Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdfПроверяется: |
petgstyfc.css |
|
WMJ-J ■-зісі-sl |
|
|
||
Расположение; |
г..\PC-Teeh.rar/PC Technology Glide Gufcte-Mutomedte-Digfcal «tariff. , |
||
„ ІЙІІІІІІЙІІІІІІІІІІІітЙІІІЙІІІІІІПЙІІІІ |
|||
Проверено:: |
566861 |
Запуск: |
14.09.2008 14:36і51 |
Обнаружено: |
14 |
Длительность. 04:10:20 |
|
Необр'аботано; |
0 |
Завершение: |
14.09.200819:5Ѳ:££ |
ШQmmm |
.іііичиіі». wmiihiiiI у . |
.......................... мшіЯу,-+тшттштшштттЛ■тттШшмтт+ттттлА,: |
|
f |
Пауза I стоп I Закрыть 1 |
Рис. 4.41. Информационное окно протокола проверки (закладка О б н а р у ж е н о ) : / — журнал событий; 2 — всплывающие информационные окна событий
данное действие как к одному объекту списка, так и к не скольким выбранным объектам;
•Удалить — удалить опасный объект с компьютера;
•Удалить из списка — удалить запись об обнаружении
объекта из отчета;
• Добавить в доверенную зону — добавить объект как ис ключение из защиты. При этом будет открыто окно с пра вилом исключения для данного объекта;
• Показать файл — открыть MS Explorer на папке, где рас положен данный объект;
• Лечить все — обезвредить все объекты списка. АК попыта ется обработать объекты с использованием баз приложения;
• Очистить — очистить отчет об обнаруженных объектах. При этом все обнаруженные опасные объекты останутся на вашем компьютере;
• Посмотреть на w w w .v iru slist.ru — перейти к описа нию объекта в Вирусной энциклопедии на сайте Лаборато рии Касперского;
• поиск — задать условия поиска объекта в списке по имени или статусу;
• Выделить все — выбрать все объекты списка (для выпол нения групповых действий над объектами);
• Копировать — скопировать строку отчета в буфер. Далее эту информацию можно вставить в текстовый файл или электронное сообщение;
• Сохранить как — сохранить отчет в текстовом формате. Кроме того, можно сортировать информацию, представлен
ную в окне, по возрастанию и убыванию каждого из столбцов. Обработка опасных объектов, обнаруженных в ходе работы АК, выполняется с помощью кнопок Лечить (для одного объекта или группы выбранных объектов) или Лечить все (для обработ ки всех объектов списка). При обработке каждого объекта на эк ран будет выведено уведомление, где вам будет необходимо при нять решение о дальнейших действиях над ним.
Закладка События содержит список всех важных событий в работе компонента защиты или при выполнении задачи поиска вирусов либо обновления баз приложения (рис. 4.42):
• Критические события, указывающие на проблемы в рабо те приложения или на уязвимости в защите вашего компь ютера. Например, Обнаружен вирус, Сбой в работе;
• Важные события, на которые обязательно нужно обратить внимание, поскольку они отображают важные ситуации в работе приложения. Например, Прервано;
• Информационные события справочного характера, как правило, не несущие важной информации. Например, ок,
JOfxt
Проверяется: |
attach |
|
|
|
Расположение: |
D:\ |
ZI РС\ |
OTRAfiftESET infeerface.rtf// |
|
Проверено; |
|
556597 |
Запуск: |
t4.G9.200814:36:51 |
Обнаружено: |
|
И |
Длительность: 04:11:21 |
|
Не обработано: |
|
0 |
Завершение: |
14.09.2003 19:58:05 |
Обнаружено События j Статистика j Параметры j
Имя
14.09.2008 18:32:44 Файл: D:\_____IT\TI\WarezP2P.exe//str,Диплом.гаг/Диплом.doc, обнаружено: ви...
