Анализ вредоносных программ

Анализ вредоносных программ наши специалисты осуществляют в рамках компьютерно-технических и программно-технических экспертиз и исследований, а также в рамках проводимых расследований инцидентов информационной безопасности.

В ходе исследования компьютерной программы с целью ответа на вопросы, указанные в постановлении о  назначении программно-технической экспертизы  изучается алгоритм компьютерных программ, содержащихся на предоставленных носителях информации (или оборудовании, мобильных устройствах), устанавливаются функций и свойства программ (в том числе вредоносных), выявляются факты модификации или снятия программно-аппаратной защиты с лицензионных продуктов и другие характерные признаки.

Что такое вредоносная программа?

Понятно, что вредоносная программа несет в себе потенциальную угрозу, но её признаки зависят от конкретных обстоятельств и определенного законодательства. 

В соответствии со ст. 273 Уголовного кодекса РФ компьютерная программа является вредоносной, если она обладает определенными характеристиками. Вредоносная программа заведомо предназначена для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.

В Уголовном кодекс Республики Казахстан (ст. 210 УК РК), например, вредоносной программой признается программа, предназначенная для неправомерного уничтожения, блокирования, модификации, копирования, использования информации, хранящейся на электронном носителе, содержащейся в информационной системе или передаваемой по сетям телекоммуникаций, нарушения работы компьютера, абонентского устройства, компьютерной программы, информационной системы или сетей телекоммуникаций.

Как видно, последнее определение включает в себя «использование информации, хранящейся на электронном носителе».

В процессе исследования (или экспертизы), эксперт изучает поведение представленной программы, определяет её алгоритм и предназначение, проводит анализ взаимодействия программы с операционной системой, локальными файлами, сетевое взаимодействие.

экспертиза вредоносных программ анализ вредоносных программ

Некоторые вопросы, ответы на которые способен дать эксперт при проведении экспертизы вредоносной  программы:

  • Содержатся ли на представленном носителе  программы или компьютерная информация, заведомо предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации?
  • Какого типа программы, обладающие функциями и характеристиками вредоносных компьютерных программ, содержатся на представленном для проведения программно-технической экспертизы оборудовании?
  • Какие следы деятельности вредоносного программного обеспечения имеются на представленном компьютерном оборудовании (носителе информации, системном блоке, ноутбуке, мобильном телефоне, планшете)?
  • Содержатся ли на представленных носителях исходные коды программного обеспечения, если да, какого именно?

Анализ вредоносных программ в зависимости от конкретной ситуации может включать в себя различные вопросы для изучения.

Стоимость анализа вредоносных программ включена в стоимость проведения компьютерно-технической (программной, информационной) экспертизы или расследования инцидента информационной безопасности.

Требуется консультация эксперта?

Может ли специалист (эксперт) определить, является ли определенная программа вредоносной?

— Может, если в результате исследования или в рамках компьютерно-технической экспертизы будет выявлено, что представленная программа обладает определенными характеристиками.
К примеру, по законодательству РФ такая программа должна быть предназначена для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.

Как упоминалось в книге «Особенности киберпреступлений в России: инструменты нападения и защита информации», детектирование того или иного файла антивирусной системой не означает, что файл обладает свойствами вредоносной компьютерной программы, предусмотренными Уголовным кодексом РФ (ст. 273 УК РФ).
Иными словами, не все вирусы — вредоносные программы, и не все вредоносные программы — вирусы.

Для более подробной консультации Вы можете обратиться к нашим экспертам.