Компьютерная безопастность

В меню ”Вид” находятся

• Сканирование
• Уязвимости
• История сканирования

В меню ”Профиль” находятся

• Редактировать
• Выбрать
• Новый
• Удалить

   Остальное все стандартно. В меню ”Сервис” находятся настройки отчетов и настройки программы. В настройках находятся 3 вкладки: “Обновление”, “Протокол обновлений” и “Общие”, он, так как у меня стоит демо-версия то, думаю, что, и настройки тоже урезаны.

   Теперь  перейдем к проверке компьютера на предмет так называемых “дыр”.

   Запустить проверку проще простого, для этого  надо в меню “Правка” выбрать меню “Добавить хост” Потом вводим IP-адрес проверяемого компьютера. Можно также проверять сайты для этого вместо IP-адреса можно вводить адрес самого сайта без http://www. Наверное возникнет вопрос: ”А как же узнать IP-адрес?”  Для этого в меню пуск - стандартные открываем программу командная строка (Windows XP) и дальше открывается окно и там вводим команду ipconfig. Появится несколько строчек, та, которая начинается “IP адрес” и нужная нам строка там и значится наш ip-адрес. Переписываем или запоминаем этот адрес и вводим в поле “Введите ip-адрес или доменное имя” потом в меню ”Сканирование” – старт. Процесс сканирования может занимать значительное время в зависимости от загруженности сайта и скорости канала. У меня проверка в первый раз выдала огрехи настройки системы а некоторые порты оказалисьзаблокированными. Если у вас так же то не пугайтесь – часть обязанностей по охране берет антивирус, он же и блокирует порты – так безопастней.

    А цена лицензионной версии составляет примерно …. в общем, она очень  большая и переваливает за 10 тысяч  рублей. Также есть другие сканеры  портов, но они для профессионалов и вам пока недоступны (Пример:Nmap).

    Также надо соблюдать некоторые  правила, невыполнение которых сведет на нет все ваши усилия по обеспечению безопасности

1. Не шастайте где попало, так как нарваться на любую дрянь, заложенную в код страницы очень просто.
2. По возможности не отключайте фаервол без необходимости.
3. Если скачиваете незнакомые файлы, то рекомендую качать их в карантинную зону вашего антивируса и после проверки выпускать на волю.

Интерфейс Антивируса Касперского v.6.0.2.614 тоже очень приятен. Вообще интерфейс – залог успеха программы, ведь никто не хочет сидеть в командной строке с толстенной книжкой команд и тщательно их выписывать – кому угодно осточертеет. Люди тогда поищут программу с интерфейсом покрасивее пусть у нее даже будет поменьше функций!

   

   Самые главные изменения со времен v.5.3 это конечно интерфейс. Очень сильно поменялась механика чисел (появились такие функции как мини фаервол, и поменялся каталог баз данных по вирусам, а также методики их поиска).

   В боковом  меню находятся 3 основных категории.

1. Защита.

а) Файловый антивирус. (Соответственно проверяет файлы  на наличие вирусов.)

б) Почтовый антивирус. (Проверяет на вирусы все входящие и исходящие сообщения электронной  почты.)

в) Веб –  антивирус. (Препятствует проникновению вирусов на компьютер через протокол HTTP.)

г) Проактивная  защита. (Позволяет противостоять  неизвестным вирусам, а также  контролировать запуск выбранных программ и допуск к системному реестру.)

2. Поиск вирусов.

а) Критические  области. (Проверяет оперативную память, загрузочные сектора на наличие вирусных или троянских модулей.)

б) Мой компьютер. (Жесткие диски + оперативную память + загрузочные сектора.)

в) Объекты  автозапуска. (оперативную память + загрузочные сектора + объекты автозагрузки)

3. Сервис.

а) Обновление.

б) Файлы данных. (Здесь хранятся отчеты о работе приложений, файлы на карантине а  также копии зараженных файлов)

в) Аварийный  диск. (Создание Аварийного диска позволяющего восстановить систему после вирусной атаки когда невозможно провести начальную загрузку.!! Для этого требуется программа PE Builder v.3.1.3 или выше а также установочный диск вашей операционной системы и конечно пишущий привод.)

г) Поддержка. (Поддержка по техническим вопросам или прочим вопросам с консультантами тех поддержки Касперского.) 
 
 
 

Итак, начнем наше исследование с описания возможностей антивирусных программ.

 При поражении  объектов вирус, использующий  шифрование, преобразует свой код  в шифрованную последовательность  данных

S = F (T), где

T – базовый  код вируса;

S – зашифрованные  коды вируса;

F – функция  шифрования вируса, произвольно  выбирающаяся из некоторого множества  преобразований {F}.

 Для детектирования  и лечения полиморфных вирусов  используется способ редуцированной  маски. Его суть: выбирается преобразование R зашифрованных кодов вируса S, такое, что результат преобразования (то есть некоторая последовательность данных S') не будет зависеть от ключей преобразования F. То есть вот так:

S = F (T)

S' = R (S) = R ( F (T) ) = R' (T).

 При применении  преобразования R к всевозможным вариантам шифрованного кода S результат S' будет постоянным при постоянном T. В итоге получаем, что идентификация пораженных объектов проходит так: в качестве редуцированной маски выбирают S' и к пораженным объектам преобразования применяют R.

 Первое, что  бросается в глаза (и что  известно далеко не всем), –  огромное количество операционных  систем, поддерживаемых большинством  антивирусов, а также интеграция  осей с различными приложениями. Обидно только, что компания Symantec совсем не уделяет внимания *nix-системам.

