Лабораторные работы №2-4. Лабораторная работа 2 Начало работы с Антивирусом Касперского
Скачать 3.24 Mb.
|
Лабораторная работа №3 Диагностика Антивируса Касперского Цель работы: Эта лабораторная работа позволяет изучить принципы диагностики антивирусной защиты, проверить работоспособность установленного Антивируса Касперского, получить навыки работы с резервным хранилищем и карантином Введение Завершающий этап установки любой программы - это проверка корректности выполнения основных ее функций. Для антивирусных приложений основу функционала составляет способность находить и обезвреживать вредоносные программы. Естественно, встает вопрос как проверить действительно ли программа может это делать - ведь известно, что новые вирусы появляются каждый день, причем десятками, а иногда и сотнями. Не каждому пользователю под силу регулярно отслеживать хотя бы их часть. Этим занимаются антивирусные компании. Их филиалы, разбросанные по всему миру, непрерывно следят за вирусной активностью в Интернет, перехватывают и анализируют все подозрительные файлы. На основе полученных данных формируются вирусные сигнатуры, которые рядовой пользователь получает во время обновления своих антивирусных баз. Таким образом, проверить надежность антивирусной защиты от всех уже существующих вирусов и тех, которые только завтра или через год будут созданы, нереально. К тому же, использовать настоящие вирусы только для предварительного тестирования программы нельзя. Нельзя исключать вероятность, что программа установки где-то дала сбой и следовательно защита не установлена. Тогда во время проверки может произойти заражение вирусом, на котором производится тестирование, что недопустимо. Но несмотря на все эти проблемы, метод диагностики антивирусных программ все же существует. Для этого используется специальный файл, " The Anti-Virus or Anti-Malware test file ", созданный Европейским институтом компьютерных антивирусных исследований (European Institute for Computer Antivirus Research). В задании 1 этой лабораторной работы предлагается познакомиться с тестовым вирусом, в заданиях 2, 3 и 4 - протестировать работу установленного ранее Антивируса Касперского 6.0, параллельно изучив структуру резервного хранилища и карантина. Подготовка Перед началом лабораторной работы убедитесь, что Ваш компьютер:
Задание 1. Тестовый вирус Тестовый вирус, разработанный Европейским институтом компьютерных антивирусных исследований, называется EICAR - по аббревиатуре полного названия института (European Institute for Computer Antivirus Research). EICAR представляет собой небольшой 68-байтный файл. Его расширение можно варьировать в зависимости от сценария тестирования. Если добавить .com, то запуск получившегося файла eicar.com на незащищенном компьютере вызовет только показ уведомления "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Иных, свойственных вирусам проявлений он не несет. Однако если на компьютере стоит и исправно работает антивирус, EICAR будет заблокирован. Это происходит потому, что все ведущие производители антивирусных программ договорились между собой - считать EICAR вирусом и применять к нему все правила и действия, применяемые к настоящим вредоносным программам.
Если открыть EICAR в каком-либо текстовом редакторе, например Блокнот ( Notepad ), то обнаружится, что он состоит из 68 символов: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS- TEST-FILE!$H+H* Следовательно, тестовый вирус в любой момент можно создать самостоятельно. Для этого нужно только открыть любой текстовый редактор, набрать в нем эту строку и сохранить получившийся файл в формате текстового файла (обычный текст). EICAR также всегда можно загрузить с сайта Европейского института компьютерных антивирусных исследований http://www.eicar.org . Суть EICAR такова, что он оказывается неизлечимым. Это происходит потому, что антивирус идентифицирует EICAR как вирус по наличию в нем упомянутых 68 символов. Если их удалить - то от файла ничего не останется. Следовательно, с помощью EICAR можно тестировать только основную функцию антивируса - обнаружение. Поэтому для тестирования своих продуктов Лаборатория Касперского предлагает использовать модифицированный тестовый вирус, а именно: Создаются эти файлы по следующему принципу. 