Kaspersky Internet Security считается модернизированный версией обыденного антивируса kaspersky. Kaspersky Internet Security в себе содержит как Firewall так и Kaspersky Antivirus.

Основные функции антивируса kaspersky

* Антивирус Касперского осуществляет добротную защиту компьютера от троянов, шпионского ПО, вирусов, червей;
* антивирус Касперсого непрерывно проверяет ваш интернет-трафик, а также входящую и исходящую почту;
* антивирус Касперсого включает в себя чрезвычайно крепкую защиту программ для быстрого общения, таких как ICQ, QIP и т.д.;
* Проактивня защита от перспективно вирусных программ Касперского антивируса позволяет вам не нервничать за защиту вашего компьютера;
* довольно удобной функцией Kaspersky Antivirus выступает ограничение ссылок на опасные сайты;
* Kaspersky Antivirus нередко хорошо противостоит кейлоггерам;
* внесетевая защита антивируса также высока, т.к. Касперский антивирус осуществляет разбор ОС и удаляет его “просветы”;
* Глобальный мониторинг вирусов Kaspersky Antivirus поможет вам быть спокойным и уверенным за свой персональный компьютер.

• Словарь сленга, сокращений и аббревиатур англоязычного интернета (0)
• Скачать скрипт – Тест Скорости Интернет (0)
• Спутниковый Интернет (0)
• Онлайн сервис для обнаружения вирусов (0)
• Использование CMS (0)

2. Ревизоры Запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений. (Класс близкий к IDS).

3. Сторожа (мониторы) Отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.

4. Вакцины Изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных условиях, когда количество возможных вирусов измеряется десятками тысяч, этот подход неприменим.

• Антивирус Касперсого 2010 (0)
• Антивирусная программа (антивирус) (0)
• Онлайн-проверка сайта антивирусом Dr.Web (0)
• Онлайн сервис для обнаружения вирусов (0)
• Обзор антивирусов для Windows (0)

Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам не заражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы.

Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.

Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.

Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие.

Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.

• Методы обнаружения вирусов (0)
• 10 самых необычных компьютерных вирусов (0)
• Метод соответствия определению вирусов в словаре (0)
• Метод обнаружения при помощи эмуляции (0)
• Онлайн сервис для обнаружения вирусов (0)

• 10 самых необычных компьютерных вирусов (0)
• Метод соответствия определению вирусов в словаре (0)
• Методы обнаружения вирусов (0)
• Другие методы обнаружения вирусов (0)

• Антивирус Касперсого 2010 (0)
• Знакомимся с QiP (0)
• Политики ограниченного использования программ (0)
• Что такое Spyware или Программы-шпионы? (0)
• Отключить автозапуск программ (0)

Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.

• Другие методы обнаружения вирусов (0)
• Методы обнаружения вирусов (0)
• Словарь Photoshop – Работа со слоями (0)
• Словарь Photoshop – Алфавитный указатель (0)
• 10 самых необычных компьютерных вирусов (0)

- Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах
- Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

• Другие методы обнаружения вирусов (0)
• Метод обнаружения странного поведения программ (0)
• Онлайн сервис для обнаружения вирусов (0)
• 10 самых необычных компьютерных вирусов (0)
• Метод соответствия определению вирусов в словаре (0)

Первые наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы — но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов.

Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.

• Онлайн сервис для обнаружения вирусов (0)
• Классификация антивирусов (0)
• Антивирус Касперсого 2010 (0)
• Обзор антивирусов для Windows (0)
• Онлайн-проверка сайта антивирусом Dr.Web (0)

И как ни странно, единственная защита в данном случае – это пароль, потому, что:

1. Логин администратора в большинстве сетевых устройств – это всего лишь пять букв: «admin».
2. Узнать IP адрес – тоже не проблема даже для начинающих хакеров. Для этого существуют программы-сканеры сетей, которые могут без труда вывести список подключенных к сети хостов (устройств). И хотя использовать такие программы провайдеры запрещают, некоторых это не останавливает.

А как же они могут узнать пароль? – спросите вы. Очень просто – дело в том, что на многих модемах пароль по умолчанию простейший – «admin» или «1234». Сделано это для того, чтобы пользователь мог без труда войти на устройство и настроить его. Дальше пароль обязательно рекомендуется сменить. Об этом также говориться и в инструкции к ADSL модему. Сделать это можно через обычный браузер – достаточно войти на модем и отыскать соответствующий пункт меню.

• Возникающие ошибки ICQ-клиента Jimm (0)
• Часто выбираемые пароли (0)
• Как использовать систему восстановления паролей ICQ? (0)
• Как защитить номер ICQ от взлома (0)
• Перенос сайта с локальной машины (0)

В отличие от создателей вирусов и “троянских коней”, авторам spyware необходимо ваше “Ok”, чтобы установить свое изделие на ваш компьютер. Конечно, от этой процедуры как могут, отвлекают внимание пользователей. Некоторые программы используют окна с сертификатами и лицензиями, в которых нужно подтвердить прочтение, нажав “Ok”. Поскольку эти юридические документы редко читаются пользователями и содержат ряд сложных формулировок, это самый легкий путь установки spyware на ваш компьютер вместе с какой-либо популярной свободно распространяемой программой. Юридически изготовители, получив ваше согласие на установку программы на вашем компьютере и передачу информации с него, заявят, что их продукт – не spyware и программа была установлена после получения разрешения от пользователя. Но вряд ли большинство пользователей одобряют возможность передачи какой-либо информации изготовителю для использования в их целях.

Сразу после установки spyware, программы могут пересылать любую информацию с того момента, как только компьютер соединится с интернет. Передача информации происходит в фоновом режиме, и ее очень трудно проследить. Наиболее распространенные программы для защиты рассчитаны на атаки извне и не отслеживают информационные потоки с защищенного компьютера. Это относится и к встроенному в Windows XP firewall.

Зачем нужны spyware программы?

Основные беспокойства, которое возникают при обнаружении spyware программ, связаны с нарушением конфиденциальности данных пользователя. Большая часть программ-шпионов пересылает очень мало информации, так как они создаются для сбора данных о пользователях. Компании хотят знать, кто вы, на какие сайты в интернет вы заходите, что покупаете в интернет-магазинах. Собранную таким образом информацию о большом количестве пользователей можно потом продать или использовать для рассылки в ваш адрес рекламы товаров и услуг, близких к области ваших интересов. Так как около 99% пользователей не читают лицензионных соглашений при установке программ, то не остается юридических оснований, чтобы воспрепятствовать этим потокам информации.

Еще одно возможное действие spyware программ заключается в изменении настроек вашего броузера. Некоторые программы могут стать ночным кошмаром для родителей, определяя в качестве страницы, которая загружается по умолчанию, страницу какого-либо порно-сайта. Зачастую для родителей это становиться большой проблемой, так как сейчас не редки ситуации, когда дети умеют работать на компьютере гораздо лучше своих родителей. Это связано с тем, что в школах дети получают компьютерное образование, которого не получили их родители. Также spyware программы могут существенно ухудшить ваше соединение с интернет или повлиять на работоспособность системы в целом.

Общество привыкло к рекламе. Мы считаем, что реклама обеспечивает доходы предприятий, которым было бы трудно без нее находить потребителей для своих товаров и услуг. В рекламных целях многие компании делают программы более дешевыми, добавляя в них рекламные блоки. Нужно разграничить шпионские программы и программы, созданные в рекламных целях, честно сообщающие перед установкой, что содержат рекламные блоки. Программы с рекламными блоками являются основным источником дохода многих малых компаний, занимающихся разработкой программного обеспечения.

• Метод обнаружения странного поведения программ (0)
• Отключить автозапуск программ (0)
• Политики ограниченного использования программ (0)
• Программы для продвижения и раскрутки сайтов (0)

Открывает список червь P2PShared.U. Этот вредоносный код распространялся с помощью почтовых сообщений с темой: “McDonalds желает Вам счастливого Рождества!”. В сообщении речь шла о купоне, дающем право на бесплатный обед в McDonald’s. Но именно купон и являлся носителем вредоносного кода.

Следом идет “фальшивый посыльный” Agent.JEN. Он рассылается в почтовом сообщении, якобы отправленном UPS. Пользователь, который пробует скачать или просто открыть вложение, запускает троян, который тут же начинает загружать другие виды вредоносного ПО на компьютер жертвы.

Следующий в списке Panda Security – вредоносный код Banbra.FXT. Притворяясь сообщением от бразильского суда, Banbra.FXT сообщал жертвам, что они якобы находятся под следствием, и предлагал просмотреть детализованный отчет, повествующий об обстоятельствах дела. Этот отчет на проверку оказывался ничем иным, как копией трояна. Попав на компьютер, троян начинал красть банковские пароли, детали счетов и так далее.

Четвертым в списке идет троян Banker.LGC, распространявшийся в сообщении, которое информировало о якобы случившейся аварии, в которой пострадал гонщик “Формулы-1″ Фернандо Алонсо. При скачивании и открытии такого видеофайла, на ПК проникал троян, предназначенный для кражи банковской информации.

На пятом месте в списке расположился вирус Sinowal.VTJ, который попадает на компьютеры жертв в почтовых сообщениях от анонимных отправителей, утверждающих, что получатель якобы рассылал им вирусы, и грозящих заявить в полицию. Все усилия направлены на то, чтобы заставить пользователя открыть приложение, которое якобы является доказательством вины пользователя в рассылке неких сообщений. На самом деле приложение содержит копию трояна Sinowal VTJ.

