Зачем пользователю ПК антивирус? На первый взгляд, ответ будет очевидным – обеспечить пользователю полную безопасность его компьютера от вирусов, троянов, червей, adware и т.д. А теперь я скажу, что все это возможно и несложно реализуется средствами самой ОС Windows, без дополнительных программ, конфликтов ПО и замедления работы. Но все по порядку.
Классические вирусы, которые заражают все подряд исполняемые файлы, сейчас практически не встречаются. Это заметно, требует большого количества ресурсов и не имеет практической выгоды. Запрет записи данных в исполняемый файл легко реализуется средствами Windows. Лечить зараженные файлы бессмысленно – проще скачать инсталлятор с сети и переустановить программу. Сейчас такие вирусы эволюционировали в троянских коней (malware). Посторонние файлы они не заражают, системе не вредят и действуют незаметно. Задача таких программ – украсть конкретный пароль, сертификат, документ и удалиться с места происшествия. Как исключение, заражается конкретный системный файл и от его имени вредоносная программа продолжает свою деятельность. К сожалению, ничего оригинального для постоянной защиты компьютера антивирусники не придумали. Алгоритм один – КАЖДЫЙ исполняемый файл проверяется перед запуском и если он вредоносный, антивирус блокирует доступ к нему и спрашивает действие у пользователя. Также на лету проверяются все файлы, из любого каталога, что открывает пользователь. Для контроля над исполняемыми файлами, антивирус, на уровне драйверов, подменяет системные функции для просмотра каталогов, записи в реестр и запуска приложений, своими. То есть, сначала вызывается функция антивируса, он выполняет свою работу и только потом передает управление ОС. Можете только представить, как это замедляет работу системы… Процесс подмены системных API-функций – процедура сложная и без конфликтов ПО и BSOD-ов часто не обходится. Да и возможности самого антивируса ограничены – он обнаружит зловредную программу только при наличии её в базе. Эвристические анализаторы зачастую никогда не годятся и могут обнаружить только «пионерские» модификации известных вирусов. Существует масса протекторов и упаковщиков, которая позволяют этим самым «пионерам» с легкостью создавать недетектируемые версии троянов. Справиться с ними антивирус может только при наличии в базе распаковщика для протектора. Но и тут незадача – стоит слегка изменить исходный код самого протектора (при желании исходники многих протекторов можно найти в Интернете) – и антивирус ничего не видит! Можно возразить – ведь есть системы проактивной защиты, которые контролируют подозрительные действия в системе (запись в реестр, системные папки, передачу данных в сеть) и спрашивают пользователя, что делать в конкретном случае. Но если предоставить решать пользователю – где гарантия, что он не спутает заразу с дефрагментатором? Предоставить решать антивирусу – будет большое количество ложных срабатываний. Дело в том, что те же подозрительные действия могут совершать легальные программы в мирных целях – драйверы клавиатур, мышей, оптимизаторы дисков, программы для экономии трафика. Самое страшное, что для антивируса принципиальных отличий этих программ от вирусов не существует. Единственный выход для него – запрещать все что можно, контролировать множество системных функций, вплоть до модификации ядра системы. Это сильно усложняет обход таких систем защиты, но стабильность и производительность ОС падает до безобразия. А способы обхода появляются каждый день, и антивирус невольно заставляет пользователя тратить сетевой трафик на бесконечные обновления.
Вы, наверняка, поняли мою мысль, что антивирусы абсолютно не стоят потраченных на них денег. Операционные системы Win9x не имели системы распределения доступа между разными пользователями. Следовательно, не могли выступать, ни в роли серверных ОС, ни защитить себя от вторжения. Но ОС линейки NT, куда входят XP и Vista изначально проектировались, как способные постоять за себя. Идея защиты заключается в том, что при правильном разграничении доступа вирус, попадая в систему, просто не сможет ничего сделать. Чего стоит только наличие администраторских прав – доступно, как минимум, 10-15 методов автозагрузки, есть возможность ставить драйверное ПО и таких образом успешно противостоять антивирусу. При гостевом доступе, почти все методы автозагрузки недоступны, доступ к изменению файлов строго ограничен, и обойти эти ограничения вирусу не по зубам! Как проникает большинство malware в систему? – 90% попадает через браузер, используя уязвимости в нем или в операционной системе. Кроме браузера, в зоне риска почтовый клиент, IM-клиент, торрент-клиент. Но для успешного использования уязвимостей нужны привилегии администратора. Вывод – никогда, при обычной работе, не сидите под привилегированным пользователем. Заходите под ним, только при изменении глобальных настроек, установке драйверов и т.д. По возможности ставьте новые заплатки с Windows Update (это более правильно, чем постоянно качать обновления к антивирусу). Для того чтобы постоянно не переключаться между пользователями, при вызове контекстного меню, есть полезная функция «Запуск от имени». Учтите, что пользователю, от которого заходите, должен быть задан пароль, иначе запустить программу от имени пользователя с пустым паролем не удастся. Следующим шагом будет создание отдельного пользователя на каждую программу из зоны риска. Каждому пользователю нужно ограничить доступ ко всем файлам и дискам, кроме домашнего каталога программы. Ограничить политику доступа можно на вкладке «Безопасность» любого каталога или диска (по умолчанию эта вкладка отключена и требует снятие флажка у опции «Использовать простой общий доступ к файлам» в Свойства папки->вкладка Вид). Помните что приоритет запрета выше, чем разрешения. Как узнать в каком каталоге программа хранит свои настройки? Пользуйтесь программой FileMon, которая поможет проследить к каким файлам и папкам обращается подконтрольная программа. Для мониторинга ветвей реестра, нужных браузеру или почтовому клиенту есть похожая программа RegMon. В большинстве случаев, софт нуждается в правах на запись в свой каталог или каталог Documents and Settings*User* и больше никуда. Для автоматизации задания политик доступа используйте консольную утилиту runas. Здесь есть подводный камень – обязательно задавайте параметр /profile, т.к. многие программы работают некорректно при работе из другого пользователя, если его профиль не загружен.
Таким образом, краткий алгоритм прост:
1)Создаем несколько пользователей с ограниченными привилегиями. Один пользователь на одно приложение (например, пользователи opera, thebat, icq и т.д.)
2)Дополнительно запрещаем каждому из них доступ ко всем дискам, за исключением каталога для хранения настроек своего приложения.
3)Теперь достаточно создать ярлык на нужное приложение, в строке запуске которого написать runas /profile /user:*user* *start*.exe, где *user* и *start* нужные вам имена. Единственное неудобство – необходимость постоянно вводить пароль при запуске. Но сейчас есть много софта для автоматизации действий пользователя, так что проблема не такая уж и существенная.
Пусть, вначале, придется немного потрудиться, зато потом никакие трояны не смогут причинить вам вреда. Даже если вредоносное ПО проникнет в систему, никаких действий совершить не сможет и тот час закончит свою работу.
Классические вирусы, которые заражают все подряд исполняемые файлы, сейчас практически не встречаются. Это заметно, требует большого количества ресурсов и не имеет практической выгоды. Запрет записи данных в исполняемый файл легко реализуется средствами Windows. Лечить зараженные файлы бессмысленно – проще скачать инсталлятор с сети и переустановить программу. Сейчас такие вирусы эволюционировали в троянских коней (malware). Посторонние файлы они не заражают, системе не вредят и действуют незаметно. Задача таких программ – украсть конкретный пароль, сертификат, документ и удалиться с места происшествия. Как исключение, заражается конкретный системный файл и от его имени вредоносная программа продолжает свою деятельность. К сожалению, ничего оригинального для постоянной защиты компьютера антивирусники не придумали. Алгоритм один – КАЖДЫЙ исполняемый файл проверяется перед запуском и если он вредоносный, антивирус блокирует доступ к нему и спрашивает действие у пользователя. Также на лету проверяются все файлы, из любого каталога, что открывает пользователь. Для контроля над исполняемыми файлами, антивирус, на уровне драйверов, подменяет системные функции для просмотра каталогов, записи в реестр и запуска приложений, своими. То есть, сначала вызывается функция антивируса, он выполняет свою работу и только потом передает управление ОС. Можете только представить, как это замедляет работу системы… Процесс подмены системных API-функций – процедура сложная и без конфликтов ПО и BSOD-ов часто не обходится. Да и возможности самого антивируса ограничены – он обнаружит зловредную программу только при наличии её в базе. Эвристические анализаторы зачастую никогда не годятся и могут обнаружить только «пионерские» модификации известных вирусов. Существует масса протекторов и упаковщиков, которая позволяют этим самым «пионерам» с легкостью создавать недетектируемые версии троянов. Справиться с ними антивирус может только при наличии в базе распаковщика для протектора. Но и тут незадача – стоит слегка изменить исходный код самого протектора (при желании исходники многих протекторов можно найти в Интернете) – и антивирус ничего не видит! Можно возразить – ведь есть системы проактивной защиты, которые контролируют подозрительные действия в системе (запись в реестр, системные папки, передачу данных в сеть) и спрашивают пользователя, что делать в конкретном случае. Но если предоставить решать пользователю – где гарантия, что он не спутает заразу с дефрагментатором? Предоставить решать антивирусу – будет большое количество ложных срабатываний. Дело в том, что те же подозрительные действия могут совершать легальные программы в мирных целях – драйверы клавиатур, мышей, оптимизаторы дисков, программы для экономии трафика. Самое страшное, что для антивируса принципиальных отличий этих программ от вирусов не существует. Единственный выход для него – запрещать все что можно, контролировать множество системных функций, вплоть до модификации ядра системы. Это сильно усложняет обход таких систем защиты, но стабильность и производительность ОС падает до безобразия. А способы обхода появляются каждый день, и антивирус невольно заставляет пользователя тратить сетевой трафик на бесконечные обновления.
Вы, наверняка, поняли мою мысль, что антивирусы абсолютно не стоят потраченных на них денег. Операционные системы Win9x не имели системы распределения доступа между разными пользователями. Следовательно, не могли выступать, ни в роли серверных ОС, ни защитить себя от вторжения. Но ОС линейки NT, куда входят XP и Vista изначально проектировались, как способные постоять за себя. Идея защиты заключается в том, что при правильном разграничении доступа вирус, попадая в систему, просто не сможет ничего сделать. Чего стоит только наличие администраторских прав – доступно, как минимум, 10-15 методов автозагрузки, есть возможность ставить драйверное ПО и таких образом успешно противостоять антивирусу. При гостевом доступе, почти все методы автозагрузки недоступны, доступ к изменению файлов строго ограничен, и обойти эти ограничения вирусу не по зубам! Как проникает большинство malware в систему? – 90% попадает через браузер, используя уязвимости в нем или в операционной системе. Кроме браузера, в зоне риска почтовый клиент, IM-клиент, торрент-клиент. Но для успешного использования уязвимостей нужны привилегии администратора. Вывод – никогда, при обычной работе, не сидите под привилегированным пользователем. Заходите под ним, только при изменении глобальных настроек, установке драйверов и т.д. По возможности ставьте новые заплатки с Windows Update (это более правильно, чем постоянно качать обновления к антивирусу). Для того чтобы постоянно не переключаться между пользователями, при вызове контекстного меню, есть полезная функция «Запуск от имени». Учтите, что пользователю, от которого заходите, должен быть задан пароль, иначе запустить программу от имени пользователя с пустым паролем не удастся. Следующим шагом будет создание отдельного пользователя на каждую программу из зоны риска. Каждому пользователю нужно ограничить доступ ко всем файлам и дискам, кроме домашнего каталога программы. Ограничить политику доступа можно на вкладке «Безопасность» любого каталога или диска (по умолчанию эта вкладка отключена и требует снятие флажка у опции «Использовать простой общий доступ к файлам» в Свойства папки->вкладка Вид). Помните что приоритет запрета выше, чем разрешения. Как узнать в каком каталоге программа хранит свои настройки? Пользуйтесь программой FileMon, которая поможет проследить к каким файлам и папкам обращается подконтрольная программа. Для мониторинга ветвей реестра, нужных браузеру или почтовому клиенту есть похожая программа RegMon. В большинстве случаев, софт нуждается в правах на запись в свой каталог или каталог Documents and Settings*User* и больше никуда. Для автоматизации задания политик доступа используйте консольную утилиту runas. Здесь есть подводный камень – обязательно задавайте параметр /profile, т.к. многие программы работают некорректно при работе из другого пользователя, если его профиль не загружен.
Таким образом, краткий алгоритм прост:
1)Создаем несколько пользователей с ограниченными привилегиями. Один пользователь на одно приложение (например, пользователи opera, thebat, icq и т.д.)
2)Дополнительно запрещаем каждому из них доступ ко всем дискам, за исключением каталога для хранения настроек своего приложения.
3)Теперь достаточно создать ярлык на нужное приложение, в строке запуске которого написать runas /profile /user:*user* *start*.exe, где *user* и *start* нужные вам имена. Единственное неудобство – необходимость постоянно вводить пароль при запуске. Но сейчас есть много софта для автоматизации действий пользователя, так что проблема не такая уж и существенная.
Пусть, вначале, придется немного потрудиться, зато потом никакие трояны не смогут причинить вам вреда. Даже если вредоносное ПО проникнет в систему, никаких действий совершить не сможет и тот час закончит свою работу.
Софт похожий на Нужен ли антивирус на самом деле?:
Информация
Интересные факты
Лучшие новости
Наши друзья
Реклама