Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdfтор, формируется список сбойных кластеров, проходится дерево каталогов, вычисляются контрольные суммы файлов. Как и ра нее, сканирование производится без участия операционной сис темы. ADinf32 самостоятельно разбирает структуру файловых систем, читая диск по секторам.
Когда сканирование завершено, производится сравнение со бранной информации с информацией, сохраненной в таблицах ADinf32. В процессе сравнения анализируются изменения загру зочного сектора, появление новых сбойных кластеров, появле ние новых или удаление каталогов. Также фиксируются новые, удаленные, переименованные, перемещенные из каталога в ка талог и измененные файлы.
Изменения файлов определяются по изменению длины или контрольной суммы (CRC). Исключением являются файлы фор мата OLE2 (документы MS Word .doc и .dot, таблицы Excel
. x ls). Если для таких файлов установлен тип контрольных сумм Макро (см. рис. 4.25), то измененными считаются только те фай лы, в которых поменялись макрокоманды. Обычные изменения файлов, происходящие при ежедневной работе с документами, игнорируются. Таким образом, заражение макровирусами будет немедленно замечено и не потеряется за текущими изменениями документов или таблиц.
Стелс-вирусами называют компьютерные вирусы, в алгорит мах которых заложена возможность маскировать свое присутст вие в зараженном компьютере. Первые вирусы не обладали та кими возможностями и их легко было обнаружить при визуаль ном просмотре исполняемых файлов, загрузочных секторов или главного загрузочного сектора. Применение даже простейших антивирусных средств немедленно останавливало распростране ние таких вирусов.
Появление антивирусных программ привело к новому витку в развитии вирусов. Возникновение стелс-вирусов стало естест венным шагом в таком развитии. Вирусы, использующие прие мы маскировки, нельзя увидеть средствами операционной сис темы.
Если просмотреть зараженный файл средствами операцион ной системы, например, нажав клавишу <F3> в Norton Com mander, то на экране будет показан файл, не содержащий виру са. Это происходит потому, что вирус, активно работающий вме сте с операционной системой, при открытии файла для чтения немедленно удаляет свое тело из зараженного файла, а при за
крытии файла возвращается. Аналогично маскируются и загру зочные вирусы — при попытке прочитать зараженный загрузоч ный сектор они заменяют его оригинальным, незараженным.
Способность к маскировке оказалась слабым местом стелсвирусов, позволяющим легко обнаружить их наличие на компь ютере. Достаточно сравнить информацию о файлах (длину и контрольную сумму), выдаваемую операционной системой с фактической, содержащейся на диске, и несовпадение данных будет означать наличие вируса. Таким образом, способность к маскировке демаскирует эти вирусы. Именно такое сравнение производится в режиме поиска стелс-вирусов.
Сканируя диск, ADinf проверяет загрузочные секторы жест ких дисков, а также сравнивает длины и контрольные суммы файлов, определяемые средствами ОС, с фактическими, полу чаемыми путем непосредственного чтения секторов диска пря мым обращением в BIOS. Если ревизор обнаруживает несовпа дение, то немедленно прекращает сканирование диска, чтобы не распространить вирус по еще не зараженным каталогам, и выда ет сообщение пользователю о заражении стелс-вирусом. В этом случае следует выключить компьютер, спустя 20—30 секунд за грузиться с системной дискеты из состава средств восстановле ния и приступить к восстановлению нормальной работоспособ ности компьютера и обезвреживанию вирусов с помощью тран зитного сканера.
Сообщение ADinf32 о возможности заражения стелс-виру сом может возникнуть не только в результате реального зараже ния, но и в ряде других случаев. Например, поскольку операци онная система кэширует запись на диск, в некоторый момент времени после записи данных в файл информация, физически существующая на диске, может отличаться от той информации, которую сообщает о файле операционная система. Если в этот момент файл будет проверен ADinf32 в режиме поиска стелс-ви русов, то появится сообщение о подозрении на стелс-вирус. К сожалению, программно отличить такую ситуацию от зараже ния реальным стелс-вирусом невозможно.
