Восстановление данных

Иммунизаторы не получили большого распространения и в настоящее время практически не используются.

Блокираторы

Поведенческие блокираторы, в отличие от других антивирусных программ, не просто «смотрят» и пытаются «узнавать» вирусы, они еще и «думают». Принцип действия таких антивирусов основан на эвристическом анализе поведения активных программ и «подозрительных» событий, происходящих в системе. Другими словами, поведенческие блокираторы опираются в своей работе не на базу данных, а на базу знаний. Знаний о том, что может происходить в системе в случае попадания в нее вредоносного программного обеспечения. Это делает поведенческие блокираторы универсальным оружием, которое может использоваться в борьбе не только с вирусами, но и, например, с программами-шпионами.

Считается, что разработка поведенческих блокираторов, использующих методы искусственного интеллекта – это наиболее перспективное направление в создании антивирусных средств.

Существующие сегодня поведенческие блокираторы не предназначены для удаления вирусов. Их цель – обнаружение и предотвращение распространения вирусов. Поэтому их необходимо использовать совместно с антивирусным сканером, который способен уничтожить выявленный вирус.

Как было сказано выше, наиболее мощные антивирусные пакеты содержат в своем составе утилиты, реализующие все (или почти все) известные технологии. Например, пакет AVP при инсталляции предлагает использовать полный арсенал средств (рис. 2.5).

Рис. 2.5. Арсенал пакета Антивирус Касперского

ВНИМАНИЕ

Не рекомендуется устанавливать и использовать на одном компьютере два или более антивирусных пакета. Дело в том, что при выполнении своих функций антивирусы сами действуют подобно вредоносным программам (например, те же иммунизаторы изменяют исходный код файлов). В результате альтернативный антивирус может поднять «ложную тревогу» или уничтожить «конкурента». Частой причиной конфликта различных антивирусов является также наличие в их модулях (в базе данных и/или в документации) образцов сигнатур вирусов, которые воспринимаются «конкурентом» как признак заражения.

Вообще выбор наилучшего антивирусного средства – задача весьма сложная. Однозначного лидера среди таких средств сейчас нет, да и «назначить» такового непросто, поскольку требуется учитывать целый ряд факторов, среди которых важную роль играют не всегда самые очевидные. Например, очень важно, чтобы для используемого антивируса выполнялось оперативное обновление вирусной базы. А это зависит не только от «реактивности» разработчиков, но и от качества организации работы службы поддержки, – и, в частности, от того, насколько удобно реализована процедура удаленного обновления базы (через Интернет).

Достаточно объективное сравнение существующих антивирусов можно получить на веб-сайте журнала Virus Bulletin. Экспертная комиссия журнала (в нее входят профессионалы в области безопасности информации, в том числе Е. Касперский) ежемесячно присуждает своеобразный почетный знак «100%VB» тем антивирусам, которые обеспечивают 100-процентное обнаружение «живых» (и в первую очередь – самых новых) вирусов. Обобщенные результаты сравнения на момент посещения сайта можно найти по адресу https://www.virusbtn.com/magazine/ archives/index.xml. (https://www.virusbtn.com/magazine/%20archives/index.xml)

Программные средства разграничения и контроля доступа

Программные средства указанного типа, как следует из их названия, призваны не допустить к работе с системой или с конкретным набором данных того, кто не имеет на это прав. Причем, когда речь идет о работе с данными, имеется в виду не только пользователь, но и программа (точнее, процесс), которая может быть автоматически запущена на компьютере без ведома легального пользователя.

ПРИМЕЧАНИЕ

Как пользователь, так и процесс, осуществляющий доступ к данным (информационным объектам), в документах Гостехкомиссии именуются субъектами доступа.

Разграничение прав доступа состоит в создании списка легальных пользователей, определении круга полномочий каждого из них и назначении пользователям (или группам пользователей с равными правами) идентификатора (отличительного признака) для входа в систему или для доступа к определенным объектам.

В простейшем случае в качестве такого идентификатора используется пароль – некое секретное слово (а точнее, последовательность символов), известное только его владельцу (и, возможно, администратору системы).

ПРИМЕЧАНИЕ

В многопользовательских системах и системах, обрабатывающих и хранящих критически важные данные, должна применяться специальная политика управления паролями, включающая и правила их выбора (формирования). Не вдаваясь в детали, отметим, что надежность пароля зависит от трех факторов: его длины, количества символов в алфавите, используемого для формирования пароля, и случайности их выбора из этого алфавита. Например, пароль A12#7ячZ на несколько порядков надежнее пароля ИванС.

Однако сама по себе парольная защита не гарантирует соблюдение правил доступа. Достаточно злоумышленнику получить (подсмотреть, скопировать) пароль, и все – защиты нет. Кроме того, даже легальный пользователь может тем или иным образом активизировать процесс, имеющий доступ к защищенным данным. Еще выше вероятность того, что такой процесс инициирует злоумышленник. Причем для этого ему совсем не обязательно иметь физический доступ к клавиатуре и мыши компьютера (вспомните о «троянах» и программах-шпионах).

Итак, для обеспечения надежной защиты конфиденциальных или важных данных от несанкционированного доступа должен применяться набор программных средств, обеспечивающий решение следующих основных задач:

идентификация пользователей, осуществляющих вход в систему или доступ к данным;

контроль действий пользователя, вошедшего в систему;

контроль процессов, которые обращаются к защищаемым данным.

Средства идентификации пользователей

Функции идентификации на основе паролей реализованы сегодня во многих прикладных программах и непосредственно в подсистеме администрирования операционной системы.

В первую очередь отметим, что, в отличие от Windows 9*, система паролей в операционных системах Windows 2000/XP/Server действительно способна разграничить доступ к разным наборам данных для разных пользователей. То же самое относится и к разграничению прав по управлению параметрами системы. Именно поэтому в этих ОС предусмотрен «главный» пользователь – Администратор. Он может создавать новые и удалять имеющиеся учетные записи, назначать и изменять пароли для себя и для других пользователей. Разумеется, Администратор имеет право устанавливать и удалять программное обеспечение, а также изменять системные параметры. На противоположном конце шкалы полномочий стоит пользователь – Гость. Такой пользователь не может закрыть свои данные паролем, да и вообще не может практически ничего (кроме как запустить одну из разрешенных для него программ или подключиться к Интернету со стандартными настройками). Несколько шире возможности у пользователя С ограниченными правами. Он может, помимо запуска программ, устанавливать и изменять пароль для защиты персональных данных (рис. 2.6).

Таким образом, если вы хотите защитить системные настройки вашего компьютера, установленное на нем программное обеспечение и данные от постороннего воздействия, создайте для себя учетную запись с правами администратора, защищенную паролем, а другим потенциальным пользователям отведите роль гостей или пользователей с ограниченными правами.

Тем не менее для разграничения доступа на уровне отдельных информационных объектов (папок, файлов, приложений) зачастую удобнее воспользоваться соответствующими встроенными функциями прикладных программ либо специализированными приложениями.

Например, вы можете «закрыть» паролем документ, созданный в Word, или архив, сгенерированный с помощью архиватора WinRAR (рис. 2.7).

Рис. 2.7. Многие приложения поддерживают функцию парольной защиты «своих» файлов

Кроме того, существуют программы, позволяющие закрывать паролем даже те файлы, для которых создавшее их приложение обеспечить парольную защиту не способно.

Пример такой программы – Virtual Password. Она позволяет закрыть паролем любой файл, имеющийся на компьютере, независимо от его типа (рис. 2.8).

Однако, как и у многих подобных программ, пароль в данном случае используется в качестве ключа шифрования. Соответственно при «закрытии» файла его исходное содержимое изменяется, и если вы забудете или потеряете пароль, то вместе с ним потеряете и первоначальное содержимое защищенного файла (правда, Virtual Password перед шифрованием создает резервную копию исходного файла; с одной стороны – это помощь для рассеянных, с другой – новый объект для защиты/нападения).

Для временного блокирования системы (на время отсутствия легального пользователя) могут применяться так называемые хранители экрана, или скринсейверы (от англ. screensaver), снабженные функцией парольной защиты.

Возможен и несколько иной подход, а именно: разрешать делать только то, что не запрещено. Используя соответствующие программы-блокираторы, вы можете запретить запуск конкретных программ, открытие/перемещение/удаление указанных файлов и папок, изменение настроек Рабочего стола и т. п.

Таких программ-блокираторов, реализующих комплексный подход к управлению доступом к ресурсам компьютера, существует не один десяток. Одной из наиболее удачных (по мнению автора) можно считать программу WinLock производства компании Crystal Office Systems. Оценочную версию программы (с несколько ограниченными функциональными возможностями) можно бесплатно получить на веб-сайте компании (www.crystaloffice.com (http://www.crystaloffice.com/)).

Даже в «урезанном» варианте WinLock предоставляет широкие возможности: от блокирования входа в систему до запрета на работу с отдельными устройствами и на открытие конкретных файлов (рис. 2.9).

Средства контроля действий пользователя

Что касается контроля действий пользователя, вошедшего в систему, то для этого совершенно не обязательно стоять у него за спиной. Достаточно установить на компьютер одну или несколько программ, выполняющих соответствующие функции (аналогичные, по сути, функциям программ-шпионов). Например, небольшая (36 Кбайт) бесплатная программка Home Key Logger (http://www.spyarsenal.com (http://www.spyarsenal.com/)) позволяет регистрировать всю информацию, вводимую с клавиатуры, и затем просматривать протокол всех нажатий клавиш (как текстовых, так и управляющих). Причем в файле протокола указываются дата, время, приложение и файл, с которым работал пользователь. Более «продвинутый» вариант программы – Family Key Logger – обеспечивает некоторые дополнительные возможности (в частности, автоматический запуск в скрытом режиме, рис. 2.10).

Возможен также визуальный контроль действий пользователя. Речь идет о программах, создающих снимки экрана (или снимки окон активных приложений) через заданные интервалы времени. Снимки сохраняются в определенной папке в виде набора графических файлов, просмотрев которые, вы можете получить полное представление о том, какие задачи решались на компьютере в ваше отсутствие. Пример такой программы – Spy Camera. Она снабжена минимальным числом настраиваемых параметров (рис. 2.11), однако исправно выполняет свои задачи.

В отличие от многих аналогичных программ, она способна делать снимки экрана во время работы приложений, использующих полноэкранный режим отображения (например, при просмотре видео).

Рис. 2.11. Окно настроек программы Spy Camera

Для сторонников комплексных решений также имеется богатый выбор подходящих программ-наблюдателей с соответствующими возможностями. В качестве примера рассмотрим две из них. Обе программы созданы российскими программистами и относятся к категории условно-бесплатных (Shareware), то есть по истечении определенного интервала времени для продолжения работы с программой следует зарегистрировать используемую копию. Первая программа называется Spylo PC Monitor (автор – Alexei Vylegjanine (Sontrex Software)). Вторая – StatWin (разработка компании Security extensible Research Software (www.sxrsoft.com (http://www.sxrsoft.com/))).

Spylo PC Monitor обеспечивает:

регистрацию клавиатурного ввода;

контроль запускаемых приложений;

создание снимков экрана для активных приложений;

регистрацию работы в Интернете.

Spylo PC Monitor состоит из двух основных компонентов: монитора, который собирает информацию, и модуля просмотра результатов (Spylo Commander). Монитор работает скрытно и может запускаться автоматически при загрузке системы. При этом ни на панели задач, ни в списке активных приложений, ни в системном трее никаких признаков его присутствия нет.