"Шпионские штучки" и устройства для защиты объектов и информации
"Шпионские штучки" и устройства для защиты объектов и информации читать книгу онлайн
В настоящем справочном пособии представлены материалы о промышленных образцах специальной техники отечественного и зарубежною производства, предназначенной для защиты информации.
В доступной форме приведены сведения о методах завиты и контроля информации при помощи технических средств.
Приведены более 100 принципиальных схем устройств защиты информации и объектов, описана логика и принципы действия этих устройств, даны рекомендации по монтажу и настройке. Рассмотрены методы и средства защиты информации пользователей персональных компьютеров от несанкционированного доступа. Даны краткие описания и рекомендации по использованию программных продуктов и систем ограниченного доступа.
Книга предназначена для широкого круга читателей, подготовленных радиолюбителей, желающих применить свои знания в области защиты объектов и информации, специалистов, занимающихся вопросами обеспечения защиты информации.
Представляет интерес для ознакомления руководителей государственных и других организаций, заинтересованных в защите коммерческой информации.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
Очень редко неисполняемые модули (текстовые файлы или файлы данных) также могут детектироваться, как CRYPT.Virus. Т. к. если рассматривать эти файлы, как программы, содержащие ассемблерные инструкции, то иногда в потоке совершенно бестолковых и хаотичных команд вдруг может получиться логически работоспособный, с точки зрения процессора, "расшифровщик", который якобы что-то "расшифровывает", но, естественно, ничего работоспособного произвести не может. Но в данном случае режим "параноика" эвристического анализатора зафиксирует наличие логического декриптора в таком файле и выведет сообщение о подозрении на CRYPT.Virus (рис. П4 2).
Рис. П4.2. Сообщение о подозрении на CRYPT Virus
Также в режиме "параноика" Dr Web дополнительно проверяет файлы на подозрительное время их создания. Некоторые вирусы при заражении файлов устанавливают время их создания на несуществующие значения как признак или идентификатор зараженности данных файлов. Например, для зараженных файлов секунды устанавливаются в значение 62 или их год создания может увеличиться аж на 100! лет.
Рис. П4.3. Сообщение о странном времени создания файлов
В режиме эвристического анализа возможны ЛОЖНЫЕ СРАБАТЫВАНИЯ! Причем процент ложных срабатываний увеличивается в соответствии с повышением "чувствительности" анализатора. Особенно высок процент ложных срабатываний для "параноического" режима работы. В настоящее время, для данной версии, ложные срабатывания обнаружены на следующих файлах (для минимального уровня эвристического анализатора):
MIRROR.COM, Central Point Software,
RK.COM, А.Страхов Academy Soft,
RCVFAX.COM, ZyXEL Communications Corp.,
MVT.COM, Martin Kupchs,
BOOT_B.EXE, Scott A. Numbers,
SNIPPER.COM, Ziff Communications Co.,
KILESAVE.EXE, Symantec…
Примечание: Данный режим эффективен при тестировании программного обеспечения, появившегося у вас впервые. Необходимо отнестись с осторожностью к программам, которые вы видите в первый раз и на которые эвристический анализатор программы Dr. Web среагировал, как возможно инфицированные.
Время тестирования объектов на указанных устройствах в данном режиме может быть больше в 3 раза, чем время тестирования без режима эвристического анализа. Не стоит впадать в панику, если при тестировании файлов с использованием эвристического анализатора, вы получите сообщение о возможном заражении 1–2 файлов. Как правило, ложные срабатывания эвристического анализатора возникают при сканировании программ, использующих в своей работе операции с файлами (открытие файлов, запись в них), особенно если данные программы являются резидентными.
Режим /U (Unpack)
Позволяет тестировать файлы, упакованные утилитами LZEXE, DLET, PKLITE, ЕХЕРАСК, СОМРАСК, CryptCOM, а также вакцинированные антивирусом CPAV. С помощью данного режима можно восстановить упакованные файлы, если задать режим / UW (Unpack and rcWrite). Необходимо отметить, что, как правило, режим / UW необходим только в экстренных случаях, например, при подозрении на нахождение неизвестного программе Dr. Web вируса "под упаковщиком" в определенном файле. В данном случае можно произвести восстановление данного файла в оригинальное состояние с помощью режима / UW с целью дальнейшего самостоятельного изучения этого объекта на предмет инфицированности. Если же вы не сильны в системном программировании, то вам необходимо забыть о существовании ключа "W", т. к. для обычного тестирования файлов достаточно указать режим /U.
В данном режиме /U Dr. Web производит восстановление, или распаковывание упакованного файла во временный файл, который после этого и подвергается тестированию. После тестирования, если был установлен режим /UW, этот временный файл будет переписан, замещая исходный, и таким образом исходный упакованный файл станет распакованным (или вакцинированный девакцинированным).
Аналогичная замена на распакованный (девакцинированный) файл происходит также при лечении упакованных (вакцинированных) файлов.
Временный файл, предназначенный для распакованного файла, создается на том устройстве, где находится программа Dr. Web, но можно задать для этих целей любое устройство или диск, например /UWC: или /UND:, где С: и D; — имена дисков, на которых будут создаваться временные файлы.
При задании ключа /UN (Unpack and don't print the Name of the compression program) на экран и в файл REPORT.WEB не выводится информация о названии программ, с помощью которых упакованы тестируемые файлы. В данном случае файлы распаковываются и проверяются на наличие вирусов так же, как и при задании ключа /U, но названия утилит-компрессоров игнорируются для лучшего восприятия и поиска необходимой информации на экране и в файле-отчете.
Примечание: диск, используемый для создания временных файлов, должен иметь необходимое свободное пространство. Рекомендуется в качестве устройства для распаковки использовать виртуальный RAM-диск, т. к. скорость работы Dr. Web в этом случае будет намного выше, чем при использовании в качестве устройства для распаковки логического диска "винчестера".
* * *
При использовании программы Dr. Web в пакетных (ВАТ) файлах для тестирования флоппи-дисков может быть необходим режим /N (check only oNe floppy and don't ask another diskette for checking) — тестирование одного флоппи-диска без вопроса о замене дискеты.
Режим /P
В режиме /Р (Print) происходит запись протокола работы Dr. Web в файл, указанный сразу за ключом /Р. Если же имя файла-отчета не указано, то протокол работы будет записываться в файл REPORT.WEB, который находится или будет создан в том же каталоге, где находится программа WEB.EXE. Если введенный за ключом /Р файл (если он указан) пли файл REPORT.WEB уже существует, то вся дальнейшая информация будет дописываться в конец файла-отчета.
Режим /О
Режим /О (Ok) характерен тем. что для всех файлов, в которых во время тестирования не найден вирусный код, будет выведено сообщение "Ok". Например, "C: NCNC.EXE — Ok".
Режим /Z
Режим /Z предоставляет возможность взаимодействия программы Dr. Web и программно-аппаратного комплекса "Sheriff", если последний установлен на компьютере пользователя. В качестве параметра необходимо поставить пять первых цифр серийного номера платы "Sheriff".
Режим /В
В режиме /В (Black and white) все сообщения программы Dr.Web будут выведены и режиме монохромного (черно-белого) монитора. Dr. Web самостоятельно не определяет тип монитора при запуске, поэтому если тестирование дисков производится на компьютере, имеющем монохромный монитор, желательно включить данный режим. При включенном режиме /В все сообщения и на цветном мониторе будут представлены в черно-белом формате.
Режим /L
Режим /L (Language) позволяет выводить все сообщения Dr. Web на другом языке. Описываемая версия поддерживает английский язык.
Режим /Н
При включении режима /Н (High memory) производится дополнительное тестирование верхних адресов памяти (640КЬ — 1088Kb) для выявления резидентных вирусов в данной области. Этот режим актуален, если на Вашем компьютере существует возможность загрузки программ в верхнюю память, выше 640Kb в область ПЗУ (Upper Memory Blocks — UMB и High Memory Area — НМА).