Просмотр результатов. После завершения проверки (рис. 4.20) могут быть просмотрены итоги, которые отображают ся в окнах просмотра результатов — рис. 4.21. Окна просмотра результатов открываются нажатием кнопки Open results в главном окне программы.
|
A dvanced Diskinfoscope |
|
|
-la l.xj |
||||
|
гм г™ Modes' |
|||||||
|
|
|
Nv Шг, |
|||||
|
|
|
|
|
|
|
No updatej |
|
|
|
|
A ll/tjo ne! |
|
|
|
|
|
|
|
Press "Open results" to view scan results; |
|
|
|
|
||
|
|
Press "Close info" to close all information |
|
|
|
|
||
|
|
ШЯВЕВШВВ!!Ш^'У з ш |
|
Close rtfо |
||||
|
|
|
|
|
|
|
||
|
|
Ooj>ouvwsh to update diskinfotables? |
|
|
|
|
|
|
Г |
Skip this dialogand update tobies without confernation. |
|
J |
(бі47 PM |
|
|||
Update |
Do not update |
Cencel |
Help |
|
|
|
|
|
|
|
Рис. 4.20. Экран завершения проверки |
|
|
||||
U S M l |
|
|
|
|
|
|
|
|
* |
* |
__ 3 ------ |
f i €i |
j? |
|
* |
Й |
B: |
2- |
s~ |
|
- 7- ~ 8 |
9 " |
||||
Mdarsшгйаіпіпдchangedfiles are mark |
|
|||||||
^Desktop |
|
Processed computers 1, drives 2, folders11$ 2 , |
fles 169724 |
|
||||
My Computer |
|
|
||||||
|
|
|
|
|
|
|
|
|
Hard drive C: Table: Sep |
|
|
|
|
|
|
||
♦ if* Root directory |
Master Boot Records; |
No charges |
|
|
||||
E-О Hard drive D: Table: 5ep |
|
|
||||||
Boot Records; |
Nochanges |
|
|
|||||
Root directory |
|
|
||||||
|
|
|
New bad clusters: |
None |
|
|
|
|
|
|
|
Newfolders: |
135 |
|
|
|
|
|
|
|
Deletedfolders: |
51 |
|
|
|
Show |
|
|
|
Changed files: |
None |
|
|
|
|
|
|
|
Newies: |
13Л |
|
|
|
Show |
|
|
|
Deleted 8es: |
847 |
|
|
|
Show |
|
|
lL |
Movedfiles: |
12 |
|
|
|
Show |
iDesktc© |
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
|
|
Processed? computers: I, drives: 2,folders: 11962, fifes: 169724. |
|
|
|
Help |
j dose |
|||
Panged? folders: Ж,files: 2230 |
|
|
|
|
||||
|
|
|
|
|
A |
|||
PressFt for help |
|
|
|
|
|
|
|
Рис. 4.21. Окно просмотра результатов и кнопки управления просмотром:
/ — кнопки перемещения вперед-назад между состояниями просмотра результа тов; 2 — переход в дереве к следующему или предыдущему каталогу с измене ниями; 3 — переключение режима левого окна; 4 — переключение режима пра
вого окна; 5 — кнопки выбора состава файлов, отображаемых |
в правом окне; |
6 — включение в список только файлов с подозрительными |
изменениями; |
7 — запуск сканера для проверки файлов, выделенных в правом окне, или ката логов, выделенных в левом окне; 8 — открытие еще одного окна просмотра ре зультатов; 9 — перемещение вверх экрана главного окна программы
Одновременно можно открыть произвольное количество окон просмотра результатов, в каждом из которых можно вы брать свой состав отображаемой информации. Все окна синхро низированы между собой и изменения, производимые в одном окне, автоматически отображаются в других окнах, если они за трагивают отображаемую в них информацию. После окончания анализа изменений закрывать все окна просмотра результатов не обязательно. После нажатия кнопки Close info главного окна программы все окна автоматически закроются.
Сканирование дисков осуществляется в асинхронном режи ме и по мере готовности информация в окнах просмотра резуль татов пополняется.
С т р у к т у р а п р е д с т а в л е н и я р е з у л ь т а т о в . Окно просмотра результатов состоит из двух частей. В левом окне ото бражается дерево проверяемых объектов, в правом — информа ция о выбранном в дереве объекте или список файлов в подде реве, начиная с выбранного слева объекта. В верхней части окна расположены кнопки панели инструментов. В нижней части окна расположена информационная панель, в которой выдается полное название и краткая информация о выбранном объекте. Подробную информацию о каждом объекте, о его изменениях и истории можно получить через контекстное меню, раздел Свой
ства.
Левая часть окна просмотра результатов может находиться в двух режимах. В этом поле всегда показано дерево проверенных объектов. В одном режиме среди них отмечены каталоги, содер жащие изменения в файлах, в другом — новые и стертые катало ги. Переключение режимов осуществляется с помощью кнопок на панели инструментов в верхней части окна.
Правая часть окна просмотра результатов также может нахо диться в двух состояниях. В одном режиме в правом окне ото бражается подробная информация о проверенном объекте, в другом — список измененных файлов во всем поддереве ниже выбранного в левом окне объекта.
У п р а в л е н и е п р о с м о т р о м . Управление составом ин формации, отображаемой в окне просмотра результатов, может осуществляться двумя способами. Первый способ заключается в использовании кнопок, расположенных на сводной панели из менений, отображаемой в правом окне в начале просмотра ре зультатов. После нажатия нужной кнопки окно автоматически
конфигурируется для просмотра конкретного набора изменений или открывается еще одно окно просмотра результатов.
Второй способ позволяет настроить желаемый состав про сматриваемой информации в текущем окне просмотра результа тов с помощью кнопок, расположенных на панели инструментов в верхней части окна (рис. 4.21).
На рис. 4.22 и 4.23 приведены примеры экранов просмотра списков перемещенных и новых файлов. Список файлов в пра вом окне может быть отсортирован. Для сортировки списка не обходимо нажать мышью на заголовок соответствующей колон ки (в режиме подробного отображения) или воспользоваться контекстным меню. Сортировка возможна по именам, по типам изменений (в этом случае внутри одного типа файлы сортируют ся по расширениям), по расположению файлов (по каталогам) или по изменению длины.
fokfefs cottoirangdhanged ffes are mark |
[Movedand renamed fBesonly" |
|
||
jgj My Computer |
Fie name |
I Status |
1 Folder |
|
*];spisok_l_k... |
Moved to folder |
|
||
В £ 3 Hard drive C: Table: S |
Бакалавр^.. |
Moved to folder |
|
|
U |
Root directory |
|
||
£ ] Димитриен... |
Moved to folder |
|
||
|
Hard drive D: Table: S |
|
||
|
£ ) Димитриен... |
Moved to folder |
|
|
|
« £ 3 Root directory |
|
||
|
Й листі.сіос |
Moved to folder |
|
|
|
|
|
||
|
|
¢3 cc2001r.pdf |
Moved to folder |
|
|
|
«£] TITLE_activ... Moved to folder |
|
|
|
|
Й TITLE.activ... Moved to folder |
|
|
|
|
«►] plan_active... Moved to folder |
|
|
|
|
♦ j plan_sia.xls |
Moved to folder |
|
|
|
plan_active... Moved to folder |
|
|
|
|
Й plan_active... |
Moved to folder |
|
|
|
[«►spisok_l_k... |
Moved from fol... |
|
|
|
[«►Бакалавр**... Moved from fol... |
|
|
|
|
[■►Димитриен... |
Moved from fol... |
|
:m\ STUDV* STUD 2006\spisok 1 kurs 2006.doc
Rte length: 150.50Kb (154112 byte(s}), date: Oct 12,2006, time: 12:17:02 PM
pose
Movedtofdder, ctoNation:
Рис. 4.22. Просмотр списка перемещенных файлов:
1 — результирующее положение файла; 2 — исходное положение
Профили настроек. ADinf32 позволяет создать множество ва риантов настроек и выбирать необходимый вариант при запуске или менять вариант настроек в процессе работы — рис. 4.24. При этом можно настроить ADin02 для быстрого контроля при загрузке компьютера, создать конфигурацию для ручного еже-
' ADinf32: Scan resufts window
:oktefs containingChangedfdesare mark
IDesktop
’Л My Computer
□щHard drive C: Table: S
г: Root directory
ОHard drive D: Table: S Root directory
<!
iWewfiles only |
|
||
Ffename |
|
||
¥ l |
plan_1309_... |
New file |
|
|
|
plan_mob.xls |
New file |
|
|
продолжен... |
New file |
|
|
plan_l_06.xls |
New file |
ІЁІ plan_l_sem... |
New file |
||
% |
plan_2_10.xls |
New file |
|
|
|
plan_2_00.xls |
New file |
% |
plan_2706_... |
New file |
|
|
|
price.xls |
New file |
|
|
price_2.xls |
New file |
|
|
price_3.xls |
New file |
|
|
ИСиТ очка-... |
New file |
|
|
ИСиТ_выб... |
New file |
% |
|
gost_50922... |
New file |
^ |
|
sealabP.zip |
New file |
IFolder
D 005_plan\m...
D 005_plan\m...
D 005_plan\m...
D 005_plan\m...
D 005_plan\m...
D 005_plan\m...
D ООID4 %£
D 005_plan\PL.. D _____ZI_PC.. D _____ZI_PC.. D _____ZI_PC.. D _FORUM\_.. D __FORUM\_.. D _____ZI_PC.. D ___DISKI_07\
File: |
1D:\ DISKI 07V DISK 07 IS\BD 3UR\DOCSUndex.fites\163 |
twp |
I |
Filelength: 8.53 Kb (8733 byte(s>), date: Oct 10,2002, time: 3:05:12 PM |
|||
Newfile |
|
Рис. 4.23. Просмотр списка новых файлов
и м
Р " Л j Startup I Schedbfej
Setup profileforcompete integritycheck
|
|
.2.1 |
Add... j |
j Properties.. j |
Copy... j |
Useas defaui profle:
Default scan settings |
3 |
|
Г:з е Ы f-icii
P Lc^Ager* atWrdows startup
OK |
Отмена |
Справка |
Рис. 4.24. Окно профилей настроек
дневного контроля, а также конфигурации для еженедельных или ежемесячных проверок.
Профили настроек могут быть двух типов. Первый тип — профиль настроек ADinD2. Второй тип — профиль настроек, со-
вместимый с 16-битовыми версиями ADinf. При передвижении по списку профилей тип профиля показывается картинкой в верхней части окна.
По умолчанию в настройках создаются два профиля — с име
нами Default profile и Default boot-time profile. Они имеют тип профилей ADinf32. Для того чтобы создать новый про филь ADinf32, можно воспользоваться кнопками Сору или Add.
Каждому профилю настроек можно присвоить произвольное имя. Во время работы программы имя текущего профиля пока зывается в заголовке главного окна. Рассмотрим некоторые из типов настроек.
