Jump ax - переходит по данному адресу

Если доступ к dr0 запрещен, то мы не можем перейти по данному адресу, а соответственно ход программы будет нарушен.

Трик номер 1 предполагает шифрование кода программы с расшифровкой через отладочный регистр

Mov ax, 11111111h

Mov dr0, ax - сохраним ключ в отладочном регистре

Xor eax, OC.....Bh переносим в еах любой мусор

XOR 11111111h

Mov eax, dr0

XOR dword ph cs:[] eax

Второй рик основан на том, что при работе отладчика в защищенном режиме происходит потеря одного трассированного прерывания при установке любого номера регистра отладки. В данном случает можно использовать Трик 1 для отладчика реального режима времени.

Методы основанные на невозможности полного эмалирования отладчика среды загрузки программы.

Отладчика могут содержать намеренные или ненамеренные ошибки в алгоритме работы с регистрами, так де могу неотслеживаться некоторые обращения к некоторым API функциям. Отладчик софт айс работает таким образом, что не может вызовы некоторых функций обработать

Mov bx, 202h;

Mov ax, 1684h;

Xor di, di;

Int 21h or di di

Jnz soft ice

Притсутвие отладчика турбодебаггер можно определить по особенностям перехвата прерывания int 00. Далее он устанавливает свой адреса обработки и передает управление в ядро отладчика. Соответственно по результатм работы с данным пребыванием можно констатировать присутствие отладчика в оперативной памяти. Можно так же рассматривать определенные нарушения правил соотвествия в работе регистров так же как присутвие отладчика в памяти или работающего отладчика, устанавливается некоторое равенство в работе Ds-Dx Si = IP. DI = SP. при условии неравенства данного регистра так же является признаком присутствия отладчика. Так же можно определить присутвие отладчиков в оперативной памяти следующим образом:

Отладчики турбодебегер, codewiew предполагают:

1. Использования стека программы, которые отлаживаются

2. Используются прерывания Int 1 и int3 для трассировки

3. Используют перехват прерываний int0,1,3

4. Может перехватывать регистры портов

5. Некорректно работает с видеобуфером

6. Некорректное выставление начальных значений регистров

7. В некоторых случаях неправильное дизассемблирование

Особенности soft ice

Deglucker

1. Некорректное переключение видео режимов

2. Не может перехватывать порты ввода/вывода работа с API функциями через int 15 h

Итоги

1. Трики неуверсальны

2. Зависят от архитектуры процессора и от инструментов отладки

В общем случае можно отметить общие для всех признаки:

1. Использование прерываний int 1, int 3 для нужд отладчика

2. Частая смена стека программ

3. Передача информации через буфер клавиатуры.

4. Расшифровкой программ через стек

5. Переход на свои подпрограммы из обработкой прерываний

Ассемблер

Структура любой программы на ассамблере состоит из нескольких сегментов.

Сегмент стэка, сегмент данных, сегмент кода

Mov ax bx куда откуда

Регистр ECX, EDX, BX - егистры общего назначения для хранения и миграции данных

Регистр BP служит указателем базы при работе со стеком. Регистр SP - указатель вершины стека при выполнении каких либо команд

Регистр DI и SI хранят индекс (смещения) относительно некоторых базовых адресов, массивов, при выборке аперандов из памяти

Регистр ES - регистр указывающий на дополнительную область памяти

Cs - сегмент кода

Ds - сегмент данных

SS- регистр стека

Указатели на тип данных передаваемых в некоторую переменную

A dw 5 - указывает что мы в некоторую переменную а пересылаем два байта данных

Число 10 записывается в ячейку памяти сегментный адрес который находится в DS а смещение равно суммер регистров bx и SI.

mov b [BX+SI], 10

Вирус зарождающий MS-DOS exe файлы с учетом оверлеев. При заражении программа привязывается к данному компьютеру. При копировании заряжённой таким образом программы на другой компьютер программа там уже не работает.

Методы борьбы с РПВ делятся на классы

1. Общие методы защиты ПО от РПВ. В данный класс включают:

1. система контроля целостности системных областей и критических областей. (Контроль целостности)

2. Контроль цепочек прерывания и фильтрация вызовов критических прерываний. Злоумышленник в качестве мер противодействия данному методу защиты может:

1. Навязать конечные результаты проверок

2. Влияние на процесс считывания информации

3. Изменение хэш значений

3. Создание изолированной безопасной операционной среды.

4. Предотвращение результирования вредоносного ПО

2. Специализированные методы борьбы с РПВ

1. Использование прерываний обслуживающих носителей информации, системы передачи информации, таймер, система ввода информации.

2. Использование контроля воздействия на ПЗУ

3. Использование контроля над командами возврата управления из БИОС

4. Контроль команд используемых для работы с не документированными возможностями ПАС с командами миграции данных из БИОС в ОЗУ и командами опосредованно используемыми в рамках работы других команд.

В конечном итоге при рассмотрении изолированной прог среды, требуется определить параметры на которые вохдействует злоумышленник с целью считывания или записи, для того что бы выделить из в отдельный контекст работы ПО.

Потенциально злоумышленными действиями могут считаться могут считаться

1. Использование проверенных программ в непредусмотренных целях.

2. Использование программ в месте со сторонним непроверенным ПО

3. Использование программ в разрешенной но в непроветренной среде

Для того что бы снизить до минимума воздействие РПВ необходимо

1. Использование ЭВМ с повлеченным БИОС

2. Соблюдать неизменность ОС И БИОС

1. В рамках заданного сеанса

2. В рамках соблюдения мер по предсеансовой работе

3. Для постсеансовой работы (сохранение целостности системы контроля, сохранение целостности бла бла бла)

3. Контроль программных средств и наборов данных, участвующих в процессе обработки перед их использованием в сеансе.

4. Контроль областей памяти и условий запуска

5. Поддержка политики безопасности, разграничения доступа пользователей в том числе по паролю

Соблюдение. Всех выше заданных условий позволяет создать ИПС. Основными элементами которой является система контроля, целостности и активности процесса. При этом должна быть исключена возможность использования недекларируемых функций

Разновидности троянских программ и клавиатурных шпионов

Троян края программа использует дополнительные скрытые действия с целью причинения ущерба. Типология троянских программ многоаспектная, но принято выделять следующие типы

1. Клавиатурные шпионы

2. Похитители паролей

3. Утилиты удаленного управления С

4. Анонимные SMTP серверы и прокси

5. Модификации на троек браузера

6. Инстоляторы вредоносных программ

7. Загрузчики вредоносных программ

8. Уведомители об успешной атаке

9. Бомбы в архивал

10. Логические бомбы В рамках классификации трояков являются частью червей являются частью червей и вирусов

11. Утилиты дозвона - осуществляют доступ в интернет через платные сервисы.

Для распознавания троянской программы используют согласования объектов. Предполагается использование специальных контрольных данных на предмет определения модифицированности или добавления информации.

Для контроля используется наблюдение за объемом занимаемой памяти и хэш функций.

Клавиатурные шпионы

Клавиатурные шпионы могут отнсь как к троянам так и к программным закладкам. Различают три типа клавиатурных шпионов

1. Имитаторы - данные программы внедряются в ОС, имитируют диалоговую систему ввода информации для пользователя, переходит в редим ожидания приема пользовательской информации. Принмают введенные данные и передает их системе, которые выполняют ожидаемых пользователем действия. Защита:

1. Регистрирование процессов при начале инициализации работы в ОС и в ПО.

2. Механизм запрета на доступ к инициализационным процессам для сторонних программ, сокрытие этих процессов

2. Фильтр- это резидентные программы, перехватывающие прерывания аналитического контроля средства защиты

1. Запрет на изменение раскладки клавиатуры

2. Контроль последовательности и результат последовательности

3. Заместитель - под меняют модули операционной системы, как правило отвечающие за аутентификацию пользователей. Работают как паразитные вирусы и используют интерфейсы настоящей системы аутентификации для отлаживания собственных связей. Способ защиты - отлаживания политики безопасности.

Антивирусные средства защиты

Существует несколько подходов к решению проблемы опасных воздействий программных средств. Первый подоходный предполагает использование обязательных привинтвных мер. Воро подход предполагает использование сканирующих средств на момент совершения атаки.

Идеальный подход к решению проблемы защиты предполагает:

1. Обнаружение

2. Идентификация

3. Удаление

Антивирусные программы подразделяются на основные типы в соответствии с поколениями

1. Сканерами

2. Эвристические анализаторы

3. Мониторы

4. Функциональные системы защиты

Типы антивирусных средств. Используемых в программах 4Г

1. Программы детекторы - осуществляют поиск, характерные для конкретного вируса, последовательности байтов в оперативной памяти а так же в файлах программных модулей.

2. Программа доктор осуществляет выемку зарегестрированной последовательности байт из оперативной программы а затем из файлов программных модулей.

3. Ревизор - данный вид программ сохраняет исходное состояние программы, каталогов, системных областей и после этого представляет информацию для сравнения.

