Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Тестовый вирус
|
|
МОСКОВСКИЙ УНИВЕРСИТЕТ МВД РОССИИ
Кафедра информатики и математики
Задание
Для практического занятия
по теме «Защита информационных процессов в компьютерных системах»
4-4
«Использование антивирусных программ»
учебного курса «Основы информационной безопасности»
Москва
Тема 4-4. Использование антивирусных программ
Практическое занятие - 2 часа аудиторных занятий
Место проведения - компьютерный класс кафедры.
Опорные вопросы по теме.
1. Изучение интерфейса
2. Тестовый вирус
3. Тестирование с помощью EICAR
4. Лечение инфицированных файлов
5. Помещение файлов на карантин
Учебные вопросы.
1. Тестовый вирус
Назначение и создание тестового вируса
2. Тестирование с помощью EICAR
Метод проверки файлов используя контекстное меню
Действия в случае обнаружения вирусов
Использование резервного хранилища
Лечение инфицированных файлов
Метод лечения файлов используя постоянную защиту
Очистка резервного хранилища
Помещение файлов на карантин
Отличие карантина от резервного хранилища
Сводная статистика по карантину
Отправка в службу технической поддержки Лаборатории Касперского письма с подозрительным файлом
Методы проведения занятий:
- самостоятельное изучение курсантами в часы самоподготовки конспектов лекций, рекомендованной литературы, основного задания, исходных материалов и методических рекомендаций по теме;
- групповое обсуждение учебных вопросов;
- практическая работа на персональном компьютере.
Содержание основного задания:
- в часы самоподготовки курсанты изучают конспекты лекций, рекомендованную литературу, методические материалы к теме;
- в течение двух часов курсанты изучают интерфейс, знакомятся с основными приемами работы с антивирусными программами.
Отчетные документы курсантов - записи в рабочих тетрадях и созданные изображения на жестком диске компьютера.
Тестовый вирус
Тестовый вирус, разработанный Европейским институтом компьютерных антивирусных исследований, называется EICAR - по аббревиатуре полного названия института (European Institute for Computer Antivirus Research).
EICAR представляет собой небольшой 68-байтный файл. Его расширение можно варьировать в зависимости от сценария тестирования. Если добавить.com, то запуск получившегося файла eicar.com на незащищенном компьютере вызовет только показ уведомления " EICAR-STANDARD-ANTIVIRUS-TEST-FILE! ". Иных, свойственных вирусам проявлений он не несет. Однако если на компьютере стоит и исправно работает антивирус, EICAR будет заблокирован. Это происходит потому, что все ведущие производители антивирусных программ договорились между собой - считать EICAR вирусом и применять к нему все правила и действия, применяемые к настоящим вредоносным программам.
Для более подробного тестирования можно применять другие расширения. Например, если указать.txt, можно проверить проверяются ли текстовые файлы. Для проверки будут ли обнаруживаться вирусы в архивах, EICAR можно заархивировать.
Если открыть EICAR в каком-либо текстовом редакторе, например Блокнот (Notepad), то обнаружится, что он состоит из 68 символов:
X5O! P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $H+H*Следовательно, тестовый вирус в любой момент можно создать самостоятельно. Для этого нужно только открыть любой текстовый редактор, набрать в нем эту строку и сохранить получившийся файл в формате текстового файла (обычный текст).
EICAR также всегда можно загрузить с сайта Европейского института компьютерных антивирусных исследований https://www.eicar.org/.
Суть EICAR такова, что он оказывается неизлечимым. Это происходит потому, что антивирус идентифицирует EICAR как вирус по наличию в нем упомянутых 68 символов. Если их удалить - то от файла ничего не останется. Следовательно, с помощью EICAR можно тестировать только основную функцию антивируса - обнаружение.
