Опубликован: 11.08.2008 | Уровень: специалист | Доступ: свободно | ВУЗ: Сибирская автомобильно-дорожная академия
Лекция 6:

Защита от вредоносного программного обеспечения на примере Windows Defender

5.5.2. Обнаружение программ-шпионов

В предыдущем пункте был описан пример обнаружения так называемого "не классифицируемого события". У такого события в разделе " Категория " (" Category ") отображается "Нет классификации" ("Not Yet Classified") (см. рис. 5.36). По умолчанию пользователю о таких событиях не сообщается (см. п. 5.5.1), но они фиксируются в окне "Журнал" ("History"). Если информация о приложении или событии существует в информационных базах (определениях) Защитника Windows, то предупреждение о таком событии выглядит иначе (рис. 5.38).

Сообщение с уровнем "Medium"

Рис. 5.38. Сообщение с уровнем "Medium"

В данном случае Защитник Windows зафиксировал событие со средним (Medium) уровнем оповещения (Alert level) (см. рис. 5.38). Как указывается в справке, уровни оповещения (alert levels) помогают пользователю принять правильное решение о том, как реагировать на обнаруженное шпионское или нежелательное ПО. Несмотря на то, что Защитник Windows будет рекомендовать вам удалить (кнопка "Удалить все" ["Remove All"]) программу, не все обнаруженные программы являются опасными или нежелательными. В табл. 5.3 представлена информация, помогающая вам решить, что делать, если Защитник Windows обнаружил нежелательное ПО на вашем компьютере.

Таблица 5.3. Уровни предупреждения
Уровень предупреждения Что означает Что делать
Severe (Критический) Широко распространенные или исключительно опасные программы (например, вирусы или черви), которые наносят ущерб вашей личной информации и защите вашего компьютера. Эти программы могут повредить ваш компьютер. Немедленно удалите эту программу.
High (Высокий) Программы, которые могут собирать вашу личную информацию и повредить ваш компьютер. Например, без вашего ведома или согласия собирают информацию или меняют настройки вашего компьютера. Немедленно удалите эту программу.
Medium (Средний) Программы, которые могут влиять на вашу личную информацию или выполнять изменения на вашем компьютере. Просмотрите подробности этого предупреждения, чтобы выяснить, почему это программа была обнаружена. Если вам не нравятся те действия, которые выполняет эта программа или вы не доверяете разработчику этой программы, решите, заблокировать или удалить эту программу.
Low (Низкий) Потенциально нежелательные программы, которые могут собирать информацию о вас, вашем компьютере или изменять настройки вашего компьютера, но об этих действиях сообщается в лицензионном соглашении при их установке. Такие программы обычно не опасны при выполнении на вашем компьютере, если только они не были установлены без вашего ведома. Если вы не уверены, разрешать ли работу такой программы, просмотрите подробности этого предупреждения и определите, доверяете ли вы разработчику этой программы.
Not yet classified (не классифицирован) Обычно неопасные программы, если только они не были установлены без вашего ведома. Если вы знаете эту программу и доверяете ее разработчику, разрешите ее выполнение. Иначе - просмотрите подробности этого предупреждения, для того чтобы принять обоснованное решение. Если вы вступили в сообщество Microsoft SpyNet, проверьте рейтинг сети голосования, чтобы узнать, доверяют ли этой программе другие пользователи.

Для того чтобы просмотреть подробности этого события, подведите курсор к строке с названием обнаруженной программы. Появится всплывающее сообщение с описанием обнаруженной программы и советом от разработчиков Защитника Windows (рис. 5.39). Если вы нажмете кнопку "Удалить все" ("Remove All"), то Защитник Windows попытается удалить обнаруженную программу. Об успешности этого действия можно будет судить, просмотрев окно "Журнал" ("History"). Если вы нажмете кнопку "Игнорировать" ("Ignore"), Защитник Windows ничего не будет делать с обнаруженной программой, о чем также появится сообщение в окне "Журнал" ("History").

Описание обнаруженной программы

Рис. 5.39. Описание обнаруженной программы

Описанный выше пример показывает реакцию Защитника Windows на операцию записи на диск программы установщика. В случае обнаружения реально работающей в данный момент (т. е. уже установленной на вашем компьютере) программы окно с предупреждением будет иметь дополнительную кнопку "Проверить" ("Review") (рис. 5.40). При нажатии на эту кнопку появится главное окно Защитника Windows с возможностью не только удалить обнаруженную программу (кнопка "Remove All"), но и просмотреть подробности обнаруженного события (рис. 5.41). Для этого необходимо щелкнуть по надписи "Просмотр объектов, обнаруженных защитой в режиме реального времени" ("Review items detected by real-time protection"). В результате на экране появится окно с подробным описанием события и с возможностью выбора нужного действия (рис. 5.42).

Обнаружение исполняемой программы

Рис. 5.40. Обнаружение исполняемой программы
Сообщение об обнаруженном событии

увеличить изображение
Рис. 5.41. Сообщение об обнаруженном событии
Выберите нужное действие

увеличить изображение
Рис. 5.42. Выберите нужное действие

Возможны следующие действия:

  • Игнорировать (Ignore) - игнорировать подозрительный объект и разрешить ему выполняться.
  • Карантин (Quarantine) - переместить подозрительный объект на карантин.
  • Удалить (Remove) - удалить подозрительный объект и не допустить его выполнение.
  • Всегда разрешать (Always allow) -разрешить подозрительному объекту выполняться и занести его в список разрешенных объектов (allowed list).

Кроме того, в конце списка с описанием этого объекта, есть ссылка "Показать дополнительные сведения об этом элементе из Интернета", которая позволяет просмотреть дополнительную информацию об этом объекте на сайте Microsoft.

Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????