Текст книги "Защита вашего компьютера"
Автор книги: Сергей Яремчук
Жанр:
Программное обеспечение
сообщить о нарушении
Текущая страница: 6 (всего у книги 20 страниц) [доступный отрывок для чтения: 8 страниц]
Антивирус Avast! Home Edition прост в установке. Получить его можно на сайте проекта http://www.avast.com/eng/download-avast-home.html. Необходимо скачивать файл, помеченный как Russian version, – в этому случае интерфейс антивируса будет локализован. Следует также перейти на страницу http://www.avast.com/eng/home-registration.php, зарегистрироваться и получить ключ активизации, иначе установленный антивирус будет работать только в течение 60 дней в демонстрационном режиме. Выберите в раскрывающемся списке Registration language русский язык – меню русифицируется. Далее дважды введите правильный электронный адрес и в поле Control Letters – буквы, изображенные на картинке. Остальные параметры не обязательны. После нажатия кнопки Регистрация на указанный электронный адрес придет ключ и инструкции по его установке на русском языке.
Далее запустите исполняемый файл и следуйте указаниям мастера установки. На определенном этапе вам предложат выбрать конфигурацию антивируса: Нормальная, Минимальная и Выборочная. В варианте Нормальная содержатся все необходимые для работы компоненты. Если хотите что-то убрать, используйте вариант Выборочная. После установки антивируса в Панели задач появятся два новых значка.
После установки появится основное окно программы (рис. 2.26), внешний вид которого можно изменить с помощью тем.
Рис. 2.26. Интерфейс Avast! Home Edition
Большое количество тем можно найти на сайте проекта. Чтобы их подключить к Avast! Home Edition, следует скопировать полученный файл в каталог C:Program FilesAlwil SoftwareAvast4DATASkin и дважды щелкнуть на архиве – тема станет доступна в меню Выбрать обложку. Некоторые темы не локализованы.
В Avast! Home Edition обновления разделены на две части: обновление модулей программы и антивирусных баз. Для каждой можно указать свой режим обновления. Для этого достаточно перейти в Настройки программы, выбрать пункт Обновление (основной) и указать нужный режим обновления в каждой области:
• Антивирусная база данных – для обновления антивирусных баз;
• Программа – режим обновления модулей программ.
В обеих областях доступны три варианта обновления:
• Выполнять обновления автоматически – при наличии последних обновлений компоненты обновляются автоматически (без запроса пользователя);
• Уведомлять о возможности выполнения обновлений – проверяется наличие новых баз и модулей программы, если таковые обнаруживаются, пользователю выдается запрос;
• Выполнять обновления вручную – пользователь сам решает, когда обновлять антивирус.
По умолчанию настройки соединения с Интернетом берутся в Internet Explorer. Параметры подключения к Интернету настраиваются в меню Обновление (Подключение).
Выбор объектов проверки производится с помощью кнопок. Доступны три кнопки. Одна отвечает за выбор всех разделов диска, вторая поможет выбрать сменные носители, третья предназначена для отбора конкретных каталогов.
После того как задание сформулировано, нажмите кнопку Запустить.
Совет
Быстро проверить каталог или файл можно, выбрав в контекстном меню пункт Сканировать.
Некоторые настройки можно произвести из контекстного меню, вызываемого щелчком на значке. Отсюда можно настроить сканер доступа, приостановить работу резидентных провайдеров, обновить базу данных, настроить параметры резидентной защиты, установить или изменить пароль, защищающий доступ к антивирусу.
Примечание
Резидентными провайдерами в антивирусе Avast! Home Edition называются модули, отвечающие за защиту специфических подсистем компьютера: файловая подсистема, электронная почта, веб, сети мгновенного обмена сообщений, сетевой экран и др.
2.4. Программы для поиска руткитов
Обнаружить руткит в системе крайне сложно. Пользователь может не догадываться о его наличии, хотя сигнатуры самых известных руткитов занесены в антивирусные базы и каждый антивирус может найти эти приложения.
Ознакомиться со специализированными утилитами, предназначенными для поиска руткитов, и иметь их под рукой полезно, тем более что они просты в использовании.
Руткиты некоторых типов можно обнаружить вручную. Достаточно поместить систему защиты руткита в обстановку, где она не будет работать. Например, загрузившись в безопасном режиме с загрузочного WinPE или с другой системы, можно сравнить результат выполнения команд dir, s, b, ah с помощью утилиты WinDiff (http://keithdevens.com/files/windiff/windiff.zip) или Compare It! (http://www.grigsoft.com/). Найденные расхождения могут свидетельствовать о проблеме.
