Сайт о телевидении

Хочу начать серию уроков по освещению в mental ray. Этот урок посвящен Final Gather, настройкам алгоритма просчета непрямого освещения, источникам света, светящимся материалам и HDRI картам. Целью урока не является создание конкретной сцены, а рассмотрение общих положений и настроек вторичного освещения, все используемые сцены несут тестовый характер и имеют задачу подчеркнуть определенный эффект, как правило в ущерб внешнему виду. Урок рассчитан на max 2008 и выше и имеет примеры сцен для скачивания.

Введение

В начале немного необходимой информации

В mental ray, освещение, по алгоритму, расчета можно разделить на 4 части:
1. прямая трассировка (scanline + ray trace).
2. Непрямое освещение на основе фотонов (GI + Caustics)
3. Упрощенное непрямое освещение (Final Gather)
4. Освещение в объемах (ray marching).

Примечание: я не претендую на правильность русско-язычной трактовки терминов, поскольку вариантов переводов хелпов и уроков много и брать их за основу я не намеревался. Часто GI и каустику разделяют, так как для них используются разные карты фотонов, а освещение в объемах включают в GI, из-за того, что оно тоже используют карты фотонов, не учитывая, что начинает работать совершенно другой движок и не все там делается фотонами (используются 2 уровня расчетов, при этом второй, упрощенный не использует фотоны)

Про прямое освещение:

Под прямым освещением подразумевается освещение от эмиттера источника освещения, до поверхности объекта, после встречи с поверхностью объекта, на основе шейдеров поверхности (Surface) и шейдеров затемнения (Shadow), рассчитывается карта освещенности и карта тени объекта. Дополнительно учитываются шейдеры из группы Extended Shaders (смещение поверхности, окружающая среда). При этом часть лучей поглощается, а часть (если объект \полу\прозрачен, отражающий), просчитывается до следующиего объекта сцены. Проникания лучей в объем объекта не происходит, эффект свечения (illumination, glow) учитывается только для диффузных свойств объекта и на другие объекты не распространяется. Генерация фотонов GI, Caustic и Volume Photon не производиться.

Теперь посмотрим настройки рендера , которые влияют на качество просчета в целом. Эти настройки актуальны вне зависимости от включенных GI и FG

Sampling Quality: параметры этой группы позволяют настроит суперсэмплинг, предназначенный для устранения эффекта ломанных линий, ступенчатых градиентов и всех артефактов возникающих из-за эффекта aliasing.

В параметры Samples per Pixel — minimum и maximum устанавливается количество лучей на пиксель для работы адаптивного суперсемплинга, не буду вдаваться в принцип работы данного алгоритма (при желании теоретическую инфу найти в сети легко).

Практически чем больше значение тем лучше, но время рендеринга увеличивается практически пропорционально увеличению значений, поэтому для предпросмотра сцены желательно ставить низкие значения (но значение maximum должно быть не меньше 2), а для финального расчета повышать.

Группа параметров Contrast , регулирует алгоритм принятия решения использования для просчета минимального или максимального значения Samples per Pixel, значения выставляются от 0.004 (1/256) до 1 и шагом 0.004 - чем меньше, тем лучше, но также влияет на скорость рендеринга.

Filter — простейший и самый быстрый фильтр — box, а лучший и «медленный» mitchel.

Ниже параметры Rendering Algorithms — из которых наиболее нужные это глубина трассировки Trace Depth

Reflection — максимальное количество отражений фотона, после чего он пропадает

Regraction — тоже самое для прозрачности и величина максимальной суммы эффектов - max. depth.

Проще говоря если вы поставите на сцене два зеркала, «лицом» друг к другу и камеру, заглядывающую между зеркалами, то получите глубину «бесконечности» переотражений согласно установленным параметрам.

Главный практический смысл этих установок — в период создания сцены, выставляйте заниженные параметры для быстрого рендера, а на финальной стадии повышайте до приемлемых размеров.

Источники света:

В mental ray источники света подразделяются на:
- стандартные интенсивность света от которых уменьшается прямо пропорционально расстоянию и не является физически точным
- улучшенные стандартные (приписка mr), от которых рассчитываются тени, по улучшенному алгоритму и он более мягкие.
- фотометрические интенсивность света задается в физических величинах и ослабление света считается тоже физически верно. Использование фотометриков актуально при соблюдении масштабов сцены метрическим значениям.

Часть первая Final Gather

Final Gather — упрощенный алгоритм расчета непрямого освещения, заключается в том, что из каждой точки столкновения фотона с поверхностью в случайном порядке испускаются лучи, которые пересекаются с соседними объектами сцены (но только один раз). В следствии этого FG, дает упрощенный вид непрямой иллюминации, из-за однократного отражения света, но проходит намного быстрее полноценного GI, и дает вполне реальную картину. С включенным GI (FG+GI) алгоритм вычисления меняется и расчет происходит наиболее полно, насколько возможно в mental ray, но естественно, время....

Итак рассмотрим что можно добиться с помощью FG:

Для начала включим алгоритм FG - Rendering > Render... (F10) > Indirect Illumination > ставим галку на Enable FG

Основные настройки для настройки качества FG это шаг, с которым расставляются опорные точки для расчета вторичного освещения - параметр Initial FG Point Density - чем шаг меньше, тем картинка будет качественнее, и параметр Rays per FG Point, это количество лучей испускаемых из одной точки, чем больше тем лучше.

Разработчики MR, сделали несколько готовых профилей, которые можно выбрать из выпадающего списка «Preset», выбрать можно от Draft (низкое качество, быстрый рендер), для просмотра сцен в процессе создания, и до вери хай - для финальных просчетов.

Начнем тестирование FG с интерьерной сцены.

Я сделал простейшую сцену, где изображена комната с окном и несколькими светильниками. Цвета стен, потолка и пола, специально серые - получилось мрачно, но так лучше будут видны эффекты освещения

Так выглядит комната без включенного FG, с временным источником света (после включения FG он будет удален)

Слева два светильника, которые не являются полноценными источниками света, но их материал представлен материалом mental ray, в качестве поверхности которого назначен шейдер Glow(lume):

цвет свечения (Glow) и диффузный (diffuse)- бледно желтый, материал поверхности представлен шейдером стекла (Glass(lume)) настройки которого оставлены по умолчанию. Яркость свечения (Brightness) тоже оставлена по умолчанию = 3.

Эти светильники будут выполнять роль неяркой, заполняющей подсветки помещения.

Справа два углубленных источника света типа mr Area Spot. - настройки по умолчанию, то есть не менялись, они будут освещать стеклянный и металлический шары.

Все материалы сцены (кроме описанных левых светильников) - материал типа Arch & Design, выбрав который, можно быстро получить настройки под конкретную поверхность из списка предопределенных:

стены из шершавого бетона (Rough Concrete), потолок из полированного бетона, пол - Glossy Plastic, окно - Glass(Thin Geom), с наложенной картой Checker на прозрачность.

В результате мы должны получить мрачную комнату, за окном ночь, слабая общая подсветка, и отдельно подсвеченные шары.

Нажимаем рендер:

результат явно неудовлетворительный - слишком слабое освещение. Можно увеличить значение Multiplier, источников света и Glow у левых светильников, но если увеличение интенсивности света источников еще допустимо, то увеличение величины Glow, приведет к «перекосам» освещения - области вокруг фонарей будут очень яркие, а пол останется черным.

Выход в настройке экспозиции

Идем в настройки окружения - Rendering - Environment (кнопка 8) - раздел Exposure Control и выбираем тип экспозиции, я оставил логарифмический тип. Но разработчики Mental ray рекомендуют использование фотографического контроллера экспозиции, особенно при работе с фотометрическими источниками света.

теперь еще раз рендер:

уже лучше, но стал явнее виден шум на освещенных областях от левых светильников - это как раз эффект от задания заниженных настроек FG (выставлен профиль «Low»). Встает вопрос - каким образом рассчитать золотою середину между скоростью рендера и качеством. Естественно поставив Вери Хай, мы получим хорошее изображение, но результат будем ждать ооочень долго. В этом может помочь нам сам рендер, попросим его отобразить нам опорные точки FG:

заходим в закладку Processing (Rendering - Render…)

раздел «Diagnostics», ставим галку на Enable и и указываем что мы хотим посмотреть на FG:

еще раз рендер:

расстояние, между зелеными точками в освещенных областях, должно быть минимальным, это достигается уменьшением шага опорных точек, в идеале заполнение должно быть сплошным, после чего дальнейшие уменьшение шага, приведет только к увеличению времени просчета, с минимальным повышением качества. Иногда может возникнуть шум на удаленных от источника света поверхностях, тут поможет увеличение испускаемых лучей, без уменьшения шага. И не забываем о настройках семплирования, о которых я писал в самом начале.

