Где находится файлы в карантине

Где находится файлы в карантине

Где находится файлы в карантине

Где находится файлы в карантине

Где находится файлы в карантине


С помощью драйвера klif.sys Файловый Антивирус перехватывает все файловые операции (такие как, чтение, копирование, запуск) и проверяет файлы, с которыми выполняются действия. В случае если файл заражен, операция блокируется, а сам файл лечится или удаляется.

Можно отключить Почтовый Антивирус и Веб-Антивирус, но пользователь все равно не сможет запустить зараженный файл, полученный по почте или из сети Интернет. В момент сохранения файла на диск он будет обнаружен и заблокирован Файловым Антивирусом. А выполнить запуск файла из вложения или веб-страницы без сохранения на диск нельзя.

Таким образом, главная роль в защите файловой системы принадлежит Файловому Антивирусу, что одновременно делает его самым важным компонентом защиты в целом.

Технологии проверки

При проверке Файловый Антивирус использует следующие технологии:

  • Сигнатурный анализ — это способ выявления вирусов с помощью сигнатур. Сигнатура это часть исполняемого кода, контрольная сумма или другая двоичная запись, с помощью которой можно определить заражен данный файл конкретным вирусом или нет. Последовательная проверка файла при помощи сигнатур уже известных вирусов позволяет установить является ли файл инфицированным в целом. Такой способ проверки очень надежен, но позволяет обнаруживать только те вирусы, сигнатуры которых добавлены в антивирусные базы.
  • Эвристический анализ. Этот метод проверки применяется только к исполняемым файлам. Kaspersky Endpoint Security запускает проверяемый файл в изолированной от операционной системы виртуальной среде и анализирует его поведение. Этот способ требует большего времени, по сравнению с анализом сигнатур, но позволяет обнаруживать не только известные, но и часть новых вирусов.
  • Проверка по спискам KSN. Эта проверка тоже применяется только к исполняемым файлам. Для каждого проверяемого файла рассчитывается контрольная сумма и сравнивается с записями в локальной базе KSN (на клиентском компьютере). Далее возможны два варианта:
    • Первый вариант. Если сигнатурный и эвристический анализ не выявили заражения, решение принимается на основе информации в локальном кеше KSN. Если в локальном кеше информации о файле нет, доступ к файлу разрешается, и одновременно отправляется фоновый запрос в KSN-облако. Если в ответе будет получено, что файл опасен, Файловый Антивирус инициирует его повторную проверку. Если же файл не представляет опасности или если связи с серверами KSN нет, проверка файла считается оконченной.
    • Второй вариант. Если сигнатурный или эвристический анализ определили файл как зараженный, Файловый Антивирус затребует подтверждение вердикта в KSN. При этом если в локальной базе информации по файлу нет, Файловый Антивирус будет ожидать ответ из облака KSN. Если в KSN файл числится, как чистый, он признается незараженным, несмотря на вердикты сигнатурного и эвристического анализа. Если же вердикт подтвердился или информацию о файле из КSN получить не удалось (нет связи с серверами KSN), файл обрабатывается как инфицированный.

Как можно видеть из алгоритма проверки, проверка по базе KSN дополняет сигнатурный анализ и практически исключает вероятность ложных срабатываний.

Параметры проверки

Настройки Файлового Антивируса, определяющие область защиты и порядок проверки файлов, собраны в группу параметров Уровень безопасности. В политике эти параметры находятся под общим замком, т.е. назначаются обязательными или необязательными все одновременно. Учитывая важность Файлового Антивируса, разрешать пользователям изменять параметры проверки нельзя — замок в секции Уровень безопасности должен быть закрыт.

Область защиты

Область защиты Файлового Антивируса по умолчанию включает:

  • Все сменные диски
  • Все жесткие диски
  • Все сетевые диски

Иными словами — любые диски, с которых может быть произведен запуск вредоносных объектов. Область защиты допускает добавление отдельных дисков или каталогов, вместо групп дисков. Однако отключение любой из стандартных областей проверки существенно понижает уровень защиты. Поэтому модифицировать эту группу настроек нужно крайне осторожно. Например, если с помощью систем Cisco NAC или Microsoft NAP гарантируется наличие работающего антивируса на всех узлах сети, проверку сетевых дисков можно отключить. В этом случае при обращении к файлу на сетевом диске проверку выполнит антивирус компьютера, на котором находится диск.

Типы проверяемых файлов

Параметр Типы файлов может принимать одно из трех значений:

  • Все файлы
  • Файлы, проверяемые по формату — т. е. файлы таких форматов, которые могут содержать исполняемый вредоносный код, причем формат файлов определяется не по расширению, а в результате анализа заголовка файла
  • Файлы, проверяемые по расширению — т. е. файлы с расширениями, характерными для заражаемых форматов

Для Файлового Антивируса оптимальным значением является среднее. Проверка всех файлов потребует значительно больше ресурсов без существенного улучшения защиты. А проверка файлов на основании только их расширений создает опасность пропуска переименованного вредоносного объекта. Нетипичное расширение может не помешать открыть или даже запустить такой файл.

Эвристический анализ

В группе Методы проверки задаются параметры использования эвристического анализа. Уровень эвристики — Поверхностный, Средний или Глубокий — определяет время наблюдения объекта в виртуальной среде. В контексте работы Файлового Антивируса это означает увеличение задержки при запуске программ. В связи с этим вполне допустимым подходом может быть и полное отключение эвристического анализа в Файловом антивирусе.

Оптимизация проверки

Проверять только новые и измененные файлы, напротив, приводит к уменьшению количества проверок, выполняемых Файловым Антивирусом. Если объект уже проверялся и с тех пор не менялся, он не будет проверяться повторно. Информацию об изменениях Kaspersky Endpoint Security получает с помощью технологий iSwift и iChecker, параметры управления которыми находятся на закладке Дополнительно.

Составные файлы Файловым Антивирусом лучше не проверять. На их распаковку тратится немало ресурсов, а непосредственной опасности они не представляют. Даже если архив содержит вирус, запустить его, не распаковав, не удастся. А при распаковке он будет обнаружен и заблокирован как обычный файл. Достаточно проверять такие файлы при проверке по требованию.

iSwift и iChecker

Технологии проверки iSwift и iChecker отвечают за сбор данных об изменениях в файлах. Технология iSwift извлекает данные об изменениях из файловой системы NTFS. Соответственно для файлов, расположенных на NTFS-дисках применяется iSwift. Технология iChecker применяется к исполняемым файлам, расположенным на дисках с отличной от NTFS файловой системой, например, FAT32. Для этого iChecker вычисляет и сохраняет контрольную сумму проверенных исполняемых файлов. Если при следующей проверке контрольная сумма совпадает, значит, файл не менялся. В рамках обеих технологий сохраняется информация о дате проверки файла и версии баз, использованных для проверки.

Если включена опция Проверять только новые и измененные файлы, параметры Технология iSwift и Технология iChecker самостоятельной функции не имеют. Даже если их выключить, технологии iSwift и iChecker будут по-прежнему использоваться, т. к. без них Kaspersky Endpoint Security не сможет определять, какие файлы уже проверялись, и какие из них с тех пор не менялись.

Если опция Проверять только новые и измененные файлы выключена, параметры Технология iSwift и Технология iChecker приобретают новый смысл. При такой настройке с каждым файлом связан карантинный или доверительный период. Во время карантинного периода файл проверяется, даже если он и не менялся, во время доверительного периода файл не проверятся.

Карантинный период назначается всем файлам, которые еще не проверялись, или которые изменились со времени последней проверки. Во время карантинного периода файл не проверяется, только если он уже проверялся этой же версией баз. Для этого в рамках технологий iSwift и iChecker фиксируется не только дата проверки файла, но и версия антивирусных баз, использовавшихся при проверке. Во всех остальных случаях файл подвергается стандартной проверке.

По окончании карантинного периода, файлу назначается доверительный период. В этот период при обращении к файлу выполняется только проверка на изменения. Если файл не менялся, он не проверяется. По окончании доверительного периода файл проверяется один раз при первой необходимости и если он не заражен, ему присваивается новый доверительный период, длиннее предыдущего. При любом изменении файл получает карантинный период и все начинается сначала.