 Самым быстрым  в плане сканирования файлов  оказался Dr.Web, за ним - Symantec Antivirus. Неплохие результаты показали  Антивирус Касперского и Nod32 Antivirus. Зато у Dr.Web и Symantec отсутствует  детектирование SpyWare, шпионского программного обеспечения, которое собирает информацию о компьютере и пользователе.

 По частоте  обновлений лидером является  Антивирус Касперского. Ежечасно! Это вполне объяснимо: "Лаборатория  Касперского" позиционирует себя  как разработчика с самым высоким рейтингом детектирования вредоносных программ и мгновенной реакцией на возникновение вирусных эпидемий. А вот компании Symantec и McAfee, видимо, не считают нужным торопиться при вспышке новых вирусов. Позор, господа, стыдитесь!

 Поскольку  представленные антивирусы являются корпоративными, все они имеют средства удаленного администрирования и управления. Одна из новомодных функций - возможность обнаружения вирусов в архивах. Такая способность имеется у всех представленных антивирусов, но удалять и лечить зараженные объекты способны далеко не все. С этой задачей справляются только Антивирус Касперского и McAfee Antivirus. Последний, правда, способен чистить исключительно архивы типа zip с одноуровневой глубиной вложения.

 Описав возможности  антивирусов, окинем взором их недостатки!

Dr.Web

- Иногда Dr.Web ничего  не находит на зараженном компьютере .

- Частая блокировка  ключей (конечно, это не касается  лицензионных пользователей, а  пиратам так и надо).

- При обновлении  часто возникает сообщение "Ошибка получения файла версий", которая уже никого не удивляет.

- При использовании  Apache некоторые скрипты перестают  корректно выполнять свою работу. Такое бывает при использовании  Spider Guard от Dr.Web.

McAfee

- При установке  McAfee Office наблюдается нестабильная работа, видимо, из-за множественности одновременно запускаемых программ (по умолчанию пять). Сократив их количество, можно добиться более-менее стабильной работы.

- Сбои при  запуске модуля отчетов Discover Pro.

- Компонент  McAfee VirusScan's WebScanX подключается в explorer.exe. Когда Explorer используется для просмотра каталогов и основной каталог пользователя расположен на сетевом ресурсе, WebScanX вызывает несколько .dll-файлов в основном каталоге пользователя. Нападающий может внедрить произвольный код в эти dll, который будет выполнен на системе пользователя с системными привилегиями.

- При сканировании  сформированных особым образом  архивов в формате LHA в движке  антивируса возникает ошибка  переполнения буфера, после чего  нападающий получает возможность выполнить на машине вредоносный код.

Eset

- Eset NOD32 не всегда  может определить точное название  вируса, номер его версии и  т.д.

- В антивирусе Eset's NOD32 для UNIX-систем существует  ошибка, приводящая к переполнению  буфера. Локальный пользователь может получить root-привилегии.

 

- Существуют  редкие ложные срабатывания. Но  и одного такого случая достаточно, если в результате вместо вируса  удален нужный файл.

Symantec

- Редкие обновления  большого размера (обычно не  менее 4 Мб).

- При попытке  просканировать на наличие вирусов  с локальной машины антивирус  выдает ошибку 0х2. Однако при сканировании  этого же компьютера через  Symantec System Center Console все идет нормально.

- Существует  уязвимость в обработке UPX сжатых  файлов. Уязвимость вызвана ошибкой в модуле антивируса DEC2EXE.

- Symantec обнаруживает  многие вирусы, но нормально убить  их, не то что лечить, ему вряд  ли удастся.

- Медленнее  всех выполняет полное сканирование  жесткого диска.

 Антивирус Касперского

- Не самый  быстрый антивирус, но, видимо, за качество приходится платить.

- Существовала  бага с обработкой zip-архивов.  Суть в том, что для каждого  находящегося в архиве объекта  zip хранит две копии заголовка  (local/central directory), содержащего, среди  прочего, реальный размер распакованного файла. Если злоумышленник в обоих заголовках укажет значение размера равным нулю, то антивирусный сканер ошибочно посчитает объект слишком маленьким для проверки и пропустит его (пофиксено после огласки, следует добавить ради справедливости).

- Неудачная  четвертая версия, ее продукты  отличаются непродуманным и совершенно  недружелюбным для пользователя  интерфейсом.

- Антивирус  Касперского все-таки удаляет  многие вирусы, даже не пытаясь  лечить их.

 Trend Micro

- По умолчанию  к папке установки Trend Micro Office Scan и соответствующему разделу реестра дается полный доступ группе Everyone.

- Выпуск "сырых" (непроверенных) обновлений, приводящих  к нарушению работы системы,  проблемам доступа к сетевым  ресурсам и др.

- Некорректная обработка сформированных особым образом архивов в формате ARJ. Для реализации нападения злоумышленнику необходимо вставить в локальный заголовок архива чрезмерно длинное имя файла. Если атака пройдет успешно, будет выполнен произвольный вредоносный код на удаленном компьютере.

- Когда Trend Micro PC-cillin Internet Security выдает предупреждения  пользователю, она создает HMTL-файл  в каталоге временных файлов  на целевой системе и затем  загружает файл через Microsoft Internet Explorer. Удаленный пользователь может создать специально сформированный zip-архив и HTML, который заставит браузер целевого пользователя загрузить zip-файл. Затем, когда программное обеспечение Trend Micro сгенерирует предупреждение для zip-файла (что он содержит некоторый злонамеренный код), будет выполнен произвольный код сценария, содержащийся в zip-файле.

- Слабая техническая  поддержка, российская версия  портала Trend Micro на английском  языке.

  Высокие технологии

 На какие  только ухищрения не идут злоумышленники  при написании своих детищ, но антивирусные разработчики тоже не сидят на месте и используют различные методы детектирования. Вот основные: