Лабораторная работа 1
Скачать 1.45 Mb.
|
Некоммерческое акционерное общество «АЛМАТИНСКИЙ УНИВЕРСИТЕТ ЭНЕРГЕТИКИ И СВЯЗИ имени Гумарбека Даукеева» Институт систем управления и информационных технологий Кафедра Система информационной безопасности» ОТЧЕТ по лабораторной работе № 1 По дисциплине: «Программно-аппаратные средства информационной безопасности» На тему: «Лабораторная работа №1» Специальность: «6B06104 – Система Информационной Безопасности» Выполнил: Болат А.К. Группа: СИБд-19-1 (Ф.И.О) Проверила: ст. преп. Дмитриева М.В. (ученая степень, звание, Ф.И.О) ___________ __________________ «___» ______________ 2021 г. (оценка) (подпись) Алматы 2021 Содержание
Введение Об антивирусной утилите AVZ в интернете очень много хороших отзывов, и это не странно, это действительно классный инструмент, который поможет быстро удалить вирус с вашего компьютера. И перед тем, как перейти к описанию запуска и работы с AVZ, скажу еще несколько слов об этом чуде. Утилита AVZ, это не антивирус, точнее, это не постоянный антивирус, который все время работает и ищет вирусы в режиме реального времени. Это небольшая утилита, которую даже не нужно устанавливать, достаточно просто извлечь ее с архива и запустить на компьютере. Еще один большой плюс, это то, что AVZ не конфликтует с другими постоянными антивирусами. Например у меня установлен ESET NOD32, и я даже не удаляя и не закрывая его сканировал свой компьютер утилитой AVZ. Хотя рекомендуется отключать работу антивируса, но не обязательно. Когда и для чего используют AVZ. Как я уже писал утилитой AVZ можно быстро удалить разные вирусы AdWare, SpyWareи, трояны и т. д. Если вы заметили странности в работе своего компьютера, он стал медленно работать, или уже вирус конкретно дал о себе знать, то самое время испытать AVZ, кстати забыл написать, она совершенно бесплатная. Даже для профилактики, можно просканировать компьютер этой антивирусной утилитой, а то ваш антивирус, навряд сможет защитить вас от всех угроз. Основная цель Понимание AVZ Антивирусная утилита AVZ является инструментом для исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления: SpyWare, AdvWare программ и модулей (это одно из основных назначений утилиты); Руткитов и вредоносных программ, маскирующих свои процессы Сетевых и почтовых червей; Троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером); Троянских программ-звонилок (Dialer, Trojan.Dialer, Porn-Dialer); Клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем Утилита является прямым аналогом программ Trojan Hunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление AdWare, SpyWare и троянских программ. Сразу следует отметить, что программы категорий SpyWare, AdWare по определению не являются вирусами или троянскими программами. Они шпионят за пользователем и загружают информацию и программный код на пораженный компьютер в основном из маркетинговых соображений (т.е. передаваемая информация не содержит критических данных – паролей, номеров кредитных карт и т.п., а загружаемая информация является рекламой или обновлениями). Однако очень часто грань между SpyWare и троянской программой достаточно условна и точная классификация затруднительна. Моя методика классификации и критерии описаны в данной справочной системе. Дополнительную информацию о вредоносных программах можно найти в моей книге "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита" Особенностью программы AVZ является возможность настройки реакции программы на каждую из категорий вредоносных программы – например, можно задать режим уничтожения найденных вирусов и троянских программ, но заблокировать удаление AdWare. Другой особенностью AVZ являются многочисленные эвристические проверки системы, не основанные на механизме поиска по сигнатурам – это поиск RootKit, клавиатурных шпионов, различных Backdoor по базе типовых портов TCP/UDP. Подобные методы поиска позволяют находить новые разновидности вредоносных программ. Кроме типового для программ данного класса поиска файлов по сигнатурам в AVZ встроена база с цифровыми подписями десятков тысяч системных файлов. Применение данной базы позволяет уменьшить количество ложных срабатываний эвристики и позволяет решать ряд задач. В частности, в системе поиска файлов есть фильтр для исключения известных файлов из результатов поиска, в диспетчере запущенных процессов и настроек SPI производится цветовое выделение известных процессов, при добавлении файлов в карантин производится блокировка добавления известных AVZ безопасных файлов. Ограничения программы: Т.к. утилита направлена в первую очередь на борьбу с SpyWare и AdWare модулями, и в настоящий момент она не поддерживает проверку архивов некоторых типов, PE упаковщиков и документов. Для борьбы со SpyWare в этом просто нет надобности. Тем не менее, утилита совершенствуется и появление подобных функций планируется; Утилита не лечит программы, зараженные компьютерными вирусами. Для качественного и корректного лечения зараженной программы необходимы специализированные антивирусы (например, антивирус Касперского, DrWeb, Norton Antivirus, Panda и т.п.). Делать нечто похожее на них (изобретая тем самым велосипед) у меня нет никакого желания, тем более что вирусы такого рода встречаются все реже. Инсталляция и системные требования Антивирусная утилита AVZ не требует инсталляции на ПК (у текущей версии в комплекте нет инсталлятора и деинсталлятора - в них просто нет надобности). Естественно, не требуется и деинсталляция. Единственно требование для нормального функционирования утилиты - размещение баз с описанием вирусов (они имеют расширение *.avz) в подкаталоге BASE утилиты. Антивирусная утилита AVZ при выключенном лечении (это режим по умолчанию) в процессе работы ничего не изменяет в настройках системы и реестре, не устанавливает и не удаляет классы и библиотеки, поэтому проверка компьютера при выключенном лечении не оказывает на ПК и операционную систему никакого воздействия. Единственным изменением, вносимым на время работы в конфигурацию компьютера, является загрузка драйвера AVZ.SYS, который на время проверки копируется в каталог Driver и удаляется после завершения проверки. Этот драйвер устанавливается и загружается только при включенном режиме поиска руткитов. Работа утилиты в режиме лечения вносит изменения - в этом случае с ПК удаляются найденные вредоносные программы и (в ряде случаев) сопутствующая им информация (ключи реестра, ярлыки и т.п.) Антивирусная утилита AVZ не выдвигает особых системных требований - ее работоспособность проверена на сотнях компьютеров с операционной системой W9x, Windows NT, 2000 Professional и Server, XP Home Edition и XP Professional (SP1, SP2, SP3), Windows 2003 (SP1), Windows Vista (SP1, SP2), Windows 7. Технологии AVZPM, AVZGuard, BootCleaner не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7. При использовании AVZ необходимо учитывать, что при его применении на серверах следует соблюдать особую осторожность, особенно в случае запуска AVZ из терминальной сессии. Работа сервера имеет множество особенностей (в частности - недопустимость перезагрузки системы, наличие множества профилей пользователей, работа фоновых процессов, особенности терминального режима и т.п.). Антивирусная утилита AVZ не обменивается информацией с сетью и Интернет (не передает и не принимает данные, не прослушивает порты), поэтому для ее эксплуатации не требуется дополнительная настройка Firewall. Исключением является обновление AV баз, которое запускается по команде пользователя - для обновления баз AVZ обращается к указанному в настройке сайту по порту 80 с использованием протокола HTTP. В случае необходимости можно произвести принудительное удаление ключей реестра и файлов, которые AVZ мог создать на диске, что эквивалентно его деинсталляции - для этого следует воспользоваться микропрограммой номер 6 в разделе Стандартные скрипты или выполнить скрипт: begin ExecuteStdScr(6); end. Лабораторная работа. Работа с программой Главное окно программы Перед началом работы с программой на время проверки и лечения рекомендуется отключить средства фонового мониторинга изменений реестра и антивирусные мониторы. Данное условие не является обязательным, однако его несоблюдение может привести к существенному увеличению длительности сканирования - несколько часов вместо нескольких минут. Причина