4. Вакцины - резидентные программы, предотвращающие заражение файла

5. Программы мониторы постоянно находятся в ОЗУ ПК, отслеживать действия программ в ОЗУ

Полное декодирование - технология, которая предполагает работу эмулятора процессора. Данная технология предполагает создание:

эмулятора процесса, где команды выполняет ого файла интерпретируются эмулятором то есть реализуется довыполнение на стоящем ЦП.

Сканера сигнатуры вирусов

Создание модуля управления эмуляцией

В итоге эмулятор интерпретирует команды проверяемого кода и одновременно прерывая на время интерпретацию, сканирует полученные результаты. Таким образом вирус может выполняться и распространяться в изолированной программной среде

Цифровая имунная система

Цель именной системы: обнаружение новых версий вирусных инфекций с помощью слудующих действий:

1. Предположим, что существует некоторая сеть взаимосвязанных хостов. Каждый хочет и этом поддерживает систему мониторинга. При обнаружении фактов наличия вируса, сведения о данном факте, а так же возможный вариант заряжённого модуля передается на машину анализатор.

2. Машина-администратор предварительно обрабатывает отправленную информацию специальным образом ее шифруя

3. Машина-анализатор создает виртуальную среду для запуска и исследования переданного объекта

4. Изводится выработка безопасных действий по отношению к переданному объекту

5. Рекомендации с дейсьвиями рассылаются по всей сети от имени машины администратора

6. Внедрение полученной рекомендации в систему мониторинга хостов

Основы работы СЗИ

В соотвествии с тремя моими китами основные функции СЗИ

1. Функция управления доступом

2. Функция регистрации и учета

3. Криптографическая функция

4. Функция поддержки целостности

Существует два основных типа СЗИ:

1. Комплексное сЗИ

2. Разделяющееся СЗИ

СЗИ являются компрессными по своей сути то есть предполагают набор совместно используемых средств и инструментов организации изолированной защищенной среды.

Как правило СЗИ предъявляют следущие требования:

1. Создание защищенно среды в соотвествии с нормативными положениями, определяющими меру защищенности в руководящих документах. Как правило рассматривают в руководящих документах два основных направления

1. Направление защиты от НСД с помощью ПА средств.

2. Защита от НСД с помощью аппаратных средств.

Существует два основных способа совмещения программных и аппаратных средств:

1. Комплексное совмещения, предполагающие четкие взаимосвязи программных и аппаратных уровней

2. Раздельное совмещение то есть использование программно-аппаратных средств защиты без четких обязательных взаимосвязей.

2. Контроль эффективности системы защиты в рамках предложенных методик в нормативных актах

Одеялется семь основных принципов ЧЗИ

1. Защита средств вычислительной техники с помощью технических средств

2. Защита автоматизированной системы с помощью программных технических средств

3. Защита СВТ и АС с помощью нормативных актов

4. Защита АС на всех этапах обработки информации

5. Обеспечение надёжности, устойчивости, работы СЗИ при отсутствии снижения показателей эффективности работы защищаемой системы.

6. Оценка эффективности средств защиты с помощью технических и методических средств.

7. Контроль эффективности по мере использования и модернизации защищаемой системы.

Для определения требуется рассмотреть особенности осуществления НСД при условии, что НСД является результатом действия нарушителя

Выделяют четыре уровней возможностей нарушителя:

1. Предполагает низкий уровень диалога с АС. То есть запуск задач из фиксированного набора.

2. Создавать и запускать новые программы в соответствии с требованиями защищаемой системы

3. Определяется возможностью управлением и функционирования АС

4. Определяется всем объемом возможностей осуществляющих проектирование, реализацию, ремонт технических средств защиты вплоть до включения в состав СВТ собственных технических средств

Показатели защищенности и требования к классами защиты СВТ от НСД

1. Наличие:

1. Дискреционный принцип контроля доступа - присутствует во всех классах защиты

2. Мандатный доступ - должен присутствовать в классах с четвертого по первый

3. Очистка памяти - с пятого по первый

4. Изоляция модулей - с четвертого по первый

5. Маркировка документов - с четвертого по первый

6. Защита ввода вывода на отчужденный носитель информация четвертого по первый

7. Сопоставление пользователя с устройствами с четвертого по первый

8. Наличие идентификации и аутентификации с шестого по первый

9. Гарантии проектирования и регистрации с пятого по первый

10. Показатель взаимодействия пользователя с КСЗИ

11. Надежное восстановление

12. Контроль модификации

13. Контроль дистрибуции

14. Гарантии архитектуры

15. Контроль целостности КСЗИ с пятого по первый

16. Тестирование руководства пользователя, руководства по КСЗИ, тестовая документация, процентная документация с шестого по первый который относится ниже к шестому уровню

В СЗИ существует набор элементов и подсистем, которые являются так же показателями уровня защищенности ПА комплекса ЗИ.

