Назначение программы AVP - монитор

Антивирусный монитор AVP Монитор - это программа, которая постоянно находится в оперативной памяти компьютера и контролирует обращения к файлам и секторам: главному загрузочному сектору и загрузочным секторам. Прежде чем монитор разрешает доступ к объекту, он проверяет его на наличие вируса и если вирус обнаружен, то предлагает вылечить зараженный объект, удалить, либо заблокировать доступ к объекту, что зависит от установленных настроек. Таким образом, антивирусный монитор позволяет обнаружить и удалить вирус до момента реального заражения системы.

При запуске программы в командной строке со специальным ключом /q, AVP Monitor запустится в особом режиме, при котором будут запрещены следующие действия пользователя:

- выгрузка программы из памяти;

- выключение программы AVP Monitor;

- изменение настроек программы;

- режим Включить на вкладке Общие станет недоступным.

В этом режиме можно просматривать вкладку Статистика и ранее установленные опции, не изменяя их.

Главное окно программы AVP Monitor содержит шесть вкладок: Общие, Объекты, Действия, Настройки, Статистика, О программе. Перемещаясь по вкладкам и выбирая нужные опции, можно изменять настройки программы. Для установки выбранных режимов и опций нажимается кнопка Применить - окно останется открытым, или кнопка OK – окно свернется в иконку.

1.Вкладка Общие содержит кнопки, управляю­щие работой монитора, а также индикатор хода работы, который показывает состояние монитора при поиске вирусов.

Режим Включить используется для включения или отключения монитора.

Кнопка Автоматическое обновление запускает программу обновления антивирусных баз данных.

Кнопка Выгрузить AVP Монитор осуществляет выход из программы и выгрузку монитора из оперативной памяти компьютера.

Кнопка Сканировать все локальные диски запускает полное сканирование вирусов на компьютере. После нажатия данной кнопки ее название меняется на Завершить сканирование, и становится доступной кнопка Приостановить сканирование. Она позволяет приостановить проверку на вирусы. После нажатия данной кнопки ее название меняется на Продолжить сканирование. Нажатие на эту кнопку позволяет продолжить проверку

Нажатие кнопки Закрытия Окна (в верхнем правом углу окна программы) не приведет к завершению работы программы, как это происходит в стандартных случаях. Окно программы просто свернется в иконку.

2.Вкладка Объекты позволяет выбрать объекты, кото­рые будут проверяться на вирус.

Программы по формату - проверяются только программы, т.е. объекты, имеющие внутренний формат исполняемых файлов, а также все файлы, имеющие расширения: .bat, .com, .exe, .ov*, .sys, .bin, .prg, .vxd, .dll, .ole.;

Программы по расширению - проверяются все выполняемые файлы, имеющие расширения: *.bat, *.com, *.exe, *.ov*, *.sys, и т.д.

Все файлы - проверяются все файлы, независимо от их внутреннего формата;

Файлы по маске - проверяются файлы по маскам, задаваемым пользователем. Маски вписываются в поле ввода через запятую. Например: *.exe, *.com, *.doc. Для отмены проверки файлов с некоторой маской или масками, ставится флажок в режиме Исключить по маске и вводятся маски в расположенное под переключателем поле ввода.

Вложенные файлы - это файлы, упакованные специальными утилитами типа Pklite, Diet, Lzexe и т.п., заархивированные файлы, почтовые базы данных и почтовые текстовые форматы. Для проверки можно выбрать следующие типы файлов:

- Упакованные файлы - включается механизм Unpacking Engine, распаковывающий для проверки файлы, которые упакованы утилитами Pklite, Diet, Lzexe и др.

- Архивы - включается механизм распаковки архивов, позволяющий производить поиск вирусов в заархивированных файлах, созданных архиваторами Arj, Zip, Lha, Rar.

- Почтовые базы данных - проверяются базы данных электронной почты форматов Microsoft Outlook, Microsoft Exchange (файлы .pst и .pab, тип архива MS MAIL).

