Вирусы защита от разрушающих программных воздействий

Обновлено: 24.04.2024

Понятие вирусов было сформулировано в 1904 г. американским исследователем Ф.Коэном. Принято под вирусом понимать программный код, обладающий следующими свойствами:

1) Способность к созданию собственных копий, необязательно совпадающих с оригиналом, но обладающих свойствами оригинала.

2) Наличие механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы.

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:

способу заражения среды обитания

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусыраспространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширенияCOMиEXE.Файловые вирусымогут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.Загрузочные вирусывнедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (MasterBootRe-

cord).Файлово-загрузочныевирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вируспри заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.Нерезидентные вирусыне заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

опасныевирусы, которые могут привести к различным нарушениям в работе компьютера

очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Классификация вирусов по типам объектов вычислительной системы, в которых внедряются:

1)Программные файлы операционной системы - это файловые вирусы.

2)Системные области компьютеров, в частности области начальной загрузки операционной системы. Соответствующие вирусы получили название загрузочных или бутовых.

3)Макропрограммы и файлы документов современных систем обработки информации. такие вирусы называются макровирусами.

1)Хранение – соответствует периоду, когда вирус хранится на диске совместно с объектом, в который он внедрен. На этой стадии вирус является наиболее уязвимым для антивирусных программ, т.к. он не может контролировать работу операционной системы с целью самозащиты. Наиболее распространенным способом защиты является шифрование большей части тела вируса. Его использование совместно с механизмами мутации кода делает невозможным выделение устойчивых характеристических фрагментов сигнатур. Это в свою очередь приводит к недееспособности антивирусных средств, основанных на методах поиска заранее выделенных сигнатур.

2)Исполнение состоит из 5 этапов:

а) загрузка вируса в память

в) заражение найденной жертвы

г) выполнение деструктивных функций

д) передача управления программе-носителю вируса

Загрузка вируса в память осуществляется операционной системой одновременно с загрузкой исполняемого объекта, в который вирус внедрен. В простейшем случае, процесс загрузки вируса представляет собой копирование с диска в оперативную память сопровождаемой настройкой адресов, после чего управление передается коду тела вируса. Эти действия выполняются операционной системой, а сам вирус находится в пассивном состоянии. В сложном случае, после получения управления вирус может выполнить ряд действий:

а) использовать для защиты методы криптографической защиты. В этом случае дополнительные действия, которые вирус выполняет на этапе загрузки, состоят в расшифровании основанного тела вируса.

б) объект и вирус располагаются в едином адресном пространстве. После завершения работы объекта, объект выгружается из оперативной памяти и при этом выгружается вирус, переходя в пассивную стадию хранения. Однако некоторые типы вирусов способны сохраняться в памяти и оставаться активными после окончания работы вируса носителя. Такие вирусы называются резидентными.

Для закрепления в оперативной памяти вирусы переносят свой код либо в самостоятельно отведенные блоки памяти, либо в зарезервированные под нужды операционной системы участки памяти. Также вирус заботится, чтобы этой области передавалось оперативное управление. Вирусы изменяют код системных функций, которыми гарантированно используются прикладными программами. Добавляет в них команды передачи управления своему коду. Изменяют системные таблицы, адреса соответствующих системных функций, подставив адреса своих подпрограмм, т.е. свойство резидентности предполагает выполнение вирусом на этапе загрузки двух действий:

-закрепление в памяти

-перехват системных функций

Stells-вирусы, для которых характерным является перехват системных функций с целью контроля действий операционной системы. Они скрывают свое присутствие и избегают обнаружение антивирусными программами.

Поиск жертвы. По способу поиска жертвы вирусы можно разделить на два класса:

а) осуществляющие активный поиск с использованием функций операционной системы. Например: файловые вирусы, использующие механизм поиска используемых файлов в текущем каталоге.

