«Троянский конь»

«Троянский конь»

Часто используют синонимы термина «закладка»: «логическая бомба», «логический люк», «троянский конь». Обычно в литературе понятие закладки в основном связано с разработкой программного обеспечения, а конкретно — с написанием исходных текстов программ, в которых создаются дополнительные функции. Следовательно, ранее закладка понималась как внутренний объект защищенной системы. Однако закладка может быть и внешним объектом по отношению к защищенной системе.

Программные закладки можно классифицировать по методу и месту их внедрения и применения:

  • закладки, ассоциированные с программно-аппаратной средой (BIOS);
  • закладки, ассоциированные с программами первичной загрузки (находящиеся в Master Boot Record или BOOT секторах активных разделов);
  • закладки, ассоциированные с загрузкой драйверов DOS, командного интерпретатора, сетевых драйверов, т.е. с загрузкой операционной среды;
  • закладки, ассоциированные с прикладным программным обеспечением общего назначения (встроенные в клавиатурные и экранные драйверы, программы тестирования ПЭВМ, утилиты и оболочки типа NORTON);
  • исполняемые модули, содержащие только код закладки (как правило, внедряемые в пакетные файлы типа *.bat);
  • модули-имитаторы, совпадающие с некоторыми программами, требующими ввода конфиденциальной информации;
  • закладки, маскируемые под программные средства оптимизационного назначения (архиваторы, ускорители и т.д.);
  • закладки, маскируемые под программные средства игрового и развлекательного назначения (как правило, используются для первичного внедрения закладок).

Как видно, программные закладки имеют много общего с вирусами, особенно в части ассоциирования себя с исполняемым кодом (загрузочные вирусы, вирусы-драйверы, файловые вирусы).

Кроме того, программные закладки, как и многие известные вирусы классического типа, имеют развитые средства борьбы с отладчиками и дисассемблерами.

Для того чтобы закладка смогла выполнить какие-либо функции по отношении к прикладной программе, она должна принять
управление на себя. Иначе говоря, процессор должен начать выполнять инструкции (команды), относящиеся к коду закладки:

  • закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки, следовательно, она должна быть загружена раньше или одновременно с этой программой;
  • закладка должна активизироваться по некоторому событию, т. е. при выполнении ряда условий в программно-аппаратной среде управление должно быть передано на программу-закладку.

Разумеется, выполнение перечисленных требований достигается путем анализа и обработки закладкой общих относительно закладки и прикладной программы воздействий (как правило, прерываний). Прерывания должны сопровождать работу прикладной программы или работу всей ЭВМ. В качестве таких прерываний закладками используются прерывания от таймера ПЭВМ; прерывания от внешних устройств; прерывания от клавиатуры; прерывания при работе с диском; прерывания операционной среды (в том числе прерывания при работе с файлами и запуск исполняемых модулей).

Яндекс.Метрика