Почтовые текстовые форматы - проверяются файлы электронной почты форматов Eudora Pro & Lite, Pegasus Mail, Netscape Navigator Mail, JSMail SMTP/POP3 server (базу по пользователям).

Так как проверка вложенных файлов может занимать много времени, то на данной вкладке предусмотрена специальная опция Размер не более, в окне которой указывается максимальный размер проверяемых файлов в килобайтах, для исключения из процесса сканирования больших файлов.

Антивирус Касперского не лечит вирусы в почте Outlook Express, а только обнаруживает их и запрещает доступ ко всему MBX-файлу. Для удаления вирусов необходимо временно отключить в мониторе проверку почтовых баз, затем вручную удалить зараженные сообщения, после чего сжать папки, в которых они содержались: команда сжатия в Outlook Express-Файл-Папка-Сжать.

3.ВкладкаДействия позволяет задавать следующие ре­жимы при обнаружении зараженного объекта.

Запретить доступ к объекту - доступ к зараженным объектам будет запрещен;

Лечить автоматически - лечение зараженных объек­тов будет производиться автоматически, т.е. без предвари­тельного запроса;

Удалять автоматически - все зараженные объекты будут автоматически удаляться при попытке обращения к ним. При выборе этой опции при сохранении настроек поя­вится предупреждающее сообщение: Вы действительно хотите удалять все зараженные объекты? Для подтверждения действия нажать кнопку Да, для возврата в главное окно монитора - кнопку Нет.

Для того чтобы программа выводила на экран сообщение при обнаружении вируса, следует поставить флажок в режиме Выводить сообщение об обнаружении вируса.

4.Вкладка Параметры регулирует подключение дополнительных механизмов поиска вирусов, а также на­стройки файла отчета. Антивирусный монитор предоставляет два дополнительных механизма проверки:

- Предупреждения - включается добавочный механизм проверки. При этом монитор будет проверять файлы и при совпадении некоторых частей файла с известными вирусами выдавать соответствующее предупреждение;

- Анализатор кода - включает механизм эвристического анализа кода, позволяющий обнаруживать вирусы в файлах путем анализа выполняемых действий.

Включение этих механизмов увеличивает число обнаруживаемых вирусов, но и имеет недостатки: снижение скорости работы антивируса; небольшое число ложных срабатываний (т.е. ситуаций, когда незараженную программу антивирус считает за­раженной).

Помимо этого монитор позволяет создавать файл отчета, в который будет заноситься информация об обнаруженных зара­женных объектах. Для ведения файла отчета устанавливается флажок в режиме Файл отчета и вводится его имя. Для огра­ничения размера файла отчета устанавливается флажок в ре­жиме Размер не более (Кб) и вводится максимальный размер файла.

5.Вкладка Статистика содержит следующую инфор­ма­цию:

- о количестве проверенных объек­тов;

- о количестве инфицированных объектов;

- о количестве предупреждений;

- о количестве подозрений на вирус;

- о количестве вылеченных объектов;

- о количестве удаленных объектов;

- имя последнего зараженного объекта (с указанием пути);

- название последнего найденного вируса;

- имя последнего проверенного объекта (с указанием пути).

6.Вкладка О программе содержит информацию о программе: номер версии, дату последнего обновления, количество известных программе вирусов, регистрационную информацию, таблицу с информацией о доступных ключах.

В графе Ключ отображается номер ключа, в графе Лицензия - тип лицензии, в графе Комментарий - описа­ние лицензии, в графе Окончание лицензии - дата истечения лицензии, Ключевой файл - имя файла-ключа.

Кнопка Поддержка содержит информацию о том, как связаться со службой технической поддержки компа­нии Лаборатория Касперского.

Контрольные вопросы к главе 6

1. Дать определение термину «безопасность информации».

2. Дать определение термину «утечка информации».

3. Дать определение термину «утрата информации».

4. Дать определение термину «уязвимость компьютерной системы».

5. Дать определение термину «модификация информации».

6. Дать определение термину «уязвимость компьютерной системы».

7. Дать определение термину «угроза безопасности информации».

8. Дать определение термину «угроза раскрытия».

9. Дать определение термину «угроза целостности».

10. Дать определение термину «угроза отказа в обслуживании».

11. Дать определение термину «атака».

12. Перечислить каналы утечки информации.

13. Перечислить возможные каналы несанкционированного доступа к информации.

14. Определить главную задачу стандартов информационной безопасности.

15. Перечислить основные виды угроз безопасности.

16. Перечислить основные непреднамеренные угрозы.

17. Перечислить основные преднамеренные угрозы.

18. Дать определение термину «злоумышленник».

19. Перечислить основные мотивы нарушения информационной безопасности. Дать краткую характеристику каждому мотиву.

20. Перечислить возможные поступки злоумышленников по отношению к серверам.

21. Определить основную цель атаки на рабочую станцию.

22. Дать определение термину «троянский конь».

23. Определить основной вид атаки на линии связи.

24. На чем построены атаки на программное обеспечение?

25. Перечислить категории информации с точки зрения информационной безопасности.

26. Перечислить категории безопасности информационных систем.

27. Перечислить виды разграничения информации по грифу конфиденциальности, согласно действующему законодательству РФ.

28. Дать определение каждому виду разграничения информации.

29. Перечислить категории, на которые подразделяется конфиденциальная информация в современной компании.

30. Перечислить требования к конфиденциальной информации первого класса.

31. Перечислить требования к конфиденциальной информации второго класса.

32. Перечислить требования к конфиденциальной информации третьего класса.

33. Перечислить основные требования информационной безопасности при использовании терминалов с физическим доступом.

34. Перечислить основные требования информационной безопасности при использовании удаленных терминалов.

35. Перечислить основные требования информационной безопасности при использовании идентификации пользователя.

36. Перечислить основные методы борьбы с копированием паролей.

37. Перечислить основные требования для комплексной защиты от возможной кражи паролей.

38. Перечислить основные правила обеспечения безопасности данных, которых должен придерживаться руководитель организации.

39. Дать определение термину «политика безопасности».

40. Перечислить основные направления разработки политики безопасности.

41. Перечислить методы оценки текущей ситуации в области информационной безопасности.

42. Перечислить этапы, из которых состоит метод исследования сверху вниз.

43. Перечислить этапы жизненного цикла политики безопасности.

44. Перечислить основные организационные методы обеспечения безопасности.

45. Перечислить организационные мероприятия для защиты информации от несанкционированного доступа.

46. Перечислить основные методы защиты информации.

47. Перечислить социальные средства защиты информации.

48. Перечислить формальные средства защиты информации.

49. Перечислить физические средства защиты информации.

50. Перечислить аппаратные средства защиты информации.

51. Перечислить программные средства защиты информации.

52. Дать определение термину «компьютерный вирус».

53. Классифицировать вирусы по среде обитания и способам заражения.

54. Классифицировать вирусы по особенностям алгоритма.

55. Перечислить пути проникновения вирусов на компьютер.

56. Перечислить методы обнаружения и удаления вирусов.

57. Перечислить профилактические меры защиты.

58. Перечислить типы антивирусных программ.

59. Дать краткую характеристику программам-полифагам, детекто­рам, ревизорам, фильтрам, резидентным антивирусам.

60. Дать краткую характеристику антивирусным программам: сканерам, блокировщикам, иммунизаторам.

[1] Целостность данных (англ. Data integrity) – свойство, при выполнении которого данные сохраняют заранее определенный вид и качество информации.

[2]Несанкционированный доступ - доступ к программам и данным, который получают абоненты, не прошедшие регистрацию и не имеющие права на ознакомление или работу с этими ресурсами.

