Фазы инициализации ОС Windows: Фаза загрузки При включении ПК:1,BIOS выполняет процедуру самотестирования POST в процессе которой тестируются компоненты на материнской плате2,В соответствии с настройками CMOS программа Bootstrap Routine BIOS обращается к накопителям и пытается прочитать первый сектор3,В первом секторе должен находиться MBR. Он читается в память. Выполняется программа IPL14,IPL1 просматривает содержимое таблицы разделов диска и определяет загрузочный раздел5,IPL1 обращается к первому сектору загрузочного раздела диска и читает его в память. Выполняется программа IPL26,IPL2 используя информацию из блока параметров логического диска вызывает загрузчик ntldr Ntldr переключает процессор в защищенный режим и запускает необходимые упрощенные драйверы файловых систем7,Ntldr читает файл boot.ini в котором указаны основные параметры загрузки, отображает меню выбора операционной системы (если установлено несколько ОС)8,Ntldr запускает ntdetect.com, которая осуществляет поиск установленного аппаратного обеспечения и формирует список оборудования9,Ntldr загружает файлы hal.dll, ntoskernl.exe и bootvid.dll (видеодрайвер по умолчанию)10,Ntldr передает управление ntoskernl.exe /Фаза ядра 1, Ntoskernl.exe загружает ветвь SYSTEM реестра и инициализирует драйверы и службы2,Список оборудования, созданный программой ntdetect.com вносится в ключ реестра HKEY_LOCAL_MASHINE\HARDWARE3,Создаются ветви реестра CurrentControlSet и Clone, но не записываются на диск4,ntoskernl.exe инициализирует компоненты исполняющей системы.5,ntoskernl.exe запускает диспетчер сеансов smss.exe
/ Фаза служб /1,Диспетчер сеансов smss.exe загружает подсистему окружения Windows csrss.exe 2,Диспетчер сеансов smss.exe загружает систему управления памятью, проводит автоматическую проверку подключенных дисков, создает файлы подкачки виртуальной памяти3,Диспетчер сеансов smss.exe загружает процесс регистрации winlogon.exe
Фаза подключения1,winlogon.exe запускает менеджера локальной безопасности Local Security Authority (lsass.exe) 2,winlogon.exe запускает родительский процесс всех служебных процессов services.exe3,services.exe читает в реестре какие пользовательские службы необходимо запустить, находит их и запускает на исполнение
winlogon.exe отображает диалог регистрации пользователя в системе4,После успешной регистрации пользователя в системе данные ветки реестра Clone сохраняются в ветви LastKnownGood
38.Компьютерные вирусы: классификация, принципы работы, методы маскировки.
Вредоносное ПО – программы, наносящие ущерб пользователю или вычислительной системе.
Типы вредоносного ПО: Virus - компьютерные вирусы Worms - черви Trojan - троянские программы Dialer - программы - звонилки Backdoor - программы удаленного управления AdWare/SpyWare - шпионские программы и программы отображения рекламы
Компьютерные вирусы – программы, обладающие следующими свойствами: самостоятельно, без санкции пользователя проникает в систему заражает программы и другие объекты на диске способен к размножению – созданию своих копий при нахождении в системе осуществляет несанкционированные действия применяет средства маскировки, затрудняющие его обнаружениеВирусы можно разделить на классы по следующим основным признакам:
среда обитания; операционная система (OC); особенности алгоритма работы; деструктивные возможности.
по ср оби т Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы). Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов. Среди особенностей алгоритма работы вирусов выделяются следующие пункты: резидентность; использование стелс-алгоритмов; самошифрование и полиморфичность; использование нестандартных приемов (Руткит). По деструктивным возможностям вирусы можно разделить на: безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения); неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами; опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, BIOS и т.п.
Опасные деструктивные действия вирусов Удаление файлов на диске по заданным условиям – удаление или повреждение файлов, необходимых для загрузки ОС, например удаление содержимого папки system32\Drivers или системных файлов в корне диска. Рекурсивное удаление или повреждение всех файлов на диске – кроме повреждения файлов ОС могут быть удалены или повреждены данные и документы пользователя. Реализуется с помощью:функций стандартного API операционной системыурезание размера файла до нулевой длинызамена файла (перезапись мусорными данными)необратимое стирание файла – файл несколько раз перезаписывается мусорными данными, а потом удаляется (восстановление невозможно)шифрование содержимого файла с вымогательством денег за расшифровку
Низкоуровневое повреждение данных на жестком диске – повреждение служебной информации на диске путем низкоуровневого доступа. Реализуется с помощью:вызова системной утилиты format с набором ключей и имитацией ответов пользователяуничтожение Boot или MBR сектора на диске (данные при этом не пропадают и диск может быть восстановлен)уничтожение всех данных на диске путем последовательного или случайного затирания всех секторов на диске Нарушение работы ОС путем изменения системного реестра. Могут быть удалены или повреждены файлы реестра или модифицировано содержание реестра. Варианты:создание обратимых модификаций реестра. При этом ОС начинает работать медленно или нестабильно. Повредив систему вирус уведомляет пользователя, что все можно восстановить, заплатив автору «гонорар»создание необратимых повреждений – затирание ключей реестра или замена параметров мусорными значениями. Приводит к неработоспособности ОС.
Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после проведения POST BIOS считывает первый физический сектор загрузочного диска и передает на него управление.При заражении дисков загрузочные вирусы заражают MBR или BR диска - "подставляют" свой код вместо программы-загрузчика ОС.Заражение дискет производится единственным известным способом - вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).
Файловые вирусы используют для размножения файловую систему. Внедряют свой код внутрь файла (обычно исполняемого).Основные разновидности Вирусы, заражающие исполняемые файлы п ерезаписывающи е – записывают свой код вместо кода заражаемой программы паразитические – внедряют свой код внутрь заражаемой программы, не нарушая ее работоспособности Вирусы – компаньоны – создают для заражаемого файла двойник, содержащий вирус и обеспечивают запуск именно двойника (COM -> EXE, изменение ярлыков и т.п.) OBJ, LIB и вирусы в исходных текстах – заражают библиотеки или исходные тексты программ (встречаются редко)
Макро-вирусы являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Наибольшее распространение получили макро-вирусы для Microsoft Office.
Для существования вирусов в конкретной системе необходимо наличие встроенного в систему макро-языка с возможностями:
привязки программы на макро-языке к конкретному файлу;
копирования макро-программ из одного файла в другой;
возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы). Данная особенность макро-языков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый "автоматизированный документооборот". С другой стороны, возможности макро-языков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их.