главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Выпуск тестовых сборок Windows 10 приостановлен
  • В Windows 10 Mobile теперь тоже можно читать EPUB в браузере
  • Знакомый ИТ-профессионал заявил, что вам незачем запускать сканирование на ПК, потому что большинство антивирусов проверяют систему в режиме реального времени. Так ли это?

    Несмотря на то, что антивирусы действительно сканируют большинство файлов в известных условиях, определяемых последними установленными сигнатурами, они по-прежнему не «сканируют» файловую систему в реальном времени. Файловая система эффективно отслеживается на попытки доступа и файловые манипуляции, совершаемые таким способом, который антивирусная программа воспринимает как угрозу.

    Итак, давайте проанализируем имеющиеся факты. Я присутствовал на нескольких конференциях по информационной безопасности и изучил материалы по техникам взлома и защиты компьютера от несанкционированных вторжений в большем, чем необходимо объёме. Несмотря на то, что по данной проблеме ещё не выработали единую основополагающую доктрину, большинство знакомых мне ИТ-профессионалов, владеющих предметом на достаточно компетентном уровне, согласились с тем, что ни один антивирусный или антиспамовый продукт не способен обнаружить все угрозы.

    Например, я не собираюсь ни критиковать Symantec специально, ни приводить типичный пример, но данная ситуация имела место быть. База сигнатур антивируса пополнена 4 часа назад. На сервере установлены самые важные из последних обновлений. И, тем не менее, на данном сервере наблюдался чрезвычайно высокий объём использованной памяти. Только после тщательного анализа данных, полученных при помощи Process Explorer фирмы Systinternals, PsList (также от Sysinternals) Netstat, Диспетчера задач, сеанса удалённого UNC-соединения и удалённого сканирования портов, я смог обнаружить попытку вторжения.

    Сервер был пропатчен только через 16 часов после публикации информации о новой уязвимости. Через эту дырку злоумышленником был осуществлён процесс, известный как «атака через повышение привилегий» («elevation of privilege»). После чего на сервер была установлена хакерская утилита и развёрнут руткит.

    Руткит скрывает ключи реестра, процессы и файлы. Его удалось удалить при помощи известных инструментов без особого труда после того, как он был обнаружен.

    Однако другие проблемы остались нерешёнными (о чём свидетельствовали даты изменения файлов и результаты проверки резервов). Проблемы были вызваны появлением другого, вцепившегося в машину трояна (который антивирус вроде бы обнаружил и удалил). Здесь и начинается самое интересное. На самом деле троян не был удалён. В том, что журналы не были достаточно тщательно исследованы для подтверждения успеха попытки удаления вредоносного файла, был виноват человек. Троян не соответствовал итерации, отображённой в антивирусном пакете. Поскольку сервер проверялся файловым монитором (filemon), программой psexplorer для наблюдения за потоками и Netstat, оригинальная инфекция была переименована.

    Копия журнала была анонимно отправлена производителю антивируса, и спустя несколько часов, вышло срочное обновление, позволяющее обнаружить атаку при сканировании в режиме реального времени. Производитель заявил, что это была та же итерация известного вируса, но программист из конкурирующей организации сослался на различия в мутации.

    В связи с тем, что это уже произошло, другая система была заражена, и для мониторинга был задействован тот же процесс. Сканер реального времени сработал до выпуска срочного обновления, и файл был успешно помещён на карантин.

    Очевидно, что производители антивирусов делают всё от них зависящее для своевременного обновления документации по ходу поступления новых данных, но решение имеет исключительный характер и, как правило, публикуется быстрее. В частности, именно поэтому производители принимают анонимные файлы — чтобы хоть как-то сдерживать вирусы.

    По моему мнению, антивирусное сканирование в режиме реального времени не способны обнаружить все угрозы. Честно говоря, запланированные проверки тоже могут упустить тот или иной вирус. Однако если у файла имеются симптомы известного вируса, в нём могут содержаться скрытые от сканера реального времени код или функциональность.

    Поэтому мой ответ на вопрос — ДА, в целях надёжной защиты от вирусов, троянов, шпионского и вредоносного программного обеспечения, я рекомендую устанавливать на ПК сканеры-планировщики.

    Автор: Brad Bird
    Перевод: figu


    Оцените статью:
    Голосов 2

    Материалы по теме:
  • Пять правил антивирусной защиты Windows
  • Десять способов обнаружения вредоносного ПО
  • ThreatFire 3.0.14 - программа для обеспечения защиты компьютера
  • Kaspersky Anti Virus 7.0.0.124
  • Dr.Web 4.44.2 - Антивирус


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет десять плюс десять?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+