Заражение найденной жертвы в простейшем случае заражение представляет собой самокопирование кода вируса выбранной в качестве жертвы объект. По способу инфицирования жертвы вирусы можно разделить на классы:

вирусы, которые не внедряют свой код непосредственно в программный файл, а изменяют имя файла и создают код старым именем новый, содержащий тело вируса.

Вирусы, внедряющиеся непосредственно в файлы жертвы. Они характеризуются местом внедрения в файл:

а) в начало файла. При внедрении производится объединение собственного кода программы. Либо переписывается начальный фрагмент файлов в конец, освобождая место для себя.

б) внедрение в конец файла. Передача управления вирусу обеспечивается модификацией первых команд программы (com) либо заголовков программы (exe)

в) внедрение в середину файла. Используется для файлов с заранее известной структурой, либо к файлам, содержащим последовательность байтов.

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:

¨ способу заражения среды обитания

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-

cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

* неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

* опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

* очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Классификация вирусов по типам объектов вычислительной системы, в которых внедряются:

1)Программные файлы операционной системы - это файловые вирусы.

2)Исполнение состоит из 5 этапов:

а) загрузка вируса в память

в) заражение найденной жертвы

г) выполнение деструктивных функций

д) передача управления программе-носителю вируса

-закрепление в памяти

-перехват системных функций

Поиск жертвы. По способу поиска жертвы вирусы можно разделить на два класса:

1) вирусы, которые не внедряют свой код непосредственно в программный файл, а изменяют имя файла и создают код старым именем новый, содержащий тело вируса.

2) Вирусы, внедряющиеся непосредственно в файлы жертвы. Они характеризуются местом внедрения в файл:

Методы борьбы с разрушающим программным воздействием ( РПВ) можно разделить не следующие классы.

Общие методы защиты программного обеспечения от РПВ:

1. Контроль целостности системных областей, запускаемых прикладных

программ и используемых данных. Следует помнить, что контроль

целостности информации может быть обойден злоумышленником

· навязывания конечного результата проверок;

· влияния на процесс считывания информации;

· изменения хеш-значений, хранящихся в общедоступных файлах.

2. Контроль цепочек прерываний и фильтрация вызовов критических

для безопасности системы прерываний. Данные методы действенны

лишь тогда, когда контрольные элементы не подвержены воздействию

закладок и разрушающее воздействие входит в контролируемый класс.

3. Создание безопасной и изолированной операционной среды.

4. Предотвращение результирующего воздействия вируса или закладки.

Например, запись на диск должна вестись только в зашифрованном

виде на уровне контроллера, либо должен быть реализован запрет

записи на диск на аппаратном уровне.

Специализированные методы борьбы с РПВ

К ним можно отнести:

· Поиск фрагментов кода по характерным последовательностям (сигнатурам), свойственным РПВ, либо наоборот, разрешение на выполнение или внедрение в цепочку прерываний только программ с известными сигнатурами.

· Поиск критических участков кода методом семантического анализа фрагментов кода на выполняемые ими функции, часто сопряженный с дизассемблированием или эмуляцией выполнения [22].

В качестве одной из возможных эвристических методик выявления РПВ в BIOS, ассоциированных с существенно важными прерываниями, следует рассмотреть эвристическую методику выявления РПВ в BIOS[23].

Эвристическая методика выявления РПВ в BIOS

1. Выделяется группа прерываний, существенных с точки зрения обработки информации программой, относительно которой проводится защита. Обычно это прерывания int 13h (запись информации на внешние магнитные накопители прямого доступа), int 14h (обмен с RS232 портом), int 10h (обслуживание видеотерминала), а также в обязательном порядке прерывания таймера int 8h, int 1Ch и прерывания клавиатуры int 9h и int 16h.

2. Для выделенной группы прерываний определяются точки входа в ПЗУ, используя справочную информацию, либо выполняя прерывание в режиме трассировки.

3. Для выделенных адресов создаются цепочки исполняемых команд от точки входа до команды IRET - возврату управления из BIOS.

В цепочках исполняемых команд выделяются:

- команды работы с портами;

- команды передачи управления;

- команды пересылки данных.

4. В цепочках исполняемых команд анализируются команды выделенных

групп. Определяется присутствие в прерываниях команд:

· работы с недокументированными портами. Наличие таких

команд, как правило, указывает на передачу информации некоторому

устройству, подключенному к параллельному интерфейсу (общей

шине), например, встроенной радиопередающей закладке.

· работы с портами, участвующими в работе другого класса

· перемещения данных из BIOS в оперативную память;

· передачи управления в оперативную память или в сегменты

В случае, если опасных действий, относящихся к выше представленным четырем группам, не обнаружено, аппаратно-программная среда ПЭВМ считается чистой (безопасной).

Защита от РПВ путем создания изолированной программной среды

Предположим, что в ПЗУ и ОС отсутствуют закладки (проверка этого была проведена по некоторой методике). Пусть также пользователь работает только с программами, процесс написания и отладки которых полностью контролируется, т.е. в них также исключено наличие закладок. Такие программы называются проверенными.

Потенциально злоумышленными действиями в этом случае могут быть следующие:

· проверенные программы будут использованы на другой ПЭВМ с другим BIOS и в этих условиях могут использоваться некорректно;

· проверенные программы будут использованы в аналогичной, но не проверенной операционной среде, в которой они также могут использоваться некорректно;

· проверенные программы используются на проверенной ПЭВМ и в проверенной операционной среде, но запускаются еще и непроверенные программы, потенциально несущие в себе возможности НСД.

Деструктивные действия закладок гарантированно невозможны, если выполняются следующие условия:

· На ПЭВМ c проверенным BIOS установлена проверенная ОС.

· Достоверно установлена неизменность ОС и BIOS для данного сеанса

· Кроме проверенных программ в данной программно-аппаратной среде не запускалось и не запускается никаких иных программ, проверенные программы перед запуском контролируются на целостность.

· Исключен запуск проверенных программ в какой-либо иной ситуации, т.е. вне проверенной среды.

· Выше перечисленные условия выполняются в любой момент времени для всех пользователей, аутентифицированных защитным механизмом.

При выполнении перечисленных выше условий программная среда называется изолированной (ИПС – изолированная программная среда).

Основными элементами поддержания ИПС являются контроль целостности и активности процессов.

ИПС контролирует активизацию процессов через операционную среду, контролирует целостность исполняемых модулей перед их запуском и разрешает инициирование процесса только при одновременном выполнении двух условий - принадлежности к разрешенным программам и неизменности программ. В таком случае, для предотвращения угроз, связанных с внедрением в операционную среду скрытых не декларированных возможностей, от базового ПО требуется только:

· невозможность запуска программ помимо контролируемых ИПС событий;

· отсутствие в базовом ПО возможностей влиять на среду функционирования уже запущенных программ (фактически это требование невозможности редактирования и использования оперативной памяти другого процесса).

обеспечение, в результате действия которого в компьютерной системе осуществляются непредусмотренные пользователем действия, наносящие вред ему или другим субъектам.

Угрозы безопасности компьютерных систем, которые могут быть реализованы вследствие воздействия вредоносного программного обеспечения, в самом общем виде можно представить следующим образом:

• нарушение целостности, доступности и конфиденциальности информации, хранящейся и обрабатываемой в компьютерной системе;

• нештатное поведение аппаратных средств и программного обеспечения;

• использование компьютерной системы в интересах злоумышленников.

К вредоносному программному обеспечению относятся:

• классические компьютерные вирусы (Vuruses);

• сетевые черви (Worms);

• троянские программы (Trojans);

• программы-шпионы (Spy Ware);

• логические бомбы (Logic Bomb);

• почтовые (кластерные) бомбы;

• другие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Компьютерный вирус – самовоспроизводящаяся программа (или сегмент кода), которая может присоединяться к другим программам и файлам, способная приводить к нарушению целостности и доступности информации путем ее уничтожения, модификации или блокирования, а также вызывать снижение эффективности работы или повреждение компьютерной системы. Компьютерные вирусы могут распространять свои копии по

ресурсам локального компьютера с целью последующего запуска своего кода при каких-либо действиях пользователя.

Компьютерные вирусы не могут самостоятельно распространяться в компьютерных сетях (в отличие от сетевых червей). Для заражения компьютера вирусом необходима его активация, что возможно, например, при копировании на компьютер зараженных файлов с носителя или при запуске зараженного вирусом вложения к электронному письму.

Сетевой червь – программа, способная к самораспространению путем многократного самокопирования и передаче в компьютерных сетях. Черви используют для своего распространения компьютерные и мобильные сети так же, как вирусы используют файлы, и могут рассматриваться как разновидность компьютерных вирусов. Одной из отличительных особенностей сетевых червей является возможность их чрезвычайно

быстрого распространения, что может приводить к массовым компьютерным вирусным эпидемиям. Основной путь распространения сетевых червей – электронная почта (почтовые черви – mail worms), но также черви могут использовать файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (смартфонами, карманными компьютерами) и т. д.

приносящие вреда зараженному компьютеру, но наносящие ущерб удаленным компьютерным системам, как, например, троянские программы, разработанные для массированных DoS-атак (Denial of Service – отказ в обслуживании) на удалённые ресурсы сети. Как и черви, троянские программы иногда рассматриваются как отдельная разновидность компьютерных вирусов.

Программы-шпионы – программы, предназначенные для скрытого сбора и передачи по компьютерным сетям информации о пользователе компьютера (вплоть до электронных почтовых адресов) и его действиях в сети (например, адреса посещаемых веб-сайтов и адреса электронной почты).

Программы-шпионы могут содержаться внутри исполняемых файлов или файлов данных и попадать в компьютер аналогично вирусам. Однако так как размер таких программ существенно превышает размер вирусов, то их скрытное размещение внутри других файлов часто затруднительно. Чаще всего шпионские программы содержатся в дистрибутивах программ и устанавливаются на компьютер при их установке, являясь, по существу, троянскими программами. Если при этом шпионская программа устанавливается как самостоятельная программа (с созданием собственной папки, регистрацией в реестре и т. д.), то она продолжает функционировать, даже при удалении программы, в дистрибутиве которой она была спрятана. Шпионские модули содержатся в таких широко распространенных программах, как Go!Zilla, ReGet, GetRight, CuteFTP, NetMonitor, NetCaptor, NetSonic и др..

Логическая бомба − программа, выполняемая периодически или однократно в определенный момент времени при наступлении определенных условий. Целью логической бомбы является нарушение работы компьютерной системы, уничтожение, модификация или блокирование информации. Для запуска логической бомбы необходимо наступление определенного события: заданной даты, нажатие определенных клавиш или

также возможно внедрение логической бомбы в программу еще на этапе ее разработки.

Архивная бомба − специальный вид архива, предназначенный для нарушения работы компьютерной системы путем заполнения памяти большим количеством бесполезных данных, образующихся при их разархивировании. Переполнение диска может приводить к замедлению или приостановке работы компьютерной системы. Срабатывание архивной

бомбы на файловых или почтовых серверах, использующих какую-либо систему автоматической обработки входящей информации, может полностью блокировать их работу.

Можно выделить три типа архивных бомб :

• некорректный заголовок архива или испорченные данные в архиве, способные вызывать сбой при выполнении операции разархивирования;

• повторяющиеся данные в архивируемом файле большого размера, которые позволяют сильно сжать этот файл в архив малого размера (например, 5 Гбайт данных могут быть упакованы в 200КБ RAR-архива или в 480 Кбайт ZIP-архива);

• одинаковые файлы в архиве, обеспечивающие при использовании специальных методов архивации очень небольшой размер архива при большом размере разархивированного файла (например, существуют приемы упаковки 10100 одинаковых файлов в 30 Кбайт RAR или 230 Кбайт ZIP-архив).