Выбор типов контрольных сумм. В этой диалоговой панели (рис. 4.25) можно установить состав информации, включаемой в таблицы ревизора ADinf32, и типы контрольных сумм для кон троля целостности файлов. Контрольные суммы, поддерживае мые ADinf32, можно условно разделить на две группы. Первая группа включает специализированные контрольные суммы, а вторая — стандартные. Специализированные контрольные сум мы используют знание внутренней структуры файлов и не рас считываются по всему файлу. Такие типы контрольных сумм можно использовать только для обнаружения вирусов и только для определенных типов файлов. Контрольные суммы Fast
ш ш ш
Stable ffes |
j Log I |
Common j |
Anatysit |
| Scanner |
||
Tables |
СЯС types |
j |
Local drives |
j ExcludedMe® |
||
ADrrf32: CRC setfchgs |
|
|
|
|
||
|
|
------------ |
Othefies: —^ |
|||
BAT |
|
Add to list.. |
I |
I* |
Include |
|
|
|
|
|
|
|
|
BIN |
|
|
|
|
|
|
COM |
|
|
|
|
|
|
DLL |
|
Г |
Ho CRC |
|
<♦ |
No CRC |
DO? |
|
|
||||
DRV |
|
& Fast CRC |
j |
Г |
Fast CRC |
|
EXE |
|
|||||
|
С Macro |
|
Г |
Maao |
||
LIB |
|
|
||||
OV? |
|
c m as |
|
г |
crci6 |
|
PGM |
|
|
||||
SYS |
|
г |
CRC32 |
|
с CRC32 |
|
VXD |
|
г |
CRC48 |
|
Г CRC48 |
|
XL? |
|
|
||||
XLW |
Л І |
Г |
IAN64 |
|
С |
LAN64 |
OK |
I |
Отмена ] |
j Справка |
можно использовать для обнаружения вирусов в исполняемых файлах типа .com, .exe, .dll, .vxd. Контрольные суммы Macro предназначены для обнаружения макровирусов в фай- лах-документах .doc, .dot, .xls.
Стандартные контрольные суммы реализуют алгоритмы CRC16 и CRC32, рассчитываемые по всему файлу. Их необходи мо использовать для обнаружения вирусов, поражающих файлы с расширением .bat и для контроля за целостностью файлов, которая может быть нарушена из-за случайных сбоев. Чем выше размерность контрольной суммы, тем лучше надежность обнару жения случайного сбоя. Наибольшую надежность обеспечивают контрольные суммы типа CRC48, реализованные как одновре менный расчет алгоритмов CRC16 и CRC32 по всему файлу.
Использование контрольных сумм LAN64 гарантирует обна ружение не только случайных сбоев, но делает невозможной не заметную преднамеренную модификацию данных злоумышлен ником. Этот тип контрольных сумм предназначен для контроля за сохранностью особо ценных файлов, например баз данных или документов.
Маски неизменяемых файлов (рис. 4.26). В этой диалоговой панели можно определить маски имен файлов, любое изменение которых относитсяштктподозрительным.
ИМ
Tables 1 |
CRC types |
] Local drives, j Excluded Res |
Stable files |
j Log |
j Coramon j Analysis \ Scanner |
|p|| ADinf32: Masks of stabfefiles
All changes n stable filesare treatedas suspicious.
File masks «e to be set'mthe form of a short filename {8+3) and can contain the wildcardcharacters4,1 and '7
COMMAND COM
FAR. EXE
GDI.EXE |
Add mask... |
GDI32.DLL |
|
10.SYS |
Remove mask |
KERNEL32.DLL |
|
KRNL386.EXE |
|
NC'.EXE |
|
USER.EXE |
|
W IN COM |
|
OK |
Отмена |
J |
Справка j |
4.4. ESET Smart Security
ESET Smart Security является представителем интег рированного подхода к компьютерной безопасности для всех категорий пользователей. Современные технологии с применением методов искусственного интеллекта способны превентивно противодейство вать распространению компьютерных вирусов, шпи
онского ПО, «троянских» программ, червей, рекламного ПО, руткитов и других атак из Internet без дополнительной нагрузки на систему и перерывов в работе компьютера.
Модули системы. Решения в области безопасности содержат модули с рядом дополнительных функций. Приведем краткий обзор каждого из этих модулей.
