Защита вашего компьютера

Для поиска запрятанных руткитов достаточно нажать кнопку Check Me Now! – начнется проверка всех запущенных процессов. Если в системе нет отклонений, на экран будет выведено соответствующее сообщение. Чтобы попрактиковаться в удалении руткитов, можно щелкнуть на кнопке Demo – вам предложат поучаствовать в удалении руткита HackerDefender. Программа не бесплатна и после установки будет работать в течение 30 дней, после чего нужно будет ее удалить или заплатить. В последних версиях добавился резидентный монитор, защищающий систему в реальном времени, и RegRun Reanimator, позволяющий контролировать объекты автозапуска.

Бесплатная утилита RootkitRevealer, разработанная компанией Sysinternals (сейчас – собственность Microsoft: http://www.microsoft.com/technet/sysinter nals/default.mspx), также проста в использовании и может работать в графической среде или запускаться из командной строки. Для проверки системы необходимо только распаковать архив, запустить исполняемый файл, убедиться, что в меню Options установлены флажки Hide NTFS Metadata Files и Scan Registry, после чего закрыть все приложения, нажать кнопку Scan и некоторое время не работать на компьютере.

Утилита RootKit Hook Analyzer (http://www.resplendence.com/) позволяет обнаружить руткиты, перехватывающие системные вызовы. Программа бесплатна: для проверки системы достаточно установить ее и нажать кнопку Analyse. По окончании на экране появятся результаты проверки. Процессы, вмешивающиеся в работу других сервисов, будут помечены красным цветом, а в столбце Hooked на вкладке Hooks будет отображаться YES (рис. 2.28).

Рис. 2.28. Поиск руткитов с помощью RootKit Hook Analyzer

Для удобства можно вывести список только таких сервисов, установив флажок Show hooked services only. На отдельной вкладке выводятся загруженные модули. Особый интерес представляют те, которые прячут путь (patch) и не имеют описания. Разобраться с результатом может не каждый пользователь, зато можно периодически просматривать список, например, сделав экранный снимок, не появилось ли что-то новое.

Глава 3 Проактивные системы защиты и системы контроля целостности

Антивирус не панацея

Проактивная система защиты Safe'n'Sec

Часовой Scotty

Всесторонний контроль RegRun

Контроль целостности с Xintegrity

Появившиеся первыми, антивирусы долгое время одни защищали компьютеры пользователей. Однако постепенно стало ясно, что для полноценной защиты необходимы дополнительные элементы или другие программы.

3.1. Антивирус не панацея

Сегодня пользователи высказывают по поводу антивирусов различные мнения – от полной уверенности в защите до того, что главное – выдержать первый удар. Иногда антивирусы используются не столько как защита, сколько как средство оценки нанесенного ущерба и удаления вредоносных модулей. Система обнаружения, учитывающая опыт предыдущих атак, становится бесполезной при столкновении с неизвестным вирусом или шпионской программой. Чтобы сгенерировать сигнатуру, антивирусной компании необходимо получить экземпляр вируса, выделить фрагмент, характерный только для него, после чего занести вирус в базу. Это занимает время (в случае полиморфного вируса процесс создания сигнатуры может сильно затянуться), в течение которого антивирусы недееспособны, и новый червь может успеть заразить сотни тысяч компьютеров. Таким образом, классические сигнатурные антивирусы не способны предотвратить глобальную эпидемию.

Используя различные подходы и технологии, системы защиты пытаются остановить неизвестные атаки. Можно выделить несколько подходов: эвристический анализ, поведенческие блокираторы, политика безопасности и системы контроля целостности. Каждый имеет достоинства и недостатки, поэтому в современных продуктах они комбинируются, что повышает точность и помогает избежать ошибок при определении подозрительной деятельности приложений.

Практически все современные антивирусы имеют модуль проактивной защиты. Например, проактивная защита «Антивируса Касперского» использует для детектирования неизвестных вирусов все указанные технологии. По результатам тестов, точность проактивных систем не всегда составляет 100 %, поэтому они играют вспомогательную роль. Кроме прочего, антивирусы должны проверять файлы традиционным способом, поэтому такая система защиты ресурсоемка. При реализации проактивной защиты разработчики привязаны также к движку антивируса, который часто не дает полностью реализовать потенциальные возможности.

Нашлись энтузиасты, которые разработали системы защиты, действующие от обратного: сначала проактивность, а антивирус – по желанию. Такие системы не связаны антивирусным движком и могут максимально использовать возможности проактивных технологий. Если на компьютере установлен антивирус, то совместно с одной из программ, которые будут рассмотрены далее, они смогут защитить компьютер от неизвестных угроз.

Такие решения еще не получили широкого применения. Пользователи, привыкшие каждый день обновлять базы, воспринимают их с недоверием. Антивирусные компании также не желают сдавать позиции. Однако проактивные системы защиты находят все более широкое распространение, поэтому с ними следует ознакомиться.

Решения, позволяющие выявить или предотвратить нападение, относят к системам обнаружения или системам предотвращения атак. Первые позволяют зафиксировать факт атаки, вторые – не только обнаруживают, но и останавливают ее. Требования к системам, предотвращающим атаки, жестче, так как любая ошибка может привести к блокировке легального запроса. Реализации этих систем работают с различными данными: они анализируют сетевые пакеты, системные запросы, файлы журналов и пр. Системы предотвращения атак делятся на два класса: одни защищают отдельный компьютер (host intrusion prevention system), другие – ориентированы на сеть (network intrusion prevention system). В данной главе описаны решения, относящиеся к первому типу. О системах, защищающих сетевую часть, будет рассказано в главе 5.

3.2. Проактивная система защиты Safe'n'Sec

Российская компания StarForce (http://www.star- force.ru/) известна одноименным механизмом защиты дисков от нелегального копирования. Ее новая разработка Safe'n'Sec (http://www.safensoft.ru/) , представленная в ноябре 2004 года, сразу получила признание, а журнал PC Magazine/RE назвал ее антивирусом месяца. Safe'n'Sec не относится к антивирусам, а принадлежит к классу систем проактивной защиты, которые анализируют подозрительное поведение пользователя или программы.

Для малых и средних предприятий, а также индивидуального, в том числе домашнего, использования предназначены версии Personal и Pro. Версии Business и Enterprise, обладающие дополнительными возможностями по защите компьютеров корпоративной сети предприятий различного уровня от вредоносного ПО, вторжений в сеть и инсайдеров, для домашнего компьютера излишни (хотя, например, их модуль Timing, представляющий собой систему контроля активности сотрудника и учета рабочего времени, будет полезен для отслеживания времени, проведенного за компьютером ребенком).

Продукт Safe'n'Sec доступен в нескольких вариантах. Самым простым является Safe'n'Sec Pro Персональный – стандартная разработка, обеспечивающая проактивную защиту компьютера, отслеживающая поведение вредоносных программ и осуществляющая их блокировку, защищает компьютер от небезопасных действий начинающих пользователей. Версия Safe'n'Sec Pro Deluxe кроме этого