Анти-Хакер
Компонент Анти-Хакер - это персональный брандмауэр. В его функции входит контроль сетевых соединений в соответствии с установленными правилами и защита от сетевых атак.
Анти-Хакер состоит из двух элементов:
Сетевой экран - обеспечивает контроль сетевых соединенийСистема обнаружения вторжений - отвечает за обнаружение и защиту от сетевых атак
Анти-Шпион
Анти-Шпион - это компонент, который обеспечивает блокирование нежелательной рекламной информации при работе в интернет (баннеры, всплывающие окна), защиту от фишинговых атак и несанкционированного подключения к платным интернет ресурсам.
Анти-Шпион состоит из четырех независимых элементов:
Анти-Фишинг - обеспечивает защиту от фишинговых атакАнти-Реклама - блокирует всплывающие окнаАнти-Баннер - блокирует рекламные баннерыАнти-Дозвон - блокирует попытки дозвона на платные номера Для операционных систем Microsoft Windows 98/Me элемент Анти-Дозвон будет недоступен
Анти-Спам
Анти-Спам - это компонент, который служит для защиты пользователя от нежелательной электронной почты, т.е. от спама.
Анти-Спам проверяет все входящие письма и, на основе комплексного критерия, определяет, является ли письмо спамом. В результате работы Анти-Спама письму может быть присвоен статус:
Спам - письма, которые наверняка являются спамомПотенциальный спам - письма вероятно являющиеся спамомНе спам - письма не являющиеся спамом
Для определения статуса письма, используются следующие критерии в перечисленном порядке:
Проверка на основе "белых" списков. Если отправитель письма содержится в списке разрешенных адресов, или в тексте письма содержится хотя бы одна разрешенная фраза, письмо получает статус не спам, независимо от других критериев Проверка на основе "черных" списков. Если отправитель письма содержится в списке запрещенных отправителей, или в тексте письма содержится определенное количество запрещенных фраз, письмо получает статус спамПосле проверки на основе списков, выполняется проверка на фишинг. Если текст письма содержит ссылки на фишинг сайты, письму присваивается статус спам (более подробно понятие фишинг-атак было рассмотрено в разделе "Анти-Шпион")Далее применяются такие технологии фильтрации как самообучающийся алгоритм Байеса (анализ текста письма), анализ изображений и анализ заголовков.На последнем этапе используются дополнительные критерии определения спама по структуре почтового сообщения
Файловый антивирус
Файловый Антивирус является наиболее важным из компонентов антивирусной защиты. Этот компонент обеспечивает перехват всех файловых операций и проверку содержимого файлов, к которым происходит обращение в режиме реального времени.
Проверка файлов осуществляется так же, как при работе задач проверки по требованию - с помощью сигнатурного и эвристического анализа. Для уменьшения загрузки системы в работе Файлового Антивируса также используются технологии iSwift и iChecker.
Источник обновлений
Источником обновлений могут выступать:
Сервера обновлений Лаборатории Касперского - в этом случае обновление происходит по протоколам HTTP/FTPСервер Администрирования - в качестве источника обновления выступает Сервер администрирования, само обновление осуществляется средствами Агента администрированияHTTP-, FTP-сервер или сетевой каталог - источником является задаваемый сетевой ресурс, HTTP, FTP либо UNC
Настроить параметры доступа к сетевым HTTP/FTP ресурсам можно, нажав кнопку Параметры LAN. По нажатию открывается окно Настройка параметров LAN, в котором предлагается указать режим доступа к FTP-ресурсам (пассивный либо активный), тайм-аут соединения (промежуток ожидания ответа на запрос к серверу), а также задать параметры настройки доступа к прокси-серверу.
Компоненты
Файловый Aнтивирус - обеспечивает защиту файловой системы путем перехвата файловых операций и проверки содержимого файлов, к которым происходит обращениеПочтовый Aнтивирус - осуществляет проверку входящих и исходящих сообщений электронной почтыВеб-Антивирус - осуществляет проверку НТТР трафика и контроль запускаемых скриптов при помощи поведенческого блокиратораПроактивная защита - поведенческий блокиратор, осуществляющий контроль активности приложений, проверку запускаемых VBA-макросов, защиту реестра и контроль целостности приложений В совокупности с задачами проверки по требованию и обновления Файловый Антивирус, Почтовый Антивирус, Веб-Антивирус и Проактивная защита обеспечивают антивирусную защиту компьютераАнти-Шпион - обеспечивает защиту от фишинг-атак, несанкционированного подключения к платным сайтам и блокирование нежелательной рекламной информации при работе в интернетАнти-Хакер - персональный брандмауэр, контролирует сетевые соединения согласно установленным пользователем правилам, обнаруживает и блокирует сетевые атакиАнти-Спам - обеспечивает защиту от нежелательной электронной почты
Каждому компоненту соответствует отдельная группа настроек, согласно которым компонент функционирует. Параметры общие для всех компонентов вынесены в группу настроек Защита.
Распределение функций компонентов защиты по информационным потокам выглядит следующим образом:
Гибкие носители | Файловый Антивирус |
Сетевые ресурсы | Файловый Антивирус |
Анти-Хакер | |
Электронная почта | Почтовый Антивирус |
Анти-Спам | |
Интернет | Файловый Антивирус |
Веб-Антивирус | |
Анти-Шпион | |
Анти-Хакер |
Дополнительно Проактивная защита и Файловый Антивирус обеспечивают контроль активности приложений и проверку всех файлов, к которым происходит обращение.
Контрольные вопросы
- Какие варианты установки лицензионного ключа существуют в Антивирусе Касперского 6.0 для Windows Workstations?Объясните принципы работы компонента Анти-Хакер.Опишите приоритезацию правил в Анти-Хакере.Что такое доверенная зона? Чем она отличается от Локальной сети?Какие компоненты защиты будут установлены в Антивирусе Касперского 6.0 для Windows Workstations по умолчанию?Существует ли в Антивирусе Касперского для Windows Workstations возможность защиты настроек от изменения пользователем? Если да, то каким образом?Какое количество резервных копий антивирусных баз сохраняется в Антивирусе Касперского 6.0 для Windows Workstations?В чем разница между технологиями iChecker(tm) и iSwift(tm)?Какие типы архивов проверяются Файловым антивирусом?Какие модули содержит компонент Проактивная защита? Каково их назначение?Какие модули содержит компонент Анти-Шпион? Какого их назначение?Какие протоколы поддерживаются Почтовым антивирусом?Какие типы архивов могут проверяться и лечиться задачей проверки по требованию?Какими правами необходимо обладать, что бы иметь возможность восстанавливать файлы из карантина?У Вас имеется архив содержащий три файла, неизлечимый файл, файл подающийся лечению и чистый файл. Что произойдет с данным архивом при проверке его по запросу пользователя? Какие объекты будут помещены на карантин, какие в резервное хранилище?
Методические указания к лабораторной работе
Антивирус Касперского для Windows Workstations - это программный продукт, предназначенный для комплексной защиты рабочей станции от угроз связанных с работой в локальных вычислительных сетях и в интернет.
Продукт предназначен для защиты рабочих станций в корпоративной сети под управлением Kaspersky Administration Kit. При необходимости, Антивирус Касперского для Windows Workstations может работать автономно, в отсутствие сервера управления, без ограничения функций защиты.