68-символьная строка с начала дополняется пятью символами, в зависимости от модификации - приставкой CURE, DELE, CORR, ERRO, SUSP или WARN и дефисом. Например, содержимое CURE-EICAR выглядит так: CURE-X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* В этом задании нужно создать тестовые вирусы EICAR, CURE-EICAR и SUSP-EICAR. В этом задании нужно будет создать три файла с тестовыми вирусами: eicar.com, cure-eicar.com и susp-eicar.com. Для того, чтобы антивирус не заблокировал тестовые вирусы еще на подготовительном этапе, нужно временно отключить постоянную защиту. Для этого вызовите контекстное меню иконки Антивируса Касперского в системной панели и выберите пункт Приостановка защиты2Это действие эквивалентно нажатию кнопки Пауза в главном окне интерфейса в разделе Защита В открывшемся окне Приостановка защиты оставьте предложенный по умолчанию вариант После перезапуска приложения и нажмите ОК После этого появится сообщение о том, что защита не работает, а иконка Антивируса Касперского обесцветится. Постоянная защита отключена Запустите текстовый редактор Блокнот, воспользовавшись системным меню Пуск / Программы / Стандартные / Блокнот В открывшемся окне наберите строку3Если на Вашем компьютере открыт доступ в Интернет, эту строку можно скопировать со страницы http://www.eicar.org/anti_virus_test_file.htm X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS- TEST-FILE!$H+H* Сохраните получившийся файл в папку С:\Test4Эта папка была создана в ходе выполнения предыдущей лабораторной работы. Если она на диске отсутствует, создайте ее под именем eicar.com. Для этого воспользуйтесь меню Файл / Сохранить как… В открывшемся окне перейдите к полю Имя файла и наберите в нем "С:\Test\eicar.com" Вернитесь к окну Блокнота, нажав Сохранить Модифицируйте EICAR, добавив к нему приставку "CURE-" Сохраните получившийся файл под именем "С:\Test\cure-eicar.com", воспользовавшись командой Файл / Сохранить как… Аналогично создайте SUSP-EICAR, повторив пункты 9-10, но для приставки "SUSP-" Закройте окно текстового редактора Блокнот В результате этих действий в папке C:\Test должно появиться три файла: eicar.com, cure-eicar.com и susp-eicar.com. Убедитесь в этом. Откройте папку C:\Test, Проверьте размер каждого из файлов. Для этого по очереди наведите курсор мыши на каждый из файлов и ознакомьтесь с информацией, представленной во всплывающем окне. Файл eicar.com должен иметь размер 68 байт, а cure-eicar.com и susp-eicar.com - по 73 байта Убедитесь, что при запуске тестовый вирус выводит предупреждающее окно. Для этого запустите eicar.com, дважды щелкнув по нему курсором мыши Поскольку EICAR представляет собой приложение MS DOS, то при его запуске откроется окно сеанса MS DOS, которое сразу же после выполнения программы закроется. Для того, чтобы увидеть сообщение про то, что EICAR - это тестовый вирус, нужно запустить его через командную строку. Воспользуйтесь системным меню Пуск / Программы/ Стандартные / Командная строка В открывшемся окне перейдите к каталогу Test. Для этого нужно набрать команду cd C:\Test и нажать клавишу Enter Перейдя к нужному каталогу, запустите файл eicar.com, набрав команду eicar.com и нажав Enter Ознакомьтесь с сообщением, которое вывел EICAR Закройте окно командной строки, набрав exit и нажав клавишу Enter Задание 2. Тестирование с помощью EICAR В этом задании нужно будет протестировать способность установленного Антивируса Касперского обнаруживать вирусы на примере базового тестового вируса EICAR. Предлагается это сделать с помощью задачи поиска вирусов, запускаемой из контекстного меню объектов. В задании нужно будет при выключенной постоянной защите перейти к папке с тестовыми файлами , найти в ней eicar.com и проверить его на вирусы. Антивирус Касперского должен найти вирус в eicar.com и запросить дальнейшие действия у пользователя. Поскольку EICAR неизлечим, функция лечения недоступна. Такие файлы всегда рекомендуется удалять, что и нужно будет выбрать в этом задании. Дополнительно нужно проследить, что удаленные файлы не удаляются, а сначала перемещаются в резервное хранилище.
