Экстернат |
Диагностика Антивируса Касперского
Сценарий. Завершающий этап установки любой программы - это проверка корректности выполнения основных ее функций. Для антивирусных приложений основу функционала составляет способность находить и обезвреживать вредоносные программы.
Естественно, встает вопрос как проверить действительно ли программа может это делать - ведь известно, что новые вирусы появляются каждый день, причем десятками, а иногда и сотнями. Не каждому пользователю под силу регулярно отслеживать хотя бы их часть. Этим занимаются антивирусные компании. Их филиалы, разбросанные по всему миру, непрерывно следят за вирусной активностью в Интернет, перехватывают и анализируют все подозрительные файлы. На основе полученных данных формируются вирусные сигнатуры, которые рядовой пользователь получает во время обновления своих антивирусных баз1Процедура обновления антивирусных баз изучается в следующей лабораторной работе . Таким образом, проверить надежность антивирусной защиты от всех уже существующих вирусов и тех, которые только завтра или через год будут созданы, нереально. К тому же, использовать настоящие вирусы только для предварительного тестирования программы нельзя. Нельзя исключать вероятность, что программа установки где-то дала сбой и следовательно защита не установлена. Тогда во время проверки может произойти заражение вирусом, на котором производится тестирование, что недопустимо.
Но несмотря на все эти проблемы, метод диагностики антивирусных программ все же существует. Для этого используется специальный файл, " The Anti-Virus or Anti-Malware test file ", созданный Европейским институтом компьютерных антивирусных исследований (European Institute for Computer Antivirus Research).
В задании 1 этой лабораторной работы предлагается познакомиться с тестовым вирусом, в заданиях 2, 3 и 4 - протестировать работу установленного ранее Антивируса Касперского 6.0, параллельно изучив структуру резервного хранилища и карантина.
Подготовка
Перед началом лабораторной работы убедитесь, что Ваш компьютер:
- Включен
- На нем загружена операционная система Microsoft Windows XP или Microsoft Windows 2000 Professional
- Выполнен вход в систему под учетной записью, обладающей правами администратора
Задание 1. Тестовый вирус
Тестовый вирус, разработанный Европейским институтом компьютерных антивирусных исследований, называется EICAR - по аббревиатуре полного названия института (European Institute for Computer Antivirus Research).
EICAR представляет собой небольшой 68-байтный файл. Его расширение можно варьировать в зависимости от сценария тестирования. Если добавить .com, то запуск получившегося файла eicar.com на незащищенном компьютере вызовет только показ уведомления "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Иных, свойственных вирусам проявлений он не несет. Однако если на компьютере стоит и исправно работает антивирус, EICAR будет заблокирован. Это происходит потому, что все ведущие производители антивирусных программ договорились между собой - считать EICAR вирусом и применять к нему все правила и действия, применяемые к настоящим вредоносным программам.
Для более подробного тестирования можно применять другие расширения. Например, если указать .txt, можно проверить проверяются ли текстовые файлы. Для проверки будут ли обнаруживаться вирусы в архивах, EICAR можно заархивировать.
Если открыть EICAR в каком-либо текстовом редакторе, например Блокнот ( Notepad ), то обнаружится, что он состоит из 68 символов:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS- TEST-FILE!$H+H*
Следовательно, тестовый вирус в любой момент можно создать самостоятельно. Для этого нужно только открыть любой текстовый редактор, набрать в нем эту строку и сохранить получившийся файл в формате текстового файла (обычный текст).
EICAR также всегда можно загрузить с сайта Европейского института компьютерных антивирусных исследований http://www.eicar.org .
Суть EICAR такова, что он оказывается неизлечимым. Это происходит потому, что антивирус идентифицирует EICAR как вирус по наличию в нем упомянутых 68 символов. Если их удалить - то от файла ничего не останется. Следовательно, с помощью EICAR можно тестировать только основную функцию антивируса - обнаружение.
Поэтому для тестирования своих продуктов Лаборатория Касперского предлагает использовать модифицированный тестовый вирус, а именно:
Создаются эти файлы по следующему принципу. 68-символьная строка с начала дополняется пятью символами, в зависимости от модификации - приставкой CURE, DELE, CORR, ERRO, SUSP или WARN и дефисом. Например, содержимое CURE-EICAR выглядит так:
CURE-X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
В этом задании нужно создать тестовые вирусы EICAR, CURE-EICAR и SUSP-EICAR.