М о д у л ь з а щи ты |
от в и р у с о в |
и |
шпио нс к их п р о |
г р а м м использует ядро |
сканирования |
на |
основе технологии |
ThreatSense, которое обеспечивает следующие возможности:
•у л у ч ш е н н у ю о ч и с т к у — система защиты от вирусов высокотехнологично очищает и удаляет большую часть об наруженных заражений, не требуя участия пользователя;
• ф о н о в ы й р е ж и м с к а н и р о в а н и я , незаметный для системы и пользователя;
• у м е н ь ш е н н ы й р а з м е р ф а й л о в о б н о в л е н и й . Оптимизация ядра позволила сократить размер файлов об новлений. Защита файлов обновлений от повреждений также улучшена;
• з а щ и т у п о п у л я р н ы х п о ч т о в ы х к л и е н т о в . Воз можно сканирование входящей почты не только в MS Outlook, но и в Outlook Express и Windows Mail;
• п р я м о й д о с т у п к ф а й л о в о й с и с т е м е , обеспечи вающий высокую скорость и производительность;
• б л о к и р о в к у доступа к зараженным файлам;
• о п т и м и з а ц и ю |
п о д т р е б о в а н и я W i n d o w s Security |
Center, включая версию для Vista. |
|
П е р с о н а л ь н ы й |
б р а н д м а у э р отслеживает весь трафик |
между защищаемым компьютером и другими компьютерами сети. Персональный брандмауэр ESET содержит следующие рас ширенные функции:
• н и з к о у р о в н е в о е с к а н и р о в а н и е |
т р а ф и к а . |
Об |
мен данными сканируется на уровне Data |
Link Layer, |
что |
позволяет персональному брандмауэру ESET отражать большинство атак, которые могут пройти незамеченными;
• п о д д е р ж к у п р о т о к о л а IPv6. Персональный бранд мауэр ESET способен работать с адресами IPv6 и позволяет пользователям создавать правила для них;
• о т с л е ж и в а н и е и з м е н е н и й в исполняемых файлах производится для предотвращения их заражения. Можно разрешить изменения для отдельных файлов;
• с к а н и р о в а н и е ф а й л о в , передающихся по протоко лам HTTP и POP3. Встроенная проверка трафика по про токолам приложений HTTP и POP3. Используется для за щиты пользователя при работе в Internet;
• с и с т е м у о б н а р у ж е н и я в т о р ж е н и й (СОВ). При меняется для распознавания характера обмена данными и предотвращения различных сетевых атак. Можно запре щать подозрительные соединения;
• и н т е р а к т и в н ы й , а в т о м а т и ч е с к и й р е ж и м ы , а также режим на основе политики. Пользователь может на строить персональный брандмауэр на выполнение дейст вий автоматически или в интерактивном режиме. В режиме на основе политики соединения обрабатываются в соответ ствии с правилами, предопределенными пользователем или
администратором сети; |
|
• з а м е щ е н и е в с т р о е н н о г о |
б р а н д м а у э р а Windows. |
Заменяя брандмауэр Windows, |
модуль взаимодействует с |
центром безопасности Windows, что позволяет пользовате лю знать о текущем уровне защиты системы. Система ESET Smart Security отключает персональный брандмауэр Win dows при установке по умолчанию.
М о д у л ь з а щи ты от н е ж е л а т е л ь н о й п о ч ты по вышает уровень безопасности системы и удобство использова ния обмена данными по электронной почте. Вот его функции:
• о ц е н к а в х о д я щ и х с о о б щ е н и й . Весь объем входя щей почты оценивается по шкале от 0 (сообщение не со держит нежелательных элементов) до 100 (сообщение крайне нежелательно) и в соответствии с оценкой переме щается в папку нежелательных сообщений, созданную по умолчанию или указанную пользователем;
• и с п о л ь з о в а н и е п е р е д о в ы х т е х н о л о г и й с к а н и р о в а н и я — байесовский анализ; сканирование на ос нове правил; проверка по глобальной базе отпечатков, пол