Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Цель: Эта лабораторная работа позволяет получить первые навыки работы с Антивирусом Касперского 6.0. В процессе выполнения этой работы будет изучен внешний вид всех четырех основных окон интерфейса, будут получены знания о механизме управления основными задачами проверки на наличие вирусов (постоянная защита и поиск вирусов) и обновления.
Теоретические сведения
Компьютерным вирусом называется программа (некоторая совокупность выполняемого кода/инструкций), которая способна создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.
Вирусы можно разделить на классы по следующим признакам:
а) по среде обитания вируса;
б) по способу заражения среды обитания;
в) по деструктивным возможностям;
г) по особенностям алгоритма вируса.
а) по среде обитания вирусы можно разделить на сетевые, файловые и загрузочные. Сетевые вирусы распространяются по компьютерной сети, файловые внедряются в выполняемые файлы, загрузочные - в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Существуют сочетания - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы и часто применяют оригинальные методы проникновения в систему.
б) способы заражения делятся на резидентный и нерезидентный. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
в) По деструктивным возможностям вирусы можно разделить на:
1)безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
2)неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
3)опасные вирусы, которые могут привести к серьезным сбоям в работе
4)очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.
г) По особенностям алгоритма можно выделить следующие группы вирусов:
компаньон-вирусы (companion) - это вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл.
вирусы-“черви” (worm) - вирусы, которые распространяются в компьютерной сети и, так же как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). К счастью, в вычислительных сетях IBM-компьютеров такие вирусы пока не завелись.
“паразитические” - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются “червями” или “компаньон”.
“студенческие” - крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок;
“стелс”-вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и “подставляют” вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие “обманывать” резидентные антивирусные мониторы.
“полиморфик”-вирусы (самошифрующиеся или вирусы-призраки, polymorphic) - достаточно труднообнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
“макро-вирусы” - вирусы этого семейства используют возможности макро-языков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы заражающие текстовые документы редактора Microsoft Word.
Антивирусная программа (антивирус) программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации).
Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.
Методы обнаружения вирусов
Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:
Метод соответствия определению вирусов в словаре
Это метод, при котором антивирусная программа, анализируя файл, обращается к антивирусным базам, составленным производителем программы-антивируса. В случае соответствия какого-либо участка кода просматриваемого файла (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:
Вирусная база регулярно обновляется производителем антивирусов, пользователям рекомендуется обновлять их как можно чаще.
Некоторые из продуктов для лучшего обнаружения используют несколько ядер для поиска и удаления вирусов и программ-шпионов. Например, в разработке NuWave Software используется одновременно пять ядер (три для поисков вирусов и два для поиска программ-шпионов).
Для многих антивирусных программ с базой сигнатур характерна проверка файлов в момент, когда операционная система обращается к файлам. Таким образом, программа может обнаружить известный вирус сразу после его получения. При этом системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жёстком диске компьютера.
Хотя антивирусные программы, созданные на основе поиска сигнатур, при обычных обстоятельствах могут достаточно эффективно препятствовать заражению компьютеров, авторы вирусов стараются обойти такие антивирусы, создавая «олигоморфические», «полиморфические» и «метаморфические» вирусы, отдельные части которых шифруются или искажаются так, чтобы было невозможно обнаружить совпадение с записью в сигнатуре.
Метод обнаружения странного поведения программ
Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается выполнить какие-либо подозрительные с точки зрения антивирусной программы действия, то такая активность будет заблокирована, или же антивирус может предупредить пользователя о потенциально опасных действиях такой программы.
В настоящее время подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.
В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Но вместе с тем, такой метод даёт большое количество ложных срабатываний, выявляя подозрительную активность среди не вредоносных программ. Некоторые программы или модули, построенные на этом методе, могут выдавать слишком большое количество предупреждений, что может запутать пользователя.
Метод обнаружения при помощи эмуляции
Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет вирусную активность, такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.
Метод «Белого списка»
Общая технология по борьбе с вредоносными программами это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».
Однако, все активно продвигающиеся на ИТ рынке антивирусы работают по принципу «черного списка», и вот почему: чтобы работать по схеме подписки, при которой есть услуга со стороны антивирусной компании по поддержанию сигнатурных баз, т.е. черного списка, в актуальном состоянии и есть регулярные отчисления за пользование этой услугой. Именно из-за несравненно большей прибыльности метода «черного списка» для антивирусных компаний метод «белого списка» остается незаслуженно незамеченным.
Эвристический анализ
В целом термином «эвристический анализ» сегодня называют совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ, но в то же время этот же термин обозначает один из конкретных способов.
Эвристическое сканирование в целом схоже с сигнатурным, однако, в отличие от него, ищется не точное совпадение с записью в сигнатуре, а допускается расхождение. Таким образом становится возможным обнаружить разновидность ранее известного вируса без необходимости обновления сигнатур. Также антивирус может использовать универсальные эвристические сигнатуры, в которых заложен общий вид вредоносной программы. В таком случае антивирусная программа может лишь классифицировать вирус, но не дать точного названия.
HIPS
HIPS система мониторинга всех приложений, работающих в системе, с чётким разделением прав для разных приложений. Таким образом HIPS может предотвратить деструктивную деятельность вируса, не дав ему необходимых прав. Приложения делятся на группы, начиная от «Доверенных», права которых не ограничены, заканчивая «Заблокированными», которым HIPS не даст прав даже на запуск.
Недостатки
Классификация антивирусов
По набору функций и гибкости настроек антивирусы можно разделить на:
Ложные антивирусы (лжеантивирусы)
В 2009 году различные производители антивирусов стали сообщать о широком распространении нового типа программ ложных или лжеантивирусов (rogueware). По сути эти программы или вовсе не являются антивирусами (то есть не способны бороться с вредоносным ПО), или даже являются вирусами (воруют данные кредитных карт и т. п.).
Ложные антивирусы используются для вымогательства денег у пользователей путём обмана. Один из способов заражения ПК ложным антивирусом следующий. Пользователь попадает на «инфицированный» сайт, который выдаёт ему предупреждающее сообщение вроде «На вашем компьютере обнаружен вирус» и предлагает скачать бесплатную программу для удаления вируса. После установки такая программа производит сканирование компьютера и якобы обнаруживает ещё массу вирусов. Для удаления вредоносного ПО ложный антивирус предлагает купить платную версию программы. Шокированный пользователь платит (суммы колеблются от $10 до $80) и ложный антивирус очищает ПК от несуществующих вирусов.
Возможные симптомы вирусного поражения
Основные симптомы вирусного поражения следующие:
Замедление работы некоторых программ.
Увеличение размеров файлов (особенно выполняемых).
Появление не существовавших ранее “странных” файлов.
Уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы).
Внезапно возникающие разнообразные видео и звуковые эффекты.
При всех перечисленных выше симптомах, а также при других “странных” проявлениях в работе системы (неустойчивая работа, частые “самостоятельные” перезагрузки и прочее) мы настоятельно рекомендуем Вам, немедленно произвести проверку Вашей системы на наличие вирусов с помощью Антивируса Касперского. При этом лучше, если программа будет самой последней версии и с самыми свежими обновлениями антивирусных баз.
Подготовка
Перед началом лабораторной работы убедитесь, что Ваш компьютер:
Задание 1. Изучение интерфейса
Как упоминалось ранее, удобный графический интерфейс - важное отличие домашнего антивируса от корпоративного. Он должен быть интуитивно понятным и простым в использовании.
В этом задании изучается интерфейс Антивируса Касперского 6.0. Фактически, он состоит из четырех окон:
Дополнительно, Антивирус Касперского встраивается в контекстное меню объектов, размещенных на жестком диске, добавляет свою группу в системное меню Пуск и во время работы в системной панели операционной системы появляется иконка антивируса.
В ходе выполнения задания нужно будет поочередно вызвать все четыре окна интерфейса Антивируса Касперского 6.0 и ознакомиться с их внешним видом.
Откройте меню Пуск / Программы / Антивирус Касперского 6.0 и ознакомьтесь с его содержимым
Дополнительно она служит для быстрого доступа к основным функциям антивируса: двойной щелчок левой клавишей мыши на ней вызывает главное окно интерфейса, а контекстное меню, открываемое щелчком правой клавиши мыши позволяет сразу перейти на нужное окно интерфейса.
Откройте контекстное меню иконки Антивируса Касперского и ознакомьтесь с представленным здесь списком ссылок
Нажмите ссылку Справка
Отметим, что интерфейс Антивируса Касперского 6.0 позволяет переходить из окна к окну множеством путей. Например, окно Настройка можно открыть как помощью ссылки Настройка в верхней части Главного окна, так и через контекстное меню как описано в этом пункте. Содержимое этих окон не зависит от того, по какой ссылке или кнопке к нему перешли.
Для перехода к последнему из основных, четвертому окну, выберите ссылку Отчет
Убедитесь в этом, щелкнув левой клавишей мыши по группе Статистика.
Задание 2. Структура и настройки
Это задание посвящено изучению Окна настроек и на его примере - структуры Антивируса Касперского 6.0.
Как и любой антивирус для рабочей станции, персональный Антивирус Касперского 6.0 обеспечивает:
В задании нужно будет перейти к окну Настройка и с помощью расположенного в нем дерева настроек изучить структуру антивируса.
Как видно из структуры дерева, все настройки Антивируса Касперского делятся на три большие группы в соответствии с описанными в начале задания функциями: Защита, Поиск вирусов и Сервис. Рассмотрим их подробней.
Защита отвечает за защиту в режиме реального времени и состоит из четырех составляющих:
Ознакомьтесь с общими настройками защиты и параметрами файлового, почтового, веб-антивирусов и проактивной защиты, поочередно переходя по соответствующим пунктам дерева в левой части окна
Таким образом, для запуска проверки по требованию нужно определить две вещи: что проверять и с какими настройками это делать.
Антивирус Касперского позволяет выбрать объекты, которые нужно проверить, двумя путями:
Отметим, что в окне настроек определяются только параметры работы этих задач. Список объектов формируется в главном окне интерфейса, который будет рассмотрен позже
Таким образом, настройки группы Поиск вирусов соответствуют настройкам задачи, запускаемой из контекстного меню различных объектов. При этом она содержит три подгруппы, соответствующие другим задачам проверки по требованию с заданным набором проверяемых объектов:
По мере формирования пользовательских задач проверки по требованию, они будут аналогично добавляться в дерево настроек в группу Поиск вирусов.
Ознакомьтесь с доступными для настройки параметрами системных задач проверки по требованию, поочередно выделяя пункты Критические области, Мой компьютер и Объекты автозапуска
Группа Сервис также включает такие важные подгруппы:
Изучите доступные настройки группы Сервис и ее подгрупп, поочередно выделяя соответствующие пункты в дереве настроек
Задание 3. Постоянная защита
Работу с постоянно защитой можно разделить на три части:
В этом задании нужно изучить последние две задачи: управление компонентами постоянной защиты и работу с отчетами.
Убедитесь в этом, по очереди перейдя к разделам Поиск вирусов и Сервис. Обратите внимание на подразделы, их также можно выделять.
Основное поле, расположенное справа, содержит краткую информацию о выбранном разделе или подразделе и средства управления ним.
В заголовке этой части видна надпись. Это означает, что защита включена и работает. Соответственно, в расположенной справа от нее группе управляющих кнопок () элемент Пуск () не активен. Остальные два элемента соответствуют паузе () и остановке1Остановка защиты отличается от паузы только тем, что в первом случае статистика работы антивируса обнуляется, а вот втором - нет () проверки в режиме реального времени.
Нажмите кнопку Пауза ()
Ознакомьтесь со всеми предлагаемыми сценариями включения защиты и нажмите ОК
Обратите внимание, что строка со статусом защиты теперь выглядит затемненной, а ее текст гласит, что защита приостановлена (). При этом также затенена кнопка Пауза, а вот Пуск стал активным ().
Отметьте, что при приостановке всей защиты, приостанавливаются также и все ее компоненты: файловый, почтовый, веб-антивирусы и проактивная защита. В интерфейсе это заметно по затемненным подразделам меню, отвечающим этим компонентам
Нажмите Закрыть и вернитесь к главному окну интерфейса
В результате выполнения этого задания все компоненты постоянной защиты должны быть включены
Задание 4. Поиск вирусов
Над задачами проверки по требованию можно выполнять следующие действия:
В этом задании нужно изучить как настраивать список проверяемых объектов, управление задачами поиска вирусов. Работа с отчетами аналогична рассмотренной ранее для постоянной защиты, а принцип настройки параметров проверки одинаков для всех.
Последние две группы полностью аналогичны рассмотренным ранее одноименным группам раздела постоянной защиты. Поэтому рассмотрим первую, задающую список проверяемых объектов.
Как уже упоминалось ранее, по умолчанию список задач поиска вирусов содержит три системные задачи. Им соответствуют три одноименных подраздела раздела Поиск вирусов. Сам же Поиск вирусов соответствует задаче, вызываемой из контекстного меню любого объекта на жестком диске компьютера. Альтернативный способ задать произвольный объект - отметить его в поле проверяемых объектов раздела Поиск вирусов. По умолчанию этот список пуст. Вернее, в нем присутствуют системные объекты, однако ни один из них не отмечен. Это определяется по расположенному слева от названия объекта флагу:/.
Давайте добавим в список проверяемых объектов новую папку.
Создайте на жестком диске папку с именем Test2По окончании лабораторной работы не удаляйте эту папку. Она понадобится для выполнения следующей работы, изучающей тестирование установленного антивируса . Для этого сверните окно антивируса, откройте Мой компьютер, выберите любой жесткий диск, например, С: и воспользуйтесь меню Файл / Создать / Папку
Обратите внимание на список проверяемых объектов и режим запуска (вручную). Вспомните, что режим запуска можно было изменить во время установки и по умолчанию предлагалось использовать запуск только вручную, без автоматического расписания. Эту задачу следует запускать сразу же при возникновении каких-либо подозрений - много времени она не займет, но при этом проверит все критически важные системные области компьютера
Ускорить проверку можно позволив антивирусу использовать все ресурсы системы, однако это однозначно скажется на работоспособности других запущенных в этот момент приложений.
Но с другой стороны, задачи поиска вирусов можно запускать и в фоновом режиме - например, рассматриваемую далее проверку Моего компьютера. В этом случае крайне нежелательно отдавать все ресурсы антивирусу.
Таким образом, для задач проверки по требованию просто необходима настройка, позволяющая регулировать объем системных ресурсов, используемых антивирусом.
Ознакомьтесь с внешним видом закладки Параметры и найдите эту настройку - флаг Уступать ресурсы другим приложениям.
Обратите внимание, что по умолчанию он отмечен. Следовательно, для ускорения проверки, отметку нужно снять
Заметьте, что по умолчанию проверка сетевых дисков отключена. Это значит, что при запуске этой задачи Ваш антивирус по умолчанию не будет проверять общие ресурсы на других компьютерах локальной сети (если компьютер, конечно, к ней подключен).
Системная память, объекты автозапуска и резервное хранилище системы наоборот, включены. Они представляют собой важные для системы антивирусной защиты области компьютера.
По умолчанию, автоматически по расписанию запускаться эта задача, также как и проверка критических областей, не будет - режим запуска выставлен в положение " Вручную "
Режим ее запуска - " При запуске приложения ". Поэтому только у этой задачи из всех задач проверки по требованию поле статистики не пусто - она успела выполниться при старте антивируса.
Иногда, после установки Антивируса Касперского, пользователь может заметить некоторое замедление процесса загрузки операционной системы. Это происходит не из-за того, что антивирус требует много системных ресурсов, такое утверждение неверно. На самом деле по умолчанию при каждом старте системы запускается и антивирус, который сразу же в свою очередь запускает проверку объектов автозапуска (см. режим запуска - " При запуске приложения "). В большинстве случаев эта задача завершается быстро и проходит незаметно для пользователя. При необходимости ее можно отключить, выбрав иной режим запуска, однако делать это крайне не рекомендуется
Обратите внимание строку, отображающую статус задачи (и)
Оно разделено на три группы. Первые две полностью повторяют контекстное меню из раздела постоянной защиты. Последняя же содержит ссылки на копирование задачи ( Сохранить как…, используется для создания новой задачи), переименование и удаление4Удалять и переименовывать можно только созданные пользователем задачи проверки по требованию. Над системными задачами Проверка критических областей, Проверка Моего Компьютера и Проверка объектов автозапуска выполнить эти действия нельзя. Их можно только запускать, приостанавливать, останавливать и копировать
Задание 5. Сервис
Последний раздел называется Сервис. В нем собраны все остальные элементы управления Антивирусом Касперского:
Инструменты управления обновлением антивирусных баз, а также внешний вид информационного окна одноименного подраздела аналогичны рассмотренным ранее для задач поиска вирусов. Работа с обновлениями, как важной составляющей обеспечения надежности антивирусной защиты, будет изучена отдельно, в одной из следующих лабораторных работ.
Поэтому это задание посвящено только изучению статистики и хранилищ Антивируса Касперского (карантина и резервного хранилища), а также подраздела Поддержка.
Обратите внимание, что структура информационной части окна для подраздела Обновление повторяет структуру этого же окна для любой из рассмотренных ранее задач проверки на наличие вирусов: описание, группы Настройка и Статистика. Тут же размещены средства управления: запуска, приостановки и остановки. Единственное отличие состоит в копке Откатить, ее предназначение будет рассмотрено в одной из следующих лабораторных работ
Как уже говорилось в описании задания, Файлы данных - это отчеты (статистика), карантин и резервное хранилище. Этим трем хранилищам соответствуют три одноименные группы. Как и в других случаях, в главном окне интерфейса приведены лишь краткие сведения о них, для ознакомления с подробными нужно нажать на соответствующую группу.
При удалении файлов из карантина нужно помнить, что всегда существует вероятность, что вскоре антивирусные базы могут пополниться новыми данными, с помощью которых можно будет либо вылечить этот файл, либо снять с него отметку о подозрении в наличии в нем вируса5Поэтому в настройке обновления есть специальный флаг - после обновления Проверять файлы на карантине. По умолчанию он активирован .
В резервное хранилище помещаются только зараженные и не поддающиеся лечению объекты, а также копируются все файлы перед их лечением. Поэтому в большинстве случаев файлы из резервного хранилища восстанавливать не рекомендуется, их можно только удалять.
Нажмите кнопку Очистить. Открывшееся окно предназначено для выбора хранилищ, которые нужно очистить
Аварийный диск следует создать сразу после установки Антивируса Касперского и проверки его работоспособности6Принципы диагностики изучаются в следующей лабораторной работе . После этого о нем можно забыть, чтобы вернуться только в случае повреждения системы.
В информационной части окна внимательно прочтите, что нужно сделать для создания аварийного диска
Заключение
В ходе выполнения этой лабораторной работы были получены первые навыки работы с Антивирусом Касперского 6.0 - изучен внешний вид всех четырех основных окон интерфейса, получены знания о механизме управления основными задачами проверки на наличие вирусов (постоянная защита и поиск вирусов) и обновления.
Дополнительно на примере Окна настроек была рассмотрена структура Антивируса Касперского, его основные компоненты и задачи.
Лабораторная работа №3
Диагностика Антивируса Касперского
Цель работы: Эта лабораторная работа позволяет изучить принципы диагностики антивирусной защиты, проверить работоспособность установленного Антивируса Касперского, получить навыки работы с резервным хранилищем и карантином
Введение
Завершающий этап установки любой программы - это проверка корректности выполнения основных ее функций. Для антивирусных приложений основу функционала составляет способность находить и обезвреживать вредоносные программы.
Естественно, встает вопрос как проверить действительно ли программа может это делать - ведь известно, что новые вирусы появляются каждый день, причем десятками, а иногда и сотнями. Не каждому пользователю под силу регулярно отслеживать хотя бы их часть. Этим занимаются антивирусные компании. Их филиалы, разбросанные по всему миру, непрерывно следят за вирусной активностью в Интернет, перехватывают и анализируют все подозрительные файлы. На основе полученных данных формируются вирусные сигнатуры, которые рядовой пользователь получает во время обновления своих антивирусных баз. Таким образом, проверить надежность антивирусной защиты от всех уже существующих вирусов и тех, которые только завтра или через год будут созданы, нереально. К тому же, использовать настоящие вирусы только для предварительного тестирования программы нельзя. Нельзя исключать вероятность, что программа установки где-то дала сбой и следовательно защита не установлена. Тогда во время проверки может произойти заражение вирусом, на котором производится тестирование, что недопустимо.
Но несмотря на все эти проблемы, метод диагностики антивирусных программ все же существует. Для этого используется специальный файл, " The Anti-Virus or Anti-Malware test file ", созданный Европейским институтом компьютерных антивирусных исследований (European Institute for Computer Antivirus Research).
В задании 1 этой лабораторной работы предлагается познакомиться с тестовым вирусом, в заданиях 2, 3 и 4 - протестировать работу установленного ранее Антивируса Касперского 6.0, параллельно изучив структуру резервного хранилища и карантина.
Подготовка
Перед началом лабораторной работы убедитесь, что Ваш компьютер:
Задание 1. Тестовый вирус
Тестовый вирус, разработанный Европейским институтом компьютерных антивирусных исследований, называется EICAR - по аббревиатуре полного названия института (European Institute for Computer Antivirus Research).
EICAR представляет собой небольшой 68-байтный файл. Его расширение можно варьировать в зависимости от сценария тестирования. Если добавить .com, то запуск получившегося файла eicar.com на незащищенном компьютере вызовет только показ уведомления "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Иных, свойственных вирусам проявлений он не несет. Однако если на компьютере стоит и исправно работает антивирус, EICAR будет заблокирован. Это происходит потому, что все ведущие производители антивирусных программ договорились между собой - считать EICAR вирусом и применять к нему все правила и действия, применяемые к настоящим вредоносным программам.
Файл |
Описание |
CURE-EICAR |
Обнаружив такой файл, антивирус должен его "вылечить", сократив его размер до 4 байт (символы "CURE" ) |
DELE-EICAR |
Этот файл Антивирус Касперского определяет как неизлечимый вирус или троянскую программу и удаляет. Следовательно, по результатам проверки DELE-EICAR должен быть обнаружен только в резервном хранилище |
CORR-EICAR |
Предназначен для диагностики работы Антивируса Касперского в случае обнаружения файла с поврежденной структурой, вследствие чего проверить его на наличие вирусов невозможно. Такой файл признается условно чистым |
ERRO-EICAR |
При сканировании такого файла Антивирус Касперского должен вести себя так, как будто произошла ошибка при анализе его содержимого (например, из-за нарушения целостности при проверке многотомного архива или при обрыве связи во время проверки по сети). ERRO-EICAR также признается условно чистым |
SUSP-EICAR |
Этот файл корректно работающий Антивирус Касперского признает подозрительным, а именно зараженным неизвестным вирусом. Следовательно, он должен быть помещен на карантин или удален (в зависимости от настроек, по умолчанию действие при обнаружении подозрительного объекта запрашивается у пользователя) |
WARN-EICAR |
WARN-EICAR также признается подозрительным, но не неизвестным вирусом, а модификацией известного. Это также приводит к предложению поместить его на карантин или удалить (в зависимости от настроек) |
Для более подробного тестирования можно применять другие расширения. Например, если указать .txt, можно проверить проверяются ли текстовые файлы. Для проверки будут ли обнаруживаться вирусы в архивах, EICAR можно заархивировать.
Если открыть EICAR в каком-либо текстовом редакторе, например Блокнот ( Notepad ), то обнаружится, что он состоит из 68 символов:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-
TEST-FILE!$H+H*
Следовательно, тестовый вирус в любой момент можно создать самостоятельно. Для этого нужно только открыть любой текстовый редактор, набрать в нем эту строку и сохранить получившийся файл в формате текстового файла (обычный текст).
EICAR также всегда можно загрузить с сайта Европейского института компьютерных антивирусных исследований http://www.eicar.org .
Суть EICAR такова, что он оказывается неизлечимым. Это происходит потому, что антивирус идентифицирует EICAR как вирус по наличию в нем упомянутых 68 символов. Если их удалить - то от файла ничего не останется. Следовательно, с помощью EICAR можно тестировать только основную функцию антивируса - обнаружение.
Поэтому для тестирования своих продуктов Лаборатория Касперского предлагает использовать модифицированный тестовый вирус, а именно:
Создаются эти файлы по следующему принципу. 68-символьная строка с начала дополняется пятью символами, в зависимости от модификации - приставкой CURE, DELE, CORR, ERRO, SUSP или WARN и дефисом. Например, содержимое CURE-EICAR выглядит так:
CURE-X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
В этом задании нужно создать тестовые вирусы EICAR, CURE-EICAR и SUSP-EICAR.
В этом задании нужно будет создать три файла с тестовыми вирусами: eicar.com, cure-eicar.com и susp-eicar.com. Для того, чтобы антивирус не заблокировал тестовые вирусы еще на подготовительном этапе, нужно временно отключить постоянную защиту.
Для этого вызовите контекстное меню иконки Антивируса Касперского в системной панели и выберите пункт Приостановка защиты2Это действие эквивалентно нажатию кнопки Пауза в главном окне интерфейса в разделе Защита
В открывшемся окне Приостановка защиты оставьте предложенный по умолчанию вариант После перезапуска приложения и нажмите ОК
После этого появится сообщение о том, что защита не работает, а иконка Антивируса Касперского обесцветится. Постоянная защита отключена
Запустите текстовый редактор Блокнот, воспользовавшись системным меню Пуск / Программы / Стандартные / Блокнот
В открывшемся окне наберите строку3Если на Вашем компьютере открыт доступ в Интернет, эту строку можно скопировать со страницы http://www.eicar.org/anti_virus_test_file.htm
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-
TEST-FILE!$H+H*
Сохраните получившийся файл в папку С:\Test4Эта папка была создана в ходе выполнения предыдущей лабораторной работы. Если она на диске отсутствует, создайте ее под именем eicar.com. Для этого воспользуйтесь меню Файл / Сохранить как…
В открывшемся окне перейдите к полю Имя файла и наберите в нем "С:\Test\eicar.com"
Вернитесь к окну Блокнота, нажав Сохранить
Модифицируйте EICAR, добавив к нему приставку "CURE-"
Сохраните получившийся файл под именем "С:\Test\cure-eicar.com", воспользовавшись командой Файл / Сохранить как…
Аналогично создайте SUSP-EICAR, повторив пункты 9-10, но для приставки "SUSP-"
Закройте окно текстового редактора Блокнот
В результате этих действий в папке C:\Test должно появиться три файла: eicar.com, cure-eicar.com и susp-eicar.com. Убедитесь в этом.
Откройте папку C:\Test,
Проверьте размер каждого из файлов. Для этого по очереди наведите курсор мыши на каждый из файлов и ознакомьтесь с информацией, представленной во всплывающем окне.
Файл eicar.com должен иметь размер 68 байт, а cure-eicar.com и susp-eicar.com - по 73 байта
Убедитесь, что при запуске тестовый вирус выводит предупреждающее окно. Для этого запустите eicar.com, дважды щелкнув по нему курсором мыши
Поскольку EICAR представляет собой приложение MS DOS, то при его запуске откроется окно сеанса MS DOS, которое сразу же после выполнения программы закроется. Для того, чтобы увидеть сообщение про то, что EICAR - это тестовый вирус, нужно запустить его через командную строку.
Воспользуйтесь системным меню Пуск / Программы/ Стандартные / Командная строка
В открывшемся окне перейдите к каталогу Test. Для этого нужно набрать команду
cd C:\Test
и нажать клавишу Enter
Перейдя к нужному каталогу, запустите файл eicar.com, набрав команду
eicar.com
и нажав Enter
Ознакомьтесь с сообщением, которое вывел EICAR
Закройте окно командной строки, набрав
exit
и нажав клавишу Enter
Задание 2. Тестирование с помощью EICAR
В этом задании нужно будет протестировать способность установленного Антивируса Касперского обнаруживать вирусы на примере базового тестового вируса EICAR. Предлагается это сделать с помощью задачи поиска вирусов, запускаемой из контекстного меню объектов.
В задании нужно будет при выключенной постоянной защите перейти к папке с тестовыми файлами , найти в ней eicar.com и проверить его на вирусы.
Антивирус Касперского должен найти вирус в eicar.com и запросить дальнейшие действия у пользователя. Поскольку EICAR неизлечим, функция лечения недоступна. Такие файлы всегда рекомендуется удалять, что и нужно будет выбрать в этом задании.
Дополнительно нужно проследить, что удаленные файлы не удаляются, а сначала перемещаются в резервное хранилище.
Обратите внимание, что окно запроса действия разделено на две области. Вверху - информация об обнаруженном вирусе: имя вируса с гиперссылкой на его описание6Эта и подобные ссылки ведут на сайт вирусной энциклопедии Лаборатории Касперского www.viruslist.ru, где всегда можно получить самые последние сведения о вирусах, других угрозах и методах борьбы с ними и полный путь к зараженному файлу.
Ниже, в группе Действие, приводится описание заражения файла (в данном случае написано, что файл заражен вирусом EICAR и лечение его невозможно). Рядом расположены кнопки: Лечить, Удалить, Пропустить. Поскольку вылечить EICAR нельзя, то первая кнопка неактивна.
Вы можете либо пропустить, либо удалить eicar.com. Поскольку как уже говорилось ранее, все зараженные файлы удаляются не насовсем, а всего лишь перемещаются в изолированное резервное хранилище, в случае невозможности лечения рекомендуется выбирать удаление.
Нажмите Удалить
Несмотря на то, что eicar.com был обнаружен задачей проверки по требованию, а сейчас Вы находитесь в разделе Защита, значение поля Обнаружено увеличилось на единицу. Нужно помнить, что в этом окне выводится общая статистика
Перейдите к окну с подробной информацией о резервном хранилище, нажав на группу " Резервное хранилище "
Выделите строку " Заражен: вирус EICAR-Test-File "
Удалите eicar.com, нажав Удалить
Задание 3. Лечение инфицированных файлов
Выполнив задание 2, можно с уверенностью сказать, что установленный Антивирус Касперского обнаруживать вирусы умеет. Теперь нужно проверить, умеет ли он лечить. Это можно сделать, повторив действия предыдущего задания, только для излечимого тестового вируса CURE-EICAR. Однако мы поступим иначе. Проверим, как работает постоянная защита, а именно ее компонент, отвечающий за проверку файловой системы, Файловый Антивирус.
Для этого нужно включить постоянную защиты и затем попытаться получить доступ к cure-eicar.com.
Поскольку ранее в задании 2, на шаге 4, было дано указание удалить файл eicar.com, а не пропустить, в папке осталось только два файла, cure-eicar.com и susp-eicar.com
Обратитесь в файлу cure-eicar.com, один раз щелкнув по нему курсором мыши и не задевая иконку файла susp-eicar.com
Вылечите файл cure-eicar.com, нажав Лечить
Для этого в главном окне интерфейса перейдите к подразделу Файлы данных и нажмите на группу " Резервное хранилище "
Задание 4. Помещение файлов на карантин
Как видно из предыдущих заданий, перед каждым своим вмешательством Антивирус Касперского копирует исходный файл в специальную защищенную папку, называемую резервным хранилищем. Из нее файлы рекомендуется только удалять, поскольку они или признаны инфицированными и при этом неизлечимыми, или были успешно вылечены и следует использовать их вылеченную копию.
В этом задании изучается второе хранилище Антивируса Касперского, карантин.
На карантин ставятся все подозрительные файлы - то есть такие, которые по всем признакам инфицированы, но вердикт об их неизлечимости пока не вынесен. Может быть, при следующем обновлении антивирусных баз в них будет добавлена информация, позволяющая это сделать, или же свидетельствующая о неизлечимости. В первом случае можно будет провести повторную проверку карантина и вылечить теперь уже допускающие лечение файлы, во втором - удалить с перемещением в резервное хранилище.
Еще одно отличие карантина от резервного хранилища состоит в том, что на карантин можно ставить объекты вручную, например если они у пользователя все же вызывают подозрения, несмотря на отрицательный ответ антивируса.
Сначала перейдите к папке C:\Test и нажмите один раз на иконку файла susp-eicar.com
Вам будет предложено три варианта: поместить на карантин, удалить или пропустить. Поскольку файл признан подозрительным, лечение невозможно (иначе бы было предложено его сначала вылечить).
Нажмите Карантин
Обратите внимание на пункт Отправить. Если на компьютере установлен почтовый агент, воспользовавшись этим пунктом можно быстро сформировать и отправить в службу технической поддержки Лаборатории Касперского письмо с просьбой проверить выбранный файл
Лабораторная работа завершена.
Заключение
В ходе этой лабораторной работы было проведено тестирование работы установленного ранее Антивируса Касперского 6.0. Проверялись функции обнаружения и лечения зараженных файлов, а также постановки на карантин подозрительных. Параллельно были получены базовые навыки работы с резервным хранилищем и карантином.
Однако как уже упоминалось ранее, для полноценной работы любого современного антивирусного средства, нужны регулярные обновления антивирусных баз. Для Антивируса Касперского это утверждение также справедливо.
Цель: Эта лабораторная работа позволяет освоить процедуру обновления антивирусных баз на примере настройки и управления соответствующей задачей Антивируса Касперского 6.0
Введение
Большинство современных антивирусных программ в своей работе используют два вида анализа проверяемых объектов: сравнивая их атрибуты и содержимое с сигнатурами известных вирусов (сигнатурный анализ) и проводя анализ их действий по отношению к системе (эвристический анализ). Наиболее надежным и эффективным считается первый метод, поскольку он дает однозначный ответ и по возможности позволяет вылечить инфицированные файлы. Однако он требует регулярной поставки сигнатур всех новых вирусов. Для работы второго метода сигнатуры не нужны. Однако по результатам эвристического анализа часто выносится неточный вердикт, например, что файл "возможно заражен". Лечение таких объектов естественно также невозможно.
Следовательно, нельзя считать надежной антивирусную защиту, построенную только на эвристическом анализаторе. Для действительно эффективной антивирусной системы сигнатурный анализ необходим. Отсюда следует необходимость поддерживать антивирусные базы в актуальном состоянии, регулярно пополняя их описаниями новых, недавно обнаруженных вирусов.
В первом задании необходимо освоить процесс настройки получения обновлений, во втором - запустить задачу обновления и изучить отчет о ее выполнении.
Подготовка
Перед началом лабораторной работы убедитесь, что Ваш компьютер:
Задание 1. Настройка обновления
Настроить и запустить процесс обновления антивирусных баз можно не только с помощью интерфейса уже установленного Антивируса Касперского. Мастер настройки, запускаемый после Мастера установки, уже во время инсталляции позволяет настроить параметры обновления, как и ряда других важных задач.
В ходе выполнения лабораторной работы, посвященной установке, были оставлены все предложенные Мастером значения по умолчанию. Следовательно, сейчас Антивирус Касперского должен быть настроен в соответствии с рекомендованными большинству пользователей настройками.
В этом задании нужно ознакомиться с настройками по умолчанию для задачи получения обновлений и при необходимости внести в них изменения (в соответствии с использующимися на Вашем компьютере настройками сети).
Антивирус Касперского может загружать два вида файлов обновлений: обновления антивирусных баз (новые обновления выходят не реже раза в час) и обновления файлов приложений, то есть самой программы (выходят значительно реже). По умолчанию флаг Обновлять модули приложения отмечен, однако при наличий ограничений на трафик его можно очистить.
Для доступа к окну настройки сети служит кнопка Настройка
Перейдите к окну настройки сетевых параметров, нажав кнопку Настройка
Если структура Вашего компьютерного класса предполагает выход в Интернет, настройте сетевые параметры в соответствии с предоставленными преподавателем данными
Источник обновления - это еще один важный параметр задачи получения обновлений. По умолчанию обновления загружаются с серверов Лаборатории Касперского. Их адреса фиксированы разработчиками программы и изменению не подлежат. Серверам обновлений Лаборатории Касперского соответствует одноименный пункт в списке всех источников.
Антивирус Касперского позволяет загружать обновления и из других источников. Например, можно вручную загрузить их с сайта Лаборатории Касперского и скопировать на локальный жесткий диск с помощью компакт-диска или другого мобильного носителя. В случае ограниченного доступа в Интернет часто применяется сценарий, когда файлы обновлений копируются на некий общий сетевой ресурс и все компьютеры этой сети обновляются уже с него.
Для этого нажмите кнопку Добавить и в поле Источник наберите " C:\Test "
Если в этом перечне содержится более одного активного источника (флаг перед которым отмечен), Антивирус Касперского обращается к ним по очереди, по списку. Сначала опрашивается первый источник. Только если связи с ним нет, антивирус переходит ко второму и так до конца списка пока обновление не завершится успешно.
Поскольку в папке C:\Test находится лишь вылеченный тестовый вирус, снимите отметку с соответствующего пункта
Эта настройка может быть полезна в случае, когда только Ваш компьютер имеет доступ в Интернет, а другие компьютеры сети - нет. В этом случае можно настроить автоматическое копирование файлов обновлений, полученных Вашим антивирусом, в определенный каталог. Тогда эту папку можно будет указать в качестве источника обновлений в настройках остальных компьютеров сети.
Настройка Запуск от имени может быть необходима в случае, если учетная запись системы Вашего компьютера не обладает достаточными правами на доступ к источнику обновления, например сетевой папке. В этом случае нужно отметить флаг Запуск от имени, узнать у системного администратора сети или преподавателя имя учетной записи, обладающей такими правами, и ее пароль и заполнить одноименные поля
Задание 2. Запуск процедуры обновления
Работа с обновлением во многом повторяет управление задачами поиска вирусов: по умолчанию она не работает, запускается по расписанию и/или по требованию пользователя, при необходимости можно путем дублирования системной задачи Обновление создать свою собственную.
В этом задании нужно будет запустить настроенную ранее задачу обновления антивирусных баз и ознакомиться с результатами ее выполнения.
Как и в случае задач поиска вирусов, здесь расположено две группы - " Настройка " и " Статистика ". Статусная строка также содержит кнопки управления () и отображает состояние выполнения этой задачи.
Во время установки были оставлены все настройки, предлагаемые Мастером. Они предполагают наличие постоянного доступа в Интернет, причем со стандартными параметрами подключения к сети. Режим работы задачи обновления был оставлен в положении Автоматически. Следовательно, в процессе выполнения последующих двух лабораторных работ Антивирус Касперского пытался получить обновления в автоматическом режиме.
Если настройки Вашего компьютера позволяют подключиться к Интернет с использованием этих параметров - Антивирус Касперского самостоятельно все это время проводит обновления. В этом случае окно задачи Обновление должно выглядеть так, как изображено на первом рисунке, а в статусной строке должно быть записано " Обновление : завершено "
Если конфигурация Вашего компьютера такова, что для доступа в Интернет нужны особые настройки, а в ходе выполнения установки были оставлены предложенные по умолчанию, по завершении инсталляции Антивируса Касперского попытается обновиться, но у него ничего не получится. В этом случае главное окно в подразделе Обновление будет выглядеть примерно так:
О неудачности обновления свидетельствует статус, в котором после названия задачи через двоеточие указывается причина, например " Обновление: Ошибка разрешения DNS-имени ".
Если такое сообщение было получено уже после настройки, следует обратиться в системному администратору Вашей сети или преподавателю.
Дополнительно о проблемах с обновлением можно судить по цвету названия подраздела Обновление: оно приобретает красный оттенок.
Если этого не произошло, нужно проверить настройки сети, повторив задание 1. Если причина не в них, обратитесь к системному администратору сети или преподавателю
Закройте окно статистики, нажав Закрыть
Заключение
Регулярное обновление антивирусных баз - важная составляющая надежной антивирусной защиты. В этой лабораторной работе была подробно изучена процедура его настройки, элементы управления и окно статистики.
В общем случае пользователь должен сам периодически проверять актуальность использующихся баз. Это можно всегда сделать открыв главное окно интерфейса Антивируса Касперского и перейдя к подразделу Обновление.