При сканировании антивирусная программа просматривает содержимое файлов, расположенных на дисках компьютера, а также содержимое оперативной памяти компьютера с целью поиска вирусов.При этом классическое сканирование предполагает поиск вредоносных программ по их сигнатурам, т.е. по последовательностям байтов данных, характерных для данных вирусов.
Метод сканирования позволяет обнаружить такие вредоносные программы, которые не используют для противодействия антивирусным программам шифрование своего программного кода, а также полиморфизм.Метод сканирования не позволяет обнаружить полиморфные и шифрованные вирусы.
Антивирусные программы не в состоянии сканировать зашифрованные архивы и документы, если ей не известен пароль или ключ для расшифровки данных. Перед поиском вредоносных программ в таких архивах или документах пользователь должен их расшифровать.
Эвристический анализ
Как мы отметили выше, обычное сканирование не позволяет обнаруживать полиморфные и шифрующиеся вирусы. Кроме того, этот метод бессилен перед вредоносными программами, сигнатуры которых отсутствуют в базе данных антивируса, т.е. с новыми вирусами.
Для устранения этого недостатка разработчики антивирусов создали новый метод обнаружения вредоносных программ с названием эвристический анализ. При использовании этого метода антивирус контролирует все действия, которые может выполнить проверяемая программа. При этом отслеживаются потенциально опасные действия, характерные для вирусов.Контролируя действия проверяемых программ, эвристический анализатор современных антивирусов способен обнаружить новые, неизвестные вирусы еще до того, как эти вирусы начали действовать.
Тем не менее, эвристический анализ не дает полной гарантии обнаружения любых новых вирусов. Кроме того, эвристический анализатор может принять «безобидную» программу за вредоносную. Это происходит в тех случаях, когда программа выполняет какие-либо действия, характерные для вирусов или вредоносных программ другого типа.
Современные антивирусные программы, работающие в режиме монитора, способны сканировать файлы, к которым выполняет обращение ОС и программы, запускаемые пользователем. Таким образом, сканируются все файлы, к которым происходит обращение.
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Источник: studopedia.ru
Антивирусное сканирование
Антивирусный модуль NetDefendOS обеспечивает защиту от вредоносного кода, который может содержаться в файлах, загружаемых из интернет . Файлы могут быть загружены как часть веб-страницы, полученной по протоколу HTTP , могут быть загружены по протоколу FTP или получены в виде вложений в электронную почту по протоколу SMTP . Вредоносный код во всех этих примерах может использоваться для различных целей, начиная от программ раздражающего воздействия до более злонамеренных действий, например, получение паролей, номеров кредитных карт и другой конфиденциальной информации. Термин » вирус » может быть использован как общее описание для всех видов вредоносного кода, переносимого файлами.
- Настройка корректного системного времени и проверка наличия обновлений Очень важно установить правильное системное время, если функция автоматического обновления антивирусных баз данных включена. Неправильное время может означать, что автоматическое обновление отключено.
Веб-интерфейс:
Maintenance -> Update Center
увеличить изображение
Рис. 8.1.
Командная строка:
updatecenter -status
- Может быть просканирован любой тип несжатого файла, с которым связан соответствующий ALG.
- Если загружаемый файл сжат, то форматы ZIP и GZIP также могут быть просканированы.
Можно запретить загрузку определенных файлов, а также указать ограничение размера сканируемых файлов. Если размер не указан, то по умолчанию максимальный размер файлов не ограничен.
Если функция IDP включена, выполняется сканирование всех пакетов, которые соответствуют определенному правилу IDP, без учета семантики протоколов более высокого уровня, таких как HTTP. В противоположность этому антивирус осведомлен о семантики протоколов более высокого уровня и просматривает только данные, относящиеся к этим протоколам. Антивирусное сканирование является частью шлюза прикладного уровня, а IDP нет.
Описание практической работы
Использование шлюза прикладного уровня (ALG) для активизация антивирусного сканирования
- Реакция на невозможность выполнения проверки на наличие вирусов Антивирус NetDefendOS активизируется с помощью шлюза прикладного уровня (ALG), который связан с соответствующим протоколом. Активизация доступна для загружаемых файлов, связанных со следующими ALG и включается непосредственно в самом ALG:
- HTTP ALG
- FTP ALG
- POP3 ALG
- SMTP ALG
Если по какой-либо по причине не удается выполнить проверку на наличие вирусов, то при режиме Deny дальнейшая передача данных прекращается, при этом данное событие регистрируется в логах. Если установлен режим Allow, то ситуация, когда антивирусные базы не доступны или текущая лицензия не действительна, не приведет к запрещению пересылки. В этом случае пересылка файлов будет разрешена, и будет сгенерировано сообщение в логах, указывающее на то, что произошел сбой.
Веб-интерфейс:
Object -> ALG with AV/WCF -> Add -> HTTP ALG
увеличить изображение
Рис. 8.2.
Disabled – Функция антивируса выключена.
Audit – Сканирование активизировано, но единственным действием является ведение логов.
Protect – Функция антивируса активизирована. Подозрительные файлы будут удалены, информация об этом будет записана в логи.
При необходимости можно явно отменить сканирование файлов с определенным расширением. Данное действие может увеличить общую пропускную способность, если загрузка файлов с данным расширением часто используется в каком-либо протоколе, например, HTTP.
NetDefendOS выполняет проверку всех MIME-расширений файлов, чтобы установить, что расширение файла корректно и затем посмотреть, не находится ли это расширение в списке исключенных.
увеличить изображение
Рис. 8.3.
При сканировании сжатых файлов файл сначала распаковывается. В некоторых случаях распакованный файл намного больше сжатого. Это означает, что сравнительно небольшое вложение сжатого файла может значительно израсходовать ресурсы межсетевого экрана и заметно снизить пропускную способность.
Для предотвращения подобной ситуации, следует указать предел степени сжатия (Compression Ratio). Если предел степени сжатия указан 20, то это будет означать, что, если несжатый файл в 20 раз больше, чем сжатый, то следует выполнить одно из следующих действий:
Allow – Разрешить передачу файла без проверки на наличие вирусов
Scan – Сканировать файл на наличие вирусов
Drop – Отбросить файл
В любом случае данное событие заносится в лог.
увеличить изображение
Рис. 8.4.
MIME-тип определяет тип файла. Например, файл может быть определен как .gif и, следовательно, должен содержать данные этого типа. Некоторые вирусы могут пытаться скрыться внутри файлов, используя ложное расширение. Файл может быть указан как .gif, но содержимое файла не будет соответствовать данным этого типа, так как он заражен вирусом.
Включение этой функции рекомендуется для того, чтобы предотвратить прохождение вируса.
увеличить изображение
Рис. 8.5.
Командная строка:
set ALGALG_HTTPhttp-outbound-avAntivirus=Protect
Создание сервиса с ALG с установленной антивирусной защитой
Веб-интерфейс:
Object -> Services -> Add -> TCP/UDP Services
увеличить изображение
Рис. 8.6.
0.118 Командная строка:
add Service ServiceTCPUDP http-outbound-av DestinationPorts=80,8080,90,8090 SourcePorts=0-65535 ALG=http-outbound-av
Определение правила фильтрования с созданным сервисом
Веб-интерфейс:
Rules -> IP Rules -> toInet -> Add-> IP Rule
увеличить изображение
Рис. 8.7.
0.119 Командная строка:
add IPRuleFolder Name=toInet
cc IPRuleFolder
add IPRule Action=NAT SourceInterface=lan SourceNetwork=lan/lan_net DestinationInterface=wan1 DestinationNetwork=all-nets Service=http-outbound-av Name=http_av
Источник: intuit.ru
Практическое задание №3. Выполнить сканирование и лечение локального диска, содержащего зараженные вирусами файлы с помощью не менее чем двух антивирусных программ
Единственный в мире Музей Смайликов
Самая яркая достопримечательность Крыма
Скачать 2.83 Mb.
Выполнить сканирование и лечение локального диска, содержащего зараженные вирусами файлы с помощью не менее чем двух антивирусных программ.
Можно использовать следующие дополнительные утилиты:
http://support.kaspersky.ru/viruses/kss3
http://z-oleg.com/secur/avz/download.php
Использовать все доступные режимы сканирования этих программ.
- Общие характеристики компьютера, на котором выполнялось сканирование, в т.ч. жесткого диска.
- Названия и версии антивирусных программ.
- Краткое описание режимов работы антивирусных программ.
- Сводная таблица результатов сканирования, содержащая следующую информацию для каждого из режимов сканирования:
- название режима сканирования,
- время сканирования,
- количество проверенных объектов,
- количество обнаруженных вирусов,
- количество зараженных файлов,
- количество вылеченных файлов.
- Выводы, содержащие сравнительную характеристику использованных антивирусных программ и их режимов работы.
- Dr.WebCureltДомашняя версия
- Dr. Web ( Доктор Веб ) – семейство антивирусных программ, которые предназначены для защиты персональных компьютеров и установленного на них программного обеспечения от различного рода вирусов. Авторство программ принадлежит российской компании-разработчику «Доктор Веб».
| название режима сканирования | Быстрая проверка |
| время сканирования | 00:12:22 |
| количество проверенных объектов | 50336 |
| количество обнаруженных вирусов | 2 |
| количество зараженных файлов | 2 |
| количество вылеченных файлов | 2 |
Вывод:
+ Высокий показатель обнаружения угроз.
+ Простой и удобный интерфейс.
+ Отличная защита от взлома.
+ Неплохая скорость работы.
— Все равно высокое потребление ресурсов ПК, особенно при полном сканировании
— Иногда блокируются легальные сайты и приложения.
- Kaspersky
- Антивирус Касперского – антивирусное программное обеспечение, разработанное лабораторией Касперского, которое предоставляет пользовательским ПК защиту от различных вирусов, троянов, шпионских программ, руткитов и adware. Кроме того антивирус Касперского предоставляет проактивную защиту с компонентом HIPS против пока еще неизвестных угроз. В начале девяностых, когда антивирус Касперского только начинал распространяться, он назывался -V, позже был переименован в AntiViral Toolkit Pro.
| название режима сканирования | Быстрая проверка |
| время сканирования | 00:3:42 |
| количество проверенных объектов | 4670 |
| количество обнаруженных вирусов | |
| количество зараженных файлов | |
| количество вылеченных файлов |
+ Максимальный уровень защиты компьютера от вредоносного ПО
+ Самая высокая скорость работы
+ Огромное разнообразие программ
+ Идеальная оптимизация, благодаря которой Kaspersky минимально нагружает вашу ОС
+ Предварительная проверка сайта с помощью мониторинга ссылок, перед переходом на него
+ Достаточно простой интерфейс
+ Наличие функций Анти-Спама и Анти-Баннеров
+ Минимальная нагрузка на ПК и систему Достаточно простая и удобная система настроек и управления
— Некоторые функции слишком навязчиво «требуют» выполнить то или иное действие
Ответьте на следующие вопросы.
- Какие существуют угрозы для информации?
- Какие мероприятия применяются для устранения возможности возникновения угроз и их последствий?
- Что такое компьютерный вирус? Какими свойствами обладают компьютерные вирусы?
- Какие вирусы называются резидентными и в чем особенность таких вирусов?
Под термином «резидентность» понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов. Резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы.
- Каковы пути проникновения вирусов в компьютер и признаки заражения компьютера вирусом?
- дискета, на которой находятся зараженные вирусом файлы
- компьютерная сеть, в том числе система электронной почты и Internet
- жесткий диск, на который попал вирус в результате работы с зараженными программами
- вирус, оставшийся в оперативной памяти после предшествующего пользователя
Источник: topuch.com