этого состоит в том, что антивирусный монитор проверяет все открываемые файлы в момент их открытия. Главное окно программы содержит все основные элементы управления - главное меню, настройки процесса поиска и лечения, окно просмотра протокола и строку статуса. Кнопка "Пуск" позволяет запустить проверку выбранных дисков и каталогов. Кнопка "Пауза" позволяет временно приостановить проверку файлов. Данная кнопка автоматически разблокируется при выполнении операций, для которых допустима приостановка. Возобновление сканирования производится повторным нажатием на кнопку "Пауза" Кнопка "Стоп" позволяет в любой момент прервать процесс проверки. На время проверки большинство элементов интерфейса AVZ блокируются. Закладка 'Область поиска' Закладка "Область поиска" предназначена для задания области поиска вредоносных программ. Она содержит древовидный список дисков и папок. Напротив каждого элемента списка имеется переключатель, который позволяет включить любой из элементов списка в поиск или исключить из него. При нажатии над списком папок правой кнопки мыши выводится меню, позволяющее: Отметить все жесткие диски (HDD) Отметить все CD/ROM и DVD/ROM диски Отметить все дисководы и Flash диски Обновить список дисков. Обновление списка возможно по нажатию клавиши F5 Добавить папку. Выполнение этого пункта меню приводит к выводу диалогового окна с запросом имени папки. Данная функция удобна для быстрой отметки каталога в случае, если имеется полный путь к нему. Проверять только файлы в указанной папке (без подкаталогов). Отмечает текущую папку в особом режиме - в нем сканируются только файлы, размещенные в данной папке - без сканирования вложенных каталогов. Переключатели напротив каталогов определяют режим сканирования, возможны варианты: - файлы и подкаталоги данного каталога не сканируются - сканируются все файлы и подкаталоги данного каталога - сканируются все файлы данного каталога и часть его подкаталогов (эта ситуация возникает, если подкаталогов несколько и отмечена часть из них) - сканируются только файлы данного подкаталога, подкаталоги не сканируются. Включить этот режим сканирования каталога можно через контекстное меню, вызываемое по правой кнопки мыши - пункт "Проверять только файлы в указанной папке (без подкаталогов)". Переключатель "Проверять запущенные процессы". Переключатель "Проверять запущенные процессы" позволяет включить проверку всех запущенных процессов и загруженных библиотек перед началом проверки системы. Этот переключатель включен по умолчанию, и отключать его не рекомендуется. Если разрешено лечение, то при обнаружении процесса вредоносной программы AVZ принудительно завершает процесс перед удалением файла. Переключатель "Эвристическая проверка системы". Переключатель "Эвристическая проверка системы" включает дополнительную эвристическую проверку системы. Особенность этой проверки состоит в анализе запущенных процессов, реестра и диска для поиска неизвестных для AVZ разновидностей вредоносных программ по их характерным признакам. Если этот режим включен и AVZ обнаружит подозрительные объекты, то он сообщит об этом в протоколе. Включение эвристической проверки увеличивает общее время сканирования системы. Основой эвристической проверки системы являются так называемые микропрограммы эвристики, которые хранятся в базах данных и постоянно обновляются. Переключатель "Поиск потенциальных уязвимостей". Переключатель "Поиск потенциальных уязвимостей"включает подсистему, которая ищет потенциальные проблемы в области безопасности. Следует понимать, что выдаваемые данной системой сообщения носят рекомендательный характер из раздела "На это стоит обратить внимание". Если после выполнения поиска потенциальных уязвимостей выполнить исследование системы, то в средство формирования скрипта протокола исследования системы будут добавлены пункты для создания скрипта устраняющего найденный проблемы (при условии, что их можно исправить скриптом). На закладке "Область поиска" также размещается прогресс-индикатор, показывающий примерное состояние процесса сканирования. Закладка 'Типы файлов' Закладка "Типы файлов" позволяет настроить типы проверяемых файлов. |