG2 JMP PRG3 JMP PRG4 PRG2 PRG3 PRG4

31 Készítette: Schveibert Róbert 30/75 Rejtőzködés Lopakodó vírusok (stealth) Egyszerű lopakodó: az eredeti file méretet mutatja, de a fájlt megnyitva észrevehető Teljesen lopakodó: Mindent a fertőzés előtti állapotban mutat Technika: –Memory Control Block módosítása –Nem dokumentált DOS funkciók használata –DOS függvények ellenőrzése (25/26h disk I/O, 28h bill./mon. I/O - titkos!)

32 Készítette: Schveibert Róbert 31/75 Rendszerfüggő (főleg DOS), az eltérő végrehajtási sorrendet (pl. COM > EXE > BAT használja ki. Általános companion: Az EXE fájllal azonos könyvtárban hoz létre fertőzött, azonos nevű COM-ot Path companion: A fertőzött COM-ot a keresési útvonalban korábban szereplő könyvtárba teszi (vagy módosítja a keresési útvonalat) Alias companion: kihasználja, hogy a DOSKEY makróknak elsőbbsége van Rejtőzködés Companion (CEB) vírusok

33 Készítette: Schveibert Róbert 32/75 Rejtőzködés FAT vírusok A vírus a lemez utolsó (bad sector-nak jelzett) clusterében ül. A programok kezdetét önmagára irányítja, az eredeti FAT-et kódolja Egyetlen példányban létezik, de az összes programra hat Ha aktív, semmi nyoma nincsen Ha nem aktív, másoláskor CSAK a vírus megy!

34 Készítette: Schveibert Róbert 33/75 Vírusvédelmi módszerek Szignatúra vagy bájtminta keresés Ismert vírusokat eltávolító védelem Heurisztikus keresés Ellenőrző összeges védelem Általános rendszerfelügyelő védelem Hardveres védelem Vegyes védelmi módszerek Az operációs rendszer vírusvédelme Hálózatok védelme

35 Készítette: Schveibert Róbert 34/75 Szignatúra, vagy bájtminta keresés Vírusra jellemző adatok és utasítás sorozatok keresése a programban (esetleg nemcsak egy helyről). Például a hexa FC8BF281C60A00 megfelel a következő utasításoknak: FCCLD 8BF2MOV SI,DX 81C60A00ADD SI,000A Ha ez az utasítássorozat jellemző egy vírusra, akkor ennek alapján lehet keresni (CSAK ISMERT vírusok!) Lehet dzsóker karakterekkel kombinálni FCF281C60A00 helyettFC?281C*60A00

36 Készítette: Schveibert Róbert 35/75 Ismert vírusokat eltávolító védelem A szignatúra kereséssel ellentétben, ez nemcsak felismeri a vírusokat a bájtminta alapján, hanem el is távolítja. Tudni kell hozzá, hogy a vírus milyen módosításokat végez a megtámadott objektumon. Figyelni kell, hogy a vírus melyik variánsa szerepel, mert kiirtásuk módszere nem feltétlenül azonos. Igen precíz azonosítás szükséges, ehhez több szignatúrát használ a vírusirtó program. Nem megfelelő eltávolítás esetén az antivírus program is rombolhatja az objektumot!

37 Készítette: Schveibert Róbert 36/75 Heurisztikus keresés Nem szignatúrákat keres a program, hanem műveletei és viselkedése alapján dönti el egy programról. hogy vírus-e. Processzoremulátorral futtatja a kereső a programokat. 1. Általános heurisztikus keresés –Vírusra utaló műveleteket figyel a program futtatásakor (végrehajtható állományokba, boot szektorba akar írni, program végére mutató ugróutasítással kezdődik) 2. Specifikus heurisztikus keresés –Számolja az azonos csoportba tartozó utasításokat. (pl.: MOV reg, reg; MOV reg,cím; stb.), Ha csoportok száma valamilyen vírusra jellemző, figyelmeztetnek.

38 Készítette: Schveibert Róbert 37/75 Ellenőrző összeges védelem 1. A lemezen tárolt programok, boot-szektor és partíciós tábla ellenőrző összegeivel számol. (integrity checker). 2. A tárolt hexadecimális értékeket valamilyen algoritmus segítségével elkódolja egy értékkel. CRC - Cyclic Redundancy Check. 3. A CRC értéket eltárolja. 4. Később újra kiszámolva a CRC érték ugyanaz kell legyen. 5. Az eltárolt CRC értéket a program végén vagy külön állományban tárolja.

39 Készítette: Schveibert Róbert 38/75 Általános rendszerfelügyelő védelem Monitor vagy felügyelőprogram. Rendszerindítás után rezidens állapotban a memóriában marad és onnan felügyel a programokra. ellenőrzi a futatott programok működését, illegális lemez és memóriakezelésnél figyelmeztet, azokat az interruptokat figyeli, melyeket rendszerint vírusok hívnak meg. Heurisztikus és szignatúra keresés egyaránt.

40 Készítette: Schveibert Róbert 39/75 Hardveres védelem Kártyán keresztül valósul meg, hamarabb elindul a figyelés mint a bootolási folyamat (alaplapon is). Nem enged fertőzött boot lemezről bootolni. Követelmények: Ne zavarja sokszor a felhasználót. Legyen benne heurisztikus és szignatúra kereső, az utóbbi ne avuljon el, legyen frissíthető. Automatikusan induljon a gép indításakor.

41 Készítette: Schveibert Róbert 40/75 Hardveres védelem - folytatás Követelmények - folytatás: Támogassa a hozzáférés-védelmet, írásvédelmet és más adatbiztonsági szolgáltatásokat. Minden szoftverrel fusson együtt. A kártya lássa a memóriát, de a memória ne lássa a kártyát, hogy a vírusok elől védve legyen. Felhasználói programokból rendszerhívásokkal elérhető legyen.

42 Készítette: Schveibert Róbert 41/75 Vegyes védelmi módszerek Védőoltás a megfertőzhető programoknak Program létrehozási idejének átállítása. Hossz megváltoztatása. Azonosító hozzáadása a programhoz. Boot szektorba és partíciós táblába bájtok beírása. Környezeti változó beállítása. Program végéhez immunrutin hozzáadása. Hardver-Szoftver írásvédelem használata Csali programok

43 Készítette: Schveibert Róbert 42/75 Az operációs rendszer vírusvédelme A vírusok az operációs rendszerek gyengégit használják ki. Antivírus program az operációs rendszerhez. Figyelni kell melyik program milyen állományokhoz férhet hozzá. Tartalmazzon nem manipulálható ellenőrző összeges védelmet. Hardveres memória-védelem. Biztonságosabb operációs rendszerek kifejlesztése.

44 Készítette: Schveibert Róbert 43/75 Hálóz a tok védelme Az eddigi felsorolt védelmek is jól használhatók hálózatokban, de általában a hálózatok eleve tartalmaznak valamilyen védelmet. Felhasználók azonosítása, fájlok, könyvtárak különböző szintű elérése, memóriarészek védelme. Vírusvédelemmel kombinálva, jó védelmet nyújthatnak. A keresésnek figyelembe kell venni, hogy a hálózati meghajtók más felépítésűek mint a floppy vagy a winchester. Központi gépen és a munkaállomásokon is kell a védelem.

