Тема: Профилактика заражения вирусами компьютерных систем
1. Цель работы
Анализ и исследование антивирусных программ.
2. Краткие сведения из теории
Антивирус Касперского 7.0 это принципиальный новый подход к защите информации. Антивирус Касперского 7.0- это новое поколение решений по защите информации.
Основное отличие Антивируса Касперского 7.0 от существующих продуктов, в том числе и от продуктов компании ЗАО «Лаборатория Касперского», - это комплексный подход к защите информации на компьютере пользователя.
Антивирус Касперского 7.0 - это принципиально новый подход к защите информации. Главное в приложении - это объединение и заметное улучшение текущих функциональных возможностей всех продуктов компании в одно комплексное решение защиты. Приложение обеспечивает не только антивирусную защиту, но и защиту от неизвестных угроз.
Больше не нужно устанавливать несколько продуктов на компьютер, чтобы обеспечить себе полноценную защиту. Достаточно просто установить Антивирус Касперского 7.0.
Комплексная защита обеспечивается на всех каналах поступления и передачи информации. Гибкая настройка любого компонента приложения позволяет максимально гибко адаптировать Антивирус Касперского под нужды конкретного пользователя. Предусмотрена также единая настройка всех компонентов защиты.
Вы можете работать с Антивирусом Касперского посредством командной строки. При этом предусмотрена возможность выполнения следующих операций:
· запуск, остановка, приостановка и возобновление работы компонентов приложения;
· запуск, остановка, приостановка и возобновления выполнения задач проверки на вирусы;
· получение информации о текущем статусе компонентов и задач и их статистики;
· проверка выбранных объектов;
· обновление баз и модулей приложения;
· вызов справки по синтаксису командной строки;
· вызов справки по синтаксису команды.
Синтаксис командной строки:
avp.com <команда> [параметры]
В качестве <команд> используются:
ACTIVATE | активация приложения через интернет с помощью кода активации |
ADDKEY | активация приложения с помощью файла ключа (выполнение команды возможно только с вводом пароля, заданного через интерфейс приложения) |
START | запуск компонента или задачи |
PAUSE | приостановка работы компонента или задачи (выполнение команды возможно только с вводом пароля, заданного через интерфейс приложения) |
RESUME | возобновление работы компонента или задачи |
STOP | остановка работы компонента или задачи (выполнение команды возможно только с вводом пароля, заданного через интерфейс приложения) |
STATUS | вывод на экран текущего статуса компонента или задачи |
STATISTICS | вывод на экран статистики по работе компонента или задачи |
HELP | помощь по синтаксису команды, вывод списка команд |
SCAN | проверка объектов на присутствие вирусов |
UPDATE | запуск обновления приложения |
ROLLBACK | откат последнего произведенного обновления приложения (выполнение команды возможно только с вводом пароля, заданного через интерфейс приложения) |
EXIT | завершение работы с приложением (выполнение команды возможно только с вводом пароля, заданного через интерфейс приложения) |
IMPORT | импорт параметров защиты Антивируса Касперского (выполнение команды возможно только с вводом пароля, заданного через интерфейс приложения) |
EXPORT | экспорт параметров защиты Антивируса Касперского |
Защита Антивируса Касперского строится исходя из источников угроз, то есть на каждый источник предусмотрен отдельный компонент программы, обеспечивающий его контроль и необходимые мероприятия по предотвращению вредоносного воздействия этого источника на данные пользователя. Такое построение системы защиты позволяет гибко настраивать приложение под нужны конкретного пользователя или предприятия в целом.
Антивирус Касперского включает:
- Компоненты постоянной защиты, обеспечивающие защиту вашего компьютера на всех каналах поступления и передачи информации.
- Задачи поиска вирусов, посредством которых выполняется поиск вирусов в отдельных файлах, каталогах, дисках или областях, либо полная проверка компьютера.
- Обновление, обеспечивающее актуальность внутренних модулей приложения, а также баз, использующихся для поиска вредоносных программ.
- Сервисные функции, обеспечивающие информационную поддержку в работе с приложением и позволяющие расширить его функциональность.
В состав Антивируса Касперского включен специальный компонент, обеспечивающий защиту файловой системы вашего компьютера от заражения, - Файловый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые файлы.
Индикатором работы компонента является значок Антивируса Касперского в области уведомлений панели задач Microsoft Windows, который принимает вид каждый раз при проверке файла.
По умолчанию Файловый Антивирус проверяет только новые или измененные файлы, то есть файлы, которые добавились или изменились со времени последнего обращения к ним. Процесс проверки файла выполняется по следующему алгоритму:
1. Обращение пользователя или некоторой программы к каждому файлу перехватывается компонентом.
2. Файловый Антивирус проверяет наличие информации о перехваченном файле в базе iChecker™ и iSwift™. На основании полученной информации принимается решение о необходимости проверки файла.
Процесс проверки включает следующие этапы:
1. Файл анализируется на присутствие вирусов. Распознавание вредоносных объектов происходит на основании баз приложения. Базы содержат описание всех известных на настоящий момент вредоносных программ, угроз, сетевых атак и способов их обезвреживания.
2. В результате анализа возможны следующие варианты поведения приложения:
a. Если в файле обнаружен вредоносный код, Файловый Антивирус блокирует файл и пытается его лечить. В результате успешного лечения файл становится доступным для работы, если же лечение произвести не удалось, файл удаляется. При выполнении лечения файла или его удалении копия файла помещается в резервное хранилище.
b. Если в файле обнаружен код, похожий на вредоносный, но стопроцентной гарантии этого нет, файл помещается в специальное хранилище- карантин. Позже можно попытаться вылечить его с обновленными базами.
c. Если в файле не обнаружено вредоносного кода, он сразу же становится доступным для работы.
3. Порядок выполнения работы
Задание1.1. Ознакомьтесь с энциклопедией компьютерных вирусов на сайте лаборатории Касперского в Интернете по адресу http:// www.viruslist.com/viruslist.asp,для чего, загрузив web-обозреватель и указав адрес энциклопедии, изучите разделы; Что такое компьютерный вирус, классификация компьютерных вирусов. Просмотрите описание одного из самых популярных вирусов недели на сайте лаборатории Касперского. В разделе «Методы обнаружения и удаления компьютерных вирусов» изучите тему Методика использования антивирусных программ.
2. Запустите Антивирус Касперского 7.0 изучите главное окно программы.
Рис.5.1. Главное окно Антивирус Касперского 7.0
3.Одной из важных составляющих обеспечения антивирусной защиты компьютера является поиск вирусов в указанных пользователем областях. Антивирус Касперского 7.0 позволяет проверять на присутствие вирусов как отдельные объекты (файлы, папки, диски, сменные устройства), так и весь компьютер в целом. Проверка на вирусы позволяет исключить возможность распространения вредоносного кода, не обнаруженного компонентами постоянной защиты по тем или иным причинам.
В состав Антивируса Касперского 7.0 по умолчанию включены следующие задачи поиска вирусов:
Критические области
Проверка на присутствие вирусов всех критических областей компьютера. К ним относятся: системная память, объекты, исполняемые при старте системы, загрузочные сектора дисков, системные каталоги Windows и system32. Цель задачи - быстрое обнаружение в системе активных вирусов, без запуска полной проверки компьютера.
Мой Компьютер
Поиск вирусов на вашем компьютере с тщательной проверкой всех подключенных дисков, памяти, файлов.
Объекты автозапуска
Проверка на присутствие вирусов объектов, загрузка которых осуществляется при старте операционной системы.
Поиск руткитов (rootkit)
Поиск на компьютере руткитов, обеспечивающих сокрытие вредоносных программ в операционной системе. Данные утилиты внедряются в систему, маскируя свое присутствие, а также наличие в системе процессов, каталогов, ключей реестра любых вредоносных программ, описанных в конфигурации руткита.
По умолчанию данные задачи выполняются с рекомендуемыми параметрами. Вы можете изменять эти параметры, а также устанавливать расписание запуска задач.
Также предусмотрена возможность создавать собственные задачи поиска вирусов и формировать расписание их запуска. Например, можно создать задачу проверки почтовых ящиков раз в неделю или задачу поиска вирусов в каталоге Мои документы.
Кроме того, вы можете проверить на вирусы любой объект (например, один из жестких дисков, на котором находятся программы и игры, почтовые базы, принесенные с работы, пришедший по почте архив и т.п.), не создавая для этого специальной задачи проверки. Выбрать объект для проверки можно из интерфейса Антивируса Касперского 7.0 или стандартными средствами операционной системы Microsoft Windows (например, в окне программы Проводник или на Рабочем столе и т.д.).
Полный список задач поиска вирусов, сформированных для вашего компьютера, можно просмотреть в разделе Поиск вирусов в левой части главного окна приложения.
Вы можете создать диск аварийного восстановления, который предназначен для восстановления системы после вирусной атаки, в результате которой повреждены системные файлы операционной системы и невозможна ее первоначальная загрузка. Для этого воспользуйтесь ссылкой Создать диск аварийного восстановления.
4.Для проверки работоспособности Файлового Антивируса;
1. Разрешите запись в отчет всех событий, для того чтобы в файле отчета сохранялись данные о поврежденных объектах или объектах, не проверенных в результате сбоя. Для этого установите флажок «Записывать» некритические события в разделе «Отчеты» и файлы данных окна настройки приложения.
2. Создайте папку на диске, скопируйте в нее тестовый «вирус», загруженный с официального сайта организации, а также созданные вами модификации тестового «вируса».
Файловый Антивирус перехватит обращение к файлу, проверит его и уведомит вас об обнаружении опасного объекта:
Выбирая различные варианты действий над обнаруженным объектом, вы сможете проверить реакцию Файлового Антивируса при обнаружении объектов различных типов.
Полный результат работы Файлового Антивируса можно посмотреть в отчете по работе компонента.
5.Для проверки задачи Поиска вирусов;
1. Создайте папку на диске, скопируйте в нее тестовый «вирус», загруженный с официального сайта организации, а также созданные вами модификации тестового «вируса».
2. Создайте новую задачу поиска вирусов и в качестве объекта проверки выберите папку, содержащую набор тестовых «вирусов».
3. Разрешите запись в отчет всех событий, для того чтобы в файле отчета сохранялись данные о поврежденных объектах или объектах, не проверенных в результате сбоя. Для этого установите флажок «Записывать» некритические события в разделе «Отчеты» и файлы данных окна настройки приложения.
4. Запустите задачу поиска вирусов на выполнение.
При проверке, по мере обнаружения подозрительных или зараженных объектов, на экран будут выведены уведомления с информацией об объекте и запросом дальнейшего действия у пользователя:
Таким образом, выбирая различные варианты действий, вы сможете проверить реакцию Антивируса Касперского при обнаружении объектов различных типов.
Полный результат выполнения задачи поиска вирусов можно посмотреть в отчете по работе компонента.
7.Для ознакомления с возможностями программы и управлением ею выберите в меню Справкакоманду Содержание.В окне Справочная система: Kaspersky Anti-Virus Scanner изучите раздел Работа с антивирусным сканером,темы Интерфейс программы, Настройка параметров сканирования, Поиск и удаление вирусов, Запуск программы обновления антивирусных баз.После изучения справочной информации закройте окно справки.
8.Для просмотра сведений о вирусах в Интерактивной вирусной энциклопедии щелкните на задаче View Online Virus Encyclopedia. После этого откроется web-страница онлайн-энциклопедии вирусов на сайте компания Symantec (http://securityresponse.Symantec.com/avcenter/virfodb.html?prodid = nav2007). На этой странице можно просмотреть, чем заражен тот или иной файл и как удалить этот вирус.
9.Для просмотра протокола работы программы щелкните на задаче View Activity log. После этого откроется протокол работы программы по трем параметрам - обнаруженные вирусные угрозы, сканирование и ошибки.
Задание 2.Изучить дополнительные возможности программы Norton AntiVirus по защите данных (восстановление ошибочно удаленных файлов и гарантированного удаления файлов и папок).
Для защиты данных Norton AntiVirus имеет UnEraze Wizard (мастер восстановления ошибочно уничтоженных файлов) и Wipe Info (инструмент для гарантированного удаления файлов). Вызвав мастера UnEraze Wizard, достаточно указать имя (или часть) файла, его расширение и место расположения на дисках компьютера. После поиска UnEraze Wizard покажет все найденные по предложенным критериям файлы и предложит выбрать, какой из них подлежит восстановлению.
Если вам часто приходится удалять файлы, и хочется иметь гарантию невозможности их восстановления, то поможет инструмент Wipe Info. Но рекомендуется в настройках Wipe Info установить защиту от удаления системных файлов, чтобы после необдуманного действия не столкнуться с отказом операционной системы от загрузки.
1. Для восстановления ошибочно уничтоженных файлов щелкните в главном окне на «кнопке Advanced Tools». Затем в окне Advanced Tools выберите вариант UnErase Wizard и щелкните на кнопке «Start Tool». На следующем шаге мастера восстановления выберите вариант поиска удаленных файлов, включите флаг Find Norton Protected Users files(Поиск всех защищенных файлов) и щелкните на кнопке «Далее». После этого будет выполнен поиск выбранной вами категории файлов. На следующем шаге мастера восстановления, указав восстанавливаемые файлы, щелкните на кнопке «Recover» (Восстановить). Щелчком на кнопке «Далее» перейти к сообщению о результатах восстановления. Просмотрев сообщение и щелкнув на кнопке «Готово», завершите работу мастера восстановления.
2. Для гарантированного удаления файлов выберите в окне Advanced Tools вариант Wipe Info и щелкните на кнопке «Start Tool». На следующем шаге мастера удаления перетащите в окно Wipe Info файлы и папки, которые требуется гарантированно удалить. После этого щелкните на кнопке «Wipe All» (Удалить все).
Задание к работе
1.Используя пакет программ, демонстрирующих действие вирусов, изучите действие вирусов различного типа. Поочередно запуская программы из пакета демонстрационных программ, изучите проявление вирусного заражения. По окончании наблюдения перезагрузить компьютер.
2.Запустите программу DrWeb и выполните проверку оперативной памяти компьютера на наличие вирусов. Выполните тестирование дисков А; и С: на наличие вирусов. Если на дисках будут обнаружены вирусы, выполните лечение зараженных файлов.
3.Загрузите из Интернета и установите на компьютере ознакомительную версию ADinf32. Задайте расписание работы ADinf, чтобы ее активизация осуществлялась еженедельно по субботам с 18.00.
4.Загрузите из Интернета и установите на компьютере ознакомительную версию антивируса Kaspersky Anti-Virus. Создайте новую задачу сканирования дисков компьютера на вирусы.
5.Загрузите из Интернета и установите на компьютере ознакомительную версию антивируса Norton AntiVirus. Выполните обновление антивирусной базы и проверьте компьютер на наличие вирусов.
6.Посетите web-страницу http://www.sarc.eom//avcenter/vinfodb. html онлайн-экспедиции вирусов на сайте компания Symantec. На этой странице можно просмотреть, чем заражен тот или иной файл и как удалить этот вирус.
5. Вопросы для самопроверки
1.Что такое компьютерный вирус? Какими свойствами обладают компьютерные вирусы?
2.По каким признакам классифицируют компьютерные вирусы? Перечислите типы вирусов.
3.Какие вирусы называются резидентными и в чем особенность таких вирусов?
4.Каковы отличия вирусов-репликаторов, стелс - вирусов, мутантов и «троянских» программ?
5.Опишите схему функционирования загрузочного вируса.
6.Опишите схему функционирования файлового вируса.
7.Опишите схему функционирования загрузочно-файловых вирусов.
8.Что такое полиморфный вирус? Почему этот тип вирусов считается наиболее опасным?
9.Каковы причины появления компьютерных вирусов. Приведите примеры широко известных вирусов.
10.Существует ли в мире и в РФ уголовная ответственность за создание и распространение компьютерных вирусов?
11.Каковы пути проникновения вирусов в компьютер и признаки заражения компьютера вирусом?
12.Каковы способы обнаружения вирусов и антивирусной профилактики?
13.Перечислите основные меры по защите от компьютерных вирусов.
14.Опишите назначение антивирусных программ различных типов.
15. Назовите примеры современных антивирусных программ и опишите их особенности.
Рекомендуемая литература
1. Козлов Д.А., Парандовский А.А., Парандовский А.К.Энциклопедия компьютерных вирусов. - М.:СОЛОН-Р, 2001. - 461 с.
В энциклопедии собрана исчерпывающая информация по проблеме компьютерных вирусов, от создания до обнаружения и уничтожения. Приведены примеры написания и уничтожения СОМ-,ЕХЕ-,Boot-, Internet- и макровирусов, как нерезидентных, так резидентных и полиморфных. Основное преимущество данной книги в ее практическом применении.
2.http://www.avp.ru- сервер антивирусной лаборатории Евгения Касперског 6.0, на котором имеется возможность бесплатно и быстро проверить файлы на наличие вирусного кода. В разделе «Триальные версии» вы можете познакомиться с антивирусными продуктами Лаборатории Касперского перед приобретением.
3.http://www.viruslist.com/virusHst.asp- раздел сервера антивирусной лаборатории Евгения Касперского, содержащий огромное число описаний вирусов и демонстраций вызываемых вирусами эффектов, классификацию вирусов, общие методы обнаружения и удаления компьютерных вирусов.
4.http://www.dials.ru- сервер антивирусной лаборатории «Лаборатория Данилова» и «ДиалогНаука». На данном сервере вы можете:найти информацию о программах сканер Doctor Web; резидентный сторож SpIDer Guard; ревизор дисков ADinf и универсальный лекарь ADinf Cure Module, выполнить через Интернет бесплатно удаленную проверку ваших файлов на наличие вирусов с помощью последней версии антивирусного сканера Doctor Web, а также получить некоммерческие версии антивирусных продуктов, дополнения для программы Doctor Web и документацию.
5.http://www.adinf.ru- WEB-сайт разработчиков антивируса ADinf.
6.http://www.symantec.ru- Российское Интернет-представительство компании Symantec, производящей антивирусный пакет Norton Anti Virus.