Miért kártékony programok ?

Slides:



Advertisements
Hasonló előadás
Számítógépes vírusok.
Advertisements


Kamarai prezentáció sablon
Számítógépes vírusok a számítógépes vírusok programok
Vírusok, vírusvédelem.
Operációs Rendszerek I.
Operációs Rendszerek I.
Operációs rendszer Az operációs rendszer feladatai, részei, fajtái
Számítógépes hálózatok Páll Boglárka. Meghatározás  A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese.
Vírusok, férgek, trójai programok
Hálózati architektúrák
Irodai és rendszer fájltípusok
10 állítás a gyerekek internethasználatáról
Utófeszített vasbeton lemez statikai számítása Részletes számítás
Számítógépvírusok.
Táblázat kezelő programok
A számítógép alapegységei
Operációs rendszer Az operációs rendszer feladatai, részei, fajtái
A tételek eljuttatása az iskolákba
A számítógép vírusokról általában
 VÍRUSOK: A számítógépes vírus olyan program, amely saját másolatait helyezi el más, végrehajtható programokban vagy dokumentumokban. Ha egy számítógépes.
A szoftver.
Számítógépvírusok Készítette: Babay Attila.
SZÁMÍTÓGÉPES VÍRUSOK.
Ember László XUBUNTU Linux (ami majdnem UBUNTU) Ötödik nekifutás 192 MB RAM és 3 GB HDD erőforrásokkal.
Számítógépes vírusok a számítógépes vírusok programok
Microsoft Windows A Windows fejlődése, általános jellemzése – 2. dia
A Számítógépes vírusok
1. IS2PRI2 02/96 B.Könyv SIKER A KÖNYVELÉSHEZ. 2. IS2PRI2 02/96 Mi a B.Könyv KönyvelésMérlegEredményAdóAnalitikaForintDevizaKönyvelésMérlegEredményAdóAnalitikaForintDeviza.
Számítógépes Vírusok.
Készítette: Vaszily Zsolt MF-03 Miskolc, október 05. Számítógépes vírusok napjainkban.
Module 1: A Microsoft Windows XP Professional telepítése
DRAGON BALL GT dbzgtlink féle változat! Illesztett, ráégetett, sárga felirattal! Japan és Angol Navigáláshoz használd a bal oldali léptető elemeket ! Verzio.
A vírusokról.
A programozás alapjai A számítógép számára a feladat meghatá- rozását programozásnak nevezzük. Ha a processzor utasításait használjuk a feladat meghatározásához,
szakmérnök hallgatók számára
A számítógép alapegységei. A számítógép a belsőleg tárolt program segítségével automatikusan hajtja végre a programokat. A memória utasítások és adatok.
Körlevél.
Logikai szita Izsó Tímea 9.B.
2007. május 22. Debrecen Digitalizálás és elektronikus hozzáférés 1 DEA: a Debreceni Egyetem elektronikus Archívuma Karácsony Gyöngyi DE Egyetemi és Nemzeti.
Bemutatkozás Név: Vespi Gábor Kelt: december 27.
A klinikai transzfúziós tevékenység Ápolás szakmai ellenőrzése
Visual Basic 2008 Express Edition
Vírusok, vírusvédelem.
Vírusok Rosszindulatból írt programok. A gépekben kárt okoznak főleg szofveresen. Terjedésük: adathordozókon, vagy hálózaton keresztül Jelenlétükre utaló.
A számítógépes vírusokról TIPP További tanácsokat a NORTON AntiVirus kézikönyvében találhat!
1. Melyik jármű haladhat tovább elsőként az ábrán látható forgalmi helyzetben? a) A "V" jelű villamos. b) Az "M" jelű munkagép. c) Az "R" jelű rendőrségi.
Vírusok eltávolítása. Vírusok eltávolítására két módszert ajánlanak Az első a biztonsági másolatról történő helyreállítás Biztonsági másolat hiányában.
Mérés és adatgyűjtés laboratóriumi gyakorlat - levelező Sub-VI és grafikonok 1 Mingesz Róbert V
Számítógépvírusok.
11. TÉTEL Az Ön feladata munkahelyén egy újonnan vásárolt munkaállomás operációs rendszerének feltelepítése. Ismertesse milyen szempontok alapján választja.
Az operációs rendszer feladata
Malware Elsőfajú malware: vírusok, programférgek, trójai- és backdoor programok, logikai bombák; Másodfajú malware: kémprogramok, betárcsázók, adware,
> aspnet_regiis -i 8 9 TIPP: Az „Alap” telepítés gyors, nem kérdez, de később korlátozhat.
A vírus fogalma, típusai Vírusirtás Védelem
Előadó: Golyena Tamás Vírusok. 2 Tartalom Vírusokról Vírusok csoportosítása Kémprogramok (spyware) Hogyan védekezzünk a vírusok ellene?
XII.tétel VírusokVírusok. a ) Mik azok a vírusok? A vírusok olyan programok, programrészek, vagy más utasítássorozatok összessége, melyek futáskor a nevükhöz.
Számítógépes hálózatok Páll Boglárka. Meghatározás A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese. Például:
Olyan, rendszerint kisméretű programok vagy programrészek, amelyek észrevétlenül terjedjenek és kárt okoznak. A felhasználó tudta nélkül működnek. Képesek.
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
Bevezetés az informatikába 3. előadás Software alapismeretek II Operációs rendszerek 1. A DOS operációs rendszer.
A ROM ÉS A BIOS. K ÉSZÍTETTE R ELL P ATRIK A ROM A ROM egy olyan elektrotechnikai eszköz, amely csak olvasható adatok tárolására alkalmas memória. Tartalma.
Szoftverek csoportosítása
SZÁMÍTÓGÉPES VÍRUSOK. Fogalma Olyan program, amely saját másolatait helyezi el más, végrehajtható programokban vagy dokumentumokban. Többnyire rosszindulatú,
A számítógépes vírusok meghatározása, működése A számítógépes vírus olyan program, amely saját másolatait helyezi el más, végrehajtható programokban vagy.
Vírusok. Számítógépes vírusok 1. Számítógépvírus fogalma: Olyan speciális, önmagát szaporítani képes program, amely más programokba beépülve különböző.
S ZÁMITÓGÉPES KÁRTEVŐK Tanuló: Tóth Zsolt Tanár: Kókai Anasztázia Iskola: Jovan Jovanović Zmaj Általános Iskola Magyarkanizsa, Iskola tér 1.
Az operációs rendszer feladatai
Ubuntu – ismerkedés Fájlok és könyvtárak
Hálózati architektúrák
Előadás másolata:

