Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdfВ процессе выполнения проверки Ad-Aware 2007 антивирус ные мониторы, загруженные и выполняющиеся в данной мо мент, могут выдавать предупреждения о том, что обнаружен ви рус во временном каталоге (%temp%) активного пользователя. Это не обязательно означает, что компьютер действительно за ражен вирусами, поскольку в процессе проверки Ad-Aware 2007 осуществляет временную разархивацию файлов (возможно, зара женных), без активации их содержимого, и этот факт может быть обнаружен антивирусным сканером. Кроме того, многие антивирусные приложения помещают зараженные файлы в ка рантин и, когда Ad-Aware 2007 проверяет такие файлы, антиви русный сканер может сигнализировать о том, что вирус обнару жен вне карантинного пространства.
Результаты проверки. Экран результатов проверки (Scan Results, рис. 4.6) позволяет просмотреть списки обнаруженных объектов, которые разделяются на безусловно опасные
(Critical Objects) и подозрительные (Privacy Objects),
а также ознакомиться с журналом проверки (Scan Log).
Рис. 4.6. Экран результатов проверки:
1 — список опасных объектов (помечены на удаление); 2 — список подозритель ных объектов; 3 — журнал проверки; 4 — кнопка восстановления; 5 — сообще ние об удалении помеченных объектов; 6 — кнопка завершения работы
Critical Objects — список содержит объекты, представ ляющие собой потенциальную угрозу и предлагаемые на удале ние. Они группируются по категориям, каждой из которых при писывается уровень опасности или индекс угрозы (Threat Analysis Index — ТАІ), который измеряется в 10-балльной шкале, причем «1» соответствует минимальной опасности, а «10» — максимальной.
Для каждого опасного объекта могут быть выполнены сле дующие действия:
•добавить к списку пропускаемых объектов (Add to ignore) — в этом случае данные объекты не будут прове ряться при последующих сканированиях системы;
•поместить в карантин (Quarantine) — будучи изолирован ным, объект не сможет в дальнейшем представлять угрозу для системы;
•удалить (Remove) — удаление из системы. Перед удалением опасных объектов у пользователя есть возможность создать контрольную точку рестарта системы для ее восстановле ния в дальнейшем при появлении проблем.
Privacy objects — список включает объекты, не представ ляющие непосредственной угрозы, куда обычно входят индексы навигации браузеров (Tracking Cookies) и часто используемые объекты (Most Recently Used — MRU), которые могут быть уда лены по желанию пользователя.
Scan Log (Журнал проверки) — показывает файл протокола выполненной проверки (рис. 4.7).
Кроме того, пользователю доступны списки объектов, поме щенных в карантин и тех, которые были пропущены при выпол ненном сканировании.
Настройки характеристик по умолчанию. Кроме настроек, которые могут быть выполнены пользователем по отношению к конкретной проверке системы (см. табл. 4.3), предусмотрена на стройка умолчаний (рис. 4.7), экран которой включает 5 закла док, управляющих различными аспектами настроек. Перечислим некоторые из них:
•настройки браузеров — здесь задаются домашняя и поис ковая страницы браузера, которые в случае их изменения при атаке ЗПС на браузер будут восстановлены;
•режим сканирования — здесь определяются такие парамет ры, как выгрузка из памяти подозрительных модулей или процессов, отложенное удаление некоторых модулей (при
Рис. 4.7. Экран настроек приложения (открыта закладка Scanning):
1 — настройки браузера по умолчанию; 2 — характеристики сканера; 3 — авто матический запуск сканера; 4 — интерфейс пользователя; 5 — файлы журналов проверки
последующем запуске ОС), пропуск при проверке слишком больших файлов, показ или нет элементов экрана сканиро вания (см. рис. 4.5), сканирование альтернативных потоков данных, индексов навигации, архивов, часто используемых модулей и пр.;
•автосканирование — устанавливаются такие возможности, как автоматический запуск проверки при загрузке ОС, вы бор при этом полной или частичной проверки, автоматиче ское удаление объектов, уровень опасности которых выше определенного предела и пр.;
•интерфейс — позволяет задать вид оболочки, звуковые сиг налы при обнаружении угроз или других событиях, язык
сообщений или подсказок и т. д.;
• журналы проверок — определяются адрес размещения и имя журнального файла, а также требования к его со держимому, например, записывать ли в него идентифи катор компьютера и пользователя, списки игнорируемых объектов, базовые и расширенные настройки сканера и пр.