Ф 14.09.200818:32:44 Файл: D:\____ IT\TI\WarezP2P.exe
0 |
14.09.2008 18:40:24 |
Файл: D:\_____ STUDY\PLEX_DIP_04\boldyreva\Диплом... |
обнаружено |
|
$ |
14.09.2008 18:40:24 |
Файл: D:\_____ STUDY\PLEX_DIP_04\boldyreva\flHnnoM... |
вылечен ви... |
|
|
14.09.2008 18:40:24 |
Файл: D:\_____ STUDY\PLEX_DIP_04\boldyreva\Диплом... |
обнаружено |
|
Щ |
14.09.2008 18:40:24 |
Файл: D:\ |
STUDVlPLEX DIP 04\boldyreva\Диплом... |
вылечен ви... |
|
|
|
|
I |
EJ
.іі
ФШЯЙёШ
не обработан. Данные события отображаются в журнале событий только в том случае, если установлен флажок По
казывать все события.
Формат представления событий в журнале событий может различаться в зависимости от компонента или задачи. Так, для задачи обновления приводятся (см. рис. 4.45):
•название события;
•имя объекта, для которого зафиксировано это событие;
•время, когда произошло событие;
•размер загружаемого файла.
Для задачи поиска вирусов журнал событий содержит имя проверяемого объекта и статус, присвоенный объекту в результа те проверки/обработки.
Закладка Статистика. На данной закладке фиксируется под робная статистика работы компонента или выполнения задачи поиска вирусов (рис. 4.43). Здесь можно получить следующую информацию:
•сколько объектов было проверено на наличие опасных объектов в текущем сеансе работы компонента или при выполнении задачи. В том числе указано количество про веренных архивов, упакованных файлов, защищенных па ролем и поврежденных объектов;
- Проверка Моего Компьютера; работает
Проверяется: 0071431918.jpg
Расположение: .. .\РС Technology Glide Guidtes*3Grage<D4WXH*W-^ma&,ffesV.,
Q |
. llilllllllllllllllllllllllllllllllllllllll |
|||
|
Проверено: |
571822 |
Запуск; |
i4.09.200814*36:51 |
|
Обнаружено: |
14 |
Длительность: 04:И ::21 |
|
|
Не обработано: |
0 |
Завершение: |
14.99.200819:58:05 |
Обнаружено j События Статистика j Параметры j |
|
|
|
|||
Объект |
j Проверено і ОпасньЕХобъе&тое 1 He<^&a^0Tat« l yflajrreH0 І Пзмещвнонакг |
|||||
Ф |
Все объекты |
571822 |
14 |
0 |
3 |
0 |
|
Системная память |
1168 |
0 |
0 |
0 |
0 |
$$$ Объекты автозапуска |
303 |
0 |
0 |
0 |
0 |
|
|
Резервное хранилище сис... 6266 |
0 |
0 |
0 |
0 |
|
ъф Все жесткие диски |
564085 |
14 |
0 |
3 |
0 |
|
Л |
Все сменные диски |
0 |
0 |
0 |
0 |
0 |
Ц _ _____________, |
_________ 1 |
|
|
1 |
||
€# Справка |
j |
[ |
Пауза |
| |
Стогт |
11 Закрыть | |
•сколько было обнаружено опасных объектов, сколько из них не вылечено, удалено и помещено на карантин.
Закладка Параметры приводит полный обзор параметров, в соответствии с которым работает компонент защиты, выполня ется задача поиска вирусов или обновление приложения (рис. 4.44). Здесь можно узнать, какой уровень защиты обеспе чивает работа компонента или на каком уровне выполняется по иск вирусов, какое действие выполняется над опасным объектом или какие параметры используются при обновлении приложе ния и т. д. Чтобы перейти к настройке, необходимо воспользо ваться ссылкой Изменить параметры. Для задач поиска вирусов можно настроить дополнительные условия выполнения:
•установить приоритет выполнения задачи проверки при нагрузке на процессор. По умолчанию флажок Уступать
ресурсы другим приложениям установлен. При этом при ложение отслеживает уровень загрузки процессора и дис ковых подсистем на предмет активности других приложе ний. Если уровень нагрузки существенно увеличивается и мешает нормальной работе приложений пользователя, при ложение сокращает активность выполнения задач провер ки. Это ведет к увеличению времени проверки и передаче ресурсов приложениям пользователя;
w iD ix l
Опасных объектов не обнаружено
Проверено: |
1863 |
Запуск: |
15.09.20088:56:52 |
Обнаружено: |
0 |
Длительность: 00:00:16 |
|
Не обработано: |
|
Завершение: |
15.09.2008 8:57:08 |
Параметр |
|
|
|
ф Уровень безопасности |
|
Рекомендуемый |
|
(і) Действие |
|
Лечить, удалять (если лечение невозможно) |
|
(і) Режим запуска |
|
При запуске приложения |
|
І.іу Типы файлов |
|
Проверять все файлы |
|
і.,іу Проверка только новых и измененных файлов |
Нет |
|
|
Изменять параметры
•установить режим работы компьютера после завершения задачи проверки на вирусы (выключение/перезагрузка компьютера, переход в режим ожидания или спящий). Та кая возможность полезна, например, если запуск проверки компьютера производится в конце рабочего дня. Однако использование этого параметра требует следующей допол нительной подготовки: нужно до запуска проверки отклю чить запрос пароля при проверке объектов, если он был включен, установить режим автоматической обработки опасных объектов. В результате выполненных действий ин терактивный режим работы приложение отключается, при ложение не будет задавать вопросов, требующих ответов и прерывающих процесс проверки.
Обновление
Чтобы всегда быть готовым отразить любую хакерскую атаку, уничтожить вирус или другую опасную программу, необходимо поддерживать Антивирус Касперского в актуальном состоянии. Для этого предназначен компонент Обновление. Он отвечает за обновление сигнатур угроз и модулей приложения АК, исполь зуемых в работе приложения (рис. 4.45).
|
Загружается: |
basei62£.avc |
|
|
|
|
|
Расположение: |
Mtp;//dnku! ,tesperskHabs.com/ |
|
|
||
|
iiSSiilliKIVillllililliiii |
|
|
|||
|
Размер обновлении; |
13,GMi |
Запуск: |
14,09.200814:13:21 |
|
|
|
Скорость: |
193,43 Кб/сек |
Дгаітелъмость: 00:02:12 |
|
||
|
|
|
|
3***?ршение: |
14.09.200814:17:05 |
|
Событие |
|
|
|
|
|
|
|
|
|
|
|
14.09.2008 14:15:32 |
49 КБ |
|
Выполняется загрузка файла |
bases/av/avc/i386/base 159с. аѵс |
14.09.2008 14:15:32 |
|
||
Ф |
Файл загружен |
|
bases/av/avc/i386/base 159с.avc |
14.09.2008 14:15:32 |
50,8 КБ |
|
(jLjjВыполняется эвгрузка файла |
bases/av/avc/i386/base 160с.аѵс |
14.09.2008 14:15:32 |
|
|||
0 |
Файл загружен |
|
bases/av/avc/i386/base 160с.аѵс |
14.09.2008 14:15:32 |
50,7 КБ |
|
Щ |
Выполняется загрузка файла |
bases/av/avc/i386/base 161с.аѵс |
|
|
||
Сервис копирования обновлений позволяет сохранять обнов ления баз сигнатур угроз, сетевых драйверов, а также модулей приложения, полученных с серверов «Лаборатории Касперско го», в локальном каталоге, а затем предоставлять доступ к ним другим компьютерам сети в целях экономии Internet-трафика.
Отчеты и файлы данных
В процессе работы приложения по каждому компоненту за щиты, задаче поиска вирусов или обновлению приложения фор мируется отчет. Он содержит информацию о выполненных опе рациях и результаты работы. Пользуясь функцией Отчеты, все гда можно узнать подробности о работе любого компонента АК.
Все подозрительные с точки зрения безопасности объекты АК переносит в специальное хранилище — Карантин. Здесь они хранятся в зашифрованном виде, чтобы избежать заражения компьютера. Пользователь может проверять эти объекты на при сутствие вирусов, восстанавливать в исходном местоположении, удалять, самостоятельно добавлять объекты на карантин. Все объекты, которые по результатам проверки на вирусы окажутся незараженными, автоматически восстанавливаются в исходном местоположении.
Р-5 Защ ита: работает
Все вредоносные объекты обезврежены
Всего проверено: |
662410 |
Запуск; |
14.09.2008 И:35;01 |
Обнаружено; |
15 |
Длительность; 05:48:14 |
|
Не обработано: |
0 |
|
|
Обнаружено { События ] Отчеты ] Карантин |
Резервное хранилище J |
|
|
Статус |
j Объект |
1Разнер j |
|
0 |
Заражен: троянская программа Packed... . |
D:\____IT\IT\WarezP2P.exe |
2 МБ |
Цк Заражен: троянская программа Packed... . |
D:\_____IT\WarezP2P.exe |
2 МБ |
|
ф |
Заражен: вирус Virus.MSWord.Flop |
D:\_____STUDY\_2004_DIP\boldyreѵа\Диплом.rar |
401,9 КБ |
|
Заражен: вирус Virus.MSWord.Flop |
D:\____ STUDY\PLEX_DIP_04\boldyreva^nnnoM.rar |
401,9 КБ |
^ |
Заражен: вирус Virus.MSWord.Flop |
D:\______EIS\boldyгeva\Диплом. rar |
401,9 КБ |
0 |
Заражен: троянская программа Packed... . |
D:\_____IT\TI\WarezP2P.exe |
2 МБ |
В Резервное хранилище помещаются копии вылеченных и удаленных приложением объектов (рис. 4.46). Данные копии создаются на случай необходимости восстановить объекты или картину их заражения. Резервные копии объектов также хранят ся в зашифрованном виде, чтобы избежать заражения компьюте ра. Всегда можно восстановить объект из резервного хранилища в исходном местоположении или удалить копию.
Поддержка
Все зарегистрированные пользователи АК могут воспользо ваться Службой технической поддержки. Для того чтобы узнать о том, где именно вы можете получить техническую поддержку, следует воспользоваться функцией Поддержка.
Окно настройки параметров АК можно вызвать из главного окна или контекстного меню приложения. Для этого необходимо нажать на кнопку Настройка в нижней части главного окна либо выбрать одноименный пункт в контекстном меню приложения.
ЩШВБ
■уЗащита |
4. 1 |
Поиск вирусов |
|
Файловый Антивирус |
уровень безопасно-: |
|
|
Почтовый Антивирус |
|
||
Веб-Антивирус |
|
Рекомендуемый |
|
Проактивная защита |
|
- Оптимальная защита |
|
Поисквирусов |
|
- Рекомендуется большинству пользователей |
|
Критические области |
|
Настройка... |
I |
Мой Компьютер |
|
||
Объекты автозапуска |
Действие |
|
|
Поиск руткитов (rootkit) |
|
||
С |
|
|
|
Угрозы и исключения |
Запросить по окончании проверки |
|
|
[ - j Настройка: Поиск вируса» |
|
f "ѵ" ' Т: .20. эемя проверки |
|
О&цие Дополштельно j Эвристически анализатор j |
|
|
|
Г* Запуск задачиот имени |
|
ти лечение невозможно |
|
|
|
||
|
|
іть заданные |
Применить |
|
|
задачам поиска |
|
Дополжтальные параметры
& Использоватьтехнологи» l£hecker
I* Йспользоваггъ технологиюiSwift
W Регистрироватьинформацию обооаоъл объектахв статистике
11ЭИ1Ш«НИЯ
J7 Уступ&тьресурсыдруга* приложе»«м
OK j Закрыть
<Ж Отмена
Окно настройки построено аналогично главному окну (рис. 4.47):
•левая часть окна обеспечивает быстрый и удобный доступ к настройке каждого из компонентов постоянной защиты, задач поиска вирусов, обновления, а также настройке сер висных функций приложения;
•правая часть окна содержит непосредственно перечень пара метров выбранного в левой части компонента, задачи и т. д.
При выборе в левой части окна настройки какого-либо раз дела, компонента либо задачи в правой части окна будут пред ставлены его основные параметры. Для детальной настройки не которых параметров вам будет предложено открыть окна на стройки второго и третьего уровней.
Настройка дополнительных параметров задач поиска вирусов выполняется В блоке Дополнительные параметры:
• и с п о л ь з о в а т ь т е х н о л о г и ю i C h e c k e r — вклю чить технологию, позволяющую увеличить скорость про верки за счет исключения некоторых объектов. Исключе ние объекта из проверки осуществляется по специальному алгоритму, учитывающему дату выпуска баз приложения, дату предыдущей проверки объекта, а также изменение па раметров проверки.
Например, если некоторый файл архива был проверен АК и ему был присвоен статус «не заражен», то в следующий раз этот архив будет исключен из проверки, если он не был изменен и не менялись параметры проверки. Если же из менился состав архива путем добавления в него нового объекта или изменились параметры проверки, или обнови лись базы АК, то архив будет проверен повторно.
Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а также применима только к объектам с известной АК структурой (например, файлы exe, dll, Ink, ttf, inf, sys, com, chm, zip, rar);
• и с п о л ь з о в а т ь т е х н о л о г и ю i Swi f t . Данная техно логия является развитием технологии iChecker для компью теров с файловой системой NTFS. Технология iSwift имеет ограничение: она привязана к конкретному местоположе нию файла в файловой системе, а также применима только к объектам, расположенным в файловой системе NTFS;
• р е г и с т р и р о в а т ь и н ф о р м а ц и ю об опасных объек тах в статистике приложения — сохранять эту информацию,
а также отображать список опасных угроз на закладке Обна ружено окна отчета. В случае если флажок снят, информа ция об опасных объектах не будет отбражаться в отчете, сле довательно, обработать данные объекты будет невозможно;
• у с т у п а т ь р е с у р с ы д р у г и м п р и л о ж е н и я м — при останавливать выполнение данной задачи проверки на виру сы, если ресурсы процессора заняты другими приложениями.
Значок в области уведомлений панели задач MS Windows по мещается сразу после установки АК и отражает состояние защи ты, а также показывает ряд основных действий, выполняемых приложением:
•значок активный к (цветной), это означает, что защита включена полностью либо работают какие-либо ее компо ненты;
•значок неактивный Кі (черно-белый), значит все компо
ненты защиты выключены.
В зависимости от выполняемой операции значок Антивируса Касперского меняется (табл. 4.7).
Таблица 4.7. Разновидности значка АК в линейке задач
Значок |
Операция |
щ Выполняется проверка файла, который открывает, сохраняет или запускает
^пользователь или некоторая программа
ыг. Выполняется проверка почтового сообщения
Выполняется проверка скрипта
Выполняется обновление баз и модулей
ру Требуется перезагрузка компьютера для применения обновлений
Произошел сбой в работе какого-либо компонента
Значок обеспечивает также доступ к основным элементам интерфейса приложения: контекстному меню и главному окну (см. рис. 4.38).
Кроме того, при появлении новостей от «Лаборатории Кас перского» в области уведомлений панели задач MS Windows по
является значок ^4 и> если щелкнуть по нему дважды левой клавишей мыши, в открывшемся окне можно ознакомиться с текстом новости.
4 .6 . Symantec AntiVirus
Популярный американский антивирус, который вы пускается подразделением компании Symantec, кон тролирует работу Windows с загрузки до выключения компьютера, использует более 74 ООО описаний виру сов, возможность обновления через сеть.
Symantec AntiVirus обеспечивает защиту следую щих типов:
• а в т о м а т и ч е с к а я з а щи т а . Постоянно отслеживает работу компьютера путем осмотра всех файлов при их от крытии, запуске, внесении изменений, сохранении, пере мещении и копировании;
• п о и с к с и г н а т у р атак. Выполняет поиск сигнатур ви русов в зараженных файлах, а также сигнатур угроз безо пасности в зараженных файлах и системной информации. Такой поиск называется осмотром. В зависимости от кон фигурации, пользователи и администраторы могут запус кать осмотры для систематической проверки файлов ком пьютера на наличие вирусов и угроз безопасности, таких как рекламные и шпионские программы, с использованием сигнатур и шаблонов. Осмотры могут выполняться по тре бованию, автоматически, по расписанию или при запуске системы;
•д о п о л н и т е л ь н а я э в р и с т и к а . Анализирует структу ру программы, ее поведение и другие атрибуты, сравнивая их с характеристиками вирусов. Во многих случаях это по зволяет обеспечить защиту от угроз (таких, как почтовые черви и макровирусы) еще до создания описания угрозы и обновления программы. Дополнительная эвристика позво ляет распознать угрозу со стороны сценариев в файлах HTML, VBScript и JavaScript.
Symantec AntiVirus защищает компьютер от вирусов и угроз безопасности, поступающих из любых источников. В число та ких источников входят жесткие диски, дискеты, а также сети. Обеспечивается защита компьютеров от вирусов и других угроз, распространяющихся с помощью вложений электронной почты и некоторыми другими способами. Например, угроза безопасно сти может быть установлена на компьютере без ведома пользова теля во время работы в сети Internet.