В автоматизированной системе ЗИ должны находиться (и по ним же определяются) уровни защищенности следующие средства и подсистемы:

1. Подсистема управления доступом

1. Идентификация, проверка подлинности и контроль доступа субъектов в систему (необходимо для всех классов) к терминалам, каналам связи, внешним устройствам. (2А, 1Г,В,Б,А) программа те же классы защищенности, к данным

2. Подсистема регистрации и учета

1. Регистрация

1. Регистрация и учет входа-выхода субъекта доступа (все классы)

2. Выдачей печатных выходных документов (3А, 2а, 1а-г)

3. Запуск, завершение программ и процессов (2а,1,а-г)

4. Доступ программ пользователя к защищаемым файлами (те же классы)

5. Доступ программ пользователя к узлам и терминалам, внешним устройствам ПК

6. Изменение полномочий субъекта доступа (1а-1в)

7. Создание защищенных объектов доступа (2а, 1а-в)

2. Учет носителей информации (все классы)

3. Очистка ОЗУ и ВУ (3в, 2а, 1а-г)

4. Сигнализация о попытках нарушения защиты

3. Криптографическая подсистема

1. Шифрование конфиденциальной информации 2а,1б, 1а)

2. Шифрование информации пользователями на разных ключах (1а))

3. Использование аттестованных криптографических средств(2а, 1б,1а)

4. Подсистема обеспечения целостности

1. Обеспечение целостности ПО (все классы)

2. Физическая охрана средств ВТ

3. Наличие администратора ЗИ в АС (2А, 1А-В)

4. Периодическое тестирование СЗИ (все классы)

5. Наличие средств восстановления СЗИ (все классы)

6. Наличие сертифиуированных средств защиты (1абв, 3а)

Особенности работы подсистем СЗИ

Типовой набор СЗИ должен выполнять следущие задачи:

1. Ограничение и разграничение доступа

2. Аудит

3. Криптографическая защита

4. Резервирование и контроль целостности

5. Защита от РПВ

Идентификация - это присвоение субъектам и объектам доступа зарегестрированного имени или любого другого идентифицирующего параметра. Для последующего действия по распознованию ранее присвоенных идентификаторов с уже существующими идентификаторами.

Аутентификауия - проверка принадлежности субъекта доступа к предъявляемому им идентификатору с целью определения областей полномочий. И или подлинностью субъекта

Авторизация - предоставление субъекту доступа прав доступа в соответствии с политикой безопасности.

Методы аутентификации:

Парольная аутентификация

Биометрическая аутентификация

Физический носитель

В целом выделяют две основные системы аутентификации:

1. По ключевой информации - используется любая информация с различными алгоритмами поддержки и защиты на любых носителя

2. Использование независимых аутентифиуируемых параметров

Эффективность систем аутентификации систем по ключевой информации связана с малой стоимостью и множеством средств и методов аутентификации. Для аутентификации по ключевой информации используют электронные идентицикаторы, электронные ключи, пароли, хэш функции, параметры целостности, время.

Ограничение доступа подразумевает использование двух уровней контроля

1. Физический

2. Логический

Доверенная загрузка ОС

Кроме процедур идентификации и аутетнтификации АС. Используется в качестве дполнительных мер защиты:

1. Контроль времени доступа и ограничения по времени

2. Проверка целостности ПАК

3. Аутентификация ВЗУ

Наиболее продуктивно используемо процедурой по входу в систему является ограничение операций ввода пароля с использования функций биоса. Однако данная система с точи зрения физической защиты может быть уязвима. Поэтому необходимо использовать дополнтительные программные средства поддержки ограничения доступа.

Как правило после тестирования из ПЗУ, БИОС в ОЗУ. Там находится МБ

1. С помощью средств аппаратной защиты

2. Средств криптографической зашиты

3. Средсви программной защиты

Внешний контроллер подключается после обработки БИОС до загрузки мбр.

Разграничение доступа в защищенной системе

Разграничение доступа - соблюдение порядка доступа субъектов политки безопасности к объектам политики безопасности.

Существует два вида доступа к информации:

Доступ, осуществленный в соответствии с политикой безопасности называется санкционированным а в противном случае несанкционированным.

