Общая архитектура антивирусной системы Open Complex Security System - Информационная безопасность - Cтатьи - Stas'M Corp.
Stas'M Corp.
Главная | Cтатьи | Регистрация | Вход
 
Воскресенье, 04.12.2016, 17:15
Приветствую Вас Гость | RSS
| ENG | RUS
Форма входа

Информация о тебе:

IP-адрес: 54.146.141.60
Браузер: Неизвестен
Основные разделы
Мини-чат
Loading Загрузка сообщений...
Наш опрос
Что делаете на нашем сайте?
Всего ответов: 797
Главная » Статьи » Информационная безопасность

Общая архитектура антивирусной системы Open Complex Security System

1. Постановка задачи

    Задача системы заключается в том, чтобы дать возможность пользователю получить комплексное open source решение для обеспечения безопасности ПК индивидуального пользователя. Она должна обеспечить защиту пользователя от:

1)   Воздействия вирусов, руткитов, троянских программ, кейлоггеров и др. средств получения НСД

2)   Различных типов сетевых атак

3)   Фишинга

2. Структура системы и отдельных модулей (0.1 a)

    Большинство компонентов планируется реализовать в виде сервисов.

1) ГУС — главный управляющий сервис

Его задача анализ активности в системе и принятие мер к  блокированию активности нарушающую политику безопасности. Так же именно он будет осуществлять взаимодействие с пользователем, изменяя поведение комплекса в зависимости от изменения настроек. В нем же будет реализован модуль, который будет регистрировать активность системы. Каждому компоненту контроля будет выделен отдельный поток внутри ГУС, который и будет заниматься приемом информации от компонента и принимать решение на основе либо собственных шаблонов поведения, либо в особо критичных случаях на основе решений пользователя для управления компонентом контроля.

Связь между компонентом контроля и ГУСом будет реализована при помощи механизма труб (pipes) в Windows.

2) Компоненты контроля: общая архитектура

Они будут состоят из административной программы, работающей в пользовательском режиме и осуществляющей двустороннею связь с ГУС и компонента-исполнителя. Это ядерный драйвер, который должен выполнять контроль действий в системе на основе перехвата системных функций и анализа их аргументов и точки вызова. Этот момент будет освящен при детальном описании отдельных компонентов системы. Каждая административная программа будет являть собой сервис системы Windows. Каждая активность системы, которая будет вызывать подозрение, будет фиксироваться и  передаваться ГУС в виде специальной структуры данных, формат который будет дан в приложении. Связь между административной программой и драйвером будет осуществляться через IOCTL. Ну это-то я думаю итак ясно)).

4) Компонент файлового контроля (КФК). Полностью будет соответствовать выше заявленной архитектуре. Отслеживаться будут:

1.      Попытки записи в бинарные файлы (exe, dll,  ocx, sys и др.) Если какая-либо программа кроме тех, что будут находиться в списке исключений попытается открыть файл контролируемого типа в режиме записи, то операция будет пресечена, а программа будет заблокирована до принятия решения пользователем

2.      Попытки замещения системных или иных исполняемых файлов. Если какая-то программа за исключением той, которая входит в список исключений попытается провести подобную операцию она будет блокирована до принятия решения пользователем.

3.      Попытки удаления бинарных файлов. Если какая-либо программа кроме списка исключений попытается произвести удаления файлов, то она будет блокирована до принятия решения пользователем.

   Данные о файлах будут собираться в БД формат записи, в которой приводится в приложении. Возможно, что будет организована отдельная база со списком исключений для каждого файла, которая по мере необходимости будет использоваться совместно с файловой БД. Возможен и второй вариант, когда будет формироваться общий список исключений. (см. формат записи в приложении)

5)      Компонент реестрового контроля (КРК). Должен отслеживать:

1.      Появление скрытых ключей реестра, т.к. это может быть признаком наличия скрытых программ осуществляющих несанкционированную деятельность.

2.      Висячие ключи реестра. То есть те, которые не имеют обращений к себе со стороны программ. Опять же это может нарушать безопасность системы и быть признаком вредоносного ПО.

3.      Определение ключей, которые соответствуют вредоносному ПО. Дело в том, что многие трои оставляют специфические ключи именно для них и это можно использовать для их обнаружения.

6)      Компонент «антиперехват». Этот компонент будет пресекать попытки перехвата системных функций не антивирусом за счет пресечения записи в файлы с кодом системных функций, периодического сканирования их кода и сверки с образцом. Контроля адресов, используемых функциями, т.к. при перехвате адреса нарушают диапазоны, которые характерны для API функций.

7)      Компонент защиты адресного пространства процессов. Он будет осуществлять контроль за адресным пространством процесса. Анализировать диапазоны адресов, которые используются функциями. Противодействовать тем методам перехвата функций, описание которых можно найти на wasm.ru в статьях Ms Rem (вечная память этому великому человеку).

8)      Компонент-ревизор. Он должен проводить проверку изменения размеров файлов (особое внимание исполняемым) и в случае обнаружения изменений размеров сигнализировать об этом на ЦУС. Он будет реализован как обычное Win32 приложение, запускаемое по указанию ЦУС. Функции:

1.      Проверка размеров файла по сравнению с первым замером

2.      Контроль постоянства бинарного кода за счет взятия при составлении контрольной базы данных образцов кода из различных мест бинарного файла (начало, середина, конец). Если происходят изменения, то что-то не в порядке. Решение принимает ЦУС! Задача ревизора только проинформировать ЦУС.  

Это список того что должно быть в версии 0.1 a

ПРИЛОЖЕНИЕ

1.      Инструменты разработки и платформа

Borland Delphi и Visual C++. WDK (для разработки и отладки драйверов), Erwin (БД). Платформа разработки: Windows XP. Целевые: Windows 2000 Professional, XP, 2003, Vista, 7

Формат записи в БД

• Название файла с путем

             • Название без пути

             • ID файла

             • Размер

             • Тип

             • Время последнего доступа

             • Время последней проверки

             • Образец кода из начала

             • Из середины

             • Из конца

Формат сообщения

• Источник

• Объект вызвавший событие

• Время события

• Тип события


   Если вам интересно участвовать в разработке антивируса, то регистрируйтесь на сайте и следите за статьями и форумом. Пишите мне на асю: 594-773-607.

© Гуров Дмитрий aka anvir

Категория: Информационная безопасность | Добавил: Del_codez (19.10.2009) | Автор: Гуров Дмитрий
Просмотров: 1814 | Комментарии: 1 | Теги: сервис, защита, IOCTL, по, API, КРК, задача, модуль, архитектура, НСД | Рейтинг: 3.5/2
Всего комментариев: 1
1  
Дмитрий Гуров обещал выложить исходники через неделю после публикации статьи. С вопросами обращайтесь к нему.

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Веб приложения
Категории раздела
Корпоративный кооператив [12]
Юмор [4]
Смешные истории из жизни корпорации
Хорошие новости от Евгения [14]
Юмористический журнал
Информационная безопасность [16]
История [2]
Рецензии и обсуждения [2]
Пожертвование / Donate
WMWebMoney transferZ358077191062
WMWebMoney transferE208225402366
WMWebMoney transferR303537803958
WMWebMoney transferB345247247920
Reg.ruReg.ru transfer9900126333
WUWestern Union transferuse feedback form
BTCBitcoin transferuse feedback form
Друзья сайта

Просим вас посещать сайты наших друзей! Они достойны такого же внимания как и мы!

Пользователи
Онлайн всего: 4
Гостей: 4
Пользователей: 0

Пользователи онлайн:
Статистика
Рейтинг@Mail.ru
Проект ReactOS

Copyright © Stas'M Corp. 2016Хостинг от uCoz