45 Készítette: Schveibert Róbert 44/75 Vírusvédelmi tanácsok A vírusfertőzési veszély jelentősen csökkenthető, bizonyos biztonsági szabályok betartásával. Néhány óvintézkedéssel jelentősen csökkenthetjük a fertőzésveszélyt illetve az esetleg keletkező kár mértéket. Vírusfertőzés megelőzése detektálása azonosítása helyreállítása

46 Készítette: Schveibert Róbert 45/75 Vírusfertőzés megelőzése Víruskapuk ellenőrzése Oktatás Adatforgalom ellenőrzése Backup Antivírus szoftverek használata

47 Készítette: Schveibert Róbert 46/75 Vírusfertőzés megelőzése: Víruskapuk Nem winchesterről vagy floppyról töltjük be az operációs rendszert, hanem Eprom-ról. Csak biztosan tiszta boot programmal és partíciós táblával rendelkező lemezről indítunk. Figyeljük milyen programokat indít az autoexec.bat illetve a config.sys. Program futtatáskor biztosan legyen tiszta, vírusmentes. Csak jogilag tiszta, vásárolt programot használjunk. Vigyázzunk a másolásvédelemmel ellátott programokkal, ezek is tartalmazhatnak romboló rutint.

48 Készítette: Schveibert Róbert 47/75 A rendszergazda a felhasználókkal: készítse fel őket az esetleges veszélyekre (vírusok, trójai programok, férgek) az általános védelmi eljárásokat ismertesse velük. Vírusfertőzés megelőzése: Oktatás

49 Készítette: Schveibert Róbert 48/75 Rendszer és más gépek között csökkenteni kell az adatok forgalmát. Más hálózatokról letöltött programokat futtatás előtt ellenőrizni, tesztelni kell. Vírusfertőzés megelőzése: Adatforgalom vizsgálata

50 Készítette: Schveibert Róbert 49/75 Gyári installációs lemezeket installálás előtt tegyük írásvédetté és készítsünk róluk biztonsági másolatot. Az általunk használt egyéb programokról is készítsünk másolatot, illetve legyen biztosan és gyorsan elérhető forrásunk. Adatainkat sűrűn mentsük el, a régebbi adatok esetleges felülírásával. Figyeljünk arra, hogy az elmentett állományok nehogy fertőzöttek legyenek! Vírusfertőzés megelőzése: Backup

51 Készítette: Schveibert Róbert 50/75 Antivírus termékek használatával elérhetjük, hogy minél több vírust felismerhessünk rendszerünkben. Használjuk a víruskeresők memóriarezidens figyelő modulját. A vírus fertőzést megelőző program: általános rendszerfelügyelő vagy monitor program ellenőrző összeges program Mindig legyen rendszerlemezünk segédprogramokkal (vírusirtó program, fdisk, sys, ndd, stb.)! Vírusfertőzés megelőzése: Antivírus termékek

52 Készítette: Schveibert Róbert 51/75 Vírusfertőzés detektálása: Vírusra utaló jelenségek Furcsa viselkedés a gép részéről. Programok hossza, létrehozási dátuma megváltozik. Furcsa állományok, könyvtárbejegyzések keletkeznek Szokatlan dolgok jelennek meg a képernyőn. Csökken memóriaterület, bad szektorok jelennek meg Állományaink eltűnnek. Lemez, vagy fájl tartalom sérül Feltűnően sokat nyúl a lemezhez egy program Különböző hibák jelentkeznek a gépen Víruskeresőnk vírust mutat ki

53 Készítette: Schveibert Róbert 52/75 Vírusfertőzés helyreállítása Jó vírusölő segítségével, ami a fertőzött programokat képes eredeti állapotukba visszaállítani. A vírus hibáját kihasználva a vírus önmagát távolítja el a rendszerből. Lementett adatok és programok visszatöltésével. Kézi módszerrel: például boot vírus esetén indítsuk újra a gépet rendszerlemezről. Segédprogramokkal távolítsuk el a vírust. (sys, fdisk /mbr, diskedit). Végső esetben alacsony szintű formázás segíthet, ha ez sem működik, akkor vírusokkal foglalkozó szakemberhez kell fordulni.

54 Készítette: Schveibert Róbert 53/75 Ismertebb kereső és irtó programok Általában shareware vagy freeware termékek. Regisztrációjukkal több vírusmintát, vagy több funkciót (irtás, immunizálás stb.) tartalmazó programhoz jutunk. MacAfee VirusScan Thunderbyte Antivirus F-prot Microsoft AntiVirus

55 Készítette: Schveibert Róbert 54/75 Makróvírusok (Alkalmazás vírusok)

56 Készítette: Schveibert Róbert 55/75 Mi is az a makró ? Makró = névvel rendelkező, automatikusan ismételhető utasítássorozat Operációs rendszerek makrói: DOS (OS/2) batch, Macro Assembler, Windows 3.x Makrórögzítő Alkalmazások makrói: Word, Excel, AmiPro, Lotus, Access stb.

57 Készítette: Schveibert Róbert 56/75 Makró vírusok Tágabb értelemben: a Batch és ASCII vírusok is ide tartozhatnak PLATFORMFÜGGŐ Szűkebb értelemben: Felhasználói alkalmazások makrói PLATFORM FÜGGETLEN DOKUMENTUMOKKAL TERJED

58 Készítette: Schveibert Róbert 57/75 Az első makróvírusok 1993 Telix (kommunikációs program scriptje) 1994 DMV (kísérleti Word makróvírus) 1995 Concept !!! (az első igazi makróvírus) Tendencia: Boot/File Makró 1998 … több, mint 2000 !

59 Készítette: Schveibert Róbert 58/75 Makróvírusok gyarapodása Forrás: DataFellows

60 Készítette: Schveibert Róbert 59/75 Miért “előnyösek”? A vírusirtók “elaludtak”... A gyakori, gyanútlan dokumentumcsere Internet/Intranet fejlődése Word, Excel fejlődése és terjedése Nem kell mélyebb ismeret az írásához Dokumentumcsere több platformon, sőt alkalmazások között is (OLE)

61 Készítette: Schveibert Róbert 60/75 Gyors terjedés Internet letöltések csatolások Egységes dokumentumkezelés (OLE2) Floppy CD mellékletes balesetek

62 Készítette: Schveibert Róbert 61/75 Makróvírusok tulajdonságai Csak a makrónyelv lehetőségei között mozoghat Nagy CPU és memóriaigény lelassul a futás, könnyebben észrevehető Fertőzés területei: doc, dot, xl?, smm, mdb, wp*, wk*, wiz, wzs, cdr

63 Készítette: Schveibert Róbert 62/75 Word dokumentum elemei Dokumentumok: –Szöveg (ábrák, formátumok) –Stílusok (betű, bekezdés, keret, tabulátor…) Sablonok (a fentieken kívül): –Makrók, gyorsszövegek (autotext) –Menü, eszköztár, gyorsbillentyű beállítások

64 Készítette: Schveibert Róbert 63/75 Sablonok jellemzői (Dokumentum-típusokhoz tartozó tervek) Makrót CSAK sablon tartalmazhat, “igazi” dokumentum NEM! A sablonok kiterjesztése.DOT, de NEM FELTÉTLENÜL ! (A Word bármilyen kiterjesztés esetén felismeri, tehát DOC, RTF is lehet) A Word indításakor automatikusan betöltődő sablon a NORMAL.DOT

65 Készítette: Schveibert Róbert 64/75 A Word változatai Word 2.0, Word 6.0, Word 95, Word 97 –WordBasic --> Visual Basic for Applications (VBA) –16 bit API --> 32 bit API –Általában felülről kompatibilisek Angol, Magyar, Német, Orosz, Kínai … –Egyes makró utasítások csak a saját nyelvükön értelmezhetők

66 Készítette: Schveibert Róbert 65/75 Word vírusok működése Betöltés –DOC-nak álcázott DOT (sablon) –DOC-hoz csatolt sablonon keresztül Vezérlésátadás (aktivizálódás, rezidenssé válás) –Automakrók (AutoExec,-New,-Open,-Close,-Exit) –Belső parancsok átdefiniálása (pl. FileSave) –Billentyűzet, Eszköztár, Menü átdefiniálása –Makrógomb, űrlapmező beszúrása a DOC-b

67 Készítette: Schveibert Róbert 66/75 Szaporodási mechanizmus NORMAL.DOT - elsődleges célpont –A betöltés, változás nyugtázása letiltható –Az AutoMacro-k letilthatók *.DOT a STARTUP könyvtárban –Az AutoMacro-k nem hajtódnak végre WINWORD /mmakrónév –Külső sablon hívása parancssorból

68 Készítette: Schveibert Róbert 67/75 Károkozási lehetőségek Külső erőforrások segítségével –Katalógus- és fájlműveletek –Task kezelés (elrejtés, indítás, leállítás) –BIOS hívások (Debug, dropperként működhet) Belső erőforrások –Üzenet, ábra megjelenítése, nyomtatása –Nyelvi trükkök (szócsere, betűcsere) –Jelszó elhelyezése (feltörhető, de bosszantó)

69 Készítette: Schveibert Róbert 68/75 Lopakodási lehetőségek Execute Only (MacroCopy) “Kellemetlen” menüpontok eltüntetése vagy átdefiniálása Makró forrás elrejtése a Gyorsszöveg mezőbe

70 Készítette: Schveibert Róbert 69/75 Mutációs lehetőségek Minden módszer működik, ami a klasszikus vírusoknál –Rutinok permutációja, –átnevezés, –hatástalan utasítások beszúrása –stb. DE ! Execute Only makro nem változtatható, a nem titkosított pedig könnyen észrevehető.

71 Készítette: Schveibert Róbert 70/75 Excel vírusok Makrónyelv: az Excel 5.0-tól a VBA Sablonok: a..\XLSTART könyvtárban (Egyéni makrófüzet:..\xlstart\Personal.xls) Dokumentum is tartalmazhat makró-lapot, ezért nem kell “trükközni”, mint a Word-nél Aktiválás a Word-höz hasonlóan (Automacro stb.) Rombolás: a VBA keretein belül mindent lehet Titkosítás: CSAK a makrólap elrejtésével

72 Készítette: Schveibert Róbert 71/75 AmiPro makrovírusok A makrókat külön fájlban tárolja (*.smm) Védekezés: az SMM állomány törlésével Eddig EGYETLEN ilyen vírust írtak !!!

73 Készítette: Schveibert Róbert 72/75 Makróvírusok megelőzése Víruskapuk ellenőrzése (floppy, mail, www, ftp) AutoMacro-k letiltása Másolatok készítése (sablonokról is!) Normal.dot csak olvashatóvá tétele Office 97 makróellenőrzési lehetőségei Makrókat nem ismerő nézegetők, formátumok használata (WordView, RTF)

74 Készítette: Schveibert Róbert 73/75 Makróvírusok detektálása Menüpontok eltűnése Mentési formátumok megváltozása Megváltoznak az eszköztár, makró beállítások Lassul a gép, nagy állományok keletkeznek Szokatlan grafikák, szövegek a képernyőn Mentési nehézségek (Már létezik, Tele a lemez)

75 Készítette: Schveibert Róbert 74/75 Makróvírusok eltávolítása Legjobb az elmentett állományok visszatöltése! Víruskeresők –DOS (Gyors, kicsi, DE kevésbé megbízható) –Windows (Megbízhatóbb, beépíthető, DE az operációs rendszer védi a futó alkalmazásokat) Kézi vírusirtás –Szinte reménytelen –Hasznos lehet a Normal.dot törlése

76 Készítette: Schveibert Róbert 75/75 Néhány vírusvédelmi rendszer McAfee - –VirusScan, WebScanX, NetShield Datafellows - –F-PROT, F-SECURE for DOS, Win, Novell Virus Buster - –VisSec, VirusBuster for Win, Novell, Excel (!)


Letölteni ppt "Készítette: Schveibert Róbert 0/75. Készítette: Schveibert Róbert 1/75 Miért kártékony programok ? erőforrásokat kötnek le (CPU, memória, lemez) program,"

Hasonló előadás


Google Hirdetések