Санкция выдается в соответствии с тем, каким образом заявленные объекты, субъекты, операции над объектами, операции над субъектами (если они возможны), операции над операциями.

Принципы политики безопасности:

1. Контроль доступа субъектов к объектам при условии контроля, санкционированием, администратором СЗИ и/или владельцем объекта доступа.

2. Разграничение системы на собственно обязательные системные сегменты, пользовательские сегменты и сегменты обязательного резервирования

При создании контрольных областей учитывают:

1. Частоту изменения подконтрольной области (выбирают с наименьшей частотой)

2. Количество обслуживаемых системных запросов файлами и процессами подконтрольной области

3. Уровень важности обслуживаемых процессов (системные процессы, процессы оболочки защиты)

4. Критически важный для работы системы фаил

Основа поиска рут китов и вирусных инфекций это сравнительный анализ:

1. Значения хэш функций процессов и сопровождающих процесс файлов

2. Определение и разграничение санкционировпнных и несанкцтонированных модулей системы

3. Определение всех допустимых связей системных процессов с внесистемными процессами и модулями с помощью контроля подключения адресного пространства процессов. И хэндлов.

4. Требуется проверять любые аномалии взаимодействия процессов и модулей.

При рассмотрении адреса процесса требуется:

1. Определение ключей данного процесса

2. Определение подключений секций и модулей

3. Определение подключенных динамических библиотек не системного типа(key,file, section)

Второй способ предполагает использование мандатной модели без учета связки субъект-объект-метод-процесс.

В дополнение к дискреционным и мандатным моделям СЗИ применяется метод изолированной замкнутой программной среды.

Создание спика файлов с параметрами доступа и параметрами выполнения с условием контроля целостности для каждого конкретного пользователя. Таким образом создается рабочая среда за рамки которой пользователь выйти не может.

Аудит в СЗИ предполагает ранжирование зафиксированных событий по причастности их к инциденту.

Существует три типа событий способствующих расследованию инцидентов и предотвращению будующих вторжений

1. Любые противоречия ПБ

2. Любые критические ошибки в рамках защищаемого кластера

3. Подозрительные события указывающие на возможную активности РПВ или злоумышленника

Требования к системам регистрации событий

1. Замкнутость системы регистрации

2. Необновляемость созданных журналов

3. Существование специальных субъектов аудиторов с полномочиями просмотра

4. Постоянную активность режима записи в журнале

Существует два типа систем журнализации СЗИ

1. Централизованная

2. Децентрализованная

Обе эти системы могут использоваться совместно, но как правило, централизованная система сбора должна присутствовать в СЗИ, поскольку требуется поддержка политики безопасности в области аудита

Необходимо создаваться специальную политику аудита, которые с одной стороны регламентирует опасные или подозрительные события, а с другой стороны регламентирует в порядке доступа аудита.

Существует два вида использования криптографической защиты

1. Шифрование и дешифрование

Криптографические алгориты предполагают использование ключей шифрования и дешифровки при этом оба данных ключа секретны. Соответственно наряду с необходимостью защищать

1. Процессы шифрования и дешифрования

2. Контролировать периоды работы криптографического модуля

1. Необходимом защищать ключевую информацию

Система географии ключевой информации бывает симметричной и асимметричными. Для симметричных криптосистем используют средства генерации случайных чисел для асимметричной генерации используются системы с поддержкой алгоритма генерации, системой дешифрования, системой формирования ключевой информации. При условии необходимости управление ключами требуется создание иерархию ключей

Для защиты хранимой ключевой информации используют специальный ключ шифрования ключей. (Мастер ключ) который в иерархии находится над ключами шифрования данных.

Типы распределения ключей:

1. На основе центра распределения ключей

2. На основе децентрализованного обмена сенсорными ключами между пользователями

1. Использование математических подходов для чтения защищаемой информации

2. Число операций необходимо для определения использованного ключа по фрагменту зашифрованного сообщения и соответствующего ему открытого текста должно быть не меньше общего числа открытых ключей

Известность алгоритма не должна влиять на уровень защищенности

Длина шифрованного текста должна быть равной длине шифрованного текста.

Не должно быть простых зависимостей между ключами шифрования

Не должно быть слабых ключей

Любая реализация модуля криптографической защиты СЗИ не должна ухудшать алгоритм шифрования

Существует ряд проблем с которыми сталкиваются СЗИ и системы криптографической защиты.

Возможное сохранение открытых ключей в промежутках между передавай этого ключа и восприятия этого ключа

Для увеличения стойкости криптографической защиты СЗИ. Используют многослойную структуру построения криптографического модуля.