Обратите внимание, что окно запроса действия разделено на две области. Вверху - информация об обнаруженном вирусе: имя вируса с гиперссылкой на его описание6Эта и подобные ссылки ведут на сайт вирусной энциклопедии Лаборатории Касперского www.viruslist.ru, где всегда можно получить самые последние сведения о вирусах, других угрозах и методах борьбы с ними и полный путь к зараженному файлу. Ниже, в группе Действие, приводится описание заражения файла (в данном случае написано, что файл заражен вирусом EICAR и лечение его невозможно). Рядом расположены кнопки: Лечить, Удалить, Пропустить. Поскольку вылечить EICAR нельзя, то первая кнопка неактивна. Вы можете либо пропустить, либо удалить eicar.com. Поскольку как уже говорилось ранее, все зараженные файлы удаляются не насовсем, а всего лишь перемещаются в изолированное резервное хранилище, в случае невозможности лечения рекомендуется выбирать удаление. Нажмите Удалить
Несмотря на то, что eicar.com был обнаружен задачей проверки по требованию, а сейчас Вы находитесь в разделе Защита, значение поля Обнаружено увеличилось на единицу. Нужно помнить, что в этом окне выводится общая статистика
Перейдите к окну с подробной информацией о резервном хранилище, нажав на группу " Резервное хранилище "
Выделите строку " Заражен: вирус EICAR-Test-File "
Удалите eicar.com, нажав Удалить
Задание 3. Лечение инфицированных файлов Выполнив задание 2, можно с уверенностью сказать, что установленный Антивирус Касперского обнаруживать вирусы умеет. Теперь нужно проверить, умеет ли он лечить. Это можно сделать, повторив действия предыдущего задания, только для излечимого тестового вируса CURE-EICAR. Однако мы поступим иначе. Проверим, как работает постоянная защита, а именно ее компонент, отвечающий за проверку файловой системы, Файловый Антивирус. Для этого нужно включить постоянную защиты и затем попытаться получить доступ к cure-eicar.com.
Поскольку ранее в задании 2, на шаге 4, было дано указание удалить файл eicar.com, а не пропустить, в папке осталось только два файла, cure-eicar.com и susp-eicar.com
Обратитесь в файлу cure-eicar.com, один раз щелкнув по нему курсором мыши и не задевая иконку файла susp-eicar.com
Вылечите файл cure-eicar.com, нажав Лечить
Для этого в главном окне интерфейса перейдите к подразделу Файлы данных и нажмите на группу " Резервное хранилище "
Задание 4. Помещение файлов на карантин Как видно из предыдущих заданий, перед каждым своим вмешательством Антивирус Касперского копирует исходный файл в специальную защищенную папку, называемую резервным хранилищем. Из нее файлы рекомендуется только удалять, поскольку они или признаны инфицированными и при этом неизлечимыми, или были успешно вылечены и следует использовать их вылеченную копию. В этом задании изучается второе хранилище Антивируса Касперского, карантин. На карантин ставятся все подозрительные файлы - то есть такие, которые по всем признакам инфицированы, но вердикт об их неизлечимости пока не вынесен. Может быть, при следующем обновлении антивирусных баз в них будет добавлена информация, позволяющая это сделать, или же свидетельствующая о неизлечимости. В первом случае можно будет провести повторную проверку карантина и вылечить теперь уже допускающие лечение файлы, во втором - удалить с перемещением в резервное хранилище. Еще одно отличие карантина от резервного хранилища состоит в том, что на карантин можно ставить объекты вручную, например если они у пользователя все же вызывают подозрения, несмотря на отрицательный ответ антивируса.
Сначала перейдите к папке C:\Test и нажмите один раз на иконку файла susp-eicar.com
Вам будет предложено три варианта: поместить на карантин, удалить или пропустить. Поскольку файл признан подозрительным, лечение невозможно (иначе бы было предложено его сначала вылечить). Нажмите Карантин
Обратите внимание на пункт Отправить. Если на компьютере установлен почтовый агент, воспользовавшись этим пунктом можно быстро сформировать и отправить в службу технической поддержки Лаборатории Касперского письмо с просьбой проверить выбранный файл
Лабораторная работа завершена. Заключение В ходе этой лабораторной работы было проведено тестирование работы установленного ранее Антивируса Касперского 6.0. Проверялись функции обнаружения и лечения зараженных файлов, а также постановки на карантин подозрительных. Параллельно были получены базовые навыки работы с резервным хранилищем и карантином. Однако как уже упоминалось ранее, для полноценной работы любого современного антивирусного средства, нужны регулярные обновления антивирусных баз. Для Антивируса Касперского это утверждение также справедливо. |