Készítette: Schveibert Róbert

Miért kártékony programok ? erőforrásokat kötnek le (CPU, memória, lemez) program, vagy adatvesztést okozhatnak még súlyosabb a kár, ha hibás a víruskód (DOS boot vírus UNIX lemezen) laikus, kapkodó felhasználó kezd el írtani erkölcsi károkat okozhat a cégeknek Foglalkozni kell velük! Embereket, pénzt köt le! Készítette: Schveibert Róbert

Vírusok meghatározása Olyan programok, melyek a rendszerbe ENGEDÉLY NÉLKÜL lépnek be önmaguk (esetleg módosított) változatát más, „gazda” programokhoz fűzve SZAPORODNAK bizonyos feltételek teljesülése esetén ROMBOLHATNAK (nem biztos) Készítette: Schveibert Róbert

Kártékony programok csoportosítása Vírusok Rendszervírusok (boot szektor, MBR) Programvírusok („klasszikus” vírusok) Alkalmazás vírusok (makróvírusok) Egyéb kártékony programok (MalWare) Készítette: Schveibert Róbert

Egyéb kártékony programok - MalWare - Készítette: Schveibert Róbert

Készítette: Schveibert Róbert MalWare típusok Ezeket sem szeretjük, de vírusoknak a definíció alapján mégsem tekinthetők Trójai programok (nem szaporodnak) ANSI bombák (nem szaporodnak) Programférgek (nincs „gazda” program) Vírushordozók (csak a „termék” kártékony) Vírusgenerátorok (csak a „termék” kártékony) Készítette: Schveibert Róbert

MalWare Trójai programok Olyan program, ami látszólag hasznosat, vagy érdekeset csinál, de káros, nem kívánt mellékfunkciókat is végrehajt mellette. Jellemző változatai: Hálózat felderítő programok (pl. login.exe módosítása) Másolásvédelem (pl. BIOS sorszám figyelése) Beépített vírust tartalmazó programok (adott feltétel teljesülése esetén szabadon engedi a vírust) Időzített bombát tartalmazó programok (adott idő után megszűnik működni - próba verzióknál normális) Készítette: Schveibert Róbert

