Краткий курс по антивирусной защите , не продвинутого в
области ПО, пользователя ПК.
e-mail pi1@yandex.ru
1.Вводная часть.
Для простоты понимания работы компьютера я предлагаю следующую модель.
Это такая большая таблица, по которой, как таракан, бегает процессор и что то там в ячейках пишет или стирает. А у этой таблицы есть различные области, зарезервированные разработчикам под определенные цели. Например, есть область, где хранится часть данных оперативной памяти (ну то с чем машина работает в данный момент, например картинка, причем для каждой точки картинки отдельная ячейка) и есть место, где процессор записывает то что он знает в данный момент о содержании жесткого диска. И еще в этой нашей таблице есть область занятая самой «осью» (операционной системой, например Windows или Linux) и программами (самостоятельными или приложениями, т.е. теми что используют отдельные блоки из самой Винды, например кнопочки). А также есть ячейки в нашей таблице, которые называют портами. То есть точки, через которые проходит обмен информацией. Вот в принципе и все. Остальное читатель додумает сам, по аналогии, используя как инструмент для понимания именно образ таблицы. Остается добавить, что часть информации по доступу к частям этой таблицы передается разработчиками сторонним программистам, для написания программ, а часть остается закрытой для распространения («недокументированные» так сказать возможности). А еще есть измененная в результате последующей доработки. Следует отметить, что доработка бывает необходима не столько для защиты от хакеров, а в основном потому, что выявляется возможность неправильного влияния одной области нашей таблицы на другую, например две программы одновременно обратились к одному и тому же порту, вот наш процессор- таракан и оцепенел, «завис». Кстати размер нашей виртуальной таблицы определяется разрядностью операционной системы , например для 32 разрядной ОС Windows XP будет приблизительно так – оперативной памяти выделено 2 в 32 степени ячеек, то же для отображения содержимого каждого логического диска и т.д Все это можно назвать доступным адресным пространством. Так вот то что нас интересует, а именно вирусы, может быть расположено практически в любой зоне нашей виртуальной таблицы. Все заявления о защищенном внутреннем ядре системы относятся к организации нормальной работы типичных программ, но не вирусов. Другое дело, что по достижении определенного уровня, программисту становится не интересно писать вирусы, поэтому все воздействия вирусов приходятся в основном на одну и ту же область программного обеспечения.
2.Почему есть вирусы и какие они.
В человеческой природе всегда присутствует дух поиска, впрочем, как и в любом другом существе (достаточно вспомнить, что дерево пускает корни не только в ту сторону где есть полив). А еще всегда хочется порадовать свою природу достигнутым успехом. Вот и начинается хакерство с любознательности, а иногда заканчивается виросописательством.
Повальное большинство хакеров просто тестируют системы от взлома, оказывая совершенно безвозмездную помощь разработчикам, но есть и такие которым мало признания их высокого уровня компетенции и они попадают в штатную ситуацию «дурак». Я называю такую ситуацию, когда один доказывает другому, что тот безмозглый, не отдавая себе отчет, что это такие попытки как раз и являются признаком безмозглости.
А вирус написанный для того чтоб кому то что то доказать начинает жить сам по себе, как оторвавшаяся от минрепа морская мина времен Второй мировой. Но есть еще программки – инструменты, специально разработанные, для каких либо целей, только эти цели не радуют хозяев компьютера (например для собирания паролей доступа). Такие программы тоже подпадают под понятие «вирусная атака».
Недавно опубликовали наши СМИ такую Интернет-технологию:
Гражданин А разрабатывает «со товарищи» прогу-Троян и запускает ее в Инет. Когда ею будут заражены несколько тысяч домашних ПК, этот гражданин продает гражданину Б ключи к этому Трояну.
Гражданин Б
начинает атаку на сервер платежной системы, в результате того, что несколько
тысяч ПК обратятся одновременно по одному и тому же адресу, трафик канала связи
платежной системы захлебнется. Создается удобная ситуация для шантажа. А
владельцы зараженных ПК в этот момент не поймут почему это их любимцы так
медленно работают в ИнетеJ.
«А вот подоспела и наша кавалерия!», то есть к Вам домой приезжают ребята в погонах, забирают Ваш ящик, как улику в следствии по шантажу. Не поверите, монитор тоже заберут, как «неотъемлимую часть устройства использованного в противоправных действиях». Как Вы думаете, когда Вам вернут Ваше добро (включая и информацию на жестком диске)? То-то.
Я обычно (для себя) квалифицирую всю эту нечисть следующим образом:
- просто вирусы - мини-программы, цепляющиеся как клещи на нос собаки, к телу «нормальных» модулей программ.
- Трояны – отдельные исполняемые модули, цель которых самораспространение по сетям соединяющим компы. Сплошь и рядом работающим в паре с «червями»
- Черви – мини-программы, которые изначально создавались для «заражения» тела писем (не путать с вложениями в письма), теперь к ним приписывают и тех, что тянут за собой по сети трояна.
- Закладки (adware), заложенные в программу функции, о которых пользователю не сообщалось, но при этом затрагиваются его интересы. В свое время в «левом» MS Office XP, распространяемом по России на «паленых» дисках, была закладка, исключающая возможность работы в Инете, но не определяемая ни одним антивирусом (по сегодняшний деньJ)
- Шпионы (spy), те же закладки, но предназначенные именно для сбора информации и передачи ее в сеть
- Эксплоиты , программы использующие уязвимости операционной системы (по сути те же черви или трояны, но использующие именно недокументированные функциональные возможности ОС)
Каждую секунду рождается что либо из перечисленного, другое дело, что не все попадает в каналы обмена информации. Но от этого не легче. Вы можете быть исключены из университета, если например, обнаружится, что Вы заразили кафедру вирусом. Причем доводы о том, что до этого момента не один антивирус не знал про него, по причине того что народ и не придавал особого значения его деятельности (ну не очень вреднойJ),а тут его внесли в базу антивирусной программы, не спасут. Вот тут мы и добрались до самого существенного - судьба реального человека напрямую зависит от несовершенства виртуального мира компьютеров. Один шаг до «войны машин»! Причем в это вложены самые крупные во всем мире «бабки». Покупая болванку за 10 рублей, Вы тоже вносите вклад в этом направленииJ. Ну да я отвлекся, лучше подумаем о своей шкуре и перейдем к защите от вирусов.
3.Защита, или так ее называют.
Из моего 14 летнего опыта общения с компами, я пришел к выводу, что во-первых не так страшен черт, как его малюют, во – вторых плохо написанные программы попортили крови больше чем все эти вирусы, в – третьих однако «от сумы и от тюрьмы не зарекайся». Например, в прошлом веке был распространен вирус Чернобыль, который делал ПК мертвым железным ящиком именно 26 апреля. Так вот я его присутствие заметил через 5 минут (Дельфа пожаловалась, что памяти мало), а в милиции «сдохло» 5 машин. Они там скорее всего были привычны к ненормально работающим компамJ.
Отсюда мораль - компьютер должен работать стабильно и без «глюков». Это позволит сразу заметить ненормальность, вызванную появившейся нечистью. Логично? Так тогда как к этому прилепить термин «Защита»?
Все как в жизни, по ушам дают чаще именно тому, кто больше нарываетсяJ
Никакая защита не поможет остаться чистым при нырянии в дерьмо, хоть запах но останется результат- это я про порносайты.
Теперь о народных способах. В Инете доступны многие программы, на этом построен большой бизнес. Впрочем такой же бессовестный как в фармакология. Одни антивирусы так защищают машину, что на ней остается только текст набирать, другие больше защищают свой интерес, чем удовлетворяют пожеланиям клиентов.
По сути все это нормально. Если есть плохие дороги, почему должны быть безукоризненные программы? Из платных «юзал» DrWEB, Касперского. Из бесплатных Antivir (Avira) и Avast. Ессно на своем компе лечение делать не получается, потому как не заражаетсяJ. Каждый антивирус находил свои вирусы (чаще правда одни и те же, но под разными именами), что навело на мысль, что одним продуктом не обойтись. Теперь просто использую резидентно (постоянно в памяти) Avast, дополнительно быстрый Avira и в случае необходимости «контрольный выстрел» DrWeb. Пробовал NOD32, понравилось, но нет возможности своевременного легального обновления. Тоже с Касперски. Norton «убил» своей «железной» защитой, программисту явно не подходит, зато для секретаря самое то- кроме Ворда не надо ничего запускать. Встречал McCafee , друзья хвалили. Есть антивиры «поведенческого» контроля за файлами типа Panda, есть не совсем антивиры, но со схожими целями – фаервол или брандмауэр - типа «огненная стена» на аглицком или американском, мне понравился Outpost за его понятный интерфейс (менюшки и кнопочки).
Короче по деньгам и свадьба- каждый пользуется тем, что сможет иметь. Но есть общие принципы:
- обязательно своевременное обновление
- обязательное периодичное сканирование
- обязательное присутствие «сторожа»
- понимание принципа работы, знание настроек и умение выполнять правильные действия в случае обнаружения.
Отсюда вывод, что нужно или купить лицензию на платный антивирус или пользоваться зарегистрированным бесплатным, но постоянно и своевременно обновляемым. Старый антивирус похож на билет ушедшего поезда.
Сканирование приходится делать по двум основным причинам- возможность занесения через недокументированные порты-дыры, про которые и антивирус то не знает или в случае выявления нового, пока еще «спящего» на Вашем компе.
Сторож избавит от переустановки системы, ведь часто приходится при сканировании удалять нужные для системы, но уже зараженные файлы.
Хотите Вы этого или нет, но придется или сейчас или «когда жаренный петух клюнет», изучить все кнопочки и менюшки Вашего антивируса. Как правило, после установки, антивирус настроен Вас предупреждать и ждать Вашего решения. А вдруг Вы и вправду самоубийца. Но вдруг притащит дискетку Ваш младший брат, который точно не поймет, что это за окно и ессно выберет «игнорировать», со всеми вытекающими последствиями. Значит нужно сразу настроить «лечить», а «неизлечимые удалять», хотя это на любителя, может нравится смотреть по 5 часов на мелькание цифр и букв на экране, при внеплановом сканировании. Да еще надо внести понимание сути ситуации, когда Вас огорошило неожиданное (а может и нет J) сообщение антивирусной программы. Разложим по полочкам:
-1 Вы получили сообщение от постоянно сидящего в памяти, «сторожа», зайдя на какую либо WEB-страницу. Это значит, что в соответствии с протоколом загрузки этой страницы, на Вашу машину пытаются загрузить что то не совсем нужное Вам. Выбирайте «запретить» или «удалить» (вполне может быть, что «враг» уже лежит в папочке для временного хранения интернетовских файлов, загружаемых при посещении сайтов).
- 2 Вы получили сообщение от постоянно сидящего в памяти, «сторожа», как только вышли в инет на «добропорядочную» домашнюю страницу, типа Яндекс. Значит у Вас или у Яндекс компьютер уже заражен. Обычно при этом количество байтов уходящих с Вашего компа значительно превышает количество принятых. Вероятность того , что нужно покинуть Инет и заняться нудным многочасовым сканированием своего компа равна 100 %. Этим и займитесь, зачем тратить свои деньги на трафик заражающий другие компьютеры?
- 3 Вам принесли дискетку с фотками, а он сразу на что то «ругается». В этом случае лучше удалить, что он («сторож») спросит, а уж потом настроить свойства папки для дисковода А – «Показывать скрытые файлы» и убедиться, что там кроме фоток действительно уже ничего нет. А ведь есть такой вир, создает рядом с папочкой исполняемый файл по имени этой папочки.
- 4 Вы копируете что либо из папки в папку и на тебе. Наверно антивир обновился и нашел, лечите и сразу сканируйте все.
- 5 Имеют место «сильные тормоза» в работе ПК, а «сторож» молчит. Ну и что? Возможно у Вас место на С: кончилось (20% минимум держите пустыми) или нужно проверить состояние логического диска (Мой комп/Диск С/свойства /Сервис). Или распух реестр от дурной привычки попробовать все что под руку попадется. Интересно, а почему люди в еде более разборчивы? J Хотя может как раз и плодятся клоны зараженных файлов, кстати, а когда антивир обновляли?
Итого в 1 и 3 случаях Ваш комп не успел наверное заразиться (подождем новой версии антивира и просканируем), а во втором и четвертом – успел. В пятом неизвестно, не надолго.
А еще, можно ли назвать «защитой» использование законно приобретенной операционной системы и остального софта? А ведь у нас умудряются делать деньги на компьютерах с купленной за 70 ру операционной системой. И искренне удивляются, когда замечают различие в подходах к эксплуатации телевизора и компьютера.
Прислушайтесь к разборкам в компьютерных магазинах, где новому русскому объясняют, почему компьютер годный, а кредитная линия через инет, на которой он решил бабки сделать, не пашет. Очень занятно. К сведению – лицензионный антивир DrWeb стоит в месяц всего где- то 80 рублей (если сразу на год купить), а Винда ~ 2000, что составит средний двухчасовой оборот денег у такого «фирмача».
Не знаю как переварить в голове сообщение от ДрВеб «Возможно это ….», часто встречаю. Они там, Данилов и компания, съевшие собак на изучении вирусов, предоставляют нам решать, вирус это или нет. Смешно просто. Ну сделайте вид что не заметили что ли J А вот как то звонит знакомая и говорит: «Тут у нас вирус появился, помогите. А то было пяток , домашних, мы к ним привыкли как то. Ну выводит ДрВеб сообщение, а больше они нам не мешали, а тут новый расплодился, работу тормозит.»
У них не было Интернет тогда, что и объясняет «миролюбивость» домашних вирусов.
4. «За успех нашего
безнадежного дела!»
Борьба с вирусами заранее
безнадежна. Посудите сами : 99,99 % компьютеров лишены актуальных исправлений в
операционной системе и актуальных антивирусных программ. А вместе с тем есть несколько способов
100% «защиты». Способ первый - работать в Windows , загруженного с CD или DVD
. Правда результаты труда нельзя рассматривать как защищенный контент, есть
вероятность заражения выходных файлов (например записанных на дискету). Способ
второй – использование образов логических дисков. Для этого есть несколько
программ, Ghost, Paragon, Aсronix… . Суть в том, что логический диск С: копируется на DVD, а уж потом производится
поиск нужного Вам реферата на подозрительных сайтах, а потом из образа
информация восстанавливается и все деструктивные действия вирусов исчезают
вместе с файловой системой, поверх которой восстанавливается образ. Есть даже
способ работы в Инете, загрузившись с системной дискеты! В остальных случаях
будьте готовы к переустановке Windows,
а еще лучше с форматированием системного раздела диска. А вот это уже
интересная тема. Есть типы файлов не способные к заражению, например наши
любимые музыкальные формата mp3,
а еще такие дорогие нам фотки формата jpg, а еще можно все документы перегнать в формат rtf, который не заражается
(покаJ).
Тоже с avi и c mpeg (кино типа). Так вот
если держать такие файлы отдельно, ну например, на втором логическом диске, то
это значительно облегчит работу сканера антивируса (или нанятого, для
переустановки системы, программиста J). Давайте держать
ценные архивы в отдельной файловой системе, а не на системном разделе диска
(как правило, диск С). А еще можно все личные файлы держать в защищенных
паролем архивах. При этом пароль должны знать все кроме антивируса. Вот он и не
станет зря молотить проверку тысячи файлов музыки и 5 тысяч прикольных
картинок, а займется проверкой системных файлов то того как Вам это надоестJ.
Микрософт кстати заложил интересную фишку, Вы в свойствах ярлыка «Мои
документы» можете указать любую папку на другом логическом диске, что Вам и
посоветую.
Есть несколько типовых уловок которыми пользуются вирусописатели и их нужно знать. Для этого требуется понимание тактических целей «злоумышлинников».
Цель первая – файл- «закладка» должен быть невидим для лоха-пользователя. Поэтому мы делаем следующее : в Мой компьютер/ меню «Сервис»/пункт меню «Свойства папки»/ меню «Вид» / в дополнительных параметрах отмечаем «Показывать скрытые файлы и папки». После этого видно все папки и файлы, но возникает риск того, что кто то по ошибке переместит из одной папки в другую системный файл и ПК просто не загрузится.
Цель вторая – запустить заражение ПК сразу, как в него вставят внешний носитель (флешку или ДВД). Для этого на него помещается зараженный файл autorun.inf или в этом файле, а он текстовой и открывается блокнотом, можно узнать , какой файл потом запускается по сценарию autorun.inf. Его и лечим.
Цель третья – распространить свое «творение» по сети Интернет. Легко заметить, что этот процесс «имеет место быть» по количеству исходящей информации. Как правило соотношение исходящих байтов к входящим не превышает 1 к 5. А вот какая из программ этим занимается можно довольно часто выяснить сравнив список процессов (Ctrl+Alt+Del / Диспетчер задач/ Процессы) на нормальной и зараженной машине.
Цель четвертая- взять ПК под контроль сразу после его загрузки. Для этого в сценариях автозапуска операционной системы (а таких несколько, не только ключ RUN в реестре) прописываются модули, атакующие ПК. Это крайне затрудняет его лечение и приходится использовать загрузку с внешнего специального диска (обычно это WINPE). Однако всегда можно отредактировать эти сценарии с помощью различных инструментов (regedit, msconfig, и т.п.), но это уже работа для специалиста.
Цель пятая – поместить свое «детище» в системную область.
Например прямо на диск С и, если невидимые файлы сделаны видными, можно точно
идентифицировать лишнее. В этом месте у «порядочных» ПК не так много файлов (у
меня например их всего 10, не считая файлов *.log, которые не заражаются). Главная
цель у «врага» это папка \windows\system32 , а «ворота», через
которые эта «нечисть» лезет –невидимые папки \Document and Settings\…\Local Settings\…\Temporary Internet Files или Temp или Cookies .
Однако я кажется плавно сменил тему «защита» на тему «лечение», а это уже удел «гуру». Хотя потренировавшись немного (часов так 300-400) на борьбе с вирусами, любой «ламер» становится компьютерно- грамотным «программистом». Как в знаменитом анекдоте : «Мама, я не знаю что это, но с этого дня это будет моим хобби». Вот пока и все, тема-то бесконечнаяJ
А все таки, разве это не заводит, суметь сохранить свой комп в неприкосновенности в этом мире соблазнов и ловушек? Желаю успехов.
С уважением, pi1.