Список вопросов к дисциплине «Компьютерные информационные технологии»
доцент кафедры Интеллектуальные информационные технологии, к.т.н. Безобразов Сергей Валерьевич (bescase@gmail.com)
1. Методы обнаружения вредоносных программ: реактивная защита.
2. Физическая структура жесткого диска.
3. Логическая структура жесткого диска.
Физическая и логическая структура жёстких дисков
Физическая структура жёстких дисков предполагает разбиение диска на рабочие поверхности, дорожки и секторы, номера которых образуют адрес, по которому на диске хранится информация.
Логическая структура жёсткого диска предполагает деление общего дискового пространства на области, каждая из которых хранит специфическую информацию: MBR (Master Boot Record), BR (BootRecord), FAT1 и FAT2, Root Directory и область для данных.
MBR -это главный загрузочный сектор, это первый сектор на диске, с чтения его содержимого начинается работа компьютера при включении или перезагрузке. MBR состоит из двух частей: в первой части записана программа IPL1- Initial Program Loading 1, при выполнении которой компьютер исследует содержимое второй части MBR- таблицу разделов диска Partition Table, в которой указаны номера первого и последнего секторов каждого из разделов диска. Количество разделов может быть от 1 до 4-х, когда диск условно разделён на 4 логических диска. В Partition Table также хранится информация о типе файловой системы раздела и признак того- является раздел загрузочным или нет. Каждый из разделов жёсткого диска содержит сектор BR (Boot Record), две копии File Allocation Table (FAT)- FAT1 и FAT2, корневой каталог Root Directory и область данных.
Сектор BR (Boot Record) - это первый сектор раздела, в котором записана одноимённая программа Boot Record, являющаяся частью операционной системы и предназначенная для запуска на выполнение остальных программ операционной системы, хранящихся на диске. BR имеется во всех разделах жёсткого диска, хотя не все разделы содержат файлы операционной системы, т.е. не все разделы являются "системными".
Таблица FAT (File Allocation Table) – таблица размещения файлов, хранит записи длиной 16 или 32 бита, хранящие информацию о месторасположении кластеров, на которых записан каждый файл. Если FAT повреждается, то компьютер теряет доступ к файлу и на диске появляются "потерянные кластеры"- т.е. секторы с бесполезной информацией, которую невозможно прочесть.
Root Directory - корневой каталог диска, содержит записи с информацией о каждом файле – имя, тип, объём, дата и время создания, атрибут файла (системный, скрытый, только для чтения, архивный) и хранит указатель на первый кластер файла. Корневой каталог является самым «главным» каталогом в разделе диска, все остальные каталоги и файлы располагаются по иерархии ниже его.
Data Area - область для данных- основная область раздела диска, хранит сами файлы.
Физическая и логическая структуры жёсткого диска создаются в процессе форматирования. В отличие от дискет, процесс форматирования жёсткого диска разбит на 2 этапа- низкоуровневое форматирование и форматирование высокого уровня. Низкоуровневое форматирование выполняется один раз на заводе-изготовителе. Форматирование высокого уровня выполняется утилитой Format.exe, хранящейся на загрузочной дискете, либо соответствующими средствами Windows.
Файловые системы
Файловая система предполагает определённую организацию хранения файлов на диске и порядок обращения к кластерам. На персональных компьютерах используются следующие файловые системы:
Разновидности файловых систем
Таблица 6.4.
| Название файловой системы | Операционные системы, поддерживающие данные файловые системы |
| FAT 16 | MS-DOS, Windows 3.1-3.11, Windows 95 |
| FAT 32 | Windows 95 OSR2, Windows 98, 98SE, ME, NT, 2000, XP |
| NTFS | Windows NT, 2000, XP, Vista |
Как известно, FAT содержит записи с номерами кластеров, в которых записаны файлы. У файловой системы FAT 16 длина каждой упомянутой записи составляет 16 бит, максимальный объём жёсткого диска- 2 Гб, максимальный размер файла- 2Гб, длина каждого кластера равна 32 Кбайта (64 сектора по 512 байт каждый). Число кластеров на диске- 65536. Уменьшать размер кластеров нельзя- при этом уменьшится максимальный поддерживаемый объём жёсткого диска.
Ограничения FAT 16:
· максимальный объём диска- 2 Гб, если жёсткий диск имеет больший объём, его придётся разбивать на несколько логических устройств;
· объём кластера в 32 Кбайта велик, поэтому FAT 16 нерационально использует дисковое пространство при хранении большого количества коротких файлов. Например, если на жёсткий диск с FAT 16 записать 65536 файлов объёмом 1 байт каждый, то на диске не останется свободного места, он окажется полностью заполненным, хотя полезной информации на нём будет всего 65536 байт. Это происходит потому, что под файлы выделяется целое количество кластеров, и даже если текущий кластер заполнен не полностью, очередной файл будет писаться в следующий кластер.
