Министерство образования и науки Российской Федерации
Марийский государственный технический университет
Кафедра ИБ
Лабораторная работа №4
по дисциплине:
«Компьютерная вирусология»
на тему:
«Антивирус NOD32»
Выполнил:
студент группы БИ-31
Загайнов Алексей Сергеевич
Проверил:
Потехин Егор Николаевич
Йошкар-Ола
2011 г
Цель
Знакомство с методикой тестирования антивирусного программного обеспечения. Выработка навыков оценки степени соответствия программного обеспечения функциональным требованиям и качества реализации функций. Знакомство с различным антивирусным программным обеспечением.
Задание
1. Описание метода исследования программного обеспечения
2. Анализ состава дистрибутивного комплекта (содержит результаты исследования дистрибутивного комплекта на наличие / отсутствие автоматического / полуавтоматического инсталлятора, документации, анализ состава документации при ее наличии, наличие справочной подсистемы (HELP’a), наличие внешней базы сигнатур, собственных динамических библиотек, прочих компонент)
3. Исследование функциональности программного обеспечения
3.1. Изучение документации (констатация наличия, при наличии – декларированные возможности, см. Приложение)
3.2. Исследование программного обеспечения методом экспериментов
3.2.1. Инсталляция (раздел отчета содержит подробное описание с пояснениями процесса установки антивирусного программного обеспечения)
3.2.2. Обзор интерфейса (раздел отчета содержит обзор интерфейса (описание принципа, система меню, наличие справочной подсистемы, интерфейсной ветки «О программе», прочее) и, таким образом, предварительные выводы о функциональности)
3.2.3. Тестирование (содержит описание шагов испытаний: на способность обзора дерева объектов системы, на обнаружение тестового вируса, на обработку архивов, вложенных архивов, выявление паролей и ошибок в архивах, на ведение журнала, степень его детализации)
3.2.4. Исследование механизма обновления программного обеспечения (описание хода выявления способа обновления: автоматический или нет, замена файла программы или файла (ов) базы (баз) данных сигнатур, скрипт / внутренний алгоритм / повторная инсталляция, по сети, Internet / Intranet / прочее, http / ftp / прочее, поддержка proxy, socks / прочее)
3.3. Анализ версий (констатация факта наличия, при наличии - анализ)
4.Вывод
5.Список литературы
Содержание
1. Описание метода исследования программного обеспечения 5
История компании NOD32 5
2. Анализ состава дистрибутивного комплекта 6
3. Исследование функциональности программного обеспечения 18
3.1. Основные возможности ESET NOD32 18
3.2(3.2.3) Тестирование антивируса ESET 20
3.2.1. Установка 23
3.2.2. Интерфейс 26
3.2.4. Обновление 32
3.3. Анализ версий 34
Вывод 37
Таблица 1. Функциональные возможности ESET NOD32 Smart Security 37
1. Описание метода исследования программного обеспечения
В данной работе по анализу антивирусных программ мы будем исследовать функциональные возможности антивируса ESET NOD32. Метод исследования предусматривает собой анализ возможностей нахождения как положительных, так и отрицательных факторов работы антивируса.
Чтобы понять, что мы анализируем, необходимо обратиться к истории антивируса.
История компании nod32
Компания ESET - международный разработчик программного обеспечения в области компьютерной безопасности. Основанная в 1992 году, сегодня Eset обладает широкой партнерской сетью в 80 странах и имеет региональные представительства в 12 странах. Штаб-квартира Eset находится в Сан-Диего, Калифорния, США.
Российское представительство компании Eset (Eset Russia) открыто в Москве 1 января 2005 года. Флагманский продукт Eset – антивирусная система Eset NOD32. На сегодняшний день клиентами компании Eset в России являются группа компаний «Транзас», Роснефть, Газпром (Уренгойгазпром, Газавтоматика), РЖД, Алроса-Поморье, Парламент республики Узбекистан, Администрация Перми, Администрация Екатеринбурга, Пензенская генерирующая компания, Кристалл, MBO-Столица, Международный Банк Азербайджана, Сеть супермаркетов О’Кей и многие другие.