Хакерские утилиты –программы-утилиты для организации атак на компьютерные системы, а также создания или совершенствования вредоносного программного обеспечения.

К вредоносному программному обеспечению могут быть отнесены и так называемые Ad Ware– программы, обеспечивающие вывод на экран информации рекламного характера, обычно представленной в виде всплывающих окон. Некоторые из таких программ способны выполнять и функции, свойственные шпионским про граммам, передавая информацию о персональных данных пользователя.

Вредоносные программы, прежде всего, троянские и шпионские программы и логические бомбы могут рассматриваться как программные закладки.

Программная закладка − это программа или фрагмент программы, скрытно внедряемый в компьютерную систему и позволяющий злоумышленнику, внедрившему его, осуществлять несанкционированный доступ к тем или иным ресурсам компьютерной системы или выполнять иные функции.

Отдельным и весьма специфическим классом вредоносного программного обеспечения являются мобильные вирусы, действующие в сотовых сетях связи и обладающие рядом существенных особенностей.

Поэтому мобильные вирусы более целесообразно рассматривать как одну из угроз сетям связи, а не компьютерным системам.

Основными причинами создания и распространения вредоносного программного обеспеченияявляются хулиганство, стремление к получению материальной выгоды (например, путем кражи персональных данных:

паролей, кодов доступа к банковским активам и т. п.), а также шпионаж,

основанный на получении несанкционированного доступа к конфиденциальной информации. Некоторые виды вредоносного программного обеспечения, например,

логические бомбы, в принципе, могут быть использованы для нанесения

ущерба путем нарушения работы компьютерных систем или серьезного нарушения информационной безопасности.

По назначению, поведению и деструктивными возможностямивредоносное программное обеспечение может быть представлено тремя основными типами .

1. Деструктивное программное обеспечение, представляющее

существенную угрозу для функционирования компьютерных систем и хранящейся и обрабатываемой в них информации:

1) вирусы, заражающие исполняемые файлы операционной системы;

2) черви, распространяющиеся в компьютерных сетях;

3) деструктивные троянские программы, уничтожающие или модифицирующие данные;

5) троянские шпионские программы, отслеживающие и фиксирующие действия пользователя компьютера, например, нажимаемые на клавиатуре клавиши, запускаемые приложения и т. д.;

6) троянские программы, пересылающие информацию, хранящуюся и обрабатываемую в компьютере;

7) логические бомбы, запускаемые при выполнении определенных условий и осуществляющие те или иные деструктивные действия;

8) архивные и почтовые бомбы, действие которых приводит к нарушению работы компьютерных систем, в частности, систем электронной почты;

9) хакерские утилиты, предназначенные для взлома атакуемых компьютерных систем.

2. Нежелательное программное обеспечение, не несущее непосредственной угрозы для компьютерных систем, но выполняющее непредусмотренные и, как правило, нежелательные для пользователя действия. Такими действиями может быть использование ресурсов компьютерной системы в чужих интересах, вывод на экран монитора рекламной информации (например, в виде всплывающих окон) и иные

К нежелательному программному обеспечению относятся :

3. Рискованное программное обеспечение– легальное программное обеспечение, используемое в злоумышленных целях:

1) утилиты удаленного администрирования;

2) утилиты предоставления сетевого сервиса – proxy-серверы, FTP- серверы и т. д.;

Важным моментом при работе прикладных программ, и в особенности средств защиты информации, является необходимость обеспечения потенциального невмешательства иных, присутствующих в компьютерной системе прикладных или системных программ, в процесс обработки информации.

Если под НСД понимают действия по использованию, изменению и уничтожению информации защищенной компьютерной системы, производимые субъектом, не имеющим права на такие действия, то под опосредованным НСД понимают несанкционированный доступ злоумышленника к информации, произведенный посредством предварительно внедренной в систему программы (или нескольких программ).

Например, предварительно внедренная злоумышленником в компьютерную систему программа, может перехватывать пароли, вводимые с клавиатуры легальным пользователем, и сохранять их в заранее известном и доступном злоумышленнику месте. Затем злоумышленник использует эти пароли для несанкционированного входа в систему.

Опосредованный НСД, как правило, реализуется с использованием особого класса программ – программ с потенциально опасными последствиями. В общем случае, программой с потенциально опасными последствиями называют программу, которая способна выполнять любое непустое подмножество перечисленных ниже функций:

1. скрывать признаки своего присутствия в программной среде компьютерной системы;

2. реализовывать самодублирование или ассоциирование себя с другими программами и/или перенос своих фрагментов в иные (не занимаемые изначально указанной программой) области оперативной или внешней памяти. При этом под самодублированием понимается процесс воспроизведения программой своего собственного кода в оперативной или внешней памяти компьютерной системы. Под ассоциированием с другой программой понимается интеграция своего кода, либо его части, в код другой программы таким образом, чтобы при определенных условиях управление передавалось на код программы с потенциально опасными последствиями;

3. разрушать (исказить произвольным образом) код иных программ в оперативной памяти компьютерной системы;

4. переносить (сохранять) фрагменты информации из оперативной памяти в некоторые области оперативной или внешней памяти прямого доступа;

5. имеет потенциальную возможность исказить произвольным образом, заблокировать и/или подменить выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящийся во внешней памяти, либо изменить его параметры.

Условно программы с потенциально опасными последствиями можно разделить на три класса.

1.Вирусы. Особенностью данного класса программ с потенциально опасными последствиями является его ненаправленность на конкретные программы и также то, что во главу угла здесь ставится самодублирование вируса.

2. Программные черви, троянские кони и фрагменты программ типа логический люк. Для данного типа программ имеет место обратная ситуация - самодублирование не присуще данным программам, но они обладают возможностями перехвата конфиденциальной информации или извлечения информации из сегментов систем безопасности, или ограничения доступа.

3. Программные закладки или разрушающие программные воздействия (РПВ) – обобщенный класс программ с потенциально опасными последствиями, обязательно реализующие хотя бы один пп. 3-5 определения программы с потенциально опасными последствиями. Программы данного класса, как правило, скрывают себя, и самоликвидируются после совершения целевых действий.

Для того чтобы РПВ смогло выполнить какие-либо действия по отношению к прикладной программе или данным, оно должно получить управление. Это возможно только при одновременном выполнении двух условий:

1. РПВ должно находиться в оперативной памяти до начала работы программы, которая является целью его воздействия, следовательно, оно должно быть загружено раньше или одновременно с этой программой;

2. РПВ должно активизироваться по некоторому общему, как для него, так и для программы событию, т.е. при выполнении ряда условий в программно-аппаратной среде, управление должно быть передано РПВ. Данное событие называют активизирующим.

Наиболее распространенными видами активизирующих событий являются:

1. Общие системные прерывания, связанные с выполнением некоторого действия (обращение к внешнему устройству, запись в файл и т.д.).

2. Ввод с клавиатуры (свойственно для клавиатурных шпионов).

3. Вывод информации на экран.

4. Операции с файлами (чтение, запись, открытие и т.п.).

5. Прерывание по таймеру.

Выделяют резидентные и нерезидентные РПВ

РПВ резидентного типа находятся в памяти постоянно с некоторого момента времени до окончания сеанса работы компьютерной системы (например, клавиатурный шпион). РПВ нерезидентного типа заканчивает свою работу самостоятельно через некоторый промежуток времени или по некоторому событию, при этом выгружая себя из памяти целиком для затруднения своего обнаружения.

Читайте также: