Лабораторная работа №15.

 

HАИМЕНОВАНИЕ:Настройка и работа с антивирусным ПО.

1.ЦЕЛЬ РАБОТЫ:

1.1. Познакомиться с настройкой Dr.web 8.0.

1.2. Повторить приемы работы с антивирусным ПО, настройку.

 

2.ЛИТЕРАТУРА:

2.1. http://www.intuit.ru/studies/courses/2259/155/lecture/2270?page=2 -Дополнительные средства антивирусного ПО.

2.2. https://sites.google.com/site/moiknigiilekcii/lekcii/informatika/Lekcia09/5 -Перспективы развития антивирусного ПО

 

3.ПОДГОТОВКА К РАБОТЕ:

3.1. Изучить предложенную литературу.

3.2. Подготовить бланк отчёта.

 

4. ОСНОВНОЕ ОБОРУДОВАНИЕ:
4.1. IBM PC.

 

5. СОДЕРЖАНИЕ ОТЧЕТА:

5.1. Наименование и цель работы.

5.2. Ответы на контрольные вопросы.

5.3. Описание выполненной практической работы на ПК.

5.4. Выводы о проделанной работе.

 

6. КОНТРОЛЬНЫЕ ВОПРОСЫ:

6.1. Перечислите функции антивусных программ.

6.2. Чем опрелеляется качество антивирусной программы?

6.3. Существуют ли программы, гарантирующие стопроцентную защиту от вирусов?

6.4. Была ли математически доказана невозможность существования абсолютного антивируса? Если да, то кем, когда и на основе чего?

6.5. Что такое модуль: резидентной защиты, "протектора" антивируса, коннектор к антивирусу-серверу, сканера компьютера?

6.6. Что такое дополнительные модули?

6.7. Какие функции они выполняют?

6.8. Что такое модуль: обновления, планирования, управления, карантин?

6.9. Что отностится к наиболее важным функциям модуля управления?

6.10. Каковы основные моменты использования современных антивирусных программ?

6.11. Опишите настройку Dr.web 8.0.

6.12.Каковы перспективы развития антивирусного ПО?

 

7. ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ:

7.1. Используйте версию Dr.web 8.0.

7.2. Настраивать будем две группы настроек — общие настройки Dr.Web и настройки компонента SpIDer Guard. Если используете операционную систему Windows Vista или Windows 7 предварительно необходимо перейти в административный режим (рис.1).
Для этого кликните на значке программы Dr.web в системном трее (правый нижний угол экрана) правой кнопкой мыши и, в появившемся контекстном меню выберите пункт «Административный режим». На запрос системы о подтверждении действия ответьте утвердительно.

7.3.Настройка Dr.Web 8.0

7.3.1. Выберите в контекстном меню пункт «Инструменты» => «Настройки», вкладку «Основные» единого окна настроек. Аналогичным образом, при выборе в контекстном меню «SpIDer Guard» => «Настройки» пользователь попадал в окно настроек компонента SpIDer Guard, теперь же на вкладку «SpIDer Guard» того же единого окна настроек программы. Теперь переходим в общие настройки программы Dr.Web.

 

7.3.2. Найдите значок программы в системном трее. Кликните правой кнопкой мыши, в контекстном меню выберите пункт «Инструменты», далее подпункт «Настройки».
В результате на экране откроется вкладка «Основные» единого окна настроек программы Dr.Web: Настройка общих параметров программы Dr.Web 8.0.

В новой версии Dr.Web 8 большинство настроек по умолчанию удовлетворяют необходимым требованиям антивирусной безопасности. Внесите лишь несколько именений, чтобы усилить. На вкладке «Основные» единого окна настроек антивируса Dr.Web перейдите в меню слева «Превентивная защита».

