Текст книги "Защита вашего компьютера"
Автор книги: Сергей Яремчук
Жанр: Программы, Компьютеры
сообщить о неприемлемом содержимом
Текущая страница: 7 (всего у книги 20 страниц) [доступный отрывок для чтения: 7 страниц]
3.3. Часовой Scotty
Этой простой программой я пользуюсь уже пятый год, начиная с версии 6.0. Она называется WinPatrol (http://www.winpatrol.com/). На момент написания книги актуальной является 11-я версия, которая работает в системах Windows 98, ME, 2000, NT и XP. Ее можно использовать в Windows 95. Однако тогда необходимо предварительно ознакомиться с инструкциями по адресу http://www.winpatrol.com/win95.html. Программа распространяется свободно, но за плату можно получить доступ к дополнительным функциям WinPatrol PLUS и к сетевой базе данных, цель которой – помочь пользователям разобраться в списке незнакомых названий процессов (например, надпись service.exe в таблице процессов ничего не скажет большинству пользователей). При активизации PLUS изменение параметров будет контролироваться в реальном времени. Локализованную версию можно скачать по адресу http://www.winpatrol.com/setupru.exe.
После установки WinPatrol создает снимок критических системных ресурсов и предупреждает пользователя в случае любых изменений. Все просто, но эффективно. В области уведомлений появляется значок с изображением собаки. Этот Scotty будет следить за всем, что происходит на компьютере, узнавать о саморазмножающихся вирусах, Adware, Spyware, троянах и Cookies. WinPatrol позволяет подтверждать установку любых новых программ. С этой программой мне удалось пережить не одну эпидемию, и однажды после очередной атаки Scotty предупредил, что в системе появился новый сервис. Так я познакомился с I-Worm/Netsky.B.
В большинстве случаев после установки WinPatrol готов к работе и будет беспокоить пользователя только в случае обнаружения проблемы.
Двойным щелчком на значке в области уведомлений вызовите программу (рис. 3.7).
Рис. 3.7. Окно программы WinPatrol
Окно программы содержит несколько вкладок. Перейдя на вкладку Автозагрузка, вы сможете просмотреть список всех приложений, запускаемых при загрузке операционной системы, и при желании отредактировать его, то есть остановить, включить или удалить из него любую программу. Щелкнув дважды на выбранной позиции, вы получите информацию о ней (название, версию программы, параметр реестра и пр.). Единый отчет обо всех программах выводится при выборе пункта Полный отчет в контекстном меню. При первом запуске WinPatrol просматривает список автоматически запускающихся программ и при его изменении предупреждает об этом пользователя.
Перейдя на вкладку Работающие программы, вы получите информацию о запущенных на данный момент программах и задачах. Нажатие кнопки Завершить приведет к остановке выбранной задачи. После двойного щелчка на выбранной задаче отобразится более подробная информация. С помощью кнопок PLUS инфо (для платной PLUS-версии) или Информация можно узнать все о неизвестном процессе. В последнем случае ссылка приведет на сайт проекта http://www.winpatrol.com/stats.html, где дана информация только по 350 наиболее известным утилитам.
Вкладка Службы похожа на описанную выше. Здесь осуществляется контроль над запущенными сервисами, то есть можно отключить или временно остановить запущенные сервисы и получить информацию о них. Чтобы не искать подозрительные программы в большом списке, можно установить флажок Отобрать ‘не-Майкрософт’, убрав сервисы, принадлежащие операционной системе.
Вкладка Задания содержит информацию о программах, использующихся в Планировщике задач Windows.
Надстройки браузера – полезная функция, позволяющая бороться со шпионскими и другими вредными программами, которые используют для запуска объекты помощника браузера. Здесь можно узнать об имеющихся в системе объектах (название, производитель, время появления), а при появлении нового объекта выдается запрос на его установку. Есть возможность удалить подозрительные объекты помощника браузера.
Внимание!
Объекты помощника браузера запускаются каждый раз вместе с Internet Explorer (который является неотделимой частью системы) даже в случае просто открытия папки на локальном компьютере, поэтому с их помощью можно следить за пользователем, что применяется в программах-шпионах.
