CC BY
22
# 289: kcgyqwygg.txt :26 02.15 23-59: 100: - :206Ь26Ь9
## 289: kcgyqwygg.txt :26.02.15 23-56: 100: 0 :fl6c867f
В операционной Freebsd, штатными утилитами, которые осуществляет вычисление контрольной суммой являются: md5, sha256. Чтение содержимого файла, для которого необходимо подсчитать контрольную сумму, производится посредством ряда системных вызовов. Вначале совершается системный вызов open, а затем - read. Полученное файловое содержимое обрабатывается в соответствии с алгоритмом md5, либо sha256, в результате, на экран формируется сгенерированный хэш.
Архитектура ОС Windows в части файловой подсистемы предоставляет штатные механизмы контроля файловых операций различным ПО. Эти механизмы следует использовать при разработке средств оценки устойчивости. Использование нештатных механизмов контролируется отдельными антивирусными средствами и повышает вероятность обнаружения обозначенного средства оценки устойчивости в качестве вредоносного ПО.
Современные утилиты подсчета контрольных сумм файлов (в том числе использующие алгоритм, описанный в ГОСТ Р 34.10-2012) не имеют самоконтроля при вычислении контрольной суммы, в случае, когда происходит подмена содержимого файла в динамическом режиме.
Список литературы:
1. Захаров В.М. Модель функции усложнения в генераторе псевдослучайных последовательностей над полем GF(2) // Прикладная дискретная математика. - 2014. - No. 7.
2. Васильев Н.П. Разработка и исследование алгоритмов хэширования и генерации псеводослучайных последовательностей / МИФИ. - М., 1998.
3. Федеральная служба по техническому и экспортному контролю [Электронный ресурс]. - Режим доступа: http://fstec.ru (дата обращения: 28.02.2015).
4. Средство фиксации и контроля исходного состояния программного комплекса «ФИКС» (версия 2.0.1) [Электронный ресурс]. - Режим доступа: http://www.cbi-info.ru/groups/page-345.htm (дата обращения: 28.02.2015).
ОЦЕНКА УСТОЙЧИВОСТИ АНТИВИРУСНЫХ СРЕДСТВ К ЛОЖНЫМ СРАБАТЫВАНИЯМ, ВЫЗВАННЫХ СОБСТВЕННЫМИ ФАЙЛАМИ АНТИВИРУСА
© Тараканов О.В.*
Национальный исследовательский ядерный университет МИФИ, г. Москва
Факты ложных срабатываний, описанные в открытой печати, относятся только лишь к случайным ошибкам в ПО антивирусов, в том чис-
* Ассистент кафедры Компьютерных систем и технологий.
ле к ошибкам в базах данных сигнатур. По этой причине, создание деструктивных воздействий под видом ложноположительных срабатываний сигнатурного метода, снижает вероятность их обнаружения. Так же, разработчиками современных антивирусных средств генерация ошибок первого рода не рассматривается как возможный способ манипуляции антивирусными средствами. В данной статье описаны результаты экспериментальных исследований, показывающих неустойчивость современных антивирусных средств к умышленному воздействию с целью повышения вероятности ошибок первого рода.
Ключевые слова антивирус, ложноположительные, ложноотрица-тельные, вирусы.
Ошибки первого рода [1] являются распространенным явлением. Разнообразие прикладного программного обеспечения ведет к тому, что вероятность совпадения сигнатур при неудачной процедуре выделения сигнатуры работником антивирусной компании, достаточно велика.
Другая ситуация обстоит с ошибками второго рода. Сигнатурный метод является проработанным с точки зрения алгоритма и если в тестовой лаборатории антивирус видит в файле вирусную сигнатуру, то в том же файле антивирус увидит данную сигнатуру в любых других условиях. Если же применяются специализированные технологии, такие как, например, об-фускация или полиморфизм, то говорить об ошибках второго рода в такой ситуации не совсем корректно по той причине, что алгоритм работает правильно, а анализу подлежит формально уже другой файл.
