Для того чтобы защитить систему от внедрения заместителя, ее администраторы должны строго соблюдать адекватную политику безопасности. И что особенно важно, подсистема аутентификации должна быть одним из самых защищенных элементов операционной системы. Однако, как показывает практика, администраторы, подобно всем людям, склонны к совершению ошибок. А, следовательно, соблюдение адекватной политики безопасности в течение неограниченного периода времени является невыполнимой задачей. Кроме того, как только заместитель попал в компьютерную систему, любые меры защиты от внедрения программных закладок перестают быть адекватными, и поэтому необходимо предусмотреть возможность использования эффективных средств обнаружения и удаления внедренных клавиатурных шпионов. Это значит, что администратор должен вести самый тщательный контроль целостности исполняемых системных файлов и интерфейсных функций, используемых подсистемой аутентификации для решения своих задач.

Но и эти меры могут оказаться недостаточно эффективными. Ведь машинный код заместителя выполняется в контексте операционной системы, и поэтому заместитель может предпринимать особые меры, чтобы максимально затруднить собственное обнаружение. Например, он может перехватывать системные вызовы, используемые администратором для выявления программных закладок, с целью подмены возвращаемой ими информации. Или фильтровать сообщения, регистрируемые подсистемой аудита, чтобы отсеивать те, которые свидетельствуют о его присутствии в компьютере.

8.2.2.5. Троянские программы — типы и особенности поведения

В отличие от выше рассмотренных червей и вирусов, троянские программы не создают свои копии. Они проникают на компьютер, например, через электронную почту или через веб-браузер, когда пользователь посещает «зараженную» веб-страницу. Троянские программы внедряются при участии пользователя и начинают функционировать при включении компьютера различные троянские программы в зависимости от умысла создателей реализуют разные задачи.

Основными функциями «троянцев» является блокирование, изменение или уничтожение информации, нарушение работы компьютеров или компьютерных сетей. Кроме этого, троянские программы могут принимать или отправлять файлы, выполнять их, выводить на экран различные сообщения, самостоятельно обращаться к веб-страницам, загружать и устанавливать другие программы, перезагружать компьютер по команде злоумышленников и т. д.

Злоумышленники часто используют «комбинации» из разных троянских программ.

В таблице 8.2 приводятся основные типы троянских программ с краткими характеристиками их функционирования в заряженных устройствах.

Таблица 8.2

Типы особенностей поведения троянских программ

Продолжение таблицы 8.2

Продолжение таблицы 8.2

Продолжение таблицы 8.2

Окончание таблицы 8.2

8.3. Программные закладки

8.3.1. Основные принципы реализации программных закладок

8.3.1.1. Введение в проблему программных закладок

В качестве введения следует сделать небольшой обзор, в котором попробуем показать, какие сегодня имеются трояны и закладки и как злоумышленник может использовать их для получения доступа к любой системе — жертве.

Все мы хорошо помним один из эпизодов истории древних греков. Греки атаковали один из городов Трои. После очевидной безуспешной атаки греки приняли новый план по достижению победы: они сделали громадного коня из дерева и оставили его перед воротами Трои. Жители Трои решили, что это был подарок и втащили внутрь крепости этого коня, который потом назывался Троянский, в город. Поздней ночью греческие военные вышли из этого коня, убили защитников и разрушили весь город, в итоге крепость Троя пала.

Троянские программы работают аналогично этой истории и это-только одно из распространенных приложений, которое используется для атакующих компьютеров. Новые игры, новое бесплатное программное обеспечение на электронных открытках — могут быть такими троянами и они могут навредить вашим данным или могут выполнить функцию закладки. Поэтому следует быть осторожными с любым программным обеспечением, которое неизвестное лицо предлагает вам.