Главная страница
Навигация по странице:

  • Цель работы

  • Задание 1. Тестовый вирус

  • Задание 2. Тестирование с помощью EICAR

  • Задание 3. Лечение инфицированных файлов

  • Задание 4. Помещение файлов на карантин

  • Лабораторные работы №2-4. Лабораторная работа 2 Начало работы с Антивирусом Касперского


    Скачать 3.24 Mb.
    НазваниеЛабораторная работа 2 Начало работы с Антивирусом Касперского
    АнкорЛабораторные работы №2-4.doc
    Дата23.08.2018
    Размер3.24 Mb.
    Формат файлаdoc
    Имя файлаЛабораторные работы №2-4.doc
    ТипЛабораторная работа
    #23440
    страница3 из 4
    1   2   3   4

    Лабораторная работа №3

    Диагностика Антивируса Касперского
    Цель работы: Эта лабораторная работа позволяет изучить принципы диагностики антивирусной защиты, проверить работоспособность установленного Антивируса Касперского, получить навыки работы с резервным хранилищем и карантином
    Введение

    Завершающий этап установки любой программы - это проверка корректности выполнения основных ее функций. Для антивирусных приложений основу функционала составляет способность находить и обезвреживать вредоносные программы.

    Естественно, встает вопрос как проверить действительно ли программа может это делать - ведь известно, что новые вирусы появляются каждый день, причем десятками, а иногда и сотнями. Не каждому пользователю под силу регулярно отслеживать хотя бы их часть. Этим занимаются антивирусные компании. Их филиалы, разбросанные по всему миру, непрерывно следят за вирусной активностью в Интернет, перехватывают и анализируют все подозрительные файлы. На основе полученных данных формируются вирусные сигнатуры, которые рядовой пользователь получает во время обновления своих антивирусных баз. Таким образом, проверить надежность антивирусной защиты от всех уже существующих вирусов и тех, которые только завтра или через год будут созданы, нереально. К тому же, использовать настоящие вирусы только для предварительного тестирования программы нельзя. Нельзя исключать вероятность, что программа установки где-то дала сбой и следовательно защита не установлена. Тогда во время проверки может произойти заражение вирусом, на котором производится тестирование, что недопустимо.

    Но несмотря на все эти проблемы, метод диагностики антивирусных программ все же существует. Для этого используется специальный файл, " The Anti-Virus or Anti-Malware test file ", созданный Европейским институтом компьютерных антивирусных исследований (European Institute for Computer Antivirus Research).

    В задании 1 этой лабораторной работы предлагается познакомиться с тестовым вирусом, в заданиях 2, 3 и 4 - протестировать работу установленного ранее Антивируса Касперского 6.0, параллельно изучив структуру резервного хранилища и карантина.

    Подготовка

    Перед началом лабораторной работы убедитесь, что Ваш компьютер:

    • Включен (если ты это читаешь он точно не выключен) =)

    • На нем загружена операционная система Microsoft Windows XP или Microsoft Windows 2000 Professional

    • Выполнен вход в систему под учетной записью, обладающей правами администратора

    Задание 1. Тестовый вирус

    Тестовый вирус, разработанный Европейским институтом компьютерных антивирусных исследований, называется EICAR - по аббревиатуре полного названия института (European Institute for Computer Antivirus Research).

    EICAR представляет собой небольшой 68-байтный файл. Его расширение можно варьировать в зависимости от сценария тестирования. Если добавить .com, то запуск получившегося файла eicar.com на незащищенном компьютере вызовет только показ уведомления "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Иных, свойственных вирусам проявлений он не несет. Однако если на компьютере стоит и исправно работает антивирус, EICAR будет заблокирован. Это происходит потому, что все ведущие производители антивирусных программ договорились между собой - считать EICAR вирусом и применять к нему все правила и действия, применяемые к настоящим вредоносным программам.