7.3.3. «Уровень блокировки подозрительных действий» установите на средний уровень. По умолчанию ползунок «Уровня блокировки подозрительных действий» установлен на «Минимальный (рекомендуется)». При данном уровне блокировки такие параметры как:«Запрет модификации системного файла HOSTS», «Запрет приложениям низкоуровневой записи на жесткий диск», «Запрет модификации важных объектов Windows», а также защита ассоциации исполняемых файлов и конфигурации безопасного режима уже установлены. Но если пользователь активно использует сеть интернет, локальную сеть или сторонние сменные носители, разумнее было бы установить именно средний уровень блокировки, который запрещает автоматическое изменение объектов системы, которые могут быть потенциально использованы вредоносными программами. Однако следует иметь в виду, что возможен конфликт совместимости со сторонним программным обеспечением, использующим защищаемые ветки реестра, о чем дословно и указывается в данной настройке.

Важное замечание: Если при установке важных обновлений от Microsoft или при установке и работе программ (в том числе программ дефрагментации) возникают проблемы, следует отключить запрет на низкоуровневую запись на жесткий диск или другие опции в пользовательском режиме.

7.4. Настройте Уровень блокировки подозрительных действий, которые могут привести к заражению вашего компьютера, в «Пользовательском режиме». Например, некоторые вирусы, примостившись в недрах вашего ПК (т.н. черви), загружают из сети свой основной вредоносный код и устанавливают его автоматическую загрузку при следующем запуске ПК. При желании, например, можно защитить параметры автозагрузки системы (а чтобы видеть, кто желает прописать себя в автозагрузку установить параметр для опции «Автозапуск программ» на «Спрашивать», и тогда Dr.Web выдаст соответствующий запрос, разрешить ли той или иной программе прописаться в автозагрузке). Или другой пример, если вы для каких-то целей используете файл «HOSTS» (можно, например, переадресовать адрес какого-либо сайта на локальный компьютер, запретив к нему, таким образом, доступ), то Dr.Web при стандартных настройках расценит это как угрозу и вернет файл hosts в первоначальное состояние.

7.4.1. Установите в пользовательском режиме для опции «HOSTS файл» настройку «Спрашивать», теперь вы сможете отредактировать этот файл, ответив положительно за запрос антивируса

7.5. Проверьте установку флага «Проверять компьютер на наличие руткитов (рекомендуется)».

7.5.1. Удостоверьтесь, что флаг данной настройки установлен, т.к. это очень важная настройка. Входящий в состав Dr.Web Антируткит позволяет в фоновом режиме проводить проверку вашей операционной системы на наличие сложных угроз и при необходимости проводит лечение активного заражения.

Руткиты - вредоносные программы, предназначенные для сокрытия изменений в операционной системе, таких как работа определенных процессов, модификация ключей реестра, папок или файлов и являются опаснейшим классом вредоносных программ, именно в силу того, что данные вредоносы труднообнаружимы и стремятся овладеть наибольшими привилегиями в системе. Поиск руткитов производится в системном BIOS компьютера и таких критических областях Windows, как объекты автозагрузки, запущенные процессы и модули, оперативная память, MBR/VBR дисков и др. Производитель утверждает, что антируткит Dr.Web бережно расходует системные ресурсы операционной системы с учетом производительности аппаратного обеспечения.

7.6. На вкладке «Основные» перейдите к меню слева «Самозащита».

Установите флаг – «Запрещать эмуляцию действий пользователя». Данная настройка позволяет предотвратить любые изменения в работе Dr.Web, производимые автоматизированно. В том числе будет запрещено исполнение скриптов, эмулирующих работу пользователя с программой Dr.Web, запущенных самим пользователем.

По желанию — «Защищать паролем настройки Dr.Web». Данная настройка не является обязательной. Но она может полезной в следующих случаях. Если кроме Вас компьютер использует кто-то, кто не обладает достаточными знаниями, то для предотвращения несанкционированного доступа к настройкам можно установить пароль. При отключении некоторых важных модулей, например, SpIDer Guard, SpIDer Gate, Брандмауэра антивирус Dr.Web открывает окошко с капчей (CAPTCHA) – некую картинку, цифры, изображенные на которой предлагается ввести в текстовое поле, чтобы завершить операцию отключения. Так вот, если включить опцию защиты настроек паролем, то вместо этого программа предложит ввести этот пароль. Если, например, ввести в качестве пароля «0000», то согласитесь, вводить такой пароль будет удобней, чем каждый раз вглядываться, что за там за цифры. Но отключать эти модули рекомендуется лишь ненадолго и в исключительных случаях (в каких – решать Вам и это не тема данной статьи).

7.7. Настройте модуль SpIDer Guard программы Dr.Web 8.0.

7.7.1. Переключитесь на вкладку «SpIDer Guard» вверху окна единых настроек антивируса (в меню слева выбран пункт «Проверка»). Напомним, что пункт контекстного меню значка Dr.Web в системном трее также приведет вас на эту вкладку. На этой вкладке добавляем всего три настройки.

7.7.2. Установите флаг – «Проверять инсталляционные пакеты». Включение данной настройки может кому-то показаться спорной, но, по мнению автора, для большей безопасности Вашего ПК все же стоит активизировать данную настройку.

7.7.3. Установите флаг – «Проверять объекты на съемных носителях».Установите этот флажок, чтобы сканировать файлы на сменных носителях информации (CD/DVD диски, магнитные диски (FDD), flash-накопители и прочие носители информации, подключаемые через USB-порт и т.п.) при любом обращении к ним, в том числе при открытии файлов с правами только на чтение. Если флажок снят, то сканирование файлов на сменных носителях будет производиться только при запуске этих файлов на исполнение. Основные каналы распространения вирусов, особенно в офисе, это интернет и флеш накопители. Очень часто приходится переносить информацию с одного компьютера на другой, а вместе с ним и вирусы. Установка этого параметра является просто обязательной. Вирусы, переносимые с флешек, особенно на работе, просто бич современных ПК.

7.7.4. Установите флаг – «Блокировать автозапуск со сменных носителей».Данная настройка запрещает автоматический запуск активного содержимого внешних носителей данных (CD/DVD дисков, флеш-памяти и т.д.). Использование этой настройки помогает предотвратить заражение вашего компьютера через внешние носители. Но также может вызывать некоторые неудобства в связи с тем, что установка программ с CD дисков не будет происходить автоматически, и меню таких дисков не будут запускаться. Но, учитывая количество заражений ПК вирусами именно со сменных носителей, включение данной настройки представляется необходимой. Ведь именно посредством автозапуска активизируется большинство вредоносного кода с любимых нами и так необходимых флешек. Хочется отметить, что иногда автозапуск со сменных носителей бывает необходим. В таких случаях рекомендуется проверить сменный носитель сканером Dr.Web и только потом, временно(!), отключить данную настройку.

Среди новшеств Dr.Web 8.0, связанными со съемными носителями, в модуле родительского контроля появилась очень интересная возможность контроля доступа к сменным носителям, позволяющая разрешать доступ только к доверенным носителям.

7.8. Настройки модуля «Родительский контроль» программы Dr.Web 8.0.

 

7.8.1. На вкладке «Родительский контроль» выберите пункт меню слева «Контроль доступа». Для того чтобы запретить полностью доступ к сменным носителям установите флагЗапрещать доступ к данным на сменных носителях (USB флеш-накопители, дискеты, CD/DVD-приводы...). Таким образом, если вам понадобится установить блокировку USB-флешек, то достаточно установить этот флаг. Но если вам необходимо обеспечить доступ только к доверенным сменным носителям, то необходимо доверенный накопитель внести в Белый список. Для этого нажмите на кнопку «Белый список» и в появившемся окне нажмите кнопку «Добавить» (п.1). При этом доверенное устройство должно быть подключено к ПК, тогда его можно будет выбрать, выделив мышкой (п.2) и нажав ОК. Используя, сочетание функций защиты настроек Dr.Web паролем и данной функции, можно запретить доступ к сменным носителям не только компьютеру, но и посторонним людям - доступ, например, к флешке будет блокирован антивирусом, а отменить блокировку посторонний человек, не зная пароля, не сможет.

Аналогичным образом можно запретить или ограничить доступ к конкретному файлу или папке, отдельному устройству или целому классу устройств на вашем ПК, установив флажок «Контролировать доступ к следующим объектам» и выбрав их в списке.

Еще одним новшеством в Dr.Web 8.0 является возможность ограничения доступа к веб-ресурсам и времени работы пользователей за компьютером и в сети Интернет для каждого из пользователей компьютера. Параметры работы задаются отдельно для каждого пользователя и отображаются рядом с рисунком для соответствующей учетной записи. В окне настроек учетные записи отображаются автоматически. С помощью данной функции можно, например, запрещать детям по определенным дням недели и часам выход в интернет или работу за компьютером полностью, а также ограничивать доступ к определенным категориям веб-ресурсов.

 

Работу составил преподаватель Ходотова Е.А.

 

ПРИЛОЖЕНИЕ

Механизм работы современных антивирусов

Современный антивирус является сложным программным средством, которое должно обеспечить надежную защиту компьютерного устройства (компьютера, карманного компьютера или нетбука) от различных вирусов (зловредных программ). Общая схема антивируса представлена на рисунке ниже:

Рис. Схема антивируса

Как видно из схемы, антивирус состоит из следующих частей:

• Модуль резидентной защиты
• Модуль карантина
• Модуль "протектора" антивируса
• Коннектор к антивирусу-серверу
• Модуль обновления
• Модуль сканера компьютера

Модуль резидентной защиты является основным компонентом антивируса, находящийся в оперативной памяти компьютера и сканирующий в режиме реального времени все файлы, с которыми осуществляется взаимодействие пользователя, операционной системы или других программ. Слово "резидентный" означает "невидимый", "фоновый". Резидентная защита проявляет себя только при нахождении вируса. Именно на резидентной защите основывается главный принцип антивирусного ПО — предотвратить заражение компьютера. В ее состав входят такие компоненты, как активная защита (сравнение антивирусных сигнатур со сканируемым файлом и выявление известного вируса) и проактивная защита (совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе).

Модуль карантина является модулем, который отвечает за помещение подозрительных файлов в специальное место, именуемое карантином. Файлы, перемещенные в карантин, не имеют возможности выполнять какие-либо действия (они заблокированы) и находятся под наблюдением антивируса. Антивирус принимает решение поместить файл на карантин при обнаружении в файле признака вирусной деятельности (при этом сам файл с точки зрения антивируса вирусом в этом случае не является, просто файл является потенциальной угрозой), либо если файл действительно заражен вирусом, но его необходимо излечить, а не удалять целиком (например, важный документ пользователя, в который попал вирус). В последнем случае файл будет помещен в карантин для последующего излечения от вируса (если же антивирус не сможет вылечить файл, его придется удалить, либо оставить, в надежде на то, что с новым обновлением антивирус сможет вылечить этот файл). Обычно карантин создается в особой папке антивирусной программы, которая изолирована от каких-либо действий, кроме действий со стороны антивируса.

Модуль протектора антивируса является модулем, который защищает антивирус от стороннего вмешательства со стороны различных программных средств. Этот модуль является защитником антивируса. Часто вирусы хотят стереть антивирус или предотвратить его работу путем блокировки антивируса. Модуль протектора антивируса не даст это сделать. Впрочем, не все современные антивирусы снабжены качественными протекторами. Некоторые из них ничего не могут сделать против современных вирусов, а вирусы в свою очередь могут спокойно и беспрепятственно полностью стереть антивирус. Также появились вирусы, которые имитируют удаление антивируса со стороны пользователя, то есть протектор антивируса считает, что сам пользователь по каким-либо причинам хочет удалить антивирус, и поэтому не препятствует этому, хотя на самом деле это деятельность вируса. В настоящее время антивирусные компании стали более серьезно подходить к выпуску протекторов, и становится очевидно, что если антивирус не будет иметь хороший протектор, его эффективность в борьбе с вирусами будет очень мала.

Коннектор к антивирусу-серверу является важной частью антивируса. Коннектор служит для соединения антивируса к серверу, с которого антивирус может скачать актуальные базы с описанием новых вирусов. При этом соединение должно проходить по специальному защищенному Интернет-каналу. Это очень важный момент, так как злоумышленник может подложить неверные антивирусные базы с лживым описанием вирусов, если антивирус будет соединяться с сервером по незащищенному Интернет-каналу. Также в современных антивирусах коннектор служит еще и для соединения к специальному серверу, который управляет антивирусом. Подобное соединение изображено на рисунке ниже:

Рис.Схема соединения к серверу

Как видно из рисунка, коннектор позволяет соединять множество антивирусов пользователей с единым антивирусом-сервером, с которого антивирусы пользователя могут скачивать обновления, а также если на стороне антивируса пользователя возникли какие-либо неразрешимые проблемы, то антивирус-сервер будет удаленно их решать (например, у антивируса пользователя стал неисправен какой-либо из модулей и антивирус-сервер предоставит этот модуль отдельно для скачивания). В этом случае также очень важную роль играет защищенность канала передачи (канала связи) информации. Со стороны злоумышленников стала применяться интересная практика, в результате которой захватывается контроль над самим каналом передачи информации, и фактически злоумышленник становится управляющим для антивирусов пользователя (для всех или частично, в зависимости от того, какой именно участок канала передачи будет перехвачен злоумышленником). В свою очередь, создатели антивирусов стали зашифровывать данные на канале информации, чтобы злоумышленник не мог получить к ним доступ и как-либо завладеть ими.

Модуль обновления отвечает за то, чтобы обновление антивируса, его отдельных частей, а также его антивирусных баз прошло правильно. В современной практике создания антивирусов стала применяться следующая идея: модуль обновления также должен определять подлинные или нет антивирусные базы скачивает сам модуль. Подлинность при этом может проверяться различными методами - от проверок контрольной суммы файла с базами до поиска внутри файла с базами специальной метки, которая говорит о том, что этот файл является подлинным. Подобные действия стали вводиться после того, как участились случаи подмены антивирусных баз со стороны злоумышленников.

Модуль сканера компьютера является, пожалуй, самым старым модулем в современных антивирусах, так как раньше антивирусы состояли только из этого модуля. Этот модуль отвечает за то, чтобы сканировать компьютер на наличие вирусов, если этого будет требовать пользователь компьютера. Сам модуль при сканировании компьютера использует антивирусные базы, которые были добыты с помощью модуля обновления антивируса. Если сканер найдет, но не справится с вирусом сразу же, то он поместит файл с вирусом в карантин. Потом, впоследствии, модуль сканера компьютера может связаться через коннектор с антивирусом-сервером и получить инструкции по обезвреживанию зараженного файла. Следует отметить, что модуль сканера компьютера предназначен для профилактики компьютера от вирусов, так как основную защиту представляет модуль резидентной защиты. В модуле сканера компьютера используются только антивирусные базы, в которых четко описаны вирусы. Различные элементы проактивной защиты (например, эвристика) не используются в модуле сканера компьютера. Обычно создатели вирусов не строят специальную защиту для своих вирусов от модулей сканера компьютера, так как знают, что пользователь не часто проверяет компьютер сканером, и этого промежуточного времени от проверки до проверки хватит, чтобы украсть персональные данные пользователя.