33

Антивирусная система nod32. Назначение, состав компонентов.

NOD32 — антивирусный пакет, выпускаемый словацкой фирмой ESET. Первая версия была выпущена в конце 1987 года.^[1] Название изначально расшифровывалось как Nemocnica na Okraji Disku («Больница на краю диска», перифраз названия популярного тогда вЧехословакии телесериала «Больница на окраине города»).

Антивирусная система NOD32 предназначена для защиты компьютера от проникновения вредоносных программ через сеть (локальную или глобальную) и посредством электронных носителей информации (например, дискета, CD-диск), а также для удаления (очистки, “лечения”) вирусов и т.п. программ с уже зара­женного компьютера. NOD32 представляет собой мощный антивирусный ком­плекс для всесторонней защиты пользовательских данных.

Антивирусная система NOD32 состоит из нескольких модулей или систем­ных компонентов. Основным средством взаимодействия пользователя с антиви­русом является Центр управления NOD32. Центр управления NOD32 является центральной программой управления Антивирусной системой NOD32. Система состоит из следующих резидентных модулей и фильтров:

• AMON – резидентный (всегда выполняющийся в оперативной памяти) анти­вирусный монитор или сканер "на доступе". Эта программа является наиболее важным инструментом антивирусной защиты.

• NOD32 – это сканер (также именуемый сканером "по требованию"), запускае­мый пользователем вручную или планировщиком автоматически.

• IMON (Интернет-монитор) - этот сканер обеспечивает первую линию за­щиты, контролируя интернет трафик (протокол POP3 для электронной почты и HTTP для файлов, загружаемых из интернета)

• DMON (Монитор документов) - этот сканер обеспечивает защиту от макро ви­русов в документах MS Office, работает с приложениями, использую­щими MS Antivirus API (например MS Office 2000 и выше, Internet Explorer 5.0 и выше)

• EMON (Email монитор) – этот сканер обеспечивает защиту от вирусов, пере­несенных электронной почтой.

• Обновление – эта программа обеспечивает автоматическое интер­нет/сетевое обновление ключевых элементов системы, включая модули и вирусные базы данных (требуется правильное имя пользователя и пароль).

• Логи – инструмент управления, поддерживающий логи системных событий, вирусных тревог и сканера по требованию.

• Cлужeбныe пpoгpaммы NOD32 – включает ряд инструментов, делающих ис­пользование Антивирусной системы NOD32 удобным и функциональ­ным. Включает Карантин, Расписание/Планировщик, Информацию и На­стройки системы.

Описание основных компонентов системы. Центр управления nod32

Главное окно Центра управления NOD32 содержит список установленных сис­темных модулей и их возможностей (исключение составляет сканер по требова­нию, значок которого доступен на рабочем столе и который также может быть за­пущен как запланированная задача). В главном окне доступны следующие группы: Резидентные модули и фильтры, Обновление, Логи и Служебные про­граммы NOD32. Детальные описания каждой группы представлены ниже. Для пе­ремещения в пределах главного окна Центра управления используется мышь или клавиши стрелок вверх/вниз.

Три кнопки, расположенные в нижней части главного окна Центра управления, могут использоваться для скрытия окна, выхода из программы и вызова интерак­тивной системы справки.

AMON.

AMON (Антивирусный МОНИТОР) - резидентная (выполняющаяся в оператив­ной памяти после каждого перезапуска компьютера) программа проверки файлов. Автоматический запуск AMON при перезапуске компьютера - фундаментальная защита против злонамеренного кода. Не рекомендуется отключать AMON, если только это не требуется специальными обстоятельствами. AMON - наиболее важная линия антивирус­ной защиты. Критически важно сохранять его всегда функционирующим с ис­пользованием самой современной версии вирусных баз данных. AMON контро­лирует все потенциально угрожающие действия на защищенных компьютерах типа открытия, выполнения, создания или переименования файлов. AMON часто упоминается как антивирусный монитор или сканер “на-доступе” в отличие от сканера “по требованию”. Для выполнения своих задач AMON требует важных системных прав. С технической точки зрения он работает на уровне системного драйвера. В результате, совместимость с другими службами, выполняющимися на компьютере, должна быть проверена в процессе инсталляции системы NOD32. Если тестирование было успешно завершено, AMON будет запускаться автомати­чески после каждой перезагрузки компьютера.

 AMON имеет три состояния:

1. Запущен и включен (Загружен в память и выполняет сканирование на-дос­тупе).

2. Запущен и отключен (Загружен в память, но не выполняет сканирование на-доступе).

3. Остановлен и отключен (Не загружен в память).

Содержимое окна AMON (доступные кнопки) зависит от состояния выполнения AMON. Опция “Резидентный модуль (AMON) включен” служит для включения или отключения главной функции AMON: сканирования на доступе. Эта опция доступна, только если AMON загружен в оперативную память. Чтобы загрузить AMON в память, нажмите кнопку Пуск. Для того, чтобы выгрузить AMON из па­мяти, нажмите кнопку Остановить. Другая полезная информация, доступная в главном окне AMON - статистика общего количества проверенных, инфициро­ванных и очищенных файлов. Также доступно имя последнего или в настоящее время проверяемого файла, сопровождаемое информацией об установленной вер­сии вирусной базы данных с ее датой выпуска. Даты указаны в следующем фор­мате: ГГГГММДД.

Для доступа к параметрам модуля AMON нажмите кнопку Настройка, располо­женную в главном окне AMON.Доступно пять вкладок: Обнаружение, Методы, Действия, Исключения и Безо­пасность.

DMON.

 DMON - модуль антивирусной системы NOD32, который служит для проверки документов Microsoft Office и файлов, автоматически загружаемых через Internet Explorer (например элементы Microsoft ActiveX). DMON обеспечивает дополни­тельный уровень защиты к AMON.

DMON может быть активирован выбором опции ниже окна состояния DMON. Окно показывает общее число проверенных, инфицированных и очищенных объ­ектов. Оно также отображает текущую версию вирусной базы данных. Монитор документов включен - если галочка установлена, проверка документов включена. Настройка - отображает окно конфигурации сканера.

Методы сканирования

Вирусные базы - Сканирование с помощью вирусных баз полагается на анализ прежде известных вирусов и их соответствующих образцов в базе данных. Эвристический анализ - Сложный алгоритмы, позволяющий обнаружить ранее неизвестные вирусы.

Расширенная эвристика - Расширенная эвристика использует более эффективные и сложные методы поиска ранее неизвестных вирусов, червей и троянов.

EMON.

EMON (Монитор электронной почты) обеспечивает проверку входящей и исхо­дящей корреспонденции в почтовых клиентах Microsoft Outlook и Microsoft Exchange Extension.

 Это окно показывает число проверенных, инфицированных и очищенных объек­тов. Оно также отображает версию вирусной базы данных, используемой во время проверки. Автоматическое интернет-обновление будет поддерживать текущую версию, если правильное имя пользователя и пароль были введены в модуле Об­новление.

 Секция Настройка позволяет настроить параметры.  

Пpoвepять вxoдящую пoчту - если включено, входящая почта будет проверяться на наличие вирусов

 Пpoвepять иcxoдящую пoчту - если включено, исходящая почта будет прове­ряться на наличие вирусов

 Пpoвepять пpoчитaнную пoчту - если включено, прочитанная почта будет прове­ряться на наличие вирусов

 Пpoвepять тeлo тeкcтoвыx cooбщeний - если включено, простые текстовые сооб­щения будут проверяться на наличие вирусов

 Пpoвepять тeлo RTF cooбщeний - если включено, сообщения в формате RTF бу­дут проверяться на наличие вирусов.

 Пpeoбpaзoвaть cooбщeния в пpocтoй тeкcт - если включено, вся электронная почта будет преобразована в простой текст. Преобразование происходит прежде, чем начнется проверка.

 Bключить peзультaты пpoвepки дpугими мoдулями - если какое-либо сообщение уже проверено другим модулем NOD32 (например IMON) и обозначено как ин­фицированное, EMON также будет считать его инфицированным, даже если ви­рус уже удален.

 Пoвтopить пpoвepку пocлe oбнoвлeния - если включено, после обновления ви­русной базы данных вся электронная почта будет проверена повторно с использо­ванием текущей вирусной базы данных, независимо от того, что проверка уже проводилась.

 Пepecкaниpoвaть - сбрасывает результаты проверки и передает электронную почту на повторное сканирование при следующем обращении. (это происходит автоматически всякий раз, когда NOD32 обновляется до более новой версии)

 

IMON.

В то время, как роль AMON состоит в обеспечении резидентного антивирусного контроля действий системы и пользователя, модуль IMON служит как антивирус­ный монитор трафика между системой и интернетом.  Первичная роль IMON со­стоит в контроле входящей электронной почты. Ключевое преимущество IMON по сравнению с своим предшественником (POP3 сканером) - удобство в исполь­зовании. Фактически IMON не требует никакой настройки, так как этот модуль не зависит от клиента электронной почты. IMON работает на уровне winsock.

 

  Это окно показывает число проверенных, инфицированных и очищенных объек­тов, а также версию вирусной базы данных, используемую при сканировании. Очень важно использовать самую последнюю доступную версию. Автоматиче­ское обновление через интернет поддерживает текущие версии, если правильное имя пользователя и пароль были введены в модуле Обновление. Чтобы IMON очи­щал инфицированную электронную почту, надо нажать кнопку Настройка в главном окне IMON и отметить опцию Bключить пpoвepку элeктpoннoй пoчты. Также имеются опции добавления уведомлений в электронные письма и на­стройки вирусного сканера IMON.

Окно настройки IMON содержит 3 вкладки

• POP3 - Настройка POP3 сканера

• HTTP - Настройка HTTP сканера

• Разное - Дополнительные настройки модуля