Продолжим строит сцену:

Очень часто возникает необходимость изобразить какие-то испускающие свет объекты, со сложной геометрией - витрины, аквариумы, экраны телевизоров, которые тоже освещают сцену, но не стоит задача детальной проработки объекта, а просто его имитация текстурами. При этом возникают проблемы с их освещающими характеристиками - при сильной яркости темные объекты тоже начинают светиться, а убавляя яркость- светлые области недостаточно освещают окружающие предметы. Такая несправедливость, возникает из-за того, что 24-битное изображение не в состоянии хранить информацию об истинной интенсивности свечения каждого пикселя. Ситуацию исправит применение в качестве текстур HDRI карт.

Как наглядно представить ценность HDRI карт? - представите, что Вы сделали фото морского бело-песчанного пляжа против солнца. Загрузите фото в фотошоп и пипеткой посмотрите цвета пикселей на солнечном диске и белом песке, цвета пикселей на солнечном диске будут как правило #FFFFFF а цвет пикселей на белом песке либо такой же, либо чуть темнее. Теперь понизим яркость всего изображения, например на 50% - песок станет темнее, что в принципе правильно, а вот то, что солнечный диск потускнеет- это не порядок, Солнце у нас очень яркое. А вот если снимок сделать специальной камерой, которая может сохранять снимки в HDRI изображения, такого не получиться, солнечный диск останется ярким, как если бы мы просто понизили чувствительность фотокамеры.

Попробуем использовать HDRI карту в нашей сцене. Я не нашел готовой карты, которая бы изображала какой то светящийся объект, поэтому для проверки эффекта, просто в фотошопе сделал hdr файл с градиентной заливкой - посередине ярко-голубая линия, которая теряет яркость к краям. (самостоятельно изготовить hdr можно, выбрав в фотошопе 32 битный режим изображения).

Открываем в Максе полученную карту как обычную Bitmap, появляется диалог конвертирования изображения:

основное внимание нужно уделить варианту конвертирования в разделе «Internal Storage», по умолчанию Макс предлагает отбросить информацию о яркости и просто пометить яркие и темные места определенными цветами - режим 16 bit/chan, нас это не устроит, поэтому установим режим Real Pixels и нажмем Окей.

Выбранную карту я использовал для материала, подобного материалу светильников, на параметр glow, и применил его к параллелепипеду у дальней стены

Для сравнения два рендера:

первый - карта в режиме 16 bit:

из-за замены ярких участков белым цветом, освещение из ярких областей происходит практически белым светом

второй - реальный:

разница явно есть.

Используя фотошоп, можно из обычных фото делать приблизительный аналог hdr изображений, для этого необходимо перевести работу в 32 бит цвет, сделать копию изображения, увеличить на копии яркость с помощью гистограммы (яркость как таковую, там изменить невозможно) и наложить оба изображения с параметром Умножение (multiplier).

Вот сцена, где картинка телевизора получена именно таким способом:

на этой сцене присутствуют три фотометрических источника света, имитирующие лампы накаливания в 60 ватт.

Остановимся на них подробнее.

Фотометрические источники света нужны для имитации реальных источников света по их физическим параметрам, но необходимы некоторые условия

Использовать метрическую систему единиц измерения, при создании сцены

Соблюдать реальные размеры объектов на сцене

Должен быть включен алгоритм непрямого освещения FG или GI, а лучше оба

основные характеристики фотометрических источников это температура эмиттера, которая дает цвет потока света, и мощность источника света.

Поскольку мы привыкли мощность измерять в ваттах, а о температуре источника имеем только поверхностное представление, приведу табличку самых распространенных бытовых лампочек

Теперь поговорим о солнечном свете.

Разработчики ментала разделили солнечный свет на прямой от солнечного диска - яркий с сильно выраженными тенями - mr Sun и заполняющий от облачного покрова и атмосферы с сильно размытыми тенями - mr Sky.

При добавлении на сцену источника света mr Sky, будет автоматически предложено добавить в окружение шейдер mr Physical Sky, с чем желательно согласиться.

в настройках необходимо указать цвет неба ночью «Night Color», при малых значениях яркости - multiplier цвет неба будет стремиться к этому цвету.

Настроить высоту горизонта и цвет поверхности земли, добавить дымку (Haze) и параметры отношения красного и синего цвета на небосводе (вечер\день) в разделе Non - Physical Tuning:

настойки mr San имеют также параметры настройки горизонта, яркости и цвета, дымки а также добавлена опция настройки теней - Softness - мягкость тени и качество на границах мягкой тени: Softness Samples.

примеры сцен тестовой комнаты

с Солнцем за окном

и в пасмурную погоду

Я принудительно увеличил интенсивность света, чтобы было видно заполнение светом комнаты и тени на полу. В первом случае лучи прямые и практически параллельные - освещено пятно на полу и вторично от пола отражением, засвечено пятно в районе окна. А во втором случае, освещена практически вся комната. При просчете обоих сцен FG был настроен по профилю Low, что вызвало сильный шум на освещенных областях.

Часто при изображении помещений, где свет бьёт из окна, желательно, для усиления эффекта ярких лучей или пыльной атмосферы комнаты, добавляет эффект Volume Light на источники света. На источник света mr Sun, данный эффект применяется не корректно, вероятно из-за другого принципа расчета теней, происходит просто заполнение освещенного объема, без учета затененых участков. Поэтому для такого эффекта придется пользоваться стандартными источниками.:

Закончим с помещениями и перейдем к имитации внешнего освещения

Если у нас имеется hdr карта имитирующая небосвод, то мы ее легко можем применить в нашу сцену. Делается это путем применения карты в источнике света Skylight. Сам источник света можно расположить в любом месте сцены- это не принципиально, главно чтобы был включен FG, иначе он работать не будет.

На нажимаем на кнопку с надписью None (карты по умолчанию нет) и выбираем наше hdr изображение (как я описывал выше), либо указываем слот из редактора материалов, где такая карта уже открыта.

вот пример сцены где изображено небольшое строение, вокруг лунная ночь. Карта окружения применена не только на источник света но и в слот окружения Enviroment map.

мы видим мягкое освещение от небосвода всей сцены, а также выраженные тени от луны.

А вот теперь ложка дегтя:

Для выше показанного рисунка я специально использовал темную карту с ярким пятном луны которую дополнительно обработал в фотошоп, чтобы увеличить яркость луны и затемнить небо, иначе бы эффект от карты был бы не заметен. На самом деле в MR, по моему мнению, не совсем корректно работает алгоритм учета яркостных составляющих карты для источника Skylight.

Приведу примеры сравнения сцены для MR и V-Ray.

в обоих случаях multiplier = 3 остальные параметры карты я не менял, материалы постарался использовать с аналогичными свойствами.

Как видим, во втором случае картинка «вкуснее». Единственно что хочу заметить по Ви_рею - в нем необходимо помнить, что одну и туже карту на освещение и рефлексию использовать нельзя. Посмотрите внимательно на рисунок- где находиться луна согласно отражению и куда направлена тень от нее - разница в 180 о. Параметр в настройках для вращения карты есть, но необходимо об этом помнить!

Правда я взял самую сложную карту - луна не яркая и маленькая, на хороших картах различия почти не видны, но факт разного обсчета налицо. Выводы пусть сделает каждый сам.

Вроде это все, что я хотел показать в рамках этого урока. В конце остановлюсь на некоторых небольших особенностях, которые по моему мнению достойны внимания.

- Материал Glow . В предыдущих версиях некорректно освещал сам себя. Если светиться не вся поверхность материала, а только какието отдельные области (применена карта) либо материал входит в состав Blend материала, то светящееся область осветит соседние объекты с другим материалом, но объекты с этим же материалом и само себя не освещает. В 2008 максе такой проблемы нет. Вот пример сцены:

все строение состоит из одного материала на основе Blend. Как видим сам себя материал освещает прекрасно (на сцене нет источников света).

- кроме использования карт.hdr, можно также пользоваться картами.exr, которые менее распространены но также несут информацию о интенсивности света. Окно конвертирования файла exr формата, при назначении карты:

- При создании анимации, где на сцене находятся яркие источники света или текстуры на основе hdri изображений, эффект Motion Blur во всех версиях Max’а до 2008 включительно - работает не корректно, так как устройство нашего зрения (и матриц камер) такого, что чем ярче пятно, тем более яркую «дорожку смаза» оно оставит. У счастливых обладателей Max 2009 в комплекте есть шейдер HDR Image Motion Blur(mi), который ставиться в слот «Output» эффектов камеры, которые доступны в настройках рендера «Renderer»:

данный шейдер позволяет смазывать изображение не только объектов сцены, но и фона сцены, на который применена карта с изображением.

Для сравнения

Смаз на светящихся объектах сцены

и для фона на все ту же карту с луной

на этом закончу первую часть урока. В следующей части затрону проблемы GI и света в объемах.

Необходимой для вирусописателей и кибер-преступников задачей является внедрение вируса, червя или троянской программы в компьютер-жертву или мобильный телефон. Достигается эта цель различными способами, которые делятся на две основные категории:

• социальная инженерия (также употребляется термин «социальный инжиниринг» - калька с английского «social engineering»);
• технические приёмы внедрения вредоносного кода в заражаемую систему без ведома пользователя.

Часто эти способы используются одновременно. При этом так же часто используются специальные меры по противодействию антивирусным программам.

Социальная инженерия

Методы социальной инженерии тем или иным способом заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Эти методы применяются не только многочисленными почтовыми червями, но и другими видами вредоносного программного обеспечения.

Задача хакеров и вирусописателей - привлечь внимание пользователя к заражённому файлу (или HTTP-ссылке на заражённый файл), заинтересовать пользователя, заставить его кликнуть по файлу (или по ссылке на файл). «Классикой жанра» является нашумевший в мае 2000 года почтовый червь LoveLetter, до сих пор сохраняющий лидерство по масштабу нанесённого финансового ущерба, согласно данным от Computer Economics. Сообщение, которое червь выводил на экран, выглядело следующим образом:

На признание «I LOVE YOU» среагировали очень многие, и в результате почтовые сервера больших компаний не выдержали нагрузки - червь рассылал свои копии по всем контактам из адресной книги при каждом открытии вложенного VBS-файла.

Почтовый червь Mydoom, «рванувший» в интернете в январе 2004 г., использовал тексты, имитирующие технические сообщения почтового сервера.

Стоит также упомянуть червь Swen, который выдавал себя за сообщение от компании Microsoft и маскировался под патч, устраняющий ряд новых уязвимостей в Windows (неудивительно, что многие пользователи поддались на призыв установить «очередную заплатку от Microsoft»).

Случаются и казусы, один из которых произошел в ноябре 2005. В одной из версий червя Sober сообщалось, что немецкая криминальная полиция расследует случаи посещения нелегальных веб-сайтов. Это письмо попало к любителю детской порнографии, который принял его за официальное письмо, - и послушно сдался властям.

В последнее время особую популярность приобрели не файлы, вложенные в письмо, а ссылки на файлы, расположенные на заражённом сайте. Потенциальной жертве отправляется сообщение - почтовое, через ICQ или другой пейджер, реже - через интернет-чаты IRC (в случае мобильных вирусов обычным способом доставки служит SMS-сообщение). Сообщение содержит какой-либо привлекательный текст, заставляющий ничего не подозревающего пользователя кликнуть на ссылку. Данный способ проникновения в компьютеры-жертвы на сегодняшний день является самым популярным и действенным, поскольку позволяет обходить бдительные антивирусные фильтры на почтовых серверах.

Используются также возможности файлообменных сетей (P2P-сети). Червь или троянская программа выкладывается в P2P-сеть под разнообразными «вкусными» названиями, например:

• AIM & AOL Password Hacker.exe
• Microsoft CD Key Generator.exe
• PornStar3D.exe
• play station emulator crack.exe

В поиске новых программ пользователи P2P-сетей натыкаются на эти имена, скачивают файлы и запускают их на выполнение.

Также достаточно популярны «разводки», когда жертве подсовывают бесплатную утилиту или инструкцию по взлому различных платёжных систем. Например, предлагают получить бесплатный доступ к интернету или сотовому оператору, скачать генератор номеров кредитных карт, увеличить сумму денег в персональном интернет-кошельке и т.п. Естественно, что пострадавшие от подобного мошенничества вряд ли будут обращаться в правоохранительные органы (ведь, по сути, они сами пытались заработать мошенническим способом), и интернет-преступники вовсю этим пользуются.

Необычный способ «разводки» использовал неизвестный злоумышленник из России в 2005-2006 годах. Троянская программа рассылалась на адреса, обнаруженные на веб-сайте job.ru, специализирующемся на трудоустройстве и поиске персонала. Некоторые из тех, кто публиковал там свои резюме, получали якобы предложение о работе с вложенным в письмо файлом, который предлагалось открыть и ознакомиться с его содержимым. Файл был, естественно, троянской программой. Интересно также то, что атака производилась в основном на корпоративные почтовые адреса. Расчёт, видимо, строился на том, что сотрудники компаний вряд ли будут сообщать об источнике заражения. Так оно и произошло - специалисты «Лаборатории Касперского» более полугода не могли получить внятной информации о методе проникновения троянской программы в компьютеры пользователей.

Бывают и довольно экзотические случаи, например, письмо с вложенным документом, в котором клиента банка просят подтвердить (вернее - сообщить) свои коды доступа - распечатать документ, заполнить прилагаемую форму и затем отправить её по факсу на указанный в письме телефонный номер.

Другой необычный случай доставки шпионской программы «на дом» произошел в Японии осенью 2005. Некие злоумышленники разослали заражённые троянским шпионом CD-диски на домашние адреса (город, улица, дом) клиентов одного из японских банков. При этом использовалась информация из заранее украденной клиентской базы этого самого банка.

Технологии внедрения

Эти технологии используются злоумышленниками для внедрения в систему вредоносного кода скрытно, не привлекая внимания владельца компьютера. Осуществляется это через уязвимости в системе безопасности операционных систем и в программном обеспечении. Наличие уязвимостей позволяет изготовленному злоумышленником сетевому червю или троянской программе проникнуть в компьютер-жертву и самостоятельно запустить себя на исполнение.

Уязвимости являются, по сути, ошибками в коде или в логике работы различных программ. Современные операционные системы и приложения имеют сложную структуру и обширный функционал, и избежать ошибок при их проектировании и разработке просто невозможно. Этим и пользуются вирусописатели и компьютерные злоумышленники.

Уязвимостями в почтовых клиентах Outlook пользовались почтовые черви Nimda и Aliz. Для того чтобы запустить файл червя, достаточно было открыть заражённое письмо или просто навести на него курсор в окне предварительного просмотра.

Также вредоносные программы активно использовали уязвимости в сетевых компонентах операционных систем. Для своего распространения такими уязвимостями пользовались черви CodeRed, Sasser, Slammer, Lovesan (Blaster) и многие другие черви, работающие под ОС Windows. Под удар попали и Linux-системы - черви Ramen и Slapper проникали на компьютеры через уязвимости в этой операционной среде и приложениях для неё.

В последние годы одним из наиболее популярных способов заражения стало внедрение вредоносного кода через веб-страницы. При этом часто используются уязвимости в интернет-браузерах. На веб-страницу помещается заражённый файл и скрипт-программа, которая использует уязвимость в браузере. При заходе пользователя на заражённую страницу срабатывает скрипт-программа, которая через уязвимость закачивает заражённый файл на компьютер и запускает его там на выполнение. В результате для заражения большого числа компьютеров достаточно заманить как можно большее число пользователей на такую веб-страницу. Это достигается различными способами, например, рассылкой спама с указанием адреса страницы, рассылкой аналогичных сообщений через интернет-пейджеры, иногда для этого используют даже поисковые машины. На заражённой странице размещается разнообразный текст, который рано или поздно обсчитывается поисковыми машинами - и ссылка на эту страницу оказывается в списке других страниц в результатах поиска.

Отдельным классом стоят троянские программы, которые предназначены для скачивания и запуска других троянских программ. Обычно эти троянцы, которые имеют очень небольшой размер, тем или иным образом (например, используя очередную уязвимость в системе) «подсовываются» на компьютер-жертву, а затем уже самостоятельно выкачивают из интернета и устанавливают в систему другие вредоносные компоненты. Часто такие троянские программы меняют настройки браузера на самые небезопасные, чтобы «облегчить дорогу» другим троянцам.

Уязвимости, о которых становятся известно, достаточно оперативно исправляются компаниями-разработчиками, однако постоянно появляется информация о новых уязвимостях, которые тут же начинают использоваться многочисленными хакерами и вирусописателями. Многие троянские «боты» используют новые уязвимости для увеличения своей численности, а новые ошибки в Microsoft Office тут же начинают применяться для внедрения в компьютеры очередных троянских программ. При этом, к сожалению, имеет место тенденция сокращения временного промежутка между появлением информации об очередной уязвимости и началом её использования червями и троянцами. В результате компании-производители уязвимого программного обеспечения и разработчики антивирусных программ оказываются в ситуации цейтнота. Первым необходимо максимально быстро исправить ошибку, протестировать результат (обычно называемый «заплаткой», «патчем») и разослать его пользователям, а вторым - немедленно выпустить средство детектирования и блокирования объектов (файлов, сетевых пакетов), использующих уязвимость.

Одновременное использование технологий внедрения и методов социальной инженерии

Достаточно часто компьютерными злоумышленниками используются сразу оба метода. Метод социальной инженерии - для привлечения внимания потенциальной жертвы, а технический - для увеличения вероятности проникновения заражённого объекта в систему.