    Файл

    Описание

    CURE-EICAR

    Обнаружив такой файл, антивирус должен его "вылечить", сократив его размер до 4 байт (символы "CURE" )

    DELE-EICAR

    Этот файл Антивирус Касперского определяет как неизлечимый вирус или троянскую программу и удаляет. Следовательно, по результатам проверки DELE-EICAR должен быть обнаружен только в резервном хранилище

    CORR-EICAR

    Предназначен для диагностики работы Антивируса Касперского в случае обнаружения файла с поврежденной структурой, вследствие чего проверить его на наличие вирусов невозможно. Такой файл признается условно чистым

    ERRO-EICAR

    При сканировании такого файла Антивирус Касперского должен вести себя так, как будто произошла ошибка при анализе его содержимого (например, из-за нарушения целостности при проверке многотомного архива или при обрыве связи во время проверки по сети). ERRO-EICAR также признается условно чистым

    SUSP-EICAR

    Этот файл корректно работающий Антивирус Касперского признает подозрительным, а именно зараженным неизвестным вирусом. Следовательно, он должен быть помещен на карантин или удален (в зависимости от настроек, по умолчанию действие при обнаружении подозрительного объекта запрашивается у пользователя)

    WARN-EICAR

    WARN-EICAR также признается подозрительным, но не неизвестным вирусом, а модификацией известного. Это также приводит к предложению поместить его на карантин или удалить (в зависимости от настроек)
    Для более подробного тестирования можно применять другие расширения. Например, если указать .txt, можно проверить проверяются ли текстовые файлы. Для проверки будут ли обнаруживаться вирусы в архивах, EICAR можно заархивировать.

    Если открыть EICAR в каком-либо текстовом редакторе, например Блокнот ( Notepad ), то обнаружится, что он состоит из 68 символов:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-

    TEST-FILE!$H+H*

    Следовательно, тестовый вирус в любой момент можно создать самостоятельно. Для этого нужно только открыть любой текстовый редактор, набрать в нем эту строку и сохранить получившийся файл в формате текстового файла (обычный текст).

    EICAR также всегда можно загрузить с сайта Европейского института компьютерных антивирусных исследований http://www.eicar.org .

    Суть EICAR такова, что он оказывается неизлечимым. Это происходит потому, что антивирус идентифицирует EICAR как вирус по наличию в нем упомянутых 68 символов. Если их удалить - то от файла ничего не останется. Следовательно, с помощью EICAR можно тестировать только основную функцию антивируса - обнаружение.

    Поэтому для тестирования своих продуктов Лаборатория Касперского предлагает использовать модифицированный тестовый вирус, а именно:

    Создаются эти файлы по следующему принципу. 68-символьная строка с начала дополняется пятью символами, в зависимости от модификации - приставкой CURE, DELE, CORR, ERRO, SUSP или WARN и дефисом. Например, содержимое CURE-EICAR выглядит так:

    CURE-X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    В этом задании нужно создать тестовые вирусы EICAR, CURE-EICAR и SUSP-EICAR.

     В этом задании нужно будет создать три файла с тестовыми вирусами: eicar.com, cure-eicar.com и susp-eicar.com. Для того, чтобы антивирус не заблокировал тестовые вирусы еще на подготовительном этапе, нужно временно отключить постоянную защиту.

    Для этого вызовите контекстное меню иконки Антивируса Касперского в системной панели и выберите пункт Приостановка защиты2Это действие эквивалентно нажатию кнопки Пауза в главном окне интерфейса в разделе Защита


     В открывшемся окне Приостановка защиты оставьте предложенный по умолчанию вариант После перезапуска приложения и нажмите ОК


     После этого появится сообщение о том, что защита не работает, а иконка Антивируса Касперского обесцветится. Постоянная защита отключена


     Запустите текстовый редактор Блокнот, воспользовавшись системным меню Пуск / Программы / Стандартные / Блокнот


     В открывшемся окне наберите строку3Если на Вашем компьютере открыт доступ в Интернет, эту строку можно скопировать со страницы http://www.eicar.org/anti_virus_test_file.htm

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-

    TEST-FILE!$H+H*


     Сохраните получившийся файл в папку С:\Test4Эта папка была создана в ходе выполнения предыдущей лабораторной работы. Если она на диске отсутствует, создайте ее под именем eicar.com. Для этого воспользуйтесь меню Файл / Сохранить как…


     В открывшемся окне перейдите к полю Имя файла и наберите в нем "С:\Test\eicar.com"


     Вернитесь к окну Блокнота, нажав Сохранить


     Модифицируйте EICAR, добавив к нему приставку "CURE-"


     Сохраните получившийся файл под именем "С:\Test\cure-eicar.com", воспользовавшись командой Файл / Сохранить как…



     Аналогично создайте SUSP-EICAR, повторив пункты 9-10, но для приставки "SUSP-"




     Закройте окно текстового редактора Блокнот

     В результате этих действий в папке C:\Test должно появиться три файла: eicar.com, cure-eicar.com и susp-eicar.com. Убедитесь в этом.

