La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Virus & Antivirus. Vittime Dei Virus Modificarne il comportamento Propagarsi Rimuoverli Modificarne il contenuto Rimuoverli Altri File Eseguibili Periferiche.

Presentazioni simili


Presentazione sul tema: "Virus & Antivirus. Vittime Dei Virus Modificarne il comportamento Propagarsi Rimuoverli Modificarne il contenuto Rimuoverli Altri File Eseguibili Periferiche."— Transcript della presentazione:

1 Virus & Antivirus

2 Vittime Dei Virus Modificarne il comportamento Propagarsi Rimuoverli Modificarne il contenuto Rimuoverli Altri File Eseguibili Periferiche Utilizzarle impropriamente.

3 File Eseguibili Header –Autore –Versione –Memoria richiesta –Checksum Codice (in ling. macchina rilocabile) Dati (costanti, buffer statici, …) Batch Source Code Object Code Linguaggio Macchina Interpretati

4 Eseguibili L. Macchina Header 4D 5A Eseguibile DOS Versione 0.0 Dati FCIAO Codice macchina rilocabile B MOV AX, D MOV [DI], BX 40 INC AX

5 Eseguibili Interpretati Tutti i file che se opportunamente interpretati possono modificare il sistema (lo stato del sistema) in maniera permanente. Esempio: BAT, SYS, … C, CPP, JAVA, ASM, VBS, … DOC, PS, …

6 File Non Eseguibili Sequenze di byte che contengono una o più informazioni. Linterpretazione di queste informazioni non può attaccare il sistema. BMP, GIF, JPG, WAV, TXT, …

7 Tipologie Di Virus Modificano la FAT per nascondersi ed eseguirsi. Sostituiscono il kernel originale con il proprio. File Infector Boot\MBR Cluster Kernel Si attaccano agli eseguibili per replicarsi. Modificano la boot o lMBR del disco.

8 File Infector Header Dati Codice Codice Virus Modifica: 1.Dimensione. 2.Header.

9 File Infector Header Dati Codice Codice Virus Possibili difese: 1.Controllo sulla dimensione 2.Controllo su Header (checksum) e jump. 3.Controllo firma. 4.Controllo sequenza istruzioni.

10 File Infector Header Dati Codice Codice Virus Problemi: 1.Autozip virus. 2.Stealth virus possono falsificare dimensione del file. 3.Firma nascosta. 4.Facili crying wolf

11 Virus Polimorfi Usano una sequenza casuale di istruzioni che non modificano il comportamento del virus. Ad esempio: inc ax; dec ax; add ax, 5; sub ax, 5 xchg bl, bl; jmp Dopo Dopo: nop;

12 File Infector Header Dati Codice Codice Virus Problemi con virus polimorfi e encrypted: 1.Dimensione non costante. 2.Sequenza di istruzioni non prevedibile.

13 File Infector (Companion).exe.com PIPPO.COM PIPPO.EXE C:\>PIPPO

14 File Infector (Companion) Possibili difese: 1.Controllo duplicazione nomi. 2.Controllo occorrenza del nome delleseguibile allinterno del file.com 3.Controllo su tutti i file per evitare eventuali falsi allarmi..exe.com

15 Boot\MBR Virus Modifica: 1.Codice della boot. 2.Eventuale aggiunta di bad track.

16 Boot\MBR Virus Possibili difese: 1.Proteggere dischetti in scrittura. 2.Controllo scrittura su MBR da BIOS. 3.Controllo comparsa bad track. 4.Confronto del settore di avvio con una copia collocata su un dischetto protetto.

17 Boot\MBR Virus Problemi: 1.Intercettazione lettura settore di avvio. 2.Difficile stabilire se si tratta di virus o boot-manager.

18 Cluster Virus Modifica: 1.FAT entry. 2.Spazio allocato su disco.

19 Cluster Virus Possibili difese: 1.Copia FAT su CD- ROM.

20 Cluster Virus Problemi: 1.Infinite loop su entry di file utili (es: eseguibile dellantivirus). 2.Intercettazione lettura FAT.

21 Kernel Virus Modifica: 1.Kernel. 2.Funzioni di sistema. 3.Interrupt handler.

22 Kernel Virus Possibili difese: 1.Sorvegliare interrupt. 2.Controllo dimensione file kernel.

23 Kernel Virus Problemi: 1.Virus inganna totalmente ogni controllo. 2.Servizi di sistema poco affidabili.

24 Antivirus Per arrestare un criminale, la polizia, può andare sulla scena del delitto, prendere le impronte digitali, fare una ricerca nel database in loro possesso e infine rintracciare il malvivente. Un antivirus può analizzare ogni file alla ricerca di una firma nota. Se questa firma compare può segnare il file come infetto. E se il malvivente è incensurato? E se il virus non ha una firma nota?

