چگونه یک شبکه بزرگ را اسکن کنیم. بهترین اسکنرهای آنتی ویروس که نیازی به نصب بر روی کامپیوتر شما ندارند

اسکنرهای آنتی ویروس برای اسکن کامپیوتر شما برای وجود نرم افزارهای مخرب طراحی شده اند. نرم افزار، از بین بردن تهدیدهای شناسایی شده یک برنامه اسکنر ضد ویروس، سیستم را در زمان‌های تصادفی بررسی می‌کند و از رایانه محافظت نمی‌کند.

این نشان دهنده تفاوت بین اسکنر ضد ویروس و مانیتور (آنتی ویروس) است. یک اسکنر ضد ویروس در صورت تقاضا اسکن های یکباره انجام می دهد و یک آنتی ویروس نصب شده روی رایانه دائماً از رایانه شخصی محافظت می کند.

چرا به برنامه های آنتی ویروس - اسکنر نیاز داریم؟ اسکنرهای آنتی ویروس برای ویندوز برای اسکن کامپیوتر شما در مواردی که ثابت هستند ضروری هستند آنتی ویروس های نصب شدهنمی توانند کار خود را انجام دهند به عنوان مثال، سیستم شروع به کاهش شدید بدون دلایل قابل مشاهده، نقص در عملکرد برخی از برنامه ها و غیره ظاهر شد.

این احتمال وجود دارد که بدافزار وارد رایانه شما شده باشد. بنابراین، منطقی است که بررسی کنید و اگر چیزی پیدا شد، رایانه را درمان کنید و مشکلات به وجود آمده را از بین ببرید.

برخی از کاربران از آن استفاده نمی کنند برنامه های آنتی ویروسروی کامپیوترهایشان در چنین مواقعی برای پیشگیری باید هر از چند گاهی با استفاده از اسکنر آنتی ویروس سیستم را بررسی کنید.

برخی از اسکنرها در کار خود از سرورهای ابری استفاده می کنند که در حین اسکن کامپیوتر با آنها تعامل دارند. بنابراین، برای کار این نوع برنامه ها، اتصال به اینترنت مورد نیاز است.

سایر اسکنرهای آنتی ویروس کاملاً مستقل هستند؛ آنها شامل تمام پایگاه داده های آنتی ویروس فعلی در زمان بارگیری برنامه هستند. برای انجام یک اسکن جدید، باید آخرین نسخه اسکنر آنتی ویروس را دانلود کنید.

در این مقاله به بررسی اسکنرهای آنتی ویروس رایگان خواهیم پرداخت (افسوس که وجود دارد برنامه های پولیاز این نوع) که بدون نصب بر روی کامپیوتر کار می کنند. برنامه های مشابهدارای مزایایی است، زیرا شرایطی وجود دارد که در نتیجه عفونت شدید سیستم، آن را تبدیل می کند نصب غیر ممکنبرنامه آنتی ویروس روی کامپیوتر شما نسخه قابل حمل و قابل حمل اسکنر ضد ویروس به شما امکان می دهد برنامه را نه تنها از دیسک رایانه، بلکه از رسانه های قابل جابجایی، به عنوان مثال، از درایو فلش USB نیز اجرا کنید.

برای اسکن ویروس ها، باید از اسکنر سازنده دیگری، متفاوت از توسعه دهنده آنتی ویروس نصب شده بر روی رایانه شخصی استفاده کنید.

این راهنما بهترین اسکنرهای ضد ویروس را ارائه می دهد که از زبان روسی پشتیبانی می کنند و بر روی سیستم عامل ویندوز اجرا می شوند.

Dr.Web CureIt! - ابزار درمانی قدرتمند

Dr.Web CureIt! - یک اسکنر آنتی ویروس محبوب برای درمان رایانه های آلوده از شرکت روسیدکتر وب اسکنر Dr.Web CureIt انواع مختلفی از بدافزارها را شناسایی می کند و هیچ تضادی با آنتی ویروس های نصب شده روی رایانه ندارد.

ابزار درمانی Dr.Web CureIt را دانلود کنید! از وب سایت رسمی دکتر وب برای اسکن مجدد رایانه خود، آخرین نسخه برنامه را با جدیدترین پایگاه داده دانلود کنید (به روز رسانی ها به طور مکرر و چندین بار در روز منتشر می شوند).

نحوه استفاده از ابزار Dr.Web CureIt:

1. پس از اتمام دانلود، برنامه را روی رایانه خود اجرا کنید (برنامه دارای نامی از مجموعه ای از کاراکترها برای مقابله با ویروس ها است تا نتوانند از اجرای برنامه بر روی رایانه جلوگیری کنند).
2. پس از راه اندازی ابزار
3. روی دکمه "شروع اسکن" کلیک کنید یا اشیاء جداگانه را برای اسکن انتخاب کنید.

اگر بدافزار در نتیجه اسکن سیستم شناسایی شد، رایانه خود را از نظر ویروس ضد عفونی کنید.

درباره استفاده از Dr.Web CureIt بیشتر بیاموزید! مقاله را بخوان.

ابزار حذف ویروس Kaspersky - یک اسکنر آنتی ویروس قدرتمند

ویروس کسپرسکی ابزار حذف(KVRT) محصولی از شرکت روسی Kaspersky Lab برای شناسایی و حذف ویروس ها از رایانه است. برنامه به طور موثر با وظایف محول شده به آن مقابله می کند.

دانلود ابزار Kasperskyابزار حذف ویروس از وب سایت رسمی آزمایشگاه کسپرسکی. برای اسکن جدید، آخرین نسخه KVRT را دانلود کنید (برنامه چندین بار در روز به روز می شود).

فرآیند اسکن ویروس در Kaspersky Virus Removal Tool در چندین مرحله انجام می شود:

1. KVRT را روی رایانه خود راه اندازی کنید.
2. شرایط قرارداد مجوز را بپذیرید.
3. در پنجره "همه چیز برای اسکن آماده است"، روی دکمه "شروع اسکن" کلیک کنید.

گزارش اسکن دریافت کنید، عناصر مخرب شناسایی شده را از رایانه خود ضدعفونی یا حذف کنید.

برای اطلاعات دقیق در مورد کار کسپرسکیابزار حذف ویروس به .

کیت اضطراری Emsisoft - کیت درمان اضطراری

Emsisoft Emergency Kit - مجموعه ای از ابزارهای اضطراری برای درمان رایانه های آلوده. این برنامه شامل چندین ابزار برای مقابله با بدافزار است: ابزار گرافیکی Emergency Kit Scanner و ابزار Commandline Scanner که از خط فرمان راه اندازی شده است.

کیت اضطراری Emsisoft را از وب سایت رسمی شرکت نیوزلندی Emsisoft دانلود کنید و مراحل زیر را دنبال کنید:

1. بسته برنامه را در رایانه خود باز کنید. با تنظیمات پیش فرض، پوشه "EEK" در درایو "C:" ایجاد می شود.
2. سپس پوشه ای با برنامه باز می شود که در آن باید روی برنامه "Start Emergency Kit Scanner" کلیک کنید.
3. شرایط توافق نامه مجوز را بپذیرید و سپس برنامه را به روز کنید.
4. بر روی دکمه "اسکن" کلیک کنید.

1. انتخاب نوع اسکن: " بررسی سریع"، "بررسی تهدیدات"، "اسکن سریع".
2. شروع به اسکن کنید.
3. تهدیدهای شناسایی شده قرنطینه خواهند شد؛ ویروس ها را از رایانه خود حذف کنید.

درباره نحوه عملکرد برنامه Emsisoft Emergency Kit بیشتر بخوانید.

ESET Online Scanner - اسکنر آنلاین ویروس

ESET آنلایناسکنر اسکنر آنلاینبرای اسکن رایانه و حذف تهدیدات شناسایی شده از رایانه شما. در کار خود، ابزار استفاده می کند فناوری های ابریبرای محافظت در برابر انواع متفاوتتهدیدها

ابتدا باید اسکنر آنلاین ESET را از وب سایت رسمی شرکت اسلواکی ESET دانلود کنید.

سپس این مراحل را دنبال کنید:

1. موافقت نامه مجوز را بپذیرید.
2. تنظیمات اسکن را پیکربندی کنید
3. بر روی دکمه "اسکن" کلیک کنید.

پس از اتمام اسکن، تهدیدات یافت شده را حذف کنید.

اطلاعات بیشتر درباره اسکنر آنلاین ESET را در صفحه بخوانید.

اسکنر آنلاین F-Secure - اسکنر ابری

F-Secure Online Scanner یک اسکنر آنلاین مبتنی بر ابر برای بررسی رایانه شما برای بدافزار است. این برنامه هنگام اسکن رایانه شما از پایگاه داده آنتی ویروس ابری استفاده می کند.

اپلیکیشن F-Secure Online Scanner را از وب سایت رسمی شرکت فنلاندی F-Secure دانلود کنید.

با دنبال کردن مراحل با اسکنر آنلاین F-Secure بررسی کنید:

1. پس از شروع برنامه، شرایط توافق نامه مجوز را بپذیرید.
2. بر روی دکمه "Accept and Verify" کلیک کنید.
3. سیستم را بررسی و از آن پاک کنید فایل های مخربو برنامه های کاربردی

در مورد عملکرد اسکنر آنلاین F-Secure از مقاله بیشتر خواهید آموخت.

Norton Power Eraser - شناسایی تهدیدات ویروس

Norton Power Eraser ابزاری برای شناسایی تهدیداتی است که شناسایی آنها با یک آنتی ویروس معمولی دشوار است. این برنامه از فناوری های اسکن تهاجمی برای شناسایی نرم افزارهای مخرب استفاده می کند.

نرم افزار Norton Power Eraser را می توانید از وب سایت رسمی شرکت آمریکایی سیمانتک دانلود کنید.

هنگام بررسی، این مراحل را دنبال کنید:

1. برنامه را راه اندازی کنید.
2. بر روی دکمه "اسکن برای تهدیدات" کلیک کنید.

1. تهدیدهای شناسایی شده را حذف کنید.

در صورت لزوم، در برنامه نورتون Power Eraser می تواند اسکن های پیشرفته را انجام دهد.

مقاله مفصلی در مورد نورتون پاور پاک کن موجود است.

اسکنر ایمنی مایکروسافت - یک اسکنر ویروس

محصول آنتی ویروس از یک شرکت آمریکایی - ایمنی مایکروسافتاسکنر نرم افزارهای مخرب را در سیستم عامل ویندوز شناسایی و حذف می کند. برای انجام اسکن، کاربر باید برنامه کاربردی را دانلود کرده و سپس اسکنر را روی رایانه راه اندازی کند.

قبل از دانلود، صفحه مایکروسافتاسکنر ایمنی وب سایت رسمی، زبان و نسخه بیت (64 بیتی یا 32 بیتی) برنامه را انتخاب کنید. اسکنر ضد ویروس به مدت 10 روز فعال می ماند. برای اسکن بعدی، باید یک نسخه جدید از ابزار با آخرین پایگاه داده آنتی ویروس دانلود کنید.

