Сформулировать алгоритм проверки файлов на наличие вирусов с помощью антивируса касперского

Обновлено: 21.11.2024

Каждая система основана на уникальном алгоритме. без алгоритма нет системы. На самом деле не имеет значения, по какому алгоритму следует система — линейному, иерархическому, детерминированному, стохастическому или какому-то еще. Важно то, что для достижения наилучшего результата система должна следовать определенным правилам.

Нас часто спрашивают об алгоритмах наших продуктов, особенно о том, как они помогают нам обнаруживать будущие угрозы лучше, чем у конкурентов.

Ну, по понятным причинам я не могу разглашать детали наших магических формул; тем не менее, то, что я буду делать в этом техническом посте (возможно, самом технологическом посте в этом блоге), — это открыть дверь в нашу технологическую кухню, чтобы дать вам представление о том, что происходит внутри. А если вам все еще нужна дополнительная информация, задавайте вопросы в комментариях ниже.

Мы используем дедуктивный метод для обнаружения неизвестного вредоносного ПО — от общего к частному. Все вредоносные программы выполняют, скажем, действия x, y и z. Определенный файл также выполняет x, y и z; следовательно, этот файл может оказаться вредоносным. Однако на практике все не так просто.

Нельзя сказать, что конкретное действие однозначно подтверждает вредоносность объекта. В конце концов, каждая команда изначально создавалась для выполнения полезных задач.

Во-первых, нельзя сказать, что конкретное действие однозначно подтверждает вредоносность объекта. Классический пример тому — доступ к основной загрузочной записи (MBR): нельзя сказать, что все, что использует эту команду, является вредоносным, поскольку существует множество приложений, которые могут использовать ее в мирных целях. То же самое касается всех других действий; в конце концов, каждая команда изначально создавалась для выполнения полезных вещей.

Другими словами, простое отделение зёрен от плевел здесь бесполезно. Однако попытка определить пропорции и состав как пшеницы, так и мякины полезно. И именно это и делается: выяснить, что происходит в своем зернохранилище, плюс то, что происходит в соседних зернохранилищах, проанализировать результаты, а затем принять обоснованное решение по общей ситуации с пшеницей и мякиной – сколько «друг», сколько много «врагов» — и соответствующие последующие действия.

Для этого мы используем технологию, которая скромно называется SR. Не путать со старой зубной пастой. Это означает Рейтинг безопасности. По сути, это разветвленная, самообучающаяся система весов, которая помогает лучше понять истинную природу объекта в процессе его формальной оценки и имитации.

Волшебная формула Касперского: самообучающаяся система весов для понимания истинной природы объекта во время его оценки и эмуляцииTweet

SR анализирует состав и плотность событий, генерируемых объектом, а также его внешние атрибуты (имя, размер, местоположение, сжатие и т. д.). На основании комплекса сводов правил каждому такому признаку присваивается рейтинг опасности (0-100%). Первый набор правил (а их сейчас более 500) стал результатом ручного изучения более 80 000 уникальных вредоносных программ разных семейств. Теперь правила разрабатываются в основном автоматически, и специалистам остается лишь отладить алгоритмы самообучения.

Чтобы сделать тестирование и обслуживание более управляемым, правила разделены на группы (например, "Интернет", "Пароли", "Реестр" и т. д.), и если объект выполняет проверку по одному или нескольким из них, применяются соответствующие санкции. применяются к нему.

Примеры простейших правил:

Правило «Загрузка драйвера через низкоуровневый API ntdll.dll»

Функция API: NtLoadDriver
Аргумент 1: *
Аргумент 2: *
Аргумент 3…N: *
Оценка: Одна операция — 40%, 2-3 операции — 50%, >3 операций – 60%
Вредно: Нет

Правило «Анализ машинного кода ядра (взятие ловушек)»

Функция API: CreateFile
Аргумент 1: Содержит запись 'ntoskrnl.exe'
Аргумент 2: *
Аргумент 3…N: *
Оценка: Одна операция — 100% , 2-3 операции – 100%, >3 операции – 100%
Вредно: Да

Общий рейтинг объекта представляет собой сумму всех индивидуальных рейтингов после проверки с использованием всей базы данных правил. Другими словами, это типичная искусственная нейронная сеть, которая собирает сигналы от множества датчиков, анализирует их качественные и количественные характеристики, исследует связи и выносит свой вердикт.

Вот как в 2007 году появилась компания SR (патент US7530106). С тех пор мы совершенствуем технологию. Как будто вы не могли этого догадаться!

Проблема номер один изначально заключалась в том, что проанализированный файл может генерировать огромное количество незначительных событий, и эти события могут привести к неправильному указанию файла как вредоносного.Например, приложение Delphi при запуске порождает до 500 таких событий. Они будут идентичны в любом приложении, написанном на этом языке, и не будут давать никакой полезной информации о реальных целях файла. Этот «шум» не только потребляет ресурсы компьютера, но и затрудняет анализ.

Поэтому мы сделали фильтр для отсеивания всего этого шума. Кроме того, в отличие от обычных правил, здесь достаточно логического атрибута. Таким образом, правило значительно упрощает и, следовательно, ускоряет работу. В результате правила содержат только имя функции API и маски для ее аргументов.

SysAllocString (*,-NULL-,-NULL-)

Здесь, если первый аргумент функции имеет значение, а остальные значения не имеют, то событие будет считаться несущественным.

Для автоматической генерации правил фильтрации неважных событий мы использовали три метода:

Первый — это метод дрозофилы. Мы готовим простое приложение, отображающее «Hello World», используя средство разработки X, и, насколько это возможно, используем самые популярные библиотеки DLL. Подаем скомпилированное приложение в эмулятор, а все сгенерированные события дрозофилы заносим в поле «незначительные».

Второй – метод упакованных дрозофил. Это похоже на первый способ, за исключением того, что здесь нас интересуют поведенческие события упаковщика/защитника. Для этого обрабатываем пустышку, написанную на ассемблере, всякими упаковщиками и протекторами, кормим эмулятор, и… ну а об остальном вы догадываетесь. Если нет :)… мы фильтруем незначительные события.

Третий метод — статистический. Мы анализируем большое количество как законных, так и вредоносных файлов и выделяем вызовы API, которые часто наблюдаются в поведении файлов обоих типов. Этот метод дополняет первые два и эффективен, если нет возможности создать какой-либо вид дрозофил, упомянутых выше. Наглядным примером применения этого метода является выделение незначимых событий, генерируемых функциями графического интерфейса и выделения памяти.

Но это (автоматическое создание правил фильтрации для неважных событий) было лишь одной из самых простых задач. Дальше стало интереснее…

Первая версия SR работала на одном защищенном компьютере практически изолированно. У нас не было глобальной картины; и мы не понимали, какие правила срабатывали или как часто и насколько точно , и не могли быстро изменить их рейтинг. В результате остались большие неиспользованные возможности для повышения эффективности...

Первая версия SR работала изолированно. Более поздние версии были дополнены облачными технологиями.

…Появляется наш облачный KSN, который развивался полным ходом, и к которому мы уже добавили экспертную систему Astraea (для анализа колоссальных объемов сигналов с защищаемых компьютеров и выдачи обоснованных заключений о кибербезопасности). эпидемиологическая ситуация в мире).

Затем, в 2009 г., мы были рады сообщить о выпуске следующей версии SR – SR2 (US8640245), которая объединилась с KSN и Астрея.

Это дало нам большие данные с хорошими возможностями детализации, что в индустрии безопасности является волшебным рецептом успеха!

По сути, мы получили возможность (i) отключать мертвые (неэффективные) правила, (ii) временно отключать или тестировать правила и (iii) практически корректировать рейтинги правил в режиме реального времени с помощью специальных коэффициентов. Более того, размер базы коэффициентов был до глупости мал — измерялся килобайтами — и ее обновление даже в далеком 2009 году практически не повлияло на интернет-соединение защищаемого компьютера.

Astraea также расширила статистическую базу для расчета рейтингов — в расчетах использовались сигналы не только от разных эмуляторов, но и множество других датчиков, подключенных к KSN. Кроме того, продукт мог получить ранее выданный вердикт из облака (KSN), минуя процесс эмуляции. И еще один приятный бонус: мы можем уверенно выбирать из потока неизвестные «виды», о которых у нас пока мало данных, но которые тем не менее ведут себя подозрительно, для ручного анализа.

Что действительно важно, так это то, что Astraea автоматически исправляет правила; эксперт-человек нужен только для регулярной оценки эффективности применяемой математической модели и ее оптимизации (патентная заявка US20140096184).

Начав работать с глобальными большими данными, мы сразу же пришли к новым идеям для решения старых проблем: прежде всего, проблемы ложных срабатываний.

Мы экспериментировали с использованием SR в продолжающейся борьбе с ложными срабатываниями с самого начала в наших продуктах.Но именно в 2011 году в этом отношении все пошло по-настоящему: мы развернули несколько новых функций для минимизации ложных срабатываний одним махом.

Существует множество операций, выполняемых законным программным обеспечением с полностью мирными целями. Например, установщики удаляют файлы в папке System32. Так что саморегулирование рейтинга этой операции приводит к ее безосновательной деградации и мы начинаем упускать настоящую зловредность. Поэтому нужен компромисс, ведь нельзя иметь свой пирог и тоже есть его. Поэтому мы решили разделить механизм расчета рейтинга на три части:

Во-первых: описанный выше расчет – чем опаснее поведение и чем чаще оно встречается, тем выше рейтинг.

Второй: своего рода правила белого списка, которые отменяют или корректируют действия обычных правил, применимых к конкретным ситуациям или файлам.

Третье: правила обнаружения легитимных приложений, которые снижают рейтинг опасности при обнаружении типичного поведения и могут даже формировать рейтинг безопасности.

Правило «Создание ключа реестра автозапуска»

Функция API: Реестр: определение значения параметра (RegSetValueEx)
Аргумент 1: Содержит запись
'RegistryMachineSoftwareClasses*shellexContextMenuHandlersNotepad++'
Аргумент 2: *
Аргумент 3… N: *
Оценка: Одна операция – 1%, 2-3 операции – 1%, >3 операции – 1%
Вредность: Отсутствует

Здесь отчетливо видно, что осуществляется доступ к разделу реестра; однако это только Notepad++, поставляющий свою DLL. Аргумент правила удаляет ложные значения, в то время как основное правило остается неизменным; при других попытках изменить ключ он будет работать как положено.

Позже, в 2011 году, мы представили еще одну (знаете, мы не возимся с этим) полезную функцию.

Как упоминалось выше, в SR правила работали независимо друг от друга; поэтому мы не смогли изучить сложные взаимозависимости типа загрузить файл — сохранить файл на диск — добавить в автозапуск ключ. Но если бы мы могли отслеживать такие взаимозависимости, можно было бы давать рейтинги, которые были бы больше, чем просто суммы рейтингов отдельных событий. Или менее :). Поэтому мы решили включить корреляцию событий в SR2 для более точного обнаружения неизвестных вредоносных программ.