Поэтому для тестирования своих продуктов Лаборатория Касперского предлагает использовать модифицированный тестовый вирус, а именно:
| № | Файл | Описание |
| CURE-EICAR | Обнаружив такой файл, антивирус должен его " вылечить", сократив его размер до 4 байт (символы " CURE") | |
| DELE-EICAR | Этот файл Антивирус Касперского определяет как неизлечимый вирус или троянскую программу и удаляет. Следовательно, по результатам проверки DELE-EICAR должен быть обнаружен только в резервном хранилище | |
| CORR-EICAR | Предназначен для диагностики работы Антивируса Касперского в случае обнаружения файла с поврежденной структурой, вследствие чего проверить его на наличие вирусов невозможно. Такой файл признается условно чистым | |
| ERRO-EICAR | При сканировании такого файла Антивирус Касперского должен вести себя так, как будто произошла ошибка при анализе его содержимого (например, из-за нарушения целостности при проверке многотомного архива или при обрыве связи во время проверки по сети). ERRO-EICAR также признается условно чистым | |
| SUSP-EICAR | Этот файл корректно работающий Антивирус Касперского признает подозрительным, а именно зараженным неизвестным вирусом. Следовательно, он должен быть помещен на карантин или удален (в зависимости от настроек, по умолчанию действие при обнаружении подозрительного объекта запрашивается у пользователя) | |
| WARN-EICAR | WARN-EICAR также признается подозрительным, но не неизвестным вирусом, а модификацией известного. Это также приводит к предложению поместить его на карантин или удалить (в зависимости от настроек) |
Создаются эти файлы по следующему принципу. 68-символьная строка с начала дополняется пятью символами, в зависимости от модификации - приставкой CURE, DELE, CORR, ERRO, SUSP или WARN и дефисом. Например, содержимое CURE-EICAR выглядит так:
В этом задании нужно создать тестовые вирусы EICAR, CURE-EICAR и SUSP-EICAR.
1. 
В этом задании нужно будет создать три файла с тестовыми вирусами: eicar.com, cure-eicar.com и susp-eicar.com. Для того, чтобы антивирус не заблокировал тестовые вирусы еще на подготовительном этапе, нужно временно отключить постоянную защиту.
Для этого вызовите контекстное меню иконки Антивируса Касперского в системной панели и выберите пункт Приостановка защиты 2)
2. В открывшемся окне Приостановка защиты оставьте предложенный по умолчанию вариант После перезапуска приложения и нажмите ОК
3. После этого появится сообщение о том, что защита не работает, а иконка Антивируса Касперского обесцветится. Постоянная защита отключена
4. Запустите текстовый редактор Блокнот, воспользовавшись системным меню Пуск / Программы / Стандартные / Блокнот
5. В открывшемся окне наберите строку
6. X5O! P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $H+H*
7. Сохраните получившийся файл в папку С: \Testпод именем eicar.com. Для этого воспользуйтесь меню Файл / Сохранить как…
8. В открывшемся окне перейдите к полю Имя файла и наберите в нем " С: \Test\eicar.com"
9. Вернитесь к окну Блокнота, нажав Сохранить
10. Модифицируйте EICAR, добавив к нему приставку " CURE-"
11. Сохраните получившийся файл под именем " С: \Test\cure-eicar.com", воспользовавшись командой Файл / Сохранить как…
12. Аналогично создайте SUSP-EICAR, повторив пункты 9-10, но для приставки " SUSP-"
13. Закройте окно текстового редактора Блокнот
14. В результате этих действий в папке C: \Test должно появиться три файла: eicar.com, cure-eicar.com и susp-eicar.com. Убедитесь в этом.
Откройте папку C: \Test,
15. Проверьте размер каждого из файлов. Для этого по очереди наведите курсор мыши на каждый из файлов и ознакомьтесь с информацией, представленной во всплывающем окне.
Файл eicar.com должен иметь размер 68 байт, а cure-eicar.com и susp-eicar.com - по 73 байта
16. Убедитесь, что при запуске тестовый вирус выводит предупреждающее окно. Для этого запустите eicar.com, дважды щелкнув по нему курсором мыши
17. Поскольку EICAR представляет собой приложение MS DOS, то при его запуске откроется окно сеанса MS DOS, которое сразу же после выполнения программы закроется. Для того, чтобы увидеть сообщение про то, что EICAR - это тестовый вирус, нужно запустить его через командную строку.
Воспользуйтесь системным меню Пуск / Выполнить / Стандартные / Командная строка
18. В открывшемся окне перейдите к каталогу Test. Для этого нужно набрать команду
cd C: \Testи нажать клавишу Enter
19. Перейдя к нужному каталогу, запустите файл eicar.com, набрав команду
eicar.comи нажав Enter
20. Ознакомьтесь с сообщением, которое вывел EICAR
21. Закройте окно командной строки, набрав
exitи нажав клавишу Enter
|
|