Появление новых Cookies, отклонение, управление и просмотр информации, записанной в Cookies, – все это отображается на вкладке Фильтры куки (рис. 3.8).
Рис. 3.8. Вкладка Фильтры куки
Вы можете составить правила фильтрации для доверенных Cookies и таких, которые всегда должны удаляться. Для этого выберите текст (например, адрес сайта, с которого получены Cookies), введите эту информацию в соответствующее поле и нажмите кнопку Добавить.
Более подробную информацию можно получить, нажав кнопку Показать куки. Подозрительные или ненужные Cookies удаляются нажатием кнопки Удалить Невыбранные (будут удалены неотмеченные) или Удалить Выбранное (удалятся выбранные Cookies).
Для удобства расширения файлов в Windows соотносятся с определенными приложениями. Пользователю достаточно дважды щелкнуть на значке файла – запустится ассоциированная с этим расширением программа. Вкладка Ассоциации дает возможность просматривать, контролировать и восстанавливать измененную ассоциацию приложений с расширениями файлов. Если программа или пользователь попробует изменить соответствие, то WinPatrol обнаружит это и выдаст запрос на подтверждение действия.
Рассмотрим еще одну вкладку – Hidden Files. После установки WinPatrol проверяет файлы, имеющие атрибут скрытый и находящиеся в системной области, и отображает их список на данной вкладке, указывая имя файла, путь, время обнаружения, время последнего изменения и его тип. При обнаружении новых файлов, имеющих такой же атрибут, либо изменений, произошедших с контролируемыми файлами, будет выдано предупреждение. Выбрав файл и нажав кнопку Unhide, можно снять этот атрибут.
Изменение любого из вышеописанных параметров заставит Scotty реагировать, а пользователь будет предупрежден. Таким способом можно блокировать большую часть вредных программ, так как каждая, чтобы иметь возможность запускаться, попытается изменить один из параметров, контролируемых WinPatrol. Обратите внимание на значок Монитор, расположенный в правом верхнем углу на каждой вкладке. Щелкнув на нем, с помощью ползунка можно изменить время, через которое будет контролироваться выбранный параметр. Выбор значения 0 означает отключение контроля выбранного элемента.
В новой версии появилась возможность запуска программы с задержкой. Для этого следует перейти на вкладку Delayed Start, где, нажав кнопку Добавить, указать на исполняемый файл, а затем нажатием кнопки Delay Options установить время задержки и другие условия (например, запуск в свернутом виде).
Следующая вкладка – Настройки. В области WinPatrol отображаются установки самой программы: автоматическая загрузка вместе с Windows, подтверждение при закрытии, проигрывание звуков, просмотр истории действий с возможностью отката, экспорт установок и пр. Параметры, расположенные в верхней части вкладки, относятся к безопасности. Так, щелчок на кнопке Определять изменения домашней и поисковой страниц браузера позволит отслеживать все попытки их скрытой замены. Многие пользователи входят в Интернет щелчком на значке Internet Explorer, и по умолчанию открывается какая-либо страница. Подставив сюда определенные данные, можно накручивать счетчик на соответствующем сайте. Подмена параметров домашней страницы является одним из излюбленных приемов злоумышленников.
Параметр Предупреждать меня, если будут сделаны изменения в файле сайтов позволяет контролировать либо полностью блокировать изменение файла hosts (рис. 3.9).
Рис. 3.9. WinPatrol обнаружил попытку изменения файла hosts
Компьютеры, подключенные к Интернету, имеют IP-адреса, но пользователю проще запомнить название узла вида mail.ru, чем набор из 12 цифр. Чтобы это было возможным, существует доменная служба имен (DNS – Domain Name Service). Когда пользователь вводит имя узла, компьютер обращается к одному из таких сервисов и получает по имени его IP-адрес. На каждом компьютере есть также специальный файл hosts, который расположен в каталоге C:WINDOWSsystem32driversetc. Сюда пользователь может вносить необходимые узлы и соответствующие им IP-адреса. Это ускорит загрузку страниц и уменьшит зависимость от DNS-серверов. DNS-трафик небольшой, но если, например, для выхода в Интернет вы используете мобильный телефон с GPRS, то он может быть ощутимым. Злоумышленники также неравнодушны к файлу hosts, так как, введя неправильный адрес, можно перенаправлять пользователя на другой узел для накрутки счетчика, кражи личной информации или блокирования обновления антивирусных баз. Если появится сообщение о попытке изменения файла hosts (если вы сами его не изменяли), то в большинстве случаев следует нажать кнопку Удалить изменения. С помощью кнопок Показать новый файл и Показать старый файл можно сравнить состояния файла до и после внесения изменений. Чтобы принять изменения, нажмите одноименную кнопку. Снять контроль файла hosts можно, установив флажок Отключить проверку этого файла.
3.4. Всесторонний контроль RegRun
Еще одно средство защиты компьютера от неизвестных вирусов, троянцев, шпионских и рекламных программ – RegRun Security Suite, домашняя страница проекта – http://www.greatis.com/. Приложение совместимо со всеми версиями Windows. В настоящее время доступны четыре варианта RegRun:
• Standard – для обычных пользователей, легко управляется и обеспечивает обнаружение и удаление опасных элементов;
• Pro – имеет дополнительные возможности по работе с системным реестром, позволяет быстро оптимизировать системные параметры и обеспечивает надежную защиту;
• Gold – предназначен для обеспечения максимальной защиты, имеет средства восстановления, анализа сценариев, средства для поиска троянцев, оптимизации реестра, анализатор автозагрузки;
• Platinum – кроме возможностей версии Gold включает средства анализа загрузки Windows и поиска руткитов.
Отдельно по ссылке http://www.greatis.com/regrunrus.exe доступен русификатор интерфейса программы. На сайте http://www.ruhelp.narod.ru/ имеется неофициальный перевод файла помощи, упрощающий знакомство с программой. Ознакомимся с самым простым вариантом – Standart. Продвинутые версии обеспечивают лучшую защиту, однако разобраться с некоторыми вопросами, задаваемыми программой, сможет не каждый пользователь.
Установка любого варианта RegRun стандартна. По окончании инсталляции на экране появится окно приветствия. Прежде чем запускать программу, лучше установить русификатор, запустив исполняемый файл и указав каталог, в котором установлен RegRun. Если при установке использовался путь, предлагаемый программой по умолчанию, то следует все время нажимать Next.
Для запуска RegRun выполните команду Пуск → Все программы → RegRun Security Suite, после чего выберите пункт RegRun Control Center. Появится окно приветствия. Выбрав в нем пункт Проверить настройки, можно просмотреть настройки, установленные по умолчанию. Нажатие кнопки Быстрый обзор покажет небольшую презентацию, поясняющую принцип работы RegRun. Щелчок на кнопке Запуск RegRun сначала позволит настроить необходимые параметры, а затем в окне Завершение установки RegRun, перемещаясь по вкладкам, вы сможете включить защиту системных файлов, обновить базу приложений и проверить систему на наличие вирусов. В версии Pro и старше здесь присутствует еще несколько пунктов, позволяющих создать резервную копию, восстановить реестр, включить мониторинг изменения реестра и др. Если в процессе проверки будут найдены подозрительные файлы, пользователь получает предупреждающее сообщение (рис. 3.10).
Рис. 3.10. RegRun нашел подозрительный файл
Используя кнопки внизу окна, можно пометить файл как безопасный или уничтожить его. Если знаний не хватает, то, нажав Не уверен. Мне нужна помощь, вы получите два графика – Опасный и Хороший – в процентном отношении и с объяснением.
Другим вариантом получения информации являются ссылки Поиск в Google и База описаний программ. Последняя поставляется вместе с RegRun, содержит описание нескольких тысяч программ в разных категориях (опасные, неопасные и т. д.); ее требуется периодически обновлять.
После запуска RegRun активизируется защита, определяемая уровнем безопасности – от низкого до самого высокого.
После нажатия кнопки Закрыть на экране появляется окно Центра управления RegRun, в котором настраивают параметры работы основных модулей (рис. 3.11).