در Microsoft Safety بررسی اسکنرکامپیوتر برای ویروس ها به ترتیب زیر انجام می شود:

1. اجرا کن برنامه مایکروسافتاسکنر ایمنی در رایانه شما.
2. شرایط قرارداد مجوز را بپذیرید.
3. در پنجره بعدی، روی دکمه "بعدی" کلیک کنید.
4. نوع اسکن را انتخاب کنید: "اسکن سریع"، " بررسی کامل"، "اسکن سفارشی".

1. اسکن ویروس را اجرا کنید.
2. صبر کنید تا نتایج اسکن ظاهر شود.
3. اگر ویروس یا بدافزار دیگری شناسایی شد، اشیاء خطرناک را از رایانه خود حذف کنید.

مقاله مفصلی در مورد آن بخوانید استفاده از مایکروسافتاسکنر ایمنی

COMODO Cleaning Essentials - ابزارهای ضد ویروس

COMODO Cleaning Essentials مجموعه ای از ابزارها برای شناسایی و حذف ویروس ها و فرآیندهای خطرناک از رایانه شما است. این برنامه شامل یک اسکنر آنتی ویروس است که تشخیص می دهد انواع مختلفویروس ها

دانلود از وب سایت رسمی شرکت آمریکایی Comodo. در صفحه دانلود، عمق بیت عملیاتی را انتخاب کنید سیستم های ویندوزبر روی کامپیوتر شما نصب شده است. بایگانی را با برنامه در مکانی مناسب باز کنید.

برای انجام بررسی موارد زیر را انجام دهید:

1. ابتدا پوشه ای با نام “cce_scanner_version_number” و سپس پوشه “cce_x64” یا “cce_86” را بسته به بیت سیستم انتخاب شده باز کنید.
2. برای راه اندازی برنامه روی فایل "CCE" (برنامه) کلیک کنید.
3. شرایط قرارداد مجوز را بپذیرید.
4. نوع اسکن را انتخاب کنید: اسکن هوشمند، اسکن کامل، یا اسکن سفارشی.

پس از اتمام اسکن، عناصر مخرب را از رایانه خود حذف کنید.

نتیجه گیری مقاله

در این مقاله بهترین اسکنرهای آنتی ویروس که نیازی به نصب در رایانه شما ندارند، بحث می شود. برنامه ها را می توان از هر مکان مناسب روی رایانه راه اندازی کرد، از جمله از رسانه های قابل جابجایی. اسکنرهای ضد ویروس توسط کاربر به طور مستقل برای اسکن یکباره کامپیوتر راه اندازی می شوند. برنامه ها سیستم را اسکن می کنند و ویروس ها و بدافزارها را از رایانه حذف می کنند.

اگر از طریق آداپتور شبکه به آنها متصل شوید، کارت شبکه خراب به شما اجازه دسترسی به اینترنت یا شبکه محلی را نمی دهد. کارت های شبکه می توانند داخلی یا خارجی باشند. اگر کارت خارجی است، بررسی کنید که آیا به طور کامل در شکاف قرار گرفته است یا خیر. سفتی اتصال را نیز بررسی کنید کابل شبکهدارای کانکتور آداپتور اگر این گزینه ها کار نمی کنند یا آداپتور شبکه داخلی دارید، به احتمال زیاد مشکل تنظیمات سیستم است.

اگر اینترنت از کار بیفتد. در نوار وظیفه، وضعیت اتصال را بررسی کنید. اگر روی نماد دسترسی به اینترنت صلیب قرمز وجود داشته باشد، اتصال وجود ندارد. سعی کنید آن را روشن کنید. برای انجام این کار، روی نماد اینترنت کلیک کنید و "مرکز شبکه و اشتراک گذاری" را انتخاب کنید. دسترسی مشترک" روی صلیب قرمز در نمودار کلیک کنید اتصال شبکه. این یک برنامه تشخیصی را راه اندازی می کند که مشکلات را عیب یابی می کند و در صورت غیرفعال شدن آداپتور شبکه فعال می شود. خرابی درایور. اگر درایورهای کارت شبکه به درستی نصب نشده اند یا آسیب دیده اند، باید آنها را دوباره نصب کنید یا عقبگردتا آخرین حالت کار برای انجام این کار، روی Start کلیک کنید، کلیک کنید کلید سمت راستماوس را روی "Computer" قرار دهید و "Properties" را از لیست دستورات انتخاب کنید. از منوی سمت چپ، Device Manager را باز کنید. در بخش Network Adapters، ممکن است دستگاه شما علامت گذاری شده باشد علامت تعجب، به این معنی است که کار نمی کند. روی آداپتور دوبار کلیک کنید، تب Driver را انتخاب کنید و روی Roll Back کلیک کنید.

اگر بازگشت کار نکرد، سعی کنید به روز رسانیرانندگان برای انجام این کار، در تب "درایور" بالای دکمه "بازگشت"، روی "به روز رسانی" کلیک کنید. جستجوی خودکار را انتخاب کنید. اگر رایانه شما درایورهای فعال داشته باشد، ویندوز آنها را پیدا کرده و نصب می کند. اگر هیچ کدام وجود ندارد، باید خودتان آنها را دانلود کنید. نصب مجدد درایورها. برای آداپتورهای شبکه داخلی، فقط دیسکی را که همراه شما است وارد کنید مادربردو مسیر به روز رسانی پوشه درایور را مشخص کنید. در تب "درایور"، روی "به روز رسانی" - "جستجو و نصب دستی" - مسیر به پوشه درایورهاروی سی دی برای آسان‌تر کردن جستجو، کادر انتخاب «شامل زیرپوشه‌ها» را علامت بزنید. روی Next کلیک کنید. سیستم فایل های کاری را پیدا و نصب می کند. اگر کارت شما اکسترنال است و دیسکی با درایورها وجود ندارد، باید خودتان آنها را جستجو کنید. این نیاز خواهد داشت نام آداپتور شبکه. می توانید آن را در Device Manager یا با خواندن برچسب روی کارت پیدا کنید. در رایانه ای با دسترسی به اینترنت، به این سایت بروید و نام کارت شبکه خود را در قسمت جستجو وارد کنید. لینک ارائه شده را دنبال کنید. درایور نسخه ویندوز خود را انتخاب کنید و روی دانلود کلیک کنید. فایل دانلود شده را باز کنید و setup.exe را بر روی کامپیوتری که مشکل دارد اجرا کنید کارت شبکه. از منوی برنامه "Fix" را انتخاب کنید. یکی دیگر از مشکلات احتمالی کارت شبکه شما است. معلولو در مدیر دستگاه قابل مشاهده نیست. وحشت نکنید. اگر قبلا درست کار می کرد، می توانید دوباره آن را روشن کنید. برای انجام این کار، در Device Manager، روی "Network adapters" کلیک راست کرده و "Update hardware configuration" را انتخاب کنید. Plug and Play باید فوراً دستگاه شما را پیدا کرده و سعی کنید آن را وصل کنید.

مطمئن شوید که مشکل از کارت شبکه است. اگر عیب‌یابی شرح‌داده‌شده در نقطه 1 مشکلات آداپتور را نشان نداد، ممکن است مشکل از ارائه‌دهنده یا نقص فنی در خط باشد. درایورهای خود را به طور منظم به روز کنید و درایو خود را از شر آن ایمن نگه دارید مادربرد- این به شما کمک می کند تا به سرعت مشکلات کارت شبکه خود را حل کنید. کارت های خارجیرا می توان در رایانه های دیگر برای تعیین علت مشکل بررسی کرد.

اسکنر آنتی ویروس رایگان ESET Online Scanner برای اسکن رایانه شما برای ویروس ها به صورت آنلاین طراحی شده است. برنامه آنتی ویروسیک بار اسکن ویروس برای جستجو و خنثی کردن نرم افزارهای مخرب و بالقوه ناخواسته انجام می دهد.

اسکنر آنلاین ESET - این برنامه چیست؟ ESET Online Scanner - یک اسکنر آنلاین ویروس برای اسکن رایانه شما برای ویروس ها و خنثی کردن تهدیدات شناسایی شده. برای اینکه برنامه کار کند، به اتصال دائمی به اینترنت نیاز دارید، زیرا رایانه با استفاده از آن بررسی می شود پایگاه داده های آنتی ویروس، واقع در "ابر"، در سرور راه دور ESET.

برنامه برای در نظر گرفته نشده است حفاظت دائمیکامپیوتر از بدافزار اسکنر آنلاین ESET یک اسکن یکباره از رایانه شما است. هنگام استفاده از اسکنر آنلاین ESET هیچ تضادی با آنتی ویروس نصب شده در رایانه شما وجود ندارد.

اصل استفاده از اسکنر به شرح زیر است: راه اندازی ابزار، چک یکبارهو تهدیدات را خنثی کنید، ابزار را از رایانه خود حذف کنید؛ برای اسکن بعدی باید آخرین نسخه را دانلود کنید. ابزار آنتی ویروس.

پایه ای ویژگی های ESETاسکنر آنلاین:

• شناسایی موثر انواع تهدیدات
• حذف بد افزار
• تست بدون نصب روی کامپیوتر
• کل رایانه را اسکن کنید یا یک منطقه خاص را اسکن کنید

برنامه رایگان ESET Online Scanner به زبان روسی کار می کند. اسکنر آنلاین ESET را می توان از وب سایت رسمی سازنده دانلود کرد، توسعه دهنده معروفنرم افزار آنتی ویروس، شرکت اسلواکی ESET Software.

اسکنر آنلاین ESET نیازی به نصب بر روی رایانه شما ندارد، این برنامه بر روی نسخه های 32 و 64 بیتی سیستم عامل ویندوز اجرا می شود. فقط فایل دانلود شده را اجرا کنید، پس از بررسی این فایل قابل حذف است.

بلافاصله پس از راه‌اندازی اسکنر آنلاین Eset، در پنجره «شرایط استفاده» باید شرایط قرارداد مجوز را بپذیرید، روی دکمه «می‌پذیرم» کلیک کنید.

تنظیمات اسکنر آنلاین ESET

در پنجره «تنظیمات اسکن رایانه»، باید یکی از گزینه‌های اسکن رایانه خود را انتخاب کنید:

• فعال سازی یافتن برنامه هایی که احتمالا ناخواسته هستند
• شناسایی برنامه های بالقوه ناخواسته را غیرفعال کنید

اگر شناسایی برنامه‌های ناخواسته بالقوه را از نقطه نظر اسکنر آنلاین ESET فعال کنید، برنامه هنگام اسکن چنین برنامه‌هایی را پیدا می‌کند. اگر این گزینه را انتخاب کنید، اسکن کامل تری از رایانه شما انجام می شود.

به خاطر داشته باشید که به طور بالقوه برنامه های ناخواستهمخرب نیستند اینها ممکن است برنامه هایی باشند که شما نیاز دارید. با توجه به ابزار آنتی ویروس، برنامه های بالقوه ناخواسته ممکن است یک تهدید بالقوه برای رایانه شما باشد.

اگر شناسایی برنامه‌های بالقوه خطرناک غیرفعال باشد، اسکنر آنلاین ESET فقط هنگام اسکن رایانه شما، نرم‌افزارهای مخرب را شناسایی می‌کند.

برای پیکربندی پارامترهای عملیاتی برنامه، روی "Advanced" کلیک کنید.

در اینجا می توانید فعال یا غیرفعال کنید تنظیمات فردیتنظیمات برنامه، اشیاء را برای اسکن انتخاب کنید، سرور پراکسی را خودتان پیکربندی کنید. به صورت پیش فرض انتخاب شده است تنظیمات بهینه. به عنوان مثال، بهتر است ابتدا با تهدیدات شناسایی شده آشنا شوید تا خودتان تصمیم بگیرید تا اینکه به طور خودکار تهدیدات را با تکیه بر نظر برنامه پاکسازی کنید.

در تنظیمات "اشیاء اسکن فعلی"، از شما خواسته می شود اشیایی را برای اسکن انتخاب کنید ابزار آنتی ویروس. برای انتخاب اشیاء اسکن، روی دکمه «تغییر…» کلیک کنید.

در پنجره Select Scan Targets می توانید انتخاب کنید گزینه لازمبرای اسکن:

• رسانه قابل جابجایی - رسانه قابل جابجایی متصل به رایانه را بررسی کنید
• درایوهای محلی - بررسی درایوهای محلی
• درایوهای شبکه - درایوهای شبکه را بررسی کنید
• انتخاب نشده است

به طور پیش فرض، به عنوان یک هدف اسکن در برنامه ESETاسکنر آنلاین شامل اسکن اشیاء زیر است: RAM، بخش بوت، تمام درایوهای محلی متصل به رایانه.

در اینجا می توانید فقط برخی از درایوها یا پوشه ها یا فایل های خاص را برای اسکن انتخاب کنید. برای انجام این کار، علامت چک باکس های غیر ضروری در کنار اسکن اشیاء را بردارید. سپس فایل ها و پوشه های موجود در درایو خاص را انتخاب کنید. پس از اعمال تغییرات بر روی دکمه "OK" کلیک کنید.

اگر یک آنتی ویروس بر روی کامپیوتر در حال اسکن نصب شده باشد، Eset Online Scanner آن را شناسایی خواهد کرد. پیامی در این مورد در پنجره تنظیمات اسکن ظاهر می شود. برای اطلاعات کامل روی لینک "نمایش لیست" کلیک کنید.

در این مورد، اسکنر آنلاین ESET نرم افزار آنتی ویروس را در رایانه من شناسایی کرد: Kaspersky Internet Security.

پس از انتخاب تنظیمات، روی دکمه "اسکن" کلیک کنید تا شروع به اسکن کامپیوتر شما برای ویروس ها شود.

اسکن ویروس با اسکنر آنلاین ESET

ابتدا، مقداردهی اولیه انجام می شود، در این زمان پایگاه داده امضای ویروس و سایر اجزای لازم بارگذاری می شوند. در مرحله بعد، فرآیند اسکن رایانه شما برای ویروس ها آغاز می شود که مدتی طول می کشد. شما می توانید اسکن ویروس را در هر زمان با کلیک بر روی دکمه "توقف" متوقف کنید.

در پنجره برنامه پیشنهادی برای دانلود پولی خواهید دید آنتی ویروس ESET NOD32 امنیت هوشمند. اگر این پیشنهاد مرتبط نیست، آن را نادیده بگیرید.

پس از اتمام اسکن، در صورت شناسایی تهدیدات در رایانه، پنجره ای باز می شود که در آن بدافزار پیدا شده را مشاهده خواهید کرد.

در صورت لزوم، می توانید اطلاعات مربوط به تهدیدات را در کلیپ بورد کپی کنید یا آن را در یک فایل متنی در قالب "TXT" در رایانه خود ذخیره کنید.

در مورد من، اسکنر آنلاین ESET شناسایی شد تروجان هادر آرشیو ذخیره شده در Goole Drive. معلوم شد که اینها فایل های تم وردپرس هستند که من یک بار در یک سایت آزمایشی امتحان کردم. در یک زمان، من پوشه سایت را در Goole Drive ذخیره کردم، بنابراین این فایل ها هنوز در فضای ذخیره سازی ابری ذخیره می شوند. در فضای ذخیره سازی ابری OneDrive، اسکنر ضد ویروس تهدیدی را در برخی از کلیدهای موجود در دوره آموزشی شناسایی کرد. به هر حال، آنتی ویروس کسپرسکی و سایر اسکنرهای ضد ویروس این فایل ها را ایمن می دانند، بنابراین ممکن است این یک هشدار نادرست باشد.

بسته به نتایج اسکن، ممکن است هیچ اقدامی انجام ندهید، سپس تمام فایل های یافت شده در رایانه شما ذخیره می شوند، همه یا فقط برخی از فایل ها را برای پاک کردن فایل ها از رایانه خود انتخاب کنید. فایل ها قرنطینه می شوند یا از رایانه شما حذف می شوند.

اگر “Do not clean” را انتخاب کنید، پنجره ای با اطلاعاتی درباره نتایج اسکن باز می شود. در این پنجره می توانید گزینه “Delete application data when closing” را برای حذف داده های ویروس انتخاب کنید.

کادرهای کنار اشیاء شناسایی شده را علامت بزنید و سپس بر روی دکمه "پاک کردن انتخاب شده" (اگر فقط برخی از اشیاء انتخاب شده باشند) یا دکمه "پاک کردن همه" (در صورت انتخاب همه اشیاء) کلیک کنید.

در پنجره بعدی اطلاعاتی در مورد نتایج نمایش داده می شود اقدام قبلیکاربر با فایل های شناسایی شده در «مدیریت قرنطینه» می‌توانید برای حذف تهدیدات ویروسی شناسایی‌شده انتخاب کنید:

• هنگام بسته شدن، داده های برنامه را حذف کنید - با بسته شدن برنامه آنتی ویروس، فایل ها حذف می شوند
• حذف فایل ها از قرنطینه - فایل ها از قرنطینه حذف خواهند شد

قرنطینه (منطقه ایزوله و محافظت شده در رایانه شما) حاوی فایل هایی است که توسط اسکنر آنلاین ESET شناسایی شده است. ابتدا فایل ها را انتخاب کنید، سپس روی دکمه «بازگشت» کلیک کنید و سپس یک عمل را انتخاب کنید: حذف هنگام بستن برنامه یا حذف فایل ها از قرنطینه.

اگر کاربر گزینه حذف فایل را انتخاب نکند، فایل در قرنطینه باقی خواهد ماند.

در صورت لزوم، یک فایل قرنطینه شده را می توان به رایانه شما بازگرداند. برای انجام این کار، یک فایل را در قرنطینه انتخاب کنید و سپس بر روی "بازیابی" کلیک کنید.

پس از اتمام اسکن، از برنامه خارج شده و سپس فایل اسکنر ویروس را از رایانه خود حذف کنید. برای اجرای یک اسکن جدید، نسخه جدید ESET Online Scanner را در رایانه خود دانلود کنید.

نتیجه

ESET Online Scanner یک اسکنر آنتی ویروس آنلاین رایگان برای شناسایی و حذف نرم افزارهای مخرب از رایانه شما است. این برنامه بدون نصب بر روی رایانه کار می کند، اسکنر کل رایانه یا یک منطقه جداگانه را اسکن می کند، می توانید در برنامه بررسی کنید فایل جداگانهیا پوشه

مشکل اپیدمی کرم های شبکه برای هر شبکه محلی مرتبط است. دیر یا زود، زمانی که یک کرم شبکه یا ایمیل به شبکه LAN نفوذ می کند و توسط آنتی ویروس مورد استفاده شناسایی نمی شود، ممکن است شرایطی پیش بیاید. ویروس شبکهاز طریق آسیب‌پذیری‌های سیستم‌عامل که در زمان آلودگی بسته نشده‌اند یا از طریق منابع مشترک در دسترس برای نوشتن، از طریق یک شبکه LAN پخش می‌شود. ویروس ایمیل، همانطور که از نام آن پیداست، از طریق ایمیل منتشر می شود، مشروط بر اینکه توسط آنتی ویروس مشتری و آنتی ویروس روی آن مسدود نشده باشد. سرور پست الکترونیکی. علاوه بر این، یک اپیدمی در یک LAN می تواند از درون در نتیجه فعالیت های یک خودی سازماندهی شود. در این مقاله روش های عملی برای تجزیه و تحلیل عملیاتی رایانه های LAN با استفاده از ابزارهای مختلف، به ویژه با استفاده از نویسنده در نظر خواهیم گرفت. ابزارهای AVZ.

فرمول بندی مسئله

اگر یک بیماری همه گیر یا برخی فعالیت های غیرعادی در شبکه شناسایی شود، مدیر باید به سرعت حداقل سه کار را حل کند:

• شناسایی رایانه های شخصی آلوده در شبکه؛
• نمونه هایی از بدافزار را برای ارسال به آزمایشگاه ضد ویروس پیدا کنید و یک استراتژی مقابله با آن ایجاد کنید.
• اقداماتی را برای جلوگیری از انتشار ویروس در شبکه محلی و از بین بردن آن در رایانه های آلوده انجام دهید.

در مورد فعالیت های خودی، مراحل اصلی تجزیه و تحلیل یکسان است و اغلب به نیاز به شناسایی نرم افزار شخص ثالث نصب شده توسط خودی در رایانه های LAN خلاصه می شود. نمونه هایی از این نرم افزارها عبارتند از ابزارهای مدیریت از راه دور، کی لاگرها و نشانک های مختلف تروجان.

اجازه دهید راه حل هر یک از وظایف را با جزئیات بیشتری در نظر بگیریم.

جستجو برای رایانه های شخصی آلوده

برای جستجوی رایانه های شخصی آلوده در شبکه، می توانید حداقل از سه روش استفاده کنید:

• تجزیه و تحلیل کامپیوتر از راه دور خودکار - به دست آوردن اطلاعات در مورد فرآیندهای در حال اجرا، کتابخانه های بارگذاری شده و درایورها، جستجوی الگوهای مشخصه - به عنوان مثال، فرآیندها یا فایل های با اسامی داده شده;
• تجزیه و تحلیل ترافیک رایانه شخصی با استفاده از اسنیفر - این روشبرای گرفتن ربات های هرزنامه، ایمیل و کرم های شبکه بسیار موثر است، با این حال، مشکل اصلی در استفاده از sniffer به این دلیل است که یک LAN مدرن بر اساس سوئیچ ها ساخته شده است و در نتیجه، مدیر نمی تواند ترافیک را نظارت کند. کل شبکه مشکل را می توان به دو روش حل کرد: با اجرای یک sniffer بر روی روتر (که به شما امکان می دهد تبادل داده بین رایانه شخصی و اینترنت را نظارت کنید) و با استفاده از عملکردهای نظارتی سوئیچ ها (بسیاری از سوئیچ های مدرن به شما امکان می دهند یک پورت نظارت را به آن اختصاص دهید. که ترافیک یک یا چند پورت سوئیچ مشخص شده توسط مدیر تکراری است).
• مطالعه بار شبکه - در این مورد، استفاده از سوئیچ های هوشمند بسیار راحت است، که به شما امکان می دهد نه تنها بار را ارزیابی کنید، بلکه پورت های مشخص شده توسط مدیر را نیز از راه دور غیرفعال کنید. این عملیاتاگر مدیر یک نقشه شبکه داشته باشد که حاوی اطلاعاتی در مورد اینکه کدام رایانه های شخصی به پورت های مربوطه سوئیچ وصل شده اند و در کجا قرار دارند، به طور قابل توجهی ساده می شود.
• استفاده از هانی پات - اکیداً توصیه می شود که چندین هانی پات در شبکه محلی ایجاد کنید تا به مدیر امکان تشخیص به موقع یک بیماری همه گیر را بدهد.

تجزیه و تحلیل خودکار رایانه های شخصی در شبکه

تجزیه و تحلیل خودکار رایانه شخصی را می توان به سه مرحله اصلی کاهش داد:

• انجام یک معاینه کامپیوتر کامل - فرآیندهای در حال اجرا, کتابخانه ها و درایورهای بارگذاری شده, autorun;
• انجام تحقیقات عملیاتی - به عنوان مثال، جستجوی فرآیندها یا فایل های مشخصه؛
• قرنطینه اشیاء بر اساس معیارهای خاص.

تمام مشکلات فوق را می توان با استفاده از ابزار AVZ نویسنده که برای راه اندازی از یک پوشه شبکه در سرور طراحی شده است و از یک زبان برنامه نویسی برای بازرسی خودکار رایانه شخصی پشتیبانی می کند، حل کرد. برای اجرای AVZ در رایانه های کاربر باید:

1. AVZ را در یک پوشه شبکه روی سروری که برای خواندن باز است قرار دهید.
2. زیرشاخه های LOG و Qurantine را در این پوشه ایجاد کنید و به کاربران اجازه دهید برای آنها بنویسند.
3. با استفاده از ابزار rexec یا اسکریپت ورود، AVZ را در رایانه های LAN راه اندازی کنید.

راه اندازی AVZ در مرحله 3 باید با پارامترهای زیر انجام شود:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

در این حالت، پارامتر Priority=-1 اولویت فرآیند AVZ را کاهش می‌دهد، پارامترهای nw=Y و nq=Y قرنطینه را به حالت “Network run” تغییر می‌دهند (در این حالت یک زیر شاخه در پوشه قرنطینه ایجاد می‌شود. برای هر کامپیوتر که نام آن با نام شبکه PC)، HiddenMode=2 دستور عدم دسترسی کاربر به کنترل‌های GUI و AVZ، و در نهایت، بیشترین پارامتر مهماسکریپت نام کامل اسکریپت را با دستوراتی که AVZ روی کامپیوتر کاربر اجرا می کند مشخص می کند. استفاده از زبان برنامه نویسی AVZ بسیار ساده است و به طور انحصاری بر حل مشکلات معاینه و درمان رایانه متمرکز شده است. برای ساده‌تر کردن فرآیند نوشتن اسکریپت، می‌توانید از یک ویرایشگر تخصصی اسکریپت استفاده کنید که حاوی یک اعلان آنلاین، یک جادوگر برای ایجاد اسکریپت‌های استاندارد و ابزارهایی برای بررسی صحت اسکریپت نوشته شده بدون اجرای آن است (شکل 1).

برنج. 1. ویرایشگر اسکریپت AVZ

بیایید به سه فیلمنامه معمولی که ممکن است در مبارزه با همه گیری مفید باشند نگاه کنیم. ابتدا به یک اسکریپت تحقیق کامپیوتری نیاز داریم. وظیفه اسکریپت بررسی سیستم و ایجاد یک پروتکل با نتایج در یک پوشه شبکه داده شده است. اسکریپت به این شکل است:

ActivateWatchDog (60 * 10)؛

// شروع به اسکن و تجزیه و تحلیل کنید

// کاوش سیستم

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//خاموش کردن AVZ

در حین اجرای این اسکریپت، فایل های HTML با نتایج مطالعه رایانه های شبکه در پوشه LOG ایجاد می شود (با فرض اینکه در پوشه AVZ روی سرور ایجاد شده و برای نوشتن در دسترس کاربران باشد) و برای اطمینان از منحصر به فرد بودن، نام رایانه مورد بررسی در نام پروتکل گنجانده شده است. در ابتدای اسکریپت دستوری برای فعال کردن تایمر نگهبان وجود دارد که در صورت بروز خطا در هنگام اجرای اسکریپت، فرآیند AVZ را پس از 10 دقیقه به زور خاتمه می‌دهد.

پروتکل AVZ برای مطالعه دستی مناسب است، اما برای تجزیه و تحلیل خودکار کاربرد کمی دارد. علاوه بر این، مدیر اغلب نام فایل بدافزار را می داند و فقط باید وجود یا عدم وجود آن را بررسی کند این فایلو در صورت وجود، برای تجزیه و تحلیل قرنطینه کنید. در این حالت می توانید از اسکریپت زیر استفاده کنید:

// تایمر نگهبان را به مدت 10 دقیقه فعال کنید

ActivateWatchDog (60 * 10)؛

// بدافزار را با نام جستجو کنید

QuarantineFile('%WinDir%\smss.exe', 'مشکوک در مورد LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Suspicion of LdPinch.gen');

//خاموش کردن AVZ

این اسکریپت از تابع QuarantineFile برای قرنطینه کردن فایل های مشخص شده استفاده می کند. مدیر فقط می تواند محتویات قرنطینه (پوشه Quarantine\network_name_PC\quarantine_date\) را برای وجود فایل های قرنطینه شده تجزیه و تحلیل کند. لطفاً توجه داشته باشید که عملکرد QuarantineFile به طور خودکار قرنطینه فایل‌های شناسایی شده توسط پایگاه داده امن AVZ یا پایگاه داده امضای دیجیتال مایکروسافت را مسدود می‌کند. برای کاربرد عملیاین اسکریپت را می توان بهبود بخشید - بارگیری نام فایل ها را از یک فایل متنی خارجی سازماندهی کنید، فایل های یافت شده را در برابر پایگاه های داده AVZ بررسی کنید و یک پروتکل متنی با نتایج کار ایجاد کنید:

// فایلی را با نام مشخص شده جستجو کنید

تابع CheckByName(Fname: string): boolean;

نتیجه:= FileExists(FName) ;

اگر نتیجه پس شروع شود

case CheckFile(FName) of

1: S:= '، دسترسی به فایل مسدود شده است';

1: S:= '، به عنوان بدافزار شناسایی شد ('+GetLastCheckTxt+')';

2: S:= '، مشکوک اسکنر فایل ('+GetLastCheckTxt+')';

3: خروج؛ // فایل های ایمن نادیده گرفته می شوند

AddToLog('فایل '+NormalFileName(FName)+' یک نام مشکوک دارد'+S);

//اضافه کردن فایل مشخص شدهدر قرنطینه

QuarantineFile (FName، 'فایل مشکوک'+S)؛

SuspNames: TStringList; // لیست نام فایل های مشکوک

// بررسی فایل ها در برابر پایگاه داده به روز شده

اگر FileExists (GetAVZDirectory + 'files.db') سپس شروع کنید

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('نام پایگاه داده بارگیری شد - تعداد رکوردها = '+inttostr(SuspNames.Count));

// حلقه جستجو

برای i:= 0 به SuspNames.Count - 1 انجام دهید

CheckByName(SuspNames[i]);

AddToLog('خطا در بارگیری لیست نام فایل ها');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+'_files.txt');

برای اینکه این اسکریپت کار کند، باید دایرکتوری های Quarantine و LOG را در پوشه AVZ ایجاد کنید که برای نوشتن در دسترس کاربران باشد و همچنین فایل متنی files.db - هر خط از این فایل حاوی نام فایل مشکوک است. نام فایل ممکن است شامل ماکروها باشد که مفیدترین آنها %WinDir% (مسیر به پوشه ویندوز) و %SystemRoot% (مسیر به پوشه System32). جهت دیگر تحلیل می تواند بررسی خودکار لیست فرآیندهای در حال اجرا بر روی رایانه های کاربر باشد. اطلاعات مربوط به فرآیندهای در حال اجرا در پروتکل تحقیق سیستم وجود دارد، اما برای تجزیه و تحلیل خودکار استفاده از قطعه اسکریپت زیر راحت تر است:

رویه ScanProcess.

S:= ''; S1:= '';

//به روز رسانی لیست فرآیندها

RefreshProcessList;

AddToLog('تعداد فرآیندها = '+IntToStr(GetProcessCount));

// چرخه تجزیه و تحلیل لیست دریافتی

برای i:= 0 تا GetProcessCount - 1 شروع کنید

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// فرآیند را با نام جستجو کنید

اگر pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 سپس

S:= S + GetProcessName(i)+',';

اگر اس<>''سپس

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt'، DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

مطالعه فرآیندها در این اسکریپت به عنوان یک رویه ScanProcess جداگانه انجام می شود، بنابراین به راحتی می توان آن را در اسکریپت خودش قرار داد. رویه ScanProcess دو لیست از فرآیندها را ایجاد می کند: لیست کاملفرآیندها (برای تجزیه و تحلیل بعدی) و لیستی از فرآیندهایی که از دیدگاه مدیر، خطرناک تلقی می شوند. در این مورد، برای اهداف نمایشی، فرآیندی با نام "trojan.exe" خطرناک در نظر گرفته می شود. اطلاعات مربوط به فرآیندهای خطرناک به فایل متنی _alarm.txt، اطلاعات مربوط به همه فرآیندها به فایل _all_process.txt اضافه می شود. به راحتی می توان فهمید که می توانید اسکریپت را با اضافه کردن به آن پیچیده کنید، به عنوان مثال، بررسی فایل های فرآیند در برابر پایگاه داده فایل های امنیا چک کردن نام فایل های اجراییفرآیندهای برای پایه خارجی. رویه مشابهی در اسکریپت های AVZ مورد استفاده در Smolenskenergo استفاده می شود: مدیر به طور دوره ای اطلاعات جمع آوری شده را مطالعه می کند و اسکریپت را اصلاح می کند و نام فرآیندهای برنامه های ممنوعه توسط سیاست امنیتی را به آن اضافه می کند، به عنوان مثال ICQ و MailRu.Agent، که اجازه می دهد تا شما می توانید به سرعت وجود نرم افزارهای ممنوعه را در رایانه های شخصی مورد مطالعه بررسی کنید. یکی دیگر از کاربردهای فهرست فرآیندها، یافتن رایانه‌های شخصی است که فرآیند مورد نیاز مانند آنتی ویروس را ندارند.

در پایان، بیایید به آخرین اسکریپت تجزیه و تحلیل مفید نگاه کنیم - یک اسکریپت برای قرنطینه خودکار همه پرونده هایی که توسط پایگاه داده ایمن AVZ و پایگاه داده امضای دیجیتال مایکروسافت شناسایی نمی شوند:

// انجام اتوقرنتین

اجرای خودکار قرنطینه؛

قرنطینه خودکار فرآیندهای در حال اجرا و کتابخانه‌های بارگذاری شده، خدمات و درایورها، حدود 45 روش شروع خودکار، ماژول‌های برنامه افزودنی مرورگر و کاوشگر، کنترل‌کننده‌های SPI/LSP، کارهای زمان‌بندی، کنترل‌کننده‌های سیستم چاپ و غیره را بررسی می‌کند. ویژگی خاص قرنطینه این است که فایل ها با کنترل تکرار به آن اضافه می شوند، بنابراین می توان عملکرد خودکار قرنطینه را به طور مکرر فراخوانی کرد.

مزیت قرنطینه خودکار این است که با کمک آن مدیر می تواند به سرعت پتانسیل را جمع آوری کند فایل های مشکوکاز تمام کامپیوترهای موجود در شبکه برای مطالعه آنها. ساده ترین (اما در عمل بسیار موثر) شکل مطالعه پرونده ها می تواند بررسی قرنطینه دریافتی توسط چندین نفر باشد. آنتی ویروس های محبوبدر حالت حداکثر اکتشافی لازم به ذکر است که راه اندازی همزمان قرنطینه خودکار بر روی چند صد کامپیوتر می تواند بار زیادی را در شبکه و سرور فایل ایجاد کند.

تحقیقات ترافیک

تحقیقات ترافیکی را می توان به سه روش انجام داد:

• به صورت دستی با استفاده از sniffers.
• در حالت نیمه اتوماتیک - در این حالت، ردیابی اطلاعات را جمع آوری می کند و سپس پروتکل های آن به صورت دستی یا توسط برخی نرم افزارها پردازش می شود.
• به طور خودکار با استفاده از سیستم های تشخیص نفوذ (IDS) مانند Snort (http://www.snort.org/) یا نرم افزار یا آنالوگ سخت افزاری آنها. در ساده ترین حالت، یک IDS شامل یک sniffer و یک سیستم است که اطلاعات جمع آوری شده توسط Sniffer را تجزیه و تحلیل می کند.

یک سیستم تشخیص نفوذ یک ابزار بهینه است زیرا به شما امکان می دهد مجموعه ای از قوانین را برای تشخیص ناهنجاری ها در فعالیت شبکه ایجاد کنید. مزیت دوم آن این است: اکثر IDS های مدرن به عوامل نظارت بر ترافیک اجازه می دهند تا بر روی چندین گره شبکه قرار گیرند - عامل ها اطلاعات را جمع آوری و انتقال می دهند. در صورت استفاده از sniffer، استفاده از کنسول UNIX sniffer tcpdump بسیار راحت است. به عنوان مثال، برای نظارت بر فعالیت در پورت 25 ( پروتکل SMTP) فقط Sniffer را با یک خط فرمان مانند:

tcpdump -i em0 -l tcp پورت 25 > smtp_log.txt

در این مورد، بسته ها از طریق رابط em0 ضبط می شوند. اطلاعات مربوط به بسته های ضبط شده در فایل smtp_log.txt ذخیره می شود. تجزیه و تحلیل دستی پروتکل نسبتاً آسان است در این مثالتجزیه و تحلیل فعالیت در پورت 25 به شما امکان می دهد رایانه های شخصی را با ربات های اسپم فعال شناسایی کنید.

کاربرد هانی پات

قابل استفاده به عنوان تله (Honeypot) کامپیوتر قدیمی، که عملکرد آن اجازه نمی دهد از آن برای حل استفاده شود وظایف تولید. به عنوان مثال، یک پنتیوم پرو با 64 مگابایت با موفقیت به عنوان یک تله در شبکه نویسنده استفاده می شود. حافظه دسترسی تصادفی. در این رایانه شخصی باید رایج ترین شبکه LAN را نصب کنید سیستم عاملو یکی از استراتژی ها را انتخاب کنید:

• یک سیستم عامل بدون بسته های به روز نصب کنید - این نشانگر ظاهر یک فعال خواهد بود کرم شبکهبهره برداری از هر یک از آسیب پذیری های شناخته شده برای یک سیستم عامل معین؛
• یک سیستم عامل با به روز رسانی هایی که بر روی رایانه های شخصی دیگر در شبکه نصب شده اند نصب کنید - Honeypot مشابه هر یک از ایستگاه های کاری خواهد بود.

هر استراتژی هم مزایا و هم معایب خود را دارد. نویسنده عمدتاً از گزینه بدون به روز رسانی استفاده می کند. پس از ایجاد Honeypot، باید یک تصویر دیسک برای آن ایجاد کنید بهبودی سریعسیستم پس از آسیب دیدگی توسط بدافزار. به عنوان جایگزینی برای تصویر دیسک، می توانید از سیستم های تغییر بازگشت مانند ShadowUser و آنالوگ های آن استفاده کنید. پس از ساخت Honeypot، باید در نظر داشته باشید که تعدادی از کرم‌های شبکه با اسکن محدوده IP، محاسبه شده از آدرس IP رایانه آلوده، رایانه‌های آلوده را جستجو می‌کنند (استراتژی‌های معمول معمول عبارتند از X.X.X.*، X.X.X+1.*، X.X.X-1.*)، - بنابراین، در حالت ایده آل، باید یک Honeypot در هر زیر شبکه وجود داشته باشد. به عنوان عناصر آماده سازی اضافی، قطعاً باید دسترسی به چندین پوشه در سیستم Honeypot را باز کنید و چندین فایل نمونه باید در این پوشه ها قرار گیرند. فرمت های مختلف, حداقل مجموعه- EXE، JPG، MP3.

طبیعتاً با ایجاد Honeypot، مدیر باید بر عملکرد آن نظارت داشته باشد و به هر گونه ناهنجاری شناسایی شده در آن پاسخ دهد. این کامپیوتر. حسابرسان را می توان به عنوان وسیله ای برای ثبت تغییرات استفاده کرد؛ از sniffer می توان برای ثبت فعالیت شبکه استفاده کرد. یک نکته مهماین است که اکثر sniffer ها توانایی پیکربندی ارسال هشدار به مدیر را در صورت شناسایی فعالیت شبکه مشخصی فراهم می کنند. به عنوان مثال، در CommView sniffer، یک قانون شامل تعیین یک "فرمول" است که توصیف می کند بسته شبکه، یا تعیین معیارهای کمی (ارسال بیش از تعداد مشخصی بسته یا بایت در ثانیه، ارسال بسته ها به آدرس های IP یا MAC ناشناس) - شکل. 2.

برنج. 2. یک هشدار فعالیت شبکه ایجاد و پیکربندی کنید

به عنوان یک هشدار، استفاده از پیام های ایمیل ارسال شده به آن راحت تر است صندوق پستیمدیر - در این حالت، می توانید هشدارهای سریع را از تمام تله های موجود در شبکه دریافت کنید. علاوه بر این، اگر sniffer به شما اجازه ایجاد چندین هشدار را می دهد، متمایز کردن فعالیت شبکه، برجسته کردن کار با ایمیل، FTP/HTTP، TFTP، Telnet، MS Net، افزایش ترافیک بیش از 20-30 بسته در ثانیه در هر ثانیه منطقی است. پروتکل (شکل 3).

برنج. 3. نامه اطلاع رسانی ارسال شد
اگر بسته های مطابق با معیارهای مشخص شده شناسایی شوند

هنگام سازماندهی یک تله، ایده خوبی است که چندین سرویس شبکه آسیب پذیر مورد استفاده در شبکه را روی آن قرار دهید یا یک شبیه ساز برای آنها نصب کنید. ساده ترین (و رایگان) ابزار اختصاصی APS است که بدون نصب کار می کند. اصل عملکرد APS به گوش دادن به بسیاری از پورت های TCP و UDP که در پایگاه داده آن توضیح داده شده اند و صدور یک پاسخ از پیش تعیین شده یا تصادفی تولید شده در لحظه اتصال خلاصه می شود (شکل 4).

برنج. 4. پنجره اصلی ابزار APS

شکل اسکرین شات گرفته شده در حین فعال سازی APS واقعی در Smolenskenergo LAN را نشان می دهد. همانطور که در شکل مشاهده می شود، تلاش برای اتصال یکی از کامپیوترهای مشتریدر پورت 21. تجزیه و تحلیل پروتکل‌ها نشان داد که تلاش‌ها دوره‌ای هستند و توسط چندین تله در شبکه ثبت می‌شوند، که به ما امکان می‌دهد نتیجه بگیریم که شبکه برای جستجو و هک کردن سرورهای FTP با حدس زدن رمزهای عبور، اسکن می‌شود. APS گزارش‌ها را نگه می‌دارد و می‌تواند پیام‌هایی را با گزارش‌هایی از اتصالات ثبت‌شده به پورت‌های نظارت شده برای مدیران ارسال کند، که برای تشخیص سریع اسکن‌های شبکه راحت است.

هنگام ایجاد Honeypot، آشنایی با منابع آنلاین در مورد موضوع، به ویژه http://www.honeynet.org/ نیز مفید است. که در بخش ابزاردر این سایت (http://www.honeynet.org/tools/index.html) می توانید تعدادی ابزار برای ضبط و تجزیه و تحلیل حملات پیدا کنید.

حذف بدافزار از راه دور

که در در حالت ایده آلپس از شناسایی نمونه‌های بدافزار، مدیر آن‌ها را به آزمایشگاه آنتی ویروس می‌فرستد و در آنجا به سرعت توسط تحلیلگران بررسی می‌شود و امضاهای مربوطه به پایگاه داده آنتی ویروس اضافه می‌شوند. این امضاها از طریق به روز رسانی خودکاربه رایانه شخصی کاربر برسد و آنتی ویروس تولید کند حذف خودکاربدافزار بدون دخالت مدیر با این حال، این زنجیره همیشه آنطور که انتظار می رود کار نمی کند، به ویژه، دلایل زیر برای شکست ممکن است:

• به دلایلی مستقل از مدیر شبکه، تصاویر ممکن است به آزمایشگاه آنتی ویروس نرسند.
• راندمان ناکافی آزمایشگاه ضد ویروس - در حالت ایده آل، مطالعه نمونه ها و وارد کردن آنها به پایگاه داده بیش از 1-2 ساعت طول نمی کشد، به این معنی که پایگاه داده های امضای به روز شده را می توان در یک روز کاری به دست آورد. با این حال، نه همه آزمایشگاه های آنتی ویروسآنها خیلی سریع کار می کنند و می توانید چندین روز (در موارد نادر حتی هفته ها) منتظر به روز رسانی باشید.
• عملکرد بالای آنتی ویروس - تعدادی از برنامه های مخرب، پس از فعال سازی، آنتی ویروس ها را از بین می برند یا در غیر این صورت عملکرد آنها را مختل می کنند. نمونه های کلاسیک - ورود به یک فایل رکوردها را میزبانی می کند، مسدود کردن کار معمولیسیستم های به روز رسانی خودکار آنتی ویروس، حذف فرآیندها، سرویس ها و درایورهای آنتی ویروس، آسیب به تنظیمات آنها و غیره.

بنابراین در شرایط فوق باید به صورت دستی با بدافزارها مقابله کنید. در بیشتر موارد، این کار دشواری نیست، زیرا رایانه های شخصی آلوده از نتایج معاینات رایانه ای و همچنین نام های کاملفایل های بدافزار تنها چیزی که باقی می ماند حذف آنها از راه دور است. اگر برنامه مخرب از حذف محافظت نشده باشد، می توان با استفاده از اسکریپت AVZ زیر آن را از بین برد:

// حذف یک فایل

DeleteFile ('نام فایل');

ExecuteSysClean;

این اسکریپت یک فایل مشخص شده (یا چندین فایل را حذف می کند، زیرا می تواند تعداد نامحدودی از دستورات DeleteFile در یک اسکریپت وجود داشته باشد) و سپس اجرا می کند. تمیز کردن خودکارثبت در یک مورد پیچیده تر، بدافزار می تواند از خود در برابر حذف محافظت کند (مثلاً با ایجاد مجدد فایل ها و کلیدهای رجیستری) یا با استفاده از فناوری روت کیت خود را پنهان کند. در این مورد، اسکریپت پیچیده تر می شود و به شکل زیر خواهد بود:

// آنتی روت کیت

SearchRootkit (درست، درست)؛

// AVZGuard را کنترل کنید

SetAVZGuardStatus(true);

// حذف یک فایل

DeleteFile ('نام فایل');

// ثبت BootCleaner را فعال کنید

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// لیستی از فایل های حذف شده توسط اسکریپت را به وظیفه BootCleaner وارد کنید

BC_ImportDeletedList;

// BootCleaner را فعال کنید

// تمیز کردن سیستم اکتشافی

ExecuteSysClean;

RebootWindows (true);

این اسکریپت شامل مقابله فعال با روت کیت ها، استفاده از سیستم AVZGuard (این یک مسدود کننده فعالیت بدافزار است) و سیستم BootCleaner است. BootCleaner درایوری است که حذف را انجام می دهد اشیاء داده شدهاز KernelMode در طول راه اندازی مجدد، در اوایل فرآیند بوت سیستم. تمرین نشان می دهد که چنین اسکریپتی قادر است اکثریت قریب به اتفاق بدافزارهای موجود را از بین ببرد. استثناء بدافزاری است که نام فایل های اجرایی خود را با هر بار راه اندازی مجدد تغییر می دهد - در این مورد، فایل های کشف شده در حین اسکن سیستم را می توان تغییر نام داد. در این مورد، باید رایانه خود را به صورت دستی ضد عفونی کنید یا امضاهای بدافزار خود را ایجاد کنید (نمونه ای از اسکریپتی که جستجوی امضا را پیاده سازی می کند در راهنمای AVZ توضیح داده شده است).

نتیجه

در این مقاله، ما به چند تکنیک عملی برای مبارزه با اپیدمی LAN به صورت دستی و بدون استفاده نگاه کردیم. محصولات آنتی ویروس. بیشتر تکنیک های توصیف شده را می توان برای جستجوی رایانه های شخصی خارجی و نشانک های تروجان در رایانه های کاربر نیز استفاده کرد. اگر در یافتن بدافزار یا ایجاد اسکریپت‌های درمانی مشکل دارید، مدیر می‌تواند از بخش «راهنما» انجمن http://virusinfo.info یا بخش «مبارزه با ویروس‌ها» در انجمن http://forum.kaspersky.com استفاده کند. /index.php?showforum= 18. مطالعه پروتکل ها و کمک در درمان در هر دو انجمن به صورت رایگان انجام می شود، تجزیه و تحلیل PC طبق پروتکل های AVZ انجام می شود و در بیشتر موارد درمان به اجرا در رایانه های شخصی آلوده کاهش می یابد. اسکریپت AVZ، توسط متخصصان مجرب این انجمن ها گردآوری شده است.

مشکل اپیدمی کرم های شبکه برای هر شبکه محلی مرتبط است. دیر یا زود، زمانی که یک کرم شبکه یا ایمیل به شبکه LAN نفوذ می کند و توسط آنتی ویروس مورد استفاده شناسایی نمی شود، ممکن است شرایطی پیش بیاید. یک ویروس شبکه از طریق آسیب‌پذیری‌های سیستم عامل که در زمان آلودگی بسته نشده بودند یا از طریق منابع مشترک قابل نوشتن، در سراسر یک LAN پخش می‌شود. ویروس ایمیل، همانطور که از نامش پیداست، از طریق ایمیل منتشر می شود، به شرطی که توسط آنتی ویروس مشتری و آنتی ویروس روی سرور ایمیل مسدود نشود. علاوه بر این، یک اپیدمی در یک LAN می تواند از درون در نتیجه فعالیت های یک خودی سازماندهی شود. در این مقاله به روش های عملی برای تجزیه و تحلیل عملیاتی رایانه های LAN با استفاده از ابزارهای مختلف، به ویژه با استفاده از ابزار AVZ نویسنده نگاه خواهیم کرد.

فرمول بندی مسئله

اگر یک بیماری همه گیر یا برخی فعالیت های غیرعادی در شبکه شناسایی شود، مدیر باید به سرعت حداقل سه کار را حل کند:

• شناسایی رایانه های شخصی آلوده در شبکه؛
• نمونه هایی از بدافزار را برای ارسال به آزمایشگاه ضد ویروس پیدا کنید و یک استراتژی مقابله با آن ایجاد کنید.
• اقداماتی را برای جلوگیری از انتشار ویروس در شبکه محلی و از بین بردن آن در رایانه های آلوده انجام دهید.

در مورد فعالیت های خودی، مراحل اصلی تجزیه و تحلیل یکسان است و اغلب به نیاز به شناسایی نرم افزار شخص ثالث نصب شده توسط خودی در رایانه های LAN خلاصه می شود. نمونه هایی از این نرم افزارها عبارتند از ابزارهای مدیریت از راه دور، کی لاگرها و نشانک های مختلف تروجان.

اجازه دهید راه حل هر یک از وظایف را با جزئیات بیشتری در نظر بگیریم.

جستجو برای رایانه های شخصی آلوده

برای جستجوی رایانه های شخصی آلوده در شبکه، می توانید حداقل از سه روش استفاده کنید:

• تجزیه و تحلیل کامپیوتر از راه دور خودکار - به دست آوردن اطلاعات در مورد فرآیندهای در حال اجرا، کتابخانه های بارگذاری شده و درایورها، جستجوی الگوهای مشخصه - به عنوان مثال، فرآیندها یا فایل هایی با نام های مشخص.
• مطالعه ترافیک رایانه شخصی با استفاده از sniffer - این روش برای گرفتن ربات های هرزنامه، ایمیل و کرم های شبکه بسیار موثر است، با این حال، مشکل اصلی در استفاده از sniffer به این دلیل است که یک LAN مدرن بر اساس سوئیچ ها ساخته شده است. در نتیجه، مدیر نمی تواند ترافیک کل شبکه را نظارت کند. مشکل را می توان به دو روش حل کرد: با اجرای یک sniffer بر روی روتر (که به شما امکان می دهد تبادل داده بین رایانه شخصی و اینترنت را نظارت کنید) و با استفاده از عملکردهای نظارتی سوئیچ ها (بسیاری از سوئیچ های مدرن به شما امکان می دهند یک پورت نظارت را به آن اختصاص دهید. که ترافیک یک یا چند پورت سوئیچ مشخص شده توسط مدیر تکراری است).
• مطالعه بار شبکه - در این مورد، استفاده از سوئیچ های هوشمند بسیار راحت است، که به شما امکان می دهد نه تنها بار را ارزیابی کنید، بلکه پورت های مشخص شده توسط مدیر را نیز از راه دور غیرفعال کنید. اگر مدیر نقشه شبکه ای داشته باشد که حاوی اطلاعاتی در مورد اینکه کدام رایانه های شخصی به پورت های سوئیچ مربوطه وصل شده اند و در کجا قرار دارند، این عملیات بسیار ساده می شود.
• استفاده از هانی پات - اکیداً توصیه می شود که چندین هانی پات در شبکه محلی ایجاد کنید تا به مدیر امکان تشخیص به موقع یک بیماری همه گیر را بدهد.

تجزیه و تحلیل خودکار رایانه های شخصی در شبکه

تجزیه و تحلیل خودکار رایانه شخصی را می توان به سه مرحله اصلی کاهش داد:

• انجام یک اسکن کامل رایانه شخصی - فرآیندهای در حال اجرا، کتابخانه ها و درایورهای بارگذاری شده، شروع خودکار.
• انجام تحقیقات عملیاتی - به عنوان مثال، جستجوی فرآیندها یا فایل های مشخصه؛
• قرنطینه اشیاء بر اساس معیارهای خاص.

تمام مشکلات فوق را می توان با استفاده از ابزار AVZ نویسنده که برای راه اندازی از یک پوشه شبکه در سرور طراحی شده است و از یک زبان برنامه نویسی برای بازرسی خودکار رایانه شخصی پشتیبانی می کند، حل کرد. برای اجرای AVZ در رایانه های کاربر باید:

1. AVZ را در یک پوشه شبکه روی سروری که برای خواندن باز است قرار دهید.
2. زیرشاخه های LOG و Qurantine را در این پوشه ایجاد کنید و به کاربران اجازه دهید برای آنها بنویسند.
3. با استفاده از ابزار rexec یا اسکریپت ورود، AVZ را در رایانه های LAN راه اندازی کنید.

راه اندازی AVZ در مرحله 3 باید با پارامترهای زیر انجام شود:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

در این حالت، پارامتر Priority=-1 اولویت فرآیند AVZ را کاهش می‌دهد، پارامترهای nw=Y و nq=Y قرنطینه را به حالت “Network run” تغییر می‌دهند (در این حالت یک زیر شاخه در پوشه قرنطینه ایجاد می‌شود. برای هر رایانه ای که نام آن با نام شبکه رایانه شخصی مطابقت دارد)، HiddenMode=2 به کاربر دستور می دهد تا دسترسی کاربر به کنترل های GUI و AVZ را ممنوع کند و در نهایت، مهمترین پارامتر Script نام کامل اسکریپت را با دستوراتی که AVZ بر روی کامپیوتر کاربر اجرا می کند. استفاده از زبان برنامه نویسی AVZ بسیار ساده است و به طور انحصاری بر حل مشکلات معاینه و درمان رایانه متمرکز شده است. برای ساده‌تر کردن فرآیند نوشتن اسکریپت، می‌توانید از یک ویرایشگر تخصصی اسکریپت استفاده کنید که حاوی یک اعلان آنلاین، یک جادوگر برای ایجاد اسکریپت‌های استاندارد و ابزارهایی برای بررسی صحت اسکریپت نوشته شده بدون اجرای آن است (شکل 1).

برنج. 1. ویرایشگر اسکریپت AVZ

بیایید به سه فیلمنامه معمولی که ممکن است در مبارزه با همه گیری مفید باشند نگاه کنیم. ابتدا به یک اسکریپت تحقیق کامپیوتری نیاز داریم. وظیفه اسکریپت بررسی سیستم و ایجاد یک پروتکل با نتایج در یک پوشه شبکه داده شده است. اسکریپت به این شکل است:

ActivateWatchDog (60 * 10)؛

// شروع به اسکن و تجزیه و تحلیل کنید

// کاوش سیستم

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//خاموش کردن AVZ

در حین اجرای این اسکریپت، فایل های HTML با نتایج مطالعه رایانه های شبکه در پوشه LOG ایجاد می شود (با فرض اینکه در پوشه AVZ روی سرور ایجاد شده و برای نوشتن در دسترس کاربران باشد) و برای اطمینان از منحصر به فرد بودن، نام رایانه مورد بررسی در نام پروتکل گنجانده شده است. در ابتدای اسکریپت دستوری برای فعال کردن تایمر نگهبان وجود دارد که در صورت بروز خطا در هنگام اجرای اسکریپت، فرآیند AVZ را پس از 10 دقیقه به زور خاتمه می‌دهد.

پروتکل AVZ برای مطالعه دستی مناسب است، اما برای تجزیه و تحلیل خودکار کاربرد کمی دارد. علاوه بر این، مدیر اغلب نام فایل بدافزار را می داند و فقط باید وجود یا عدم وجود این فایل را بررسی کند و در صورت وجود آن را برای تجزیه و تحلیل قرنطینه کند. در این حالت می توانید از اسکریپت زیر استفاده کنید:

// تایمر نگهبان را به مدت 10 دقیقه فعال کنید

ActivateWatchDog (60 * 10)؛

// بدافزار را با نام جستجو کنید

QuarantineFile('%WinDir%\smss.exe', 'مشکوک در مورد LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Suspicion of LdPinch.gen');

//خاموش کردن AVZ

این اسکریپت از تابع QuarantineFile برای قرنطینه کردن فایل های مشخص شده استفاده می کند. مدیر فقط می تواند محتویات قرنطینه (پوشه Quarantine\network_name_PC\quarantine_date\) را برای وجود فایل های قرنطینه شده تجزیه و تحلیل کند. لطفاً توجه داشته باشید که عملکرد QuarantineFile به طور خودکار قرنطینه فایل‌های شناسایی شده توسط پایگاه داده امن AVZ یا پایگاه داده امضای دیجیتال مایکروسافت را مسدود می‌کند. برای استفاده عملی، این اسکریپت را می توان بهبود بخشید - بارگیری نام فایل ها را از یک فایل متنی خارجی سازماندهی کنید، فایل های یافت شده را در برابر پایگاه های داده AVZ بررسی کنید و یک پروتکل متنی با نتایج کار ایجاد کنید:

// فایلی را با نام مشخص شده جستجو کنید

تابع CheckByName(Fname: string): boolean;

نتیجه:= FileExists(FName) ;

اگر نتیجه پس شروع شود

case CheckFile(FName) of

1: S:= '، دسترسی به فایل مسدود شده است';

1: S:= '، به عنوان بدافزار شناسایی شد ('+GetLastCheckTxt+')';

2: S:= '، مشکوک اسکنر فایل ('+GetLastCheckTxt+')';

3: خروج؛ // فایل های ایمن نادیده گرفته می شوند

AddToLog('فایل '+NormalFileName(FName)+' یک نام مشکوک دارد'+S);

//فایل مشخص شده را به قرنطینه اضافه کنید

QuarantineFile (FName، 'فایل مشکوک'+S)؛

SuspNames: TStringList; // لیست نام فایل های مشکوک

// بررسی فایل ها در برابر پایگاه داده به روز شده

اگر FileExists (GetAVZDirectory + 'files.db') سپس شروع کنید

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('نام پایگاه داده بارگیری شد - تعداد رکوردها = '+inttostr(SuspNames.Count));

// حلقه جستجو

برای i:= 0 به SuspNames.Count - 1 انجام دهید

CheckByName(SuspNames[i]);

AddToLog('خطا در بارگیری لیست نام فایل ها');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+'_files.txt');

برای اینکه این اسکریپت کار کند، لازم است که در پوشه AVZ فهرست های Quarantine و LOG در دسترس کاربران برای نوشتن و همچنین فایل متنی files.db ایجاد کنید - هر خط از این فایل حاوی نام فایل مشکوک است. نام فایل ها می تواند شامل ماکروها باشد که مفیدترین آنها %WinDir% (مسیر به پوشه ویندوز) و %SystemRoot% (مسیر به پوشه System32) می باشد. جهت دیگر تحلیل می تواند بررسی خودکار لیست فرآیندهای در حال اجرا بر روی رایانه های کاربر باشد. اطلاعات مربوط به فرآیندهای در حال اجرا در پروتکل تحقیق سیستم وجود دارد، اما برای تجزیه و تحلیل خودکار استفاده از قطعه اسکریپت زیر راحت تر است:

رویه ScanProcess.

S:= ''; S1:= '';

//به روز رسانی لیست فرآیندها

RefreshProcessList;

AddToLog('تعداد فرآیندها = '+IntToStr(GetProcessCount));

// چرخه تجزیه و تحلیل لیست دریافتی

برای i:= 0 تا GetProcessCount - 1 شروع کنید

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// فرآیند را با نام جستجو کنید

اگر pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 سپس

S:= S + GetProcessName(i)+',';

اگر اس<>''سپس

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt'، DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

مطالعه فرآیندها در این اسکریپت به عنوان یک رویه ScanProcess جداگانه انجام می شود، بنابراین به راحتی می توان آن را در اسکریپت خودش قرار داد. روش ScanProcess دو لیست از فرآیندها را ایجاد می کند: یک لیست کامل از فرآیندها (برای تجزیه و تحلیل بعدی) و یک لیست از فرآیندهایی که از دیدگاه مدیر، خطرناک در نظر گرفته می شوند. در این مورد، برای اهداف نمایشی، فرآیندی با نام "trojan.exe" خطرناک در نظر گرفته می شود. اطلاعات مربوط به فرآیندهای خطرناک به فایل متنی _alarm.txt، اطلاعات مربوط به همه فرآیندها به فایل _all_process.txt اضافه می شود. به راحتی می توان فهمید که می توانید اسکریپت را با افزودن به آن پیچیده کنید، به عنوان مثال، بررسی فایل های فرآیند در برابر پایگاه داده ای از فایل های امن یا بررسی نام فایل های پردازش اجرایی در برابر یک پایگاه داده خارجی. رویه مشابهی در اسکریپت های AVZ مورد استفاده در Smolenskenergo استفاده می شود: مدیر به طور دوره ای اطلاعات جمع آوری شده را مطالعه می کند و اسکریپت را اصلاح می کند و نام فرآیندهای برنامه های ممنوعه توسط سیاست امنیتی را به آن اضافه می کند، به عنوان مثال ICQ و MailRu.Agent، که اجازه می دهد تا شما می توانید به سرعت وجود نرم افزارهای ممنوعه را در رایانه های شخصی مورد مطالعه بررسی کنید. یکی دیگر از کاربردهای فهرست فرآیندها، یافتن رایانه‌های شخصی است که فرآیند مورد نیاز مانند آنتی ویروس را ندارند.

در پایان، بیایید به آخرین اسکریپت تجزیه و تحلیل مفید نگاه کنیم - یک اسکریپت برای قرنطینه خودکار همه پرونده هایی که توسط پایگاه داده ایمن AVZ و پایگاه داده امضای دیجیتال مایکروسافت شناسایی نمی شوند:

// انجام اتوقرنتین

اجرای خودکار قرنطینه؛

قرنطینه خودکار فرآیندهای در حال اجرا و کتابخانه‌های بارگذاری شده، خدمات و درایورها، حدود 45 روش شروع خودکار، ماژول‌های برنامه افزودنی مرورگر و کاوشگر، کنترل‌کننده‌های SPI/LSP، کارهای زمان‌بندی، کنترل‌کننده‌های سیستم چاپ و غیره را بررسی می‌کند. ویژگی خاص قرنطینه این است که فایل ها با کنترل تکرار به آن اضافه می شوند، بنابراین می توان عملکرد خودکار قرنطینه را به طور مکرر فراخوانی کرد.

مزیت قرنطینه خودکار این است که با کمک آن، مدیر می تواند به سرعت فایل های مشکوک را از تمام رایانه های موجود در شبکه برای بررسی جمع آوری کند. ساده ترین (اما در عمل بسیار موثر) شکل مطالعه فایل ها می تواند بررسی قرنطینه حاصل با چندین آنتی ویروس محبوب در حالت حداکثر اکتشافی باشد. لازم به ذکر است که راه اندازی همزمان قرنطینه خودکار بر روی چند صد کامپیوتر می تواند بار زیادی را در شبکه و سرور فایل ایجاد کند.

تحقیقات ترافیک

تحقیقات ترافیکی را می توان به سه روش انجام داد:

• به صورت دستی با استفاده از sniffers.
• در حالت نیمه اتوماتیک - در این حالت، ردیابی اطلاعات را جمع آوری می کند و سپس پروتکل های آن به صورت دستی یا توسط برخی نرم افزارها پردازش می شود.
• به طور خودکار با استفاده از سیستم های تشخیص نفوذ (IDS) مانند Snort (http://www.snort.org/) یا نرم افزار یا آنالوگ سخت افزاری آنها. در ساده ترین حالت، یک IDS شامل یک sniffer و یک سیستم است که اطلاعات جمع آوری شده توسط Sniffer را تجزیه و تحلیل می کند.

یک سیستم تشخیص نفوذ یک ابزار بهینه است زیرا به شما امکان می دهد مجموعه ای از قوانین را برای تشخیص ناهنجاری ها در فعالیت شبکه ایجاد کنید. مزیت دوم آن این است: اکثر IDS های مدرن به عوامل نظارت بر ترافیک اجازه می دهند تا بر روی چندین گره شبکه قرار گیرند - عامل ها اطلاعات را جمع آوری و انتقال می دهند. در صورت استفاده از sniffer، استفاده از کنسول UNIX sniffer tcpdump بسیار راحت است. به عنوان مثال، برای نظارت بر فعالیت در پورت 25 (پروتکل SMTP)، کافی است یک sniffer با خط فرمانی مانند:

tcpdump -i em0 -l tcp پورت 25 > smtp_log.txt

در این مورد، بسته ها از طریق رابط em0 ضبط می شوند. اطلاعات مربوط به بسته های ضبط شده در فایل smtp_log.txt ذخیره می شود. تجزیه و تحلیل دستی پروتکل نسبتاً آسان است؛ در این مثال، تجزیه و تحلیل فعالیت در پورت 25 به شما امکان می دهد رایانه های شخصی را با ربات های اسپم فعال شناسایی کنید.

کاربرد هانی پات

یک کامپیوتر قدیمی که عملکرد آن اجازه نمی دهد برای حل مشکلات تولید استفاده شود، می تواند به عنوان یک هانی پات استفاده شود. به عنوان مثال، در شبکه نویسنده، یک پنتیوم پرو با 64 مگابایت رم با موفقیت به عنوان تله استفاده می شود. در این رایانه شخصی باید رایج ترین سیستم عامل را روی LAN نصب کنید و یکی از استراتژی ها را انتخاب کنید:

• نصب یک سیستم عامل بدون بسته های به روز رسانی - این نشانگر ظاهر یک کرم شبکه فعال در شبکه خواهد بود که از هر یک از آسیب پذیری های شناخته شده برای این سیستم عامل سوء استفاده می کند.
• یک سیستم عامل با به روز رسانی هایی که بر روی رایانه های شخصی دیگر در شبکه نصب شده اند نصب کنید - Honeypot مشابه هر یک از ایستگاه های کاری خواهد بود.

هر استراتژی هم مزایا و هم معایب خود را دارد. نویسنده عمدتاً از گزینه بدون به روز رسانی استفاده می کند. پس از ایجاد Honeypot، باید یک تصویر دیسک ایجاد کنید تا سیستم خود را پس از آسیب دیدگی توسط بدافزار به سرعت بازیابی کنید. به عنوان جایگزینی برای تصویر دیسک، می توانید از سیستم های تغییر بازگشت مانند ShadowUser و آنالوگ های آن استفاده کنید. پس از ساخت Honeypot، باید در نظر داشته باشید که تعدادی از کرم‌های شبکه با اسکن محدوده IP، محاسبه شده از آدرس IP رایانه آلوده، رایانه‌های آلوده را جستجو می‌کنند (استراتژی‌های معمول معمول عبارتند از X.X.X.*، X.X.X+1.*، X.X.X-1.*)، - بنابراین، در حالت ایده آل، باید یک Honeypot در هر زیر شبکه وجود داشته باشد. به عنوان عناصر آماده سازی اضافی، قطعاً باید دسترسی به چندین پوشه در سیستم Honeypot را باز کنید و در این پوشه ها باید چندین فایل نمونه با فرمت های مختلف قرار دهید که حداقل مجموعه EXE، JPG، MP3 است.

طبیعتاً با ایجاد Honeypot، مدیر باید بر عملکرد آن نظارت داشته باشد و به هرگونه ناهنجاری شناسایی شده در این رایانه پاسخ دهد. حسابرسان را می توان به عنوان وسیله ای برای ثبت تغییرات استفاده کرد؛ از sniffer می توان برای ثبت فعالیت شبکه استفاده کرد. نکته مهم این است که اکثر sniffer ها توانایی پیکربندی ارسال هشدار به مدیر را در صورت شناسایی فعالیت شبکه مشخصی دارند. به عنوان مثال، در CommView Sniffer، یک قانون شامل تعیین یک "فرمول" است که یک بسته شبکه را توصیف می کند، یا تعیین معیارهای کمی (ارسال بیش از تعداد مشخصی بسته یا بایت در ثانیه، ارسال بسته ها به آدرس های IP یا MAC ناشناس) - شکل. 2.

برنج. 2. یک هشدار فعالیت شبکه ایجاد و پیکربندی کنید

به عنوان یک هشدار، استفاده از پیام های ایمیل ارسال شده به صندوق پستی مدیر راحت تر است - در این صورت، می توانید هشدارهای فوری را از تمام تله های شبکه دریافت کنید. علاوه بر این، اگر sniffer به شما اجازه ایجاد چندین هشدار را می دهد، متمایز کردن فعالیت شبکه، برجسته کردن کار با ایمیل، FTP/HTTP، TFTP، Telnet، MS Net، افزایش ترافیک بیش از 20-30 بسته در ثانیه در هر ثانیه منطقی است. پروتکل (شکل 3).

برنج. 3. نامه اطلاع رسانی ارسال شد
اگر بسته های مطابق با معیارهای مشخص شده شناسایی شوند

هنگام سازماندهی یک تله، ایده خوبی است که چندین سرویس شبکه آسیب پذیر مورد استفاده در شبکه را روی آن قرار دهید یا یک شبیه ساز برای آنها نصب کنید. ساده ترین (و رایگان) ابزار اختصاصی APS است که بدون نصب کار می کند. اصل عملکرد APS به گوش دادن به بسیاری از پورت های TCP و UDP که در پایگاه داده آن توضیح داده شده اند و صدور یک پاسخ از پیش تعیین شده یا تصادفی تولید شده در لحظه اتصال خلاصه می شود (شکل 4).

برنج. 4. پنجره اصلی ابزار APS

شکل اسکرین شات گرفته شده در حین فعال سازی APS واقعی در Smolenskenergo LAN را نشان می دهد. همانطور که در شکل مشاهده می شود، تلاشی برای اتصال یکی از رایانه های مشتری در پورت 21 ثبت شد. تجزیه و تحلیل پروتکل ها نشان داد که تلاش ها دوره ای هستند و توسط چندین تله در شبکه ثبت می شوند، که به ما امکان می دهد نتیجه بگیریم که شبکه به منظور جستجو و هک سرورهای FTP با حدس زدن رمزهای عبور، اسکن می شود. APS گزارش‌ها را نگه می‌دارد و می‌تواند پیام‌هایی را با گزارش‌هایی از اتصالات ثبت‌شده به پورت‌های نظارت شده برای مدیران ارسال کند، که برای تشخیص سریع اسکن‌های شبکه راحت است.

هنگام ایجاد Honeypot، آشنایی با منابع آنلاین در مورد موضوع، به ویژه http://www.honeynet.org/ نیز مفید است. در بخش ابزار این سایت (http://www.honeynet.org/tools/index.html) می توانید تعدادی ابزار برای ضبط و تجزیه و تحلیل حملات پیدا کنید.

حذف بدافزار از راه دور

در حالت ایده‌آل، پس از شناسایی نمونه‌های بدافزار، مدیر آنها را به آزمایشگاه ضد ویروس می‌فرستد، جایی که به سرعت توسط تحلیلگران مورد مطالعه قرار می‌گیرد و امضاهای مربوطه به پایگاه داده ضد ویروس اضافه می‌شوند. این امضاها به طور خودکار در رایانه شخصی کاربر به روز می شوند و آنتی ویروس به طور خودکار بدافزارها را بدون دخالت مدیر حذف می کند. با این حال، این زنجیره همیشه آنطور که انتظار می رود کار نمی کند، به ویژه، دلایل زیر برای شکست ممکن است:

• به دلایلی مستقل از مدیر شبکه، تصاویر ممکن است به آزمایشگاه آنتی ویروس نرسند.
• راندمان ناکافی آزمایشگاه ضد ویروس - در حالت ایده آل، مطالعه نمونه ها و وارد کردن آنها به پایگاه داده بیش از 1-2 ساعت طول نمی کشد، به این معنی که پایگاه داده های امضای به روز شده را می توان در یک روز کاری به دست آورد. با این حال، همه آزمایشگاه های آنتی ویروس به این سرعت کار نمی کنند و می توانید چندین روز برای به روز رسانی (در موارد نادر، حتی هفته ها) صبر کنید.
• عملکرد بالای آنتی ویروس - تعدادی از برنامه های مخرب، پس از فعال سازی، آنتی ویروس ها را از بین می برند یا در غیر این صورت عملکرد آنها را مختل می کنند. نمونه های کلاسیک - گنجاندن در فایل میزبانورودی هایی که عملکرد عادی سیستم به روز رسانی خودکار آنتی ویروس را مسدود می کند، فرآیندها، سرویس ها و درایورهای آنتی ویروس را حذف می کند، به تنظیمات آنها آسیب می رساند و غیره.

بنابراین در شرایط فوق باید به صورت دستی با بدافزارها مقابله کنید. در بیشتر موارد، این کار دشواری نیست، زیرا نتایج بررسی کامپیوتری رایانه های شخصی آلوده و همچنین نام کامل فایل های بدافزار را نشان می دهد. تنها چیزی که باقی می ماند حذف آنها از راه دور است. اگر برنامه مخرب از حذف محافظت نشده باشد، می توان با استفاده از اسکریپت AVZ زیر آن را از بین برد:

// حذف یک فایل

DeleteFile ('نام فایل');

ExecuteSysClean;

این اسکریپت یک فایل مشخص شده (یا چندین فایل را حذف می کند، زیرا ممکن است تعداد نامحدودی از دستورات DeleteFile در یک اسکریپت وجود داشته باشد) و سپس به طور خودکار رجیستری را پاک می کند. در یک مورد پیچیده تر، بدافزار می تواند از خود در برابر حذف محافظت کند (مثلاً با ایجاد مجدد فایل ها و کلیدهای رجیستری) یا با استفاده از فناوری روت کیت خود را پنهان کند. در این مورد، اسکریپت پیچیده تر می شود و به شکل زیر خواهد بود:

// آنتی روت کیت

SearchRootkit (درست، درست)؛

// AVZGuard را کنترل کنید

SetAVZGuardStatus(true);

// حذف یک فایل

DeleteFile ('نام فایل');

// ثبت BootCleaner را فعال کنید

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// لیستی از فایل های حذف شده توسط اسکریپت را به وظیفه BootCleaner وارد کنید

BC_ImportDeletedList;

// BootCleaner را فعال کنید

// تمیز کردن سیستم اکتشافی

ExecuteSysClean;

RebootWindows (true);

این اسکریپت شامل مقابله فعال با روت کیت ها، استفاده از سیستم AVZGuard (این یک مسدود کننده فعالیت بدافزار است) و سیستم BootCleaner است. BootCleaner درایوری است که در مرحله اولیه راه‌اندازی سیستم، اشیاء مشخص شده را در هنگام راه‌اندازی مجدد از KernelMode حذف می‌کند. تمرین نشان می دهد که چنین اسکریپتی قادر است اکثریت قریب به اتفاق بدافزارهای موجود را از بین ببرد. استثناء بدافزاری است که نام فایل های اجرایی خود را با هر بار راه اندازی مجدد تغییر می دهد - در این مورد، فایل های کشف شده در حین اسکن سیستم را می توان تغییر نام داد. در این مورد، باید رایانه خود را به صورت دستی ضد عفونی کنید یا امضاهای بدافزار خود را ایجاد کنید (نمونه ای از اسکریپتی که جستجوی امضا را پیاده سازی می کند در راهنمای AVZ توضیح داده شده است).

نتیجه

در این مقاله، چند تکنیک عملی برای مبارزه با اپیدمی LAN به صورت دستی، بدون استفاده از محصولات آنتی ویروس را بررسی کردیم. بیشتر تکنیک های توصیف شده را می توان برای جستجوی رایانه های شخصی خارجی و نشانک های تروجان در رایانه های کاربر نیز استفاده کرد. اگر در یافتن بدافزار یا ایجاد اسکریپت‌های درمانی مشکل دارید، مدیر می‌تواند از بخش «راهنما» انجمن http://virusinfo.info یا بخش «مبارزه با ویروس‌ها» در انجمن http://forum.kaspersky.com استفاده کند. /index.php?showforum= 18. مطالعه پروتکل ها و کمک در درمان در هر دو انجمن به صورت رایگان انجام می شود، تجزیه و تحلیل رایانه شخصی طبق پروتکل های AVZ انجام می شود و در اغلب موارد درمان به اجرای اسکریپت AVZ بر روی رایانه های شخصی آلوده می رسد که توسط متخصصان مجرب این انجمن ها گردآوری شده است. .