Продукт объединяет функциональность антивируса, брандмауэра, антиспама и антибаннера и обеспечивает защиту компьютера пользователя от следующих угроз:
ВирусовВредоносных и потенциально опасных программСетевых атакИнтернет мошенничестваНежелательной интернет рекламыСпама
Для выполнения поставленных задач, в продукте реализованы следующие функции:
Защита файловой системы в режиме реального времени - перехватываются все операции с файлами на жестких, сменных и сетевых дисках. Объекты, с которыми выполняются операции, проверяются на наличие вредоносного кодаЗащита электронной почты в режиме реального времени - проверяются все входящие и исходящие электронные письма по протоколам POP3, SMTP, IMAP, NNTP; обеспечивается защита от нежелательных почтовых сообщений (спама)Защита при работе в интернет - проверка ННТР трафика, блокировка выполнения опасных скриптов (при помощи поведенческого блокиратора), блокировка рекламных баннеров и всплывающих окон, защита от фишинг-атакКонтроль активности приложений - поведенческий блокиратор позволяющий противодействовать заражению и распространению еще не внесенных в базы вирусов и других вредоносных программ. Дополнительно обеспечивается защита системного реестра, контроль целостности приложений и блокировка опасных VBA скриптовКонтроль сетевых соединений - Антивирус Касперского для Windows Workstations выполняет функции персонального брандмауэра, позволяет контролировать все сетевые соединения и фильтровать сетевые пакеты согласно установленным пользователем правиламЗащита от сетевых атак - ведется постоянный мониторинг и анализ сетевой активности компьютера пользователя. В случае выявления сетевой активности классифицируемой как атака, атакующий компьютер блокируется на определенный период времениПоиск вирусов - приложение позволяет по требованию пользователя или по расписанию осуществлять поиск вирусов среди стандартных, или указанных пользователем объектов на жестких, сменных и сетевых дисках, а также в оперативной памяти компьютераОбновление сигнатур угроз - для обеспечения эффективной защиты от новых типов вирусов производится регулярное обновлений антивирусных баз, адресов потенциально опасных интернет ресурсов и сигнатур сетевых атак. Новая технология позволяет существенно уменьшить размер обновлений и тем самым уменьшить время их загрузкиАварийная проверка системы - Антивирус Касперского для Windows Workstations предоставляет возможность создавать диски аварийной проверки, которые, в случае потери работоспособности системы в результате вирусной атаки, позволяют выполнить проверку и лечение компьютера
Обновления сигнатур угроз и модулей приложения
Сигнатурные методы обнаружения вирусов являются наиболее точными и эффективными, однако, для поддержания этой эффективности, крайне необходимо наличие актуальных антивирусных баз. Поэтому обновление антивирусных баз является одной из самых критичных задач обеспечения антивирусной безопасности.
Учитывая частоту появления новых вирусов и высокую скорость их распространения, действительно эффективным сигнатурный метод становится только в случае оперативного выпуска сигнатур этих вирусов и доставки сигнатур на защищаемые компьютеры. Кроме сигнатур могут доставляться также измененные модули антивирусных продуктов: для исправления критических ошибок, для внедрения новых алгоритмов обнаружения и т.д. Именно этот процесс доставки и установки сигнатур и модулей называется обновлением.
Обновление - это мероприятие по загрузке и установке наиболее свежих версий антивирусных баз и модулей приложений
Интервал между появлением нового вируса и доставкой на клиентские компьютеры сигнатуры этого вируса зависит от двух факторов:
Времени реакции на появление вируса компании-разработчикаПараметров работы системы обновления
В отношении реакции на появление новых вирусов Лаборатория Касперского является одним из лидеров в антивирусной индустрии, что выражается в ежечасном размещении на серверах компании обновлений сигнатур угроз.
Веб-Антивирус, Проактивная защита, Анти-Шпион, Анти-Спам и Система обнаружения вторжений также используют специальные базы при осуществлении функций защиты.
Все базы данных Антивируса Касперского для Windows Workstations, используемые для выявления опасных объектов, объединены в единую базу - сигнатуры угроз.
Лаборатория Касперского выпускает три набора сигнатур угроз (антивирусных баз):
Стандартный - набор антивирусных баз, достаточный для обнаружения и лечения (в тех случаях, когда это возможно) всех известных на момент выпуска вредоносных программ (вирусов, троянов, червей)Расширенный - включает в себя стандартный набор, а также базы для обнаружения таких потенциально нежелательных программ, как рекламные (adware), шпионские (spyware) и другие модулиПараноидальный - по сравнению с расширенным набором содержит также базы для обнаружения хакерских утилит
Стандартный набор используется всегда, дополнительные базы расширенного набора используются при включении опции Шпионское, рекламное ПО, программы скрытого дозвона, а параноидальный - при дополнительном включении опции Потенциально опасное ПО (riskware).
Задачи обновления делятся на два типа:
Задачи обновления сигнатур угроз и модулей приложения - назначение задачи следует из ее названия - обновление сигнатур угроз, для обеспечения эффективной работы Антивируса Касперского для Windows Workstations, а также обновление модулей продукта, для устранения ошибок и расширения функционалаОткат обновления - задача отката к предыдущей версии сигнатур угроз. Используется в случае, если новая версия сигнатур приводит к сбоям в работе приложения или ложным срабатываниям
Сами антивирусные базы хранятся в папке Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases.
Обновляемые компоненты
Ниже приведена таблица с описанием баз, которые используются различными компонентами Антивируса Касперского для Windows Workstations .
Поиск вирусов | Антивирусная база - предназначена для проверки файлов с помощью сигнатурного анализа. Включает сигнатуры угроз вирусов, троянских и других вредоносных программ |
Файловый Антивирус | |
Почтовый Антивирус | |
Веб-Антивирус (при проверке с буферизацией) | |
Веб-Антивирус (при потоковой проверке) | Специальная сокращенная антивирусная база, содержащая сигнатуры вредоносных программ предназначенные для потоковой проверки. |
Проактивная защита (Анализ активности приложений) | Критерии выявления опасной и подозрительной активности, а также подозрительных значений в реестре |
Анти-Шпион (Анти-Фишинг) | Список адресов фишинг-сайтов |
Анти-Шпион (Анти-Баннер) | Список масок запрещенных баннеров |
Анти-Хакер (Система обнаружения вторжений) | Сигнатуры сетевых угроз |
Анти-Спам | База контрольных сумм изображений, которые являются спамом. |
При выполнении задачи обновления, новая версия сигнатур может быть загружена с серверов Лаборатории Касперского или из локального каталога.
Новая технология обновления сигнатур угроз используемая в Антивирусе Касперского для Windows Workstations позволяет существенно уменьшить объем загружаемой информации. Уменьшение объема обновления достигнуто за счет того, что при обновлении загружается не полный набор сигнатур угроз, а разница между сигнатурами угроз на компьютере пользователя, и на сервере обновления
Откат обновления антивирусных баз
Откат обновления антивирусных баз необходим в двух случаях. Во-первых, если новые базы и обновления сканирующего ядра вызывают сбои в работе Антивируса Касперского или всей системы в целом. Во-вторых, если с новыми базами заведомо чистая программа обнаруживается как вирус.
Почтовый антивирус
Почтовый Антивирус это компонент обеспечивающий проверку входящих и исходящих сообщений электронной почты.
Почтовый Антивирус перехватывает и проверяет все письма, которые принимает или отправляет пользователь по протоколам POP3, SMTP, IMAP и NNTP. Объектами проверки Почтового Антивируса являются тело письма и вложенные в письмо файлы. Также как и Файловый Антивирус, Почтовый Антивирус для проверки письма на наличие вирусов использует сигнатурный и эвристический анализ.
Пользовательские задачи
Пользователь может дополнительно создать до четырех задач проверки по требованию, а также не более двух задач обновления.
Пользовательские задачи обновления, могут быть только задачами обновления сигнатур угроз и модулей приложения. Пользовательскую задачу отката обновлений создать нельзя.
Принципы работы программы
Антивирус Касперского для Windows Workstations - это новое программное решение, объединяющее опыт всех предыдущих разработок Лаборатории Касперского. Продукт состоит из базового модуля, который выполняет функции антивирусного сканера, и набора опциональных компонентов, обеспечивающих всю остальную функциональность продукта.
Базовый модуль устанавливается в любой конфигурации и состоит из антивирусного сканера и модуля загрузки приложений.
Компоненты антивируса являются независимыми единицами и могут быть установлены в произвольных сочетаниях. С точки зрения выполняемых функций, компоненты Антивирус Касперского для Windows Workstations обеспечивают защиту компьютера в режиме реального времени.
Проактивная защита
Проактивная защита - это средство противодействия еще не внесенным в базы вредоносным программам.
Механизм действия Проактивной Защиты опирается на анализ последовательности действий выполняемых приложениями и процессами. По каждому выполняемому действию, на основе разрешающих и запрещающих правил, принимается решение о том, является ли действие приложения опасным. Опасные действия в соответствии с настройками Проактивной защиты могут быть заблокированы или предоставлены на рассмотрение пользователю. Кроме блокирования, Проактивная защита позволяет откатить некоторые из действий приложений (например, изменение значений системного реестра, создание и изменение файлов).
Помимо анализа поведения приложений и процессов Проактивная защита контролирует исполнение VBA-макросов. В зависимости от настроек опасные VBA-макросы блокируются, или открывается всплывающее окно, запрашивающее действие у пользователя.
Компонент Проактивная защита реализован в виде четырех независимых элементов, остановка и запуск которых может выполняться отдельно:
Анализ активности приложенийКонтроль целостности приложенийМониторинг реестраПроверка VBA-макросов Для операционных систем Microsoft Windows 98/Me доступен только один элемент Проактивной защиты - Проверка VBA-макросов
Проверка по требованию
Задачи проверки по требованию используются для проверки объектов находящихся на жестких, сменных и сетевых дисках, а также в оперативной памяти компьютера. Целью таких проверок является обезвреживание вирусов и других вредоносных программ, которые каким либо образом были занесены в память компьютера (например, в то время как компоненты защиты были отключены).
Выявление вирусов, при проверке по требованию, осуществляется с помощью сигнатурного и эвристического анализа.
Системные задачи проверки по требованию не могут быть удалены или переименованы пользователем. Пользовательские задачи ограничений в настройке не имеют.
Всего существует пять системных задач проверки по требованию:
Поиск вирусов - задача шаблон предназначена для создания пользовательских задач проверки по требованиюКритические области - задача проверки оперативной памяти, объектов автозапуска, загрузочных секторов, а также наиболее критичных областей операционной системыМой компьютер - задача полной проверки компьютераОбъекты автозапуска - задача проверки системной памяти, объектов автозапуска и загрузочных секторов дисковПроверка карантина - задача проверки объектов находящихся на карантине, проводится после обновления антивирусных баз для окончательного определения статуса подозрительных объектов
Работа с инфицированными и подозрительными объектами
Во избежание потери важной информации, перед выполнением каких бы то ни было действий с зараженными объектами, будь то попытка лечения или удаление, они помещаются в специальное Резервное хранилище, откуда по необходимости могут быть извлечены. Отдельный статус подозрительных объектов - не зараженных, а лишь подозреваемых в инфицировании, предполагает выделение для них отдельного хранилища - Карантина и периодических проверок этого хранилища с целью определения окончательного статуса файлов при помощи новых наборов антивирусных баз.
Во избежание заражения инфицированными и подозрительными объектами, все помещаемые на Карантин и в Резервное хранилище файлы шифруются и, таким образом, перестают быть запускаемыми, в таком же виде объекты отправляются на исследование в Лабораторию Касперского.
Результат установки
После успешно завершенной установки на компьютере пользователя появляется папка Program Files\Kaspersky Lab\Kaspersky Ati-Virus for Windows Workstations\, - которая содержит файлы и программные модули антивируса, а также используемые файлы графической оболочки (каталог Skin) и каталог с сопутствующей документацией (Doc)
Также в процессе установки создается папка:
Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\ для Microsoft Windows 2000/XPWindows\All Users\Application Data\Kaspersky Lab\AVP6\ для Microsoft Windows 98/MEWINNT\All Users\Application Data\Kaspersky Lab\AVP6\ для Microsoft Windows NT
с подкаталогами, в которых хранятся:
файлы, помещенные в Резервное хранилище (каталог Backup)антивирусные базы (Bases)пользовательские настройки (каталог Data)служебные файлы компонента Проактивная защита (PdmHist)файлы Карантина (Quarantine)отчеты (Reports)служебные файлы компонентов продукта (Dskm)
В реестр Windows в процессе установки Антивируса Касперского для Windows Workstations вносится ветвь HKLM\SOFTWARE\KasperskyLab\.
В каталог операционной системы Windows\System32\drivers\ (или Winnt\System32\drivers\) устанавливаются драйвера:
kl1.sys - отвечает за перехват сетевого трафикаklick.sys - вспомогательный драйвер kl1.sys, обеспечивает перехват пакетов сетевого уровняklin.sys - вспомогательный драйвер kl1.sys, обеспечивает перехват пакетов транспортного уровняklop.sys - вспомогательный драйвер kl1.sys, отслеживает использование лицензионных ключей в локальной сетиklif.sys - осуществляет перехват файловых операций
Для Microsoft Windows NT-подобных операционных систем дополнительно в реестр вносятся ветви, отвечающие за параметры запуска службы Kaspersky Anti-Virus 6.0 и драйверов kl1.sys и klif.sys. Одноименные ветви создаются в HKLM\SYSTEM\CurrentControlSet\Services.
Также в реестре в список программ автозапуска добавляется ключ AVP со значением C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Workstation\avp.exe.
В список локальных служб добавляется служба Kaspersky Anti-Virus 6.0 запускаемая автоматически под системной учетной записью.
Исполняемый файл службы avp.exe с ключом -r
При запуске продукта запускается два процесса avp.exe. Один из них запущен от имени системы и отвечает службе Kaspersky Anti-Virus 6.0, второй от имени пользователя - это процесс интерфейса.
В контекстном меню файлов и папок появляется пункт Проверить на вирусы, с помощью которого можно запустить задачу проверки по требованию выбранного объекта.
В главное меню Windows в раздел Программы добавляется папка Антивирус Касперского для Windows Workstations, в которой находятся:
Ярлык для запуска продуктаЯрлык для запуска мастера установки Антивируса Касперского для Windows WorkstationsЯрлык для доступа к справочной системе Антивируса Касперского для Windows WorkstationsСсылка на лицензионное соглашениеСсылка на официальный сайт Лаборатории Касперского
На системной панели Windows появляется значок антивируса, с помощью которого пользователь может открыть графически интерфейс продукта. Значок также является индикатором состояния Антивируса Касперского для Windows Workstations.
Также надпись Антивирус Касперского 6.0 и значок продукта отображаются в правом верхнем углу экрана при запуске системы, показывая, что система находится под защитой Антивируса Касперского для Windows Workstations.
Системные задачи обновления
Обновление сигнатур угроз и модулей приложения - задача, выполняющая загрузку новых версий антивирусных баз, антиспамовых баз, списков потенциально опасных интернет ресурсов, сигнатур сетевых атак и модулей приложения с серверов обновления Лаборатории Касперского. Может выполнять копирование сигнатур угроз и модулей приложения в указанный локальный или сетевой каталог для ретрансляции обновлений в пределах локальной сети.Откат обновления - задача отката к предыдущей версии сигнатур угроз. Используется в случае, если новая версия сигнатур приводит к сбоям в работе приложения или ложным срабатываниям
Системные задачи проверки по требованию (5 задач)
Поиск вирусов - задача-шаблон, используемая для создания пользовательских задач проверки по требованиюКритические области - задача проверки системной памяти, загрузочных секторов дисков, объектов автозапуска, а также наиболее критичных областей операционной системыМой компьютер - задача полной проверки компьютераОбъекты автозапуска - задача проверки системной памяти, объектов автозапуска и загрузочных секторов дисков. Выполняется сразу после загрузки операционной системыПроверка карантина - задача проверки объектов находящихся на карантине, проводится после обновления антивирусных баз для уточнения статуса подозрительных объектов
Все системные задачи проверки по требованию выполняют одну и ту же функцию проверки объектов при помощи сигнатурного и эвристического анализа.
Технологии iChecker(tm) и iSwift(tm)
Технологии iChecker и iSwift используются для уменьшения времени проверки файлов на наличие вредоносного кода, без снижения эффективности проверки. Сокращение времени проверки достигается за счет того, что файлы, которые не изменились с момента последней проверки, в течение некоторого времени не подвергаются повторной проверке. Период времени, в который файл не будет проверяться, вычисляется по специальному алгоритму, разработанному в Лаборатории Касперского. В некотором приближении, можно говорить, что время исключения файла из проверки пропорционально времени наблюдения файла (т.е. времени между первой и последней его проверками).
Разница между технологиями iChecker и iSwift заключается в способе определения, изменялся ли данный файл с момента последней проверки или нет:
При первой проверке файла, iChecker записывает в специальную базу данных время выпуска сигнатур угроз использовавшихся при проверке и контрольную сумму проверенного файла.Технология iSwift, также использует другую базу, при создании которой используются особенности файловой системе NTFS (соответственно iSwift работает только на NT-подобных операционных системах)
Установка
Перед началом установки необходимо убедиться, что параметры операционной системы соответствуют системным требованиям Антивируса Касперского для Windows Workstations и установка производится под учетной записью обладающей правами администратора. В случае невыполнения этих условий мастер установки выдает сообщение об ошибке, и установка прерывается.
Одновременная работа Антивируса Касперского для Windows Workstations c другими антивирусами и брандмауэрами может привести к возникновению ошибок, снижению производительности или полной потере работоспособности операционной системы.
Дистрибутив продукта доступен в виде инсталляционного файла в формате Microsoft installer - например, kav6ws.ru.msi. Где "kav" - аббревиатура названия продукта Kaspersky Anti-Virus, "6" - версия, "ws" - тип систем, для которых предназначен продукт (Workstations), "ru" - язык интерфейса.
При исполнении файла kav6ws.ru.msi, запускается мастер установки приложения, и появляется окно приветствия. Для продолжения установки нужно нажать кнопку Далее. При нажатии кнопки Отмена установка будет прервана.
В случае если установка выполняется на компьютер под управлением Microsoft Windows ХР Service Pack 2 с включенным брандмауэром Windows, необходимо выбрать режим взаимодействия Антивируса Касперского для Windows Workstations с брандмауэром:
Отключить сетевой экран Microsoft Windows - при выборе этого пункта брандмауэр Windows будет автоматически отключен, и контроль всех сетевых соединений будет выполняться средствами Антивируса Касперского для Windows WorkstationsИспользовать сетевой экран Microsoft Windows - в этом режиме контроль сетевых соединений выполняется брандмауэром Windows. При этом по умолчанию компонент Анти-Хакер будет отключен
После окончания копирования файлов открывается окно с сообщением об успешном завершении установки. Далее необходимо произвести предварительную настройку установленного продукта. Для перехода к этапу предварительной настройки следует нажать кнопку Далее.
Веб-Антивирус
Компонент Веб-Антивирус обеспечивает антивирусную защиту компьютера пользователя во время работы в интернет. Веб-Антивирус состоит из двух элементов:
Проверка НТТР трафика - обеспечивает перехват, буферизацию и проверка загружаемой информации (файлов, НТML-страниц) по НТТР протоколу на наличие вирусов с помощью сигнатурного и эвристического анализаПроверка скриптов - поведенческий блокиратор. При передаче скриптов на выполнение Windows Scripting Host, элемент Проверка скриптов автоматически проверяет скрипты, принимает решение об опасности того или иного скрипта, и блокирует выполнение опасных
Инструментом для реализации функций базового
Инструментом для реализации функций базового модуля являются задачи двух типов:
Задачи проверки по требованию - служат для поиска и обнаружения вирусов на жестких, сменных и сетевых дискахЗадачи обновления - выполняют загрузку сигнатур угроз (в частности антивирусных баз) и обновление модулей приложения с серверов Лаборатории Касперского
Задачи, которые создаются при установке приложения, называются системными, и не могут быть переименованы или удалены пользователем. Созданные дополнительно задачи называются пользовательскими.
для Windows Workstations на
- Установите локально Антивирус Касперского 6. 0 для Windows Workstations на рабочую станцию. Место расположения дистрибутива и ключевого файла уточните у преподавателя.Убедитесь, что установка Антивируса Касперского 6.0 для Windows Workstations прошла успешно, а компоненты защиты автоматически запустились при старте операционной системы. Запишите в протокол лабораторной работы, какие службы добавились, и какие процессы и задачи запускаются при старте Антивируса Касперского 6.0 для Windows Workstations.Откройте интерфейс Антивируса Касперского 6.0 для Windows Workstations и ознакомьтесь с интерфейсом.В корне диска С: создайте папку test_virus и скопируйте в нее содержимое аналогичной папки с компьютера преподавателя. Убедитесь, что зараженные объекты (вирус EICAR) блокируются.Удалите содержимое папки test_virus на вашем компьютере, включите проверку архивов Файловым антивирусом и повторите копирование. Убедитесь в том, что зараженные архивы также не могут быть скопированы.Протестируйте работу Доверенной зоны. Для этого отключите проверку Сетевых дисков в Файловом антивирусе, затем внесите папку c:\test_virus в Доверенную зону и повторите копирование зараженных файлов с сетевого ресурса. Убедитесь, что копирование прошло успешно.Изучите работу Проактивной защиты. Для этого откройте соответствующее окно настроек Антивируса Касперского, нажмите Настройка в разделе Анализ активности приложений и включите отслеживание запуска браузера с параметром.Нажмите Пуск, Выполнить, в строке Открыть введите "%SystemDrive%\Program Files\Internet Explorer\IEXPLORE.EXE" www.kaspersky.ru и нажмите кнопку ОК, для имитации запуска браузера с параметром сторонним приложением. Запишите результаты в протокол лабораторной работыВключите Мониторинг системного реестра, и проверьте работу правил, отвечающих за автоматический запуск программ при загрузке операционной системы. Такой контроль позволяет заблокировать автозапуск вредоносных программ при старте системы, путем внесения соответствующего ключа в реестр.Откройте редактор реестра regedit, и найдите ветвь HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AVP6.
Попробуйте удалить ветвь и убедитесь, что это невозможно. Внесите в протокол работы полученные сообщенияОткройте и самостоятельно изучите интерфейс компонента Анти-Хакер.Протестируйте работу Системы обнаружения вторжений с помощью утилиты kltps.exe. Для продолжения лабораторной работы разбейтесь по парам. Сначала первые номера будут имитировать сетевую атаку компьютеров вторых номеров, затем атаку на компьютеры первых номеров выполнят вторые номера.Первые номера. Создайте в корне диска С:\ папку test и скопируйте в нее утилиту kltps.exe (местоположение утилиты уточните у преподавателя). В главном окне интерфейса Антивируса Касперского для Windows Workstations обратите внимание на секцию статус на панели результатов Анти-Хакера. Убедитесь, что Система обнаружения вторжений работаетВ окне настройки Анти-Хакера в секции Система обнаружения вторжений уберите отметку с пункта Включить систему обнаружения вторжений и нажмите Применить. Нажмите Пуск, Выполнить. Наберите строку C:\test\kltps.exe 192.168.0.1 80 (здесь следует указать, IP адрес компьютера второго номера Вашей пары ) в поле Открыть окна Запуск программы и нажмите ОК.Вторые номера. Убедитесь, что попытка атаки, выполненная с компьютера первого номера Вашей пары, зарегистрирована системой обнаружения вторжений на Вашем компьютере, открылось всплывающее окно с сообщением о блокировании атакиВернитесь к окну интерфейса Антивируса Касперского для Windows Workstations. Убедитесь, что счетчик заблокированных атак в блоке Статистика равен 1Поменяйтесь местами и повторите действия, начиная с п.13.Настройте задачу Обновление для обновления из источника, указанного преподавателем и запустите ее. Опишите в протоколе лабораторной работы, какие изменения произошли в папке Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases после успешного завершения задачи обновления.Выполните задачу Откат обновления антивирусных баз. Опишите в протоколе лабораторной работы, какие изменения произошли в папке Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases после успешного завершения задачи Откат обновления антивирусных баз.Создайте задачу проверки по требованию папки Program Files с включенными технологиями iChecker(tm) и iSwift(tm).
Выполните созданную задачу 3 раза подряд, каждый раз фиксируя время выполнения в таблице.Создайте пользовательскую задачу проверки по требованию папки Program Files с выключенными технологиями iChecker(tm) и iSwift(tm). Выполните созданную задачу 3 раза подряд, каждый раз фиксируя время выполнения в таблице.Проанализируйте полученные результаты. Есть ли разница? В чем она заключается? Как можно ее объяснить?Создайте на своем компьютере папку test_virus1. Скопируйте в нее по одному файлу содержимое папки test_virus (ее местоположение уточните у преподавателя), не отключая системную Файловый Антивирус. Перечислите в протоколе лабораторной работы, какие файлы удалось скопировать и объясните почему.Создайте на диске C: своего компьютера папку с названием test_virus4. Скопируйте в нее содержимое папки test_virus2, не отключая постоянную защиту. Месторасположение папки test_virus2 уточните у преподавателя. Опишите в протоколе лабораторной работы, какие изменения необходимо произвести в настройках Файлового Антивируса, для того чтобы скопировать все файлы, которые содержатся в папке test_virus2, без изменений в папку test_virus4.Создайте пользовательскую задачу проверки по требованию папки test_virus2 и запустите ее. В окне Пожалуйста, введите пароль в поле Пароль введите "1" и нажмите ОК. По окончании проверки произведите обработку обнаруженных зараженных объектов. Ознакомьтесь с отчетом выполненной задачи, содержимым карантина и резервного хранилища. Опишите, по каким признакам найденные инфицированные и подозрительные файлы помещаются в карантин и в резервное хранилище, перечислите в протоколе лабораторной работы, какие действия возможны над объектами, помещенными в карантин, и над объектами, помещенными в резервное хранилище.Экспортируйте отчет задачи проверки по требованию папки test_virus2 в файл, ознакомьтесь с получившимся файлом. Перечислите в протоколе лабораторной работы, в файлах каких форматов может быть сохранен файл отчета.Не останавливая службу Антивируса Касперского 6.0 для Windows Workstations, измените системную дату на своем компьютере на 2 года вперед.Опишите в протоколе лабораторной работы, какие изменения произойдут с Антивирусом Касперского 6.0 для Windows Workstations после изменения системной даты и истечения срока действия лицензионного ключа.