Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdfС все файлы |
.386 |
|
Выбранныетипы |
|
|
(*Задаю<ыемаски |
'.AR? |
|
|
*.ASP |
|
|
*.ВАТ |
|
|
*.BIN |
|
|
".BMP |
|
|
*.ВОО |
|
|
* BZ2 |
Удалить |
|
*.САВ |
тI Базовый |
|
* СНМ |
I* Файлыв архивах Р Почтовые файлы
OK j Отнена |
j Применить | Справка |
Рис. 4.12. Вкладка настройки Типы |
файлов |
ответственно входят в список, задаваемый в правой части вкладки.
На этой вкладке задается также режим проверки файловых архивов и почтовых файлов (по умолчанию файловые архивы и почтовые ящики проверяются).
В к л а д к а Д е й с т в и я . На этой вкладке (рис. 4.13) задает ся реакция программы на обнаружение зараженных или подоз рительных файлов, вредоносных программ, а также инфициро ванных архивов.
Реакция задается отдельно для объектов, зараженных извест ным и (предположительно) излечимым вирусом, для зараженных неизлечимым вирусом и для предположительно зараженных (по дозрительных), а также для отдельных видов вредоносных про грамм и отдельных типов архивов.
По умолчанию Dr.Web для рабочих станций лишь информи рует пользователя в случае обнаружения известного вируса или при подозрении на зараженность объекта вирусом. При этом сведения обо всех зараженных и подозрительных объектах выво дятся в поле отчета, в котором можно в дальнейшем предписать программе необходимые действия вручную (см. рис. 4.10).
Dr.Web для серверов Windows в случае обнаружения извест ного вируса или при подозрении на зараженность объекта виру сом по умолчанию предпринимает автоматические действия по
Настройки Dr.Web(R) С канер |
|
|
М |
||
Проверка | Типы файлов |
Действия I отчет ] Обнсюление j Общие | |
|
|||
Объекты |
|
d |
Вредоносные программы (Malware) |
|
|
Инфицировдоые |
|вылечить |
[переместить |
d |
||
|
|
||||
Неизлечимые |
(удалить |
d |
[переместить |
d |
|
|
|
||||
Подозрительные |
jИнформировать |
d |
[переместить |
d |
|
*Инфицироважые пакеты ~~~ ---------- - |
|
|
|||
d |
[переместить |
d |
|||
Архивы |
jИнформировать |
||||
|
|||||
Почтовые файлы |
jИнформировать |
d |
|
3 |
|
Контейнеры |
[информировать |
d |
|
|
|
Переименовать расширение і |
|
Путь для п ер ем етен а jinfected.!!! |
|
Г" Запрос подтверждения |
Дополнительно ] |
ОК J |
QTweHa j Применить j Справка |
Рис. 4.13. Вкладка настройки Действия
предотвращению вирусной угрозы, однако могут быть указаны и Другие реакции, а именно — Вылечить, Удалить, Переимено вать, Переместить (в каталог карантина, по умолчанию подка талог infected. ! ! в каталоге установки программы), Игнори ровать (допускается только для вредоносных программ).
При обнаружении инфицированного объекта в архиве при меняется реакция, заданная для архивов. Предписанное дейст вие выполняется для всего архива целиком, а не только для ин фицированного объекта.
В к л а д к а О т ч е т задает режим ведения файла отчета (рис. 4.14). По умолчанию установлен флажок Вести файл от
чета.
Можно настроить наименование и расположение файла от чета, кодировку текста, режим открытия (добавлять ли записи в конец файла отчета или перезаписывать его в начале каждого се анса), а также степень детальности отчета. Также можно указать, следует ли ограничить максимальный размер отчета и настроить этот размер. При необходимости отчет может быть распечатан или просмотрен текстовым редактором.
На рис. 4.15 приведен пример фрагмента текстового файла отчета, содержащего статистику проверки (всего проверено более 827 тыс. объектов и объем файла составляет свыше 150 Мбайт — см. число справа вверху экрана).
и м
П роверка I Тигы файле© | Действия Отчет |
| обновление \ Общие | |
||||
W Вести файл отчета |
|
|
|
||
I %USERPROFILE%\DQCtorWeb\drweb3 2 w .log |
|
|
|||
Режим открытия отчета |
|
Кодировка |
|||
|
Добавлять |
|
<* |
ANSI |
|
С |
Перезаписывать |
|
<" |
OEM |
|
Предельный размер файла отчета |
Детали |
||||
w |
Предельньй размер: |
I 512 |
Р |
Проверяемые объекты |
|
Р |
1/Ыена упаковщиков |
||||
|
|
|
|||
|
|
|
F? 1/&іена архиваторов |
||
|
|
|
!У |
Статистика |
|
Рис. 4.14. Вкладка настройки О тчет
і а ѵ м с іи к а про ве р ки |
|
|||
Объектов |
п р о в е р е н о : |
827339 |
||
:Инон£лнро»анных: I |
|
|
||
Инвицмройвнных под«<рикАциями : О |
||||
П о д о зр и те л ь ны х : Ѳ |
|
|
||
Рея.ла иных прогрет»: Ѳ |
||||
П р о г р й к м |
д о з & о н а |
г |
{if |
|
Программшуток : Q |
|
|
||
П о те н ц и а л ь н о опасны х |
п р о гр а м м : L |
|||
Программ в?лома: Ш |
|
|||
Исцелено: |
О |
|
|
|
У далено: |
0 |
|
|
|
Пе ремпе но« ано : й |
|
|
|
|
.П ерем енено: О |
Ш |
|
|
|
Проигнорировано: |
1.46 Kh/s |
|||
Скорость |
проверки: |
|||
Время проверки: |
06:58:52 |
|||
Рис. 4.15. Фрагмент файла отчета
м
Справка
Рассмотрим далее элементы настроек прочих компонент сис темы Dr.Web для Windows.
Настройки SpIDer Guard. Рассмотрим одну из вкладок — Действия, которая задает реакцию программы на обнаружение зараженных или подозрительных файлов, вредоносных про грамм, а также инфицированных архивов (рис. 4.16).
Все виды объектов представлены в иерархическом списке в левой части окна. При выборе объекта из списка в правой части окна отображается реакция программы по умолчанию на его об наружение. Указывается действие, предписанное текущими на стройками, а также последовательность действий в случае неуда чи предыдущего.
Настроики SpIDer Guard |
J | X | |
OQ Проверка I Q Типыфайлов О |
Действия j g j Отчет j CJi Исключения | |
Предполагаемые д ей ства над обнаруженными объектами |
|
Типы обнаруженных объектов: |
Как поведёт себя SpIDer Guard, |
ЭЕЙЗШГ |
обнаружив “Все объекты": |
|
|
З ар аж ё нны е о б ъ е кт ы
По д о зр и те л ь н ы е о б ъ е кт ы
Со ста в ны е о б ъ е кт ы
В ре дон осны е программ ы
Для разных типов объектов задакм различные действия.
|
|
|
|
Первис деа%-івие. |
|
|
|
|
|
|
|
|
|
" |
3 |
По умолчанию | |
|
[-Что делать, если действие не удалось - |
|
|
|
|
|
|||
‘ Лечение: |
[информировать J*] |
|
Перетеноеание: [удалить |
" т | |
||||
Карантин: |
[ п е р е и м е н о в а т ь У д а л е н и е : |
(запретить доступ |
||||||
Папка для карантина: |
_________________________________ Маска переименованы: |
|||||||
j infected.!!! |
|
|
|
|
|
j#?? |
|
|
|
|
j |
OK |
j |
Отмена | |
|
| |
Сгравка |
Рис. 4.16. Вкладка Действия SpIDer Guard
При обнаружении зараженного или подозрительного объекта сторож в пакете Dr.Web для рабочих станций по умолчанию лишь информирует пользователя. При этом сторож порождает окно с запросом пользователю, в которое могут быть введены указания программе.
При обнаружении объектов, содержащих программы-шутки, потенциально опасные программы и программы взлома, по умолчанию предусмотрено игнорирование.
При обнаружении объектов, содержащих рекламные про граммы и программы дозвона, для сторожа в пакете Dr.Web для серверов Windows по умолчанию предусмотрено перемещение, для сторожа в пакете Dr.Web для рабочих станций — информи рование пользователя.
Для изменения настроек первого действия следует указать в раскрывающемся списке Первое действие первичную реакцию программы. В зависимости от выбранного типа объекта в списке могут быть доступны следующие действия:
• Переименовать — изменить расширение имени заражен ного или подозрительного объекта в соответствии с маской, задаваемой в поле Маска переименования (по умолчанию #??, т. е. заменить первый символ расширения на #);
• Удалить — предписывает удалить зараженный или подозри тельный объект (для загрузочных секторов никаких дейст вий производиться не будет). По умолчанию программа не проверяет и не позволяет удалять файловые архивы. Если проверка файловых архивов включена (включение этой проверки значительно увеличит нагрузку на компьютер), то можно разрешить выбор действия Удалить для архива. Для файлов внутри архивов никакие действия невозможны и при выборе этого действия архив будет удален целиком;
• Запретить доступ — предписывает запретить доступ к файлу, проверка которого вызвала реакцию сторожа. Бло кировка доступа к файлу снимается после перезагрузки компьютера, а также при временном отключении монито ринга.
Опции Вылечить, Переместить, Информировать, Игнори ровать аналогичны рассмотренным выше. В области Что де лать, если действие не удалось, задаются те действия, кото рые выполняются в случае неудачного срабатывания основных действий.
Настройка SpIDer Mail Здесь также имеется вкладка Дейст вия, на которой задаются реакции программы на обнаружение зараженных или подозрительных файлов в электронной почте (рис. 4.17):
•'Удалять - почтовый сторож не передает письмо почтово му клиенту, вместо удаленного письма передается сообще ние о совершенной операции;
Проверка Действия | Ядро | Отчет )Пережат jИсключаемые приложения | |
|
||
Инфицированные письма |
(удалять |
d |
|
Пойвзриге/ъные письма |
j В карантин |
jd |
|
|
|
||
Непроверенные письма |
^Пропускать |
d |
\ |
Удалять модифицированные письма на сервере! |
& |
||
Вставка заголовка Х -AntiVkus' в сообщения |
w |
\ |
|
- Папкадля карантина |
jInfected.!!! |
|
\ |
|
|
|
|
I |
ОК. |
j |
Отмена j |
Справка |
•в карантин — письмо помещается в каталог карантина, также не передается почтовой программе, которой только сообщается о совершенной операции;
•Пропускать — передавать почтовой программе как обычно. Для исходящих писем любая настройка, кроме Пропускать,
приводит к отказу в передаче письма на SMTP-сервер. Флажок
Удалять модифицированые письма на сервере ПО умолчанию установлен. В этом случае входящие письма, для которых была применена реакция Удалять или в карантин, удаляются с РОРЗ/ІМАР4-сервера независимо от настроек почтовой про граммы.
4.3. Антивирус-ревизор диска ADinf
Основной особенностью программы является то, что, кроме борьбы с вирусами ADinf32 следит за целостно стью и сохранностью информации на жестком диске, позволяя выявить все происходящие в ней изменения. Такая возможность особенно полезна на компьюте
рах, на которых работают несколько пользователей. Одной из наиболее важных функций ADinf32 является поиск активных с т е л с - в и р у с о в .
Обнаруженные изменения анализируются и, если обнаруже ны подозрительные изменения, похожие на проявления вируса, выдается предупреждение. Изменения отображаются в окне про смотра результатов. Если обрабатываются несколько дисков, то результаты отображаются и могут анализироваться по мере го товности, поскольку сканирование дисков происходит в асин хронном фоновом режиме. Порядок обработки дисков выбира ется так, чтобы можно было начать анализировать информацию об изменениях за минимальное время.
Методы работы программы ADinf32 основаны на сохранении в специальной базе (таблицах) основных данных о каждом логи ческом диске в системе. Когда вирус заражает компьютер, он из меняет объект, в который внедряется, — исполняемый файл, главный загрузочный сектор или загрузочный сектор. Ревизор ADinf32 позволяет периодически проверять целостность всех объектов, в которые может внедриться вирус. Если при этом бу дут обнаружены изменения, значит, возможно, что в компьюте
ре появился вирус, более того, этот метод позволяет ревизору ADinf32 находить новые вирусы, неизвестные ранее. При обна ружении на диске изменений, характерных для действий вируса, ревизор ADinf32 предупреждает об этом пользователя.
Важным отличием ADin02 от других существующих про грамм-ревизоров является использование ф и з и ч е с к о г о д о с т у п а к накопителям на жестких дисках (непосредственно к секторам без использования функций операционной/файловой системы). Такой метод доступа к НЖМД позволяет обнаружи вать стелс-вирусы. ADin02 проверяет размер и другие атрибуты и характеристики исполняемых файлов двумя методами — поль зуясь для доступа к диску функциями операционной системы и чтением диска по секторам. В случае если в информации, полу ченной об одном и том же файле, обнаруживаются расхождения, значит, скорее всего, он заражен вирусом, и этот вирус в данный момент времени находится в оперативной памяти.
Перед инсталляцией и первым запуском ревизора рекомен дуется с помощью имеющихся сканеров, например, Dr.Web или Nod32, осуществить тщательный поиск и обезвреживание виру сов в оперативной памяти и на всех логических дисках компью тера. Кроме того, нужно не забыть проанализировать файлы конфигурирования и настройки на предмет отсутствия вызовов несанкционированных программ. При обнаружении такие вызо вы следует удалить, а также установить и устранить причину их появления.
При первом запуске ревизора формируются следующие эта лонные характеристики компьютерной системы:
•объем занимаемой оперативной памяти;
•адрес обработчика прерывания I3h, используемого опера ционной системой и программами для низкоуровневого доступа к дискам;
•код внесистемного загрузчика, таблица разделов и вторич ные загрузочные записи жестких дисков;
•количество и адреса расположения сбойных кластеров ло гических дисков;
•структура системных областей логических дисков каждого винчестера;
•контрольные суммы содержимого файлов с программами, а также их системные характеристики: путь, дйта и время создания, длина, значения атрибутов, адреса физического расположения.
При следующих запусках Adinf выполняет проверки на соот ветствие эталонным характеристикам, обнаруженные изменения анализируются и если они безобидны, например, изменения даты и времени создания, то Adinf помещает информацию об изменениях в список, который можно просмотреть и принять. Если же происходят подозрительные изменения, то ревизор пре дупреждает об этом пользователя.
Кподозрительным изменениям относятся следующие:
•изменение объема доступной оперативной памяти или ад реса обработчика прерывания 13h;
•изменения в системных областях жестких дисков;
•появление новых сбойных кластеров;
•изменение контрольных сумм заданных файлов;
•изменение длины файлов без изменения даты и времени модификации;
•изменение файлов с появлением странных даты и времени модификации, например, 35 марта.
Новые сбойные кластеры на винчестере могут появиться по сле использования таких утилит проверки и восстановления дис ковой памяти, как NDD, ScanDisk и др., которые могли сами пометить неустойчивые или дефектные кластеры как сбойные.
При обнаружении изменений в загрузочных записях жестких дисков Adinf автоматически восстанавливает их исходное содер жимое по эталонной информации с выдачей сообщения пользо вателю.
При обнаружении этих и других изменений следует уста новить их причину. Наиболее вероятной причиной изменения загрузчиков и программных файлов является заражение ком пьютерным вирусом. Следует также учитывать, что некоторые программы могут сами изменять файлы своего хранения, мо дифицируя в них какие-либо параметры настройки.
В любом случае при обнаружении изменений загрузчиков и программных файлов необходимо приступить к поиску и обез вреживанию вирусов, для этого можно использовать любые транзитные сканеры, например, Dr.Web и Nod32, или восполь зоваться функциями программы-сканера ADinf Cure Module.
Главное окно. Управление программой осуществляется с по мощью кнопок на главном окне или с помощью контекстных меню, вызываемых по нажатию правой кнопки мыши. Главное окно может находиться в четырех состояниях. Вид и назначение
управляющих элементов (кнопок) в этих состояниях могут изме няться:
• исходное состояние программы/построение таблиц (рис. 4.18);
•состояние сканирования (рис. 4.19);
•сканирование завершено (рис. 4.20);
•ожидание начала сканирования при автозапуске (в этом режиме программа находится, если установлена задержка начала сканирования при автоматической проверке дисков при загрузке Windows).
Врежиме ожидания главная управляющая кнопка позволяет прервать ожидание и начать сканирование, кнопка Выход позво ляет завершить ADinf32. Также возможно изменить установки сканирования без CRC и режима обновления таблиц. Другие управляющие элементы недоступны. По истечении заданного времени задержки ADinf32 автоматически переходит в режим сканирования. Задержка бывает полезна, чтобы не замедлять за пуск других приложений, стартующих при загрузке Windows.
ADinf32 может работать в режимах:
•построения таблиц (рис. 4.18);
•проверки дисков (рис. 4.19);
•просмотра результатов (рис. 4.21—4.23).
Режим построения таблиц (рис. 4.18) запускается для всех отмеченных в главном окне дисков, для которых не существуют таблицы ADinf32, если нажать кнопку Старт или выбрать пункт
Обработать отмеченные диски в общем контекстном меню.
Drives; |
; іиоочз, ьпи type: M A U W LVS .OOC |
Done 1 erf 2 HSlllfllllliaSIBIIIIII
Calculating fife CRCs. . .
Режим проверки для одного диска, для которого не сущест вуют таблицы ADinf, можно запустить двойным щелчком мыши на этом диске или через контекстное меню диска.
В режиме построения таблиц сначала производится сканиро вание диска, в процессе которого считываются загрузочный сек тор, формируется список сбойных кластеров, проходится дерево каталогов, вычисляются контрольные суммы файлов. Как уже отмечалось, сканирование диска производится без участия опе рационной системы. ADinf32 самостоятельно разбирает структу ру файловых систем, читая диск по секторам. Когда сканирова ние завершено, собранная информация для каждого диска запи сывается в таблицах ADinf32.
Если для диска уже существуют таблицы ADinf32, то для за пуска режима построения таблиц необходимо предварительно удалить существующие таблицы. Удалить таблицы для всех отме ченных дисков можно через общее контекстное меню главного окна. Для одного диска таблицы можно удалить через контекст ное меню диска.
Режим проверки дисков (рис. 4.19) запускается для всех отме ченных в главном окне дисков, для которых существуют табли цы ADinf32, если нажать кнопку Старт или выбрать пункт Об работать отмеченные диски в общем контекстном меню.
Режим проверки для одного диска, для которого существуют таблицы ADinf, можно запустить двойным щелчком мыши на значке этого диска или через контекстное меню диска.
В режиме проверки дисков сначала производится сканирова
ние диска, в процессе которого считываются |
загрузочный сек- |
Advanced Diskinfoscopeш |
і |
Modes - |
|
Mod“ |
|
Table: Sep 08,2008 at 5:48 PM |
; No update} |
УШ!..
|D: ~ |Phy$.devjce jsep 03, 2008 (б:39 PM