Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdfВсе файлы, расположенные внутри сжатых файлов, осматри ваются и при необходимости исправляются. Для обнаружения вирусов, распространяющихся по сети Internet, не требуется из менять никакие параметры и программы. Функция автоматиче ской защиты осматривает все несжатые файлы программ и доку ментов во время их загрузки.
Интерфейс Symantec AntiVirus
Главное окно содержит две панели (рис. 4.48). В левой пане ли доступные действия объединены в категории. Например, за дачи осмотра дискет, выборочного осмотра, быстрого осмотра и полного осмотра относятся к категории Осмотр. Каждая катего рия в левой панели показана в виде отдельного значка. При вы боре в левой панели категорий и других элементов в правой па нели будет показана информация, необходимая для выполнения соответствующей задачи.
Автоматическая защита файловой системы. По умолчанию автоматическая защита от вирусов и других угроз безопасности загружается при запуске системы. Она проверяет программы на наличие вирусов и угроз безопасности, а также отслеживает вы-
І6Й Symantec AntiVirus
Файл Правка Просмотр Осмотр
Symantec AntfVw<±s
Г&іI Просмотр fljk| Осмотр
УГибкий диск
ИЗ Выборочный осмотр
Быстрый осмотр figfr Полный осмотр Настройка
gjj Журналы
Ц » Журм юл угроз
Журнал осмотров ( S Журнал событий
Журнал изменений ГУі Осмотры при запуске
Пользовательские осмотры П5) Плановые осмотры
^Поиск справки
Настройка Журналы Справка ....................1
Symantec AntiVirus
При помощи Symantec AntiVirus компьютер защитен от віфусов. Выберите элемент слева для вьголнения действия.
Общие сведения
Родительски сервер:
Группа:
количество элементов в изоля_оре: і элемент
В ерст програт Програта: 10.0.2.2000 Сканер: 81.2.0.25
Файл олисатй вирусов
30.08.2008 rev. 36 |
Uvellpdate.. |
|
Выход
полнение тех операций, которые могут указывать на наличие ви руса или угрозы. При каждом обращении, копировании, переме щении и открытии файла функция автоматической защиты ос матривает его на наличие вирусов. При обнаружении вируса, вирусоподобных действий (событий, которые могут быть резуль татом наличия вируса) или угрозы безопасности функция автома тической защиты предупреждает об этом пользователя (рис. 4.49).
Результаты автоматической защиты
|
|
|
|
Закрыть |
|
1Угроза |
f Действие |
\ Количество |
[ Имя файла |
1*1 |
Backdoor.Gravbird |
Удалено |
2 |
A0033377.exe |
І*1 |
Backdoor.Gravbird |
Удалено |
2 |
A0033378.exe |
< |
|
|
|
> |
Рис. 4.49. Экран Результаты |
автоматической защиты |
|||
В некоторых случаях функция автоматической защиты мо жет предупреждать о действиях, указывающих на наличие виру са, хотя известно, что эти действия не являются следствием ра боты вируса. Например, это может произойти при установке но вых программ. При выполнении подобных действий для того, чтобы избежать вывода предупреждений, рекомендуется времен но отключить автоматическую защиту. Обязательно включите автоматическую защиту сразу после завершения задачи, чтобы компьютер оставался защищенным от вирусов.
Отключение автоматической защиты может быть заблокиро вано системным администратором; кроме того, автоматическую защиту можно отключить временно, чтобы она самостоятельно включилась через указанный промежуток времени.
Обычно значок Symantec AntiVirus расположен на панели за дач в правом нижнем углу рабочего стола Windows. В некоторых конфигурациях значок не отображается на экране.
Значок Symantec AntiVirus имеет форму щита Qj. Для вклю чения или выключения автоматической защиты следует щелк нуть правой кнопкой мыши на этом значке. Если напротив пункта Включить автоматическую защиту показана галочка, значит автоматическая защита файловой системы включена.
Если автоматическая защита файловой системы выключена,
то на значок Symantec AntiVirus накладывается знак запрета Ц (красная окружность, перечеркнутая по диагонали).
Функция SmartScan, являющаяся частью автоматической за щиты, позволяет осмотреть файлы с указанными расширениями,
в том |
числе исполняемый код, и все файлы с расширениями |
. ехе |
и . doc. SmartScan правильно определяет тип файла даже в |
том случае, если расширение файла было изменено вирусом. Например, она может обнаружить файлы .doc даже в том слу чае, если их расширения были изменены вирусом и не входят в группу расширений, заданную для осмотра.