25 Antivirus La polizia osserva il comportamento delle persone per individuare soggetti sospetti. Lantivirus analizza il comportamento logico del programma per rintracciare sequenze di codice sospette. E se passa una baby-sitter che gioca a I 4 moschettieri con un bambino… cosa facciamo? Larrestiamo!!!? E se un programma tenta di modificare il suo file di configurazione… cosa facciamo? Cataloghiamo il nuovo virus: Word!!!?

26 Antivirus Classica ricerca di una stringa nota allinterno del file. Ricerca Firma Euristica Statica Euristica Dinamica Esegue il file in un ambiente virtuale e sorveglia i risultati. Confronta staticamente il comportamento di un file con quello dei virus noti.

27 Antivirus Euristica Statica –Database comportamenti. –Analisi delle routine note (unscramble, decrypt). –Controllo firma comportamento.

28 Antivirus Database comportamenti. # BYTE SEQUENCE BEHAVIOR 001. B8 ?? 4C CD 21 Termina programma 002. B4 4C CD 21 Termina programma 003. B4 4C B0 ?? CD 21 Termina programma 004. B0 ?? B4 4C CD 21 Termina programma … 100. B8 02 3D BA ?? ?? CD 21 Apre file 101. BA ?? ?? B8 02 3D CD 21 Apre file

29 Antivirus Controllo firma comportamento. Cerca firma allinterno del file Analizza il comportamento (staticamente) Riduce il numero di crying wolf.

30 Antivirus Euristica Dinamica –Simulazione. –Sistemi esperti. –Stimolazione.

31 Antivirus Se vogliamo sorvegliare la nostra base dallintrusioni nemiche potremmo sorvegliare tutti i possibili percorsi di accesso. Se abbiamo 1000 modi di accedere alla nostra base… Arruoliamo 1000 guardie!!!? Se vogliamo sorvegliare il nostro sistema da attacchi virali, potremmo tentare di rintracciare tutti i virus noti in tutte le loro varianti. Esistono milioni di virus… Creiamo un database di Terabyte!!!?

32 Antivirus E non è finita! Siamo sicuri che le nostre guardie siano bene addestrare? Altra idea: Spostiamo, segretamente, la nostra base, lasciamo che il nemico entri senza problemi convinto di essere un eroe, ed una volta dentro…

33 Antivirus Simulazione Il file sospetto viene eseguito in un ambiente virtuale. Vengono sorvegliati tutti gli interrupt, gli accessi ai file, accessi alla memoria, … I risultati vengono valutati per stabilire se si tratta di un programma nocivo o meno.

34 Antivirus Problemi dovuti alla simulazione: –Difficoltà proporzionale alla complessità del sistema da simulare. –Richiesta di molto CPU time. –Comportamenti condizionati dei virus (es: attivazione temporale). –I virus possono scoprire di agire in simulazione.

35 Antivirus Sistemi Esperti –Sistemi esperti in grado di decidere\rispondere come farebbe un esperto di un dato dominio applicativo. –Reti neurali per apprendimento automatico.

36 Antivirus Stimolazione Se si vuol studiare il comportamento di una rana, non la si chiude in una vasca e si aspetta che faccia qualcosa… …ma si stimola il suo cervello per vedere come reagisce.

37 Antivirus Stimolazione Si stimola il virus (in simulazione) e si vede come reagisce. Gli stimoli possibili sono svariati, molti noti, altri dipendono dalla fantasia del virus writer.

38 Conclusioni Per difendersi dai virus –Proteggere i dischetti in scrittura. –Proteggere MBR da BIOS. –Non lanciare eseguibili di provenienza dubbia. –Non lanciare eseguibili (anche se non sospetti) senza averli prima controllati con un antivirus aggiornato. –Aggiornare frequentemente il proprio antivirus. –Usare più antivirus. –Evitare lutilizzo di crack o software piratato. –Porre attenzione ai file di documento, il fenomeno macro-virus è già molto esteso!

39 Miti dei Virus Il virus più temibile si insidia nella mente dellutente! > …

40 Link Utili It.comp.sicurezza.virus


Scaricare ppt "Virus & Antivirus. Vittime Dei Virus Modificarne il comportamento Propagarsi Rimuoverli Modificarne il contenuto Rimuoverli Altri File Eseguibili Periferiche."

Presentazioni simili


Annunci Google