Автор: Alex Slipknot AlexSlipknot@europe.com
Зависимости: MS Windows
Копирайт: Alex Slipknot for Dreamprogs.net
Копирование статьи должно быть согласовано с автором или администрацией Dreamprogs.net
Введение.
Прежде всего хочу поблагодарить всех программистов разрабатывающих freeware (бесплатное программное обеспечение) а так же всех людей, которые помогают другим в овладении навыков пользования систем семейства Windows.
Данная статья была написана учитывая что в последнее время все больше пользователей Windows стали задавать вопросы касающие безопасность системы Windows. Многие привыкли первым делом после установки системы сразу ставить антивирус. И у каждого на то свои причины: одним нужен атнивирус для того что по их мнению вирусы замедляют работу системы, другие - чтобы защитить конфеденцияльную информацию. И к сожалению людей первой категории гораздо больше чем второй. Почему "к сожалению"? - да потому что нынешние вирусы абсолютно не влияют на скорость рабоиы программ, мало весят, незаметны и т.п. А теперь немного подробнее о вирусах, о том кто их пишет и кому это нужно: Вирус это обыкновенная программа, но содержащая в себе код который например узнает пароли из веб-броузера и передает их злоумышленнику, или открывает доступ к вашим данным, например каким-нибудь документам. Кто же их пишет? - Простой человек, знающий какой-нибудь язык программирования, которому нужно узнать например пароль к страничке вашего аккаунта в популярном сайте "ВКонтакте". Или например Вы кому-то насолили и он решил удалить несколько нужных системных файлов чтобы система не смогла загрузиться... Вариантов много. Тем не менее написать вирус может и сам пользователь сам того не подозревая, ну не об этом речь. Далее я расскажу об обеспечении безопасности начиная с самого начала...
Часть 1 - Загрузка.
Начну с самого начала: Загрузка БИОС. При включении компьютера нажав "delete" можно вызвать настройки биоса. Отыскав меню "очередность загрузки устройств" можно выставить первым устройством системный жесткий диск. Зачем? - во-первых таким образом уменьшится загрузка системы, во-вторых это обезопасит вашу систему от нежелательной переустановки. Например если компьютер находится не в домашнем использовании, кто-нибудь может даже по ошибке вставить диск с установочной системой и затереть вашу. Далее, лучше поставить пароль на использование биоса, чтобы злоумышленник не смог поменять режим загрузки. Даже если вы забудете пароль - можно снять крышку системника и вытащить на несколько секунд батарейку на материнской плате - это вернет настройки биоса по умолчанию. Ну что ж, здесь понятно, продолжим загрузку: Загружаются драйвера. Драйвера - это та же программа, но без интерфейса и в основном имеет расширение .sys. Не буду углубляться в подробности как, зачем и для чего их писать. Скажу лишь одну отличительную черту драйверов: Поскольку драйвера загружаются раньше всех остальных программ (хотя есть исключения) их действия не сможет отследить ни один антивирус. Опять же по драйверам: говорю немного абстрактно не углубляясь в принцип работы процессора, кольца и т.п. Кому интересно, тот наверное уже знает... В общем на этом принципе основаны руткиты. Подробней о них можно почитать на http://rootkit.com/ или в википедии.
После загрузки драйверов идут все остальные службы и приложения. Службы (сервисы) - программы которые чем-то похожи на драйвера, но работают уже по требованию пользования - их можно останавливать, запускать, приостанавливать. В основном вирусы не маскируют под сервисы. Это не очень удобно: сервис можно установить только под администратором (с правами администратора), у сервиса нет интерфейса, по крайней мере не должно быть, и достаточно тяжело реализовать запуск какого-нибудь приложения из-под сервиса, но все же есть умельцы, поэтому нужно следить время от времени за работающими в системе службами. За службами стартуют оставшиеся приложения. Windows нужна информация чтобы знать какие приложения нужно запустить при старте. Эта иформация хранится в реестре. Но вам не обязательно знать как работать с реестром. Для чтения информации об автозагрузке программ есть замечательная бесплатная программа написанная Марком Руссиновичем, чье творение поддерживает Microsoft http://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx . Вирус не обязательно может быть исполняемым файлом (.ехе). Он может быть с любым расширением. Не забывайте, скринсейвер (заставка для Windows) также является программой и многие злоумышленники пользуются незнанием пользователей.
Ну и напоследок о загрузке со съемных носителей: система Windows очень проста в использовании, и это преимущество можно превратить в недостаток (уязвимость). При загрузке какого-нибудь диска с игрой или установочной программой система предлагает выполнить действие (открыть, запустить, просмотреть и т.п.), а есть вообще просто запускается программа автозапуска на диске. Чем это обуславливается: На диске есть файл autorun.inf. В нем прописывается некоторый текст. Система считывает его и выполняет команды которые описаны в этом файле, например в этом файле может присутствовать следующий текст:
[autorun] - обязательный параметр
open=autorun.exe - файл который запустится при вставке диска
icon=icon.ico - файл содержащий картинку для диска
name=some_name - имя диска
Также могут использоваться строки:
ShellEcecute=program.exe - в данном случае если нет строки open диск не запустится автоматически, но при открытии с помощью двойного клика запустится програма program.exe.
А вот некоторый текст, который часто используют вирусы-авторанеры
Shell=1 - присвоение имени команде
Shell1=Open disk to view folders - текст команды
Shell1Command=virus.exe - выполнение команды.
Вот в принципе и все по загрузке.
Чачть 2 - Локальная безопасность.
В большинстве случаев обеспечение локальной безопасности не составляет больших трудов, ведь если изначальн на компьютере не было вредоносных программ, то из ниоткуда они не появятся. Однако если вы решили втыкнуть флешку принесенную из интернет-кафе или доверили компьютер знакомому или кому-то еще... Теперь нужно подумать как предотвратить вторжение. Если на компе нет никакого антивируса, то отличным помощником станет стандартный виндоусовский файервол. Правда некоторые любят его отключать, якобы он бесполезен, а зря. Файервол выполняет весьма полезные задачи, такие например как предотвращение записи/перезаписи/удаления/перемещения системных файлов, значений системного реестра и т.п. Но он не всемогущ, к сожалению, поэтому на всех системах обычно можно увидеть красный значок в трее свидетельствующий об отсутствии антивируса. Начиная с Vista у систем Windows появился один немаловажный компонент: UAC-control. Что это такое? Это своего рода улучшеный файервол который обладает способностью распознавать уровень действия программы, насколько она вредна, какие функции выполняет и к чему может привести. В win 7 UAC стал намного лучше, у него появились новые параметры чувствительности, однако многие пользователи работавшие в висте с уаком не приветствуют эту функцию. Отследить изменения в системе можно и вручную. Для этого понадобится небольшая программа, которая будет следить за изменениями на компьютере. Что же делать, если ничего из этого не помогло? Теперь перед нами стоит 2 варианта: 1-переустановка системы (в крайнем случае! Даже не думайте о нем! :) ), 2-восстановление системы. Остановимся на 2м способе. Самый лучший способ борьбы с вирусами, если на компе их несколько тысяч :). Однако на некоторых сборках виндоус (я имею ввиду такие самопальные сборки как Game Edition, Zver и т.д. Ничего не хочу сказать о них плохохо. Они хороши для начинающих, но не для вас) восстановление системы отключают ввиду того, что эта служба очень много потребляет пространства на жестком диске, и это так, ведь она резервирует данные которые были изменены. Но вне зависимости, отключена она или нет, все ее параметры можно настроить вызвав командой пуск-выполнить-rstrui. Если у вас ограничено место на винчестере, то в настройках восстановления системы нужно выбрать слежение только за системным диском. Пожалуй все о локальной безопасности. Следующая часть будет посвещена интернет безопасноти, думаю по объему она бкдет больше остальных поэтому продолжение будет не очень скоро.
Информация