В настоящее время файловая система FAT 16 полностью устарела и не используется.
Начиная с операционной системы Windows 95 OSR2, стала доступна другая файловая система- FAT 32. Основным отличием данной файловой системы от FAT 16 является 32-битовая таблица размещения файлов, что позволило уменьшить размер кластера и добиться поддержки больших по объему разделов, а также дало возможность содержать в одном разделе свыше 65 тыс. файлов.
Характеристики FAT 32: максимальный объём диска при минимальном размере кластера (4 Кбайта) составляет 8.4 Гб, а при новом расширении интерфейса BIOS- до 137 Гб. Максимальный размер файла – 4 Гб.
С появлением операционных систем Windows 2000 и Windows XP всё популярнее становится файловая система NTFS. Основные её отличия от FAT 16 и FAT 32- неограниченный размер файла и возможность управлять доступом к файлам и каталогам. FAT 32 эффективно работает при небольшом количестве файлов в каталоге (десятки, сотни). Когда число файлов превышает тысячу, преимущество переходит файловой системе NTFS, у которой более продумана система поиска файлов, хотя требуется больше ресурсов от компьютера- в частности, объём оперативной памяти желателен не менее 128 Мб.
4. Классы вредоносных программ: файловые вирусы.
Файловые вирусы (File infector) — это вирусы паразиты, которые при распространении своих копий обязательно изменяют содержимое исполняемых файлов, при этом файлы атакованные вирусом, в большенстве случаев полностью или частично теряют работоспособность. Эти вирусы активизируются при каждом запуске заражённого исполняемого файла.
Принцип внедрения
1. prepending — вирус дописывает свой код в начало файла
2. appending — вирус дописывает свой код в конец файла
3. inserting — вирус вставляет свой код в середину файла
Типы
Хотя у компютерных вирусов пока нет классификации, но в большенстве случаев их разделяют на
1. Вирус-компаньон (Companion virus) это вирус, исполняемый файл которого имеет то же имя, что и приложение к которому он прикреплён, но другое расширение. Чаще всего этот вирус маскируется под существующую папку и имеет расщирение.EXE Визуально практически не различим с оригиналом
2. Вирус-невидимка (Stealth virus) этот тип вируса сложно обнаружить антивирусными программами, так как при проверке системы вирус-невидимка перехватывает запросы и отправляет сфальсифицированный ответ, сообщяющий антивирусным программам, что всё в порядке
3. Макровирус (Macro virus) это вирус, существующий в виде макроса для определенного приложения. При запуске приложения к которому прикреплен вирус, заражаются все файлы, к которым обращается программа. Первые вирусы такого характера появились в 2004 году, когда все графические изображения, на компютерах пользователей заменялись на рекламные или просто шуточные изображения. При попадании такого вируса все данные связанные с программой к которой он прикреплен будут утрачены
4. Полиморфный вирус (Polymorphic virus) это вирус который особо сложно полностью удалить из зараженной машины, так как при каждам новом копировании, вирус изменяет свой код, с целью уклонения от удаления по маске кода. Даже если антивирусным программам удастся найти одну копию вируса, остальные копии возможно останутся незамечеными.
5. Классы вредоносных программ: сетевые вирусы.
Сетевые вирусы – это чрезвычайная опасность со стороны локальных сетей и Интернета включительно. Вирусы, проникая на компьютер через сеть, могут привести не только к повреждению важной информации, но и самой системы в целом. Сетевые вирусы для распространения используют возможности и протоколы глобальных и локальных сетей. Самым главным принципом работы такого вируса является уникальная возможность передать свой код без сторонней помощи на рабочую станцию или удаленный сервер. Большинство сетевых вирусов, кроме возможности самостоятельно проникать через сеть на удаленные компьютеры, могут там же запустить на выполнение свой программный код, или, в некоторых случаях, немного «подтолкнуть» пользователя, что бы тот запустил инфицированный файл.
Многие пользователи встречались с названиями сетевой червь. Это одни из самых популярных сетевых вирусов, появились они в далеком 1980 году. Для своего распространения такие вирусы использовали различные недокументированные функции и ошибки глобальных сетей – они передавали свои зараженные копии с сервера на сервер и по прибытию запускали их на выполнение.