Такой подход приемлем не всегда, поэтому можно воспользоваться специальными утилитами, которые сравнивают ответы процессов на разных уровнях во время работы системы. Примером может служить самая простая в использовании коммерческая разработка компании Greatis Software – UnHackMe (http://www.unhackme.com/) (рис. 2.27), умеющая останавливать подозрительные процессы и полностью удалять их с диска.
Рис. 2.27. Окно утилиты для поиска руткитов UnHackMe
Для поиска запрятанных руткитов достаточно нажать кнопку Check Me Now!– начнется проверка всех запущенных процессов. Если в системе нет отклонений, на экран будет выведено соответствующее сообщение. Чтобы попрактиковаться в удалении руткитов, можно щелкнуть на кнопке Demo – вам предложат поучаствовать в удалении руткита HackerDefender. Программа не бесплатна и после установки будет работать в течение 30 дней, после чего нужно будет ее удалить или заплатить. В последних версиях добавился резидентный монитор, защищающий систему в реальном времени, и RegRun Reanimator, позволяющий контролировать объекты автозапуска.
Бесплатная утилита RootkitRevealer, разработанная компанией Sysinternals (сейчас – собственность Microsoft: http://www.microsoft.com/technet/sysinternals/default.mspx), также проста в использовании и может работать в графической среде или запускаться из командной строки. Для проверки системы необходимо только распаковать архив, запустить исполняемый файл, убедиться, что в меню Options установлены флажки Hide NTFS Metadata Files и Scan Registry, после чего закрыть все приложения, нажать кнопку Scan и некоторое время не работать на компьютере.
Утилита RootKit Hook Analyzer (http://www.resplendence.com/) позволяет обнаружить руткиты, перехватывающие системные вызовы. Программа бесплатна: для проверки системы достаточно установить ее и нажать кнопку Analyse. По окончании на экране появятся результаты проверки. Процессы, вмешивающиеся в работу других сервисов, будут помечены красным цветом, а в столбце Hooked на вкладке Hooks будет отображаться YES (рис. 2.28).
Рис. 2.28. Поиск руткитов с помощью RootKit Hook Analyzer
Для удобства можно вывести список только таких сервисов, установив флажок Show hooked services only. На отдельной вкладке выводятся загруженные модули. Особый интерес представляют те, которые прячут путь (patch) и не имеют описания. Разобраться с результатом может не каждый пользователь, зато можно периодически просматривать список, например, сделав экранный снимок, не появилось ли что-то новое.
Глава 3
Проактивные системы защиты и системы контроля целостности
Антивирус не панацея
Проактивная система защиты Safe'n'Sec
Часовой Scotty
Всесторонний контроль RegRun
Контроль целостности с Xintegrity
Появившиеся первыми, антивирусы долгое время одни защищали компьютеры пользователей. Однако постепенно стало ясно, что для полноценной защиты необходимы дополнительные элементы или другие программы.
3.1. Антивирус не панацея
Сегодня пользователи высказывают по поводу антивирусов различные мнения – от полной уверенности в защите до того, что главное – выдержать первый удар. Иногда антивирусы используются не столько как защита, сколько как средство оценки нанесенного ущерба и удаления вредоносных модулей. Система обнаружения, учитывающая опыт предыдущих атак, становится бесполезной при столкновении с неизвестным вирусом или шпионской программой. Чтобы сгенерировать сигнатуру, антивирусной компании необходимо получить экземпляр вируса, выделить фрагмент, характерный только для него, после чего занести вирус в базу. Это занимает время (в случае полиморфного вируса процесс создания сигнатуры может сильно затянуться), в течение которого антивирусы недееспособны, и новый червь может успеть заразить сотни тысяч компьютеров. Таким образом, классические сигнатурные антивирусы не способны предотвратить глобальную эпидемию.
Используя различные подходы и технологии, системы защиты пытаются остановить неизвестные атаки. Можно выделить несколько подходов: эвристический анализ, поведенческие блокираторы, политика безопасности и системы контроля целостности. Каждый имеет достоинства и недостатки, поэтому в современных продуктах они комбинируются, что повышает точность и помогает избежать ошибок при определении подозрительной деятельности приложений.
Практически все современные антивирусы имеют модуль проактивной защиты. Например, проактивная защита «Антивируса Касперского» использует для детектирования неизвестных вирусов все указанные технологии. По результатам тестов, точность проактивных систем не всегда составляет 100 %, поэтому они играют вспомогательную роль. Кроме прочего, антивирусы должны проверять файлы традиционным способом, поэтому такая система защиты ресурсоемка. При реализации проактивной защиты разработчики привязаны также к движку антивируса, который часто не дает полностью реализовать потенциальные возможности.
Нашлись энтузиасты, которые разработали системы защиты, действующие от обратного: сначала проактивность, а антивирус – по желанию. Такие системы не связаны антивирусным движком и могут максимально использовать возможности проактивных технологий. Если на компьютере установлен антивирус, то совместно с одной из программ, которые будут рассмотрены далее, они смогут защитить компьютер от неизвестных угроз.
Такие решения еще не получили широкого применения. Пользователи, привыкшие каждый день обновлять базы, воспринимают их с недоверием. Антивирусные компании также не желают сдавать позиции. Однако проактивные системы защиты находят все более широкое распространение, поэтому с ними следует ознакомиться.
Решения, позволяющие выявить или предотвратить нападение, относят к системам обнаружения или системам предотвращения атак. Первые позволяют зафиксировать факт атаки, вторые – не только обнаруживают, но и останавливают ее. Требования к системам, предотвращающим атаки, жестче, так как любая ошибка может привести к блокировке легального запроса. Реализации этих систем работают с различными данными: они анализируют сетевые пакеты, системные запросы, файлы журналов и пр. Системы предотвращения атак делятся на два класса: одни защищают отдельный компьютер (host intrusion prevention system), другие – ориентированы на сеть (network intrusion prevention system). В данной главе описаны решения, относящиеся к первому типу. О системах, защищающих сетевую часть, будет рассказано в главе 5.
3.2. Проактивная система защиты Safe'n'Sec
Российская компания StarForce (http://www.star-force.ru/) известна одноименным механизмом защиты дисков от нелегального копирования. Ее новая разработка Safe'n'Sec (http://www.safensoft.ru/), представленная в ноябре 2004 года, сразу получила признание, а журнал PC Magazine/RE назвал ее антивирусом месяца. Safe'n'Sec не относится к антивирусам, а принадлежит к классу систем проактивной защиты, которые анализируют подозрительное поведение пользователя или программы.
Для малых и средних предприятий, а также индивидуального, в том числе домашнего, использования предназначены версии Personal и Pro. Версии Business и Enterprise, обладающие дополнительными возможностями по защите компьютеров корпоративной сети предприятий различного уровня от вредоносного ПО, вторжений в сеть и инсайдеров, для домашнего компьютера излишни (хотя, например, их модуль Timing, представляющий собой систему контроля активности сотрудника и учета рабочего времени, будет полезен для отслеживания времени, проведенного за компьютером ребенком).
Продукт Safe'n'Sec доступен в нескольких вариантах. Самым простым является Safe'n'Sec Pro Персональный – стандартная разработка, обеспечивающая проактивную защиту компьютера, отслеживающая поведение вредоносных программ и осуществляющая их блокировку, защищает компьютер от небезопасных действий начинающих пользователей. Версия Safe'n'Sec Pro Deluxe кроме этого обеспечивает защиту от руткитов и лечит инфицированные файлы. Существуют также комбинированные решения. Safe'n'Sec Pro Deluxe + Elcom soft system recovery дополнительно к возможностям варианта Deluxe содержит модуль Elcomsoft system recovery (ESR), который предоставляет возможность доступа в Windows с нужными привилегиями в случае утери пароля или если учетная запись случайно заблокирована. Вариант Safe'n'Sec Pro + Антивирус Dr.Web – расширенная версия, имеющая дополнительный антивирусный движок Dr.Web, который позволяет обнаруживать известные на данный момент вирусы. Версия Safe'n'Sec Pro Deluxe + AdsCleaner представляет собой систему блокировки рекламы и обеспечения комфортной и безопасной работы пользователя в Интернете, в том числе очищая в конце работы следы активности. Вариант Safe'n'Sec Personal + Anti-Spyware – расширенная версия, дополнительно имеющая сканер Anti-Spyware Module, который позволяет обнаруживать известные программы-шпионы. Safe'n'Sec Персональный + Outpost Firewall Pro, кроме контроля программ, работающих на компьютере, следит за сетевым трафиком компьютера и делает его невидимым для хакеров.
В основе технологии Safe'n'Sec лежит перехват системных вызовов на уровне операционной системы. Основу продукта составляет модуль System Interceptor, который загружается одним из первых и перехватывает все системные вызовы любых приложений. Это позволяет обнаруживать комбинированные атаки, предотвращать попытки внести изменения в системный реестр или состояние сервисов операционной системы, получить доступ к регистрационным данным пользователя и пр. Механизм принятия решения Safe'n'Sec действует на основе правил, которые учитывают все возможные последовательности действий, классифицируемых как вредоносные.
Примечание
Основная идея Safe'n'Sec состоит в том, что данные поражаются не вирусом, а в результате выполнения им вредоносных действий.
После обнаружения подозрительного приложения Safe'n'Sec самостоятельно принимает решение о его вредоносности и уведомляет пользователя, который должен определить, что с ним делать (разрешить или заблокировать). Для упрощения решения доступна история активности, по которой можно подробно изучить последовательность действий, выполненных приложением. Дополнительно из консоли можно получить доступ к списку запрещенных и доверенных приложений, который можно здесь же отредактировать.
На момент написания данной книги актуальной была версия 2.5. Для примера установим Safe'n'Sec, имеющую в составе антивирусный модуль. Недавно мне попался очередной тест, в результате которого проактивная система обнаружила больше вирусов, чем антивирусный модуль. Версия с антивирусным модулем представляет собой компромисс и понравится пользователям, которые пока не доверяют новому методу защиты, но которым надоели бесконечные обновления антивирусных баз.
Установка заключается в запуске исполняемого файла. Наилучшим вариантом является инсталляция на чистую систему. В этом случае по мере установки новых приложений вы будете постепенно заполнять внутреннюю базу Safe'n'Sec, хотя это не критично. Сам процесс прост, достаточно нажимать кнопку Далее, оставляя значения, предлагаемые по умолчанию. Если устанавливается комплексное решение, необходимо отметить флажками нужные компоненты. На четвертом шаге вас попросят выбрать интерфейс (рис. 3.1).
Рис. 3.1. Выбор типа интерфейса
Оставьте все как есть (Простой интерфейс (для большинства пользователей)): позже вы сможете перейти к расширенному варианту; он выдает много технической информации, справиться с которой может не каждый пользователь. Safe'n'Sec также может контролировать сетевую активность приложений. Если вы используете межсетевой экран, флажок Контролировать сетевую активность приложений лучше не устанавливать.
В последнем окне мастера установите флажок Запустить Safe'n'Sec Assistant. Установка завершена.
При первом запуске инициализируется внутренняя база приложений. Это может занять некоторое время, затем появится окно Safe'n'Sec Pro+Anti-Virus Assistant (рис. 3.2).
Рис. 3.2. Ассистент Safe'n'Sec
В пошаговом режиме вам предложат указать лицензионный ключ продукта (при работе с пробной версией этот шаг можно пропустить, нажав кнопку Далее), установить имеющиеся обновления антивирусных баз и запустить полную проверку системы на вирусы. В последнем окне появится список всех установленных на компьютере приложений – следует указать их статус (известное или неизвестное). Если вы доверяете программе, установкой флажка возле него можно убрать его из списка контролируемых Safe'n'Sec. Нажатием ссылки Добавить можно вручную занести приложение в список, указав путь к исполняемому файлу. Это может понадобиться, если приложение не найдено в автоматическом режиме, например не требует инсталляции для работы. Если в список внесены изменения, не забудьте нажать ссылку Применить. Закончив работу с ассистентом, следует нажать кнопку Закрыть – в области уведомлений появится значок Safe'n'Sec в виде носорога.
Примечание
Если вы сомневаетесь в некоторых настройках, оставьте значение, предложенное по умолчанию, – при необходимости его можно будет изменить.
Работа с программой происходит в окне Консоли управления, которое можно открыть, выбрав соответствующий пункт в меню Пуск либо дважды щелкнув кнопкой мыши на значке в области уведомлений.
Окно Консоли управления (рис. 3.3) можно разделить на две части. Слева расположены ссылки на функции защиты и настройки, справа отображаются статус работы и статистика. Щелчок на любом пункте в обеих частях приведет к появлению дополнительной информации или выполнению указанного действия.
Рис. 3.3. Консоль управления
Проверить файлы с помощью встроенного антивируса можно двумя способами:
• щелкнуть правой кнопкой мыши на значке файла или папки и из контекстного меню выбрать пункт Поиск вирусов;
• щелкнуть на ссылке Поиск вирусов в левой части Консоли управления.
Программа проста в использовании и в большинстве случаев функционирует в фоновом режиме, не мешая пользователю работать. Если известное приложение пытается выполнить разрешенное действие, то пользователь просто информируется о происходящем (рис. 3.4).
Рис. 3.4. Информация о запуске известного приложения
Если активность приложения расценена как опасная и ситуация требует решения пользователя, появится соответствующее уведомление (рис. 3.5).
Рис. 3.5. Запрос на выполнение подозрительного действия
В таком случае необходимо Разрешить или Заблокировать дальнейшее выполнение программы. Если такое сообщение появляется вне зависимости от действий пользователя, то действие можно считать подозрительным и блокировать.
Вернемся к Консоли управления Safe'n'Sec. Чтобы просмотреть список активных процессов, следует щелкнуть на ссылке Процессы и приложения в области Статус. В зависимости от зоны выполнения процессы разбиты на группы. После установки их две: Доверенные приложения и Настраиваемые приложения. Для каждого процесса приведена следующая информация: его имя, производитель программного обеспечения, в состав которого включен активный процесс, краткое описание и сетевая активность в данный момент. Если выделить процесс и щелкнуть на кнопке Свойства, появится окно с дополнительной информацией. На вкладке Процесс выведены данные, о которых говорилось выше. Щелкнув на ссылке Соединения, вы можете просмотреть список открытых сетевых соединений, здесь можно узнать IP-адреса (локальный и удаленный), номер порта и состояние соединения.
При щелчке правой кнопкой мыши на строке процесса появляется контекстное меню, с помощью которого его можно переместить в ограниченную или защищенную зону, заблокировать, удалить с компьютера, убрать или добавить в список доверенных приложений.
Если нужного приложения в списке нет, для его занесения в список нажмите кнопку Добавить и укажите исполняемый файл.
Политика контроля активности приложений действует на основе правил. Если приложение известно, то правила его работы уже созданы. В противном случае это должен сделать пользователь. В Safe'n'Sec используются правила двух видов: общие (действуют для всех приложений) и частные (применяются к конкретной программе).
Совет
Список известных приложений желательно периодически обновлять. Для этого достаточно щелкнуть в окне Консоли управления на пункте Обновление программы – запустится обновление политики контроля активности и список известных приложений, модулей программы и антивирусных баз.
Новое правило можно создать из трех позиций:
• из списка активных процессов;
• из перечня контролируемых приложений (список доступен только в расширенном варианте интерфейса);
• из уведомления об опасной активности (см. рис. 3.5).
Первые две позиции требуют подготовки пользователя и анализа работы приложений. Самым простым является третий вариант. Пользователь занимается привычной работой, а при обнаружении опасной деятельности какоголибо приложения Safe'n'Sec самостоятельно принимает решение и сообщает об этом. Пользователю остается только определить, что делать с такой программой.
Защита всех данных осуществляется в соответствии с политикой контроля активности, определяющей, какие действия и в какой последовательности нужно считать вредоносными. Имеются три политики – жесткая, строгая и доверительная. Чтобы изменить действующую политику, следует щелкнуть в окне Консоли управления на ссылке Настройка, а затем на ссылке Контроль активности (рис. 3.6).
Рис. 3.6. Изменение политики контроля активности
Устанавливая переключатель в области Режим защиты, включите или отключите контроль активности приложений. Установка флажка Режим обучения разрешит автоматическую регистрацию активности неизвестных Safe'n'Sec приложений. Его рекомендуется использовать сразу после установки.
Обратите внимание на параметры в области Дополнительные действия. Если установить флажок Разрешить и не контролировать приложение, то после принятия решения при возникновении подобной ситуации программа не будет беспокоить пользователя. Установка флажка Заблокировать и запретить выполнение приведет к блокированию только текущего действия, а при установке флажка Заблокировать и завершить приложение будет закрыто приложение, вызвавшее процесс, который пытался выполнить опасное действие.
Если у вас установлен расширенный интерфейс, то в этом окне появится кнопка Дополнительно, нажав которую вы получите доступ к еще нескольким параметрам. На вкладке Области контроля установкой соответствующих флажков активизируется контроль активности приложений с системными файлами, системным реестром, взаимодействие процессов, сетевая активность и контроль выполнения приложений. На вкладке Режим обучения настраивается продолжительность обучения (количество дней после обнаружения неизвестной активности), оповещения пользователя и ведение журнала активности нового приложения.
Для тестирования работоспособности вместе с программой поставляется утилита snstest.exe, которая имитирует занесение данных в системный реестр, попытку записи и удаления из системного каталога.