4.2 . Антивирусная система Dr.Web для Windows
Состав системы. Dr.Web для Windows включает |
|
|||||
в себя следующие компоненты: |
|
|
|
|
||
• а н т и в и р у с н ы й |
с к а н е р |
— |
запускается по |
я * |
||
запросу пользователя или по расписанию и про |
Сканер |
|||||
изводит |
антивирусную проверку |
компьютера |
||||
(рис. 4.8, |
а)\ |
|
|
|
|
Dr.Web |
• а н т и в и р у с н ы й |
с т о р о ж |
# |
(SpIDer Guard, |
|
||
называемый также |
монитором) |
— |
постоянно находится в |
оперативной памяти, осуществляет проверку файлов «на лету», а также обнаруживает проявления вирусной актив ности (рис. 4.8, б);
• п о ч т о в ы й а н т и в и р у с н ы й с т о р о ж (SpIDer Mail для рабочих станций) — перехватывает обращения любых почтовых клиентов компьютера к почтовым серверам, об наруживает и обезвреживает почтовые вирусы до получе ния писем почтовым клиентом с сервера или до отправки письма на почтовый сервер (рис. 4.8, в)\
• м о д у л ь а в т о м а т и ч е с к о г о о б н о в л е н и я — позво ляет зарегистрированным пользователям получать обновле ния вирусных баз и других файлов комплекса, а также про изводит их автоматическую установку; незарегистрирован ным пользователям дает возможность зарегистрироваться или получить демонстрационный ключ.
В состав Dr.Web для рабочих станций входят также Плани ровщик заданий для Windows, сканер для среды DOS и ряд вспомогательных программ.
Требования Dr.Web к ОС и компьютеру. Сканер (GUI-версия и консольная версия для Windows), SpIDer Mail а также сторож SpIDer Guard работают на ПК под управлением ОС Win dows 95/98/Ме или Windows NT/2000/XP/2003/Vista, причем сто рож SpIDer Guard работает только в 32-разрядных системах. Ра бота всех компонентов под управлением Windows 95 возможна только, начиная с версии Windows 95 OSR2 (ѵ.4.00.950В).
Сканер для DOS работает под управлением MS-DOS или в режиме командной строки Windows.
Минимальные требования к конфигурации ПК совпадают с таковыми для соответствующих ОС, однако корректная работа SpIDer Guard возможна только при наличии не менее 32 Мбайт
|
|
__ ___ ___________ ; |
и ^ 2 .:: .:т |
л |
|
Dr.Web(R) Сканер для Window» |
|
ц |
|||
Файл Настройки |
Помощь |
|
|
||
Проверка | Статистика | |
|
|
|||
|
В этой режимепроверяются; |
■........3 |
|||
быстрая проверқа^ * |
Оперативнаяпамять |
|
|||
|
* |
Загруэоч«>іе секторы всех дисков |
|
||
АЦ^пная проверка N * |
Объекты автозапуска |
|
|||
<Ѵвыбс£»*но |
* |
Корневой каталог загрузоФюго диска |
|
||
|
* |
Корневой каталог диска установки Windows |
|
||
|
* |
Систеиньм каталог Windows |
|
||
|
V |
Папка МоиДокументы |
|
||
|
*^•'ОЗременный каталог системы |
|
|||
|
* |
Вввме«*>в5 каталог пользователя |
|
|
|
О |
Диск 3,5 (А:) |
L: о |
Локальный диск (С:) |
Объек- □ О |
Локальный диск (D:) |
□Л? Компакт-диск (Е:) |
|
[±= |
Съемный диск (F:) |
В этом режиме проверяются: |
|
|
|
* |
Эагрузочи»» секторы всех дисков |
0 « |
|
* |
Все оіенные носители |
|
|
* |
Все локаяыъіе д«ски |
|
|
|
1Статус |
1 Действие |
ш
1
юянено - вкусов не найдено |
Т ' |
~^506^19*06(23:54) |
