Технология работы пользователя с NOD32 при выполнении конкретных задач

Оглавление

Введение 2

1. Понятие «компьютерный вирус» 3

1.1. Свойства компьютерных вирусов 4

1.2. Классификация вирусов 4

1.3. «Борьба» с компьютерными вирусами 6

1.4  Основные меры по защите от вирусов 6

2. Антивирусная система NOD32 7

2.1. Назначение, состав компонентов системы NOD32 7

2.2. Описание основных компонентов системы. 8

2.3. Центр управления NOD32 8

2.4. AMON 8

2.6. EMON 10

2.7. IMON 12

2.7.Сканер по требованию NOD32 13

2.8. Кнопки управления. Закладки 14

2.9. Логи 17

3. Служебные программы NOD32. 18

4. Настройки системы NOD32 19

5. Вирусная тревога 20

6. Технология работы пользователя с NOD32 при выполнении конкретных задач 22

7. Заключение 27

8. Список литературы 28 
 

 

Введение

 

     В наш век многие области деятельности человека связаны с применением  компьютера. Эти машины плотно внедрились в нашу жизнь. Они имеют колоссальные возможности, позволяя тем самым освободить мозг человека для более необходимых и ответственных задач. Компьютер может хранить и обрабатывать очень большое количество информации, которая в настоящее время является одним из самых дорогих ресурсов[1].

       По мере развития и модернизации  компьютерных систем и программного обеспечения возрастает объем и повышается уязвимость хранящихся в них данных. Одним из  новых факторов, резко  повысивших эту уязвимость, является массовое производство  программно-совместимых мощных персональных ЭВМ, которое явилось одной из причин появления нового класса программ-вандалов - компьютерных вирусов. Наибольшая опасность, возникающая в связи с опасностью заражения программного обеспечения компьютерными вирусами, состоит в возможности  искажения или уничтожения жизненно-важной информации, которое может привести не только к финансовым и временным потерям, но и вызвать человеческие жертвы.

     Компьютерные  вирусы получили очень широкое распространение, и борьба с ними доставляет рядовому пользователю большую «головную  боль». Поэтому важно понимать способы  распространения и характер появления  вирусов, и способы борьбы с ними.

     Наилучшие результаты в настоящее время  достигнуты в создании антивирусных программ и методик их применения. Ряд разработок доведен до уровня программных продуктов и широко используются пользователями2.

 

  1. Понятие «компьютерный вирус»
 
 

     Компьютерным  вирусом называется специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе на компьютере.

     Компьютерный  вирус – это, как правило, небольшая  по размерам программа, которая может записывать свои копии в компьютерные программы, расположенные в исполнимых файлах, системных областях дисков, драйверах, документах и т.д., причем  эти копии сохраняют возможность к «размножению». Процесс внедрения вирусом своей копии в другую программу (системную область диска и т.д.) называется заражением, а программа или иной объект, содержащий вирус – зараженным. Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и   т.д.).  Таким образом, это программа, обладающая способностью к самовоспроизведению[3]. Такая способность является единственным свойством, присущим всем типам вирусов. Вирус не может существовать в «полной изоляции». Это означает, что сегодня нельзя представить себе вирус, который бы так или иначе не использовал код других программ, информацию о файловой структуре или даже просто имена других программ. Причина этого довольно понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.

     Как и обычным вирусам, вирусам компьютерным для «размножения» нужен «носитель» - здоровая программа или документ, в которых они прячут участки  своего программного кода. Сам вирус  невелик, его размер редко измеряется килобайтами. Однако натворить эта «кроха» может немало. В тот момент, когда пользователь, ничего не подозревая, запускает на своем компьютере зараженную программу или открывает документ, вирус активизируется и заставляет компьютер следовать его, вируса, инструкциям. Это приводит к удалению какой-либо информации, причем чаще всего – безвозвратно. Кроме этого современные вирусы могут испортить не только программы, но и «железо». Например, уничтожают содержимое BIOS материнской платы или повреждают жесткий диск.

     Однако, не следует забывать, что, прежде всего, вирус - это программа.

Такое простое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой  гаммы 25-м кадром» также не стоит относиться серьезно. К сожалению, некоторые авторитетные издания время от времени публикуют «самые свежие новости с компьютерных фронтов», которые при ближайшем  рассмотрении оказываются следствием не вполне ясного понимания предмета[4].

    1.1. Свойства компьютерных  вирусов

 

     Сейчас  применяются персональные компьютеры, в которых пользователь имеет  свободный доступ ко всем ресурсам машины. Именно это открыло возможность  для опасности, которая получила название компьютерного вируса.

Что такое  компьютерный вирус? Формальное определение  этого понятия до сих пор не придумано, и есть серьезные сомнения, что оно вообще может быть дано. Многочисленные попытки дать "современное" определение вируса не привели к  успеху. Чтобы почувствовать всю  сложность проблемы, попробуйте к примеру, дать определение понятия "редактор". Вы либо придумаете нечто очень общее, либо начнете перечислять все известные типы редакторов. И то и другое вряд ли можно считать приемлемым[5]. Поэтому мы ограничимся рассмотрением некоторых свойств компьютерных вирусов, которые позволяют говорить о них как о некотором определенном классе программ.

     Прежде  всего вирус - это программа. Такое простое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, "уничтожающих операторов посредством вывода на экран смертельной цветовой гаммы 25-м кадром" также не стоит относиться серьезно.

К сожалению, некоторые авторитетные издания  время от времени публикуют "самые  свежие новости с компьютерных фронтов", которые при ближайшем рассмотрении оказываются следствием не вполне ясного понимания предмета.

Вирус - программа, обладающая способностью к самовоспроизведению. Такая способность  является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая  операционная система и еще множество  программ способны создавать собственные  копии. Копии же вируса не только не обязаны полностью совпадать  с оригиналом, но и могут вообще с ним не совпадать!

     Вирус не может существовать в "полной изоляции": сегодня нельзя представить себе вирус, который не использует код других программ[6], информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.

    1.2. Классификация вирусов

 

     В настоящее время известно более 5000 программных вирусов, их можно  классифицировать по следующим признакам:

* среде  обитания

* способу  заражения среды обитания

* воздействию

* особенностям  алгоритма

     В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

     Загрузочные вирусы внедряются в загрузочный  сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-

cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков[7].

     По  способу заражения вирусы делятся  на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

     По  степени воздействия вирусы можно  разделить на следующие виды:

* неопасные,  не мешающие работе компьютера, но уменьшающие объем свободной  оперативной памяти и памяти  на дисках, действия таких вирусов  проявляются в каких-либо графических  или звуковых эффектах

* опасные  вирусы, которые могут привести  к различным нарушениям в работе  компьютера

* очень  опасные, воздействие которых  может привести к потере программ, уничтожению данных, стиранию информации  в системных областях диска.

     По  особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они  изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены[8]. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.

     Наиболее  трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря  которым копии одного и того же вируса не имеют ни одной повторяющейся  цепочки байтов. Имеются и так называемые квазивирусные или "троянские" программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

    1.3. «Борьба» с компьютерными  вирусами

 

     Причины появления и распространения  компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и ее теневых сторонах (зависти, мести, тщеславии непризнанных творцов, невозможности конструктивно применить свои способности), с другой стороны, обусловлены отсутствием аппаратных средств защиты и противодействия со стороны операционной системы персонального компьютера.

     Хотя  вирусные атаки случаются не очень  часто, общее число вирусов слишком велико, а ущерб от “хулиганских” действий вируса в системе может оказаться значительным. Существуют вирусы, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, привести к серьезным сбоям в работе компьютера. В результате этих действий Вы можете навсегда потерять данные, необходимые для работы и понести существенный моральный и материальный ущерб. “Эпидемия” компьютерного вируса в фирме (неважно — большой или маленькой) может полностью дестабилизировать ее работу. При этом может произойти сбой в работе, как отдельных компьютеров, так и компьютерной сети в целом, что повлечет за собой потерю информации, необходимой для нормальной работы и потерю времени, которое будет затрачено на восстановление данных и приведением компьютеров и/или сети в рабочее состояние.

    1.4  Основные меры  по защите от  вирусов

 

  Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

* оснастите  свой компьютер современными  антивирусными программами, например NOD32, Aidstest, Doctor Web, и постоянно возобновляйте их версии

* перед считыванием  с дискет информации, записанной  на других компьютерах, всегда  проверяйте эти дискеты на  наличие вирусов, запуская антивирусные  программы своего компьютера

* при переносе  на свой компьютер файлов в  архивированном виде проверяйте  их сразу же после разархивации  на жестком диске, ограничивая  область проверки только вновь  записанными файлами

* периодически  проверяйте на наличие вирусов  жесткие диски компьютера, запуская  антивирусные программы для тестирования  файлов, памяти и системных областей  дисков с защищенной от записи  дискеты, предварительно загрузив  операционную систему с защищенной  от записи системной дискеты

* всегда защищайте  свои дискеты от записи при  работе на других компьютерах,  если на них не будет производится запись информации

* обязательно  делайте архивные копии на  дискетах ценной для вас информации

* не оставляйте  в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами

* используйте  антивирусные программы для входного  контроля всех исполняемых файлов, получаемых из компьютерных сетей

* для обеспечения  большей безопасности применения  Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf.

  1. Антивирусная  система NOD32
    1. Назначение, состав компонентов системы NOD32
 

     Антивирусная  система NOD32 предназначена для защиты компьютера от проникновения вредоносных  программ через сеть (локальную или  глобальную) и посредством электронных  носителей информации (например, дискета, CD-диск), а также для удаления (очистки, “лечения”) вирусов и т.п. программ с уже зараженного компьютера. NOD32 представляет собой мощный антивирусный комплекс для всесторонней защиты пользовательских данных[9].

     Антивирусная  система NOD32 состоит из нескольких модулей  или системных компонентов. Основным средством взаимодействия пользователя с антивирусом является Центр управления NOD32. Центр управления NOD32 является центральной программой управления Антивирусной системой NOD32. Система состоит из следующих резидентных модулей и фильтров:

  • AMON – резидентный (всегда выполняющийся в оперативной памяти) антивирусный монитор или сканер "на доступе". Эта программа является наиболее важным инструментом антивирусной защиты.
  • NOD32 – это сканер (также именуемый сканером "по требованию"), запускаемый пользователем вручную или планировщиком автоматически.
  • IMON (Интернет-монитор) - этот сканер обеспечивает первую линию защиты, контролируя интернет трафик (протокол POP3 для электронной почты и HTTP для файлов, загружаемых из интернета)
  • DMON (Монитор документов) - этот сканер обеспечивает защиту от макро вирусов в документах MS Office, работает с приложениями, использующими MS Antivirus API (например MS Office 2003 и выше, Internet Explorer 6.0 и выше)
  • EMON (Email монитор) – этот сканер обеспечивает защиту от вирусов, перенесенных электронной почтой.
  • Обновление – эта программа обеспечивает автоматическое интернет/сетевое обновление ключевых элементов системы, включая модули и вирусные базы данных (требуется правильное имя пользователя и пароль).
  • Логи – инструмент управления, поддерживающий логи системных событий, вирусных тревог и сканера по требованию.
  • Cлужeбныe пpoгpaммы NOD32 – включает ряд инструментов, делающих использование Антивирусной системы NOD32 удобным и функциональным. Включает Карантин, Расписание/Планировщик, Информацию и Настройки системы.

2.2. Описание основных компонентов системы.

2.3. Центр управления NOD32

 

     Главное окно Центра управления NOD32 содержит список установленных системных модулей и их возможностей (исключение составляет сканер по требованию, значок которого доступен на рабочем столе и который также может быть запущен как запланированная задача). В главном окне доступны следующие группы: Резидентные модули и фильтры, Обновление, Логи и Служебные программы NOD32. Детальные описания каждой группы представлены ниже. Для перемещения в пределах главного окна Центра управления используется мышь или клавиши стрелок вверх/вниз[10]. 

 

     Три кнопки, расположенные в нижней части  главного окна Центра управления, могут  использоваться для скрытия окна, выхода из программы и вызова интерактивной системы справки.

2.4. AMON

 

     AMON (Антивирусный МОНИТОР) - резидентная  (выполняющаяся в оперативной памяти после каждого перезапуска компьютера) программа проверки файлов. Автоматический запуск AMON при перезапуске компьютера - фундаментальная защита против злонамеренного кода. Не рекомендуется отключать AMON, если только это не требуется специальными обстоятельствами. AMON - наиболее важная линия антивирусной защиты. Критически важно сохранять его всегда функционирующим с использованием самой современной версии вирусных баз данных. AMON контролирует все потенциально угрожающие действия на защищенных компьютерах типа открытия, выполнения, создания или переименования файлов. AMON часто упоминается как антивирусный монитор или сканер “на-доступе” в отличие от сканера “по требованию”. Для выполнения своих задач AMON требует важных системных прав. С технической точки зрения он работает на уровне системного драйвера. В результате, совместимость с другими службами, выполняющимися на компьютере, должна быть проверена в процессе инсталляции системы NOD32. Если тестирование было успешно завершено, AMON будет запускаться автоматически после каждой перезагрузки компьютера.

 AMON имеет три состояния:

  1. Запущен и включен (Загружен в память и выполняет сканирование на-доступе).
  2. Запущен и отключен (Загружен в память, но не выполняет сканирование на-доступе).

Остановлен и отключен (Не загружен в память). 

 

     Содержимое  окна AMON (доступные кнопки) зависит  от состояния выполнения AMON. Опция  “Резидентный модуль (AMON) включен” служит для включения или отключения главной функции AMON: сканирования на доступе. Эта опция доступна, только если AMON загружен в оперативную память. Чтобы загрузить AMON в память, нажмите кнопку Пуск. Для того, чтобы выгрузить AMON из памяти, нажмите кнопку Остановить. Другая полезная информация, доступная в главном окне AMON - статистика общего количества проверенных, инфицированных и очищенных файлов. Также доступно имя последнего или в настоящее время проверяемого файла, сопровождаемое информацией об установленной версии вирусной базы данных с ее датой выпуска. Даты указаны в следующем формате: ГГГГММДД.

Для доступа  к параметрам модуля AMON нажмите кнопку Настройка, расположенную в главном окне AMON.Доступно пять вкладок: Обнаружение, Методы, Действия, Исключения и Безопасность.  

2.5.
DMON 

     DMON - модуль антивирусной системы  NOD32, который служит для проверки  документов Microsoft Office и файлов, автоматически загружаемых через Internet Explorer (например элементы Microsoft ActiveX). DMON обеспечивает дополнительный уровень защиты к AMON. 

 

     DMON может быть активирован выбором опции ниже окна состояния DMON. Окно показывает общее число проверенных, инфицированных и очищенных объектов. Оно также отображает текущую версию вирусной базы данных. Монитор документов включен - если галочка установлена, проверка документов включена. 
Настройка - отображает окно конфигурации сканера.
 

 

     Методы  сканирования

     Вирусные базы - Сканирование с помощью вирусных баз полагается на анализ прежде известных вирусов и их соответствующих образцов в базе данных. 
Эвристический анализ - Сложный алгоритмы, позволяющий обнаружить ранее неизвестные вирусы.

Расширенная эвристика - Расширенная эвристика использует более эффективные и сложные методы поиска ранее неизвестных вирусов, червей и троянов.

2.6. EMON

 

     EMON (Монитор электронной почты) обеспечивает  проверку входящей и исходящей корреспонденции в почтовых клиентах Microsoft Outlook и Microsoft Exchange Extension.  

 

     Это окно показывает число проверенных, инфицированных и очищенных объектов. Оно также отображает версию вирусной базы данных, используемой во время проверки. Автоматическое интернет-обновление будет поддерживать текущую версию, если правильное имя пользователя и пароль были введены в модуле Обновление. 

Секция  Настройка позволяет настроить параметры.   

 

Пpoвepять вxoдящую пoчту - если включено, входящая почта будет проверяться на наличие вирусов  

Пpoвepять иcxoдящую пoчту - если включено, исходящая почта будет проверяться на наличие вирусов  

Пpoвepять пpoчитaнную пoчту - если включено, прочитанная почта будет проверяться на наличие вирусов  

Пpoвepять тeлo тeкcтoвыx cooбщeний - если включено, простые текстовые сообщения будут проверяться на наличие вирусов 

Пpoвepять тeлo RTF cooбщeний - если включено, сообщения в формате RTF будут проверяться на наличие вирусов. 

Пpeoбpaзoвaть cooбщeния в пpocтoй тeкcт - если включено, вся электронная почта будет преобразована в простой текст. Преобразование происходит прежде, чем начнется проверка. 

Bключить peзультaты пpoвepки дpугими мoдулями - если какое-либо сообщение уже проверено другим модулем NOD32 (например IMON) и обозначено как инфицированное, EMON также будет считать его инфицированным, даже если вирус уже удален. 

Пoвтopить пpoвepку пocлe oбнoвлeния - если включено, после обновления вирусной базы данных вся электронная почта будет проверена повторно с использованием текущей вирусной базы данных, независимо от того, что проверка уже проводилась. 

Пepecкaниpoвaть - сбрасывает результаты проверки и передает электронную почту на повторное сканирование при следующем обращении. (это происходит автоматически всякий раз, когда NOD32 обновляется до более новой версии).

 

2.7. IMON

     В то время, как роль AMON состоит в обеспечении резидентного антивирусного контроля действий системы и пользователя, модуль IMON служит как антивирусный монитор трафика между системой и интернетом.  Первичная роль IMON состоит в контроле входящей электронной почты. Ключевое преимущество IMON по сравнению с своим предшественником (POP3 сканером) - удобство в использовании. Фактически IMON не требует никакой настройки, так как этот модуль не зависит от клиента электронной почты. IMON работает на уровне winsock[11]