Следующим в списке числится вредоносный код BatGen.D. Он попадает на компьютеры в виде файла под названием personalcake.bat. На деле он представляет собой инструмент для создания вредоносного ПО, который затем спрашивает у пользователя, каким именем он бы хотел назвать творение (selecciona el nombre del pastel – с испанского – выберите название для торта).

На седьмом месте расположился вредоносный код Aidreden.A. После заражения компьютера на экран выводится сообщение: “Вы умрете в следующем месяце”.Таким образом Aidreden.A пытается убедить пользователя в том, что его ПК якобы заражен вирусами, после чего предлагает загрузить фальшивый антивирус.

Следом идет троян Banker.LLN, предназначенный для кражи банковской информации. Троян попадал на компьютеры под видом файла с названием barackobama.exe, отмеченного иконкой флага Соединенных Штатов.

На девятом месте в списке разместился троян Banbra.GDB. Banbra.GDB попадает на компьютер под видом почтового сообщения, оправленного якобы от имени бразильской полиции. В сообщении говорится, что данный пользовательский компьютер задействован в противозаконной деятельности. Пользователям предлагается скачать отчет, предположительно содержащий доказательства. Однако пользователь, запустивший приложение, заражает свой компьютер банковским трояном.

Замыкает список вредоносных кодов Panda Security червь Spammer.AKE. Этот червь распространяется с помощью почтовых сообщений, которые содержат ряд высказываний, связанных с дружбой и любовью. Компьютер, инфицированный данным вредоносным кодом, используется для рассылки спама.

• Методы обнаружения вирусов (0)
• Метод соответствия определению вирусов в словаре (0)
• Метод обнаружения при помощи эмуляции (0)
• Другие методы обнаружения вирусов (0)

Безопасность сайта – это безопасность вашей компании на определенной территории, в данном случае хоть и виртуальной, но достаточно важной, чтобы о ней позаботиться. Создание сайта подразумевает необходимость администрирования сайта, обновлении определенной информации, предоставлении либо продаже услуг и товаров. Подобные действия должны выполняться только доверенными лицами компании, владеющей сайтом, поэтому уровень безопасности интернет-проекта должен отвечать всем современным требованиям. Представьте, что достаточно популярный проект, который приносит компании не только дополнительный доход, но также огромное количество информации и повышает имидж, внезапно исчезает с просторов всемирной паутины либо, еще хуже, превращается в абсолютно иной рекламный сайт. Подобная ситуация может произойти при несоблюдении правил безопасности либо при не современном подходе к созданию сайтов. Последнее можно исключить, доверив создание сайта специалистам компании , которые умеют и желают создавать безопасные и надежные сайты, взломать которые будет достаточно сложно даже наиболее отъявленным хакерам и взломщикам.

Креативность и свежесть сайта, наряду с обеспечением высокой безопасности проекта, играет огромную роль в создании сайта и его последующем продвижении. Чем более креативен ваш проект, тем больше интереса проявляет к нему Интернет-общественность. Чем более свежая информация на нем предоставлена, тем более актуально его посещение именно сегодня. Поэтому сайт должен обновляться и постоянно пополняться новой информацией или списком услуг компании, дабы быть не только современным, но и достаточно полезным Интернет-аудитории. Пользователь Интернета не тратит время на прогулки к вашему офису, он лишь набирает адрес сайта на клавиатуре и попадает сразу в самое сердце вашей компании. Именно поэтому интерес возрастает в разы, а актуальность информации приобретает огромный смысл.

• Обмен ссылками умер (0)
• Cоздать сайт бесплатно (0)
• Идентификация пользователя в Интернете (0)
• 7 секретов успешного сайта (0)
• Кому доверить создание корпоративного сайта? (0)

Огромные группы разработчиков защитного ПО чуть ли не ежедневно выпускают новые антивирусные приложения и обновления популярных решений. Обычному пользователю трудно разобраться во всех их достоинствах и недостатках. Постараемся помочь ему выбрать наиболее подходящий антивирус, сравнив между собой десяток самых распространенных приложений. Но вначале поговорим о самих вредоносных программах – вирусах.

Определение понятия “вирус”.

Общепринятых определений и классификаций компьютерных вирусов не существует. Сегодня под этим словосочетанием понимают как классическую компьютерную “заразу”, так и прочие вредоносные программы, проникающие в систему вопреки желанию пользователя, в числе которых “черви”, “трояны”, макровирусы и пр.

Основное свойство классической компьютерной “инфекции” — способность к самопроизвольному размножению. Чтобы вирус активизировался и начал атаковать “здоровые” файлы, достаточно просто запустить зараженное приложение.

“Трояны”, как правило, ведут себя иначе. Они проникают в систему обычно с электронной почтой, маскируясь под архивы, графические файлы или прикрепленные, с привлекательными именами типа game.exe. Открыв или запустив такое “приложение” к письму, пользователь собственноручно запускает его вредоносный код.

“Черви” паразитируют на уязвимостях в сетевых протоколах и приложениях. Чтобы заразить систему таким образом, нередко достаточно просто зайти на Интернет-сайт “носителя инфекции”.

А подвергнуть систему атаке макровируса, поражающего, например, файлы MS Word или Excel, можно, просто открыв зараженный документ.

Вредоносные действия вирусов каждого типа могут быть самыми разнообразными. Это и удаление важных файлов или даже “прошивки” BIOS, и передача личной информации, например паролей, по определенному адресу, организация несанкционированных рассылок электронной почты и атак на некоторые сайты. Возможен и запуск дозвона через сотовый телефон на платные номера. Утилиты скрытого администрирования (backdoor) способны даже передать злоумышленнику всю полноту управления компьютером. К счастью, со всеми этими бедами можно успешно бороться, и основным оружием в этой борьбе будет, конечно, антивирусное ПО.

Средства антивирусов.

В основе работы любой антивирусной программы лежат одни и те же методы распознавания вредоносных объектов. В их числе различные варианты сканирования и мониторинга. Коротко расскажем о самых распространенных из них.

Прямое сканирование.

Этот метод предполагает прямой поиск в оперативной памяти и на винчестере известных последовательностей кода вируса (сигнатур). Для этого разработчики тщательно следят за появлением новых вирусов и вносят их сигнатуры в пользовательские программы путем регулярных обновлений. Метод очень надежен и практически не дает ложных срабатываний. Основной его недостаток — невозможность отыскать вирусы, еще не попавшие в пакеты обновлений, и полиморфные объекты, код которых изменяется при каждом запуске.

Эвристическое сканирование.

Достоинство этого метода — использование при проверке файлов не принципа поиска сигнатур, а комплексного анализа, включая оценку возможного поведения подозрительного объекта. Однако из-за того, что при эвристическом сканировании ищутся не вредоносные объекты как таковые, а объекты, похожие на них, возможны ложные срабатывания. Зато таким путем можно определить легко видоизменяющиеся и неизвестные вирусы.

Мониторинг изменений.

Один из самых заслуженных методов, отслеживающий изменение параметров (размера, даты и пр.) объектов на винчестере. Требует предварительного сбора информации о “здоровой системе”. Снижает быстродействие компьютера. Ложные срабатывания неизбежны.

Мониторинг поведения.

Этот метод способен “поймать” неизвестный или полиморфный вирус “на лету”, определив его по вредоносным действиям. Отрицательные черты: ложные срабатывания и повышенные требования к ресурсам компьютера.

После обнаружения зараженного файла антивирусное ПО, как правило, предлагает пользователю “вылечить” его, переименовать, переместить в специальную карантинную папку или удалить. Все эти действия можно производить автоматически, но в этом случае ущерб от ложных срабатываний может превысить потери от вирусной атаки.

Современные комплексные программы используют сочетания различных методов обнаружения и защиты. Часто в дистрибутив антивирусного пакета сканеры и мониторы входят отдельными утилитами. Особенности различных антивирусных пакетов лучше всего рассмотреть на примерах, наблюдая за действиями программ в условиях, “приближенных к боевым”. Итак, переходим к киберманеврам.

Тестирование антивирусных программ.

Главное качество антивирусного ПО — надежность обнаружения вредоносного кода. К сожалению, в реальных условиях проверить это довольно трудно — ведь для этого требуется образец вируса, не известного разработчикам защитного ПО. С известными сигнатурами, разумеется, справится большинство современных антивирусных сканеров. Тем не менее в процессе тестирования мы предложили каждой программе отыскать 6 файлов, зараженных распространенными троянами, и один объект, содержащий архив сетевого червя. Все они находятся вместе с другими объектами в разделе размером 512 Мбайт. При этом оценивалось время сканирования раздела при среднем уровне безопасности. Кроме того, учитывались ложные срабатывания. Отмечен уровень требований, предъявляемых программами к системе. Отдельно (и субъективно) оценивались функциональность, удобство и привлекательность интерфейса. Разумеется, учитывалась и цена продукта. По этим параметрам каждый из антивирусов получил от 1 до 3 баллов. С учетом важности каждого параметра, им присвоены различные “весовые категории”: 1 или 2. Помня, что решающим параметром будет количество найденных вирусов, присвоим ему самый большой вес, равный сумме весов всех остальных параметров — 9. Сумма взвешенных оценок составляет общий результат.

Антивирус Касперского.

Пожалуй, “Антивирус Касперского” — самый известный в России продукт этого типа, а фамилия “Касперский” стала синонимом борца с вредоносными кодами. Одноименная лаборатория не только постоянно выпускает новые версии своего защитного ПО, но и ведет просветительскую работу среди пользователей компьютеров. Самая свежая, шестая версия “Антивируса Касперского”, как и предыдущие релизы, отличается простым и максимально прозрачным интерфейсом, объединяющим все необходимые утилиты в одном окне. Благодаря мастеру установки и интуитивно понятным пунктам меню настроить этот продукт способен даже начинающий пользователь. С другой стороны, мощность используемых алгоритмов удовлетворит и профессионалов. С детальным описанием каждого из обнаруженных вирусов можно ознакомиться, вызвав соответствующую страницу в Интернете непосредственно из программы.

Шесть зараженных объектов программа нашла за 15 минут. При этом в отчете не появилось ни одного сообщения о ложном срабатывании. Совокупный балл — 33.

Dr.Web.

Еще один популярный российский антивирус, соперничающий по известности с “Антивирусом Касперского”, — Dr.Web. Его ознакомительная версия обладает интересной особенностью: она требует обязательной регистрации через Интернет. C одной стороны, это очень хорошо — сразу после регистрации производится обновление антивирусных баз и пользователь получает самые новые данные о сигнатурах. С другой стороны, установить ознакомительную версию автономно невозможно, да и, как показал опыт, при неустойчивом соединении неизбежны проблемы.

Начинающим пользователям во время инсталляции лучше согласиться с установкой типичной конфигурации, иначе можно запутаться в терминах. После инсталляции в системной панели компьютера появится несколько “паучков”. Это пиктограммы монитора, планировщика заданий Dr.Web и программы проверки электронной почты. В результате область панели задач рядом с часами кажется несколько перегруженной. Однако все недостатки программы меркнут перед тем, что в процессе сканирования Dr.Web нашел все 7 зараженных объектов и даже выявил одну вредоносную процедуру, о существовании которой в системе мы и не подозревали. Совокупный балл — 44.

Panda Antivirus + Firewall 2007.

Комплексное решение в области компьютерной безопасности — пакет Panda Antivirus+Firewall 2007 — включает в себя помимо антивирусной программы брандмауэр, отслеживающий сетевую активность. Интерфейс основного окна программы решен в “природных” зеленых тонах, но, несмотря на внешнюю привлекательность, система переходов по меню выстроена неудобно и начинающий пользователь вполне может запутаться в настройках.

Пакет Panda содержит сразу несколько оригинальных решений, таких как фирменная технология поиска неизвестных угроз TruePrevent, основанная на самых современных эвристических алгоритмах. Стоит обратить внимание и на утилиту поиска уязвимых мест компьютера — она оценивает опасность “дыр” в системе безопасности и предлагает скачать необходимые обновления.

К сожалению, применение новых технологий не помогло программе Panda найти все опасные объекты: в ее активе оказались лишь все те же шесть классических “троянов”. Кроме того, утилита половину из них вылечила “без спроса”, а остальные переименовала. Найти в настройках отключение такого самоуправства не удалось. Оценка — 35 баллов.

Norton Antivirus 2005.

Основное впечатление от продукта знаменитой компании Symantec — антивирусного комплекса Norton Antivirus 2005 — его ориентация на мощные вычислительные системы. Реакция интерфейса Norton Antivirus 2005 на действия пользователя ощутимо запаздывает. Кроме того, при инсталляции она предъявляет достаточно жесткие требования к версиям операционной системы и Internet Explorer. В отличие от Dr.Web, Norton Antivirus не требует обязательного обновления вирусных баз при установке, но о том, что они устарели, будет напоминать в течение всего времени работы.

Справедливости ради нужно заметить, что “неторопливость” интерфейса данной программы совершенно никак не сказывается на скорости сканирования — все 7 тестовых вирусов были обнаружены менее чем за 15 минут. Никаких ложных срабатываний зафиксировано не было. К отрицательным чертам Norton Antivirus можно отнести некорректное отображение в отчете имен файлов, записанных кириллицей. Оценка по совокупности баллов — 30.

McAfee VirusScan.

Любопытный антивирусный продукт, являющийся, по уверениям разработчиков, сканером №1 в мире — McAfee VirusScan, — мы выбрали для испытаний потому, что в ряду аналогичных приложений он выделялся большим размером дистрибутива (более 40 Мбайт). Полагая, что такая величина обусловлена широким функционалом, мы приступили к инсталляции и обнаружили, что помимо антивирусного сканера в него входят брандмауэр, а также утилиты очистки жесткого диска и гарантированного удаления объектов с винчестера (файл-шреддер).

Несмотря на все заявления разработчиков и дополнение прямого сканирования эвристическим анализом, программе не удалось обогнать конкурентов — в ее активе оказались лишь шесть известных зараженных объектов. В пассиве: большой дистрибутив, медленная работа, излишек дополнительных приложений и неочевидные, довольно запутанные настройки. Результат — 27 баллов.

NOD32.

Известный, не очень популярный в России, но прославившийся за рубежом пакет NOD32 является лидером регулярно проводимого международного тестирования Virus Bulletin 100%. По заявлениям разработчиков, в рамках этой процедуры NOD32 — единственный продукт, не пропустивший ни одного вредоносного объекта. В процессе нашего тестирования он также оказался на высоте, найдя за 5 минут шесть зараженных файлов, а седьмой (с вредоносным червем) лишь “заподозрил” в наличии вирусной опасности.

Интерфейс NOD32, общий для модулей сканирования и мониторинга, поддерживает русский язык и может загружаться в двух вариантах: классическом Windows и так называемом Eset. Последний выглядит довольно привлекательно и прост в пользовании, однако требует некоторого привыкания, так как содержит массу англоязычных аббревиатур. Интересная функция, поддерживаемая NOD32, — отправка удаленному пользователю сообщения об обнаружении вируса по электронной почте через Windows Messenger. Общая оценка — 26 баллов.

Avira AntiVir Personal Edition Classic.

Несмотря на то что Avira AntiVir — продукт новый, его удачно подобранная запоминающаяся эмблема (красный зонтик) через некоторое время вполне может стать такой же узнаваемой, как паучок от Dr.Web. Этому способствует невысокая требовательность к ресурсам, функциональность и простота интерфейса. Английский язык в меню может запутать разве что новичка. Все функции Avira AntiVir логично объединены несколькими вкладками в главном окне программы. В нем же можно посмотреть отчет о работе сканера и карантин, в который помещаются зараженные или подозрительные объекты.

При тестовом запуске программа показала хорошие результаты, определив все 7 вредоносных объектов за 9 минут. При этом не было зафиксировано ни одного ложного срабатывания. Дополнительным плюсом является то, что и сама программа, и регулярные обновления вирусных баз через Интернет совершенно бесплатны в случае домашнего применения. Результат — 42 балла.

avast!

Бесплатный (для домашнего пользователя) пакет avast! состоит из нескольких утилит, в числе которых: сканер сигнатур avast! antivirus и сканер (монитор) доступа avast!. Последний включает в себя 7 резидентных модулей, называемых в данном случае провайдерами, контролирующих в реальном времени деятельность компьютера — от сетевых подключений до обмена мгновенными сообщениями. Сканер avast! antivirus выделяется из числа аналогичных продуктов чрезвычайно оригинальным интерфейсом. Внешне он напоминает скорее медиаплеер, чем утилиту обеспечения безопасности. Удобные кнопки-пиктограммы, выдвигающиеся панели и информационное табло позволяют быстро настроить параметры сканирования. Нужно заметить, что в дистрибутив сканера входит альтернативный, не менее оригинальный интерфейс. Интересно, что каждое выводимое на экран предупреждение о найденном вирусе сопровождается соответствующим речевым сообщением.

На поиск шести зараженных файлов avast! antivirus затратил менее 9 минут, однако в отчете присутствовало много предупреждений о поврежденных и защищенных файлах, которые программа проверить не смогла. Результат — 31 балл.

BitDefender 8 Free Edition.

Большой популярностью среди “продвинутых” пользователей ПК может похвастаться бесплатный антивирусный сканер BitDefender. Он не имеет русского интерфейса, но продуманные окна и меню позволяют легко разобраться в его работе: набор команд невелик, и практически все настройки уместились в одно меню с древовидной структурой. В правой части каждого окна есть панель подсказок, где содержатся краткая информация о и ссылка на файл помощи. Интересно, что набор выбранных параметров можно записать в соответствующую папку, чтобы потом воспользоваться им снова. Для автоматического повторения периодических операций в BitDefender предусмотрен специальный планировщик, дополненный удобным мастером создания новых задач.

Тестирование показало, что сканер затратил около 15 минут на поиск вирусов в 512 Мбайт данных. Это немного дольше, чем самые лучшие сегодняшние результаты, кроме того, не был найден один из тестовых вредоносных объектов. Общая оценка — 42 балла.

Kerish Antivirus 2005.

Размер дистрибутива антивирусной программы Kerish Antivirus 2005 лишь немного превышает 2 Мбайт. Это не могло не привлечь нашего внимания. Тем более, по утверждениям разработчиков, используемые в их продукте оригинальные технологии сканирования способны так эффективно распознавать незнакомый вредоносный код, что частые обновления программе не нужны. В этом мы убедились сразу, попытавшись скачать свежие сигнатуры: несмотря на то что в главном окне указана база позапрошлогодней давности, программа, “посовещавшись” с сайтом поддержки, сообщила, что обновления не нужны. Насторожившись, мы, тем не менее, запустили сканирование, зная, что некоторые из тестовых вирусов старше 2004 года.

Результат оказался вполне предсказуем: единственным вирусом, попавшим “в сети” программы Kerish Antivirus, оказался файл explorer.exe. Комментарии излишни — шутка разработчиков удалась. Оценка — 19 баллов.

Итоги результатов тестирования.

Итак, по результатам проведенных тестов, абсолютным лидером оказалось приложение Dr.Web от Санкт-Петербургской антивирусной лаборатории Данилова. Лучший результат среди некоммерческих продуктов у Avira AntiVir от одноименной компании.

Дополнительная информация.

Стоимость антивирусной защиты.

Вопрос необходимости приобретения коммерческой версии антивирусной программы рано или поздно встает перед каждым пользователем. С одной стороны, в Интернете достаточно бесплатных антивирусных утилит, а с другой, понятно, что только на основе коммерческих пакетов с гарантированным регулярным обновлением можно выстроить серьезную систему безопасности. Как определить оптимальную сумму расходов на приобретение антивируса? Гораздо проще, чем кажется на первый взгляд. Нужно лишь трезво оценить стоимость содержащейся на винчестере компьютера информации, причем не только с позиции возможных злоумышленников, но и с точки зрения затрат на ее восстановление. Разумеется, если компьютер подключен к локальной сети или на нем хранятся коды доступа к другим устройствам, при оценке нужно рассматривать информацию, находящуюся во всей системе в целом. К этому нужно добавить приблизительную стоимость рабочего времени пользователя или стороннего специалиста, которое может понадобиться на восстановление работоспособности компьютера и приложений. Сравнение полученной величины с ценой антивирусного ПО даст мгновенный ответ на поставленный вопрос.

Недостатки популярных антивирусов.

По мнению некоторых специалистов в области компьютерной безопасности, на сегодняшний день эффективность наиболее популярных антивирусных пакетов может в некоторых случаях оказаться ниже, чем у продуктов новых, не раскрученных брендов. Объяснить этот феномен очень просто: алгоритмы распространенных программ, остающиеся без изменений достаточно продолжительное время, хорошо известны создателям новых вирусов. Это позволяет с успехом их обходить. В то же время нетрадиционные методы поиска, применяемые в “свежих” антивирусах, способны без особого труда определить вредоносный объект. Поэтому владельцам компьютеров настоятельно рекомендуется время от времени проверять свою систему при помощи какого-либо нового антивируса, даже в том случае, если она находится под защитой знаменитых и хорошо себя зарекомендовавших антивирусов.

Основные этапы развития вирусов и антивирусов:

1949 — создание фон Нейманом основ теории вирусов.
1961 — разработка игры Darwin — прообраза компьютерных вирусов.
1970 — первое упоминание слова VIRUS по отношению к компьютерной программе (в фантастическом романе Грегори Бенфорда).
1981 — появление первых вирусов Elk Cloner и Virus.
1998 — эпидемия вируса Win95.CIH (Чернобыль), созданного тайваньским студентом Чень Инхао.
2000 — появление самого вредоносного вируса “I love you”, нанесшего ущерб более $10 млрд.
2004 — запуск первого “червя” для мобильных телефонов — Cabir.
2006 — создание первого вируса для RFID-меток, применяемых в магазинах и на складах.

Основные правила антивирусной безопасности.

Вероятность заражения компьютера вирусами снизится до минимума при выполнении нескольких несложных правил, не требующих специальных знаний:

- На компьютере должна быть установлена регулярно обновляемая антивирусная программа.
- При работе в Интернете или локальной сети, а также перед инсталляцией и запуском новых приложений антивирусный монитор должен быть включен.
- Ни в коем случае нельзя открывать неизвестные вложения в электронные письма, даже если они выглядят абсолютно безобидно, а само письмо получено от знакомого адресата.
- В параметрах безопасности всех программ семейства MS Office необходимо запретить выполнение макросов без подтверждения пользователя. • Подтверждать выполнение можно лишь для хорошо известных макросов.
- Все внешние носители информации (флэш-карты, дискеты, оптические диски) необходимо проверять антивирусным сканером.
- Соблюдение всех этих правил не дает полной гарантии безопасности, поэтому всю систему необходимо регулярно проверять на наличие вирусов антивирусной программой.

• Локальный взлом Windows XP (0)
• Обзор механизма пометки прочитанности тем (0)
• Антивирусная программа (антивирус) (0)
• Как выбрать нужную версию ядра и HAL? Очередной способ заставить Windows XP работать быстрее (0)
• Автозагрузка в Windows 7 (0)

Потрясает? Пожалуй да, ведь не будем забывать, что выход системы состоялся ну совсем уж недавно. Однако то ли еще будет. Как обещает многоуважаемая Джоанна Рутковска, это только начало, ведь в планах ближайшего времени — опубликовать новые оригинальные способы взлома пресловутой защиты NT 6.0. Чего же все-таки стоит хваленая безопасность новой ОС, и какие технологии за этим стоят? Давайте разберемся.

Драйверы с цифровой подписью

Никто не будет отрицать, что значительная часть потенциальных проблем безопасности ОС как раз таки связана с драйверами. По заявлениям Microsoft x64-версии, Vista будут допускать установку драйверов исключительно с цифровой подписью. Порочная практика “драйвер не имеет цифровой подписи — все равно продолжить” должна теперь кануть в небытие?! Понятное дело, что обязательное подписывание драйверов в значительной степени способствует надежности Windows Vista, ведь большинство сбоев ОС и критических ошибок связаны именно с недоработкой драйверов режима ядра. Прокомментировать подобный вариант защиты от установки драйверов без цифровой подписи можно было бы вполне однозначно — новая технология исправно защищает ядро ОС от модификаций, обеспечивая, как бы это хотелось сказать, непревзойденный уровень защиты… Однако постойте. В начале августа этого года Symantec обнародовала до примитива простой способ обхода всей этой хваленой защиты: защита ядра 32- и 64-битных версий Vista от установки неподписанных драйверов может быть взломана с помощью простой бесплатной утилиты! Специалистам Symantec удалось обнаружить в свободном доступе программу Atsiv, разработанную австралийской компанией Linchpin Labs. Реакция Microsoft на появившееся средство обхода защиты Vista пока неизвестна.

PatchGuard

Как следует из названия, PatchGuard создан для того, чтобы обеспечить защиту от несанкционированной модификации ядра Vista вредоносным кодом. По определению Microsoft, PatchGuard представляет собой не что иное, как “метод предотвращения расширения драйверов режима ядра или замены других служб ядра, а также редактирования какой-либо части ядра сторонними программами”. Чтобы понять суть данной технологии защиты, будет полезным разобраться в том, что же такое kernel patching (изменение ядра). Под Kernel patching, как это следует из названия, понимается некая модификация/замена критических областей данных ядра Windows на другой код или данные, которые могут быть потенциально вредоносными. Модификация эта, в свою очередь, возможна посредством использования внутренних системных вызовов или другим способом. Вообще модификация и патчинг ядра, по сути, не являются чем-то экзотическим и априорно запрещенным для системы, ведь многие производители ПО достаточно часто модифицируют его для своих целей, например, изменяя адрес функции-обработчика системного вызова (указатель функции) в таблице системных вызовов (system service table — SST). Вдаваясь в технические подробности работы PatchGuard, следует сказать следующее: благодаря данной технологии в системе запрещена модификация таких компонентов ядра, как:

. Таблицы системных вызовов (system service tables, SST).
. Таблица глобальных дескрипторов (global descriptor table — GDT).
. Таблица прерываний (interrupt descriptor table — IDT).
. Изменение любой части ядра (работает только на AMD64-системах).

В случае, если какой-либо код попытается модифицировать вышеописанные компоненты ядра, операционная система сгенерирует т.н. bug check и экстренно завершит свою работу. По официальным заявлениям Microsoft, данный компонент системы защиты ядра отключить невозможно. Однако, как оно всегда и бывает, нет ничего невозможного: защита ядра все-таки отключается. Подобное вполне возможно, если в системе работает отладчик ядра. Решение, как мне кажется, не заставит себя ждать.

NX (No Execute) DEP!

Под загадочной аббревиатурой NX стоит вполне прозрачная технология DEP — DATA EXECUTION PREVENTION. Реализованная программно в 32-битной версии Windows Vista, в 64-разрядной версии ОС NX реализован аппаратно. Понятное дело, что аппаратно реализованная функция DEP более надежна, поскольку здесь на страже нашей безопасности стоит само железо. Для того, чтобы лучше понять, что же такое NX, необходимо разобраться в DEP. DEP — предотвращение выполнения данных (DEP) — используется для предотвращения проникновения на компьютер вирусов и других угроз безопасности, которые выполняют вредоносный код из областей памяти, которые должны использоваться только операционной системой Windows и другими программами. В ходе своей работы DEP следит, чтобы программы использовали системную память безопасным образом. Для этого DEP работает отдельно или вместе с совместимыми микропроцессорами и помечает некоторые области как “невыполняемые”. Если программа пытается запустить код (любой код) из защищенной области, DEP закрывает программу и отображает уведомление (подобный метод инфекции, описанный выше, при котором вредоносный код выполняется из запрещенных областей памяти, реализуется посредством переполнения буфера). Механизм переполнения буфера, в свою очередь, заключается в следующем: предположим, что некая процедура для хранения данных использует буфер. Буфер находится в стеке (в определенной области памяти, которая используется во время выполнения программы). Представим в стеке несколько переменных и адрес возврата функции — число, показывающее, куда передать управление после выполнения текущей процедуры. Каким образом программа записывает данные в N-й байт буфера? К адресу начала буфера прибавляется число N. Полученный результат и есть адрес, по которому будут записаны данные. Если размер буфера равен 1024 байта, а мы попытаемся «втиснуть» в него больше, то некоторая часть данных попадет в другую область памяти. Может произойти так, что адрес возврата функции затрется, и как следствие программа выполнит не тот код, на который указывал предыдущий адрес возврата.