Например, почтовый червь Mimail распространялся как вложение в электронное письмо. Для того чтобы пользователь обратил внимание на письмо, в него вставлялся специально оформленный текст, а для запуска копии червя из вложенного в письмо ZIP-архива - уязвимость в браузере Internet Explorer. В результате при открытии файла из архива червь создавал на диске свою копию и запускал её на исполнение без каких либо системных предупреждений или дополнительных действий пользователя. Кстати, этот червь был одним из первых, предназначенных для воровства персональной информации пользователей интернет-кошельков системы e-gold.

Другим примером является рассылка спама с темой «Привет» и текстом «Посмотри, что про тебя пишут». За текстом следовала ссылка на некую веб-страницу. При анализе выяснилось, что данная веб-страница содержит скрипт-программу, которая, пользуясь еще одной уязвимостью в Internet Explorer, загружает на компьютер пользователя троянскую программу LdPinch, предназначенную для воровства различных паролей.

Противодействие антивирусным программам

Поскольку цель компьютерных злоумышленников - внедрить вредоносный код в компьютеры-жертвы, то для этого им необходимо не только вынудить пользователя запустить заражённый файл или проникнуть в систему через какую-либо уязвимость, но и незаметно проскочить мимо установленного антивирусного фильтра. Поэтому не удивительно, что злоумышленники целенаправленно борются с антивирусными программами. Используемые ими технические приёмы весьма разнообразны, но чаще всего встречаются следующие:

Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, компьютерным андеграундом создаются специально для этого предназначенные утилиты упаковки и шифровки. Например, вредоносными оказались абсолютно все встретившиеся в интернете файлы, обработанные утилитами CryptExe, Exeref, PolyCrypt и некоторыми другими.

Для детектирования подобных червей и троянцев антивирусным программам приходится либо добавлять новые методы распаковки и расшифровки, либо добавлять сигнатуры на каждый образец вредоносной программы, что снижает качество детектирования, поскольку не всегда все возможные образцы модифицированного кода оказываются в руках антивирусной компании.

Мутация кода. Разбавление троянского кода «мусорными» инструкциями. В результате функционал троянской программы сохраняется, но значительно меняется её «внешний вид». Периодически встречаются случаи, когда мутация кода происходит в режиме реального времени - при каждом скачивании троянской программы с заражённого веб-сайта. Т.е. все или значительная часть попадающих с такого сайта на компьютеры образцы троянца - разные. Примером применения этой технологии является почтовый червь Warezov, несколько версий которого вызвали значительные эпидемии во второй половине 2006 г.

Скрытие своего присутствия. Так называемые «руткит-технологии» (от англ. «rootkit»), обычно используемые в троянских программах. Осуществляется перехват и подмена системных функций, благодаря которым зараженный файл не виден ни штатными средствами операционной системы, ни антивирусными программами. Иногда также скрываются ветки реестра, в которых регистрируется копия троянца, и другие системные области компьютера. Данные технологии активно используются, например, троянцем-бэкдором HacDef.

Остановка работы антивируса и системы получения обновлений антивирусных баз (апдейтов). Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ - ищут их в списке активных приложений и пытаются остановить их работу, портят антивирусные базы данных, блокируют получение обновлений и т.п. Антивирусным программам приходится защищать себя адекватными способами - следить за целостностью баз данных, прятать от троянцев свои процессы и т.п.

Скрытие своего кода на веб-сайтах. Адреса веб-страниц, на которых присутствуют троянские файлы, рано или поздно становятся известны антивирусным компаниям. Естественно, что подобные страницы попадают под пристальное внимание антивирусных аналитиков - содержимое страницы периодически скачивается, новые версии троянских программ заносятся в антивирусные обновления. Для противодействия этому веб-страница модифицируется специальным образом - если запрос идёт с адреса антивирусной компании, то скачивается какой-нибудь нетроянский файл вместо троянского.

Атака количеством. Генерация и распространение в интернете большого количества новых версий троянских программ за короткий промежуток времени. В результате антивирусные компании оказываются «завалены» новыми образцами, на анализ которых требуется время, что даёт злоумышленному коду дополнительный шанс для успешного внедрения в компьютеры.

Эти и другие методы используются компьютерным андеграундом для противодействия антивирусным программам. При этом активность киберпреступников растёт год за годом, и сейчас можно говорить о настоящей «гонке технологий», которая развернулась между антивирусной индустрией и индустрией вирусной. Одновременно растёт количество хакеров-индивидуалов и преступных групп, а также их профессионализм. Всё это вместе значительно увеличивает сложность и объём работы, необходимой антивирусным компаниям для разработки средств защиты достаточного уровня.

К вредоносным программам, внедряемым по сети, относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.

Вредоносными программами, обеспечивающими осуществление НСД, могут быть:

программы подбора и вскрытия паролей;

программы, реализующие угрозы;

программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн;

программы-генераторы компьютерных вирусов;

программы, демонстрирующие уязвимости средств защиты информации и др.

Если в Учреждении обрабатываемые ПДн не пересылаются по сетям общего пользования и международного обмена, установлена антивирусная защита, то вероятность реализации угрозы – является маловероятной .

Во всех других случаях должна быть оценена вероятность реализации угрозы.

Обобщенный список вероятности реализации угроз для разных типов ИСПДн представлен в таблице 13.

Таблица 13

1. Реализуемость угроз

По итогам оценки уровня защищенности (Y 1) (раздел 7) и вероятности реализации угрозы (Y 2) (раздел 9), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы (таблица 4). Коэффициент реализуемости угрозы Y будет определяться соотношениемY= (Y 1 +Y 2)/20

Обобщенный список оценки реализуемости УБПДн для разных типов ИСПДн представлен в таблицах 14-23.

Таблица 14 – Автономная ИС Iтипа

Таблица 15 – Автономная ИС IIтипа

Таблица 16 – Автономная ИС IIIтипа

Таблица 17 – Автономная ИС IVтипа

Таблица 18 – Автономная ИС Vтипа

Таблица 19 – Автономная ИС VIтипа

Таблица 20 – ЛИС Iтипа

Таблица 21 – ЛИС IIтипа

Таблица 22 – Распределенная ИС Iтипа

Таблица 23 – Распределенная ИС IIтипа

Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, «сетевые шпионы», основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.

Выделяют три подкласса данных угроз:

Распространение файлов, содержащих несанкционированный исполняемый код;

Удаленный запуск приложения путем переполнения буфера приложений-серверов;

Удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами.

Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в вид документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.

При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля за переполнением буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного «вируса Морриса».

При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, «троянскими» программами типа Back. Orifice, Net Bus), либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.

является маловероятной .

Обобщенный список вероятности реализации угроз для разных типов ИСПДн представлен в таблице 12.

Таблица 12

Угрозы внедрения по сети вредоносных программ

К вредоносным программам, внедряемым по сети, относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.

Вредоносными программами, обеспечивающими осуществление НСД, могут быть:

Программы подбора и вскрытия паролей;

Программы, реализующие угрозы;

Программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн;

Программы-генераторы компьютерных вирусов;

Программы, демонстрирующие уязвимости средств защиты информации и др.

Если в Учреждении обрабатываемые ПДн не пересылаются по сетям общего пользования и международного обмена, установлена антивирусная защита, то вероятность реализации угрозы – является маловероятной .

Во всех других случаях должна быть оценена вероятность реализации угрозы.

Обобщенный список вероятности реализации угроз для разных типов ИСПДн представлен в таблице 13.

Таблица 13

Реализуемость угроз

По итогам оценки уровня защищенности (Y 1) (раздел 7) и вероятности реализации угрозы (Y 2) (раздел 9), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы (таблица 4). Коэффициент реализуемости угрозы Y будет определяться соотношением Y = (Y 1 + Y 2)/20

Определение реализуемости угроз производится на основании Отчета о результатах проведения внутренней проверки.

Обобщенный список оценки реализуемости УБПДн для разных типов ИСПДн представлен в таблицах 14-23.

Таблица 14 – Автономная ИС I типа

Таблица 15 – Автономная ИС II типа

Таблица 16 – Автономная ИС III типа

Таблица 17 – Автономная ИС IV типа

Таблица 18 – Автономная ИС V типа

Таблица 19 – Автономная ИС VI типа

Таблица 20 – ЛИС I типа

Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, «сетевые шпионы», основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.

Выделяют три подкласса данных угроз:

распространение файлов, содержащих несанкционированный исполняемый код;

удаленный запуск приложения путем переполнения буфера приложений-серверов;

удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами.

Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в вид документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.

При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля за переполнением буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного «вируса Морриса».

При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, «троянскими» программами типа Back. Orifice, Net Bus), либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.

Если в Учреждении обрабатываемые ПДн не пересылаются по сетям общего пользования и международного обмена, установлена антивирусная защита, то вероятность реализации угрозы – является маловероятной .

Во всех других случаях должна быть оценена вероятность реализации угрозы.

Обобщенный список вероятности реализации угроз для разных типов ИСПДн представлен в таблице 12.

Таблица 12