Домкрат для сисадмина
24.11.08Мой Компьютер, №13 (517), 18.08.2008
Есть много антивирусов, хороших и разных. Все они борются день и ночь с разной заразой и все обещают максимальную защиту. Но вот парадокс: чем умнее становятся хакеры и другие диггеры компьютерных подземелий, тем меньше информируют нас о происходящих событиях производители антивирусов, автоматизируя работу своих программ. В результате мы сидим, смотрим в трей и чувствуем себе себя в безопасности. А зря.Вы спросите — откуда такой пессимизм? Приведу несколько фактов.
-
В Windows XP найдено на сегодня более 100 дыр, у всех ли она обновлена?
-
Приблизительно 40% пользователей не обновляют свои браузеры (по данным статистики).
-
Дыры появляются постоянно, и чем больше приложений установлено, тем дыр больше. Так что если кто-то захочет к вам залезть — он это сделает, дело только в мозгах и времени.
На мой взгляд, наиболее эффективные способы выхода из этой ситуации:
-
Обновлять все программы.
-
Ставить антивирус.
-
Вручную, так сказать, проверять уязвимые места системы с помощью специального ПО.
Конечно, хорошо, когда в наличии все 3 способа, но ведь так бывает не всегда. Я склоняюсь к последним двум и выбрал для этого программу, совмещающую последние 2 пункта. Хочу рассказать о своем опыте по борьбе с вирусами с ее использованием.
Это антивирус Зайцева (далее avz). Так сказать, домкрат для сисадмина.
Продвинутый пользователь тоже может им воспользоваться, но с оговорками.
Вот адрес: http://z-oleg.com. Это полноценный сайт по безопасности. Не таких масштабов, как Касперский, но все же.
Главное достоинство антивируса — уникальный набор инструментов, а уж потом бесплатность и постоянно обновляющиеся базы.
Обычный пользователь удивится при открытии архива с программой. Там лежит просто экзешник и базы в отдельной папке. «Эээ, скажет он, да он не защищает в реальном времени мой компьютер!» А зачем? Ведь с этим справляются другие антивирусы. Нам же нужна бесплатность и инструменты для анализа системы, чтобы выявить ту заразу, которую не видит, скажем, Нод или тот же Касперский… да кто угодно!
А частенько бывают случаи, когда нет возможности ставить на машину реалтаймовые антивирусы (например, из-за трафика, или нет денег, да мало ли). Тогда просто копируешь на флэшку avz и идешь к страждущей машине. Например, мне приходится обслуживать платежные терминалы, и там, кроме avz, ничего не применишь (GPRS дорогой).
Сначала расскажу о наиболее востребованных функциях. Для начала можно просто выделить нужные диски и нажать кнопку пуск, avz проверит систему на известные вирусы и в конце выдаст советы по безопасности. Лог значительно более информативен, чем у других антивирусов.
После проверки достаточно нажать пиктограммку очков возле лога и удалить вирусы и все подозрительное (в данном случае удаляются подозрительные файлы и ссылки на них в системе).
Можно менять уровень эвристики и другие параметры во вкладке «Параметры поиска».
Попутно упомяну такую вещь, как AVZGuard. При ее включении avz блокирует запуск всех программ, которые не входят в список доверенных, это может пригодиться при удалении некоторых особо непокорных вирусов, которые заново восстанавливают свои утраченные файлы. То есть включаешь функцию, удаляешь вирусы и, не выключая ее, перегружаешься. Красота!
Если ничего не найдено — не отчаивайтесь :-). Ваши надежды оправдает множество других интересных инструментов.
Первое, что я делаю, когда ничего не находится, — захожу в меню «СервисМенеджер автозапуска» (с ним мало что может сравниться, от него ничто не укроется), внимательно просматриваю все ключи и помеченные черным исследую с пристрастием — что, где, откуда.
Как правило, после просмотра всех ключей на долго не проверяемом компьютере, да еще с доступом в Интернет, да еще с необновленным браузером, да и еще у секретарши-геймерши… у-у-у-у!!!
В общем, вы наверняка найдете exe или dll с непонятными названиями без описания. Для начала их нужно временно отключить, перегрузить компьютер и посмотреть в течение нескольких дней, как он себя поведет. Тут нужно полагаться на интуицию и логику, не всегда можно точно сказать — это драйвер какого-нибудь нового устройства или произведение братьев наших заблудших — хакеров.
Если все устройства и приложения работают, то нужно удалить физически файлы подозрительной программы (со включенным AVZGuard), перезагрузиться, проверить, не появились ли они снова. Затем можно немного выпить кофе и пофлиртовать с той же секретаршей.
Кстати, есть еще одна вещь, которую я делаю на всех компьютерах — это тотальное отключение автозапуска. На большинстве машин он не нужен, зато вирусы — черви, распространяющиеся через флэшки, — ничего не смогут сделать. Для того чтобы это сделать, достаточно в реестре прописать один ключ. Вот он: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
«NoDriveTypeAutoRun»=dword:000000ff
Неудобства минимальные, а спокойствия больше.
Но отключение автозапуска не панацея. Вирусы вполне могут привязаться к запуску какого-нибудь приложения и после пуска того начинать свои поползновения, например — рассылать спам.
(Для того, чтобы следить за трафиком, я установил у себя программу DuTraffic, http://safhouse.narod.ru. В трее висит значок, и ты видишь, передает компьютер в сеть что-то или принимает. Например, если ничего не делаешь и не качаешь, а квадратик занят, и так часто происходит, то нужно насторожиться.
Лично мне эта штука помогает, да и еще все подсчитывает, хоть это, может быть, прием для параноиков. Впрочем, когда-то мне один менеджер по персоналу сказал, что сисадмины все параноики. Ну, вообще-то так и надо, если хочешь выжить в сети :-).
Итак, если DuTraffic показывает какую-то активность, когда ее быть не должно, тогда мы запускаем инструмент avz «Открытые порты TCP/UDP» через меню «Сервис». Тут все просто: он показывает, какие процессы общаются с сетью, через какие порты, пути к файлам этих процессов. В общем, технология выявления почти та же, что и при поиске вирусов в автозапуске.
Но что делать, если вирус не лезет в сеть, а просто шкодит, так сказать, локально? Ничего, нам поможет «Диспетчер процессов», тоже в меню «Сервис».
Это усовершенствованный аналог диспетчера Windows. Там видно все — что это за процесс, его описание, к каким библиотекам обращается, проверен по контрольной сумме и каталогу безопасности Микрософт или нет (зеленый, если проверен).
Смотрим, опять же, черные строчки. Если что не так, то есть два варианта — снять дамп (как известно, есть продвинутые вирусы, которые существуют только в оперативной памяти и после перезагрузки исчезают, так что выявить их можно только дампом) или отправить в карантин, а затем в лабораторию. Особенно хорошо диспетчер работает с драйвером расширенного мониторинга процессов.
Для поиска подозрительных файлов есть еще инструмент «Ревизор», его полезно применять заранее. Делаем снимок контрольных сумм файлов чистой системы, а затем, в случае заражения, просто сравниваем чистый снимок с текущим состоянием. Это может помочь выявить как простой вирус, так и скрытый руткит с его файлами.
Облегчить нам работу могут несколько маленьких полезных инструментов, таких как «Поиск Cookie по данным», «Поиск данных на диске», «Поиск данных в реестре» (меню «Сервис»). Это очень удобно, не надо никуда лазить, более того, они обладают некоторыми опциями, которых нет в средствах Windows.
Но все-таки что делать, если вирус успел сделать свое черное дело? Что ж, для подобных ситуаций есть такие инструменты avz, как «Резервное копирование» и «Восстановление настроек системы». Они находятся в меню «Файл» и не связаны между собой.
«Резервное копирование» просто создает файл реестра, который в случае необходимости можно выполнить и возвратить настройки одного из компонентов системы. К сожалению, список компонентов маловат. Если его использование не помогло, но вы обладаете навыками программирования, то можно создать скрипт для удаления трояна с помощью редактора скриптов (скачивается отдельно). Этот редактор позволяет автоматизировать работу avz. Есть, кстати, интересная возможность составить скрипт. Для этого нам нужно создать отчет в виде html с помощью утилиты «Исследование системы», в конце файла будет окошко, в которое записываются команды при нажатии кнопки «удалить» рядом с подозрительным файлом. Чем-то напоминает функцию «запись макроса» в MS Office .
Если же вы не обнаружили в вашем компьютере ничего подозрительного (что в наше время перестает быть нормой), лучше выполнить советы по безопасности, которые avz выдает после проверки — ну просто чтоб отшлифовать! И если у вас The Bat, скачайте и поставьте avz плагин. Мелочь, а приятно.
И на сладкое — «Мастер поиска и устранения проблем», простая, но очень полезная утилита для анализа системы, выдает предложения по оптимизации. Тут же их можно отметить и выполнить. Есть, конечно, более совершенные утилиты такого плана, но все ли они бесплатны?
Еще раз хочу подчеркнуть, что удалять или отключать подозрительные программы можно только, если полностью уверен в том, что делаешь — например, частенько avz ругается на легальные программы, будто те перехватили функции (может обругать ПО блютуза), так что нужно проверять, есть ли такая программа в установленных, для админа это не составляет трудностей.
И еще, на сайте есть интересная утилита для имитации уязвимостей и мониторинга атак, запускаешь ее и оставляешь вести лог. Если она бьет тревогу за файрволом — значит, ваш файрвол никуда не годится. Правда, она давно не обновлялась.
Во время написания статьи я проанализировал автозапуск и выцепил какую-то живность неизвестного происхождения. А на бухгалтерском компьютере удаляю невидимую заразу раз в 2 месяца — благо, когда она появляется, он начинает тормозить (вот оно, достоинство старых компьютеров :-).
Админы и юзеры всех стран, не расслабляйтесь!
ISM
Web-droid редактор
Не пропустите интересное!
Підписывайтесь на наши каналы и читайте анонсы хай-тек новостей, тестов и обзоров в удобном формате!
Обзор павер банка Baseus на 20 000 мАч с мощностью 22 Вт
Почти сразу после теста двух павербанок Baseus на 20 000 мАч мощностью 20 Вт, мы получили доступ к модели 22 Вт. Различий больше чем кажется
Microsoft прекращает производство и разработку устройств виртуальной реальности
Microsoft дополненная реальностьMicrosoft объявила о завершении производства своей AR-гарнитуры HoloLens 2, что фактически означает конец этой линейки продуктов
Sony и Raspberry Pi представили модуль камеры обрабатывающий изображение с помощью ИИ
Sony искусственный интеллект камераRaspberry Pi и Sony представили новый модуль камеры Raspberry Pi AI, способный выполнять задачи с искусственным интеллектом (AI) без необходимости в дополнительных графических процессорах