Készítette: Schveibert Róbert MalWare ASCII vírusok Víruskód szöveges állományban van, aktiválni egy batch fájl segítségével lehet (inkább rejtőzködés) átnevezés: ren virus.txt virus.com másolás: type virus.txt > virus.com copy virus.txt virus.com > nul debug: debug < virus.txt Aktiválás után azonnal rombol, majd kimúlik (leggyakoribb eset) ASCII vagy “klasszikus” vírusként szaporodik Készítette: Schveibert Róbert

Készítette: Schveibert Róbert MalWare ANSI bombák A DOS ANSI.SYS meghajtója lehetővé teszi, hogy billentyűkkel programokat indíthassunk. (pl. F10 > dir) Az aktiválás minden olyan eszközzel lehetséges, melynek outputja a képernyő: type - vírus a szövegbe, vagy bináris fájlban dir - vírus a katalógusban prompt Készítette: Schveibert Róbert

MalWare ANSI bombák - folytatás Ha az indított program megerősítést kér, az echo paranccsal vagy átirányítással becsapható: echo y | del *.* del *.* < x.txt (az x.txt tartalma ’y’) Ha nem töltjük be az ANSI.SYS-t, nem működnek A DOS-szal együtt az ANSI bombák kihalnak... Készítette: Schveibert Róbert

MalWare Programférgek A UNIX rendszerek biztonsági réseit kihasználó programok. Céljuk általában az információ szerzés (pl. jelszótáblák, firewall). Nem irtották őket, hanem kijavították az operációs rendszer hibáit, így nem terjedtek el. Szaporodik, de nem igényel hordozót. Készítette: Schveibert Róbert

MalWare Vírustároló programok Injektor - “vírusgazda”, ő maga nem beteg, de fertőz Germ - normális úton terjedni nem képes vírusokhoz Dropper - indítás után előállítja a vírust, majd szabadon engedi. A Dropper nem kértékony, róla nem készül másolat sem Készítette: Schveibert Róbert

MalWare Vírusgenerátorok Eredetileg: Az Assembly kód módosítása Paraméterei: új sorok szám, módosítandó tartomány Virus Mutator, Dark Avenger, TridentT stb. Újabban: A víruskészítés TELJES automatizálása, már nem kell programozni sem tudni! Paraméterei: lopakodó, titkosított, aktiválás stb Demolition Kit, MVDK, Crazy Bits stb. Készítette: Schveibert Róbert

Rendszervírusok (Boot rekord, Partíciós tábla) Készítette: Schveibert Róbert

Az operációs rendszer betöltése A Winchester 0. sávjának 0. szektorában (Master Boot Record, MBR) lévő program elindul, feladata, hogy az ugyancsak itt elhelyezkedő Partíciós táblából meghatározza, melyik partíció aktív, és ráadja a vezérlést az ott lévő betöltő programra (Boot record) Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Boot vírusok működése Mivel az MBR-ben, illetve a boot rekordban található program indul először (még az operációs rendszer betöltése előtt !!!), feltétlen ellenőrzése alá vonhatja a vírus a gépet. Megelőzés: Hardver (alaplap, kártya) védelem Helyreállítás: FDISK /MBR, vírusirtók Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Programvírusok Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Programvírusok Megfertőzhető állományok COM Max. 64 Kbájt hosszú (COMMAND.COM!) EXE Kicsit bonyolultabb szerkezet (EXE Header) SYS Eszközmeghajtók OVL Overlay állományok BIN végrehajtható kódú bináris állomány OBJ LIB Tárgykódos vagy könyvtárállományok Egyéb Windows-os állományok (DLL, PIF, DOT, stb.) Készítette: Schveibert Róbert

A számítógépvírus részei Reprodukciós rutin Aktiválási mechanizmus ellenőrzi bizonyos feltételek teljesülését, illetve események bekövetkezését ha a feltételek teljesülnek, aktiválja a vírust Objektív (büntető) rutin romboló utasítások “reklámszövegek”, ijesztgető feliratok stb. Készítette: Schveibert Róbert

Készítette: Schveibert Róbert A reprodukciós rutin Víruskód futtatása Célpont keresése - program - boot szektor - partíciós tábla (végrehajtási sorrend) Program módosítása (már fertőzött) Megjelöli a programot Víruskód beillesztése Fertőzött a célpont? nem igen Készítette: Schveibert Róbert

Vírusok csoportosítása Generációk szerint Fertőzési sebesség szerint Visszafejthetőség szerint Objektív (büntető) rutin szerint Elhelyezkedés szerint Fájlban Memóriában Készítette: Schveibert Róbert

Vírusok csoportosítása Generációk szerint Első generációs vírusok Egyszerű terjedésű, könnyen visszafejthető vírusok Lopakodó (stealth) vírusok Mindent az eredeti fertőzésmentes állapotban mutat Polimorf, mutációs vírusok Terjedés közben átírja magát, több változat készül FAT és CEB (companion) vírusok FAT: Egy példányban írja fel magát az utolsó clusterbe CEB: DOS programindítási rendszerét használja ki Készítette: Schveibert Róbert

Vírusok csoportosítása Fertőzési sebesség Lassú fertőző (Általában a nem rezidens vírusok ilyenek) A fertőzött program indítása után keres egy-két áldozatot, és azt megfertőzi Gyors fertőző Minden elindított, vagy megnyitott fájlt megfertőz. Egy nem tökéletes víruskereső, amely minden fájlt megnyit, végigfertőzheti az összes fájlt. Készítette: Schveibert Róbert

Vírusok csoportosítása Visszafejthetőség Nem ellenálló Könnyen visszafejthető, elég a DEBUG, vagy egy DISASSEMBLER Billentyűzet letiltó Letiltja a DEBUGGER billentyűzet kezelését Titkosító Kódolja magát, a visszafordított kód értelmetlen Készítette: Schveibert Róbert

Vírusok csoportosítása Objektív (büntető) rutin szerint Romboló szándékú Fizikailag romboló (winchester, IC) Erőteljesen romboló (format) Részlegesen romboló (bad sector) Szelektíven romboló (bizonyos programokat támad) Nem romboló szándékú ("jópofa") Szöveg, zene, grafika megjelenítése Billentyűzet átdefiniálás stb. Objektív rész nélküli Készítette: Schveibert Róbert

Vírusok csoportosítása Elhelyezkedés a fájlban Nem felülíró típusok Hozzáfűző (appendelő) Kód elé beszúró Felülíró típusok Program elejére író Véletlenszerű helyre író Felülíró és nem felülíró hibrid típusú Exe fejlécbe (stack terület) telepedő Command.com-ba telepedő Speciális (FAT, CEB) vírusok Készítette: Schveibert Róbert

Vírusok csoportosítása Elhelyezkedés a memóriában Rezidens (kikapcsolásig a memóriában marad) TSR (Terminate and Stay Resident) Felső memóriába installálja magát Videomemória kihasználatlan részében MCB (Memory Control Block) keresztül DOS puffereiben memória tetejében mindig ugyanarra a címre tölti be magát 640 KB feletti részen Nem rezidens (csak a végrehajtás ideje alatt) Vegyes (az objektív rutin rezidens, a szaporodó tranziens) Készítette: Schveibert Róbert

Polimorf, mutációs vírusok Alapötlet: Nehezebb felfedezni egy vírust, ha mindig más alakot ölt ! Kódoló (encryptor) Vírusmag Dekódoló (decryptor) Kódolt rész Nem kódolható Változó KULCS Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Változó bináris kód Változó kulcs (ezt mindegyik alkalmazza) Alternatív műveleti kód pl. MOV AX, BX 89D8 vagy 8BC3 Egyenértékű utasítássorozatok váltogatása pl. MOV AX, CS PUSH CS MOV DS, AX POP DS Hatástalan utasítások beszúrása - pl. NOP, vagy PUSH AX, POP AX Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Permutációs vírusok VIR1 VIR2 VIR3 PRG1 JMP VIR2 JMP VIR3 JMP PRG1 JMP VIR1 JMP PRG2 JMP PRG3 JMP PRG4 PRG2 PRG3 PRG4 A vírus egyes részei nem összefüggően nem állandó sorrendben nem feltétlenül kódoltan jelennek meg. pl. OneHalf Készítette: Schveibert Róbert

Rejtőzködés Lopakodó vírusok (stealth) Egyszerű lopakodó: az eredeti file méretet mutatja, de a fájlt megnyitva észrevehető Teljesen lopakodó: Mindent a fertőzés előtti állapotban mutat Technika: Memory Control Block módosítása Nem dokumentált DOS funkciók használata DOS függvények ellenőrzése (25/26h disk I/O, 28h bill./mon. I/O - titkos!) Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Rejtőzködés Companion (CEB) vírusok Rendszerfüggő (főleg DOS), az eltérő végrehajtási sorrendet (pl. COM > EXE > BAT használja ki. Általános companion: Az EXE fájllal azonos könyvtárban hoz létre fertőzött, azonos nevű COM-ot Path companion: A fertőzött COM-ot a keresési útvonalban korábban szereplő könyvtárba teszi (vagy módosítja a keresési útvonalat) Alias companion: kihasználja, hogy a DOSKEY makróknak elsőbbsége van Készítette: Schveibert Róbert

