Хакасский Государственный Университет им. Н. Ф. Катанова

Институт Информатики и Телематики

Кафедра Информационной безопасности

Лабораторная работа № 5

Антивирусное ПО.

Абакан, 2004

Содержание

I. Теоретические аспекты 3

1.1. Компьютерные вирусы 3

1.2. Предотвращение вирусных угроз 3

II. Антивирус Dr.Web 5

2.1. Состав пакета Dr.Web 5

2.2. Подготовка к установке 5

2.3. Установка пакета в среде Windows 5

2.4. Интерфейс программы. Работа с настройками 8

2.5. Настройка программы 10

2.5.1. Общие замечания 10

2.5.2. Настройка параметров проверки объектов 10

2.5.3. Настройка принципов отбора файлов для сканирования 11

2.5.4. Настройка реакции программы на события 12

2.5.5. Архивы 13

2.5.6. Настройка ведения отчета 13

2.5.7. Настройка списков путей 14

2.5.8. Настройка звуковых реакций программы 14

2.5.9. Настройка средств обновления 14

2.5.10. Настройка системных установок 15

2.6. Антивирусный сторож SpIDer Guard 15

2.6.1. Общие сведения о конфигурации SpIDer Guard 15

2.6.2. Настройка автоматического запуска программы 16

2.6.3. Настройка режимов проверки 16

2.6.4. Настройка типов проверяемых файлов 17

2.6.5. Настройка реакции на зараженные или подозрительные объекты 17

2.6.6. Настройка реакции на обнаружение зараженных или подозрительных объектов в архивах 17

2.6.7. Настройка ведения файла отчета 18

2.6.8. Настройка путей к вирусным базам и исключаемым каталогам 18

III. Kaspersky AntiVirus 19

3.1. Установка KAV на компьютер 19

3.1.1. Проверка версии установленной операционной системы 19

3.1.2. Поиск других антивирусных программ 19

3.1.3. Стартовое окно процедуры установки 19

3.1.4. Просмотр Лицензионного Соглашения 19

3.1.5. Сведения о пользователе 19

3.1.6. Прочтение важной информации о программе 19

3.1.7. Установка лицензионного ключа 20

3.1.8. Выбор директории установки 20

3.1.9. Завершение процедуры установки 20

3.2. Защита без дополнительных настроек 20

3.2.1. Постоянная защита 20

3.2.2. Проверка компьютера по требованию 21

3.2.3. Обновление антивирусных баз 22

3.3. Интерфейс программы 22

3.3.1. Контекстное меню 22

3.3.2. Главное окно программы: 23

3.3.3. Закладка Защита 25

3.3.4. Закладка Настройка 25

3.3.5. Закладка Поддержка 26

3.3.6. Справочная система 27

3.4. Настройка параметров проверки 27

3.4.1 .Настройка параметров постоянной защиты 28

3.4.2. Настройка параметров по требованию 30

3.5. Дополнительная настройка KAV 32

I. Теоретические аспекты

1.1. Компьютерные вирусы

Компьютерными вирусами называются программы (фрагменты программного кода), которые могут скрытно или вопреки воле пользователя ПК модифицировать другие программы так, что они сами становятся способными к такой активности. Этот процесс называется заражением (инфицированием) программы.

Вирусы можно классифицировать по различным параметрам; с точки зрения пользователя, наиболее важной является

классификация по характеру заражаемого объекта.

Нижеследующий перечень не является исчерпывающим, в нем приведены только наиболее распространенные и опасные разновидности:

• Файловые вирусы заражают двоичные файлы (исполняемые файлы и динамические библиотеки). Эти файлы чаще всего имеют расширения exe, com, sys или dll.

• Загрузочные (бутовые) вирусы заражают загрузочные записи (Boot Record) дискет и разделов жесткого диска,

а также главную загрузочную запись (Master Boot Record, MBR) жесткого диска.

• Макрокомандные вирусы заражают файлы документов, используемых приложениями MS Office и другими программами, допускающие наличие макрокоманд (чаще всего на языке Visual Basic). Не являются вирусами по вышеприведенному определению, но непосредственно примыкают к ним некоторые другие разновидности программ, осуществляющих несанкционированное изменение программ на компьютере пользователя. Вот наиболее важные примеры:

• Троянские кони (троянцы) подменяют какую-либо из часто запускаемых программ, выполняют ее функции или имитируют такое исполнение, а вместе с тем производят какие-либо вредоносные действия (например, отсылают сетевые пароли или иные секретные сведения, хранящиеся на ПК пользователя).

• Сетевые черви проникают на компьютер из сети (чаще всего как вложения сообщений электронной почты) и

рассылают копии себя на другие компьютеры сети. Внедрение этих программ на ПК происходит аналогично

заражению вирусом. Во всех случаях для того чтобы вирус осуществил заражение, объект, содержащий вирусный код, должен быть активизирован (файл вызван для выполнения, диск с зараженной загрузочной записью использован при попытке загрузки). Распространение вируса и любая другая его активность невозможны, если зараженный

вирусом файл не запущен на выполнение.

1.2. Предотвращение вирусных угроз

Программы (так называемые антивирусы), предназначенные для борьбы с компьютерными вирусами, решают ледующие задачи:

• предотвращение распространения вирусов (блокирование заражения);

• обнаружение вирусов (точнее, зараженных объектов);

• предотвращение активности зараженных объектов, при наличии возможности — восстановление их прежнего состояния (излечение).

Возможны следующие подходы к этим задачам:

• Обнаружение признаков вирусной активности (например, попыток внести изменения в исполняемые файлы). Программы, использующие такой подход, называются сторожами.

• Обнаружение самого программного кода вирусов в зараженных ими файлах при помощи базы данных о вирусах, известных программе-антивирусу, или исходя из априорных предпосылок об устройстве такого кода. Такие программы называются сканерами.

• Периодическая проверка изменений в потенциально заражаемых файлах, позволяющая выявить вирусную активность после заражения и в ряде случаев восстановить состояние файлов до заражения. Такие программы называются ревизорами.

Сторожа обнаруживают и блокируют попытки заражения файлов. При этом также обнаруживаются программы, пытавшиеся совершить подозрительное действие, вероятно, зараженные каким-либо вирусом. Сканеры периодически (например, по запросу пользователя) проверяют определенные объекты (диски, каталоги или файлы, а также оперативную память и загрузочные секторы) на наличие программного кода вирусов. При этом производится сверка

определенных фрагментов кода объекта с базой данных (вирусной базой) на предмет полного или частичного совпадения с учетом возможности самошифрования вируса, а также проверка, не употребляются ли в коде u1092 фрагменты, типичные для обширных классов вирусов ( эвристический анализ). Обнаружение кода вируса, содержащегося в вирусной базе, свидетельствует о заражении объектов практически со стопроцентной вероятностью. В этом случае часто возможно излечение зараженных объектов. Эвристический анализ позволяет лишь высказать предположение о зараженности объекта.

Наконец, программы-ревизоры сохраняют информацию о прежнем состоянии потенциально заражаемых объектов и при последующих проверках выявляют изменившиеся объекты. Для некоторых небольших по размеру, но крайне важных объектов (таких как MBR жесткого диска) может храниться полная копия объекта, что позволяет излечить их даже при заражении неизвестным вирусом.