' |ІІмЙГ |
|
а |
|
|
|
|
І) SpIDer Mail® включен |
|
|
|
Всего: |
|
|
|
Проверено: |
|
|
|
Не проверено: |
|
SpIDer Guard активен |
|
Инфицировано: |
|
|
Подозрительных: |
|
|
Проверено: 394 |
|
Удалено: |
|
Инфицированных: О |
|
|
|
Модификаций: О |
|
В карантин: |
|
Подозрительных: О |
|
Пропущено: |
|
|
|
|
Исцелено:О |
Реклама: |
|
Дозвонщики: |
||
Удалено:О |
||
Шутки: |
||
Переименовано:О |
||
Перемещено: О |
Опасные: |
|
Взломщики: |
||
Запрещен доступ: О |
||
Спам: |
||
|
||
Последнее обновление: 6.09.2008 |
Обновление 6.09.2008 (420985 записей) |
|
Всего вирусных записей: 420985 |
||
|
Рис. 4.8. Варианты содержания Главного окна сканера (а); извещение SpIDer Guard (б)\ извещение SpIDer Mail (в)
оперативной памяти, установленной на компьютере. ПК должен полностью поддерживать систему команд процессора i80386.
При работе под управлением ОС Windows Vista рекоменду ется запускать сканер от имени пользователя, обладающего правами администратора. В противном случае те файлы и пап-
ки, к которым непривилегированный пользователь не имеет доступа (в том числе и системные папки), не будут подвергну ты проверке.
Главное окно сканера. В этом окне формируется задание на сканирование (вкладка Проверка), а также предоставляется доступ к итоговым сведениям о работе сканера (вкладка Ста
тистика).
Вцентральной части окна в зависимости от выбора режима сканирования отображается список объектов, которые будут подвергнуты проверке, либо иерархический список файловой системы (рис. 4.8).
Внижней части окна располагается таблица для отображе ния сведений о найденных в ходе сканирования зараженных и подозрительных объектах, а также о произведенных программой действиях.
Управление процессом сканирования может производиться кнопками в правой части окна (табл. 4.4).
Таблица 4.4. Функции управляющих кнопок Главного окна сканера
Кнопка |
Действие |
[И |
Начать/возобновить сканирование (старт) |
[ІЦ |
Приостановить процесс (пауза) |
|
Остановить сканирование (Стоп) |
Кроме кнопок и пунктов меню для доступа к различным ок нам, настройкам и функциям предусмотрены клавиши быстрого доступа.
Немедленно после запуска программа при настройках по умолчанию проводит антивирусное сканирование оперативной памяти и файлов автозапуска Windows. Проверка остальных объ ектов файловой системы производится по запросу пользователя, для этого следует выбрать один из следующих режимов антиви русного сканирования:
•Быстрая проверка;
•Полная проверка;
•Выборочно.
Выполнение проверки. По умолчанию программа производит антивирусное сканирование всех файлов с использованием как
вирусных баз, так и эвристического анализатора (алгоритм, по зволяющий с большой вероятностью обнаруживать неизвестные программе вирусы на основе общих принципов их создания). Исполняемые файлы, упакованные специальными упаковщика ми, при проверке распаковываются, проверяются файлы в архи вах всех основных распространенных типов (zip, arj, lha, rar и др.), файловых контейнерах (PowerPoint, RTF и др.), а также файлы в составе писем в почтовых ящиках почтовых программ.
В поле отчета в табличной форме представлены сведения о найденных в ходе сканирования зараженных и подозритель ных объектах, а также о произведенных программой действи ях (рис. 4.9):
• Объект — наименование инфицированного файла или за грузочного сектора;
•Путь — расположение инфицированного объекта;
•Статус — условное наименование вируса (для файлов и
загрузочных секторов) или сообщение об инфицированности архива;
* 8 % -Dr.W eb |
щ |
Файл Настройки |
Помощь |
Проверка |
|
В этом режиме проверяются:
*Загрузочные секторы всех дисков
*Все смен»*>іе носители
*Все локальные диски
|
|
|
|
Е И |
Объект |
Путь |
|
Статус |
Действие |
1396.tmp\Script.l3 |
C:\Documents and Settings... |
Worm.Sifiliz |
|
|
1396.tmpV5cript.14 |
C:\Documents and Settings... |
VBS.PackFor |
|
|
2 1396.tmp |
C:\Documents and Settings... |
Архив содержит инфицир.. |
||
Qkktkrrd.exe |
C:\Documents and Settings... |
Trojan. Packed. 194 |
||
f§{9CC3F3F2-0AD2-4B... |
C:\Documents and Settings... |
BackDoor. Haxdoor. 363 |
||
M ConnectionServices.dll |
C:\Program Files\Connectio... |
Adware.BitAcc |
|
|
|
|
|
1Проверено файлов] |
|
|
|
|
|
'сных записеи |
C:\.,.ad 13\doc\Help_EN\DevRef\IMWPrintAll.html |
T : |
j120960 |
)2008-09-06(23:54) |
• Действие — сообщение о выполненных действиях (изле чении, удалении, переименовании или перемещении объ екта).
Если указанные объекты обнаружены в файловых архивах, почтовых файлах или файловых контейнерах, в таблице приво дятся как инфицированные объекты, так и содержащие их ар хивы.
Вкладка Статистика. В окне статистики собраны итоговые сведения о работе сканера — общее количество проверенных объектов, обнаружено инфицированных известными вирусами, модификациями известных вирусов, обнаружено подозритель ных объектов, а также сведения о действиях программы над за раженными и подозрительными объектами (рис. 4.10).
в Нъ-к |
»■; Г>■ |
|
|
|
|
Проверка |
Статистика j |
|
d |
|
|
Показать статистику для: |
|
|
|||
|
|
|
|||
ЕМрусъі |
Проверено: |
1015 |
Действия |
0 |
|
|
Исцелено: |
||||
Инфщированодх: |
0 |
Удалено: |
0 |
||
|
Модификации: |
0 |
Переименовано: |
0 |
|
Подозрительных: |
0 |
Перемещено: |
0 |
||
|
Рекламных: |
5 |
Проигнорировано: |
0 |
|
Програю ■ |
|
|
|
|
|
|
Програ» |
|
|
|
|
Потенциальнс |
О |
Вы можете потерять ценные даюіые, выбирая действие "Удалить"! |
|||
rfcorpai |
|||||
|
|
Вы уверены? |
|
|
|
|
|
|
|
|
Объект |
Да |
|
WinMP3LocatorJDSi...' |
D:\MP3\ffirev\MP3LOOI<\... |
ДЖагеАи гeatе" |
WinMP3Locator_051.... |
D:\MP3\kokorev\MP3LOOK\... |
Adware. Aureate |
J
\A/ir>MD'5l пгзНлг ПС 1 |
ПЛМО'^М'^г.гвчЛМО'г! гЛПк' |
|
|
|
|
Снять выдележе | |
|
Переименовать j |
Переместить |
Удалить |
|
Выполнено - вирусы найдены |
рГ~ |
|і015 |
|2008-09-06 (23:54) |
j42G985 |
Рис. 4.10. Вкладка Статистика (выбор удаления угроз)
Эти сведения можно получить для любого из логических дисков компьютера. Для этого следует указать имя диска в окне Показать статистику для. Для того чтобы обнулить стати стические сведения, необходимо нажать на кнопку Очистить.
Действия над угрозами. Находясь в режиме Проверка или
Статистика, пользователь может предписать действия по устра нению вирусной угрозы, отображенной в отчете (см. рис. 4.10).