    Откройте папку C:\Test,


     Проверьте размер каждого из файлов. Для этого по очереди наведите курсор мыши на каждый из файлов и ознакомьтесь с информацией, представленной во всплывающем окне.

    Файл eicar.com должен иметь размер 68 байт, а cure-eicar.com и susp-eicar.com - по 73 байта


     Убедитесь, что при запуске тестовый вирус выводит предупреждающее окно. Для этого запустите eicar.com, дважды щелкнув по нему курсором мыши

     Поскольку EICAR представляет собой приложение MS DOS, то при его запуске откроется окно сеанса MS DOS, которое сразу же после выполнения программы закроется. Для того, чтобы увидеть сообщение про то, что EICAR - это тестовый вирус, нужно запустить его через командную строку.

    Воспользуйтесь системным меню Пуск / Программы/ Стандартные / Командная строка



     В открывшемся окне перейдите к каталогу Test. Для этого нужно набрать команду

    cd C:\Test

    и нажать клавишу Enter


     Перейдя к нужному каталогу, запустите файл eicar.com, набрав команду

    eicar.com

    и нажав Enter


    Ознакомьтесь с сообщением, которое вывел EICAR


     Закройте окно командной строки, набрав

    exit

    и нажав клавишу Enter


    Задание 2. Тестирование с помощью EICAR

    В этом задании нужно будет протестировать способность установленного Антивируса Касперского обнаруживать вирусы на примере базового тестового вируса EICAR. Предлагается это сделать с помощью задачи поиска вирусов, запускаемой из контекстного меню объектов.

    В задании нужно будет при выключенной постоянной защите перейти к папке с тестовыми файлами , найти в ней eicar.com и проверить его на вирусы.

    Антивирус Касперского должен найти вирус в eicar.com и запросить дальнейшие действия у пользователя. Поскольку EICAR неизлечим, функция лечения недоступна. Такие файлы всегда рекомендуется удалять, что и нужно будет выбрать в этом задании.

    Дополнительно нужно проследить, что удаленные файлы не удаляются, а сначала перемещаются в резервное хранилище.

    1. Перейдите к папке с тестовыми вирусами




    1. Вызовите контекстное меню файла eicar.com и выберите пункт Проверить на вирусы




    1. Как результат, почти одновременно должны появиться два окна5В нашем случае окна появляются почти одновременно потому что файл для проверки всего один. В общем случае сначала появляется окно статистики, в котором отображается ход проверки. Окно с запросом действия будет выводиться отдельно для каждого вируса по мере их обнаружения . Сначала окно статистики выполнения задачи поиска вирусов




    1. Поверх него в левом углу экрана - окно с запросом действия.

    Обратите внимание, что окно запроса действия разделено на две области. Вверху - информация об обнаруженном вирусе: имя вируса с гиперссылкой на его описание6Эта и подобные ссылки ведут на сайт вирусной энциклопедии Лаборатории Касперского www.viruslist.ru, где всегда можно получить самые последние сведения о вирусах, других угрозах и методах борьбы с ними и полный путь к зараженному файлу.

    Ниже, в группе Действие, приводится описание заражения файла (в данном случае написано, что файл заражен вирусом EICAR и лечение его невозможно). Рядом расположены кнопки: Лечить, Удалить, Пропустить. Поскольку вылечить EICAR нельзя, то первая кнопка неактивна.

    Вы можете либо пропустить, либо удалить eicar.com. Поскольку как уже говорилось ранее, все зараженные файлы удаляются не насовсем, а всего лишь перемещаются в изолированное резервное хранилище, в случае невозможности лечения рекомендуется выбирать удаление.

    Нажмите Удалить




    1. Обратите внимание на информационное сообщения, появившееся на несколько секунд в левом нижнем углу экрана




    1. После того как Вы выбрали действие, Антивирус Касперского применит его к инфицированному файлу, в данном случае - удалит eicar.com. Это сразу же отобразится в окне статистики. Изучите представленные в нем данные и нажмите Закрыть




    1. Проверьте, что удаленный файл eicar.com появился в резервном хранилище. Для этого откройте главное окно интерфейса, дважды кликните на иконке Антивируса Касперского в системной панели




    1. В открывшемся окне обратите внимание на группу " Статистика " в информационной части окна.

    Несмотря на то, что eicar.com был обнаружен задачей проверки по требованию, а сейчас Вы находитесь в разделе Защита, значение поля Обнаружено увеличилось на единицу. Нужно помнить, что в этом окне выводится общая статистика




    1. Перейдите к разделу Сервис, а затем к подразделу Файлы данных

    2. Обратите внимание на сводную информацию о резервном хранилище, расположенную в группе " Резервное хранилище ". Теперь в нем хранится один файл и следовательно размер резервного хранилище уже отличен от нуля7Несмотря на то, что размер файла eicar.com равен 68 байтам, тут приведено значение 1 КБ, поскольку в сводном отчете приводится общая информация о занимаемом резервном хранилище месте, а не сумма размеров помещенных в него файлов .

    Перейдите к окну с подробной информацией о резервном хранилище, нажав на группу " Резервное хранилище "




    1. Ознакомьтесь с внешним видом окна резервного хранилища. Для того, чтобы получить управление над каким-либо объектом из резервного хранилище, его нужно выделить.

    Выделите строку " Заражен: вирус EICAR-Test-File "




    1. Как только был выбран объект, стали активными кнопки управления им: Удалить и Восстановить. Напомним, что восстанавливать файлы из резервного хранилища настоятельно не рекомендуется.

    Удалите eicar.com, нажав Удалить




    1. Убедитесь, что резервное хранилище теперь пусто и закройте окно статистики, нажав Закрыть


    Задание 3. Лечение инфицированных файлов

    Выполнив задание 2, можно с уверенностью сказать, что установленный Антивирус Касперского обнаруживать вирусы умеет. Теперь нужно проверить, умеет ли он лечить. Это можно сделать, повторив действия предыдущего задания, только для излечимого тестового вируса CURE-EICAR. Однако мы поступим иначе. Проверим, как работает постоянная защита, а именно ее компонент, отвечающий за проверку файловой системы, Файловый Антивирус.

    Для этого нужно включить постоянную защиты и затем попытаться получить доступ к cure-eicar.com.

    1. В главном окне интерфейса перейдите к разделу Защита




    1. Включите постоянную защиту, нажав Пуск ().

    2. Убедитесь, что это произошло, проследив за изменениями во внешнем виде окна




    1. Обратите внимание, что иконка Антивируса Касперского в системной панели снова стала цветной и прочтите появившееся информационное сообщение




    1. Откройте папку C:\Test.

    Поскольку ранее в задании 2, на шаге 4, было дано указание удалить файл eicar.com, а не пропустить, в папке осталось только два файла, cure-eicar.com и susp-eicar.com




    1. Поскольку постоянная защита ответственна за проверку всех файлов "на лету", она с помощью компонента Файловый Антивирус должна перехватить наше обращение к cure-eicar.com, на лету вылечить и отдать нам только то, что осталось. В данном случае - 4-байтный файл, содержащий "CURE" . Проверим это.

    Обратитесь в файлу cure-eicar.com, один раз щелкнув по нему курсором мыши и не задевая иконку файла susp-eicar.com




    1. Антивирус Касперского сразу же должен обнаружить, что Вы пытаетесь обратить к зараженному файлу. Как результат - выводится окно с запросом действия, которое нужно применить к найденному вирусу

    2. Настройки Антивируса Касперского позволяют заранее определить, что делать с обнаруженными вирусами. В этом случае окно запроса действия выводиться не будет и пользователь сможет узнать о том, что было проведено лечение или удаление только косвенно или ознакомившись впоследствии со статистикой. Настройку можно произвести либо в одноименном окне (см. предыдущую лабораторную работу), или отметив флаг Применить во всех подобных случаях (в последнем случае новая настройка будет применяется автоматически только до первого перезапуска антивируса)




    1. Как и в предыдущем случае, окно разделено на две части и содержит описание ситуации и кнопки для выбора действия. Единственное отличие состоит в возможности лечения - это указано в описании файла (" Лечение возможно "), кнопка Лечить активна.

    Вылечите файл cure-eicar.com, нажав Лечить

    1. Об успешном результате лечения сообщает информационное окно




    1. Проверьте, что оставшийся в папке C:\Test файл cure-eicar.com имеет размер всего 4 байта




    1. Убедитесь, что перед лечением файл был помещен в резервное хранилище.

    Для этого в главном окне интерфейса перейдите к подразделу Файлы данных и нажмите на группу " Резервное хранилище "




    1. Проверьте, что теперь резервное хранилище содержит cure-eicar.com, причем его размер равен 73 байтам




    1. Очистите резервное хранилище, выделив строку с EICAR и нажав Удалить


    Задание 4. Помещение файлов на карантин

    Как видно из предыдущих заданий, перед каждым своим вмешательством Антивирус Касперского копирует исходный файл в специальную защищенную папку, называемую резервным хранилищем. Из нее файлы рекомендуется только удалять, поскольку они или признаны инфицированными и при этом неизлечимыми, или были успешно вылечены и следует использовать их вылеченную копию.

    В этом задании изучается второе хранилище Антивируса Касперского, карантин.

    На карантин ставятся все подозрительные файлы - то есть такие, которые по всем признакам инфицированы, но вердикт об их неизлечимости пока не вынесен. Может быть, при следующем обновлении антивирусных баз в них будет добавлена информация, позволяющая это сделать, или же свидетельствующая о неизлечимости. В первом случае можно будет провести повторную проверку карантина и вылечить теперь уже допускающие лечение файлы, во втором - удалить с перемещением в резервное хранилище.

    Еще одно отличие карантина от резервного хранилища состоит в том, что на карантин можно ставить объекты вручную, например если они у пользователя все же вызывают подозрения, несмотря на отрицательный ответ антивируса.

    1. Дайте постоянной защите обнаружить последний из созданных в первом задании тестовый вирус SUSP-EICAR. Для это повторите действия предыдущего задания, но относительно файла susp-eicar.com.

    Сначала перейдите к папке C:\Test и нажмите один раз на иконку файла susp-eicar.com




    1. Антивирус Касперского просканирует этот файл и обнаружит его подозрительным. В результате выведется окно с просьбой выбрать необходимое действие.

    Вам будет предложено три варианта: поместить на карантин, удалить или пропустить. Поскольку файл признан подозрительным, лечение невозможно (иначе бы было предложено его сначала вылечить).

    Нажмите Карантин




    1. Обратите внимание, что после помещения susp-eicar.com на карантин, в папке Test остался только вылеченный в предыдущем задании cure-eicar.com




    1. Теперь проследите, что susp-eicar.com появился на карантине. Для этого откройте главное окно антивируса и перейдите к подразделу Файлы данных




    1. Обратите внимание на сводную статистику по карантину и щелкните на группе " Карантин "

    2. Вспомните, что для файлов, которые антивирус помещал в резервное хранилище вердикт был однозначен - заражен. В карантин же помещаются файлы с более мягким статусом - возможно заражен. Таким образом, помещение на карантин подразумевает, что в дальнейшем этот вердикт может быть изменен. А изменен он может быть только при проверке с другими, более новыми или полными антивирусными базами. Поэтому по умолчанию после каждого обновления антивирусных баз все файлы на карантине перепроверяются, а для запуска перепроверки вручную на закладке Карантин есть кнопка Проверить все и контекстное меню любого объекта карантина содержит пункт Проверить



    1. Выделите строку с susp-eicar.com и щелкнув на нем правой клавишей мыши, выведите контекстное меню.

    Обратите внимание на пункт Отправить. Если на компьютере установлен почтовый агент, воспользовавшись этим пунктом можно быстро сформировать и отправить в службу технической поддержки Лаборатории Касперского письмо с просьбой проверить выбранный файл




    1. Закройте окно статистики, нажав Закрыть

    Лабораторная работа завершена.

    Заключение

    В ходе этой лабораторной работы было проведено тестирование работы установленного ранее Антивируса Касперского 6.0. Проверялись функции обнаружения и лечения зараженных файлов, а также постановки на карантин подозрительных. Параллельно были получены базовые навыки работы с резервным хранилищем и карантином.

    Однако как уже упоминалось ранее, для полноценной работы любого современного антивирусного средства, нужны регулярные обновления антивирусных баз. Для Антивируса Касперского это утверждение также справедливо.

    1   2   3   4


    написать администратору сайта