lab2
.docxМИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
Ордена Трудового Красного Знамени
федеральное государственное бюджетное образовательное учреждение
высшего образования
«Московский технический университет связи и информатики»
(МТУСИ)
Кафедра
Информационная безопасность
(название полностью)
Дисциплина «Методы и средства защиты информации в компьютерных сетях»
ЛАБОРАТОРНАЯ РАБОТА №2
«Изучение пакетов антивирусной защиты. Антивирус Касперского»
Выполнила: |
|
Прохорова Н.П. |
Проверила: |
|
Долгопятова А.В. |
Москва 2025
Содержание
Цель работы 3
Задание для выполнения практической части работы 3
1) Установить программу Антивирус Касперского. Обновить сигнатурные базы. 3
2) Ознакомиться с модулями, входящими в состав пакета Антивирус Касперского и зафиксировать основные настройки каждого из них. 3
3) Провести проверку на наличие угроз на компьютере и описать возможности, предоставляемые программой. Обнаружить хотя бы один вирус, описать его. 3
4) Выполнить сравнение антивирусных программ Антивирус Касперского и Dr. Web. 3
1. Выполнение работы 3
Вывод 8
Цель работы
Ознакомиться с распространенной программой антивирусной защиты Антивирус Касперского. Освоить методы работы с антивирусом, выполнить сравнительный анализ с антивирусным ПО Dr.Web.
Задание для выполнения практической части работы
Установить программу Антивирус Касперского. Обновить сигнатурные базы.
Ознакомиться с модулями, входящими в состав пакета Антивирус Касперского и зафиксировать основные настройки каждого из них.
Провести проверку на наличие угроз на компьютере и описать возможности, предоставляемые программой. Обнаружить хотя бы один вирус, описать его.
Выполнить сравнение антивирусных программ Антивирус Касперского и Dr. Web.
Выполнение работы
Рисунок 1 – Установка программы
Рисунок 2 – Обновление баз
Рисунок 3 – Основные модули 1
Рисунок 4 – Основные модули 2
Рисунок 5 – Основные модули
Рисунок 6 – Проверка
Рисунок 7 – Обнаружение вредоносного файла
Под именем EICAR-Test-File детектируется небольшой 68-байтный COM-файл, который не является вредоносной программой, а всего лишь выводит текстовое сообщение и возвращает управление операционной системе.
Некоторое время назад разработчики программ для защиты от интернет-угроз начали включать в свои пакеты файлы, которые определяются как вредоносная программа, хотя не являются ею. Это было вызвано интересом со стороны пользователей, которые не имеют «живых» вредоносных программ, но хотят посмотреть, что происходит при их обнаружении: какие сообщения при этом видит пользователь и какие действия ему предлагается совершить.
Спустя некоторое время разработчики решили выработать единый стандарт на подобный «симулятор вредоносной программы», а затем пришли к выводу, что эта программа должна состоять только из текстовых сообщений. Это нужно для того, чтобы пользователи могли набрать ее самостоятельно (например, под диктовку по телефону или переписав из документации). В результате этот COM-файл выглядит так:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
В таблице 1 показан сравнительный анализ антивирусных программ Dr.Web и Касперский.
Признак для сравнения |
Антивирусная программа |
|
Dr.Web |
Касперского |
|
Защита в реальном времени |
Фокусируется на классических методах (файловый антивирус, мониторинг процессов) |
Очень сильная. Файловый, поведенческий, веб-антивирус, мониторинг памяти, сетевой экран |
Лечение системы |
Одна из ключевых сильных сторон. Уникальные алгоритмы для лечения активных заражений без удаления файлов |
Хорошо справляется, но чаще стремится удалить зараженные объекты |
Быстродействие и влияние на систему |
Считается одним из самых легких. Создает минимальную нагрузку на систему, что важно для маломощных компьютеров |
В последних версиях значительно оптимизирован, но все еще может быть более ресурсоемким из-за богатого функционала |
Цена |
Более доступная |
Как правило, выше |
Дополнительные функции |
Более минималистичный набор. Есть антиспам, родительский контроль, облачный сканер |
Очень богатый набор: безопасные платежи, родительский контроль, менеджер паролей, VPN, резервное копирование |
Вывод
В ходе выполнения лабораторной работы была произведена установка антивируса Антивируса Касперского. Освоены методы работы с антивирусом, выполнен сравнительный анализ с антивирусным ПО Dr.Web.
Ответы на контрольные вопросы
1. В чём заключаются классические методы распространения файловых вирусов?
Файловые вирусы распространяются вместе с файлами программ в результате обмена носителями и программами, загрузки программ из локальной или глобальной сетей.
2. В чём заключаются классические методы распространения загрузочных вирусов?
Загрузочный вирус может попасть в компьютер, когда пользователь забывает зараженный носитель подключенный к компьютеру, а затем перезагружает ОС (при этом разрешена загрузка с этого носителя). Загрузочный вирус также может быть занесен на компьютер вирусами других типов.
3. В чём заключаются классические методы распространения макрокомандных вирусов?
Макрокомандные вирусы распространяются в результате обмена зараженными файлами офисных документов, такими как файлы MicrosoftWord, Exсel, Access
4. Каков основной принцип заражения по электронной почте?
Электронная почта служит одним из каналов распространения вирусов, так как вместе с сообщениями часто отправляются, например офисные документы. Заражения вирусами могут осуществляться как непреднамеренно, так и по злому умыслу. Например, пользователь зараженного макровирусом редактора, сам того не подозревая, может рассылать зараженные письма адресатам, которые, в свою очередь, отправляют новые зараженные письма и т.д.
5. Что зачастую приводит к внедрению вредоносных программ на компьютер через активные компоненты? К какому методу распространения вредоносного ПО это относится?
Ошибки в браузерах пользователей зачастую приводят к тому, что активные компоненты «троянских» Web-сайтов (элементы управления ActiveX и апплеты Java) внедряют на компьютеры пользователей вредоносные программы.
6. Существует ли жертва-посредник при заражении через локальную сеть между жертвой-источником и незаражёнными компьютерами?
Да. Например, зараженная рабочая станция при входе в локальную сеть заражает один или несколько файлов на сервере. Пользователи при входе в эту сеть запускают зараженные файлы с сервера, и в результате вирус получает доступ на компьютеры пользователей.
7. Назовите другие каналы распространения вредоносных программ, кроме классических способов, электронной почты, сайтов, локальных сетей.
Пиратские копии ПО, электронные конференции и файл-серверы FTP.
8. Перечислите методы и средства защиты информации.
Физические, технические, правовые, административные
9. Что такое маска вируса?
Она же сигнатура. Это постоянная последовательность программного кода для конкретного вируса
10.Каков основной недостаток метода сравнения с эталоном?
Это самый простой метод, осуществляется путем последовательного сканирования файлов в поиске масок известных вирусов. Данный метод не эффективен для новых, шифрующихся и полиморфных вирусов
11.Какова методика работы эвристического анализа?
Имея список действий характерных для вирусов (копирование в память, запись в сектора), проверяет программы, загрузочные сектора дисков, пытаясь обнаружить в них вредоносный код. Позволяет обнаруживать не известные ранее вирусы.
12.Антивирусный мониторинг, суть метода.
Осуществляет мониторинг загружаемых и исполняемых программ и документов на выполнение потенциально опасных действий.
13.Чем отличается проактивная защита от эвристического анализа?
Цель обоих методов направлена на обнаружение вредоносного ПО до обновления антивирусных баз.
Но проактивная защита блокирует выполнение всех неизвестных действий, разрешая только определённые действия, установленные в правилах. А эвристических анализ, наоборот, блокирует известные опасные действия, имеющиеся в эвристической базе данных. Таким образом, проактивная защита более безопасна, но может блокировать некоторые легальные программы.
14.На чём основан метод обнаружения изменений?
Запоминая характеристики всех областей диска, которые потенциально могут подвергнуться нападению, периодически проверяет их, сигнализируя об изменениях.
15.Что такое программы с автоматическим дозвоном?
Это программы, которые автоматизируют набор телефонных номеров из заранее установленного списка.
16.Против какого типа вирусов направлены встраиваемые в BIOS антивирусы?
Против загрузочных вирусов.
17.Какие методы защиты используют программы-фаги?
Используют метод сравнения с эталоном, эвристического анализатора и др.
18.Категории фагов, описание?
1) Универсальные фаги, рассчитанные на поиск и обезвреживание всех типов вирусов вне зависимости от ОС;
2) Специализированные – предназначенные для обезвреживания ограниченного числа вирусов и только одного класса (например, макровирусы). По нахождению в оперативной памяти делятся на:
1) Резидентные (сканирование сразу же);
2) Нерезидентные (сканирование по запросу).
19.Методика работы программ-фагов?
Сканируют оперативную память, при нахождении вируса уничтожают его, а затем переходят к «лечению» файлов.
20.Какие программы-фаги обеспечивают более надёжную защиту, почему?
Резидентные универсальные, т.к. не позволяют вирусу проникнуть в операционную систему.
21.Что такое CRC-сканеры?
Они основаны на подсчете кодов циклического контроля для присутствующих на диске системных секторов и хранящихся в базе антивирусной программы. При несовпадении данных сканер сигнализирует, о том, что файл заражен или изменен.
22.Назовите плюсы и минусы программ-ревизоров.
Из плюсов: скорость работы, возможность обнаружения любых вирусов. Из минусов: не определяют вирусы в новых файлах.
23.На чём основана работа программ-ревизоров?
На подсчете контрольной суммы текущего состояния области диска с исходным.
24.Что такое вирусоопасные ситуации, какие антивирусные программы реагируют на них?
Это действия или состояния системы, которые с высокой вероятностью могут привести к заражению вирусом или утечке данных. Например, запись в исполняемый файл или загрузочный сектор диска.
На данные ситуации реагируют ревизоры и фаги.
25.Лечение поражённых файлов программами-блокировщиками.
Блокировщики не лечат файлы, а предотвращают их заражение в тот момент, когда вредоносная программа пытается исполнить вредоносный код
26.Какова основная функция программ-блокировщиков? Каковы их минусы?
Это метод антивирусного мониторинга с возможностью обнаруживать вирус на самой ранней стадии размножения. Недостатком данной программы является не способность уничтожить вирус.
27.Чем программы-иммунизаторы отличаются от CRC-сканеров?
Иммунизатор предотвращает заражение файла, а CRC-сканер определяет факт заражения.
28.Сколько типов иммунизаторов можно выделить, чем они отличаются?
1) Сообщающие о заражении. Программа записывается в конец файла и при запуске проверяет его на изменение. К недостатку данной программы можно отнести неспособность обнаруживать стелс-вирусы.
2) Блокирующие заражение каким-либо типом вируса. Происходит модификация файла или диска таким образом, что вирус воспринимает их зараженными и не внедряется. Однако данный иммунизатор защищает систему только от определенных вирусов.
29.Перечислите критерии качества антивирусной программы.
1) Эффективность защиты;
2) Влияние на производительность;
3) Удобство использования;
4) Регулярные обновления антивирусных баз;
5) Совместимость с различными операционными системами и техническими характеристиками устройства.
30.Назовите основные компоненты антивирусного комплекса, который обеспечит приемлемую защиту от вирусов, не перегружая и затормаживая систему. Обращаем внимание, что вариантов может быть несколько.
1) Антивирусный сканер, который по запросу или в определённое время проводит поиск вредоносных программ на диске или в оперативной памяти;
2) Брандмауэр проверяет сетевые пакеты;
3) Веб-антивирус, который предотвращает доступ к опасным сайтам.
31.К каким вирусам относятся не имеющие сигнатур?
Вирусы нулевого дня всё еще могут не иметь известных сигнатур, поэтому антивирусы могут не обнаружить их. Также полиморфные и метаморфные вирусы также могут изменять свой собственный код при каждом новом заражении, сохраняя основную логику работы.
32.Какие вирусы способны перехватить запросы операционной системы на чтение/запись заражённых файлов? С какой целью они это делают?
Стелс-вирусы перехватывают запросы к операционной системе и направляют ложный ответ для того, чтобы скрыть своё присутствие от антивирусных программ.
33.Могут ли макровирусы являться стелс-вирусами?
Да, могут. Стелс-макровирус может перехватывать вызовы макро-функций (Word, Excel) и скрывать свой код, когда пользователь пытается просмотреть макросы документа.
34.Каким образом вирус может «обмануть» операционную систему так, что она будет считать место его расположения как свободный сектор?
Стелс-вирус может перехватить обращение к операционной системе и сообщить, что данный сектор является свободным
35.Вирусы, построенные для работы на какой платформе, обладают неограниченными потенциальными возможностями?
Аппаратные вирусы (Hardware / Firmware) заражают не операционную систему, а непосредственно прошиты в оборудовании. Они работают независимо от операционной системы, обладают самым высоким уровнем привилегий, а также данный вирус невозможно вылечить программными способами – требуется физическая перепрошивка устройства