В этих терминах, при включенной опции Проверять только новые и измененные файлы доверительный период не имеет ограничения по времени. Он заканчивается только при изменении файла.

Отключать технологии iSwift и iChecker в Файловом Антивирусе не имеет смысла. Это или не даст никакого эффекта (при включенной опции Проверять только новые и измененные файлы) или приведет к увеличению количества проверок и общему снижению производительности компьютера.

Режим проверки

Режим проверки определяет, при каких операциях с файлами выполняется проверка. Их проще рассматривать снизу вверх:

  • При выполнении — проверяются только исполняемые файлы в момент их запуска. Копирование зараженного файла на компьютер останется незамеченным. Переключение Файлового Антивируса в этот режим существенно снижает уровень безопасности.
  • При доступе — файлы проверяются при чтении и выполнении. Пользователь сможет загрузить вредоносный файл с веб-сайта, но не сможет ничего с этим файлом сделать.
  • При доступе и изменении — файлы проверяются при любых операциях с ними. Это самый безопасный режим, но и самый ресурсоемкий
  • Интеллектуальный режим — анализируется порядок операций с файлом. Если файл был открыт на запись, проверка выполняется после закрытия файла, когда все изменения с ним уже выполнены. Промежуточные изменения файла не анализируются. Или если файл открыт на чтение, он проверяется при первом доступе, а при последующих обращениях в рамках той же операции чтения не проверяется
Практически, Интеллектуальный режим обеспечивает такую же защиту, как и При доступе и изменении, но с меньшим потреблением ресурсов. Именно его стоит использовать на большинстве компьютеров. Режимы При доступе и При выполнении можно использовать на компьютерах, где производительность важнее безопасности, понимая, что в этом случае повышается вероятность заражения компьютера или распространения через него вирусов.
Приостановка Файлового Антивируса

Файловый Антивирус можно остановить на время выполнения ресурсоемкой операции. Для этого предназначены опции в группе Приостановка задачи:

По расписанию — расписание только ежедневное, задается временем приостановки Файлового Антивируса и временем возобновления его работы. Время указывается в часах и минутах

При запуске программы — Файловый Антивирус будет приостанавливать работу при появлении в памяти выбранной программы, и возобновлять работу после исчезновения программы из памяти

Стандартные уровни безопасности

Уровнем безопасности можно управлять при помощи переключателя имеющего три положения: Низкий, Рекомендуемый и Высокий. Изменение любых параметров приводит к тому, что уровень безопасности меняется на Другой. Чтобы вернуться к стандартному уровню, нужно нажать кнопку По умолчанию.

Действия

При обнаружении зараженного объекта Файловый Антивирус может попытаться вылечить или удалить его. Большинство зараженных файлов неизлечимы, потому что не содержат ничего кроме вредоносного кода.

Перед лечением или удалением файла его копия помещается в резервное хранилище. Это делается на случай, если файл понадобится восстановить. Например, если в нем была критично важная информация, или если файл был удален в результате ложного срабатывания.

В некоторых случаях однозначно установить, является ли файл зараженным, не удается. Например, если файл обнаружен с помощью эвристического анализа, проверки по базе KSN или близок или частично соответствует одной из сигнатур вирусов. Такие файлы при обнаружении получают вердикт "Подозрительный".

Вместо лечения, подозрительный файл помещаются в отдельное хранилище – карантин, при этом его оригинальная копия удаляется. Файлы, находящиеся на карантине можно перепроверить, с целью уточнения их статуса.

Если в свойствах компонента Мониторинг системы включена опция Выполнять откат действий вредоносных программ при лечении, для объектов, которые в результате проверки удаляются, будет выполнен откат действий.

Вредоносные программы, обнаруженные Файловым Антивирусом, нельзя оставлять необработанными. Поэтому настройки действий Файлового Антивируса должны быть обязательными. Оптимальным выбором будет пытаться лечить, а если лечение невозможно, удалять зараженные файлы.

Настройка исключений

Исключения для объектов

Иногда при проверке файлов Файловым Антивирусом они могут быть ошибочно приняты за зараженные. Такие случаи довольно редки, и происходят преимущественно с программным обеспечением, которое компании пишут для внутреннего использования. Решить проблему с такими ложными обнаружениями можно при помощи правил исключения для объектов.

Исключения — это отдельная, общая для всех компонентов защиты группа настроек. Правило исключения для объектов состоит из трех атрибутов:

  • Объект — имя файла или каталога, на который распространяется исключение. В имени объекта можно использовать переменные окружения (systemroot, userprofile и другие) и спецсимволы «» и «?»
  • Тип угроз — имя игнорируемой угрозы (как правило, имя вредоносной программы), которое тоже можно задать с использованием спецсимволов
  • Компоненты — перечень компонентов защиты, на которые распространяется правило

Из трех атрибутов, обязательными является любой из первых двух и третий. Можно создать полноценное правило исключения для отдельного файла или каталога, не указывая тип угроз — выбранные компоненты будут игнорировать любые угрозы в указанных объектах. И наоборот, можно создать правило исключения для некоторого типа угроз, например, для средства удаленного управления UltraVNC, так что выбранные компоненты не будут реагировать на эту угрозу независимо от того, где она обнаружена.

Нередко используются все три атрибута. Так, в списке исключений сразу имеется набор правил для распространенных средств удаленного управления: UltraVNC, RAdmin и пр. В них задан и тип угроз, и объект — расположение исполняемого файла при типичной установке средства управления. Такое правило не будет реагировать на средства управления, запускаемые из Program Files, но если пользователь запустит UltraVNC из своего домашнего каталога, Kaspersky Internet Security воспримет это как угрозу.

Исключения для программ

Изменяя настройки Уровня безопасности можно добиться оптимального соотношения производительности и надежности защиты для компьютера, работающего в обычном режиме. Но если на компьютере запускаются особенно ресурсоемкие приложения, их работа может замедляться Файловым Антивирусом. Особенно это касается программ, выполняющих много операций с файлами, например, резервного копирования или дефрагментации. Чтобы избежать замедления во время работы таких приложений нужно принять специальные меры.

Первое, что стоит сделать, это настроить исключение, чтобы Файловый Антивирус игнорировал обращения к файлам, инициированные этой программой. Для этого в окне настройки исключений Доверенные программы нужно указать полный или частичный путь к исполняемому файлу программы и выбрать тип разрешенных действий — Не проверять открываемые файлы

В случае если процессов у программы много, а служебные файлы собраны в одном каталоге, имеет смысл исключить этот каталог из проверки Файловым Антивирусом. Для этого нужно создать обычное правило исключения, указать необходимые каталог в качестве объекта, не указывать Тип угроз, и выбрать Файловый Антивирус в списке компонентов, на которые действует правило.

Если желаемого эффекта не удается добиться настройкой исключений, как крайнюю меру, можно настроить приостановку Файлового Антивируса на время работы программы. (Приостановка включается в свойствах Уровня безопасност и на закладке Дополнительно)

Настройки исключений должны быть обязательными. Многие пользователи не смогут настроить себе исключения, даже если оставить им такую возможность. Другие, наоборот, могут злоупотребить этой возможностью и существенно ослабить защиту компьютера.

В то же время при применении политики любые локальные исключения перестают действовать и вместо них применяются централизованные исключения. А исходные исключения в стандартной политике касаются только средств удаленного управления, да и те отключены. Поэтому, чтобы создать рабочий набор исключений, администратору стоит выяснить, какие исключения требуются пользователям для комфортной работы, и занести их в политику. Удобнее всего создавать исключения в локальном интерфейсе Kaspersky Endpoint Security и потом импортировать их в политику.

Back Next
Источник: http://support.kaspersky.ru/learning/courses/kl_102.98/chapter2.2/section1


Где находится файлы в карантине

Где находится файлы в карантине

Где находится файлы в карантине

Где находится файлы в карантине

Где находится файлы в карантине

Где находится файлы в карантине

Где находится файлы в карантине

Где находится файлы в карантине

Где находится файлы в карантине