Общ Форум > Всичко останало
Термини
direktx:
Предлагам тук да се дават определения за термините :)
Ще се опитам да дам няколко определения, намерих ги в интернет. ;)
Ако някой може да ги обясни по-добре да го направи.
direktx:
Емулация - Изпълняване на приложение, което е компилирано за друга операционна система и/или процесорна архитектура. При емулация се прави точна имитация на системата за изпълнение на оригиналния машинен код.
Технологията на емулиране на кода на програмата (Sandboxing) се появила в отговор на появяването на голям брой полиморфни вируси. Идеята на този метод се състои в това, че емулира изпълнението на програмата в специален буфер. След емулацията в буфера се намира разшифрованото тяло на вируса, което е готово вече за идентифициране със стандартните методи (сигнатурно или CRC търсене).
Симулация - показва поведението на определена програма (приложение)
Верифициране - проверяване
Валидиране - потвърждаване
Верифициране и Валидиране са глаголи, докато Верификация и Валидация са съществителни, трябва да се прави разлика между тези термини.
Бъг – с този термин се означава грешка в програмата, която води до неправилното и функциониране. Според теорията на програмирането за бъг може да се счита и всяка неочаквана от потребителя реакция от страна на изпълнената програма.
Скрипт – програма написана за интерпретатор. Скриптът може да съдържа команди за настройка на операционната система, както и за генериране на уеб страници.
Рууткит
Терминът rootkit (рууткит) се използва за описване на механизми и техники, чрез които зловредни програми, вкл. компютърни вируси, шпиони и троянски коне, се опитват да се скрият от антивирусни програми и други приложения за сигурност. Според Марк Русинович съществуват няколко групи rootkits:
A) Устойчиви Rootkits - Устойчивият rootkit е такава зловредна програма, която се активира при всяко рестартиране на компютъра. Тези програми съдържат код, който се съхранява в регистъра или файловата система и се стартира без потребителска намеса.
Б) Зависещи от паметта Rootkits - Зависещите от паметта rootkits са зловредни програми, които нямат устойчив код и са записани единствено в паметта. Поради тази причина те не оцеляват при рестартиране на операционната система.
В) User-mode Rootkits - Има много методи, чрез които rootkits се опитват да останат незабелязани. Когато дадено приложение (например Windows Explorer) изведе списък със съдържанието на една директория, user-mode rootkit програмата ще прекъсне и модифицира изходните данни, за да премахне следите от присъствието си, които иначе биха били открити лесно.
Г) Kernel-mode Rootkits - Kernel-mode rootkits са много опасни, защото работят на едно ниво с операционната система и по този начин могат да манипулират информацията, която тя извежда. Това прави тяхното откриване много трудно. Обикновено се налага сканиране на хард диска от друга операционна система или неговото форматиране. Често използван метод за прикриване на присъствието на един процес е като бъде изтрит от списъка със заредените в ядрото на операционната системата процеси. Така той ще бъде невидим за програми като Task Manager или Process Explorer.
Важно е да запомните, че rootkits са трудно откриваеми програми, които често се използват, за да прикрият присъствието на друг зловреден софтуер - keyloggers, worms, sniffers и др. Антивирусните програми могат да ги откриват, но е добре от време на време да използвате и специални скенери за rootkits на различни софтуерни разработчици.
direktx:
Мрежа с равноправен достъп P2P (Peer-to-peer)
При Peer-to-peer мрежите, мрежовите компютри функционират като равноправни партньори. Всички компютри имат равни възможности и еднакви функции.
Като равноправен всеки компютър може да бъде както клиент, така и сървър, тоест всеки компютър може да споделя собствени ресурси с останалата мрежа и да осъществява достъп до ресурсите на другите.
Пример:
В даден момент компютър А прави заявка за файл от компютър В, който отговаря чрез запазване на файла на компютър А. Компютър А в случая е клиентът, а компютър В функционира като сървър.
В следващия момент компютрите могат да си разменят ролите.
Потребителят на всеки компютър отговаря за администрирането на ресурсите на своя компютър (създаване на потребителски акаунти, създаване на споделени ресурси и задаването на позволения за достъп до тези ресурси). Всеки потребител отговаря също за архивирането на данните на своя компютър. За нещастие, откриването на търсен ресурс може да бъде трудно в равноправна мрежа, в която има повече от няколко компютъра.
Peer-to-peer мрежите работят добре с 10 или по-малко компютри.
Потребителите трябва да правят резервни копия на данните против нежелателни загуби в случай на пропадане на системата. Когато компютър действа като сървър, потребителят на тази машина може да почувства намаляне в производителността, след като получава заявки и обслужва другите системи (клиентите).
Равноправната мрежа няма централна база данни, където се пази информация за потребителските акаунти. Цялата сигурност е локална. Потребителските акаунти и пароли трябва да бъдат създавани и поддържани на всяка отделна машина (компютър). Това е едновременно неудобно и значително по-несигурно в сравнение с централизирания модел на сигурността, използван в мрежите клиент/сървър.
Peer-to-peer мрежите са лесни за инсталиране и управление. За тази цел не е необходимо допълнително оборудване освен инсталирана операционна система. Тъй като потребителите контролират своите ресурси, не е необходима администраторска намеса.
Някои приложения изискват компютрите да функционират като равноправни.
direktx:
Клиент - представлява компютър или друго мрежово устройство, отправящо заявки за достъп до мрежови ресурси. Клиентът обикновено, но не винаги е компютър. Обърнете внимание, че принтер или друго мрежово устройство, което може да изисква ресурси, технически също е клиент. С термина клиент могат също да се означават софтуерни програми осъществяващи достъп до сървърни програми.
Сървър - представлява компютър, който прави своите ресурси (данни, софтуер или свързаните към него периферни устройства, като например принтери) достъпни за други компютри в мрежата.
По-лесно можем да запомним двете понятия така: Сървърите дават (споделят техни ресурси), а клиентите взимат (осъществяват достъп до ресурсите на сървърите).
direktx:
Антивирусен двигател (Antivirus engine) или още антивирусно ядро
Една от основните части на антивирусната програма е така наречения антивирусен двигател – модул, отговарящ за проверката на обектите и обезоръжаването на вредните програми и компоненти. От това как е разработен и какви методи за откриване и евристика използва той, зависи качеството на вирусите и като следствие, нивото на защитата, предоставено от антивирусната програма.
Основните критерии, по които може да се определи качеството на антивирусния модул са:
• Нивото на откриване с евристични анализатори.
• Нивото на лъжливите сработвания. Ако за 100% не заразени файлове, програмата рапортува за възможно заразен файл, то това е лъжливо сработване. Фалшива тревога.
• Поддръжката на голямо количество опаковчици и архиватори. Това е много важен фактор, защото създателите на вредни програми, написали и получили няколко различни вируса ги опаковат в няколко изпълними модули, след което ги разпространяват. За антивируси поддържащи почти всички познати архиватори, няма да е трудно да идентифицират всички тези модификации на вируса.
• Честота и размер на обновяванията на антивирусната база. Честото обновяване гарантира, че потребителя винаги ще бъде защитен и от току що появили се вируси.
• Възможност за обновяване на самия антивирусен двигател, без обновяване на цялата програма. В някои случаи, за изолирането на вирус трябва да се обнови не само антивирусната база, но и самия антивирусен двигател. Ако софтуерът не поддържа подобна опция, то потребителя може да остане беззащитен пред новите вируси, а и тази възможност позволява да се подобри двигателя на антивирусната програма или да се коригират възникнали или открити пробиви и грешки.
Антивирусният двигател (Anti-Virus Engine) е основен компонент във всяка антивирусна програма.
За откриването на вируси са реализирани няколко технологии при повечето антивирусни двигатели:
• Търсене по “сигнатура” (байтове с уникална последователност)
• Търсене по контролни суми или CRC (контролни суми с уникална последователност на байтовете)
• Използване на редуцирани маски.
• Криптоанализ.
• Статистически анализ.
• Евристичен анализ.
• Емулация.
- Търсене по “сигнатура”. Сигнатура - това е уникална “линия” байтове, която еднозначно характеризира тази или онази вредоносна програма. Сигнатурното търсене се използва за изолиране на вируси и други вредни програми, като се прилага от времето на най-първите антивирусни програми да сега. Неоспоримо качество на сигнатурното търсене е - скоростта на работа и възможността да открива няколко вируса с една сигнатура.
- Търсенето по контролни суми (CRC - cyclic redundancy check) се явява модификация на търсенето по сигнатури. Метода е разработен за да се избегнат основните недостатъци на сигнатурното търсене - размера на базата и намаляване на вероятността от лъжливи сработвания. Същността на метода се състои в това, че за да се открие вредния код се взима не само “опорния” ред - сигнатура, а по-точно казано контролната сума на този ред и местоположението на сигнатурата в тялото на вредоносната програма. Местоположението се използва, за да не се събират контролни суми за целия файл.
- Използването на маски за разкриването на вредния код, много често е усложнено от наличието на шифрован код (при така наречените полиморфни вируси), защото в тези случаи, или е невъзможно да се избере маска, или маската с максимален размер не удовлетворява условието за еднозначна идентификация на вируса, без лъжливи сработвания.
- Криптоанализът се изразява в следното: по известен базов код на вируса и по известен зашифрован код (или по подозрителен код, приличащ на зашифровано тяло на вирус) се възстановяват ключовете и алгоритъма на програмите на разшифровчика. След това, този алгоритъм се прилага към зашифрования участък и в резултат от това се явява разшифрованото тяло на вируса. При решението на тези задачи се налага използването на системни уравнения.
- Статистическият анализ също се използва за откриване на полиморфни вируси. По време на своята работа, скенера анализира честотата на използваните команди, прави таблица на срещащите се команди и на основата на тази информация прави извод за заразяването на файла с вирус. Този метод е ефективен за търсене на някои полиморфни вируси, защото тези вируси използват ограничен набор команди, докато чистите файлове използват съвсем други команди, с друга честота.
- Евристичен анализ. С увеличаването на броя на вирусите, антивирусните експерти се замислили над идеята за разкриване на вредни програми, за съществуването на които антивирусната програма още не знае (няма съответстващи сигнатури). В резултат били създадени така наречените евристични анализатори. Те представляват набор от програми, които анализират кода на изпълнимите файлове, макроси, скриптове, памети или застрашени сектори за изолиране в тях на различни типове вредоносни компютърни програми.
Съществуват два принципа на работа на анализатора.
Статичен метод. Търсене на общи кратки сигнатури, които присъстват в повечето вируси (така наречените “подозрителни команди”).
Динамичен метод. Този метод се е появил едновременно с внедряването в антивирусните програми на емулации на команди. Същността на метода се състои в емулация на изпълнение на програмите и протоколиране на всички техни “подозрителни” действия. Въз основа на този протокол се взима решение за възможно заразяване с вирус. За разлика от статичния, динамичния метод използва повече ресурси, но и нивото на откриване е по-високо.
Навигация
[0] Списък на темите
Премини на пълна версия