В вопросе ложных срабатываний не уделяется должное внимание тем, которые вызваны умышленными действиями. С одной стороны, это связано с тем, что современные антивирусы контролируют дисковые операции в режиме реального времени. С другой - разработчики вирусов имеют задачу вывести из строя антивирусное средство в целом, а не исказить результаты его работы. Выведение из строя, безусловно, будет заметно пользователю, порой даже технически не образованному.
Рис. 1. Взаимодействие основных программных компонентов стенда оценки устойчивости антивирусных средств к ложным срабатываниям
Таким образом, разработка методов и средств оценки устойчивости антивирусных средств к ложноположительным срабатываниям, является актуальной научной и инженерной задачей.
Рассмотрим результаты экспериментальных исследований, которые проводились с использованием разработанного стенда, позволяющего генерировать ложноположительные срабатывания антивирусного средства.
Структура взаимодействия основных компонентов используемого ПО представлена на рис. 1.
Методика проведения эксперимента «Воздействие на файлы антивируса»
В данном типе экспериментов в качестве файловых ресурсов, в рамках стенда, используется область раздела жесткого диска, в котором располагаются исполняемые и служебные файлы антивирусного средства. В эксперименте исследуется воздействие антивирусного ПО на собственные файлы в условиях, когда прототип воздействует на них. Таким образом, ожидается что антивирусное ПО будет расценивать собственные файлы как вредоносные и исходя из проведенных настроек антивируса, будет происходить само удаление. В случае такого поведения, антивирус будет наносить вред собственному функционированию, а также операционной системе в целом, посредством дестабилизации собственной работы.
Результаты эксперимента «Воздействие на файлы антивируса»
Серия экспериментов МВФ-NOD, антивирус Nod32.
Прототип настроен на замену в директории, включающей в свое полное имя "ESET".
Был загружен драйвер [2] и запущено на проверку директория антивируса. В результате проверки все файлы были определены как вредоносные, файлы без защиты системы были удалены сразу. Антивирус предложил перезагрузиться для полного удаления защищенных файлов, после перезагрузки программа антивируса загружается с ошибками, но сам антивирус не функционирует. Переустановка программы антивируса с исправлением ситуации не изменила.
Серия экспериментов №°ВФ-КЖ антивирус KIS.
Драйвер загружен таким образом, что заменялись файл антивируса находящейся в директории c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\.
После запуска проверки директории антивируса обнаружилась нестабильная работа самого антивируса. В окне оболочки пропало оформление, но всплывали сообщения о найденных вредоносных файлах.
Защищенные системой файлы антивирус предлагал удалять после перезагрузки. Данная проверка привела к зависанию и «торможению» системы, с необходимостью жесткой перезагрузки компьютера.
После перезагрузки обнаружилось что антивирус не запускается, при попытке запуска вручную оказалось, что в директории антивируса отсутствуют основные файлы антивируса, что говорит о полной неработоспособности антивируса.
Отчет о данной проверке невозможен, поскольку модуль создания отчетов был удален антивирусом.
Серия экспериментов ,№ВФ-ВР, антивирус BitDefender.
Прототип настроен на директорию, в пути которой встречается "BitDefender", затем скомпилирован и загружен в операционную систему. После этого была запущена проверка антивирусом собственной директории "C:\Program Files\Bitdefender". По результатам сканирования 950 файлов в этой директории были признаны вредоносными файлами.
Антивирус без информирования пользователя начал удаление этих файлов, чем привел себя и операционную систему в нестабильное состояние, выражающееся зависанием и медленным откликом на действия пользователя. После этого система была перезагружена, при загрузке операционной системы высветилась ошибка, после которой система загрузилась.
Программа антивируса запустилась, но сам антивирус не работает, поскольку были удалены самим же антивирусом важные модули, отвечающие за функционирование антивируса.
