Автор Тема: Термини  (Прочетена 5660 пъти)

0 Потребители и 1 Гост преглежда(т) тази тема.

Неактивен direktx

  • инж. "direktx"
  • Потребител
  • ***
  • Публикации: 118
  • Авастианец
Термини
« -: Март 16, 2010, 02:17:37 am »
Предлагам тук да се дават определения за термините  :)

Ще се опитам да дам няколко определения, намерих ги в интернет.  ;)
Ако някой може да ги обясни по-добре да го направи.
Знам който може го може, но с тебе повече можем ;) !!! :)

Неактивен direktx

  • инж. "direktx"
  • Потребител
  • ***
  • Публикации: 118
  • Авастианец
Re:Термини
« Отговор #1 -: Март 16, 2010, 03:00:44 am »
Емулация - Изпълняване на приложение, което е компилирано за друга операционна система и/или процесорна архитектура. При емулация се прави точна имитация на системата за изпълнение на оригиналния машинен код.
Технологията на емулиране на кода на програмата (Sandboxing) се появила в отговор на появяването на голям брой полиморфни вируси. Идеята на този метод се състои в това, че емулира изпълнението на програмата в специален буфер. След емулацията в буфера се намира разшифрованото тяло на вируса, което е готово вече за идентифициране със стандартните методи (сигнатурно или CRC търсене).

Симулация - показва поведението на определена програма (приложение)

Верифициране - проверяване
Валидиране - потвърждаване

Верифициране и Валидиране са глаголи, докато Верификация и Валидация са съществителни, трябва да се прави разлика между тези термини.

Бъг – с този термин се означава грешка в програмата, която води до неправилното и функциониране. Според теорията на програмирането за бъг може да се счита и всяка неочаквана от потребителя реакция от страна на изпълнената програма.

Скрипт – програма написана за интерпретатор. Скриптът може да съдържа команди за настройка на операционната система, както и за генериране на уеб страници.

Рууткит
Терминът rootkit (рууткит) се използва за описване на механизми и техники, чрез които зловредни програми, вкл. компютърни вируси, шпиони и троянски коне, се опитват да се скрият от антивирусни програми и други приложения за сигурност. Според Марк Русинович съществуват няколко групи rootkits:
 
     A) Устойчиви Rootkits - Устойчивият rootkit е такава зловредна програма, която се активира при всяко рестартиране на компютъра. Тези програми съдържат код, който се съхранява в регистъра или файловата система и се стартира без потребителска намеса.
     Б) Зависещи от паметта Rootkits - Зависещите от паметта rootkits са зловредни програми, които нямат устойчив код и са записани единствено в паметта. Поради тази причина те не оцеляват при рестартиране на операционната система.

     В) User-mode Rootkits - Има много методи, чрез които rootkits се опитват да останат незабелязани. Когато дадено приложение (например Windows Explorer) изведе списък със съдържанието на една директория, user-mode rootkit програмата ще прекъсне и модифицира изходните данни, за да премахне следите от присъствието си, които иначе биха били открити лесно.

     Г) Kernel-mode Rootkits - Kernel-mode rootkits са много опасни, защото работят на едно ниво с операционната система и по този начин могат да манипулират информацията, която тя извежда. Това прави тяхното откриване много трудно. Обикновено се налага сканиране на хард диска от друга операционна система или неговото форматиране. Често използван метод за прикриване на присъствието на един процес е като бъде изтрит от списъка със заредените в ядрото на операционната системата процеси. Така той ще бъде невидим за програми като Task Manager или Process Explorer.

     Важно е да запомните, че rootkits са трудно откриваеми програми, които често се използват, за да прикрият присъствието на друг зловреден софтуер - keyloggers, worms, sniffers и др. Антивирусните програми могат да ги откриват, но е добре от време на време да използвате и специални скенери за rootkits на различни софтуерни разработчици.
« Последна редакция: Март 17, 2010, 12:09:58 pm от direktx »
Знам който може го може, но с тебе повече можем ;) !!! :)

Неактивен direktx

  • инж. "direktx"
  • Потребител
  • ***
  • Публикации: 118
  • Авастианец
Re:Термини
« Отговор #2 -: Март 16, 2010, 07:53:35 pm »
Мрежа с равноправен достъп P2P (Peer-to-peer)

При Peer-to-peer мрежите, мрежовите компютри функционират като равноправни партньори. Всички компютри имат равни възможности и еднакви функции.
Като равноправен всеки компютър може да бъде както клиент, така и сървър, тоест всеки компютър може да споделя собствени ресурси с останалата мрежа и да осъществява достъп до ресурсите на другите.

