істить програмних закладок;
§ операційна система перевірена на наявність в ній закладок;
§ достовірно встановлена ??незмінність BIOS і операційної системи для даного сеансу;
§ на комп'ютер не запускається і не запускається ніяких інших програм, крім уже пройшли перевірку на присутність в них закладок;
§ виключений запуск перевірених програм в будь-яких інших умовах, крім перерахованих вище, т. е. поза ізольованого комп'ютера.
Для визначення ступеня ізольованості комп'ютера може використовуватися модель ступеневої контролю. Спочатку перевіряється, чи немає змін в BIOS. Потім, якщо все в порядку, зчитується завантажувальний сектор диска і драйвери операційної системи, які, у свою чергу, також аналізуються на предмет внесення до них несанкціонованих змін. І, нарешті, за допомогою операційної системи запускається драйвер контролю викликів програм, який стежить за тим, щоб у комп'ютері запускалися тільки перевірені програми.
Цікавий метод боротьби з впровадженням програмних закладок може бути використаний в інформаційній банківській системі, в якій циркулюють виключно файли-документи. Щоб не допустити проникнення програмної закладки через канали зв'язку, в цій системі не допускається прийом ніякого виконуваного коду. Для розпізнавання подій типу ОТРИМАНА виконуваний код і отримаєте файл-ДОКУМЕНТ застосовується контроль над наявністю у файлі заборонених символів: файл визнається містить виконуваний код, якщо в ньому присутні символи, які ніколи не зустрічаються в файлах-документах.
4.2 Виявлення впровадженої програмної закладки
Виявлення впровадженого коду програмної закладки полягає у виявленні ознак його присутності в комп'ютерній системі. Ці ознаки можна розділити на наступні два класи:
§ якісні та візуальні;
§ виявляються засобами тестування і діагностики.
До якісних і візуальними ознаками відносяться відчуття і спостереження користувача комп'ютерної системи, який відзначає певні відхилення в її роботі (змінюється склад і довжини файлів, старі файли кудись пропадають, а замість них з'являються нові, програми починають працювати повільніше, або закінчують свою роботу дуже швидко, або взагалі перестають запускатися). Незважаючи на те, що судження про наявність ознак цього класу здається занадто суб'єктивним, тим не менш, вони часто свідчать про наявність неполадок в комп'ютерній системі і, зокрема, про необхідність проведення додаткових перевірок присутності програмних закладок. Наприклад, користувачі пакета шифрування і цифрового підпису Кріптоцентр з деяких пір стали помічати, що цифровий підпис під електронними документами ставиться занадто швидко. Дослідження, проведене фахівцями ФАПСИ, показало присутність програмної закладки, робота якої ґрунтувалася на нав'язуванні довжини файлу. В іншому випадку на сполох забили користувачі пакету шифрування і цифрового підпису Криптон raquo ;, які з подивом відзначили, що швидкість шифрування за криптографічним алгоритмом ГОСТ 28147-89 раптом зросла більш ніж у 30 разів. А в третьому випадку програмна закладка виявила свою присутність в програмі клавіатурного введення тим, що уражена нею програма перестала нормально працювати.
Ознаки, які виявляються за допомогою засобів тестування і діагностики, характерні як для програмних закладок, так і для комп'ютерних вірусів. Наприклад, завантажувальні закладки успішно виявляються антивірусними програмами, які сигналізують про наявність підозрілого коду в завантажувальному секторі диска. З ініціюванням статичної помилки на дисках добре справляється Disk Doctor, що входить в поширений комплект утиліт Norton Utilities. А засоби перевірки цілісності даних на диску типу Adinf дозволяють успішно виявляти зміни, що вносяться у файли програмними закладками. Крім того, ефективний пошук фрагментів коду програмних закладок за характерними для них послідовностям нулів і одиниць (сигнатурам), а також дозвіл на виконання тільки програм з відомими сигнатурами.
.3 Видалення впровадженої програмної закладки
Конкретний спосіб видалення впровадженої програмної закладки залежить від методу її впровадження в комп'ютерну систему. Якщо це програмно-апаратна закладка, то слід перепрограмувати ПЗУ комп'ютера. Якщо це завантажувальний, драйверного, прикладна, замаскована закладка або закладка - імітатор, то можна замінити їх відповідною завантажувальним записом, драйвер, утиліту, прикладну або службову програму, отриману від джерела, що заслуговує на довіру. Нарешті, якщо це виконуваний програмний модуль, то можна спробувати добути його вихідний текст, прибрати з нього наявні закладки або підозрілі фрагменти, а...