Серия экспериментов ..ВФ-SE, антивирус Microsoft Security Essentials.
Драйвер был сконфигурирован таким образом, что подмена осуществляется в директории "C:\Program Files\Microsoft Security Client", драйвер скомпилирован и загружен в операционной системе. Антивирус запущен был на сканирование директории с собственными файлами, по результатам сканирования антивирус не обнаружил вредоносных файлов.
Проведен дополнительный тест, в директории с антивирусом "C:\Program Files\Microsoft Security Client" были скопированы несколько файлов с различным содержанием, файлы были помещены рядом с файлами антивируса. Антивирус был запущен на сканирование данной собственной директории, по результатам сканирования антивирусом вредоносными файлами были определены все файлы, помещенные в директорию вручную.
По итогам этих тестовых проверок, тест воздействия на файлы дает отрицательный результат, что вероятно является следствием наличия у антивируса внутреннего списка файлов, которые не подлежат сканированию и являются доверенными. Эта особенность может использоваться специализированным программным обеспечением для создания хранилищ данные, которые не будут проверяться антивирусом, то есть безопасно находиться в системе.
В результате проведения серий экспериментов «Воздействие на файлы антивируса» происходит исследование различных антивирусов на наличие у них недокументированного списка защищенных файлов, которые не подлежат удалению даже в случае наличия там вирусов. Кроме этого, проверяется неустойчивость антивирусов к ложноположительным срабатываниям, что
приводит, при соответствующей настройке антивируса (автоматическое удаление вредоносных объектов), к его само удалению. В результате проведенных экспериментов видно, что все антивирусы, за исключением Microsoft Security Essentials, успешно удаляют свои файлы и это приводит к потере их работоспособности. У пользователя не возникает подозрений, что происходят ложные срабатывания антивирусного средства, так как антивирус в процессе сканирования сам находит вирусные файлы и сам себя удаляет, без дополнительной информации о наличии какого-то фактора, искажающего результаты его работы. В случае с Microsoft Security Essentials, можно наблюдать другой эффект, который при первом приближении кажется отрицательным. Не смотря на подмену буфера в файлах самого антивируса, он не обнаруживает каких вирусных элементов в собственных файлах. Отрицательный эффект говорит о наличии списка защищенных файлов, которые либо не сканируются антивирусом, либо же любые положительные срабатывания игнорируются. Так же можно сделать предположение о возможном использовании данного эффекта с целью сокрытия определенной вредоносной информации от антивируса Microsoft Security Essentials [3], путем организации скрытых хранилищ в файлах самого антивируса.
Список литературы:
1. Гнеденко Б.В. Курс теории вероятностей. - М.: Либроком, 2011
2. Комиссарова В. Программирование драйверов для Windows. - СПб.: БХВ-Петербург, 2007.
3. Защита от вирусов, программ-шпионов и вредоносных программ [Электронный ресурс] // Microsoft Security Essentials. - Режим доступа: www.mic-rosoft.com/ru-kz/security_essentials/default.aspx.
4. PCSL Greater China Region False Positive Test [Электронный ресурс]. -Режим доступа: http://www.pcsecuritylabs.net/document/report/2011_JAN_ Greater_China_Region_False_Positive_Test_English.pdf.
КОНТРОЛЬ ЭЛЕКТРИЗАЦИИ НЕФТЕПРОДУКТОВ В РЕЗЕРВУАРАХ-ХРАНИЛИЩАХ
© Чернов В.А.*
Сибирский федеральный университет, г. Красноярск
Рассматривается с целью предотвращения возникновения критических ситуаций, контроля электризации нефтепродуктов в резервуарах-хранилищах.
Ключевые слова: статическое электричество, пожаровзрывоопас-ность, хранение нефтепродуктов.
* Аспирант кафедры ИЭиБЖД Политехнического института, начальник Тазовской районной инспекции - главный государственный инженер-инспектор.