Пример:
В даден момент компютър А прави заявка за файл от компютър В, който отговаря чрез запазване на файла на компютър А. Компютър А в случая е клиентът, а компютър В функционира като сървър.
В следващия момент компютрите могат да си разменят ролите.

Потребителят на всеки компютър отговаря за администрирането на ресурсите на своя компютър (създаване на потребителски акаунти, създаване на споделени ресурси и задаването на позволения за достъп до тези ресурси). Всеки потребител отговаря също за архивирането на данните на своя компютър. За нещастие, откриването на търсен ресурс може да бъде трудно в равноправна мрежа, в която има повече от няколко компютъра.
Peer-to-peer мрежите работят добре с 10 или по-малко компютри.
Потребителите трябва да правят резервни копия на данните против нежелателни загуби в случай на пропадане на системата. Когато компютър действа като сървър, потребителят на тази машина може да почувства намаляне в производителността, след като получава заявки и обслужва другите системи (клиентите).
Равноправната мрежа няма централна база данни, където се пази информация за потребителските акаунти. Цялата сигурност е локална. Потребителските акаунти и пароли трябва да бъдат създавани и поддържани на всяка отделна машина (компютър). Това е едновременно неудобно и значително по-несигурно в сравнение с централизирания модел на сигурността, използван в мрежите клиент/сървър.
Peer-to-peer мрежите са лесни за инсталиране и управление. За тази цел не е необходимо допълнително оборудване освен инсталирана операционна система. Тъй като потребителите контролират своите ресурси, не е необходима администраторска намеса.
Някои приложения изискват компютрите да функционират като равноправни.
Знам който може го може, но с тебе повече можем ;) !!! :)

Неактивен direktx

  • инж. "direktx"
  • Потребител
  • ***
  • Публикации: 118
  • Авастианец
Re:Термини
« Отговор #3 -: Март 16, 2010, 08:09:45 pm »
Клиент -  представлява компютър или друго мрежово устройство, отправящо заявки за достъп до мрежови ресурси. Клиентът обикновено, но не винаги е компютър. Обърнете внимание, че принтер или друго мрежово устройство, което може да изисква ресурси, технически също е клиент. С термина клиент могат също да се означават софтуерни програми осъществяващи достъп до сървърни програми.

Сървър - представлява компютър, който прави своите ресурси (данни, софтуер или свързаните към него периферни устройства, като например принтери) достъпни за други компютри в мрежата.

По-лесно можем да запомним двете понятия така: Сървърите дават (споделят техни ресурси), а клиентите взимат (осъществяват достъп до ресурсите на сървърите).
Знам който може го може, но с тебе повече можем ;) !!! :)

Неактивен direktx

  • инж. "direktx"
  • Потребител
  • ***
  • Публикации: 118
  • Авастианец
Re:Термини
« Отговор #4 -: Март 17, 2010, 12:17:29 pm »
Антивирусен двигател (Antivirus engine) или още антивирусно ядро

Една от основните части на антивирусната програма е така наречения антивирусен двигател – модул, отговарящ за проверката на обектите и обезоръжаването на вредните програми и компоненти. От това как е разработен и какви методи за откриване и евристика използва той, зависи качеството на вирусите и като следствие, нивото на защитата, предоставено от антивирусната програма.

Основните критерии, по които може да се определи качеството на антивирусния модул са:

• Нивото на откриване с евристични анализатори.
• Нивото на лъжливите сработвания. Ако за 100% не заразени файлове, програмата рапортува за възможно заразен файл, то това е лъжливо сработване. Фалшива тревога.
• Поддръжката на голямо количество опаковчици и архиватори. Това е много важен фактор, защото създателите на вредни програми, написали и получили няколко различни вируса ги опаковат в няколко изпълними модули, след което ги разпространяват. За антивируси поддържащи почти всички познати архиватори, няма да е трудно да идентифицират всички тези модификации на вируса.
• Честота и размер на обновяванията на антивирусната база. Честото обновяване гарантира, че потребителя винаги ще бъде защитен и от току що появили се вируси.
• Възможност за обновяване на самия антивирусен двигател, без обновяване на цялата програма. В някои случаи, за изолирането на вирус трябва да се обнови не само антивирусната база, но и самия антивирусен двигател. Ако софтуерът не поддържа подобна опция, то потребителя може да остане беззащитен пред новите вируси, а и тази възможност позволява да се подобри двигателя на антивирусната програма или да се коригират възникнали или открити пробиви и грешки.

Антивирусният двигател (Anti-Virus Engine) е основен компонент във всяка антивирусна програма.

За откриването на вируси са реализирани няколко технологии при повечето антивирусни двигатели:

• Търсене по “сигнатура” (байтове с уникална последователност)
• Търсене по контролни суми или CRC (контролни суми с уникална последователност на байтовете)
• Използване на редуцирани маски.
• Криптоанализ.
• Статистически анализ.
• Евристичен анализ.
• Емулация.

- Търсене по “сигнатура”. Сигнатура - това е уникална “линия” байтове, която еднозначно характеризира тази или онази вредоносна програма. Сигнатурното търсене се използва за изолиране на вируси и други вредни програми, като се прилага от времето на най-първите антивирусни програми да сега. Неоспоримо качество на сигнатурното търсене е - скоростта на работа и възможността да открива няколко вируса с една сигнатура.

- Търсенето по контролни суми (CRC - cyclic redundancy check) се явява модификация на търсенето по сигнатури. Метода е разработен за да се избегнат основните недостатъци на сигнатурното търсене - размера на базата и намаляване на вероятността от лъжливи сработвания. Същността на метода се състои в това, че за да се открие вредния код се взима не само “опорния” ред - сигнатура, а по-точно казано контролната сума на този ред и местоположението на сигнатурата в тялото на вредоносната програма. Местоположението се използва, за да не се събират контролни суми за целия файл.

- Използването на маски за разкриването на вредния код, много често е усложнено от наличието на шифрован код (при така наречените полиморфни вируси), защото в тези случаи, или е невъзможно да се избере маска, или маската с максимален размер не удовлетворява условието за еднозначна идентификация на вируса, без лъжливи сработвания.

- Криптоанализът се изразява в следното: по известен базов код на вируса и по известен зашифрован код (или по подозрителен код, приличащ на зашифровано тяло на вирус) се възстановяват ключовете и алгоритъма на програмите на разшифровчика. След това, този алгоритъм се прилага към зашифрования участък и в резултат от това се явява разшифрованото тяло на вируса. При решението на тези задачи се налага използването на системни уравнения.

- Статистическият анализ също се използва за откриване на полиморфни вируси. По време на своята работа, скенера анализира честотата на използваните команди, прави таблица на срещащите се команди и на основата на тази информация прави извод за заразяването на файла с вирус. Този метод е ефективен за търсене на някои полиморфни вируси, защото тези вируси използват ограничен набор команди, докато чистите файлове използват съвсем други команди, с друга честота.

- Евристичен анализ. С увеличаването на броя на вирусите, антивирусните експерти се замислили над идеята за разкриване на вредни програми, за съществуването на които антивирусната програма още не знае (няма съответстващи сигнатури). В резултат били създадени така наречените евристични анализатори. Те представляват набор от програми, които анализират кода на изпълнимите файлове, макроси, скриптове, памети или застрашени сектори за изолиране в тях на различни типове вредоносни компютърни програми.
Съществуват два принципа на работа на анализатора.

Статичен метод. Търсене на общи кратки сигнатури, които присъстват в повечето вируси (така наречените “подозрителни команди”).