Для этого следует щелкнуть правой клавишей мыши по строке списка отчета, содержащей описание зараженного объекта, а за тем выбрать действие в открывшемся контекстном меню или на жать на соответствующую кнопку под полем отчета:
• Вылечить — восстановить состояние объекта до заражения. Данное действие возможно только при обнаружении из вестных вирусов, и то не всегда. Действие невозможно при обнаружении вируса в архиве. Если выбран вариант Выле чить, откроется дополнительное контекстное меню, в ко тором необходимо определить реакцию программы в слу чае неудачного лечения;
•Удалить — удалить инфицированный объект*;
•Переименовать — изменить расширение имени файла в
соответствии с настройками программы*;.
• Переместить — переместить инфицированный файл в спе циальный каталог (карантин)* Путь к каталогу задается на стройками программы.
При обнаружении зараженного или подозрительного файла, используемого другим 32-битовым приложением Windows, вы бранное действие не может быть выполнено немедленно. В поле отчета сканера в колонке Действие в этом случае появляется за пись Будет излечен после рестарта, Будет удален после рестарта и т. п., в зависимости от выбранного действия. Поэто му при обнаружении таких объектов рекомендуется провести пе резагрузку системы сразу после окончания сканирования.
Настройка параметров сканера. Настройки программы по умолчанию являются оптимальными для большинства примене ний и их не рекомендуется изменять без необходимости.
Для того чтобы изменить настройки программы, следует вы брать в главном меню программы пункт Настройки\ Изменить настройки. Откроется окно, содержащее несколько вкладок (рис. 4.11—4.14). Рассмотрим основные из них.
В к л а д к а П р о в е р к а (рис. 4.11) задает списки каталогов и файлов, исключаемых из сканирования:
• Список исключаемых путей. Здесь можно задать список каталогов, файлы в которых не будут подвергнуты провер ке. В таком качестве могут выступать каталоги карантина антивируса, рабочие каталоги некоторых программ и т. п.;
* Невозможно, если вирус обнаружен в загрузочном секторе.
тройки Dr.Web(R) Сканер |
|
|
|
Х| |
|
Г^юверка | Типы файлов ] Действия ] Отчет | Обновление | Общие | |
|
|
|
||
Р Эвристически анализ |
|
|
|
|
|
- Список исключаемых путей —------------ ----------------------------- |
_ ----------- |
------------------------------------- |
|
|
|
1.......................................................................................... |
|
|
J |
|
|
р У '5™ |
то BOOKS |
|
^ |
Добавить |
I |
|
|
|
у I |
Удалить |
I |
Слисок исктеочаепых файлов |
|
|
|
|
|
Г~...... |
............... ................... |
........ |
|
|
|
Far'8Xe |
” |
* |
3 |
добавить |
I |
|
|
|
|
Удалить |
I |
I OK I Отмена ] _______ | Сгравка
Рис. 4.11. Вкладка настройки проверка
• Список исключаемых файлов. Здесь можно задать список файлов (масок файлов), которые не будут сканироваться. (Из проверки будут исключены все файлы с данным име нем.) В таком качестве могут выступать временные файлы (файлы подкачки) и т. п.
При необходимости исключения из антивирусной проверки определенного файла следует внести путь к данному файлу (мож
но воспользоваться кнопкой обзора - 1) и его имя (имя файла следует прописать вручную) в Список исключаемых путей.
На этой вкладке также предоставляется возможность исполь зования эвристического анализа (по умолчанию данная настрой ка включена) — метода, позволяющего выявлять подозритель ные объекты, с большой вероятностью зараженные еще неиз вестными вирусами.
В к л а д к а Т и п ы ф а й л о в (рис. 4.12) задает дополнитель ное ограничение на состав файлов, которые должны быть под вергнуты сканированию в соответствии с заданием на сканиро вание. В группе радиокнопок Режим проверки задается способ отбора проверяемых файлов:
• Все файлы (по умолчанию) — обеспечивает максимальную защиту;
• Выбранные типы и Заданные маски — предписывает про верять только файлы, расширения или имена которых со-