Лабораторная работа № 4. Тема: Антивирусная защита. Возможности и интерфейс программы DrWeb для Windows. Основные приемы работы.


Цель работы:

Ознакомиться с принципами работы антивирусных программ. Изучить возможности и интерфейс программы DrWeb для Windows, овладеть основными приемами работы.

 

Порядок выполнения работы:

  1. Включить ПЭВМ. Загрузить программу DrWeb.
  2. Ознакомиться с теоретическими сведениями об антивирусной защите.
  3. Изучить опции меню программы DrWeb.
  4. Выполнить задания к лабораторной работе.

Теоретические сведения:

Х а р а к т е р и с т и к а    к ом п ь ю т е р н ы х    в и р у с о в

Компьютерным вирусом называется специально написанная программа, способная самопроизвольно внедряться в другие программы, создавать свои копии и внедряться их в файлы, системные области компьютера, в вычислительные сети с целью нарушения работы программ, нанесения вреда файлам и каталогам, создания всевозможных помех  в работе на компьютере.

Основными путями проникновения вирусов в компьютер являются съёмные диски (гибкие и лазерные), а также компьютерные сети.

Зараженный диск – это диск, в загрузочном секторе которого находится программа-вирус.

Зараженная программа – это программа, содержащая внедренную в неё программу-вирус.

      Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, позволяющих обнаруживать и уничтожать вирусы, такие программы называются антивирусными.

Виды антивирусных программ

Рис. 1. Виды антивирусных программ.

  • Программы-детекторы обнаруживают известные им вирусы.
  • Программы-доктора или фаги, не только находят зараженные вирусами файлы, но и «лечат» их, т. е. Удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. Среди фагов выделяют полифаги, т. е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов, например, Aidstest, Scan, Norton AntiVirus n Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, поэтому требуется регулярное обновление их версий.

  • Программы-ревизоры – самые надежные средства защиты от вирусов. Они запоминают исходное состояние программ и системных областей, затем сравнивают с текущим состоянием. Часто программы-ревизоры включают в командный файл autoexec.bat, чтобы проверка состояния программ и дисков происходила при каждой загрузке ОС. Пример, Adinf.
  • Программыфильтры или «сторожа» — это небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе ПК, характерных для вирусов. Эти программы перехватывают обращение вирусов к оперативной памяти. Пример, Vsafe.
  • Программы-вакцины или иммунизаторы – это резидентные программы, предотвращающие заражение файлов. Эти программы применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Программы-вакцины преобразуют программу или диск так, чтобы это, не отражаясь на их работе, воспринималась вирусом как зараженная.

 

Семейство антивирусных программ Dr.Web

Антивирусные программы семейства Doctor Web выполняют поиск и удаление известных программе вирусов из памяти и с дисков компьютера, а так же осуществляют эвристический анализ файлов и системных областей дисков компьютера. Эвристический анализ позволяет с высокой степенью вероятности обнаруживать новые, ранее неизвестные компьютерные вирусы.

Семейство программ Dr.Web можно разделить на 2 класса.

К первому классу следует отнести 16-битную антивирусную программу Dr.Web для DOS. Данная антивирусная программа выпускается с 1994 года.

Ко второму классу относится выпущенное в 1999 году новое поколение 32-битных антивирусных программ (DrWeb32). Оно включает в себя набор программ для Windows 9x/NT/2000, DOS/386, OS/2 и Novell NetWare

В комплект программ для Windows 9x/NT/2000 входит полифаг Dr.Web и резидентный сторож SpIDer Guard.

Программа-полифаг обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков компьютера.

Резидентный сторож (называемый также монитором), находясь в памяти компьютера, постоянно контролирует вирусоподобные ситуации, производимые различными программами с диском и памятью.

Начиная с версии 4.20 в комплект программ входит Планировщик Dr.Web, позволяющий производить запуск антивирусных программ и проверку устройств хранения информации по графику, задаваемому пользователем.

Антивирусные программы семейства Dr.Web для DOS, DOS/386, OS2 и Novell NetWare являются полифагами.

Антивирусные 32-битные программы полифаги нового поколения Dr.Web функционально очень похожи на традиционный 16-битный Dr.Web для DOS. Еще в версии 4.0 16-битной программы Dr.Web основная вирусная база была выделена в отдельный файл и подгружалась после старта программы аналогично файлам-дополнениям, что позволило решить проблему нехватки основной памяти. В DrWeb32 произошло разделение программы на оболочку, ориентированную на работу в конкретной среде, и ядро, не зависящее от среды. Подобная организация антивирусных программ позволила:

— использовать единые файлы вирусных баз вне зависимости от типа используемой операционной системы: DOS, Windows 9x/NT/2000, OS/2, Novell Netware (именно такая совместимость обусловила одинаковую нумерацию версий для различных платформ);

— подключать ядро к различным оболочкам и приложениям, что дает возможность простой интеграции антивирусной проверки со многими прикладными задачами;

  • реализовать механизм автоматического пополнения вирусных баз и обновления версий оболочки и ядра через сеть Интернет.

Dr.Web для Windows 9x/NT/2000

Программа представляет собой классический полифаг и предназначена для использования в 32-битных операционных системах семейства Windows (т.е. Windows 95/98/2000, а также Windows NT 4.0 и выше). Программа производит сканирование файлов и системных областей дисков компьютера на наличие в них компьютерных вирусов и, при  нахождении последних, производит их лечение.

Dr.Web для Windows выпущена в двух вариантах: с графическим интерфейсом (DrWeb32w) и без него (DrWebwcl). Оба варианта поддерживают одинаковый набор параметров (ключей) командной строки. Но для варианта с графическим интерфейсом все настройки могут производиться из диалоговых панелей. Вариант без графического интерфейса требует несколько меньших ресурсов.

Оба варианта программы используют один и тот же конфигурационный файл и одну и ту же группу настроек в этом файле, что дает возможность попеременного использования данных программ с настройкой требуемых режимов наиболее удобным способом.

В Dr.Web для Windows 9x/NT/2000 предусмотрена поддержка режима совместной работы с 16-ти битными версиями ревизора дисков ADinf для DOS и 32-битными версиями ревизора дисков ADinf (ADinf32).

SpIDer Guard для Windows 9x/NT/2000

В комплект поставки Dr.Web для Windows  входит программа SpIDer Guard, она является резидентной антивирусной программой. Антивирусные программы данного типа принято называть антивирусными сторожами.

SpIDer Guard перехватывает обращения к файлам и системным областям дисков, осуществляя проверку на наличие в них компьютерных вирусов «на лету». При обнаружении вируса SpIDer Guard предпринимает действия по обезвреживанию (лечению, удалению, перемещению в заранее заданную область) или блокированию инфицированного файла (запрещение доступа к инфицированному файлу). Действия могут предприниматься в автоматическом (без вмешательства пользователя) или полуавтоматическом режимах. В полуавтоматическом режиме пользователь самостоятельно определяет тип конкретного действия с инфицированным файлом. Таким образом, при активизированном стороже, доступ к файлам и/или системным областям разрешается только в случае, если вирусы не обнаружены, либо их удалось обезвредить.

Кроме того, в SpIDer Guard предусмотрен специальный режим работы — обнаружение и блокирование вирусной активности. При активизации этого режима SpIDer Guard способен обнаружить и заблокировать попытки неизвестных и неопределяемых эвристическим анализатором компьютерных вирусов производить повторное инфицирование объектов на дисках компьютера.

Для анализа объектов на наличие компьютерных вирусов сторож SpIDer Guard и полифаг Dr.Web используют единую  вирусную базу и одно ядро.

Программы SpIDer Guard поставляются вместе с Dr.Web для Windows 9x/NT/2000. Выбор устанавливаемой программы производится единой инсталляционной программой и зависит от типа операционной системы, установленной на компьютере пользователя.

При активизации SpIDer Guard производит проверку оперативной памяти компьютера на наличие активного резидентного вируса. После загрузки SpIDer Guard его иконка (агент) помещается в правую часть панели задач Windows (System Tray). Нажатием правой кнопки мыши на этой иконке вызывается меню SpIDer Guard, а двойным нажатием левой кнопки — его панель настроек.

Dr.Web для Windows 9x/NT/2000

Основное окно Dr.Web для Windows 9x/NT/2000

В основном окне программы задаются объекты тестирования и действия, которые необходимо осуществлять над ними. После завершения проверки в главном окне отображаются результаты работы программы или статистика всех проведенных проверок за данный сеанс работы . Кроме этого, из главного окна доступны все дополнительные функции и настройки программы через систему меню и кнопки быстрого доступа.

Большинство элементов основного окна снабжены всплывающими короткими подсказками (hints), появляющимися при совмещении указателя мышки с соответствующим элементом окна. При этом нажатие правой кнопки мышки осуществляет доступ к расширенному контекстному файлу помощи.

Для проверки объектов на наличие вирусов необходимо выбрать устройства или их часть (каталоги, файлы), которые будет проверять Dr.Web. Это может быть произведено несколькими способами:

  • с помощью ручного выбора объектов для проверки;
  • с помощью быстрого выбора устройств по типу.

Двумя переключателями, входящими в группу Проверять  можно включить проверку загрузочных секторов устройств хранения информации и файлов во вложенных подкаталогах.

Запуск проверки

Запуск проверки осуществляется с помощью кнопки, расположенной в нижней правой части основного окна. Кнопка может находиться в одном из трех состояний:

Нет выбранных объектов

Нет выбранных объектов для проверки или идет проверка памяти, неактивна;

запуск процесса поиска вирусов

Нажатие на кнопку приводит к запуску процесса поиска вирусов;

остановке процесса поиска вирусов

Нажатие на кнопку приводит к остановке процесса поиска вирусов.

Кнопки быстрого доступа

Кнопки быстрого доступа

Под меню главного окна Dr.Web находится ряд кнопок быстрого доступа:

1 — переключает главное окно в режим отображения отчета о результатах тестирования.

2 —  переключает главное окно в режим отображения дерева дисков.

3 — переключает главное окно в режим отображения статистики результатов проведенных проверок.

4 — очищает список отчета, сформированный в результате тестирования.

5 — производит запуск программы обновления Dr.Web через Internet.

6 — вызывает окно настроек программы.

7 — завершает работу программы и закрывает главное окно.

Дерево каталогов

Панель выбора объектов для проверки, находящаяся в центральной части основного окна, отображает древовидную структуру имеющихся в системе устройств хранения информации:

выбрать любое устройство

Вы можете выбрать любое устройство левой кнопкой мышки. После выбора устройства его иконка приобретет новый вид:

иконка c выбором

Для проверки какой-либо отдельной папки (каталога) необходимо открыть структуру папок (каталогов). Для этого нужно щелкнуть левой кнопкой мышки по значку   слева от иконки устройства. Откроется дерево папок (каталогов) устройства и теперь можно выбрать одну или несколько папок (каталогов) с помощью щелчка левой кнопки мышки:

дерево папок (каталогов) устройства

При включении опции  файлы в дереве показываются не только папки (каталоги), но и файлы и становится возможным выбор отдельных файлов для проверки.

Быстрый выбор устройств хранения информации по их типу может быть произведен с помощью группы переключателей Выделить диски.

Для непосредственного задания пути к проверяемому объекту доступно окно прямого ввода, вызываемое нажатием правой кнопки мышки на панели дерева объектов (или через верхнее меню Файл->Проверить путь).

Проверить путь

В поле ввода можно ввести полный путь к проверяемому объекту и маску (например, C:\Мои документы\*.doc — проверка всех документов Microsoft Word в каталоге Мои документы). С помощью кнопки  — Просмотр можно ввести путь из окна просмотра, минуя ручной ввод.

Групповой выбор объектов для проверки

Выделить диски

В левой части основного окна расположены несколько переключателей, объединенных в группу под названием Выделить диски:

Они предназначены для быстрого выбора группы объектов для проверки. Установив соответствующую опцию, вы можете выбрать для проверки все дисководы, все логические диски, все приводы CD-ROM и все сетевые диски. Изменения, произведенные в группе Выделить диски, тут же отражаются в панели Дерево объектов.

Отчет о результатах тестирования
 По завершению проверки объектов на наличие вирусов в главном окне отображаются результаты тестирования. В таблице, которая может быть раскрыта на весь экран с помощью кнопки  Отчет о результатах тестирования, отображаются Объект, о котором у программы есть какая-либо информация, Путь к нему, Статус объекта (название вируса, "Возможно <класс вируса>") и Действие, произведенное программой над объектом.

Статус объекта с вирусами

Появление в колонке Статус сообщения типа «Возможно <класс вируса>» означает, что произошло срабатывание эвристического анализатора, обнаружившего подозрительные действия анализируемой программы. Это не является признаком наличия известного Dr.Web вируса, который отображается явным определением имени вируса в колонке Статус, однако предупреждает пользователя о _возможном_ наличии неизвестного вируса в объекте.

В случае, если в настройках программы установлена опция «Информировать» пользователя о наличии или подозрении на наличие вируса, после окончания тестирования колонка Действие будет пустой, поскольку Вы не «заказали» иных действий программы, кроме выдачи информации. Вы можете принять решение о выполнении каких-либо действий самостоятельно, выделив в таблице строчку с нужным объектом и нажав правую кнопку мышки. В появившемся меню можно выбрать необходимые действия над выделенным объектом.

Нажатие кнопки  открывает окно вывода статистических данных текущей сессии работы программы Dr.Web. В этом окне возможен просмотр общих результатов работы программы как в целом за сессию, так и по отдельным устройствам, присутствующим в системе.

Вызов статистических данных по отдельным устройствам осуществляется с помощью кнопок

Вызов статистических данных по отдельным устройствам

С помощью кнопки  очистить окно статистических данных можно очистить окно статистических данных.

Вызов окна настроек

Для вызова окна настроек программы можно воспользоваться кнопкой Вызов окна настроек   в главном окне, пунктом меню Настройки -> Изменить установки, или горячей клавишей F9.

Задание к лабораторной работе:

  1. Изучить теоретический материал  по данной лабораторной работе.
  2. Ознакомиться с  интерфейсом и изучить опции верхнего меню программы DrWeb.
  3. Протестировать оперативную память ПК.
  4. Проверить рабочий винчестерский диск D: на наличие вирусов.
  5. Проверить на наличие вирусов только файлы с расширением .exe, расположенных на диске С:.
  6. Проверить на наличие вирусов директорию WORK диска D:
  7. Просмотреть  отчеты и статистику результатов проверки.

Подготовить отчет  работе.