[3]Терминалом в теории информационной безопасности называется вычислительная техника, которая позволяет произвести вход в систему.

[4] Конфиденциальная информация (англ. Confidential information) - информация, доступ к которой ограничивается в соответствии с законодательством страны и уровнем доступа к информационному ресурсу. Конфиденциальная информация становится доступной или раскрытой только санкционированным лицом, объектом или процессом.

[5] Злоумышленник (англ. Intruder) - субъект, оказывающий на информационный процесс воздействия с целью вызвать его отклонение от условий нормального протекания.

[6]Идентификация – распознавание пользователя по присущему или присвоенному ему идентификационному признаку.

[7] Источник: 2003 CSI/FBI Computer Crime and Security Survey.

[8] Источник: 2004 Global Information Security Survey.

[9] Источник: документ Microsoft Rights Management Solutions for the Enterprise: Persistent Policy Expression and Enforcement for Digital Information (EN), июнь 2003 г.

[10] Модели OSI – это моделью взаимодействия открытых систем (Open System Interconnection, OSI). Модель OSI определяет различные уровни взаимодействия систем, дает им стандартные имена и указывает, какие функции должен выполнять каждый уровень.

[11] Система имен доменов - в сети Internet - распределенная служба формирования имен узлов, используемая в Internet, устанавливающая соответствие между именами узлов и доменов с одной стороны и IP-адресами с другой стороны.

[12] Имя домена - уникальное алфавитно-цифровое имя группы рабочих станций и серверов в одной сети. В сети Интернет имя домена назначается определенному IP-адресу.

[13] IP-адрес - уникальный адрес компьютера в сети Интернет, имеющий длину 4 байта. Обычно первый и второй байты определяют адрес сети, третий байт определяет адрес подсети, а четвертый - адрес компьютера в подсети. IP-адрес записывают в виде четырех чисел со значениями от 0 до 255, разделенных точками.

[14] Сетевой пакет - блок данных, передаваемый на сетевом уровне между абонентскими системами и административными системами.

[15] Маршрутизатор - устройство, обеспечивающее трафик между локальными сетями, имеющими разные сетевые адреса, отвечает за выбор маршрута передачи пакетов. Трафик - полный информационный поток в коммуникационной системе

[16] Троянский конь - компьютерная программа, содержащая дополнительные скрытые функции, которые тайно используют законные полномочия инициирующего процесса в ущерб безопасности.

[17] Узел коммутации - ретрансляционная система, устанавливающая по вызову монопольное соединение последовательностей каналов между партнерами в течение сеанса.

[18] Протокол TCP (Протокол управления передачей) - протокол управления передачей данных, использующий автоматическую повторную передачу пакетов, содержащих ошибки. Протокол отвечает за разбиение передаваемой информации на пакеты и правильное восстановление информации из пакетов получателя.

[19] Дескриптор безопасности – это специальная структура, которая хранит информацию о безопасности.

[20]URL (Унифицированный указатель ресурсов, англ. Universal Resource Locator) – адрес веб-страницы в сети Интернет с указанием протокола, с помощью которого можно обращаться к этой странице. В URL входят: имя домена, названия файла и каталога, сетевой адрес машины и протокол доступа к файлу.

[21]Аутентичность – свойство данных быть подлинными, означающее, что данные были созданы законными участниками информационного процесса и, что данные не подвергались случайным или преднамеренным искажениям.

[22] Пароль - секретная строка символов, предъявляемая пользователем компьютерной системе для получения доступа к данным и программам. Пароль является средством защиты данных от несанкционированного доступа.

[23] Троянский конь - компьютерная программа, содержащая дополнительные скрытые функции, которые тайно используют законные полномочия инициирующего процесса в ущерб безопасности.

[24] Монитор - программа, управляющая выполнением задач, обеспечивает вызов транслятора, выдачу результатов и т.д.