її як безкоштовне завантаження для зареєстрованих користувачів Windows XP і Windows Server 2003. У 2006 році Microsoft перейменував бета-версію в Windows Defender який був випущений для безкоштовного завантаження (для зареєстрованих користувачів) з жовтня 2006 року і включений як стандартний інструмент в Windows Vista. br/>
2.4 Мережеві черв'яки
В
Мережевий черв'як - різновид самовідтворюються комп'ютерних програм, що розповсюджуються в локальних і глобальних комп'ютерних мережах. Черв'як є самостійною програмою. br/>
2.4.1 Історія
Одні з перших експериментів по використанню комп'ютерних черв'яків в розподілених обчисленнях були проведені в дослідному центрі Xerox в Пало Альто Джоном Шочем (John Shoch) і Йоном Хуппа (Jon Hupp) у 1978. Термін виник під впливом науково-фантастичних романів Девіда Герролда "Коли Харлі виповнився рік" та Джона Браннера "На ударній хвилі"
Одним з найбільш відомих комп'ютерних черв'яків є "Черв'як Моріса", написаний Робертом Морісом (Robert Morris) молодшим, який був у той час студентом Корнельського Університету. Поширення хробака почалося 2 листопада 1988, після чого хробак швидко заразив велику кількість комп'ютерів, підключених до інтернету.
2.4.2 Механізми поширення
Черви можуть використовувати різні механізми ("вектори") розповсюдження. Деякі хробаки вимагають певної дії користувача для поширення (наприклад, відкриття інфікованого повідомлення в клієнті електронної пошти). Інші хробаки можуть поширюватися автономно, вибираючи і атакуючи комп'ютери в повністю автоматичному режимі. Іноді зустрічаються черв'яки з цілим набором різних векторів розповсюдження, стратегій вибору жертви, і навіть експлойтів під різні операційні системи.
2.4.3 Структура
Часто виділяють так звані ОЗУ-резидентні хробаки, які можуть інфікувати працюючу програму і знаходитися в ОЗУ, при цьому не зачіпаючи жорсткі диски. Від таких хробаків можна позбутися перезапуском комп'ютера (і, відповідно, скиданням ОЗУ). Такі черв'яки складаються в основному з "інфекційної" частини: експлойта (шелл-коду) і невеликий корисного навантаження (самого тіла хробака), яка розміщується цілком в ОЗУ. Специфіка таких хробаків полягає в тому, що вони не завантажуються через завантажувач як всі звичайні виконувані файли, а значить, можуть розраховувати тільки на ті динамічні бібліотеки, які вже були завантажені в пам'ять іншими програмами.
Також існують хробаки, які після успішного інфікування пам'яті зберігають код на жорсткому диску і приймають заходів для подальшого запуску цього коду (наприклад, шляхом прописування відповідних ключів в реєстрі Windows). Від таких хробаків можна позбутися тільки за допомогою антивірусу або подібних інструментів. Найчастіше інфекційна частина таких хробаків (експлойт, шелл-код) містить невелику корисне навантаження, яка завантажується в ОЗУ і може "довантажити" по мережі безпосередньо саме тіло хробака у вигляді окремого файлу. Для цього деякі черв'яки можуть містити в інфекційній частини простий TFTP-клієнт. Завантажуване таким способом тіло хробака (зазвичай окремий виконуваний файл) тепер відповідає за подальше сканування та поширення вже з інфікованою системи, а також може містити більш серйозну, повноцінну корисне навантаження, метою якої може бути, наприклад, нанесення будь-якої шкоди (наприклад, DoS-атаки).
Більшість поштових черв'яків поширюються як один файл. Їм не потрібна окрема "інфекційна" частина, оскільки зазвичай користувач-жертва за допомогою поштового клієнта добровільно викачує і запускає хробака цілком.
2.5 Руткити
2.5.1 Визначення
Руткіт (Rootkit) - програма або набір програм, що використовують технології приховування системних об'єктів (файлів, процесів, драйверів, сервісів, ключів реєстру, відкритих портів, з'єднань і пр) за допомогою обходу механізмів системи.
Термін руткіт історично прийшов зі світу Unix, де під цим терміном розуміється набір утиліт, які хакер встановлює на зламаному ним комп'ютері після отримання початкового доступу. Це, як правило, хакерський інструментарій (сніффери, сканери) і троянські програми, заміщають основні утиліти Unix. Руткіт дозволяє хакерові закріпитися у зламаної системі і приховати сліди своєї діяльності.
В системі Windows під терміном руткіт прийнято вважати програму, яка впроваджується в систему і перехоплює системні функції, або робить заміну системних бібліотек. Перехоплення і модифікація низькорівневих API функцій в першу чергу дозволяє такий програмі досить якісно маскувати свою присутність в системі, захищаючи її від виявлення користувачем і антивірусним ПЗ. Крім того, багато руткіти можуть маскувати присутність в системі будь-яких описаних у його конфігурації процесів, папок і файлів на диску, ключів в реєстрі. Багато руткіти встановл...