Возвращаясь к NX и резюмируя вышесказанное, следует отметить: NX позволяет программному обеспечению помечать сегменты памяти, в которых будут храниться только данные, и процессор не позволит приложениям и службам исполнять произвольный код в этих сегментах. Капитально, скажет кто- нибудь из читателей. Действительно, капитально, если бы не одно но. Методология обхода аппаратной реализации DEP давно уже отработана и поставлена, если так можно выразиться, на поток.

ASLR

Ну что ж, продолжим наш экскурс в технологии защиты новой линейки 6.0. Фанфары и салют, не побоюсь излишнего пафоса: наш следующий подопытный конкурсант, призванный сделать Windows Vista сверхзащищенной системой, — это ASLR (Address Space Layout Randomization), или, по- нашему, технология, обеспечивающая случайное расположение адресного пространства. Говоря о технологии ASLR, следует все же отдать должное Microsoft в обеспечении безопасности Windows Vista. Введя ASLR, спецы из корпорации ни много ни мало позаботились о том, чтобы усложнить жизнь писателям эксплойтов. По мнению разработчиков, ASLR практически полностью исключает угрозу удаленных атак для Windows-платформ. Все дело в том, что в настоящее время Windows предусматривает загрузку системных файлов с использованием одинакового смещения в памяти при загрузке системы, что позволяет посредством эксплойта внедрять код “по месту назначения”. Соль новой технологии заключается в том, что в x64-версиях Vista системные файлы загружаются в случайные адреса памяти, что существенно осложняет написание работающего эксплойта. По заверениям Microsoft, свыше 99% всех удаленных атак на x64-версий Vista закончатся крахом.

Смысл ASLR прост и заключается в следующем: каждый раз, когда компьютер перезагружается, ASLR в случайном порядке назначает 1 из 256 возможных вариантов адреса для расположения ключевых системных DLL- и EXE-файлов. А это осложняет поиск эксплойтом нужных файлов и как следствие препятствует выполнению эксплойта. Нетрудно догадаться, что теперь существует всего один шанс из 256, что текущая загрузка файлов произойдет с адреса с тем же смещением, что и при предыдущей загрузке. Потрясает? Действительно. Несомненно, введение данной технологии выведет защиту ОС на принципиально новый уровень. А вот на какой уровень данное нововведение выведет написание эксплойтов?..

Как прокомментировал в списке почтовой рассылки BugTraq исследователь из Next Generation Security Software Дэвид Личфилд (David Litchfield): “Дистанционное использование переполнений значительно усложнилось”, — на что некто под псевдонимом c0ntex в ответе Личфилду заверил, что ASLR “уже много лет элементарно обходится в Linux”… Ну что ж, рассмотрение «самых страшных и могущественных” технологий защиты NT 6.0 (большинство из которых реализовано аппаратно) закончено, и, как видите, не так все и безоблачно;). Приступим к рассмотрению технологий защиты прикладного уровня, реализованных большей частью программно.

Windows Defender

Нововведением Windows новой линейки стал Windows Defender, как оно следует из названия компонент, призванный активно защищать нашу Ось. Как это отмечено в официальном описании Microsoft, данный компонент защищает компьютер от руткитов, кейлоггеров, шпионов, adware, bots и другого вредоносного ПО. Хотя от червей и вирусов не защищает:). Ну да ладно, антивирус-то все равно придется ставить свой. Итак, кто же такой этот Windows Defender? Windows Defender содержит 9 агентов безопасности, которые постоянно наблюдают за теми критическими областями ОС, которые наиболее часто пытается изменить вредоносное ПО. К таким относятся:

. Автозагрузка. Агент безопасности постоянно наблюдает за списком программ, которым позволено загружаться при старте системы. Таким образом, реализуется защита от вредоносного ПО, которое пытается загрузиться вместе с системой.
. Настройки безопасности системы. Агент безопасности постоянно проверяет настройки безопасности Windows. Не секрет, что некоторое вредоносное ПО старается изменить настройки безопасности с целью облегчения вредного воздействия на ОС. Агент безопасности этой области не позволит неавторизованному ПО изменить настройки безопасности.
. Адд-оны (Add-ons) Internet Explorer. Агент безопасности следит за приложениями, которые загружаются вместе с браузером. Spyware и другое вредоносное ПО может маскироваться под адд-оны Internet Explorer и загружаться без вашего ведома. Агент безопасности не позволит
загрузиться такому виду вредоносного ПО.
. Настройки Internet Explorer. Агент безопасности следит за настройками безопасности браузера, потому что вредоносное ПО может попытаться изменить их.
. Загрузки Internet Explorer (Internet Explorer Downloads). Агент безопасности следит за файлами и приложениями, предназначенными для работы с IE (например, ActiveX controls). Браузер может загрузить, установить и запустить данные файлы без вашего ведома. Вредоносное ПО может быть включено в такого рода файлы и загрузиться на компьютере-жертве, но агент безопасности защитит и от этой напасти.
. Службы и драйверы. Агент безопасности данной области наблюдает за состоянием служб и драйверов во время их взаимодействия с ОС и
приложениями. Поскольку службы и драйверы выполняют важнейшие функции, они имеют доступ к важным областям ОС. Вредоносное ПО может
использовать службы для доступа к компьютеру, а также с целью маскировки под нормальные компоненты системы.
. Выполнение приложений (Application Execution). Агент безопасности следит за приложениями во время их выполнения. Spyware и другое вредоносное ПО, используя уязвимости приложений, могут нанести вред. Например, spyware может загрузиться во время запуска часто
используемого вами приложения. Windows Defender предупредит вас о подозрительном поведении приложений.
. Регистрация приложений (Application Registration). Агент безопасности данной области постоянно наблюдает за инструментами и файлами ОС, где приложения регистрируются с целью загрузки. Spyware и другое вредоносное ПО может зарегистрировать приложение с целью загрузки без вашего ведома и периодически собирать с помощью него вашу личную информацию. Данный агент сообщит пользователю об обнаружении нового приложения, пытающегося зарегистрироваться с целью загрузки.
. Windows Add-ons. Агент безопасности следит за так называемыми адд-онами, также известными как программные утилиты для Windows. Адд-оны позволяют настроить такие аспекты ОС, как безопасность, производительность, мультимедиа. Однако они могут и устанавливать ПО, которое будет собирать информацию о вас и вашем компьютере.

Ну что, прокомментировать вышеописанное можно было бы лихо, сказать же следует лишь следующее: то, что раньше было прерогативой
антивируса и (частично) межсетевого экрана, теперь вобрал в себя этот самый Windows Defender. Плохо это или хорошо, вовсе не вопрос для обсуждения в рамках данной статьи, но то, что комплексный продукт вместо нескольких может быть потенциально более уязвим — очевидный факт.

WindowsServiceHardening

Под сборным названием WindowsServiceHardening подразумевается система безопасности, основной концепцией которой является принцип “ограниченных служб” (restricted services), которые загружаются с минимальными привилегиями, и влияние их на компьютер и сеть, таким образом, ограничено. Дабы исключить случайную путаницу и неопределенности, нелишним будет вспомнить, что же представляет собой эта самая служба. Итак, служба — это тип приложения, которое запускается в фоновом режиме и сходно с приложениями-процессами UNIX. Приложения служб обычно поддерживают приложения типа «клиент-сервер», веб-серверы, серверы баз данных и другие веб-приложения для локальных и удаленных пользователей. Большинство служб в системе запускаются под учетной записью LocalSystem, что аналогично правам администратора, а если вспомнить правило “вредоносный код может все то, что может пользователь и служба”, становится вполне понятно, от чего WindowsServiceHardening спасает нашу Ось:).

В качестве примера, пожалуй, уместно привести такую заразу, как Slammer, Blaster и Sasser, которые атаковали систему, используя как раз таки системные службы, запущенные с высокими привилегиями. Радует и то, что данная система защиты координирована с улучшенным (по заверениям корпорации) брандмауэром Windows. Теперь, если служба или сервис попытается использовать недозволенный ей порт для отправки или получения чего- либо, межсетевой экран заблокирует эту попытку. Ну что ж, очень даже неплохо, особенно по сравнению с предыдущим встроенным брандмауэром Windows, который к исходящему трафику был мертв вообще:).

User Account Control — контроль пользовательских учетных записей

Не секрет, что в предыдущих версиях Windows абсолютное большинство создаваемых учетных записей являлись членами локальной группы “Администраторы”. Почему так? Удобно, ответят многие из читателей, и, несомненно, будут правы. Ну, а что касается безопасности — так это вопрос риторический… и неважно, что “вселенский» закон гласит о том, что «код может то, что может пользователь”… Как можно отказаться от функциональности, заменив ее на ограниченную учетную запись, которая сокращает и без того невысокую продуктивность работы: ведь такие базовые задачи, как изменение системного времени, присоединение к безопасной беспроводной сети или установка драйвера принтера, требуют административных привилегий? Действительно. Выход из этой, казалось бы, безвыходной ситуации Microsoft нашла, внедрив в Windows Vista User Account Control (UAC). Это новый подход, согласно которому все операции в системе подразделяются на две категории:

. те, которые может выполнять пользователь со своими стандартными правами;
. и те, которые требуют администраторских привилегий.

Применение нового подхода, несомненно, выводит уровень безопасности ОС на новую черту, в то же самое время, предоставляя пользователям с обычными неадминистраторскими привилегиями большинство каждодневных функций. UAC значительно расширяет список стандартных возможностей пользователя путем включения в него множества базовых функций, которые не несут риска нарушения безопасности, хотя раньше требовали привилегий администратора. К этим новым функциям можно отнести следующие:

. Изменение временной зоны.
. Установку новых шрифтов.
. Изменение настроек экрана.
. Настройку системы управления питанием.
. Добавление принтера и других устройств при условии, что драйверы для них уже установлены в системе.
. Просмотр календаря и системного времени.
. Загрузка и установка обновлений при условии использования UAC-совместимого инсталлятора.
. Создание и настройка VPN-соединения.
. Установка WEP (Wired Equivalent privacy) для соединения с защищенной беспроводной сетью.

Помимо прочего, UAC контролирует доступ к возможной конфиденциальной информации в папке “Мои документы”. Теперь, если пользователь не является создателем файла, то ни прочесть, ни изменить, ни удалить его он не сможет.

Рассмотрев основные особенности User Account Control, позвольте все это справедливо прокомментировать. И первое, что сразу же хочется сказать, — «лучше поздно, чем никогда». К чему это мы?.. Да все, вероятно, к тому, что подобная политика безопасности с ограничением прав, пользовательскими каталогами, правами доступа к файлам и прочим chown и chmod уже сколько десятилетий практикуется в Unix-системах. Создатели Windows Vista, видимо, всерьез решили перенять прогрессивный опыт Unix-систем… ну наконец то!

BitLocker Drive Encryption (Шифрование тома)

Последним нововведением, которое мы кратко рассмотрим в рамках данной статьи, будет BitLocker Drive Encryption — инструмент, позволяющий защитить конфиденциальную информацию на диске путем его шифрования.

1. Технология обеспечивает конфиденциальность информации в случае кражи диска и/или несанкционированного доступа, что достигается передовыми алгоритмами шифрования.
2. BitLocker позволяет изменить стандартный процесс загрузки ОС, проверяя подлинность пользователя через USB-устройство с ключами дешифрования.
3. Применение BitLocker гарантирует загрузку только оригинальных системных файлов при старте системы — иначе система просто не загрузится. Комментируя вышеописанное, хотелось бы заметить, что BitLocker Drive Encryption будет исключительно полезен в корпоративных версиях Vista — на серверах, требующих двухфакторной аутентификации.

Что же касается домашних машин, то здесь он будет скорее лишним, если только пользователь вдруг не захочет поиграть в Джеймса Бонда.

Следует отметить, что в контексте данной статьи я перечислил лишь основные технологии защиты Windows Vista. Более подробную информацию относительно новой NT 6.0 можно узнать на официальном сайте производителя.

Эпикриз

Ну что ж, вот, собственно, и настал момент истины, чтобы подвести окончательные итоги рассмотренному и вынести справедливый вердикт. Исходя из имеющихся данных, можно с уверенностью заявить, что корпорация сделала существенный шаг на пути усиления системы безопасности своей новой ОС. Многие из технологий защиты реализованы аппаратно, что можно считать значительным прорывом в области обеспечения безопасности системы. То, что акцент сделан на защиту ядра, не случайно: современные тенденции развития вредоносного ПО смещаются в сторону руткитов. Введение гибких инструментов ограничения прав и доступа наталкивает на мысль, что корпорация всерьез решила перенять прогрессивный опыт Unix-систем. Резюмируя, можно сказать, что в целом система безопасности Windows Vista производит очень даже неплохое впечатление, и это несмотря на имеющиеся в настоящее время инструменты взлома, поэтому вполне закономерно: восемь по десятибалльной.

• Безопасность в WordPress (0)
• Простой способ проникнуть в SQL-сервер (0)
• Апгрейд с Vista на Windows 7 будет бесплатным (0)
• Безопастность в php-Fusion (0)
• Охотники за мифами Windows Vista (0)

Одноразовые пароли

Все гениальное просто. Чтобы сохранить пароль, достаточно использовать его лишь однажды, а в следующий раз воспользоваться уже другим паролем. Данную систему используют Европейские банки. Она получила название TrancActionNumber. Суть её вот в чём: клиенту присылают (или он сам берёт в банке) карточку на полсотни паролей, залитых защитной краской. Как у нас карточки оплаты сотовых служб. При каждой новой банковской операции через сеть клиент стирает очередную полоску и вводит одноразовый номер аутентификации вкупе с постоянными параметрами – открытым логином и секретным паролем. Когда полоски кончаются, банк присылает клиенту новую карточку.

Другая разновидность данной системы: банк пересылает пароль на сотовый телефон пользователя. Отправляется не само послание, а только линк на WAP страницу с текстом. После открытия у адресата есть меньше минуты для прочтения, после чего текст безвозвратно удаляется, а ссылка теряет актуальность и при по следующих обращениях выдает ошибку. Есть возможность отправлять не только текст, но и графические и голосовые сообщения.

Недостатки: Отдельный пароль могут выкрасть точно так же, правда, воспользуются им лишь однажды. Могут так же украсть и саму карточку или вы её потеряете совершенно случайно. В конце концов вы можете банально не успеть ввести пароль, прежде чем он самоуничтожится. Плюс ко всему система сложнее обычной, но не намного. Есть множество вариантов для её развития. Возможно, в итоге мы получим действительно привлекательную пользовательскую систему. По десяти бальной шкале заслуживает 8.

Биометрические пароли

На сегодняшний день крайне ненадёжное решение. Дактилоскопические сканеры обманывают с лёгкостью при помощи спуфинга – ложного пальца, созданного из стоматологической пасты, пластида и тому подобных материалов. Системы опознавания без особого труда удаётся провести в 80% случаев. Даже с учётом дополнительных параметров – неровности кожи, пот, испарения – не удаётся добиться абсолютной безопасности. Трудности есть и с распознаванием по лицу. Алгоритмы биометрического опознания так и не стали ощутимо лучше, по-прежнему дают порядка 10% сбоев. И это несмотря на оптимальное освещение и стремление проверяемого человека сохранять спокойное выражение на своей физиономии. 

Чипы, на которые записываются данные об отпечатках пальцев, сетчатке глаза, геометрии кисти или голосовых параметрах, могут стать неотъемлемой частью паролей уже в ближайшие четыре года, но пока они слишком ненадёжны. Как верно заметил исследователь Лондонской школы экономики Питер Соммер: «Прелесть текстового пароля в том, что вы зависите только от себя».

Недостатки: не будем судить технологию, за которой будущее. Хотим мы того или нет. 

Смарт-карта

Преимущество такой системы в том, что она никак не связана с запоминанием пароля. Достаточно провести карточку по специальному сканирующему устройству, встроенному в компьютер, чтобы открыть доступ. Надо так же отметить, что данный метод сводит к нулю возможность акустического и кейлоггерского перехвата информации. Об акустическом способе чуть подробнее. Десятиминутной аудиозаписи звуков, издаваемых кнопками клавиатуры при наборе неизвестного текста, достаточно, чтобы аналитически восстановить больше 90% введенной в компьютер информации. Используемое для акустического перехвата оборудование может быть очень дешевым (исследователи применяли для записи самый обычный десятидолларовый микрофон), но при условии, что сенсор расположен в том же помещении. Если же использовать спецтехнику подслушивания с параболической антенной или дорогой узконаправленный микрофон, то запись можно делать и находясь снаружи здания, через окно. Фишка кроется в алгоритмах анализа данных. Они тоже достаточно просты: допустимое упрощение – вводится английский текст; расположение кнопок на клавиатуре влияет на издаваемые ими звуки – клавиши, похожие по звучанию, можно объединить в классы; отталкиваясь от известных статистических закономерностей английского языка, каждому звуку присваивается вероятное априорное значение буквы с учетом опознания класса; добавляется автоматическая проверка орфографии и грамматики; + дополнительные алгоритмы усовершенствования, аналогичные криптографическим средствам взломом устойчивых шифров. Программ позволяет эффективно восстанавливать не только осмысленный текст, но и произвольные последовательности знаков в паролях (путем быстрого перебора нескольких десятков вариантов), тем самым еще раз подтверждая ненадежность традиционных средств аутентификации. 

Недостатки: карточку могут выкрасть, или вы сами её потеряете. Плюс ко всему пароль можно вытащить из кучи программ, да и оперативная память в этом плане очень уязвима, как в Windows, так и в Linux. 

Бессознательный пароль 1

Система, разработанная в Иерусалимском университете, позволяет людям использовать такие пароли, которые не надо сознательно помнить. Подобную схему делают возможной особенности человеческой психики, благодаря которым информация заносится в подсознание путем «инстинктивного импринтинга» (пьяный Деймос попытался произнести это в слух и сжёг предохранители мозга). Многочисленные эксперименты показывают, что мозг надежно сохраняет образы картинок, несуществующих «псевдослов» или искусственных грамматических конструкций. По памяти мы не можем в деталях описать то, что инстинктивно запомнили, однако легко узнаем – даже через недели и месяцы – то, что однажды нам было предъявлено.

Такая система состоит из набора сертификатов пользователя, например, четырех картинок. Сначала пользователю показывают последовательность из одной-двух сотен картинок, случайно выбранных из базы объемом порядка 20 тысяч изображений. Все предъявленные картинки разбиты на тематические группы, до десятка штук в каждой. Пользователю «присваивается» по одной картинке из каждой заданной тематической группы, а затем он практикуется (обучается) в выборе «своих» картинок-сертификатов среди всех тематических групп. Как показали опыты, при предъявлении проверочной серии люди способны вспоминать и отмечать «свои» картинки с 90-процентной точностью даже по прошествии трех месяцев. Конечно, и в этой системе для борьбы с перехватом и подделкой данных приходится вводить одноразовые пароли, то есть всякий раз присваивать сертификаты заново. Так что система выглядит пока не очень практичной, однако исследователи надеются года за два довести ее до нужных кондиций. 

Недостатки: сложно, не практично, долго. Твёрдая шестёрка за старание.

Бессознательный пароль 2 (Графический пароль 1) 

В системе PassPoints при генерации пароля вам показывают картинку, а вы выбираете на ней несколько мест и тыкаете в них мышью. При вводе пароля вам показывают ту же самую картинку, и надо ткнуть в те же самые места. Если пользователь ткнул не совсем точно, система сама определит нечаянная это ошибка или попытка взлома. PassPoints реагирует только на координаты, в которых были сделаны клики, а картинка нужна, чтобы было легче запомнить эти места и при вводе пароля точнее их выбирать. Координаты кликов по картинке сворачиваются в зашифрованную последовательность, которая, по сути, и есть пароль новой системы. Иначе говоря, если у вас твердая рука и верный глаз – можете кликать на чистом белом фоне.

У PassPoints есть свои плюсы и минусы. Если в качестве подложки для «тычков» выбрать большую фотографию со множеством мелких деталей – например, городской пейзаж в высоком разрешении, то даже четыре клика на нем окажутся паролем, легким для запоминания, но очень трудным для грубого взлома. Если же, наоборот, выбрать небольшой портрет себя любимого, с двумя родинками и кольцом в носу, то взломщику не составит труда перебрать наиболее вероятные варианты.
Несомненно, такой графический пароль могли бы внедрить у себя сетевые сервисы, кровно заинтересованные в максимально простой, но надежной авторизации. Например, платежным системам не помешает предоставить клиентам выбор – закрывать кошелек кодовым словом или кликами по картинке. 

Недостатки: хакеру совершенно без разницы, красть обычный пароль или координаты. Так что преимущество такого метода скорее маркетинговые, чем реальные. Твёрдая 2. 

Графический пароль 2

Следующая разработка в этой области обладает практически совершенными свойствами. Так, даже если при наборе этого пароля у вас за спиной будет стоять человек и запоминать все ваши действия и клики – он никогда не сможет зайти на вашу машину вместо вас. Аналогично – если вас снимает камера системы безопасности. Просмотрев видео, никто не сможет восстановить ваш пароль. Как так получается? 

При создании пароля пользователю предлагается выбрать и запомнить десять иконок примерно из 200-400 возможных. Иконки достаточно интересные и яркие. 

Представьте: при необходимости ввода пароля система выдаёт на экран сразу огромное панно из иконок, перемешанных случайным образом. Среди них обязательно будут три или четыре «ваши». Думаете, нужно найти их и указать курсором? Как бы не так. Их следует мысленно соединить линиями (получится треугольник или квадрат) и щёлкнуть мышкой в любой точке внутри этой фигуры. Тут же иконки перестраиваются, перемешиваются. Одни при этом исчезают, другие – добавляются. И опять среди всего этого хаоса вы видите и какие-либо свои значки из той самой десятки (не обязательно те, что были на экране только что). Снова вы мысленно соединяете их в геометрическую фигуру и щёлкаете в любом месте, но опять-таки в её границах. И так происходит 10, 20, сколько хотите раз. 

Вообще система предусматривает при создании пароля выбор настроек: числа иконок, скорость их перемещения, числа кликов по фигурам и некоторых других параметров. Лишь после 10 таких проходов машина однозначно идентифицирует иконки, которые вы мысленно держали в голове, выбирая место для щелчка. Но любой, кто будет за вами наблюдать, ни за что не угадает ваш пароль. Главная идея – позволить пользователю доказать знание им пароля, не показывая сам пароль в процессе его набора. Вопрос изменяется каждый раз и ответ – так же. При этом уровень секретности обеспечивается высочайший: если вы имеете достаточно многого изображений, и если вы должны пройти тест достаточно много раз, возможные комбинации иконок исчисляются миллиардами.

Недостатки: для входа в систему требуется значительно больше времени, чем на традиционный набор пяти-шести букв в окошке пароля. Зато ввод пароля таким способом превращается в некую игру. Оценка – 10.

Заключение

Запомните – в безопасности находится только параноик, который не чувствует себя в безопасности. Если вы не хотите сильно усложнять себе жизнь, воспользуйтесь хотя бы программой PwdHash, которая является дополнением к браузерам и занимается хешированием паролей, для чего пользователям непосредственно перед вводом пароля необходимо ввести @@ или нажать F2. После того как секретная информация зашифрована, PwdHash проверяет имя домена, с которым взаимодействует клиент, и начинает транзакцию только в том случае, если домен не находится в «черном списке».

• Улучшения системы обработки ошибок (0)
• Часто выбираемые пароли (0)
• Оптимизация для поисковых систем (0)
• Улучшение ядра системы (0)
• Раскрутка на новостях (0)

Все намного проще, чем вы думаете. Антивирусная база (а если более точно, то вирусная) складывается из вирусных сигнатур, которые при процессе проверки сравниваются с кодом проверяемого файла. Насколько можно доверять результатам? Это зависит от качества движка и эвристики. Поскольку при сканировании коды некоторых файлов могут быть очень и очень похожими на одну из сигнатур, то ложные срабатывания вполне объяснимы и присутствуют.

До тех пор, пока не подцепил первого вируса, вопрос безопасности не беспокоил вообще. После стал обращать на нее больше внимания. Хотелось бы спросить вашего совета по выбору сетевого экрана. На что следует обращать внимание при его выборе?

В отличие от программы-антивируса, net-экран требует тонкой настройки. Поэтому пользователь должен четко знать, какие сервисы ему необходимы, и, соответственно, какие порты закрывать. Именно поэтому плохих файрволлов не бывает — бывают только плохо настроенные. И все же они делятся на профессиональные и пользовательские. Отличаются они тем, что у профессиональных огромное количество настроек, и при этом ручных, а в пользовательских все максимально автоматизировано. Пользовательский экран не может максимально защитить пользователя просто потому, что он представляет собой что-то общее, а каждый пользователь имеет свои запросы, у каждой системы свои уязвимые места. Поэтому я советую использовать профессиональные. Из конкретных могу посоветовать ZoneAlarm, Outpost, Norton Internet security. Будьте готовы к тому, что придется убить кучу времени, прежде чем net-экран заработает нормально.

На сайтах антивирусных лабораторий размещены бесплатные антивирусные утилиты. Действительно ли они помогают при заражении вирусом? Стоит ли ими пользоваться?

Дело в том, что эти утилиты специализированы и помогают только против одного вредоносного кода. Против той вредоносной программы, для уничтожения которой они предназначены, они очень эффективны, но ничего не могут сделать против других. Некоторые предназначены для борьбы сразу с семейством кодов. Таким образом, от них есть толк только в том случае, если вы точно знаете, чем заражена ваша машина.

После удаления пятого Касперского при установке антивируса Аваст выскочило сообщение, что Аваст не может работать с Касперским в паре (хотя последний удален). Что с этим делать?

Некоторое программное обеспечение при деинсталляции не удаляет записи в системном реестре — в таком случае их необходимо удалять вручную. Но с Касперским такого рода проблемы могут быть только если при его деинсталлировании была допущена ошибка, вследствие которой ключ не удалился. Ветви: Curren_user и Local_machine. Также причиной могла послужить неправильная деинсталляция (например, просто удаление папки).

Может ли вирус, троян или другая вредоносная программа изменить данные в антивирусной базе для предотвращения своего обнаружения? Если да, то какие вредные программы это делают и какие программы защиты больше всего этому подвержены?

Вредоносный код не может каким-либо образом изменить антивирусную базу, он может только удалить ее целиком, и то это невозможно, поскольку резидентный сканер постоянно использует базу. У каждой антивирусной корпорации базы пишутся особенным методом, так что для написания вируса, о котором вы спрашиваете, необходимо знание всех этих методов, а они не выносятся (обычно) за стены компаний. Большинство программ последних двух- трех поколений обладают механизмом анализа и защиты целостности своего кода. Однако у вредоносного ПО (у некоторых его представителей) имеются механизмы защиты (как пример можно привести полиморф-вирусы, стелс-вирусы) от обнаружения. Надеюсь, я полно ответил на ваш вопрос. Если есть какие-то нюансы, которые я не огласил, пишите — или оставляйте вопрос на форуме сайт .

Слышал от многих, что при работе с ресурсоемкими программами для ускорения работы компьютера можно отключить антивирусную программу, если не находишься в сети и не работаешь с CD/ROM. Безопасно ли это?

В принципе, да. Если вы не подключены к сети и не используете оптический привод, то можете смело отключать антивирус. Но вирус может находиться на вашем винчестере, поэтому, если вы часто отключаете антивирус, то привейте себе привычку часто проверять систему антивирусным сканером. Вирус может находиться в «состоянии покоя», в котором он не определяется сканером. После вы запустите программу и нечаянно его активируете (конечно, это необязательно случится). Поэтому чаще сканируйте систему, и, если уверены, что сама система чиста, можете смело отключать… Вирус сам не материализуется:).

А где конкретно хранятся пароли в операционной системе Windows?

Есть несколько мест, где они хранятся. В первую очередь это реестр. Пароли там хранятся в ветке HKLM\Security\Policy\Secrets\Default Password в зашифрованном виде. Также пароли находятся в SAM-файле, который может быть зашифрован системной утилитой syskey. После шифровки данной утилитой взлом этого файла становится крайне проблематичным.

Как узнать открытые порты на моем компьютере? Каким образом закрыть ненужные?

Узнать открытые порты можно двумя способами. Первый — используя команду netstat с параметром –an в командной строке. Пожалуй, это будет наиболее просто. Второй способ требует дополнительных программ. Вам потребуется сканер портов, который можно найти на любом софтовом портале, и необходимо просканировать свой хост (желательно снаружи).

Что такое RSA?

Это асимметричная система шифрования, названная в честь ее разработчиков: Ривеста (Rivest), Шамира (Shamir) и Эдельмана (Adleman). RSA является наиболее известной, проверенной и изученной асимметричной системой шифрования.

Чем обусловлена скорость обновления баз антивирусов?

Дело в том, что, помимо появления новых вирусов, имеются еще и те, которые по тем или иным причинам не попадали еще в руки антивирусных лабораторий. Так что работа у них есть всегда, соответственно и происходят обновления. Обычно это каждые тридцать минут.

Какой лучше всего выбрать параметр при шифровке SAM-файла утилитой syskey?

Лучше всего выбрать хранение ключа расшифровки на дискете, т.к. отсутствие ключа на жестком диске делает практически невозможной расшифровку файла, а значит, и извлечение паролей. Конечно, если вы выберете хранение на винчестере, то трудности при расшифровке тоже будут. Однако максимальный эффект дает хранение на дискете.

• Безопасность в WordPress (0)
• Безопастность в php-Fusion (0)
• Безопасность Windows Vista – взлом адекватен защите (0)

Современные антивирусы на дискету уже не влезают и вынуждены сражаться с активной малварью, в арсенале которой помимо многочисленных маскировочных методов имеется и оружие возмездия. Аналогичным образом дела обстоят и с персональными брандмауэрами. Их тяжело пробить снаружи (то есть с удаленной машины), но легко отключить локально, внедрившись в адресное пространство брандмауэра или поигравшись с элементами управления путем эмуляции клавиатурного/мышиного ввода (атаки типа WM_).

Конечно, разработчики всячески защищаются от нападок со стороны вредоносного кода (например, путем проверки целостности собственного тела). Однако получается у них не очень хорошо, и вообще создается впечатление, что они в первую очередь озабочены качеством детекции и количеством распознаваемых вирусов, то есть предпочитают нападать, а не обороняться. Вот только, вырвавшись вперед, они рискуют оказаться в плотном кольце окружения. «Независимые» обзоры также не уделяют защите никакого внимания, тестируя антивирусы/брандмауэры в лабораторных условиях.

Проактивные технологии, проверяющие все открываемые файлы на лету, действительно имеют хорошие шансы остановить распространение заразы, поскольку малварь уничтожается еще до того, как получит управление. А вот автономные сканеры, запускаемые раз в несколько дней (а то и недель), намного более уязвимы и, как показывает практика, очень плохо справляются с поиском руткитов. А если вспомнить, что зловредный код часто распространяется через дыры в безопасности (антивирусами не контролируемые), их судьба становится совсем незавидной.

Статья построена на основе анализа большого количества малвари. Мыщъх исследовал наиболее популярные техники противодействия антивирусам/брандмауэрам и разработал простые и эффективные «бронежилеты», пригодные для защиты уже существующих программ без какой бы то ни было их переделки. Поэтому не волнуйся: дизассемблер тебе не понадобится!

Стратегические ракеты межпроцессорного назначения

Как работает малварь? Какие приемы используются для ослепления защитных механизмов? Возможных способов очень много, и каждый день появляются все новые и новые. Чтобы навести в этом хаосе хотя бы какое-то подобие порядка, необходимо классифицировать основные методы, а также их производные. Тогда станет понятно, от кого и как нам обороняться.

Порядка 80% зловредных программ открывают процесс-жертву API-функцией OpenProcess, получая (в случае успешного завершения операции) дескриптор процесса, передаваемый API-функции ReadProcessMemory. Последняя читает содержимое памяти процесса-жертвы и копирует его во внутренний буфер малвари, которая путем сигнатурного поиска пытается отловить все известные ей защитные программы (список активных процессов можно получить средствами TOOLHELP32). Если подобная программа обнаруживается, малварь смотрит в свою базу сигнатур, извлекая смещение машинных команд, которые надлежит нейтрализовать, что осуществляется путем перезаписи памяти жертвы API-функцией WriteProcessMemory. В большинстве случаев достаточно заменить пару условных переходов, навсегда отучив антивирус/брандмауэр ругаться грязными словами.

В более сложных случаях малварь впрыскивает внутрь защитной программы свой код, ведущий партизанскую войну с защитным механизмом с учетом конкретных ситуаций, что намного более предпочтительно, поскольку новые версии антивирусов/брандмауэров выходят достаточно часто и создателю малвари приходится постоянно обновлять базу сигнатур. С закрытых позиций (то есть из соседнего процесса) нанести прицельный удар не так-то просто! Ошибка в один единственный байт может привести к зависанию, что не есть хорошо. Напротив, оказавшись внутри антивируса/брандмауэра, хакерский код без проблем обезвредит все «детонаторы» вполне универсальным путем: например, установит еще один перехватчик открываемых файлов поверх установленного антивирусом, а перед передачей управления последнему сотрет в проверяемом файле все следы своего присутствия (естественно, сотрет только в памяти).

Внедрение в посторонние процессы осуществляется различными путями. Классический способ (работающий только в NT-подобных системах) — создать удаленный поток вызовом API-функции CreateRemoteThread или NativeAPI-функции NtCreateThread, однако перед этим необходимо забросить зловредный код внутрь атакуемого процесса. И тут хакеру на помощь приходят API-функции: AllocateVirtualMemory (для выделения блока памяти) или QueryVirtualMemory (для поиска уже выделенного блока, пригодного для внедрения) с последующим вызовом WriteProcessMemory.

Внедрение в стиле модерн апеллирует к манипуляциям с процессорным контекстом. Новые потоки при этом не создаются. Внутрь процесса-жертвы записывается зловредный код (и тут без WriteProcessMemory никак не обойтись!), а затем API-функциями GetThreadContext/SetThreadContext регистр-указатель команд перемещается на начало зловредного кода, длина которого обычно составляет несколько десятков байт — вполне достаточно, чтобы загрузить свою динамическую библиотеку или «открыть портал». Но это уже детали реализации.

Некоторые (между прочим, достаточно многие) антивирусы/брандмауэры перехватывают вызовы WriteProcessMemory/SetThreadContext и поднимают тревогу, если запись происходит в секцию кода. Однако этот перехват достаточно легко обойти: например, вызывать API-функции не с первого байта, эмулируя выполнение пропущенных команд; или же внедряться в область данных. Правда, при активном аппаратном DEP попытка внедрения в область данных ведет к исключению, завершающему работу атакуемого приложения в аварийном режиме.

Обойти контроль за SetThreadContext можно путем подключения псевдоотладчика (созданного малварью) к процессу-жертве API-функцией DebugActiveProcess, за которой не следит ни один известный мне защитный механизм; и хакер может преспокойно получать контекст потока в свое распоряжение через генерацию отладочных событий. Такой способ внедрения в антивирусы/брандмауэры встречается все чаще и чаще.

Примерно 10% зловредных программ лезут в следующую ветку системного реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, добавляя туда свою динамическую библиотеку, которую операционная система будет проецировать на адресное пространство всех GUI-приложений, передавая ей бразды правления до их запуска. Практически все современные защитные комплексы следят за AppInit_DLLs и начинают жутко материться, если там обнаруживается новая DLL. Однако, если малварь хакнула AppInit_DLLs до запуска антивируса/брандмауэра, им остается только утереться, поскольку кто первый получает управление, тот царь и король.

Еще приблизительно 10% зловредных программ борются с защитами через оконный интерфейс. Что может быть проще! Находим окно по его заголовку (API-функции FindWindow или EnumWindows), добираемся до элементов интерфейсного управления и начинаем хачить их по своему усмотрению. Зловредный код может подавить появление нежелательных окон (например, сделав их невидимыми — API-функция ShowWindow), найти кнопку с надписью «Yes» и «надавить» на нее путем посылки соответствующих Windows-сообщений. Или же заблокировать все кнопки (API-функция WindowDisable). Наконец, можно забраться в настройки и отключить защиту, а чтобы пользователь ничего не заметил, каждый раз подсовывать ему поддельный экран. И это не фантастика! Такие вирусы уже есть, причем совсем не один, а написать их может даже школьник, едва осиливший Delphi и пролиставший по диагонали SDK.

Другой излюбленный объект атаки  – файл \WINNT\System32\Drivers\etc\hosts, позволяющий сопоставлять IP-адреса с доменными именами и имеющий приоритет над DNS-сервером. То есть если малварь не хочет, чтобы антивирус обновлялся, то она просто добавляет в hosts-файл одну строчку, перенаправляя запросы к серверу обновлений куда-нибудь еще, например на локальный узел жертвы (которому соответствует адрес 127.0.0.1) или, что еще хуже, на сервер самого создателя малвари, распространяющий вредоносные обновления, которые содержат не только сигнатуры, но и машинный код. И хотя антивирусные базы в большинстве своем защищены цифровыми подписями и другими криптографическими средствами, при большом желании со стороны хакера их можно обойти.

• Нет связанных записей.