В прошлом, сетевые вирусы распространялись в сети и, обычно, так же как и компаньон-вирусы, во время заражения не изменяли сектора или файлы на дисках. Сетевые вирусы проникали в память компьютера из сети. По прибытию они моментально вычисляли сетевые адреса остальных компьютеров и моментально рассылали по найденным адресам свои копии. Иногда эти вирусы одновременно создавали на дисках системы рабочие файлы, но так же могли не обращаться вообще к системным ресурсам компьютера (оперативная память является исключением из правил).
После громадных затрат, вызванных несколькими сетевыми вирусами, всевозможные ошибки в программном обеспечении и сетевых протоколах были исправлены, а так называемые «задние двери» надежно закрыты. Как результат таких действий – за последние несколько лет их активность спала. Так же за этот период не было зафиксировано ни единого случая успешной атаки сетевым вирусом. Так же нужно отметить, что за этот период не появилось ни одного нового сетевого вируса.
Вновь актуальной проблемой атак сетевых вирусов стала в начале 1997-го года. Именно тогда появился «Win.Homer» и «Macro.Word.ShareFun». Последний из них использует все современные возможности электронной почты под названием Microsoft Mail. Этот вирус создает новое письмо, в состав которого входит сам код вируса, а результатом является файл-документ. После этого он выбирает из доступного списка адресов программы MS-Mail три абсолютно случайных адреса и после этого рассылает по ним только что созданное зараженное письмо. Сегодня очень много пользователей устанавливают параметры MS-Mail таким образом, что запуск MS Word происходит в автоматическом режиме, при получении письма. Таким образом, вирус в автоматическом режиме внедряется в компьютер. После чего он выполняет то, что заложено у него в исходном коде.
Этот вирус ярко демонстрирует первый тип сетевого вируса нашего времени, который объединяет в себе все возможности встроенного в редакторы Excel и Word языка Basic, все особенности и главные протоколы электронной почты и специальные функции авто-запуска, которые крайне необходимы для последующего распространения самого вируса.
В отличии от первого, вирус «Homer» для своего распространения использует протокол под названием FTP и передает свою зараженную копию в каталог Incoming на удаленный ftp-сервер. Так как сетевой протокол FTP полностью исключает возможность автоматического запуска файла на удаленном сервере, то Homer можно назвать как «полу-сетевой».
6. Типы логических разделов жесткого диска.
7. Классы вредоносных программ: трояны.
Троя́нская программа (также — троя́н, троя́нец, троя́нский конь) — вредоносная программа, распространяемая людьми. В отличие от вирусов и червей, которые распространяются самопроизвольно.
Больша́я часть троянских программ действует следующим образом — маскируется под безвредные или полезные программы, чтобы пользователь запустил их на своем компьютере.
«Трояны» — самый простой вид вредоносных программ, сложность которых зависит исключительно от сложности истинной задачи и средств маскировки. Самые примитивные «трояны» (например, стирающие содержимое диска при запуске) могут иметь исходный код в несколько строк.
Распространение
Троянские программы распространяются людьми — как непосредственно загружаются в компьютерные системы злоумышленниками-инсайдерами, так и побуждают пользователей загружать и/или запускать их на своих системах.
Для достижения последнего, троянские программы помещаются злоумышленниками на открытые или индексируемые ресурсы (файл-серверы и системы файлообмена), носители информации, присылаются с помощью служб обмена сообщениями (например, электронной почтой), попадают на компьютер через бреши безопасности или загружаются самим пользователем с адресов полученных одним из перечисленных способов.
Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в том числе, третьи).
Маскировка
Троянская программа может имитировать имя и иконку существующей, несуществующей, или просто привлекательной программы, компонента, или файла данных (например картинки), как для запуска пользователем, так и для маскировки в системе своего присутствия.
Троянская программа может в той или иной мере имитировать или даже полноценно выполнять задачу, под которую она маскируется (в последнем случае вредоносный код встраивается злоумышленником в существующую программу).
Методы удаления
В целом, троянские программы обнаруживаются и удаляются антивирусным и антишпионским ПО точно так же, как и остальные вредоносные программы.
Троянские программы хуже обнаруживаются контекстными методами антивирусов (основанных на поиске известных программ), потому что их распространение лучше контролируется, и экземпляры программ попадают к специалистам антивирусной индустрии с бо́льшей задержкой, нежели самопроизвольно распространяемые вредоносные программы. Однако эвристические (поиск алгоритмов) и проактивные (слежение) методы для них столь же эффективны
8. Cетевые экраны (firewall). Их назначение.
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Другое название – Брандма́уэр,а в области компьютерных технологий в немецком языке употребляется слово «firewall».
Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall.