Защита вашего компьютера

Яремчук Сергей Акимович

Рис. 2.26. Интерфейс Avast! Home Edition

Большое количество тем можно найти на сайте проекта. Чтобы их подключить к Avast! Home Edition, следует скопировать полученный файл в каталог C:\Program Files\Alwil Software\Avast4\DATA\Skin и дважды щелкнуть на архиве – тема станет доступна в меню Выбрать обложку. Некоторые темы не локализованы.

В Avast! Home Edition

обновления разделены на две части: обновление модулей программы и антивирусных баз. Для каждой можно указать свой режим обновления. Для этого достаточно перейти в Настройки программы, выбрать пункт Обновление (основной) и указать нужный режим обновления в каждой области:

• Антивирусная база данных – для обновления антивирусных баз;

• Программа – режим обновления модулей программ.

В обеих областях доступны три варианта обновления:

• Выполнять обновления автоматически – при наличии последних обновлений компоненты обновляются автоматически (без запроса пользователя);

• Уведомлять о возможности выполнения обновлений – проверяется наличие новых баз и модулей программы, если таковые обнаруживаются, пользователю выдается запрос;

• Выполнять обновления вручную – пользователь сам решает, когда обновлять антивирус.

По умолчанию настройки соединения с Интернетом берутся в Internet Explorer. Параметры подключения к Интернету настраиваются в меню Обновление (Подключение).

Выбор объектов проверки производится с помощью кнопок. Доступны три кнопки. Одна отвечает за выбор всех разделов диска, вторая поможет выбрать сменные носители, третья предназначена для отбора конкретных каталогов.

После того как задание сформулировано, нажмите кнопку Запустить.

Совет

Быстро проверить каталог или файл можно, выбрав в контекстном меню пункт Сканировать.

Некоторые настройки можно произвести из контекстного меню, вызываемого щелчком на значке. Отсюда можно настроить сканер доступа, приостановить работу резидентных провайдеров, обновить базу данных, настроить параметры резидентной защиты, установить или изменить пароль, защищающий доступ к антивирусу.

Примечание

Резидентными провайдерами в антивирусе Avast! Home Edition называются модули, отвечающие за защиту специфических подсистем компьютера: файловая подсистема, электронная почта, веб, сети мгновенного обмена сообщений, сетевой экран и др.

2.4. Программы для поиска руткитов

Обнаружить руткит в системе крайне сложно. Пользователь может не догадываться о его наличии, хотя сигнатуры самых известных руткитов занесены в антивирусные базы и каждый антивирус может найти эти приложения.

Ознакомиться со специализированными утилитами, предназначенными для поиска руткитов, и иметь их под рукой полезно, тем более что они просты в использовании.

Руткиты

некоторых типов можно обнаружить вручную. Достаточно поместить систему защиты руткита в обстановку, где она не будет работать. Например, загрузившись в безопасном режиме с загрузочного WinPE или с другой системы, можно сравнить результат выполнения команд dir, s, b, ah с помощью утилиты WinDiff (http://keithdevens.com/files/windiff/windiff.zip) или Compare It! (http://www.grigsoft.com/). Найденные расхождения могут свидетельствовать о проблеме.

Такой подход приемлем не всегда, поэтому можно воспользоваться специальными утилитами, которые сравнивают ответы процессов на разных уровнях во время работы системы. Примером может служить самая простая в использовании коммерческая разработка компании Greatis Software – UnHackMe (http://www.unhackme.com/) (рис. 2.27), умеющая останавливать подозрительные процессы и полностью удалять их с диска.

Рис. 2.27. Окно утилиты для поиска руткитов UnHackMe

Для поиска запрятанных руткитов достаточно нажать кнопку Check Me Now!– начнется проверка всех запущенных процессов. Если в системе нет отклонений, на экран будет выведено соответствующее сообщение. Чтобы попрактиковаться в удалении руткитов, можно щелкнуть на кнопке Demo – вам предложат поучаствовать в удалении руткита HackerDefender. Программа не бесплатна и после установки будет работать в течение 30 дней, после чего нужно будет ее удалить или заплатить. В последних версиях добавился резидентный монитор, защищающий систему в реальном времени, и RegRun Reanimator, позволяющий контролировать объекты автозапуска.

Бесплатная утилита RootkitRevealer, разработанная компанией Sysinternals (сейчас – собственность Microsoft: http://www.microsoft.com/technet/sysinternals/default.mspx), также проста в использовании и может работать в графической среде или запускаться из командной строки. Для проверки системы необходимо только распаковать архив, запустить исполняемый файл, убедиться, что в меню Options установлены флажки Hide NTFS Metadata Files и Scan Registry, после чего закрыть все приложения, нажать кнопку Scan и некоторое время не работать на компьютере.

Утилита RootKit Hook Analyzer (http://www.resplendence.com/) позволяет обнаружить руткиты, перехватывающие системные вызовы. Программа бесплатна: для проверки системы достаточно установить ее и нажать кнопку Analyse. По окончании на экране появятся результаты проверки. Процессы, вмешивающиеся в работу других сервисов, будут помечены красным цветом, а в столбце Hooked на вкладке Hooks будет отображаться YES (рис. 2.28).