Работа 18
КОНТРОЛЬ НАСТРОЕК И РАБОТЫ АНТИВИРУСНЫХ СРЕДСТВ
Цель: получение навыков выполнения контроля настроек и работы антивирусных средств на примере программы «Антивирус Касперского 7.0».
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1.Настройка Файлового Антивируса.
2.Настройка Почтового Антивируса.
3.Настройка Web-Антивируса.
4.Настройка Проактивной защиты.
5.Тестирование работоспособности антивируса.
6.Контроль целостности приложения.
АНТИВИРУСНАЯ ЗАЩИТА
Файловый Антивирус
В состав Антивируса Касперского включен специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения − Файловый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые файлы.
По умолчанию Файловый Антивирус проверяет только новые или измененные файлы, т.е. файлы, которые добавились или изменились со времени последнего обращения к ним. Процесс проверки файла выполняется по следующему алгоритму:
1.Обращение пользователя или некоторой программы к каждому файлу перехватывается компонентом.
2.Файловый Антивирус проверяет наличие информации о перехваченном файле в базе iChecker™ и iSwift™. На основании полученной информации принимается решение о необходимости проверки файла.
451
Процесс проверки включает следующие действия:
1.Файл анализируется на присутствие вирусов. Распознавание вредоносных объектов происходит на основании баз приложения. Базы содержат описание всех известных на настоящий момент вредоносных программ, угроз, сетевых атак и способов их обезвреживания.
2.В результате анализа возможны следующие варианты поведения приложения:
•если в файле обнаружен вредоносный код, Файловый Антивирус блокирует файл, помещает его копию в резервное хранилище
ипытается вылечить файл. В результате успешного лечения файл становится доступным для работы, если же лечение произвести не удалось, файл удаляется;
•если в файле обнаружен код, похожий на вредоносный, но стопроцентной гарантии этого нет, файл подвергается лечению и
помещается в специальное хранилище − карантин;
•если в файле не обнаружено вредоносного кода, он сразу же становится доступным для работы.
То, каким образом осуществляется защита файлов на компьютере, определяется набором параметров. Их можно разбить на следующие группы:
•параметры, определяющие типы файлов, подвергаемые анализу на вирусы;
•параметры, формирующие защищаемую область;
•параметры, задающие список файлов, которые не проверяются Файловым Антивирусом;
•параметры, определяющие использование методов эвристического анализа Файловым Антивирусом;
•дополнительные параметры работы Файлового Антивируса.
Почтовый Антивирус
В состав Антивируса Касперского включен специальный компонент, обеспечивающий защиту входящей и исходящей почты на наличие опасных объектов, − Почтовый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все почтовые сообщения
452
по протоколам POP3, SMTP, IMAP, MAPI1 и NNTP, а также через защищенные соединения (SSL) по протоколам POP3 и IMAP.
По умолчанию защита почты осуществляется по следующему алгоритму:
1.Каждое письмо, принимаемое или отправляемое пользователем, перехватывается Почтовым Антивирусом.
2.Почтовое сообщение разбирается на составляющие его части: заголовок письма, тело, вложения.
3.Тело и вложения почтового сообщения (в том числе вложенные OLE-объекты) проверяются на присутствие в нем опасных объектов. Распознавание вредоносных объектов происходит на основании баз, используемых в работе приложения, и с помощью эвристического алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнаруживать новые вирусы, еще не описанные в базах.
4.В результате проверки на вирусы возможны следующие варианты поведения:
•если тело или вложение письма содержит вредоносный код, Почтовый Антивирус блокирует письмо, помещает копию зараженного объекта в резервное хранилище и пытается обезвредить объект. В результате успешного лечения письмо становится доступным для пользователя, если же лечение произвести не удалось, зараженный объект из письма удаляется. В результате антивирусной обработки в тему письма помещается специальный текст, уведомляющий о том, что письмо обработано Антивирусом Касперского;
•если тело или вложение письма содержит код, похожий на вредоносный, но стопроцентной гарантии этого нет, подозритель-
ная часть письма помещается в специальное хранилище − карантин;
•если в письме не обнаружено вредоносного кода, оно сразу же становится доступным для пользователя.
Правила, по которым осуществляется проверка почты, определяются набором параметров. Их можно разбить на следующие группы:
•параметры, определяющие защищаемый поток сообщений;
453
•параметры, задающие список объектов, которые не проверяются Почтовым Антивирусом;
•параметры, определяющие использование методов эвристического анализа Почтовым Антивирусом;
•параметры, определяющие действия над опасными объектами почтовых сообщений.
Web-Антивирус
Для обеспечения безопасности работы в интернете Антивирус Касперского включает специальный компонент − Web-Антивирус. Он защищает информацию, поступающую на компьютер по HTTPпротоколу, а также предотвращает запуск на компьютере опасных скриптов.
Web-Антивирус состоит из двух модулей, обеспечивающих: защиту HTTP-трафика − проверку всех объектов, поступающих
на компьютер пользователя по протоколу HTTP;
проверку скриптов – проверку всех скриптов, обрабатываемых в Microsoft Internet Explorer, а также любых WSH-скриптов (JavaScript, Visual Basic Script и др.), запускаемых при работе поль-
зователя на компьютере, в том числе и в интернете.
Защита HTTP-трафика обеспечивается по следующему алгоритму:
1.Каждая Web-страница или файл, к которому происходит обращение пользователя или некоторой программы по протоколу HTTP, перехватывается и анализируется Web-Антивирусом на присутствие вредоносного кода. Распознавание вредоносных объектов происходит на основании баз, используемых в работе Антивируса Касперского, и с помощью эвристического алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнаруживать новые вирусы, еще не описанные в базах.
2.В результате анализа возможны следующие варианты поведения:
• если Web-страница или объект, к которому обращается пользователь, содержат вредоносный код, доступ к нему блокируется;
454
•если файл или Web-страница не содержат вредоносного кода, они сразу же становятся доступны для пользователя.
Проверка скриптов выполняется по следующему алгоритму:
1.Каждый запускаемый на Web-странице скрипт перехватывается Web-Антивирусом и анализируется на присутствие вредоносного кода.
2.Если скрипт содержит вредоносный код, Web-Антивирус блокирует его.
3.Если в скрипте не обнаружено вредоносного кода, он выполняется.
Пользователь может настроить ряд параметров WebАнтивируса, направленных на повышение скорости работы компонента, а именно:
•определить алгоритм проверки, выбрав использование полного или ограниченного набора баз приложения;
•сформировать список адресов, содержанию которых вы доверяете.
Помимо этого пользователь может выбрать действие над опасным объектом HTTP-трафика, которое будет выполнять WebАнтивирус.
Проактивная защита
Антивирус Касперского защищает не только от известных угроз, но и от новых, информация о которых отсутствует в базах приложения. Это обеспечивает специально разработанный компонент − Проактивная защита.
Превентивные технологии, на которых построена Проактивная защита Антивируса Касперского, позволяют избежать потери времени и обезвредить новую угрозу еще до того, как она нанесет вред компьютеру. За счет чего это достигается? В отличие от реактивных технологий, где анализ выполняется на основании записей баз приложений, превентивные технологии распознают новую угрозу на компьютере по последовательности действий, выполняемой некоторой программой. В поставку программы включен набор критериев, позволяющих определять, насколько активность той или иной программы опасна. Если в результате анализа активности последовательность действий какой-либо программы вызывает подозрение,
455