Динамичен метод. Този метод се е появил едновременно с внедряването в антивирусните програми на емулации на команди. Същността на метода се състои в емулация на изпълнение на програмите и протоколиране на всички техни “подозрителни” действия. Въз основа на този протокол се взима решение за възможно заразяване с вирус. За разлика от статичния, динамичния метод използва повече ресурси, но и нивото на откриване е по-високо.
« Последна редакция: Март 17, 2010, 12:40:06 pm от direktx »
Знам който може го може, но с тебе повече можем ;) !!! :)

Неактивен direktx

  • инж. "direktx"
  • Потребител
  • ***
  • Публикации: 118
  • Авастианец
Re:Термини
« Отговор #5 -: Март 22, 2010, 09:10:34 pm »
Разлика между Евристика и TruPrevent :

- Евристиката включва методи за анализ по подобие, на ниво код на програмата
- Евристиката предполага "знания" за кода и алгоритъма за изпълнение

- TruPrevent е технология за анализ на поведение и не се базира на анализ на кода
- TruPrevent съдържа технология за анализ на ниво мрежови протоколи и пакети
- TruPrevent съдържа технология и "знания" за използваните методи на атака (IDS)
Знам който може го може, но с тебе повече можем ;) !!! :)

Неактивен direktx

  • инж. "direktx"
  • Потребител
  • ***
  • Публикации: 118
  • Авастианец
Re:Термини
« Отговор #6 -: Март 29, 2010, 12:24:58 pm »
Защо е необходима проверка при стартиране ?

  Всяка операционна система работи по различен начин. Работата на антивирусните програми също е различна под всяка операционна система. Операционната система и антивирусната програма си влияят взаимно, което е причина антивирусната програма да не може да си свърши работата в дадени моменти и ситуации. Различните особености и настройки на операционната система я карат да се държи различно. Същата е ситуацията и при антивирусната програма. И когато тя не може да си свърши работата, това е не защото тя самата не може, а защото операционната система ангажира определен ресурс, както и файла/файловете отговарящи за този ресурс. Антивирусната програма не може да го ползва, защото той е зает, и е принудена да чака докато операционната система го освободи. Принудителното освобождаване на ресурсите под Windows става като се стартира Windows в Safe Mode. Тогава антивирусната програма работи свободно, защото няма кой да и пречи. Всяка антивирусна програма разчита на операционната система да я стартира в даден момент. При стартиране на Windows в Safe Mode, най-общо казано, той стартира само себе си, без да стартира различните допълнителни драйвери, services, локална мрежа и интернет, не се стартира дори DirectX и самата антивирусна програма. Това е умишлено, за да може всичко като ресурс да се освободи. Много от съвременните вируси и различните шпионски програми стартират скрити процеси, като заемат ресурси и пречат на антивирусната програма да се прави със заразените файлове. В Safe Mode, тези процеси също няма да се стартират. Следва да стартирате ръчно анти-вирусната си програма и да я оставите да идентифицира и премахне заразените файлове, без да се притеснявате, че те няма да са достъпни.
Допълнително инсталираните програми и особено защитните стени, анти-спайуер програмите също влияят на операционната система и на антивирусната програма, като може да възникнат несъвместимости и неправилна работа на системата. Основната задача на антивирусната програма е да спре вируса, без да му позволи да ви зарази, а също и да открива и елиминира вируси в системата. Има вируси, обаче, които имат за цел и повреждат програми или само файлове в компютъра. Хубаво е да запомните, че антивирусната програма не коригира нанесени от вируси щети. Производителите на софтуер винаги прилагат към продуктите си подробна документация относно ползването и възможностите им. Добре е да се запознаете с тази документация и при възникване на проблем, който не е описан там да потърсите допълнителна информация или да се свържете директно с производителите.
Знам който може го може, но с тебе повече можем ;) !!! :)

Неактивен direktx

  • инж. "direktx"
  • Потребител
  • ***
  • Публикации: 118
  • Авастианец
Re:Термини
« Отговор #7 -: Март 29, 2010, 12:42:16 pm »
Stealth  вируси

