ВУЗ:
Составители:
33
Программные средства для защиты от троянских программ
используют так называемое согласование объекта. При этом в
качестве объектов фигурируют файлы и каталоги, а согласование
заключается в установлении факта неизменности файлов и ката-
логов с момента последней проверки. В процессе согласования
характеристики объектов сравниваются с характеристиками, ко-
торые они имели раньше. Например, архивная
копия системного
файла и ее атрибуты сравнивается с атрибутами этого же файла,
находящегося на диске в данный момент времени.
Одним из атрибутов любого файла являются сведения о
времени его последней модификации, которое фиксируется авто-
матически при внесении поправки в файл. Но фиксация времени
модификации файла не может служить надежным признаком
на-
личия в системе троянской программы, так как можно подкру-
тить системные часы назад, модифицировать файл, а затем снова
вернуть часы в исходное состояние, и отметка времени об изме-
нении файла останется неизменной. Если доступ к системным ча-
сам для пользователя запрещен, то такой метод выявления про-
граммной закладки может оказаться
действенным.
Для обнаружения программной закладки можно использо-
вать контроль размера файла. Если файл текстовый и занимает на
диске, например 10 Кбайт, то после незначительного редактиро-
вания он будет иметь такой же размер, иначе говоря, килобайт не
является достаточно точной единицей определения размера фай-
ла. Иначе обстоит дело с двоичными файлами. Внедрить
посто-
роннюю программу в исходную с точностью до одного бита при
сохранении работоспособности исходной программы после ком-
пиляции – задача далеко не простая.
Злоумышленник обычно пытается сделать троянскую про-
грамму частью системного файла. Такие файлы входят в дистри-
бутив операционной системы, и их присутствие на компьютере
вполне обоснованно. Но любой системный файл
имеет известную
длину, определяющую эталон контрольной суммы битов. Если
этот атрибут будет изменен, то пользователь обратит на это вни-
мание. Для маскировки злоумышленник тщательно проанализи-
рует исходный текст соотоветствующей программы на наличие
избыточных элементов, удалит их и вставит в сократившуюся
программу свою закладку. Если размер полученного двоичного
33
Программные средства для защиты от троянских программ
используют так называемое согласование объекта. При этом в
качестве объектов фигурируют файлы и каталоги, а согласование
заключается в установлении факта неизменности файлов и ката-
логов с момента последней проверки. В процессе согласования
характеристики объектов сравниваются с характеристиками, ко-
торые они имели раньше. Например, архивная копия системного
файла и ее атрибуты сравнивается с атрибутами этого же файла,
находящегося на диске в данный момент времени.
Одним из атрибутов любого файла являются сведения о
времени его последней модификации, которое фиксируется авто-
матически при внесении поправки в файл. Но фиксация времени
модификации файла не может служить надежным признаком на-
личия в системе троянской программы, так как можно подкру-
тить системные часы назад, модифицировать файл, а затем снова
вернуть часы в исходное состояние, и отметка времени об изме-
нении файла останется неизменной. Если доступ к системным ча-
сам для пользователя запрещен, то такой метод выявления про-
граммной закладки может оказаться действенным.
Для обнаружения программной закладки можно использо-
вать контроль размера файла. Если файл текстовый и занимает на
диске, например 10 Кбайт, то после незначительного редактиро-
вания он будет иметь такой же размер, иначе говоря, килобайт не
является достаточно точной единицей определения размера фай-
ла. Иначе обстоит дело с двоичными файлами. Внедрить посто-
роннюю программу в исходную с точностью до одного бита при
сохранении работоспособности исходной программы после ком-
пиляции – задача далеко не простая.
Злоумышленник обычно пытается сделать троянскую про-
грамму частью системного файла. Такие файлы входят в дистри-
бутив операционной системы, и их присутствие на компьютере
вполне обоснованно. Но любой системный файл имеет известную
длину, определяющую эталон контрольной суммы битов. Если
этот атрибут будет изменен, то пользователь обратит на это вни-
мание. Для маскировки злоумышленник тщательно проанализи-
рует исходный текст соотоветствующей программы на наличие
избыточных элементов, удалит их и вставит в сократившуюся
программу свою закладку. Если размер полученного двоичного
Страницы
- « первая
- ‹ предыдущая
- …
- 31
- 32
- 33
- 34
- 35
- …
- следующая ›
- последняя »
