Активная
зашита
eXTReMe Tracker
  
Активная защита
автор: Михаил Брод



    Удобство использования возможностей Интернета имеет как прямые, так и обратные стороны. Удобно быстро обменяться информацией, найти ее на сайтах, воспользоваться службой мгновенных сообщений. Существенное сокращение времени на эти процедуры с лихвой покрывает затраты на них. Будем говорить, что это прямые возможности Интернета, удобные и полезные. Но есть и обратные, заключающиеся в том, что, используя различные "дыры" программного обеспечения, которое используется вами для осуществления прямых возможностей (браузеры, мессенджеры, почтовые клиенты), на ваш компьютер могут проникать вредоносные программы.
Вредоносные программы бывают различных типов, их классификация уже не раз приводилась в наших статьях. Объединяет их одно - они призваны нарушить работу вашего компьютера и/или выкрасть и отправить их разработчику вашу конфиденциальную информацию. (Наверняка вы помните случаи, когда проникшие в систему вирусы раскрыли секретную информацию о планах поездок и встреч президента Украины, отчеты о работе атомных электростанций и многие иные материалы). И что же мешает подобным программам выкрасть вашу личную информацию с куда менее защищенного от вторжений компьютера? Вам вряд ли помогут в полном объеме и защитные экраны, и антивирусные программы, и даже программы, выискивающие притаившиеся в глубинах вашего компьютера различные вредоносные программы.
    Связано во многом это с тем, что подобные программы чаще всего используют готовые базы данных по известным программам-шпионам. И хотя базы обновляются довольно часто, но то ли вы не успели вовремя обновить их локальные копии, то ли этот шпион успел проникнуть на ваш компьютер до того, как информацию о нем внесли в базу данных, - в любом случае результат один и неприятный: ваш компьютер заражен.
    Что происходит, когда вредоносная программа попадает на ваш компьютер? Она пытается прописаться в каком-либо разделе, зачастую - в системном, и запустить себя на выполнение. Но если это может сделать программа-шпион, то может быть найдено и противоядие, пусть не на все сто обеспечивающее защиту компьютера от новых вредоносных программ, но заметно снижающее возможность подобного заражения. На этом принципе работает и программа DefenseWall HIPS (Host Intrusion Prevention System). Это одна из разработок компании SoftSphere Technologies, специализирующейся на разработке программ для защиты компьютеров от вторжений извне.

[Встроенная картинка не переводится]
    Программа, о которой идет речь, основана на новой концепции - делении всех приложений на доверенные и недоверенные. Основной принцип, использованный для защиты, заключается в максимальном снижении прав для приложений, которые не являются доверенными, и запуске их в специальной виртуальной зоне, специально для них выделенной. DefenseWall защищает реестр, файлы, определяющие автозапуск программ при старте операционной системы, исполнимые файлы, системные области (физическую память, драйверы, доверенные процессы и иное) от потенциально опасных действий, которые могут выполнять программы, не имеющие полного доверия. (Все процессы, порождаемые программами без полного доверия, также получают статус недоверенных процессов).
    Основная задача программы - мониторинг процессов и предотвращение несанкционированных действий со стороны не внушающих доверия процессов. Поэтому основная закладка окна программы дает возможность либо посмотреть все запущенные в данный момент процессы (как доверенные, так и недоверенные), либо одним щелчком мышки прекратить деятельность всех недоверенных процессов. Безусловно, при этом будут прерваны и те процессы, которые вы просто не включили еще в число доверенных, в результате чего может нарушиться работоспособность вашей системы. Но, с другой стороны, такое действие может предотвратить серьезное заражение компьютера вредоносными программами. DefenseWall особо внимательно следит за работой исполнимых и командных файлов. Кроме того, она отслеживает работу и тех программ, которые запускаются из локальной сети. Но эти программы и процессы имеют в ее представлении лишь один статус - "недоверенные". Доверенными могут быть процессы и программы, запускаемые с локального компь ютера.
    Просмотреть запущенные процессы можно с этой же закладки. В новом окне, с одной стороны, будет выдан список доверенных процессов, с другой - недоверенных. Выбрав любой процесс, вы можете одним щелчком прервать его работу. А вот для определения, какой процесс вы считаете доверенным, а какой - нет, используется другая закладка программы. Здесь можно добавить не только процесс, который вы не можете считать для себя доверенным, но и отдельное приложение или раздел диска.

[Встроенная картинка не переводится]
    Если вы хотите добавить в список сомнительных задач какой-либо процесс, будет открыто окно со всеми активными в данный момент процессами. Вы можете выбрать требуемый и занести его в список недоверенных процессов. Аналогично заносится в этот список какое-либо приложение (как и любой файл, вы определяете его по месторасположению на диске) или раздел диска. После того как приложение или процесс помещены в список, их можно удалить, сделать запрещенными или разрешить их выполнение. (Последние два действия не требуют удаления или помещения приложения в список заново). В то же время любое сомнительное приложение, находящееся в этом списке, может быть запущено со всеми правами как доверенное приложение.
    Для того чтобы можно было понять, что и как делают недоверенные приложения и процессы, в программе ведется фиксирование всех их действий, связанных с попытками изменения файлов, реестра, создания новых файлов и записей. Информация об этом выводится на отдельной закладке, которая обновляется автоматически при ее выборе. Но вы можете обновить ее и вручную, выбрав опцию Refresh.
    Но не всегда удается правильно оценить критичность работы того или иного приложения даже с помощью этой программы. Поэтому наиболее важные файлы и разделы диска нужно защищать дополнительно. Для этого можно использовать возможность программы определять отдельные файлы и разделы как секретные. Назначение такого параметра означает, что выбранные файлы или разделы не могут быть изменены никакой внешней программой, и не только изменены. Ни одна из программ, которые не являются доверенными, не сможет получить какую-либо информацию из файла или раздела, поскольку доступ к ним таким программам будет запрещен.

[Встроенная картинка не переводится]
    Что еще может защищать и проверять программа? Она прекрасно может выполнять проверку программ, которые запускаются из архивов (например, в среде FAR Commander, Total Commander, Salamander, WinZIP, WinRAR, 7Zip и Windows Explorer). Она блокирует также изменения установок вашего браузера, добавление сайтов, дополнительных меню. Для того чтобы можно было выполнить подобные изменения, вам придется вначале запустить ваш браузер как доверенное приложение и только потом провести необходимые изменения.
    Как же отследить, когда программа заблокирует неизвестный процесс? Визуально это можно увидеть по состоянию иконки программы, размещенной в рабочей панели. В случае блокирования несанкционированного процесса цвет иконки поменяется на красный.
    Помимо того что вы можете выполнять все предусмотренные действия программы из ее основного меню, некоторые действия можно выполнять и из контекстного меню файлов и разделов. После установки программы в этих меню появляются опции "Добавить как недоверенное приложение", "Запустить как доверенное", "Добавить в список секретных разделов/файлов", "Выполнить как доверенное приложение". Эти дополнительные опции доступны и в "Проводнике", и в программе Total Commander, и на рабочем столе.
    В заключение хотелось бы отметить, что помимо рассмотренной программы у компании SoftSphere Technologies есть еще ряд программ, также предназначенных для защиты компьютеров. Это программа DefencePlus - многоуровневая система защиты от интернет-червей, вирусов и хакеров, которые, используя уязвимости переполнения буфера операционной системы и прикладного ПО, проникают на компьютер. А также программа Anti-Cracker Shield, которая применяется для защиты компьютера от попыток проникновения на него с использованием так называемых эксплойтов - атак, использующих уязвимости операционной системы и установленного программного обеспечения.

Ссылки по теме:

    Компания SoftSphere Technologies