Тема: Профилактика заражения вирусами компьютерных систем
1. Цель работы
Анализ и исследование антивирусных программ.
2. Краткие сведения из теории
Антивирус Касперского 7.0 это принципиальный новый подход к защите информации. Главное приложении это объединение и заметное улучшение текущих функциональных возможнестей всех продуктов компании в одно комплексеое решение защитыю Приложение обеспечивает не только антивирусную защиту, но и защиту от неизвестных угроз. Больше не нужно устанавливать несколько продуктов на компьютереб чтобы обеспечить себе полноценную защиту. Достаточно установить Антивирус Касперского 7.0. Комплексная защита обеспечивает на всех каналах поступления и передачи информации. Гибкая настройка любого компонента приложения позволяет гибко адаптировать Антивирус Касперского под нужды конкретного пользователя. Предусмотрена также единая настройка всех компонентов защиты.
Чтобы запустить антивирусный сканер из командной строки, необходимо перейти в папку, куда установлен Антивирус Касперского, а затем запустить программу avp32.exe, указав следующие параметры командной строки:
[/Р = имя_файла_настроек] - пуск сканера с настройками из файла настроек с именем «имя_файла_настроек»;
[/S] - начать проверку на вирус сразу после запуска сканера;
[/W] - создать файл отчета;
[/N] - свернуть главное окно сканера сразу после запуска;
[/Q] - закрыть главное окно сканера сразу после окончания процесса сканирования;
[ID] - означает, что сканер не будет запускаться, если в течение данного дня уже было произведено сканирование и оно завершилось успешно, т.е. оно не было прервано и не было найдено ни одного вируса.
[/@[!] = имя_файла] - сканировать только те объекты, которые указаны в файле с именем имя_файла, где файл «имя_файла» это обычный текстовый файл (ASCII), содержащий список имен файлов, предназначенных для сканирования. Каждая строка в нем должна содержать только одно имя файла (с указанием полного пути). Если в ключе указан знак «!» (т.е. /@!=имя_файла), то файл «имя_файла» будет удален после окончания сканирования. Если символ «!» не указан (т.е. /@=имя_файла), то данный файл удаляться не будет. [/virlist = имя_файла] - создать файл с именем «имя_файла» и записать в него список имен известных на настоящий момент вирусов, которые может обнаруживать сканер.
Обратите внимание, что после установки программы Kaspersky Anti-Virus в оперативной памяти компьютера постоянно находится антивирусный монитор AVP Монитор. Он контролирует обращения к файлам и секторам (главному загрузочному сектору и загрузочным секторам). Прежде чем монитор разрешает доступ к объекту, он проверяет его на наличие вируса и, если вирус обнаружен, то предлагает вылечить зараженный объект, либо удалить, либо заблокировать доступ к объекту (это зависитот сделанных ваминастроек). Таким образом,антивирусный монитор позволяет обнаружить и удалить вирус документа реальногозаражения системы.
В антивирусный пакет программ Касперского входит антивирусная программа-ревизор диска KAV Inspector™ (KAVI), функции которой аналогичны ADinf. KAV Inspector сохраняет основные данные о диске компьютера в таблице, содержащей образы Master-Boot и Boot-секторов, список номеров сбойных кластеров, схему дерева каталогов и информацию обо всех контролируемых файлах, а затем проверяет диски на наличие изменений содержимого файлов и каталогов. Применение KAV Inspector значительно уменьшает время проверки дисков антивирусным сканером KAV, так как после окончания проверки дисков на изменения KAVI может передать на проверку сканеру KAV только новые и измененные файлы.
Итак, несмотря на то, что вирусная угроза информационным ресурсам возрастает с каждым днем, если следовать рекомендациям по профилактике заражения компьютера вирусом, систематически использовать антивирусные программы для обнаружения и уничтожения вирусов, то вероятность сбоя компьютерной системы, потери важной информации от вирусного нападения будет сведена к минимуму.
3. Порядок выполнения работы
Задание 1.1. Ознакомьтесь с энциклопедией компьютерных вирусов на сайте лаборатории Касперского в Интернете по адресу http:// www.viruslist.com/viruslist.asp,для чего, загрузив web-обозреватель и указав адрес энциклопедии, изучите разделы; Что такое компьютерный вирус, Классификация компьютерных вирусов. Просмотрите описание одного из самых популярных вирусов недели на сайте лаборатории Касперского. В разделе Методы обнаружения и удаления компьютерных вирусов изучите тему Методика использования антивирусных программ.
