Лабораторная работа 1
Скачать 1.45 Mb.
|
Переключатель "Типы файлов". Данный переключатель позволяет выбрать типы файлов, проверяемые AVZ. По умолчанию выбран пункт "Потенциально опасные файлы" - в этом случае AVZ проверяет только файлы с определенными расширениями (EXE, DLL, OCX, SYS, CAB, INF …) - т.е. исполняемые файлы или файлы, которые могут содержать данные для установки вредоносных программ или опасные скрипты. Выбор пункта "Все файлы" приводит к проверке абсолютно всех файлов, независимо от их расширения. При сканировании диска в этом режиме проверяется большее количество файлов, в результате скорость проверки замедляется. В этом режиме блокируется переключатель "Включая файлы по маске", т.к. в данном случае он теряет смысл. Выбор пункта "Файлы по маскам пользователя" приводит к тому, что поиск ведется только по маскам, заданным пользователем в полях "Включая файлы по маске" и "Исключая файлы по маске". На заметку: Если на закладке "Область поиска" включен переключатель "Проверять запущенные процессы", то запущенные программы и загруженные библиотеки проверяются в любом случае, независимо от их расширения и настройки в радиогруппе "Типы файлов". Переключатель "Включая файлы по маске" Переключатель "Включая файлы по маске:" позволяет включить в поиск файлы, соответствующие заданной пользователем маске. Этот переключатель теряет смысл в режиме "Все файлы" и при выборе этого режима автоматически выключается и становится недоступным. Переключатель "Исключая файлы по маске" Переключатель "Исключая файлы по маске:" позволяет исключить из проверки файлы, соответствующие заданной пользователем маске. Исключение файлов по маске может использоваться совместно с включением по маске или режимов "Все файлы". Указание одинаковых элементов в списке включения и исключения не является ошибкой, исключение имеет приоритет над включением - например, при указании включения в сканирование файлов *.vir и исключения *.vir приоритетно исключение. Более того, исключение по более общей маске доминирует над включением, например при включении trojan*.exe и исключении *.exe файл с именем trojan.exe будет исключен из проверки На заметку: Поля с маской могут включать несколько масок, разделенных запятой, пробелом или символом ";". В маске могут присутствовать символы "?" (любой символ в позиции знака ?) и * (любые символы). *.* - поиск всех файлов *.exe - поиск файлов с расширением exe dialer.exe - поиск файла с конкретным именем "dialer.exe" dialer.exe, *.dll, trojan*.sys - поиск файлов с именем dialer.exe или файлов с любым именем и расширением DLL или файлов с именем Trojan<любые символы>.sys *.exe, *.dll, *.sys, *.ocx - поиск файлов с указанными расширениями Переключатель "Отчет о чистых объектах" Переключатель "Отчет о чистых объектах" позволяет включить в протокол список файлов, в которые проверены AVZ и, по его мнению, не являются вирусами или вредоносными программами. Переключатель "Проверять чистые объекты по базе безопасных" Данный переключатель доступен только при включенном переключателе "Отчет о чистых объектах". При его включении каждый файл, не являющийся по мнению AVZ вирусом или вредоносной программой проверяется по базе безопасных файлов и результаты этой проверки заносится в протокол. Данная операция замедляет сканирование и полезна для системных администраторов и вирусологов, проводящих сортировку файлов перед анализом. Переключатель "Проверять потоки NTFS" Данный переключатель включает проверку потоков в NTFS файлах. Потоки не видны при просмотре диска при помощи файловых менеджеров и проводника, поэтому многие вредоносные программы маскируют свои исполняемые файлы, размещая их в потоке. AVZ может проверять потоки и удалять из них найденные вредоносные объекты. Переключатель включен по умолчанию и его отключение не рекомендуется Переключатель "Проверять архивы" Управляет проверкой архивов. Переключатель включен по умолчанию. Под архивом понимаются так-же CHM файлы, MHT файлы, файлы электронной почты и прочие структуры, которые могут содержать внутри себя другие файлы. Переключатель "Не проверять архивы более xx мб." Данный переключатель активен, если включена проверка архивов. По умолчанию он включен и архивы размером более 10 мб не проверяются. Пороговый размер задается пользователем, но он не может быть менее 1 мб. Закладка 'Параметры поиска' Закладка "Параметры поиска" позволяет настроить параметры поиска: Группа "Эвристический анализ" содержит регулятор уровня срабатывания эвристики. AVZ поддерживает 4 уровня эвристического анализа: Эвристический анализ отключен. В этом случае обнаруживаются только известные AVZ вредоносные объекты при полном совпадении проверяемого объекта с описанием в базе; Минимальный уровень эвристики - в этом режиме AVZ выдает предупреждения при обнаружении объектов, очень похожих на вредоносные; Средний уровень эвристики - аналогичен минимальному, но порог срабатывания ниже. Это рекомендуемый режим работы, в котором уровень ложных срабатываний обычно не превышает 10-15%; Максимальный уровень эвристики - этот режим часто называют "параноидальным", так как предупреждения о подозрении на вирус выдаются даже при обнаружении отдаленного сходства проверяемого объекта с вредоносным. В этом режиме возможны многочисленные ложные срабатывания. При установке максимального уровня эвристики становится доступным переключатель "Расширенный анализ". Включение данного переключателя задействует дополнительные проверки, которые позволяют обнаруживать подозрительные объекты по второстепенным признакам типа двойного расширения, наличия в имени большого количества пробелов перед расширением и т.п. Группа "RootKit" Группа "RootKit" содержит настройки системы обнаружения и блокирования RootKit Переключатель "Детектировать RootKit" позволяет включить детектор RootKit, который пытается обнаружить присутствие в системе RootKit по характерным для него признакам. Следует отметить, что возможны своего рода ложные срабатывания - в качестве RootKit могут детектироваться системные утилиты, антивирусные мониторы, Firewall. Это нормальное явление, т.к. подобные программы и утилиты вмешиваются в работу других приложений и искажают работу стандартных API функций. Переключатель "Блокировать RootKit" доступен только при включенном переключателе "Детектировать RootKit" и позволяет включить систему активного противодействия RootKit. Следует отметить, что включение противодействия RootKit может привести к непредсказуемым последствиям и нужно быть готовым к зависанию программы AVZ и системы в целом. Поэтому перед активацией противодействия RootKit необходимо закрыть все программы, желательно отключится от сети, и затем выгрузить антивирусный монитор и Firewall. При включении блокирования RootKit автоматически включается система эвристического поиска процессов и файлов RootKit. Принцип действия системы основан на анализе системы до и после блокировки перехватчиков, что позволяет обнаружить маскируемые процессы, сервисы и драйверы. Система AVZGuard и антируткит режима ядра являются взаимоисключающими, при включении AVZGuard нейтрализация руткитов в режима ядра отключается. На заметку: В случае проверки системы с нейтрализацией Kernel RootKit необходимо перезагрузиться !! Это связано с тем, что нейтрализация перехватчиков может нарушить работу антивирусных мониторов, компонент Firewall и прочих программ, отвечающих за безопасность. Перезагрузка актуальна только в случае восстановления перехваченных функций - в этом случае AVZ указывает на необходимость перезагрузки в конце протокола. Группа "Winsock Service Provider" Группа "Winsock Service Provider" позволяет настроить работу системы проверки и настройки анализатора SPI (который более известен как LSP благодаря утилите LSP Fix). Настройки SPI модифицируют многие современные вирусы и SpyWare, типовые проявлением повреждения настроек является появление сбоев при работе в Интернет. Переключатель "Проверять настройки SPI / LSP" позволяет включить анализатор настроек -при этом проверка производится автоматически и все найденные проблемы и ошибки выводятся в протокол. Установка переключателя "Автоматически исправлять ошибки в SPI/LSP" позволяет включить систему автоматического исправления найденных ошибок -исправление ошибок производится в автоматическом режиме и не требует от пользователя понимания тонкостей работы SPI. Начиная с версии 4.26 в случае обнаружения ошибок перед их автоматическим исправлением AVZ автоматически создает резервную копию настроек SPI в папке BackUp. Резервная копия является стандартным REG файлом и может быть импортировна в реестр в случае необходимости. Для устранения ошибок в ручном режиме рекомендуется использовать Менеджер Winsock SPI (LSP, NSP, TSP). Переключатель "Поиск клавиатурных шпионов (Keylogger)" Переключатель "Поиск клавиатурных шпионов (Keylogger)" позволяет включить детектор клавиатурных шпионов и троянских DLL (под троянской DLL понимается библиотека, внедряемая в адресное пространство запущенных процессов). Поиск ведется без применения механизма сигнатур, в результате чего результаты носят вероятностный характер. Для оценки степени похожести обнаруженных библиотек на клавиатурный шпион (KeyLogger) применяется нейросеть, распознающая характерные особенности клавиатурного перехватчика. Кроме того, AVZ производит поведенческий анализ всех заподозренных библиотек и выводит собранную информацию в протокол. На заметку: Анализатор AVZ и нейросеть в состоянии найти подозрительные библиотеки и оценить степень их похожести на типовые перехватчики событий оконных событий, событий клавиатуры и мыши (т.н. hook). Однако анализатор не может отличить вредоносный перехватчик (предназначенный для слежения за пользователем) и перехватчик, выполняющий полезные действия. Переключатель "Поиск портов TCP/UDP троянских программ" Переключатель "Поиск портов TCP/UDP троянских программ" включает автоматический анализ списка открытых портов TCP и UDP. В составе AVZ имеется специальная база, в которой описаны несколько сотен портов, применяемых распространенными троянскими программами, Backdoor и вирусами. При обнаружении открытых портов, описанных данной базе, в протокол выводится предупреждение с указанием номера порта и списка вредоносных программ, применяющих данный порт. Открытые порты TCP и UDP можно также просмотреть в окне "Открытые порты TCP/UDP " Переключатель "Автоматически исправлять системные ошибки" Переключатель "Автоматически исправлять системные ошибки" включает режим автоматического устранения опасных системных ошибок. Поиск системных ошибок ведется в ходе сканирования системы, на шаге 9. По умолчанию данный переключатель отключен, поэтому поиск ошибок ведется, информация об ошибках записывается в протокол, но они не устраняются. Следует учитывать, что помимо автоматического устранения ошибок можно применять мастер поиска и устранения проблем, который позволяет вручную выбрать, какие конкретно из найденных проблем следует исправить. В ходе автоматического устранения системных ошибок ведется запись проделанных изменений, позволяющая откатить эти изменения в случае необходимости через мастер поиска и устранения проблем. . Группа 'Параметры лечения' Группа "Параметры лечения" содержит настройки, определяющие действия AVZ при обнаружении вирусов Основным в этой группе является переключатель "Удалять найденные вирусы". По умолчанию данный переключатель отключен и AVZ работает в диагностическом режиме -информация обо всех найденных вредоносных объектах заносится в протокол, но никаких действий над ними не производится (во время сканирования AVZ ничего не изменяет в реестре или на диске). |