Осмотры. В дополнение к автоматической защите Symantec AntiVirus поддерживает осмотры различных типов, а именно:
•в ы б о р о ч н ы й — осмотр файла, папки, диска или всего компьютера в любое время. Осматриваемые объекты выби раются пользователем;
•б ы с т р ы й — осмотр оперативной памяти системы и тех областей, которые обычно атакуются вирусами и угрозами безопасности;
•п о л н ы й — осмотр всего компьютера, в том числе загру зочного сектора и оперативной памяти. Для осмотра сете вых дисков может потребоваться ввод пароля;
•п л а н о в ы е — запускаются автоматически с указанной частотой;
•п о л ь з о в а т е л ь с к и е — анализ указанного набора фай лов в любое время;
• о с м о т р ы п р и з а п у с к е — запускаются при каждом старте Windows.
Обычно ежедневный быстрый осмотр и еженедельный плано вый осмотр всех файлов обеспечивают достаточную защиту, если включена автоматическая защита. Если компьютер часто подверга ется заражению вирусами, рекомендуется дополнительно настроить полный осмотр при запуске или ежедневный плановый осмотр. Ре комендуется всегда запускать осмотр дискет при их первом прочте нии, особенно если дискета использовалась в других системах.
Исключение из осмотра. В редких случаях файлы, не содер жащие вирусы, могут быть распознаны программой как зара женные. Это связано с тем, что описания вирусов создаются для обнаружения всех возможных модификаций каждого вируса. Поскольку при этом описание получается достаточно обобщен-
ным, в некоторых случаях система может сообщить о заражении чистого файла.
Если Symantec AntiVirus регулярно сообщает о заражении не которого файла, в котором заведомо нет вирусов, целесообразно исключить этот файл из осмотра. Исключать можно те элемен ты, осмотр которых не требуется.
Кроме того, из осмотра можно исключить папки, содержа щие разрешенные в корпоративной политике безопасности про граммы, которые могут быть распознаны как угроза безопасно сти, например как программа показа рекламы.
Исключения задаются независимо для каждого типа осмотра: автоматической защиты, пользовательского осмотра, осмотра при запуске и осмотра вручную (включая выборочный, быстрый и полный осмотры). Процедура формирования исключений во всех случаях одинакова.
Действия над зараженным файлом
На рис. 4.50 приводится экран настройки (выбор обрабаты ваемых файлов). По умолчанию в автоматической защите и во всех типах осмотров Symantec AntiVirus настроено удаление ви-
русов из файла при их обнаружении и изоляция файла, если ви рус удалить не удается. При обнаружении угрозы безопасности зараженный файл по умолчанию изолируется, после этого дела ется попытка устранить побочные эффекты угрозы. Если это сделать не удается, то информация об обнаруженной угрозе за носится в журнал.
Если вирус был удален из зараженного файла либо заражен ный угрозой файл был изолирован и исправлен, то пользователю не требуется выполнять дополнительные действия.
Окно диалога с информацией о состоянии осмотра позволя ет выполнить операции над зараженными файлами сразу после завершения осмотра. Например, исправленный файл можно уда лить, если имеется его копия. Позднее с зараженными вирусами или угрозами файлами можно работать с помощью Журнала уг роз, Журнала событий или Изолятора.
Журнал |
угроз показывает список следующих объектов |
(рис. 4.51, |
/): |
•вирусов, обнаруженных в системе, и дополнительную ин формацию о заражении;
•угроз безопасности, таких как программы показа рекламы и программы-шпионы, которые были обнаружены про граммой Symantec AntiVirus и зарегистрированы в журнале, изолированы и исправлены либо удалены. Для угроз безо пасности в журнале угроз приводится ссылка на Web-стра ницу Symantec Security Response с дополнительной инфор мацией об угрозе.
Журнал событий. В журнал событий ежедневно заносятся за писи о действиях, которые связаны с вирусами и угрозами и имеют отношение к защите компьютера. В их число входит из менение конфигурации, сведения об ошибках и информация о файле описаний вирусов и угроз. Эти записи, называемые собы тиями, отображаются вместе соответствующей дополнительной информацией в виде списка (рис. 4.52).
Проанализировав записи журнала событий, можно полу чить представление о тенденциях, связанных с заражением компьютера вирусами и угрозами. Если компьютер использует ся несколькими пользователями, можно определить того из них, который является источником большинства вирусов и уг роз, и помочь этому пользователю принять необходимые меры предосторожности.
н |
а |
ш |
|
|
|
|
||
: & |
Symantec AntiVirus |
|
Журнал угроз |
|||||
|
|
Просмотр |
|
|||||
|
|
|
|
|
||||
|
|
f |
Статистика автоматическое |
3 |
|
|||
|
|
Плановые осмотры |
|
|
||||
|
|
Изолятор |
|
|
|
|||
|
|
Копки зараженных файлов |
|
|
||||
|
|
f |
[ИсправленныеS Осмотр |
файлы |
|
|
|
|
|
|
U |
Гибкий диск ____________ |
|
|
|||
|
|
Ж |
Выборочный! Список известных угроз |
|
||||
|
|
g || Быстрый осм |
|
|
|
|
||
|
|
щ |
Полный осмо |
й » |
С помощью текущих описаний Symantec |
|||
+ |
|
Настройка |
|
AntiVirus может обнаружить следующие |
||||
|
Ц |
Журналы |
|
угрозы. |
|
|
||
|
|
1¾ Журнал утро |
Известные угрозы: |
|
||||
|
|
Щ |
журнал осмо |
|
||||
|
|
Название угрозы |
|
|||||
|
|
Ща Журнал собь |
|
|||||
|
|
Retaliator (2) |
Файл |
|||||
|
|
^ |
Журнал изме |
|||||
|
|
Retaliate* (Genl) |
Файл |
|||||
.t |
£►] Осмотры при заг |
|||||||
Retch. 1030 |
Файл |
|||||||
|
■ fl Пользоватеіъскі |
|||||||
|
Retch. 1055 |
Файл |
||||||
|
ГЭІ Плановые осмоті |
RetHunter.gen |
Файл |
|||||
+ ^ |
Поиск справки |
Retix |
|
Файл |
||||
|
|
|
|
Retoob(b) |
Файл |
|||
|
|
|
|
Retribution |
||||
|
|
|
|
Retro.522 |
Файл |
|||
|
|
|
|
Retro.852 |
Файл |
|||
|
|
|
|
Retro.866 |
Файл |
|||
|
|
|
|
Retro.974 |
Файл |
|||
|
|
|
|
Retro.974 (2) |
Файл |
|||
|
|
|
|
Retro.974 (3) |
Файл |
|||
|
|
|
|
Rev.4096 |
Файл |
|||
|
|
|
|
Rev.4096 Gen(l) |
Файл |
|||
|
|
|
|
Revelat.1150 |
|
Файл |
||
|
|
|
|
Версия описаний: |
30.08.2008 rev. |
Всего угроз: 74174 |
||
Рис. 4.51. журнал угроз |
Symantec AntiVirus |
(/); экран просмотра базы данных |
||||||
|
|
|
|
|
|
по вирусам (2) |
||
Symantec AntiVirus
Файл Правка Просмотр Осмотр Настройка Журналы Справка
&Symantec AntiVirus Ой) Просмотр
CS Осмотр
УГибкий диск
тЯ Выборочный осмотр
ШБыстрый осмотр Полный осмотр
Настройка Ц Журналы
Журнал угроз яр Журнал осмотров
VЖурнал событии
^Журнал изменекмй Г£] Осмотры при запуске
ГУ1 Пользовате/ъские осмотры
ШПлановые осмотры
^Поиск справки
Журнал событий
эс7
|
і Событие |
і Компьютер |
] Пользователь |
1Источник |
1Ааті' |
ѣ |
Файл опи... |
PLEXA-89DA8S... |
PLEXA-890A85... |
Система |
29.0 |
Файл опи... |
PLEXA-89DA85... |
PLEXA-89DA85... |
Загрузчік опи... |
29.0 |
|
ѣ |
Файл опи... |
PLEXA-89DA85... |
PLEXA-89DA85... |
Загрузчик опи... |
29.0 |
% Запуск Sy... |
PLEXA-89DA8S... |
PLEXA-890A85... |
Система |
29.0 |
|
|
Файл опи... |
PLEXA-89DA85... |
PLEXA-890A85... |
Система |
29.0 |
% Завершен... |
PLEXA-890A85... |
SYSTEM |
Система |
28.0 |
|
ѣ |
Запуск Sy... |
PLEXA-890A85... |
PLEXA-890A8S... |
Система |
28.0 |
Файл опи... |
PLEXA-89DA85... |
PLEXA-89DA85... |
Система |
28.0 |
|
% Завершен... |
PLEXA-89DA8S... |
SYSTEM |
Система |
28.0 |
|
% |
Запуск Sy... |
PLEXA-890A85... |
PLEXA-89DA85... |
Система |
28.0 |
% Файл опи... |
PLEXA-89DA85... |
PLEXA-890A85... |
Система |
28.0 |
|
< |
|
|
|
|
У |
Справка
Журналы осмотров. Содержат информацию об осмотрах, вы полненных на компьютере. Для каждого осмотра показана до полнительная информация (рис. 4.53).
Symantec AntiVirus
___ _______ I
Файл |
Правка Просмотр Осмотр |
Настройка |
Журналы Справка |
|
|
|
|
|
Р Symantec AntiVirus |
Журнал осмотров |
|
|
|
||||
|
&ЭІ Просмотр |
|
|
|
||||
ЗИ Осмотр |
|
|
|
|||||
|
У Гибкий диск |
|
|
|
|
|
|
|
|
Щ |
Выборочный осмотр |
|
|
|
|
|
|
|
іЖ Быстрьй осмотр |
|
1 Компьютер |
і Состояние |
; Источник |
1Начат |
уч |
|
|
Щ| Полный осмотр |
|
||||||
|
|
PLEXA-89DA85... |
Осмотр завер... |
Осмотр Defwatch |
29.06.2008 |
|
||
► |
Настройка |
|
|
|||||
* |
Журналы |
□ |
PLEXA-89DA85... |
Осмотр завер... |
Запуск |
29.06.2008 |
|
|
|
|
Журнал угроз |
□ |
PLEXA-89DA85... |
Осмотр завер... |
Запуск |
28.06.2008 |
|
|
а |
Журнал осмотрлв |
□ |
PLEXA-89DA85... |
Осмотр завер... |
Запуск |
28.06.2008 |
|
|
( о |
Журнал событий |
□ |
PLEXA-89DA85... |
Осмотр завер... |
Запуск |
28.06.2008 |
|
|
|
Журнал изменений |
□ |
PLEXA-89DA85... |
Осмотр завер... |
Запуск |
24.06.2008 |
|
|
Осмотры при запуске |
□ |
PLEXA-89DA85... |
Осмотр завер... |
Запуск |
23.06.2008 |
|
|
|
Пользовательские осмотры |
□ PLEXA-89DA85... |
Осмотр завер... |
Запуск |
23.06.2008 |
|
||
|
Плановые осмотры |
|
||||||
|
□ |
PLEXA-89DA85... |
Осмотр завер... |
Запуск |
23.06.2008 |
|
||
^ Поиск справки |
|
|||||||
|
PLEXA-89DA85... |
Осмотр завер... |
Осмотр Defwatch |
22.06.2008 |
|
|||
|
|
|
|
|
||||
|
|
|
П |
PLEXA-89DA85... |
Осмото завео... |
Запѵск |
22.06.2008 ѵ |
|
|
|
|
|
|
|
Справка |
j I Закрыть j |
|
Рис. 4.53. Просмотр Журнала осмотров
Журнал изменений. Представляет собой список предотвра щенных попыток изменить приложения Symantec на локальном компьютере. Функция защиты от изменений предотвращает из менение приложений Symantec червями, троянскими конями, вирусами и угрозами безопасности.
Изолятор. Файлы помещаются в Изолятор одним из следую щих способов:
•Symantec AntiVirus перемещает в Изолятор зараженные объекты, обнаруженные автоматической защитой файло вой системы или процедурой осмотра;
•файл может быть вручную помещен в Изолятор пользова телем.
По умолчанию в автоматической защите и во всех типах ос мотров Symantec AntiVirus настроено удаление вирусов из файла при их обнаружении и изоляция файла, если вирус удалить не удается. При обнаружении угроз безопасности зараженные фай лы по умолчанию помещаются в Изолятор, после этого устраня ются побочные эффекты угрозы (рис. 4.54).
^Sym antec AntiVirus
Файл Правка Просмотр Осмотр Настройка Журналы Справка
Symantec AntiVirus
|
i ial Просмотр |
Изолятор |
|
|
|
|
|
|
Статистика автоматическог |
|
|
|
|
|
|
|
|
|
|
|
|
1¾ |
Плановые осмотры |
*) |
|
• |
S |
|
@ Изолятор |
|
||||
|
|
Копии зараженных файлов |
1Угроза |
j Имя файла |
і Исходный путь |
|
|
Q |
Исправленные файлы |
||||
|
l£ l осмотр |
*1 Bloodhound.Оѵ... |
PKBFB.tmp |
D:\WINDOWS\TEMP\ |
||
|
jfl |
Гибкий диск |
|
|
|
|
|
РЯ Выборочный осмотр |
|
|
|
|
|
|
|
Быстрый осмотр |
< |
|
|
> |
|
|
Полный осмотр |
|
|
||
+ |
Настройка |
|
|
|
|
|
|
|[|| Журналы |
|
|
|
|
|
|
qk Журнал угроз |
|
|
|
|
|
|
^ |
Журнал осмотров |
|
|
Справка |
Закрыть |
|
|
> |
|
|
||
|
|
|
|
|
|
|
Рис. 4.54. Экран просмотра Изолятора
Обновление данных
Для поиска и устранения побочных эффектов вирусов и дру гих угроз безопасности Symantec AntiVirus всегда должен приме нять свежую информацию. Для надежной зашиты файлы описа ний вирусов и угроз безопасности должны регулярно обновлять ся после установки. Файлы описаний содержат информацию об обнаружении и устранении всех известных вирусов и угроз безо пасности (см. рис. 4.51, 2).
Symantec поставляет обновленные файлы описаний ежене дельно через службу LiveUpdate и ежедневно через файлы Intelligent Updater, публикуемые на Web-узле Symantec Security Response. Кроме того, обновления распространяются при обна ружении новых серьезных угроз. Рекомендуется обновлять опи сания по крайней мере раз в неделю. Простейший способ обес печить это — запланировать автоматический запуск LiveUpdate.
С помощью функции LiveUpdate (рис. 4.55) программа Sy mantec AntiVirus автоматически подключается к Web-узлу Syman tec и определяет, нужно ли обновлять описания вирусов и угроз. Если это необходимо, то указанная функция загружает нужные файлы и устанавливает их в системе. Обычно для настройки LiveUpdate не требуется выполнять никаких действий. Единствен ное требование — наличие подключения к сети Internet.
Администратор может задать максимальный период работы с устаревшими описаниями вирусов и угроз безопасности. Через
I iyelJpdate . |
|Wj |
Параметры |
|
Вас приветствует LiveUpdate! |
^ S y m a n te c . |
Накомгыотере устгновлены следующие продукты и компоненты Symantec:
:Avenge MicfoDef$25 SavCorpIO
ІLiveUpdate
j Jy SymantecAntiVirusCofporateClient
/ў Щ::
ПрограммаLiveUpdate выполнитпоискобновленийдля установленныхпродуктови компонентов Symantec в сети Интернет
Нажгите Далее дляпросмотрасписка имеющихсяобновлена.
[ Далее > | f Отмена { | Справка ]
% LiveUpdate
Параметры
а
і
ПрограммаLrveUpdcteвыполняетпоиск обновленийдля следующих продуктози компонентов:
Jj Avenge МісгоОе&25 SavCorpIО
LiveUpdate
Jj SymantecAntWi s CorporateClient
Эта операцияможетзанять несколько минут.
Список, имеющихсяобновлений
Щ и ж т ы т т м т іт т ''
j Отмена | | Справка j
б
Рис. 4.55. Функция LiveUpdate:
а — исходный экран; б — выполнение обновлений
указанное число дней Symantec AntiVirus автоматически запустит функцию LiveUpdate, если компьютер подключен к Internet.
При обновлении защиты от вирусов Symantec AntiVirus авто матически проверяет наличие файлов в Изоляторе и предлагает осмотреть их с учетом новой информации.
4.7. Аппаратные средства защиты
В заключение рассмотрим некоторые из аппаратных (точнее, программно-аппаратных) средств защиты информации в ПК.
Средства защиты в BIOS Setup
Важнейшая микросхема постоянной или флэш-памяти — мо дуль BIOS (Basic Input/Output System — базовая система вво да-вывода) — совокупность встроенных программ, предназна ченных для автоматического тестирования устройств после включения питания компьютера и загрузки операционной систе мы в оперативную память.
Разновидность постоянного ЗУ — CMOS RAM (рис. 4.56), это память с невысоким быстродействием и минимальным энер гопотреблением от батарейки. Используется для хранения ин формации о конфигурации и составе оборудования компьютера, а также о режимах его работы.
Рис. 4.56. Интегральные схемы BIOS и CMOS
Содержимое CMOS может быть изменено служебной про граммой Setup, находящейся в BIOS (от англ. set up — устанав ливать).
Наиболее известными фирмами-изготовителями BIOS явля ются AMI (American Megatrends Inc.), Award и Phoenix. Хотя функции BIOS одинаковы, но возможны различия способов на стройки, а также меню BIOS. В большинстве случаев для хране ния программ BIOS используются ППЗУ.
Настройка (конфигурирование) системной платы состоит из подстройки ПК под используемый графический режим, установ ки рабочей тактовой частоты, указания объема имеющейся в на-