Рис. 3.11. Центр управления RegRun
Модули RegRun для работы с автозагрузкойВ состав RegRun Standart включено 12 модулей, каждый из которых контролирует и защищает определенную часть системы. В других версиях их больше, например Platinum содержит 18 модулей. Запустить любую задачу проверки можно как из Центра управления, так и выполнив команду Пуск → Все программы → RegRun Security Suite. Вкратце ознакомимся с модулями программы.
За контроль над автозагрузкой отвечает Монитор RegRun (WatchDog), который может быть настроен на проверку конфигурации автозагрузки при старте и выключении Windows либо через заданные промежутки времени. Значок именно этого модуля появляется в области уведомлений. Если при проверке обнаружены изменения, пользователь будет извещен и дополнительно запустится утилита Менеджер автозагрузки (Start Control), позволяющая получить детальную информацию об автоматически запускаемых программах (рис. 3.12).
Рис. 3.12. Менеджер автозагрузки RegRun
Работать с ним просто. Основное окно состоит из трех частей. Самая большая включает 16 вкладок, на которых могут быть размещены параметры, позволяющие автоматически запускать программы. Здесь все происходит автоматически.
Для просмотра и редактирования выберите нужную вкладку – внизу будут выведены все программы или сервисы, запускаемые с помощью этого параметра. Рядом с каждым из них расположен значок. Если он зеленого цвета – программа запущена, желтого – остановлена, красного – выключена.
При необходимости вы можете изменить статус запуска любой программы, выбрав из раскрывающегося списка значок нужного цвета. Слева от области с вкладками размещается панель, позволяющая производить действия со всеми или выбранными объектами автозапуска. Кнопка Сведения отображает информацию об объекте.
Здесь вы найдете следующие данные: имя файла и полный путь к нему, статус и описание. Статус программы также можно изменить: RegRun различает четыре его градации: Необходимая, На ваш выбор, Бесполезная и Опасная. Если описания нет, нажатием одноименной кнопки можно обратиться к базе описания программ или послать отчет фирме-разработчику.
Ссылка Хороший или нет? практически аналогична той, с которой вы встречались при первой настройке, но дополнительно здесь можно указать (рис. 3.13):
• Безопасный – этот процесс является хорошим, трогать его не нужно;
• Уничтожить! – процесс вредный, его следует остановить;
• Не уверен. Нужна помощь – сбор дополнительной информации о программе.
Рис. 3.13. Получение детального отчета о программе
Чтобы получить самую полную информацию, нажмите кнопку Детальный (см. рис. 3.13).
Щелчок на ссылке Отчет о безопасности позволит сгенерировать файл, в котором будет собрана информация обо всех важных составляющих системы. Этот файл можно отправить специалистам компании либо оставить для последующего анализа изменений, произошедших в системе. Ссылка Проверка на вирусы запустит встроенную систему поиска вирусов и шпионских программ. Эта система проанализирует важные системные файлы на наличие потенциально опасных дыр и программ, которые их используют. Для обнаружения руткитов следует выбрать вариант создания отчета при перезагрузке.
Будет выдан отчет о наличии запрещенных и подозрительных файлов. Щелчок на Лечить позволит просмотреть более подробную информацию. Не все, что найдет программа проверки, является опасным, так как она только анализирует действия других процессов, а, например, антивирусы, брандмауэры и некоторые другие программы также могут перехватывать системные вызовы или скрываться, то есть вести себя подозрительно с точки зрения RegRun. Например, брандмауэр Outpost программа внесла в список подозрительных (рис. 3.14).
Рис. 3.14. Брандмауэр Outpost внесен в список подозрительных программ
С выбранными элементами можно произвести следующие операции:
• Добавить в Исключения – программа или сервис признается полезным, и RegRun больше не будет реагировать на нее;
• База описаний программ – узнать больше о программе;
• Диспетчер служб/Показать в Regedit – вызовет соответствующие системные программы, с помощью которых можно изменить параметры вручную;
• Удалить помеченные/Запуск по умолчанию – остановка или запуск найденной службы;
• Контролировать BHO – вызов окна редактирования Компонентов ядра Windows, в котором можно получить информацию о BHO-, ActiveX-, COM-объектах и автоматически загружаемых DLL-библиотеках.
Полезным модулем является Оптимизатор автозагрузки (рис. 3.15). Вызвать его можно, нажав в Менеджере автозагрузки кнопку
либо через Центр управления, щелкнув на ссылке Запуск и выбрав справа категорию Оптимизировать загрузку.
Рис. 3.15. Оптимизатор автозагрузки
Задача этого модуля проста: на основании записей в базе приложений и установок пользователя определить программы, которые можно убрать из автозагрузки. В первую очередь сюда попадают приложения с меткой Бесполезная. Если они не нужны, их стоит убрать, тогда загрузка системы будет быстрее, а RegRun будет проверять меньше объектов, что также скажется на производительности. Если при отключении какой-то программы вы ошиблись, ее можно включить, снова перейдя в Оптимизатор автозагрузки либо воспользовавшись профилями автозагрузки, которые RegRun автоматически создает при каждом изменении этого параметра. Чтобы запустить профили восстановления, следует щелкнуть на ссылке Запуск и выбрать категорию Профили автозагрузки.
Режим Чистый запуск позволяет загрузить систему с минимальным количеством автоматически загружаемых элементов. Это может быть полезно, когда одна из программ, помещенных в автозагрузку, работает некорректно и мешает нормальному функционированию системы, а также когда есть подозрение о наличии в системе вируса, особенно если его невозможно удалить.
Защита файловОдной из самых полезных функций программы является Защита файлов, защищающая компьютер от вирусов, троянцев и работающих со сбоями программ. Функционирует она так. Первоначально создается список файлов, состояние которых необходимо контролировать. Для последующего восстановления они копируются в хранилище, которое находится в папке C:Мои документыRegRun2Files. Правда, само хранилище программа не защищает и на подмену файлов не реагирует. Для редактирования списка защищаемых файлов или их проверки вручную вызовите контекстное меню значка RegRun в области уведомлений и выполните команду Безопасность → Защита файлов (рис. 3.16).
Рис. 3.16. Окно редактирования защищаемых файлов
Для проверки файла выберите его с помощью кнопки мыши и щелкните на значке
При обнаружении модификации защищаемых файлов будет выдано предупреждение с указанием размера и даты создания обоих файлов. Пользователю остается принять решение – оставлять новую модифицированную версию либо восстановить файл из резервной копии? Используя кнопки, модифицированный файл можно копировать, переименовать, удалить, открыть или просканировать с помощью антивирусной программы. Щелкнув на значке с изображением плюса, можно указать файл, целостность которого будет контролироваться RegRun.
Для поиска неизвестных антивирусным приложениям вирусов RegRun открывает и контролирует множество программ-приманок: если обнаруживается изменение любого из этих файлов, RegRun сообщает о присутствии вируса. Для Windows такой приманкой является файл winbait.exe: ее автозапуск заносится в реестр и сравнивается с оригинальным файлом, имеющим имя winbait.org. Для включения такого контроля следует зайти в Центр управления, щелкнуть на ссылке Настройка, в появившемся окне перейти на вкладку Ловушка вирусов и установить флажок В Windows-режиме (периодически во время тестирования).
RegRun совместим со многими известными антивирусами. Для настройки совместной работы необходимо нажать кнопку Антивирусный координатор на этой же вкладке и запустить поиск установленных антивирусов, нажав кнопку Автопоиск. Если антивирус не найден автоматически, его можно указать вручную, нажав кнопку Добавить.
RegRun также определяет файлы, которые будут заменены во время следующей загрузки Windows. Это функция Aнтизамена. Система защищает основные файлы и библиотеки и в рабочем состоянии не дает их заменить, поэтому чтобы установленные драйверы вступили в силу, систему требуется перезагрузить. Однако эту возможность могут использовать вирусы, чтобы внедриться в системный файл. В случае появления таких файлов пользователь предупреждается с возможностью отмены операции.
Внимание! Это не конец книги.
Если начало книги вам понравилось, то полную версию можно приобрести у нашего партнёра - распространителя легального контента. Поддержите автора!Правообладателям!
Данное произведение размещено по согласованию с ООО "ЛитРес" (20% исходного текста). Если размещение книги нарушает чьи-либо права, то сообщите об этом.Читателям!
Оплатили, но не знаете что делать дальше?