2. Запустите Kaspersky Anti-Virus Control Centre и изучите главное окно программы.
Рис.4.2. Главное окно Kaspersky Anti-Virus Control Centre
Как показано на рис. 4.2, в главном окне программы Центр управления содержатся четыре закладки:
Закладка Задачислужит для управления задачами Kaspersky Anti-Virus Control Centre, просмотра статистики их работы и уведомлений. Для выполнения тех или иных действий используется контекстное меню и панель управления. Закладка Компонентыпредназначена для управления компонентами пакета Антивирус Касперского. Закладка Параметрыпредназначена для настройки параметров Kaspersky Anti-Virus Control Centre. На закладке Карантинпредставлено содержимое локального карантина. С помощью этой закладки вы можете положить подозрительный файл на карантин, а также снять его или удалить с карантина.
3.Для просмотра сведений об установленных компонентах пакета Антивирус Касперского откройте закладку Компоненты.
4.Для создания новой задачи сканирования дисков на вирусы откройте закладку Компоненты и щелкните ярлык компонента KasperskyxAnti-Virus Scanner. После этого в диалоге с Мастером задач создайте новую задачу сканирования дисков на вирусы. В самом простом случае, оставляя все предложения Мастерабез изменения, для перехода к следующему шагу Мастера щелкайте кнопку «Далее», а на последнем шаге щелкните кнопку «Готово». После этого на вкладке Задачи появится новая задача с ярлыком сканера Kaspersky Anti-Virus Scanner.
5.Для запуска выполнения созданной задачи, щелкнув в панели задач Windows мышкой ярлык Kaspersky Anti-Virus Control Centre, в контекстном меню выберите команду Запустить. Новая задача.
Рис. 4.3. Окно Kaspersky Anti-Virus Scanner
6. Изучите вид окна Kaspersky Anti-Virus Scanner и назначе-яе его элементов. Как показано на рис. 4.3, рабочая область главного окна Kaspersky Anti-Virus Scanner состоит из двух частей. В левой части находится список категорий и соответствующих им значков. В правой части отображается содержимое категорий. Существуют четыре категории: Объекты, Параметры, Настройка и Статистика.
Категория Объекты позволяет задать область сканирования, подлежащие сканированию объекты и правила обработки инфицированных объектов. Категория Параметры позволяет задать общие настройки, а категория Настройка - специальные настройки программы с помощью обычного дерева настроек. Категория Статистика позволяет просматривать результаты работы программы в таблице.
7.Для ознакомления с возможностями программы и управлением ею выберите в меню Справкакоманду Содержание.В окне Справочная система: Kaspersky Anti-Virus Scanner изучите раздел Работа с антивирусным сканером,темы Интерфейс программы, Настройка параметров сканирования, Поиск и удаление вирусов, Запуск программы обновления антивирусных баз.После изучения справочной информации закройте окно справки.
8.Для сканирования отмеченных в окне объектов на наличие вирусов выберите в меню Сканированиекоманду Начать сканированиеили щелкните в панели инструментов кнопку Начать сканирование.
9. Если в процессе сканирования будет найден инфицированный файл, то будет выведено сообщение, файл будет вылечен или, если лечение не удастся, то файл будет удален.
10. Щелкнув категорию Статистика, просмотрите результаты сканирования дисков компьютера на наличие вирусов. Как показано на рис. 3.4, таблица результатов разделена на две части; «Проверено» и «Найдено». Верхняя часть «Проверено» содержит число проверенных секторов, файлов, папок, архивов и упакованных файлов. Нижняя часть «Найдено» содержит информацию о количестве найденных вирусов, тел вирусов, т.е. о количестве файлов, зараженных тем или иным известным вирусом; вылеченных объектов, т.е. объектов, из которых вирусы были корректно удалены; удаленных объектов; переименованных объектов; предупреждений, т.е. сообщений о количестве объектов, содержащих код, похожий на вариант известного вируса; подозрений на вирус, т.е. сообщений анализатора кода; испорченных объектов; ошибок ввода/вывода.
Внизу таблицы отображается скорость работы (в Кб/с) и общее время, затраченное на проверку всех объектов.
11.Для просмотра подробного отчета о результатах сканирования щелкните кнопку «Показать отчет» в панели инструментов Kaspersky Anti-Virus Scanner. В окне просмотра отчета просмотрите информацию по каждому объекту в таблице отчета. По окончании просмотра отчета закройте окно.
12.Для запуска обновления антивирусных баз в главном окне программы Kaspersky Anti-Virus Scanner выберите в меню Сервиспункт Обновить антивирусные базы.После этого будет выполнено обновление антивирусных баз из Интернета.
13.Для изменений настройки сканера щелкните ярлык категории Настройка. После этого в правой части окна откроется список опций настройки, которые вы можете включать/выключать.
Рис. 4.4. Просмотр результатов сканирования
14.Для изменения параметров щелкните ярлык категории Параметры и в правой части окна задайте параметры записи результатов сканирования в файл, настройки переименования зараженных файлов и уровень приоритета сканирования.
15.Закройте окно Kaspersky Anti-Virus Scanner. После этого оно останется резидентно в памяти компьютера и будет готово к сканированию. Если вы хотите выгрузить программу Kaspersky Anti-Virus Scanner из памяти, то выберите в меню Файл команду Выгрузить Kaspersky Anti-Virus Scanner.
16. Для запуска KAV Inspector выберите в главном меню Windows команду Пуск > Программы » Kaspersky Anti-Virus > KAV Inspector.Для создания таблицы с данными выберите в меню Таблицыкоманду Создать таблицы для дисков.После этого будут составлены таблицы для дисков (рис. 4.5), чтобы в последую-
Рис. 4.5. Создание KAV Inspektor таблицы дисков
файлы, просматривая сведения о файлах и вирусах и щелкая по кнопке «Delete Items», удалите изолированные файлы. Закройте окно Norton AntiVirus Quarantine.
8.Для просмотра сведений о вирусах в Интерактивной вирусной энциклопедии щелкните на задаче View Online Virus Encyclopedia. После этого откроется web-страница онлайн-энциклопедии вирусов на сайте компания Symantec (http://securityresponse.Symantec.com/avcenter/virfodb.html?prodid = nav2005). На этой странице можно просмотреть, чем заражен тот или иной файл и как удалить этот вирус.
9.Для просмотра протокола работы программы щелкните на задаче View Activity log. После этого откроется протокол работы программы по трем параметрам - обнаруженные вирусные угрозы, сканирование и ошибки.
Задание 2.Изучить дополнительные возможности программы Norton AntiVirus по защите данных (восстановление ошибочно удаленных файлов и гарантированного удаления файлов и папок).
Для защиты данных Norton AntiVirus имеет UnEraze Wizard (мастер восстановления ошибочно уничтоженных файлов) и Wipe Info (инструмент для гарантированного удаления файлов). Вызвав мастера UnEraze Wizard, достаточно указать имя (или часть) файла, его расширение и место расположения на дисках компьютера. После поиска UnEraze Wizard покажет все найденные по предложенным критериям файлы и предложит выбрать, какой из них подлежит восстановлению.
Если вам часто приходится удалять файлы, и хочется иметь гарантию невозможности их восстановления, то поможет инструмент Wipe Info. Но рекомендуется в настройках Wipe Info установить защиту от удаления системных файлов, чтобы после необдуманного действия не столкнуться с отказом операционной системы от загрузки.
1. Для восстановления ошибочно уничтоженных файлов щелкните в главном окне на «кнопке Advanced Tools». Затем в окне Advanced Tools выберите вариант UnErase Wizard и щелкните на кнопке «Start Tool». На следующем шаге мастера восстановления выберите вариант поиска удаленных файлов, включите флаг Find Norton Protected Users files(Поиск всех защищенных файлов) и щелкните на кнопке «Далее». После этого будет выполнен поиск выбранной вами категории файлов. На следующем шаге мастера восстановления, указав восстанавливаемые файлы, щелкните на кнопке «Recover» (Восстановить). Щелчком на кнопке «Далее» перейти к сообщению о результатах восстановления. Просмотрев сообщение и щелкнув на кнопке «Готово», завершите работу мастера восстановления.
2. Для гарантированного удаления файлов выберите в окне Advanced Tools вариант Wipe Info и щелкните на кнопке «Start Tool». На следующем шаге мастера удаления перетащите в окно Wipe Info файлы и папки, которые требуется гарантированно удалить. После этого щелкните на кнопке «Wipe All» (Удалить все).
Задание к работе
1.Используя пакет программ, демонстрирующих действие вирусов, изучите действие вирусов различного типа. Поочередно запуская программы из пакета демонстрационных программ, изучите проявление вирусного заражения. По окончании наблюдения перезагрузить компьютер.
2.Запустите программу DrWeb и выполните проверку оперативной памяти компьютера на наличие вирусов. Выполните тестирование дисков А; и С: на наличие вирусов. Если на дисках будут обнаружены вирусы, выполните лечение зараженных файлов.
3.Загрузите из Интернета и установите на компьютере ознакомительную версию ADinf32. Задайте расписание работы ADinf, чтобы ее активизация осуществлялась еженедельно по субботам с 18.00.
4.Загрузите из Интернета и установите на компьютере ознакомительную версию антивируса Kaspersky Anti-Virus. Создайте новую задачу сканирования дисков компьютера на вирусы.
5.Загрузите из Интернета и установите на компьютере ознакомительную версию антивируса Norton AntiVirus. Выполните обновление антивирусной базы и проверьте компьютер на наличие вирусов.
6.Посетите web-страницу http://www.sarc.eom//avcenter/vinfodb. html онлайн-экспедиции вирусов на сайте компания Symantec. На этой странице можно просмотреть, чем заражен тот или иной файл и как удалить этот вирус.
5. Вопросы для самопроверки
1.Что такое компьютерный вирус? Какими свойствами обладают компьютерные вирусы?
2.По каким признакам классифицируют компьютерные вирусы? Перечислите типы вирусов.
3.Какие вирусы называются резидентными и в чем особенность таких вирусов?
4.Каковы отличия вирусов-репликаторов, стелс-вирусов, мутантов и «троянских» программ?
5.Опишите схему функционирования загрузочного вируса.
6.Опишите схему функционирования файлового вируса.
7.Опишите схему функционирования загрузочно-файловых вирусов.
8.Что такое полиморфный вирус? Почему этот тип вирусов считается наиболее опасным?
9.Каковы причины появления компьютерных вирусов. Приведите примеры широко известных вирусов.
10.Существует ли в мире и в РФ уголовная ответственность за создание и распространение компьютерных вирусов?
11.Каковы пути проникновения вирусов в компьютер и признаки заражения компьютера вирусом?
12.Каковы способы обнаружения вирусов и антивирусной профилактики?
13.Перечислите основные меры по защите от компьютерных вирусов.
14.Опишите назначение антивирусных программ различных типов.
15. Назовите примеры современных антивирусных программ и опишите их особенности.
Рекомендуемая литература
1. Козлов Д.А., Парандовский А.А., Парандовский А.К.Энциклопедия компьютерных вирусов. - М.:СОЛОН-Р, 2001. - 461 с.
В энциклопедии собрана исчерпывающая информация по проблеме компьютерных вирусов, от создания до обнаружения и уничтожения. Приведены примеры написания и уничтожения СОМ-,ЕХЕ-,Boot-, Internet- и макровирусов, как нерезидентных, так резидентных и полиморфных. Основное преимущество данной книги в ее практическом применении.
2.http://www.avp.ru- сервер антивирусной лаборатории Евгения Касперског 6.0, на котором имеется возможность бесплатно и быстро проверить файлы на наличие вирусного кода. В разделе «Триальные версии» вы можете познакомиться с антивирусными продуктами Лаборатории Касперского перед приобретением.
3.http://www.viruslist.com/virusHst.asp- раздел сервера антивирусной лаборатории Евгения Касперского, содержащий огромное число описаний вирусов и демонстраций вызываемых вирусами эффектов, классификацию вирусов, общие методы обнаружения и удаления компьютерных вирусов.
4.http://www.dials.ru- сервер антивирусной лаборатории «Лаборатория Данилова» и «ДиалогНаука». На данном сервере вы можете:найти информацию о программах сканер Doctor Web; резидентный сторож SpIDer Guard; ревизор дисков ADinf и универсальный лекарь ADinf Cure Module, выполнить через Интернет бесплатно удаленную проверку ваших файлов на наличие вирусов с помощью последней версии антивирусного сканера Doctor Web, а также получить некоммерческие версии антивирусных продуктов, дополнения для программы Doctor Web и документацию.
5.http://www.adinf.ru- WEB-сайт разработчиков антивируса ADinf.
6.http://www.symantec.ru- Российское Интернет-представительство компании Symantec, производящей антивирусный пакет Norton Anti Virus.