Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014

Антивирус Касперского применяет действие, заданное правилом для активности подобного рода.

Опасная активность определяется по совокупности действий программы. Например, при обнаружении таких действий как самокопирование некоторой программы на сетевые ресурсы, в каталог автозапуска, системный реестр, а также последующая рассылка копий, можно с большой долей вероятности предположить, что это программа – червь. К опасным действиям также относятся:

•изменения файловой системы;

•встраивание модулей в другие процессы;

•скрытие процессов в системе;

•изменение определенных ключей системного реестра

Microsoft Windows.

Все опасные операции отслеживаются и блокируются Проактивной защитой. В процессе работы Проактивная защита использует набор правил, включенных в поставку программы, а также сформированных пользователем при работе с приложением. Правило – это набор критериев, определяющих совокупность подозрительных действий и реакцию Антивируса Касперского на них. Отдельные правила предусмотрены для активности приложений, контроля изменений системного реестра и запускаемых на компьютере программ. Пользователь может изменять правила по своему усмотрению, добавляя, удаляя или изменяя их. Правила могут быть запрещающими или разрешающими.

Рассмотрим алгоритм работы Проактивной защиты.

1. Сразу после запуска компьютера Проактивная защита анализирует следующие аспекты:

•действия каждого запускаемого на компьютере приложения. История выполняемых действий и их последовательность Фиксируется и сравнивается с последовательностью, характерной для опасной активности (база видов опасной активности включена в поставку Антивируса Касперского и обновляется вместе с базами приложения);

•целостность программных модулей установленных на компьютере приложений, что позволяет избежать подмены модулей приложения, встраивания в них вредоносного кода;

•каждую попытку изменения системного реестра (удаление, добавление ключей системного реестра, ввод значений для ключей в

456

недопустимом формате, препятствующем их просмотру и редактированию, и т.д.);

2.Анализ производится на основании разрешающих и запрещающих правил Проактивной защиты.

3.В результате анализа возможны следующие варианты поведе-

ния:

•если активность удовлетворяет условиям разрешающего правила Проактивной защиты, либо не подпадает ни под одно запрещающее правило, она не блокируется;

•если активность описана в запрещающем правиле, дальнейшая последовательность действий компонента соответствует инструкциям, указанным в правиле. Обычно такая активность блокируется. На экран выводится уведомление, где указывается приложение, тип его активности, история выполненных действий. Пользователю нужно самостоятельно принять решение, запретить или разрешить такую активность. Вы можете создать правило для такой активности

иотменить выполненные действия в системе.

Проактивная защита осуществляется в строгом соответствии с параметрами, определяющими:

1)подвергается ли контролю активность приложений на компьютере. Такой режим работы Проактивной защиты регулируется флажком «Включить анализ активности». По умолчанию режим включен, что обеспечивает строгий анализ действий любой программы, запускаемой на компьютере. Выделен набор опасной активности, для каждой из которых вы можете настроить порядок обработки приложений с такой активностью. Также предусмотрена возможность формирования исключений Проактивной защиты, где пользователь может отменить контроль активности избранных приложений;

2)включен ли контроль целостности приложений. Данная функциональность отвечает за целостность модулей установленных на компьютере приложений и регулируется флажком «Включить контроль целостности». Целостность отслеживается по составу модулей приложения и контрольной сумме образа самого приложения. Пользователь может сформировать правила контроля над целостностью модулей какого-либо приложения, для этого необходимо внести это приложение в список контролируемых;

457

3) обеспечивается ли контроль изменений системного реестра. По умолчанию флажок «Включить мониторинг системного реестра» установлен, а значит, Антивирус Касперского анализирует все попытки внести изменения в контролируемые ключи системного реестра Microsoft Windows.

МЕТОДИКА И ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ

1.Настройка Файлового Антивируса

1.Откройте главное окно программы «Антивирус Касперского

7.0».

2.Нажмите кнопку «Настройка», находящуюся в нижней части главного окна.

3.В появившемся окне настроек (рис. 18.1) выберите пункт «Файловый Антивирус».

Рис. 18.1. Окно настроек антивируса

458

4. Убедитесь, что установлен флажок «Включить Файловый Антивирус» и что в качестве «Действия» выбрано «Запросить действие». Такие настройки обеспечивают следующее:

•Файловый Антивирус работает;

•при обнаружении опасности пользователю будет предоставлена возможность самому выбрать необходимые действия.

5. Нажмите на кнопку «Настройка», в появившемся окне настроек Файлового Антивируса изучите возможные варианты настроек на всех вкладках.

6. Попробуйте изменять произвольным образом данные настройки и проследите, как в зависимости от установленных настроек меняется производительность программы.

7. Проанализируйте полученную информацию.

8. Нажмите кнопку «ОК» окна «Настройка: Файловый антивирус» для того чтобы закрыть его, а затем нажмите кнопку «По умолчанию», таким образом будут восстановлены стандартные настройки Файлового Антивируса.

2.Настройка Почтового Антивируса

1.Откройте главное окно программы «Антивирус Касперского

7.0».

2.Нажмите кнопку «Настройка», находящуюся в нижней части главного окна.

3.В появившемся окне настроек выберите пункт «Почтовый Антивирус».

4.Убедитесь, что установлен флажок «Включить Почтовый Антивирус», что в качестве «Действия» выбрано «Запросить действие» и что установлены все флажки в пункте «Встраивание в систему». Такие настройки обеспечивают следующее:

•Почтовый Антивирус работает;

•при обнаружении опасности пользователю будет предоставлена возможность самому выбрать необходимые действия;

•проверяются все почтовые сообщения вне зависимости от почтового клиента;

•используется специальный модуль для почтовых клиентов

«Microsoft Office Outlook» и «The Bat!».

459

5.Нажмите на кнопку «Настройка», в появившемся окне настроек Почтового Антивируса изучите возможные варианты настроек на всех вкладках.

6.Проанализируйте полученную информацию.

7.Нажмите кнопку «Отмена» окна «Настройка: Почтовый антивирус» для того чтобы закрыть его.

3.Настройка Web-Антивируса

1.Откройте главное окно программы «Антивирус Касперского

7.0».

2.Нажмите кнопку «Настройка», находящуюся в нижней части главного окна.

3.В появившемся окне настроек выберите пункт «WebАнтивирус».

4.Убедитесь, что установлен флажок «Включить WebАнтивирус», что в качестве «Действия» выбрано «Запросить действие» и что установлены все флажки в пункте «Встраивание в систему». Такие настройки обеспечивают следующее:

•Web-Антивирус работает;

•при обнаружении опасности пользователю будет предоставлена возможность самому выбрать необходимые действия;

•проверяется весь трафик, передаваемый по протоколу HTTP;

•используется специальный встраиваемый модуль для

«Microsoft Internet Explorer».

5. Нажмите на кнопку «Настройка», в появившемся окне настроек Web-Антивируса изучите возможные варианты настроек на всех вкладках.

6. Проанализируйте полученную информацию.

7. Нажмите кнопку «Отмена» окна «Настройка: WebАнтивирус», для того чтобы закрыть его.

4.Настройка Проактивной защиты

1.Откройте главное окно программы «Антивирус Касперского

7.0».

2.Нажмите кнопку «Настройка», находящуюся в нижней части главного окна.

460