Eset NOD32 – это комплексное антивирусное решение для защиты компьютеров, серверов и сетей от широкого круга угроз, связанных с вредоносным кодом: включая вирусы, троянские программы (trojans), черви (worms), шпионские программы (spyware), рекламные программы (adware), phishing-атаки, rootkits.
Среди достоинств Eset NOD32 – высокая точность в детектировании, самая высокая скорость работы, надежность и низкие требования к системным ресурсам.
По оценкам независимых экспертов, компания Eset является сегодня одним их технологических лидеров в индустрии антивирусного ПО. Уже в течение многих лет антивирусная система Eset NOD32 обладает рекордным на рынке количеством наград Virus Bulletin 100%, что стало возможно благодаря уникальной надежности: за последние 9 лет программным обеспечением Eset NOD32 в тестированиях Virus Bulletin не было пропущено ни одного «дикого» (In The Wild) вируса.
2. Анализ состава дистрибутивного комплекта
Рассмотрим и проанализируем дистрибутив и составляющие ESET Smart Security.
В состав ESET SmartSecurity входят антивирус, антиспам, антишпион и персональный файервол. Рассмотрим этот продукт более подробно.
ESET Smart Security имеет очень удобный и простой интерфейс, что позволяет быстро настроить продукт под свое усмотрение. При этом данный продукт очень нетребователен к системе – в «тихом» режиме используется до 100 Мб оперативной памяти.
Прежде чем идти дальше стоит ознакомиться с фирменной запатентованной технологией ESET Smart Security - ThreatSense™. ThreatSense™ модуль для расшифровки и анализа кода, в реальном времени. ThreatSense™ распознает поведение вредоносных программ.
Защита файловой системы постоянно проверяет все типы носителей - жесткие диски, сменные носители, сетевые диски (используя технологию ThreatSense™). При этом сканирование происходит при всех событиях в операционной системе: создание, открытие и запуск файлов, доступ к дискете и выключение ПК. Функция «Доступ к дискете» проверяет вставленную в привод дискету, на наличий вредоносных программ. Функция «Выключение компьютера» проверяет жесткий диск во время выключения компьютера.
Примечательно, что защита файловой системы в режиме реального времени не сканирует повторно файлы, которые уже проверены, если они не были изменены, но если вирусная база обновилась, то файлы проходят очередную проверку. Дополнительно можно установить использование расширенной эвристики, но будьте готовы к тому, что ESET Smart Security будет использовать больше ресурсов системы чем прежде. HIPS (Host Intrusion Prevention System), как отдельно настраиваемого компонента, нет - его возможности используются в расширенной эвристике. Еще одна приятная возможность - это блокирование USB-портов сменных носителей с возможностью исключения.
Защита почтового клиента в ESET Smart Security создана на высоком уровне - при проверке входящих сообщений, используя модуль - ThreatSense™ антивирус распознаёт код в реальном времени. Продукт поддерживает Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail и Mozilla Thunderbird. Фанатам программы The Bat! придется искать альтернативу - ESET Smart Security не поддерживает данную программу. Полноценную поддержку "летучей мыши" обещают в версии ESS 5.0.
Система ESET Smart Security по умолчанию настроена на работу со стандартами, которые поддерживаются большинством веб-браузеров. Отдельно стоит выделить функцию фильтрации веб-сайтов - можно указать сайты, которые будут блокироваться или не будут фильтроваться. Таким образом можно ограничить доступ к нежелательным сайтам (например ВКонтакте) – а установив пароль на конфигурацию ESET Smart Security можно не переживать что кто-то опять откроет доступ к этим сайтам. На рис.1 представлен интерфейс NOD32 в виде 4 картинок.
Рис 1.Интерфейс антивируса ESET NOD32 Smart Security.
Сканирование системы происходит согласно установленному профилю. Оптимальным является "Глубокое сканирование". В параметрах сканирования можно указать уровень очистки.
В режиме уровня «Без очистки» вы можете индивидуально выбирать, какие действия произвести над найденным зараженным файлом.
В режиме уровня «По умолчанию» происходит автоматический выбор действия над найденным зараженным файлом, если только он не хранится в одном архиве вместе с чистыми файлами.
В режиме уровня "Тщательная очистка" все файлы, которые были заражены, просто удаляются.
Файервол в ESET Smart Security включает в себя следующие режимы для фильтрации:
Автоматический режим: режим по умолчанию. Это стандартный метод, если вы не хотите особо вникать в настройки, то этот режим для вас полностью подойдет и обеспечит нормальную защиту.
В автоматическом режиме с исключениями, используется всё тот же стандартный метод, но с заранее установленными вами правилами.
В интерактивном режиме вы по ходу дела (во время нахождения нового соединения) определяете правила и в дальнейшем можно автоматически применять эти правила к таким же видам соединений.
В режиме на основе политики фаервол оставляет только те соединения, которые были выбраны вами заранее.
В режиме обучения вы заранее настраиваете все параметры, а дальше ESET Smart Security сам формирует и сохраняет правила.
Кроме настройки самих правил для приложений, есть возможность настройки зон (зона – это набор сетевых адресов, которые объединены в единую логическую группу). Примером такой группы может быть доверенная зона. Доверенная зона содержит только те сетевые адреса компьютеров, которым пользователь полностью доверяет. Соединения в такой доверенной зоне не блокируются персональным файерволом ни в коем случае.
На рис.2 представлены интерфейс с настройками антивирусного продукта.
Рис 2. Интерфейс с настройками ESET NOD32 Smart Security.
Антиспам в ESET Smart Security использует два принципа: сканирование свойств сообщения и использование фильтра Байеса. Как и в защите почтовых клиентов, антиспам работает только в Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail и Mozilla Thunderbird. Настройки антиспама можно увидеть на рис.3.
Рис 3. Настройки антиспама ESET NOD32 Smart Security.
Рис 4.Интеграция с почтовыми клиентами ESET NOD32 Smart Security.
Вторым серьезным минусом ESET Smart Security после отсутствия поддержки почтового агента The Bat! является технология создания загрузочного аварийного диска ESET SysRescue. Для того, чтобы пользователь смог создать такой диск, ему потребуется установить Windows Automated Installation Kit (WAIK). Данный компонент свободно распространяется на сайте Microsoft, но, согласитесь, скачивать почти 1.25 Гб ради создания аварийного диска весом в 200 Мб - это издевательство. Создать диск можно с помощью установленных в системе файлов ESET или указав MSI-установщик. Вместе с указанным именем и паролем для обновления, аварийный диск сможет получать обновления баз из интернета. Тем не менее, разработчикам стоит задуматься над созданием Linux-подобного загрузочного диска, не требующего таких сложных манипуляций для его создания.
Отдельно стоит рассказать об ESET SysInspector. Данное приложение проверяет компьютер, а потом отображает данные, собранные во время этой проверки, в сводном виде (собирается информация об установленных драйверах и приложениях, сетевых соединениях и важных записях в реестре). Такая информация, разделенная на «уровни угроз», позволяет определить причину сбоя работы программы или определить вирус. Программа рассчитана для специалистов, поэтому если вы не разбираетесь в таких особенностях, создайте лог-файл ESET SysInspector, отправьте его разработчикам – они проанализируют лог-файл и помогут решить ваши проблемы.
Рис 5. ESET SysInspector –информатор системных параметров.
И последняя, не менее важная возможность ESET Smart Security – следить за наличием системных обновлений для Windows. Если ESET находит на сервере Microsoft наличие обновлений – иконка в трее становится желтой и в главном окне появится об этом сообщение. Данную возможность можно отключить на вкладке «Системные обновления».
Плюсы: низкая нагрузка на ПК, высокая скорость сканирования, маленький вес антивирусных сигнатур, высокое качество защиты, удобный и простой интерфейс, следит за наличием обновлений для Windows.
Минусы: нет поддержки The Bat!, технология создания SysRescue, HIPS.