Среди способов внедрения АД в вычислительные сети различают метод Front-door, то есть внедрение через основные коммуникации, и метод Back-door - через вспомогательные коммуникации, которые, как правило, не связаны с окружением. Для использования метода Front-door необходимо, чтобы сообщения, приходящие от источника НСД, ничем нс отличались от сообщений основных источников. Если канал обладает криптографической защитой, то сообщение от источника НСД должно быть способно преодолевать ее, если нет, то сообщению достаточно только иметь правдоподобный вид. Преодоление канала означает успешное внедрение в ИВС. Далее АД кодируется штатными средствами защиты, становится элементом сети и может самоорганизовать проникновение во все компьютеры сети.
Метод Back-door использует знание конструктивных особенностей, электромагнитных характеристик объекта для внедрения АД в память.
Есть ссылки на разработки схем внедрения в сеть через систему электропитания, термоконтроля, шину передачи данных, которые косвенно связаны с памятью ЭВМ. Также имеются упоминания о проникновении с помощью электромагнитного излучения в кабели или микросхемы. Особую опасность представляют микросхемы со встроенными средствами НСД [З].
Принято выделять следующие стратегии воздействия АД типа вирус:
- Trojan Horse Strategy. После проникновения АД ожидает некоторого события или сигнала. До этого момента активизации он никак не проявляет себя;
- Forced Quarantine Strategy. После проникновения АД немедленно активизируется и, поражая сетевое ПО, изолирует ключевые ЭВМ в сети;
- Overload Strategy. Это стратегия известна как "червь". Многократное размножение и захват памяти и процессорного времени;
- Probe Strategy. Поиск и идентификация критически важной для функционирования информации с последующим ее уничтожением;
- Assassin Strategy. Поиск заранее известной информации (мишени) и уничтожение как мишени, так и собственного кода.
Таким образом АД не оставляет после себя никаких следов.
Одним из самых действенных средств поиска АД является непосредственный анализ кода ПО с помощью отладчиков и дизассемблеров. Наличие механизмов противодействия анализу программ становится в этом случае наиболее сложным препятствием на этом пути. Задача таких механизмов - максимально возможное затруднение анализа исполняемого кода программы. Желание работать с твердой копией исследуемой программы приводит к необходимости ее дизассемблирования с целью получения ассемблерного листинга. Существуют разнообразные способы скрытия истинного исполняемого кода от стандартных средств дизассемблирования [6]:
- шифрование;
- архивация (можно рассматривать как разновидность шифрования);
- использование самогенерируемых кодов;
- "обман" дизассемблера.
Дизассемблирование программ при наличии в них таких механизмов не дает верных результатов.
Зашифрованная или архивированная часть программы обычно выполняет обратную операцию в первых же командах своего тела, на которые и передается управление после запуска этого фрагмента. Поэтому элементарные отладочные средства позволяют обнаружить и снять шифр. Значительно сложнее обстоит дело, если механизм поэтапно дешифрирует информацию и этапы разнесены по ходу выполнения программы. В этом случае приходится с помощью отладочных средств выяснять, существует ли какая-то подпрограмма или фрагмент программы, осуществляющий дешифрацию. Если да, то приложив достаточно усилий возможно поэтапно осуществить дешифрацию и дизассемблирование. Задача становится еще более сложной, если процесс дешифрации тоже разнесен по тексту программы.
Архивация более эффективна, чем шифрование, так как решает сразу две задачи: уменьшение размера модуля и скрытие кода программы от дизассемблера. Архивированные фрагменты программы должны быть самораспаковывающимися. Методов сжатия информации в настоящее время существует достаточно .много и большинство из к позволяет добиться описанной цели.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.