Rejtőzködés FAT vírusok A vírus a lemez utolsó (bad sector-nak jelzett) clusterében ül. A programok kezdetét önmagára irányítja, az eredeti FAT-et kódolja Egyetlen példányban létezik, de az összes programra hat Ha aktív, semmi nyoma nincsen Ha nem aktív, másoláskor CSAK a vírus megy! Készítette: Schveibert Róbert

Vírusvédelmi módszerek Szignatúra vagy bájtminta keresés Ismert vírusokat eltávolító védelem Heurisztikus keresés Ellenőrző összeges védelem Általános rendszerfelügyelő védelem Hardveres védelem Vegyes védelmi módszerek Az operációs rendszer vírusvédelme Hálózatok védelme Készítette: Schveibert Róbert

Szignatúra, vagy bájtminta keresés Vírusra jellemző adatok és utasítás sorozatok keresése a programban (esetleg nemcsak egy helyről). Például a hexa FC8BF281C60A00 megfelel a következő utasításoknak: FC CLD 8BF2 MOV SI,DX 81C60A00 ADD SI,000A Ha ez az utasítássorozat jellemző egy vírusra, akkor ennek alapján lehet keresni (CSAK ISMERT vírusok!) Lehet dzsóker karakterekkel kombinálni FCF281C60A00 helyett FC?281C*60A00 Készítette: Schveibert Róbert

Ismert vírusokat eltávolító védelem A szignatúra kereséssel ellentétben, ez nemcsak felismeri a vírusokat a bájtminta alapján, hanem el is távolítja. Tudni kell hozzá, hogy a vírus milyen módosításokat végez a megtámadott objektumon. Figyelni kell, hogy a vírus melyik variánsa szerepel, mert kiirtásuk módszere nem feltétlenül azonos. Igen precíz azonosítás szükséges, ehhez több szignatúrát használ a vírusirtó program. Nem megfelelő eltávolítás esetén az antivírus program is rombolhatja az objektumot! Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Heurisztikus keresés Nem szignatúrákat keres a program, hanem műveletei és viselkedése alapján dönti el egy programról. hogy vírus-e. Processzoremulátorral futtatja a kereső a programokat. 1. Általános heurisztikus keresés Vírusra utaló műveleteket figyel a program futtatásakor (végrehajtható állományokba, boot szektorba akar írni, program végére mutató ugróutasítással kezdődik) 2. Specifikus heurisztikus keresés Számolja az azonos csoportba tartozó utasításokat. (pl.: MOV reg, reg; MOV reg,cím; stb.), Ha csoportok száma valamilyen vírusra jellemző, figyelmeztetnek. Készítette: Schveibert Róbert

Ellenőrző összeges védelem 1. A lemezen tárolt programok, boot-szektor és partíciós tábla ellenőrző összegeivel számol. (integrity checker). 2. A tárolt hexadecimális értékeket valamilyen algoritmus segítségével elkódolja egy értékkel. CRC - Cyclic Redundancy Check. 3. A CRC értéket eltárolja. 4. Később újra kiszámolva a CRC érték ugyanaz kell legyen. 5. Az eltárolt CRC értéket a program végén vagy külön állományban tárolja. Készítette: Schveibert Róbert

Általános rendszerfelügyelő védelem Monitor vagy felügyelőprogram. Rendszerindítás után rezidens állapotban a memóriában marad és onnan felügyel a programokra. ellenőrzi a futatott programok működését, illegális lemez és memóriakezelésnél figyelmeztet, azokat az interruptokat figyeli, melyeket rendszerint vírusok hívnak meg. Heurisztikus és szignatúra keresés egyaránt. Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Hardveres védelem Kártyán keresztül valósul meg, hamarabb elindul a figyelés mint a bootolási folyamat (alaplapon is). Nem enged fertőzött boot lemezről bootolni. Követelmények: Ne zavarja sokszor a felhasználót. Legyen benne heurisztikus és szignatúra kereső, az utóbbi ne avuljon el, legyen frissíthető. Automatikusan induljon a gép indításakor. Készítette: Schveibert Róbert

Hardveres védelem - folytatás Követelmények - folytatás: Támogassa a hozzáférés-védelmet, írásvédelmet és más adatbiztonsági szolgáltatásokat. Minden szoftverrel fusson együtt. A kártya lássa a memóriát, de a memória ne lássa a kártyát, hogy a vírusok elől védve legyen. Felhasználói programokból rendszerhívásokkal elérhető legyen. Készítette: Schveibert Róbert

Vegyes védelmi módszerek Védőoltás a megfertőzhető programoknak Program létrehozási idejének átállítása. Hossz megváltoztatása. Azonosító hozzáadása a programhoz. Boot szektorba és partíciós táblába bájtok beírása. Környezeti változó beállítása. Program végéhez immunrutin hozzáadása. Hardver-Szoftver írásvédelem használata Csali programok Készítette: Schveibert Róbert

Az operációs rendszer vírusvédelme A vírusok az operációs rendszerek gyengégit használják ki. Antivírus program az operációs rendszerhez. Figyelni kell melyik program milyen állományokhoz férhet hozzá. Tartalmazzon nem manipulálható ellenőrző összeges védelmet. Hardveres memória-védelem. Biztonságosabb operációs rendszerek kifejlesztése. Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Hálózatok védelme Az eddigi felsorolt védelmek is jól használhatók hálózatokban, de általában a hálózatok eleve tartalmaznak valamilyen védelmet. Felhasználók azonosítása, fájlok, könyvtárak különböző szintű elérése, memóriarészek védelme. Vírusvédelemmel kombinálva, jó védelmet nyújthatnak. A keresésnek figyelembe kell venni, hogy a hálózati meghajtók más felépítésűek mint a floppy vagy a winchester. Központi gépen és a munkaállomásokon is kell a védelem. Készítette: Schveibert Róbert

Vírusvédelmi tanácsok A vírusfertőzési veszély jelentősen csökkenthető, bizonyos biztonsági szabályok betartásával. Néhány óvintézkedéssel jelentősen csökkenthetjük a fertőzésveszélyt illetve az esetleg keletkező kár mértéket. Vírusfertőzés megelőzése detektálása azonosítása helyreállítása Készítette: Schveibert Róbert

Vírusfertőzés megelőzése Víruskapuk ellenőrzése Oktatás Adatforgalom ellenőrzése Backup Antivírus szoftverek használata Készítette: Schveibert Róbert

Vírusfertőzés megelőzése: Víruskapuk Nem winchesterről vagy floppyról töltjük be az operációs rendszert, hanem Eprom-ról. Csak biztosan tiszta boot programmal és partíciós táblával rendelkező lemezről indítunk. Figyeljük milyen programokat indít az autoexec.bat illetve a config.sys. Program futtatáskor biztosan legyen tiszta, vírusmentes. Csak jogilag tiszta, vásárolt programot használjunk. Vigyázzunk a másolásvédelemmel ellátott programokkal, ezek is tartalmazhatnak romboló rutint. Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Vírusfertőzés megelőzése: Oktatás A rendszergazda a felhasználókkal: készítse fel őket az esetleges veszélyekre (vírusok, trójai programok, férgek) az általános védelmi eljárásokat ismertesse velük. Készítette: Schveibert Róbert

Vírusfertőzés megelőzése: Adatforgalom vizsgálata Rendszer és más gépek között csökkenteni kell az adatok forgalmát. Más hálózatokról letöltött programokat futtatás előtt ellenőrizni, tesztelni kell. Készítette: Schveibert Róbert

Vírusfertőzés megelőzése: Backup Gyári installációs lemezeket installálás előtt tegyük írásvédetté és készítsünk róluk biztonsági másolatot. Az általunk használt egyéb programokról is készítsünk másolatot, illetve legyen biztosan és gyorsan elérhető forrásunk. Adatainkat sűrűn mentsük el, a régebbi adatok esetleges felülírásával. Figyeljünk arra, hogy az elmentett állományok nehogy fertőzöttek legyenek! Készítette: Schveibert Róbert

Vírusfertőzés megelőzése: Antivírus termékek Antivírus termékek használatával elérhetjük, hogy minél több vírust felismerhessünk rendszerünkben. Használjuk a víruskeresők memóriarezidens figyelő modulját. A vírus fertőzést megelőző program: általános rendszerfelügyelő vagy monitor program ellenőrző összeges program Mindig legyen rendszerlemezünk segédprogramokkal (vírusirtó program, fdisk, sys, ndd, stb.)! Készítette: Schveibert Róbert

Vírusfertőzés detektálása: Vírusra utaló jelenségek Furcsa viselkedés a gép részéről. Programok hossza, létrehozási dátuma megváltozik. Furcsa állományok, könyvtárbejegyzések keletkeznek Szokatlan dolgok jelennek meg a képernyőn. Csökken memóriaterület, bad szektorok jelennek meg Állományaink eltűnnek. Lemez, vagy fájl tartalom sérül Feltűnően sokat nyúl a lemezhez egy program Különböző hibák jelentkeznek a gépen Víruskeresőnk vírust mutat ki Készítette: Schveibert Róbert

Vírusfertőzés helyreállítása Jó vírusölő segítségével, ami a fertőzött programokat képes eredeti állapotukba visszaállítani. A vírus hibáját kihasználva a vírus önmagát távolítja el a rendszerből. Lementett adatok és programok visszatöltésével. Kézi módszerrel: például boot vírus esetén indítsuk újra a gépet rendszerlemezről. Segédprogramokkal távolítsuk el a vírust. (sys, fdisk /mbr, diskedit). Végső esetben alacsony szintű formázás segíthet, ha ez sem működik, akkor vírusokkal foglalkozó szakemberhez kell fordulni. Készítette: Schveibert Róbert

Ismertebb kereső és irtó programok Általában shareware vagy freeware termékek. Regisztrációjukkal több vírusmintát, vagy több funkciót (irtás, immunizálás stb.) tartalmazó programhoz jutunk. MacAfee VirusScan Thunderbyte Antivirus F-prot Microsoft AntiVirus Készítette: Schveibert Róbert

Makróvírusok (Alkalmazás vírusok) Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Mi is az a makró ? Makró = névvel rendelkező, automatikusan ismételhető utasítássorozat Operációs rendszerek makrói: DOS (OS/2) batch, Macro Assembler, Windows 3.x Makrórögzítő Alkalmazások makrói: Word, Excel, AmiPro, Lotus, Access stb. Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Makró vírusok Tágabb értelemben: a Batch és ASCII vírusok is ide tartozhatnak PLATFORMFÜGGŐ Szűkebb értelemben: Felhasználói alkalmazások makrói PLATFORM FÜGGETLEN DOKUMENTUMOKKAL TERJED Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Az első makróvírusok 1993 Telix (kommunikációs program scriptje) 1994 DMV (kísérleti Word makróvírus) 1995 Concept !!! (az első igazi makróvírus) 1995-98 Tendencia: Boot/File Makró 1998 … több, mint 2000 ! Készítette: Schveibert Róbert

Makróvírusok gyarapodása Forrás: DataFellows Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Miért “előnyösek”? A vírusirtók “elaludtak”... A gyakori, gyanútlan dokumentumcsere Internet/Intranet fejlődése Word, Excel fejlődése és terjedése Nem kell mélyebb ismeret az írásához Dokumentumcsere több platformon, sőt alkalmazások között is (OLE) Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Gyors terjedés Internet letöltések E-mail csatolások Egységes dokumentumkezelés (OLE2) Floppy CD mellékletes balesetek Készítette: Schveibert Róbert

Makróvírusok tulajdonságai Csak a makrónyelv lehetőségei között mozoghat Nagy CPU és memóriaigény lelassul a futás, könnyebben észrevehető Fertőzés területei: doc, dot, xl?, smm, mdb, wp*, wk*, wiz, wzs, cdr Készítette: Schveibert Róbert

Word dokumentum elemei Dokumentumok: Szöveg (ábrák, formátumok) Stílusok (betű, bekezdés, keret, tabulátor…) Sablonok (a fentieken kívül): Makrók, gyorsszövegek (autotext) Menü, eszköztár, gyorsbillentyű beállítások Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Sablonok jellemzői (Dokumentum-típusokhoz tartozó tervek) Makrót CSAK sablon tartalmazhat, “igazi” dokumentum NEM! A sablonok kiterjesztése .DOT, de NEM FELTÉTLENÜL ! (A Word bármilyen kiterjesztés esetén felismeri, tehát DOC, RTF is lehet) A Word indításakor automatikusan betöltődő sablon a NORMAL.DOT Készítette: Schveibert Róbert

Készítette: Schveibert Róbert A Word változatai Word 2.0, Word 6.0, Word 95, Word 97 WordBasic --> Visual Basic for Applications (VBA) 16 bit API --> 32 bit API Általában felülről kompatibilisek Angol, Magyar, Német, Orosz, Kínai … Egyes makró utasítások csak a saját nyelvükön értelmezhetők Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Word vírusok működése Betöltés DOC-nak álcázott DOT (sablon) DOC-hoz csatolt sablonon keresztül Vezérlésátadás (aktivizálódás, rezidenssé válás) Automakrók (AutoExec,-New,-Open,-Close,-Exit) Belső parancsok átdefiniálása (pl. FileSave) Billentyűzet, Eszköztár, Menü átdefiniálása Makrógomb, űrlapmező beszúrása a DOC-b Készítette: Schveibert Róbert

Szaporodási mechanizmus NORMAL.DOT - elsődleges célpont A betöltés, változás nyugtázása letiltható Az AutoMacro-k letilthatók *.DOT a STARTUP könyvtárban Az AutoMacro-k nem hajtódnak végre WINWORD /mmakrónév Külső sablon hívása parancssorból Készítette: Schveibert Róbert

Károkozási lehetőségek Külső erőforrások segítségével Katalógus- és fájlműveletek Task kezelés (elrejtés, indítás, leállítás) BIOS hívások (Debug, dropperként működhet) Belső erőforrások Üzenet, ábra megjelenítése, nyomtatása Nyelvi trükkök (szócsere, betűcsere) Jelszó elhelyezése (feltörhető, de bosszantó) Készítette: Schveibert Róbert

Lopakodási lehetőségek Execute Only (MacroCopy) “Kellemetlen” menüpontok eltüntetése vagy átdefiniálása Makró forrás elrejtése a Gyorsszöveg mezőbe Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Mutációs lehetőségek Minden módszer működik, ami a klasszikus vírusoknál Rutinok permutációja, átnevezés, hatástalan utasítások beszúrása stb. DE ! Execute Only makro nem változtatható, a nem titkosított pedig könnyen észrevehető. Készítette: Schveibert Róbert

Készítette: Schveibert Róbert Excel vírusok Makrónyelv: az Excel 5.0-tól a VBA Sablonok: a ..\XLSTART könyvtárban (Egyéni makrófüzet: ..\xlstart\Personal.xls) Dokumentum is tartalmazhat makró-lapot, ezért nem kell “trükközni”, mint a Word-nél Aktiválás a Word-höz hasonlóan (Automacro stb.) Rombolás: a VBA keretein belül mindent lehet Titkosítás: CSAK a makrólap elrejtésével Készítette: Schveibert Róbert

Készítette: Schveibert Róbert AmiPro makrovírusok A makrókat külön fájlban tárolja (*.smm) Védekezés: az SMM állomány törlésével Eddig EGYETLEN ilyen vírust írtak !!! Készítette: Schveibert Róbert

Makróvírusok megelőzése Víruskapuk ellenőrzése (floppy, mail, www, ftp) AutoMacro-k letiltása Másolatok készítése (sablonokról is!) Normal.dot csak olvashatóvá tétele Office 97 makróellenőrzési lehetőségei Makrókat nem ismerő nézegetők, formátumok használata (WordView, RTF) Készítette: Schveibert Róbert

Makróvírusok detektálása Menüpontok eltűnése Mentési formátumok megváltozása Megváltoznak az eszköztár, makró beállítások Lassul a gép, nagy állományok keletkeznek Szokatlan grafikák, szövegek a képernyőn Mentési nehézségek (Már létezik, Tele a lemez) Készítette: Schveibert Róbert

Makróvírusok eltávolítása Legjobb az elmentett állományok visszatöltése! Víruskeresők DOS (Gyors, kicsi, DE kevésbé megbízható) Windows (Megbízhatóbb, beépíthető, DE az operációs rendszer védi a futó alkalmazásokat) Kézi vírusirtás Szinte reménytelen Hasznos lehet a Normal.dot törlése Készítette: Schveibert Róbert

Néhány vírusvédelmi rendszer McAfee - www.mcafee.com VirusScan, WebScanX, NetShield Datafellows - www.datafellows.com F-PROT, F-SECURE for DOS, Win, Novell Virus Buster - www.vbuster.hu VisSec, VirusBuster for Win, Novell, Excel (!) Készítette: Schveibert Róbert

Visszajelzés: Adatvédelmi irányelvek Visszajelzés
Projectumról: SlidePlayer Felhasználási feltételek

© 2024 SlidePlayer.hu Inc. All rights reserved.