Те са най - коварните защото причиняват големи щети и остават резидентни в оперативната памет. Stealth  вирусите още прикриват симптомите на вирусната инфекция и взаймодействат с различни антивирусни програми, като принуждават програмата да съобщи че няма вируси. Тези вируси не показват промени по размерите на файла, който са инфектирали, което ги прави трудни за засичане и обезвреждане! Самият вирус лесно се укрива и трудно се премахва. Секторите от хард-диска и (или) дискетата където е записан оригинала на вируса се маркират като лоши (механично повредени), въпреки че не са повредени по никакъв начин. Bсички анти-вирусни програми, който проверяват хард-диска или дискетите "виждат" маркираното - "лош сектор" и го прескачат без да засичат вируса. Друга мярка за защита е заетата техника от полиморфните вируси - на самопроменящ се код на вируса за допълнителна самозащита.

Макровируси -

вируси специално написани на "Word macro language" и на "Visual Basic Macro language", като създават отделни макроси - вируси. Тези вируси често предизвикват правописни и стилистични грешки по текстовете на "WinWord"; "MacWord"; "DosWord" а също и по таблиците на "DosExcel", "WinExcel" и "MacExcel" . Тези вируси не правят разлика между отделните версии на Word и Excel. Макро вирусите се пренасят, като макроси по документи и таблици със записани макроси. Стартирането на макросите стартира и макро вирусите. Макро вирусите нападат първо файла Normal.dot (когато става дума за Word) или Normal.xlt (когато става дума за Excel), а после и всеки отворен документ.

Логическите вируси -

предизвикват не само множество щети, но и много логически грешки по време на работа. Те се активират, ако определени условия се изпълнят правилно.

Time-bomb -

 вируси с назначена дата на активиране. Ако попаднат в компютъра преди датата на активирането им, те само се размножават без да предизвикват повреди. На датата на активирането или след нея вирусите се активират и нанасят своят удар. Пример за такъв вирус е CIH (т.нар. Чернобил), който се активира на 26-ти април.

Суматорни вируси

Те са предвидени да събират и закръглят стойности предизвиквайки много големи бъркотии. Започвайки от най-ниските нива на Excel и стигат до най-високите нива на счетоводни и ведомствени и подбанкови и банкови нива и функции. Тези вируси могат да объркат сметки, подменят стойности и резултати и знаци в зависимост от индентификацията на дадено действие и сумите и вида на стойностите. Често тези вируси вкарват в обръщение неверни стойности представяйки ги за верни, както и да отхвърлят верните стойности, като ги представят за грешни.

Полиморфни вируси

Те са много трудни за засичане, идентифициране и премахване, защото те постоянно променят своят код. Няма два еднакви кода на един и същ полиморфен вирус - /който е способен да направи хиляди самомодификации с цел да се самопредпази от антивирусните програми/. Принципа на полиморфията при вирусите е всяко копие да се кодира различно.

Биокомпютърните вируси

Те са много интересни. Те представляват нещо като един вирус разделен на две "половини", които "половини" са програмирани да се търсят взаимно (една-друга) и когато се открият да се съединят и да образуват вируса. Всяка (коя да е) "половина" поотделно е безобидна, но ако двете се съберат заедно вируса се образува, активира се и нанася своят удар срещу софтуера.

Бинарни вируси

Това са вируси, които са написани на машинен език и също като биокомпютърните вируси са в две части, които взаимно се търсят една дурга. Това че са написани на машинен език ги прави малки и трудно засечими.

RAM вируси

Това са вируси, които само се размножават, намират се в оперативната памет (RAM), окупират голяма част от нея и не се улавят от антивирусните програми, които сканират  RAM за резидентни вируси. Те не причиняват никакви щети но бързо и лесно се размножават. Тези вируси също често пъти заставят програмата да не стартира и да изведе съобщение за не достатъчно RAM-памет, въпреки че компютъра в повечето случай има достатъчно количество RAM-памет за да изпълни програмата.
« Последна редакция: Март 29, 2010, 01:09:22 pm от direktx »
Знам който може го може, но с тебе повече можем ;) !!! :)