унів являє собою новий напрямок, слід ретельно вивчати можливості конкретних продуктів. Приміром, вони по-різному обробляють шпигунське і рекламне програмне забезпечення, не завжди мають можливостями його видалення (Додаток 1).
. Персональні мережеві екрани (FireWall) тепер захищають від загроз більш вміло, ніж раніше. Деякі з них включають в себе евристичні функції, які можуть блокувати зловмисний код перш, ніж він досягне вашої системи. Особливу увагу слід звертати на можливість фільтрації вхідного і вихідного трафіку за IP-адресами, адресами URL, портам, протоколам, додаткам і рядкам сигнатур.
. Функції, при яких всі вимоги користувача до боротьби з програмами-шпигунами покривалися б єдиним антивірусним продуктом все ще знаходяться в стадії розробки. Найсерйознішу захист забезпечують спеціалізовані продукти, але ситуація може змінитися в самому найближчому майбутньому.
. Повномасштабно захиститися від шпигунських програм досить складно, але найпростіші методи захисту типові й давно відомі: на комп'ютері завжди повинен бути встановлений качес?? венний ліцензійний антивірус з оновленими антивірусними базами, не можна переходити за підозрілими посиланнями, відвідувати потенційно небезпечні Web-сайти і запускати програми, отримані з неперевірених джерел. Ну і, звичайно, не можна пускати за свій копьютер людей, які можуть завантажити встановити на нього шпигунські програми .
Список літератури
. Анін Б.Ю. Захист комп'ютерної информации.-СПб .: БХВ-Петербург, 2 000.- 384 с.
. Андріанов В. І Шпигунські штучки і пристрої для захисту об'єктів та інформації.- СПб., 2001.
. Лисов А.В., Остапенко А.Н .. Енциклопедія промислового шпіонажа.- Спб., 2003.
. # justify gt; Додаток 1. Методика лікування трудноудаляємиє шкідливих програм
Отже, припустимо, що на комп'ютері виявлена ??трудноудаляємиє шкідлива програма. У першу чергу це означає, що зупинити її процеси звичайними засобами і видалити файли не вдається. У цьому випадку можна зробити декілька стандартних дій:
1. Повторити спробу видалення після завантаження системи в захищеному режимі.
2. Завантажитися з компакт-диска, на якому встановлений ERD Commander або подібна йому оболонка.
. Підключити жорсткий диск зараженого комп'ютера до свідомо чистому та провести видалення файлів.
Останній метод майже завжди виявляється результативним, але дозволяє тільки видалити файли (при цьому як мінімум залишаться сліди в реєстрі). Застосовуючи методики 2 і 3, слід врахувати, що деякі сучасні шкідливі програми розраховані на можливість такого видалення і в якості одного із заходів захисту перейменовують свої файли в ході кожного завершення роботи. В результаті користувач завантажується з чистого диска і не виявляє файлів шкідливої ??програми. Єдиним способом лікування в даному випадку є сигнатурний пошук.
Крім перерахованих методик та їх аналогів, існує принципово інший підхід до боротьби з трудноудаляємиє шкідливими програмами, заснований на тимчасове обмеження можливостей запущених додатків за принципом Sandbox. Методика передбачає, що на час лікування та аналізу системи всі запущені процеси діляться на дві категорії: довірені і недовірених. Довіреними вважаються процеси антивіруса та інших засобів, що застосовуються для аналізу та лікування комп'ютера. Всі інші процеси вважаються недовірених, і для них діє ряд обмежень: блокується запис до реєстру, забороняються створення на диску виконуваних файлів, запис в пам'ять інших процесів, установка драйверів, запуск нових процесів і зупинка існуючих і т.п. Природно, даний режим прийнятний на час лікування системи і повинен включатися тільки в разі потреби.
Подібна методика реалізована в бета-версії KIS 2006 і називається вона Advance Disinfection technique. Вона заснована на тому, що перед початком боротьби з трудноудаляємиє шкідливими програмами проводиться тимчасове блокування запуску процесів і записи в системний реєстр всім процесам, крім KIS. Після лікування система автоматично перезавантажується. Як показали випробування, дана методика дуже ефективна і корисна для знищення ряду SpyWare і програм з руткіт-захистом і троянськими потоками в інших процесах.
Інший варіант подібної методики реалізований в AVZ, починаючи з версії 3.15. Експериментальна версія системи заснована на установці драйвера, що виробляє моніторинг викликів ряду функцій ядра в реальному часі з блокуванням потенційно небезпечних дій. Однією з основних особливостей цієї системи є можливість запуску вказаних користувачем програм в якості довірених додатків. Це дозволяє, наприклад, запустити в такому режимі антивірус DrWeb CureI...
