Файл: Федеральное государственное образовательное бюджетное учреждение.docx

1. 
   Установка параметров безопасности и конфиденциальности в обозревателе Интернета.
   
2. 
   Установка защиты от записи в загрузочные сектора с помощью программы BIOS Setup.
   
3. 
   Определение недоступных для изменения областей дисковой памяти с помощью драйвера PCI-контроллера.
   

Удаление обнаруженных вирусов:

1. 
   Автоматическое − с помощью заранее разработанного алгоритма «лечения» зараженных известным вирусом объектов.
   
2. 
   Автоматическое или «ручное» удаление зараженного объекта (с его последующим восстановлением по сохраненной незараженной резервной копии).
   
3. 
   Полная переустановка системы, включая форматирование дисковой памяти, восстановление главного загрузочного сектора, установку операционной системы и прикладного программного обеспечения, восстановление файлов данных с резервных носителей информации.
   

Тема 2.2 Антивирусные программы: классификация, сравнительный анализ
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.

Различают следующие виды антивирусных программ:

- программы-детекторы;

- программы-доктора или фаги;

- программы-ревизоры;

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: AVP, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелсвирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

---

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

1. попытки коррекции файлов с расширениями COM, EXE;

2. изменение атрибутов файла;

3. прямая запись на диск по абсолютному адресу;

4. запись в загрузочные сектора диска;

5. загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. 

Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например, фаги.

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

AntiViral Toolkit Pro

AVP имеет удобный пользовательский интерфейс, большое количество настроек, выбираемых пользователем, а также одну из самых больших в мире антивирусных баз, что гарантирует надежную защиту от огромного числа самых разнообразных вирусов.

В ходе работы AVP сканирует следующие области:

- Оперативную память.

- Файлы, включая архивные и упакованные.

- Системные сектора, содержащие Master Boot Record, загрузочный сектор (Boot-сектор) и таблицу разбиения диска (Partition Table).

 AntiViral Toolkit Pro имеет ряд особенностей, характеризующих его работу:

- детектирование и удаление огромного числа самых разнообразных вирусов, в том числе полиморфных или самошифрующихся вирусов; стелс-вирусов или вирусов-невидимок; макро вирусов, заражающих документы Word и таблицы Excel;

---

- сканирование внутри упакованных файлов (модуль Unpacking Engine);

- сканирование внутри архивных файлов (модуль Extracting Engine);

- сканирование объектов на гибких, локальных, сетевых и CD-ROM дисках;

- эвристический модуль Code Analyzer, необходимый для детектирования неизвестных вирусов;

- поиск в режиме избыточного сканирования;

- проверка объектов на наличие в них изменений;

- «AVP Monitor» - резидентный модуль, находящийся постоянно в оперативной памяти компьютера и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального заражения системы в целом;

- удобный пользовательский интерфейс;

- создание, сохранение и загрузка большого количества различных настроек;

- механизм проверки целостности антивирусной системы;

- мощная система помощи;

- AVP Центр Управления - программа-оболочка, позволяющая организовать эффективную антивирусную защиту на ПК.

Doctor Web

Программа DoctorWeb предназначена для борьбы с полиморфными вирусами, способна обнаруживать изменения в собственном теле. С помощью мощного аналитического анализатора может распознавать заражение файлов неизвестными вирусами, в том числе в упакованных файлах.

Программой предусматривается возможность проведения эвристического анализа на трех уровнях. При этом исследуются файлы и системные области дисков с целью обнаружения неизвестных вирусов по характерным кодовым последовательностям.

Работа с программой может выполняться в режиме полноэкранного интерфейса с использованием меню и диалоговых окон или в режиме вызова из командной строки. Второй вариант предпочтителен при многократном регулярном использовании программы для контроля дискет. При этом для удобства команду запуска программы DoctorWeb действиями, которые могут означать присутствие неизвестного вируса (автозащита с технологией вирусного датчика).

Перечисленные автоматические функции включены по умолчанию. В зависимости от степени риска в той среде, где используется компьютер, можно усилить или ослабить меры защиты путем настройки различных параметров.

Norton AntiVirus

Кроме автоматического поиска вирусов средствами автозащиты, можно в любой момент начать ручной поиск или назначить его выполнение на определенное время.

NortonAntiVirus выдает сигналы тревоги при обнаружении:

- известного или неизвестного вируса;

- вирусоподобного действия (из числа тех, которые обычно совершаются вирусами при распространении или порче файлов);

---

- изменения вакцинации (когда файл либо не вакцинирован, либо подвергся изменению с момента последней вакцинации).

NortonAntiVirus может исправить большинство зараженных файлов. Однако если исправить файл не удается, его необходимо удалить с диска и затем заменить незараженной копией. Следует хранить оригинальные диски программ в безопасном месте и создавать резервные копии ценных файлов.

При проверке программных файлов NortonAntiVirus просматривает также документы и шаблоны MicrosoftWord и Excel. Хотя эти файлы не являются программными, в них могут легко проникать так называемые макровирусы.

Существует два способа уничтожения вирусов.

- Исправление зараженного файла, загрузочной записи или главной загрузочной записи.

- Удаление зараженного файла с диска и последующая замена его незараженной копией.
Тема 2.3 Фаервол: задачи, сравнительный анализ, настройка

Фаервол, (firewall - огненная стена) ещё его называют брандмауэр или сетевой экран, это программа для защиты компьютеров от сетевых атак и от потери конфиденциальных данных. Основной задачей сетевого экрана является защита компьютера от несанкционированного доступа. Кроме того, фаерволы часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в правилах.

Обычно сетевые экраны запускаются как служба, при загрузке операционной системы и контролирует сетевую активность компьютера. Фаервол является преградой для внешних сетевых атак на компьютер пользователя. 

Большинство таких программ легко настраиваются и имеют автоматический режим для неопытных пользователей. Зачастую в хороших фаерволах есть режим автоматического обучения, программа следит за входящими и исходящими соединениями и добавляет их в список доверенных или в блокированных. 

Outpost Firewall — программа для защиты компьютера от хакерских атак из Интернета. Кроме этого, Аутпост обеспечивает блокировку загрузки рекламы и активного содержимого веб-страниц, а тем самым — их более быструю загрузку. От российской компании Agnitum.

Outpost Firewall — выпускается в двух вариантах: Outpost Firewall Pro (лицензия Shareware) и Outpost Firewall Free (лицензия Freeware)

Возможности программы

• 
  Фильтрация входящих и исходящих сетевых соединений
  
• 
  Глобальные правила для протоколов и портов
  
• 
  Создания правил сетевого доступа для известных приложений на основе предустановок
  
• 
  Политики блокировки задают реакцию Outpost на соединение, отсутствующее в правилах — автоматически отклонить его, разрешить или выдать запрос на создание правила, кроме того, блокировка/разрешение всех соединений
  

---

• 
  Контроль компонентов, контроль скрытых процессов и контроль памяти процессов позволяют устанавливать ограничения на сетевую активность для отдельных приложений и процессов, определяя, какие именно — входящие или исходящие — соединения разрешены для конкретных приложений
  
• 
  Визуальное оповещение о событиях (например, о блокировании соединения, попытке сетевой атаки) с помощью всплывающих окон
  
• 
  Наглядное отображение сетевой активности
  
• 
  Журнал действий программы, в том числе и подключаемых модулей
  
• 
  Внутренняя защита (например, от попыток остановить сервис) и возможность задать пароль на изменение конфигурации.
  

В состав дистрибутива Outpost Firewall Pro входят следующие плагины (программный модуль):

• 
  Реклама— позволяет блокировать интернет-рекламу по ключевым словам и типичным размерам рекламных баннеров
  
• 
  Интерактивные элементы— контролирует деятельность следующих активных web-элементов: ActiveX, Java-апплеты, сценарии Java Script и, Cookies, всплывающие окна,  скрытые фреймы, Flash, анимированные GIF
  
• 
  Детектор атак— обнаруживает и блокирует попытки сетевых атак
  
• 
  Фильтрация почтовых вложений— обнаруживает и переименовывает потенциально опасные вложения в электронной почте
  
• 
  DNS— кэширование наиболее часто используемых записей DNS для ускорения доступа к ним
  
• 
  Разное— блокировка сайтов с нежелательным содержимым по ключевым словам и URL
  
• 
  Anti-Spyware— блокировка шпионского программного обеспечения и предотвращение отправки через сеть Интернет конфиденциальной информации
  

Comodo Internet Security - бесплатный файрвол, разработанный американской компанией. Это комплексное решение, включающее наряду с файрволом защиту от троянов и вирусов и другие функции. Программа включает огромное число разнообразных настроек. Платная версия имеет дополнительные функции по защите, оптимизации и настройке ПК и шифровке данных, передаваемых по беспроводным соединениям.

Возможности программы

1. 
   Проактивная защита.
   
2. 
   Защита от интернет-атак.
   
3. 
   Защита от переполнения буфера.
   
4. 
   Защита от несанкционированного доступа.
   
5. 
   Защита важных системных файлов и записей реестра от внутренних атак.
   
6. 
   Обнаружение переполнения буфера, которое происходит в HEAP памяти.
   
7. 
   Обнаружение нападений ret2libc 
   

---