Мы сделали это двумя способами.

Чтобы лучше бороться с будущими угрозами, важно анализировать не только события, но и корреляции между ними.

Сначала мы создали битовые маски, которые определяют группы правил или отдельные правила с помощью ИЛИ и И. Основное описание представляет собой битовый индекс классификаций поведения. Изначально это было придумано для кластеризации вредоносного ПО по особенностям его поведения, но аналогичный подход можно применить и для уточнения оценок рейтингов. Действительно, с помощью масок мы можем реализовать такие функции, как (RULE76 или RULE151) и (RULE270 или RULE540). Чем хороши такие маски, так это их компактностью и высокой скоростью работы; ограничение – негибкость.

Во-вторых, мы разработали специальные скрипты для проведения глобального анализа после расчетов SR (патент US8607349). Скрипты могут запускаться по очереди независимо друг от друга или по мере срабатывания правила. Каждый из них имеет доступ к базе накопленной статистики ранее сработавших правил и групп правил. Как следствие, мы получили возможность (i) использовать сложную логику – условия, вычисления, циклы и активацию подпрограмм; (ii) максимально использовать нейронные сети; и (iii) использовать скрипты не только для получения более точных рейтингов SR, но и для получения новых знаний, которые могут быть применены последующими скриптами.

Например, на основе анализа десятка правил первый скрипт может решить, что «приложение пытается получить пароли других программ». Второй сценарий решает, что «приложение что-то передает в Интернет». В то время как третий скрипт решает, что «если приложение проявляет интерес к паролям и передает что-то в Интернет, то оно получает рейтинг +100%».

Кроме того, скрипты можно использовать с любым правилом, при этом окончательное правило становится своего рода триггером для какого-то алгоритма.

Пример скрипта:

В этом примере скрипт оценивает операцию создания файла. Проверяем, что файл создан в корне диска, и за это отдаем 20% в SR. Далее, в зависимости от расширения файла, добавляем дополнительный рейтинг со знаком «+» или «-».

Приведенный пример подчеркивает основное преимущество скриптов: возможность проводить комплексную дифференцированную оценку аргументов функции с присвоением индивидуального рейтинга SR по результатам разных проверок.Причем одни проверки могут повысить рейтинг, другие – понизить, что позволяет проводить комплексные проверки и комплексный анализ, направленные непосредственно на дальнейшее пресечение ложных срабатываний.

А теперь немного о будущем…

Мы уже начали развертывание нашей линейки персональных продуктов 2015 года. Мы долго думали… и в конце концов решили отказаться от локального SR и вместо этого полностью перенести расчет рейтингов в облако.

Такой подход сразу дает нам множество преимуществ: качество анализа не страдает, а ресурсы, необходимые на защищаемом компьютере, снижаются, поскольку все вычисления находятся в облаке. А что касается задержки вынесения вердикта, то она компенсирует… ну, собственно, практически ничего – доли миллисекунд, заметные только спецпрограммам; наши дорогие пользователи точно не заметят!

Итак, вот оно. Очень краткий обзор нашей «секретной» волшебной формулы, похожей на Coca-Cola, в немногим более 2000 слов :). Но это, конечно, только верхушка айсберга: более подробное описание технологии заняло бы несколько дней. Тем не менее, если вам нужны подробности, дайте мне услышать от вас — в комментариях ниже!

Чтобы создать задачу поиска вирусов для Легкого агента для Windows:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. Выполните одно из следующих действий:
    • Выберите в дереве консоли папку Управляемые устройства, чтобы создать задачу для виртуальных машин, принадлежащих всем группам администрирования. В рабочей области выберите вкладку "Задачи".
    • Если вы хотите создать задачу для всех виртуальных машин в группе администрирования, выберите папку с названием этой группы в папке Управляемые устройства дерева консоли. В рабочей области выберите вкладку "Задачи".
    • Откройте папку "Задачи" в дереве консоли, чтобы создать задачу для одной или нескольких виртуальных машин.
  3. Нажмите кнопку "Создать задачу", чтобы запустить мастер создания новой задачи.
  4. На первом шаге мастера выберите тип задачи. Для этого в списке Kaspersky Security для виртуальных сред 5.0 Легкий агент для Windows выберите Поиск вирусов. Перейдите к следующему шагу мастера.
  5. Создайте список объектов для проверки Kaspersky Security в окне Область проверки. Перейдите к следующему шагу мастера создания новых задач.
  6. В окне Действие Kaspersky Security для виртуальных сред 5.0 Легкий агент выберите действие, которое будет выполнять программа Kaspersky Security при обнаружении зараженных файлов при проверке.
  7. Установите флажок «Выполнить расширенное лечение немедленно», если вы хотите, чтобы приложение запускало расширенное лечение сразу после обнаружения активного заражения во время групповой проверки на вирусы и перезапускало виртуальную машину после выполнения расширенного лечения, не запрашивая подтверждения у пользователя. .
  8. Если вы хотите, чтобы программа приостанавливала запуск задачи проверки при ограничении ресурсов виртуальной машины, установите флажок Приостанавливать проверку по расписанию при выключенной заставке и разблокированной защищаемой виртуальной машине. Перейдите к следующему шагу мастера.
  9. Затем следуйте инструкциям мастера создания новых задач.

Чтобы создать задачу поиска вирусов для Легкого агента для Linux:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. Выполните одно из следующих действий:
    • Выберите в дереве консоли папку Управляемые устройства, чтобы создать задачу для виртуальных машин, принадлежащих всем группам администрирования. В рабочей области выберите вкладку "Задачи".
    • Если вы хотите создать задачу для всех виртуальных машин в группе администрирования, выберите папку с названием этой группы в папке Управляемые устройства дерева консоли. В рабочей области выберите вкладку "Задачи".
    • Откройте папку "Задачи" в дереве консоли, чтобы создать задачу для одной или нескольких виртуальных машин.
  3. Нажмите кнопку "Создать задачу", чтобы запустить мастер создания новой задачи.
  4. На первом шаге мастера выберите тип задачи. Для этого в списке Kaspersky Security для виртуальных сред 5.0 Легкий агент для Linux выберите Поиск вирусов. Перейдите к следующему шагу мастера.
  5. Создайте список объектов для проверки Kaspersky Security в окне Область проверки. Перейдите к следующему шагу мастера создания новых задач.
  6. В окне Действие Kaspersky Security для виртуальных сред 5.0 Легкий агент выберите действие, которое будет выполнять программа Kaspersky Security, если в ходе проверки будут обнаружены зараженные файлы. Перейдите к следующему шагу мастера.
  7. Затем следуйте инструкциям мастера создания новых задач.

Вы можете запускать, останавливать и просматривать результаты задач поиска вирусов в Kaspersky Security Center.

Kaspersky Total Security использует различные группы параметров для запуска Файлового Антивируса. Наборы настроек, которые хранятся в приложении, называются уровнями безопасности:

  • Высокий .При выборе этого уровня безопасности файлов компонент Файловый Антивирус берет на себя строжайший контроль над всеми открываемыми, сохраняемыми и запускаемыми файлами. Компонент Файловый Антивирус проверяет все типы файлов на всех жестких дисках, сетевых дисках и съемных носителях компьютера. Он также сканирует архивы, установочные пакеты и встроенные объекты OLE.
  • Рекомендуется . Этот уровень безопасности файлов рекомендован экспертами «Лаборатории Касперского». Компонент Файловый Антивирус проверяет файлы только указанных форматов на всех жестких дисках, сетевых дисках и съемных носителях компьютера, а также встроенные OLE-объекты. Компонент Файловый Антивирус не проверяет архивы и инсталляционные пакеты.
  • Низкий . Настройки этого уровня безопасности файлов обеспечивают максимальную скорость сканирования. Компонент Файловый Антивирус проверяет только файлы с указанными расширениями на всех жестких дисках, сетевых дисках и съемных носителях компьютера. Компонент Файловый Антивирус не проверяет составные файлы.

Действие при обнаружении угрозы

    Спросите пользователя. Файловый Антивирус информирует вас об обнаружении зараженного или возможно зараженного объекта и предлагает действие над ним.

Этот параметр доступен, если снят флажок Автоматически выполнять рекомендуемые действия в разделе Настройки → Общие .

Перед тем как попытаться вылечить или удалить зараженный объект, Файловый Антивирус создает его резервную копию для последующего восстановления или лечения.

Этот параметр доступен, если установлен флажок Автоматически выполнять рекомендуемые действия в разделе Настройки → Общие .

Перед тем как попытаться вылечить или удалить зараженный файл, Kaspersky Total Security создает резервную копию на случай, если впоследствии вам потребуется восстановить файл или появится возможность вылечить его позже.

Все файлы . Если этот параметр включен, Kaspersky Total Security проверяет все файлы без исключения (всех форматов и расширений).

Файлы сканируются по формату . Если вы выберете этот параметр, Kaspersky Total Security будет проверять только потенциально зараженные файлы. Перед поиском вредоносного кода в файле анализируется его внутренний заголовок для определения формата файла (например, TXT, DOC, EXE). Сканирование также ищет файлы с определенными расширениями.

Файл, который из-за своей структуры или формата может использоваться злоумышленниками в качестве «контейнера» для хранения и распространения вредоносного кода. Как правило, это исполняемые файлы, например, файлы с расширениями COM, EXE, DLL и т. д. Риск проникновения вредоносного кода в такие файлы достаточно высок.

Файлы сканируются по расширению . Если вы выберете этот параметр, Kaspersky Total Security будет проверять только потенциально зараженные файлы. Формат файла определяется на основе расширения файла.

Изменить область защиты

По этой ссылке открывается окно Область защиты Файлового Антивируса, содержащее список объектов, проверяемых Файловым Антивирусом.

Вы можете добавлять объекты в список или удалять добавленные объекты.

Чтобы удалить объект из проверки, не обязательно удалять объект из списка. Все, что вам нужно сделать, это снять флажок рядом с названием объекта.

Техника обнаружения угроз, которые невозможно идентифицировать с помощью текущей версии баз программы «Лаборатории Касперского». Он позволяет находить файлы, которые могут содержать неизвестное вредоносное ПО или новую модификацию известного вредоносного ПО.

При сканировании файлов на наличие вредоносного кода эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от уровня, который указан для эвристического анализатора. Уровень эвристического анализа задает баланс между тщательностью поиска новых угроз, нагрузкой на ресурсы операционной системы и временем проведения эвристического анализа.

Сканировать только новые и измененные файлы

Сканирует только новые файлы и те файлы, которые были изменены с момента последнего сканирования. Это позволит вам сэкономить время при выполнении сканирования. Этот режим сканирования применяется как к простым, так и к составным файлам.

Сканирует архивы следующих форматов: RAR, ARJ, ZIP, CAB, LHA, JAR и ICE.

Сканировать установочные пакеты

Флажок включает/отключает сканирование сторонних дистрибутивов.

Сканировать файлы в форматах Microsoft Office

Сканирует файлы Microsoft Office (DOC, DOCX, XLS, PPT и другие расширения Microsoft). Файлы Microsoft Office также содержат объекты OLE.

Не распаковывайте большие составные файлы

Максимальный размер файла

Если флажок установлен, Kaspersky Total Security не проверяет составные файлы, размер которых превышает указанное значение.

Если этот флажок снят, Kaspersky Total Security проверяет составные файлы всех размеров.

Kaspersky Total Security проверяет большие файлы, извлекаемые из архивов, независимо от того, установлен флажок или нет.

Извлечение составных файлов в фоновом режиме

Максимальный размер файла

Если этот флажок установлен, Kaspersky Total Security предоставляет доступ к составным файлам, размер которых превышает указанное значение, до проверки этих файлов. В этом случае Kaspersky Total Security распаковывает и проверяет составные файлы в фоновом режиме.

Kaspersky Total Security предоставляет доступ к составным файлам размером меньше этого значения только после распаковки и проверки этих файлов.

Если этот флажок снят, Kaspersky Total Security предоставляет доступ к составным файлам только после распаковки и проверки файлов независимо от их размера.

Умный режим. В этом режиме Файловый Антивирус проверяет объект на основе анализа действий над объектом. Например, при работе с документом Microsoft Office Kaspersky Total Security проверяет файл при первом открытии и при последнем закрытии. Промежуточные операции, перезаписывающие файл, не приводят к его сканированию.

О доступе и изменении . В этом режиме Файловый Антивирус проверяет объекты при попытке их открытия или изменения.

При доступе . В этом режиме Файловый Антивирус проверяет объекты только при попытке их открытия.

При исполнении. В этом режиме Файловый Антивирус проверяет объекты только при попытке их запуска.

Эта технология является развитием технологии iChecker для компьютеров, использующих файловую систему NTFS.

У технологии iSwift есть ограничения: она привязана к определенному местоположению файла в файловой системе и работает только с объектами в файловой системе NTFS.

Эта технология позволяет увеличить скорость сканирования за счет исключения определенных файлов из сканирования. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Total Security, дату последней проверки файла и любые изменения, внесенные в параметры проверки. У технологии iChecker есть ограничения: она не работает с большими файлами и применяется только к файлам со структурой, распознаваемой приложением (например, EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP и RAR). ).

Объекты исключены из проверки.

Чтобы указать исключения, нажмите ссылку Управление исключениями в окне "Исключения".

Приостановить работу Файлового Антивируса

Это временно и автоматически приостанавливает работу Файлового Антивируса в указанное время или при работе с указанными приложениями.

Сканирование на наличие вирусов жизненно важно для обеспечения безопасности компьютера. Регулярно запускайте сканирование на вирусы, чтобы исключить возможность распространения вредоносных программ, которые не обнаруживаются компонентами защиты из-за низкого уровня безопасности или по другим причинам. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачного сервиса Kaspersky Security Network и эвристического анализа.

Kaspersky Endpoint Security имеет стандартные задачи Полная проверка, Проверка важных областей, Выборочная проверка. Если в вашей организации развернута система администрирования Kaspersky Security Center, вы можете создать задачу поиска вирусов и настроить проверку. Задача Фоновой проверки также доступна в Kaspersky Security Center. Фоновое сканирование не может быть настроено.

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, к которой относятся соответствующие клиентские компьютеры.
  3. В рабочей области выберите вкладку "Задачи".
  4. Выберите задачу сканирования и дважды щелкните, чтобы открыть свойства задачи.

Kaspersky Endpoint Security начнет сканирование компьютера. Если пользователь прервал выполнение задачи (например, выключив компьютер), Kaspersky Endpoint Security автоматически запускает задачу, продолжая с того места, где проверка была прервана.

  1. В главном окне веб-консоли выберите Устройства → Задачи.

Открывается список задач.

Откроется окно свойств задачи.

Kaspersky Endpoint Security начнет сканирование компьютера. Если пользователь прервал выполнение задачи (например, выключив компьютер), Kaspersky Endpoint Security автоматически запускает задачу, продолжая с того места, где проверка была прервана.

  1. В главном окне приложения перейдите в раздел Задачи.
  2. В списке задач выберите задачу сканирования и нажмите .
  3. Настройте задачу проверки (см. таблицу ниже).
  4. Kaspersky Endpoint Security начнет сканирование компьютера. Приложение покажет ход сканирования, количество проверенных файлов и оставшееся время сканирования. Вы можете остановить задачу в любой момент, нажав кнопку Stop.Если задача проверки не отображается, значит администратор запретил использование локальных задач в политике.

    Kaspersky Endpoint Security может использовать разные группы параметров для запуска проверки. Эти группы настроек, которые хранятся в приложении, называются уровнями безопасности:

    • Высокий . Kaspersky Endpoint Security проверяет все типы файлов. При проверке составных файлов Kaspersky Endpoint Security также проверяет файлы почтового формата.
    • Рекомендуется . Kaspersky Endpoint Security проверяет файлы только указанных форматов на всех жестких дисках, сетевых дисках и съемных носителях компьютера, а также встроенные OLE-объекты. Kaspersky Endpoint Security не проверяет архивы и инсталляционные пакеты.
    • Низкий . Kaspersky Endpoint Security проверяет только новые или измененные файлы с указанными расширениями на всех жестких, съемных и сетевых дисках компьютера. Kaspersky Endpoint Security не проверяет составные файлы.

    Вы можете выбрать один из предустановленных уровней безопасности или настроить параметры уровня безопасности вручную. Если вы измените настройки уровня безопасности, вы всегда сможете вернуться к рекомендуемым настройкам уровня безопасности.

    Действие при обнаружении угрозы

    Дезинфицировать; удалить, если лечение не удалось. Если выбран этот вариант, Kaspersky Endpoint Security автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение не удается, Kaspersky Endpoint Security удаляет файлы.

    Дезинфицировать; сообщить, если дезинфекция не удалась. Если выбран этот вариант, Kaspersky Endpoint Security автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, Kaspersky Endpoint Security добавляет информацию об обнаруженных зараженных файлах в список активных угроз.

    Информировать . Если выбран этот вариант, Kaspersky Endpoint Security добавляет информацию о зараженных файлах в список активных угроз при обнаружении этих файлов.

    Перед попыткой лечения или удаления зараженного файла Kaspersky Endpoint Security создает резервную копию файла на случай, если вам потребуется восстановить файл или если его можно будет вылечить в будущем.

    При обнаружении зараженных файлов, входящих в состав приложения Магазина Windows, Kaspersky Endpoint Security пытается удалить файл.

    Немедленно запустить расширенное лечение

    (доступно только в Консоли Kaspersky Security Center)

    Расширенное лечение во время выполнения задачи поиска вирусов на компьютере выполняется только в том случае, если в свойствах политики, примененной к этому компьютеру, включена функция Улучшенное лечение.

    Если флажок установлен, Kaspersky Endpoint Security лечит активное заражение сразу после его обнаружения в ходе выполнения задачи поиска вирусов. После лечения активного заражения Kaspersky Endpoint Security перезагружает компьютер без запроса пользователя.

    Если флажок снят, Kaspersky Endpoint Security не лечит активное заражение сразу после его обнаружения в ходе выполнения задачи поиска вирусов. Kaspersky Endpoint Security формирует активные события заражения в локальных отчетах программы и на стороне Kaspersky Security Center. Активное заражение можно вылечить повторным запуском задачи поиска вирусов с включенной функцией расширенного лечения. Таким образом, системный администратор может выбрать подходящее время для расширенного лечения и последующей автоматической перезагрузки компьютеров.

    Список объектов, которые Kaspersky Endpoint Security проверяет при выполнении задачи проверки. Объекты в области проверки могут включать память ядра, запущенные процессы, загрузочные сектора, хранилище резервных копий системы, почтовые базы данных, жесткий диск, съемный диск или сетевой диск, папку или файл.

    Вручную. Режим запуска, в котором вы можете запустить сканирование вручную в удобное для вас время.

    По расписанию. В этом режиме запуска задачи проверки Kaspersky Endpoint Security запускает задачу проверки в соответствии с созданным вами расписанием. Если выбран этот режим запуска задачи проверки, вы также можете запустить задачу проверки вручную.

    Начать через N минут после запуска приложения

    Отложен запуск задачи проверки после запуска программы. При запуске операционной системы запущено много процессов, поэтому целесообразно отложить запуск задачи проверки, а не запускать ее сразу после запуска Kaspersky Endpoint Security.

    Выполнять пропущенные задачи

    Если флажок установлен, Kaspersky Endpoint Security запускает задачу пропущенной проверки, как только это становится возможным. Задача проверки может быть пропущена, например, если в запланированное время запуска задачи проверки компьютер был выключен. Если флажок снят, Kaspersky Endpoint Security не запускает пропущенные задачи проверки. Вместо этого он выполняет следующую задачу сканирования в соответствии с текущим расписанием.

    Запускать только тогда, когда компьютер бездействует

    Отложен запуск задачи проверки, когда ресурсы компьютера заняты. Kaspersky Endpoint Security запускает задачу проверки, если компьютер заблокирован или включена заставка. Если вы прервали выполнение задачи, например, разблокировав компьютер, Kaspersky Endpoint Security автоматически запускает задачу, продолжая с того места, где она была прервана.

    По умолчанию задача проверки запускается от имени пользователя, с правами которого вы зарегистрированы в операционной системе. В область защиты могут входить сетевые диски или другие объекты, для доступа к которым требуются специальные права. Вы можете указать пользователя с необходимыми правами в параметрах Kaspersky Endpoint Security и запускать задачу проверки под учетной записью этого пользователя.

    Kaspersky Endpoint Security считает файлы без расширения исполняемыми. Kaspersky Endpoint Security всегда проверяет исполняемые файлы независимо от того, какие типы файлов вы выбрали для проверки.

    Все файлы . Если этот параметр включен, Kaspersky Endpoint Security проверяет все файлы без исключения (всех форматов и расширений).

    Файлы сканируются по формату . Если этот параметр включен, Kaspersky Endpoint Security проверяет только заражаемые файлы. Перед сканированием файла на наличие вредоносного кода внутренний заголовок файла анализируется для определения формата файла (например, .txt, .doc или .exe). Сканирование также ищет файлы с определенными расширениями.

    Файлы сканируются по расширению . Если этот параметр включен, Kaspersky Endpoint Security проверяет только заражаемые файлы. Затем формат файла определяется на основе расширения файла.

    По умолчанию Kaspersky Endpoint Security проверяет файлы по их формату. Сканирование файлов по расширению менее безопасно, поскольку вредоносный файл может иметь расширение, не входящее в список потенциально заражаемых (например, .123 ).

    Сканировать только новые и измененные файлы

    Сканирует только новые файлы и те файлы, которые были изменены с момента последнего сканирования. Это помогает сократить продолжительность сканирования. Этот режим применяется как к простым, так и к составным файлам.

    Пропускать файлы, которые сканируются дольше N секунд

    Ограничивает продолжительность сканирования одного объекта. По истечении указанного времени Kaspersky Endpoint Security прекращает проверку файла. Это помогает сократить продолжительность сканирования.

    Сканирует архивы следующих форматов: RAR, ARJ, ZIP, CAB, LHA, JAR и ICE.

    Сканировать дистрибутивы

    Этот флажок включает/отключает сканирование сторонних дистрибутивов.

    Сканировать файлы в форматах Microsoft Office

    Сканирует файлы Microsoft Office (DOC, DOCX, XLS, PPT и другие расширения Microsoft). Файлы формата Office также включают объекты OLE.

    Сканировать форматы электронной почты

    Данный флажок включает/выключает возможность проверки Kaspersky Endpoint Security файлов в форматах электронной почты и почтовых баз данных.

    Приложение полностью сканирует только форматы почтовых файлов MS Outlook, Windows Mail/Outlook Express и EML и только в том случае, если на компьютере установлен почтовый клиент MS Outlook x86.

    Если флажок установлен, Kaspersky Endpoint Security разбивает файл почтового формата на компоненты (заголовок, тело, вложения) и проверяет их на наличие угроз.

    Если этот флажок снят, Kaspersky Endpoint Security проверяет файл почтового формата как один файл.

    Сканировать защищенные паролем архивы

    Если флажок установлен, Kaspersky Endpoint Security проверяет защищенные паролем архивы. Перед сканированием файлов в архиве вам будет предложено ввести пароль.

    Если флажок снят, Kaspersky Endpoint Security не проверяет архивы, защищенные паролем.

    Не распаковывайте большие составные файлы

    Если этот флажок установлен, Kaspersky Endpoint Security не проверяет составные файлы, если их размер превышает указанное значение.

    Если этот флажок снят, Kaspersky Endpoint Security проверяет составные файлы всех размеров.

    Kaspersky Endpoint Security проверяет большие файлы, извлеченные из архивов, независимо от того, установлен флажок или нет.

    Машинное обучение и анализ сигнатур

    Метод машинного обучения и сигнатурного анализа использует базы данных Kaspersky Endpoint Security, содержащие описания известных угроз и способы их нейтрализации. Защита, использующая этот метод, обеспечивает минимально допустимый уровень безопасности.

    Согласно рекомендациям экспертов «Лаборатории Касперского», машинное обучение и анализ сигнатур всегда включены.

    Технология разработана для обнаружения угроз, которые невозможно обнаружить с помощью текущей версии баз программы «Лаборатории Касперского». Он обнаруживает файлы, которые могут быть заражены неизвестным вирусом или новой разновидностью известного вируса.

    При сканировании файлов на наличие вредоносного кода эвристический анализатор выполняет инструкции в исполняемых файлах.Количество инструкций, которые выполняет эвристический анализатор, зависит от уровня, который указан для эвристического анализатора. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, нагрузкой на ресурсы операционной системы и длительностью эвристического анализа.

    (доступно только в Консоли администрирования (MMC) и в интерфейсе Kaspersky Endpoint Security)

    Эта технология позволяет увеличить скорость сканирования за счет исключения определенных файлов из сканирования. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату последней проверки файла и любые изменения параметров проверки. Технология iSwift — это усовершенствование технологии iChecker для файловой системы NTFS.

    (доступно только в Консоли администрирования (MMC) и в интерфейсе Kaspersky Endpoint Security)

    Эта технология позволяет увеличить скорость сканирования за счет исключения определенных файлов из сканирования. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату последней проверки файла и любые изменения параметров проверки. У технологии iChecker есть ограничения: она не работает с большими файлами и применяется только к файлам со структурой, распознаваемой приложением (например, EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP и RAR). ).

    Криптографические хеш-функции – это универсальный инструмент в вычислительной технике, который используется для самых разных целей: от проверки личности до обнаружения вредоносных программ и защиты файлов.

    Криптографическая хэш-функция, которую часто называют просто хэшем, представляет собой математический алгоритм, преобразующий любой произвольный блок данных в строку новых символов фиксированной длины. Независимо от длины входных данных, хэш одного и того же типа всегда будет выдавать хеш-значение одинаковой длины.

    Итак, согласно онлайн-генератору хэшей SHA-1 (SHA-1 — одна из наиболее широко используемых хеш-функций в вычислительной технике, наряду с MD 5 и SHA-2), хеш для моего имени, Брайан, : 75c450c3f963befb912ee79f0b63e563652780f0. Как, вероятно, скажет вам любой другой Брайан, «мозг» — невероятно распространенное неправильное написание имени. Настолько распространенное, что когда-то у меня было официальное водительское удостоверение, на котором мое имя было написано «Мозг Донохью», но это уже другая история. Хэш SHA-1 для мозга, согласно моему онлайн-генератору SHA-1, выглядит следующим образом: 8b9248a4e0b64bbccf82e7723a3734279bf9bbc4.

    Как видите, эти два вывода совершенно разные, несмотря на то, что разница между именем Брайан и словом, обозначающим орган в центре вашей центральной нервной системы, полностью зависит от расположения двух последовательных гласных (' ia' против 'ai'). Чтобы продвинуть эту мысль еще дальше, если я введу свое имя без заглавной буквы, генератор SHA-1 снова вернет совершенно другой результат хеширования: 760e7dab2836853c63805033e514668301fa9c47.

    Криптографические хеш-функции – это универсальный инструмент в вычислительной технике, который используется для самых разных целей: от проверки личности до обнаружения вредоносных программ и защиты файлов.

    Вы заметите, что все хэши здесь имеют длину 40 символов, что неудивительно, учитывая, что в каждом случае ввод состоит из пяти символов. Однако, что более удивительно, ввод каждого слова этой истории в генератор хэшей возвращает следующий хэш: db8471259c92193d6072c51ce61dacfdda0ac3d7. Это примерно 1637 символов (с пробелами), сжатых — как и вышеприведенные пятисимвольные слова — в 40-символьный вывод. Вы можете хешировать SHA-1 собрание сочинений Уильяма Шекспира и все равно получить 40-символьный вывод. Кроме того, никакие два входных данных не дают одинаковых хешированных выходных данных.

    Вот изображение, любезно предоставленное Викискладом, иллюстрирующее ту же концепцию для тех из вас, кто предпочитает визуальное обучение:

    Для чего используются хэши?

    Отличный вопрос. К сожалению, ответ заключается в том, что криптохэши используются для многих вещей.

    Для нас с вами наиболее распространенная форма хеширования связана с паролями. Например, если вы когда-нибудь забудете свой пароль к какой-либо онлайн-службе, вам, вероятно, придется выполнить сброс пароля. Когда вы сбрасываете свой пароль, вы, как правило, не получаете взамен открытый пароль. Это потому, что онлайн-сервис не хранит ваш пароль в открытом виде. Они хранят хеш-значение для этого пароля.На самом деле эта служба (если только вы не используете невероятно простой пароль, для которого общеизвестно хэш-значение) не знает, какой у вас настоящий пароль.

    Чтобы было ясно, если вы получаете взамен открытый пароль, это означает, что используемая вами онлайн-служба не хеширует ваш пароль и не позорит их.

    Вы можете проверить это самостоятельно с помощью онлайн-генератора обратного хэша. Если вы сгенерируете хеш-значение для слабого пароля, такого как «пароль» или «123456», а затем введете это хэш-значение в генератор обратного хеширования, есть вероятность, что генератор обратного хеширования распознает хеш-значение для любого из этих паролей. В моем случае генератор обратного хэша распознал хэши для «мозга» и «Брайана», но не хэш, представляющий тело этого текста. Таким образом, целостность выходного хэша полностью зависит от входных данных, которые могут быть буквально любыми.

    В связи с этим, согласно отчету TechCrunch, опубликованному в конце прошлого месяца, популярная служба облачного хранения данных Dropbox заблокировала одного из своих пользователей от обмена контентом, защищенным Законом об авторском праве в цифровую эпоху (DMCA). Этот пользователь написал в Твиттере, что ему заблокировали возможность делиться определенным контентом, и Twitter немного взорвался, когда люди кричали и кричали о том, что Dropbox, должно быть, просматривает пользовательский контент, несмотря на обещание не делать этого в своей политике конфиденциальности.

    Конечно, Dropbox не просматривал какой-либо пользовательский контент. Как отмечается в статье TechCrunch, здесь, скорее всего, произошло то, что правообладатель взял защищенный авторским правом файл (возможно, цифровой состав песни или фильма) и передал его через хеш-функцию. Затем они взяли выходное хеш-значение и добавили эту серию из сорока символов в своего рода список запрещенных хэшей материалов, защищенных авторским правом. Когда пользователь попытался поделиться этим защищенным авторским правом материалом, автоматические сканеры Dropbox обнаружили запрещенный хэш и заблокировали его от общего доступа.

    Итак, вы можете явно хешировать пароли и медиафайлы, но для каких других целей служат криптографические хеш-функции? Опять же, истинный ответ заключается в том, что хеш-функции служат большему количеству целей, чем я знаю, понимаю или о которых хочу писать. Тем не менее, есть еще одно приложение для хеширования, которое нам очень близко здесь, в Kaspersky Daily. Хеширование широко используется в практике обнаружения вредоносных программ такими антивирусными компаниями, как «Лаборатория Касперского».

    Подобно тому, как киностудии и звукозаписывающие компании создают списки запрещенных хэшей для защиты данных, защищенных авторским правом, существует множество запрещенных списков хэш-значений вредоносных программ, большинство из которых находятся в открытом доступе. Эти списки запрещенных хэшей вредоносных программ или сигнатур вредоносных программ состоят из хэш-значений вредоносных программ или хэш-значений более мелких и узнаваемых компонентов вредоносных программ. С одной стороны, если пользователь находит подозрительный файл, этот пользователь может ввести его хеш-значение в один из множества общедоступных хэш-реестров или баз данных вредоносных программ, которые информируют пользователя о том, является ли файл вредоносным или нет. С другой стороны, антивирусные ядра распознают и блокируют вредоносное ПО, сравнивая хэши файлов с собственными (а также общедоступными) репозиториями сигнатур вредоносных программ.

    Криптографические хэш-функции также используются для обеспечения так называемой целостности сообщения. Другими словами, вы можете убедиться, что какое-либо сообщение или файл не были подделаны, изучив хеш-выход, сгенерированный как до, так и после передачи данных. Если хэши до и после идентичны, передача считается подлинной.

    Читайте также: