На тему: «Дослідження роботи програми Windows Defender»

Лабораторна робота № 6

На тему: «Дослідження роботи програми Windows Defender»

Теоретичні відомості

 

Програма Windows Defender, відома під назвою Microsoft AntiSpyware — програмний продукт компанії Microsoft, який створений для того, щоб шукати, видаляти, додавати в карантин або запобігати появі spyware(шпигунських)-модулів в ОС Microsoft Windows. Windows Defender є вбудований в систему Windows Vista і надається для безкоштовного скачування при легальному використанні Windows XP і Windows Server 2003. Розробники відмовились від підтримки Windows 2000, хоча були випущені бета-версії програми, які сумісні з цією ОС.

Windows Defender — не просто проводить сканування системи, як наприклад інші подібні безкоштовні програми. Він містить ряд модулів безпеки, які відслідковують підозрілі зміни в певних сегментах системи в режимі реального часу. Також програма дозволяє швидко видаляти встановлені прикладення ActiveX. За допомогою доступу до мережі Microsoft SpyNet є можливість надсилати повідомлення про підозрілі об‘єкти у Microsoft, для визначення їх можливої приналежності до spyware.

Шпигунські програми (spyware) – небажані програми на будь-якому комп‘ютері. Такі програми після їх встановлення можуть змінити важливі системні файли, додати на робочий стіл рекламні повідомлення або надіслати відомості про сайти, на які користувач заходив, тому хто створив програму. Це робиться для того щоб виявити схильності користувача і завалити його ще більшими потоками реклами. Більш того, шпигунська програма може автоматично вказувати у параметрах оглядача Інтернету власну початкову сторінку, в результаті чого після завантаження браузера користувач потрапляє на сторінку, яка перенасичена рекламними повідомленнями і вспливаючиим вікнами.

Нерідко попадаються програми, які записують всі дії користувача, включаючи натиснення клавіш на клавіатурі і надсилають їх розробнику програми, який залюбки виясняє всі про роботу користувача на комп‘ютері і знайде паролі доступу до електронної пошти і т.д.

Як правило зараження комп‘ютера шпигунською програмою відбувається трьома поширеними способами. Перший полягає у тому що користувач заходить на звичайний Web-сайт, який містить декілька кнопок для переходу до інших розділів сайту. Варто лише натиснути мишкою на кнопці переходу, як використовуючи уразливість в браузері або самій Windows, шпигунська програма буде приховано від користувача встановлена на комп‘ютер. Шпигунські програми можуть міститись у взломаних піратських програмах, які скачує користувач, а також вкладених електронних листах. Також вони інфікують комп’ютер під час інсталяції програм за допомогою компакт-дисків, DVD-дисків та інших знімних носіїв. Шпигунські програми також можуть запускатися неочікувано, не тільки після інсталяції.

Характеристики Windows Defender.

 

§ Він швидко і легко шукає шпигунські і небажані/підозрілі програми, які уповільнюють роботу комп‘ютера, відображають різну вспливаючу рекламу, змінюють налаштування з‘єднань Internet, або навіть які користуються персональними і конфіденційними даними.

§ За вказівкою користувача Windows Defender без зусиль видалить все знайдене шпигунське ПЗ. При випадковому вилученні потрібної програми її можна легко відновити.

§ Всі дії виконують у зручний або заданий користувачем час, за вимогою або за розкладом, який був встановлений раніше.

§ Постійний фоновий захист за допомогою визначення можливих шляхів проникнення шпигунських і інших небажаних програм на комп‘ютер.

§ Windows Defender сам допоможе більш-меньш точно визначити, які з підозрілих програм класифікуються як шпигунські. Кожний користувач програми Windows Defender може самостійно повідомити у Microsoft про виявлене потенційне шпигунське ПЗ.

§ Автоматичне завантаження оновлень для захисту від нових загроз, автоматична протидія новим шпигунським і підозрілим програмам.

 

Програма Windows Defender пропонує два способи запобігання інфікуванню комп'ютера шпигунськими програмами:

§ Захист у реальному часі.‍‍ Windows Defender попереджає вас, коли шпигунська програма намагається інсталювати або запустити себе на комп'ютері. Вона також попереджає вас, коли програми намагаються змінити важливі настройки Windows.

§ Параметри сканування. За допомогою програми Windows Defender можна шукати на комп'ютері шпигунські програми, регулярно задавати розклад сканування й автоматично видаляти все знайдене під час сканування.

Користуючись програмою Windows Defender, слід постійно оновлювати визначення. Визначення — це файли, що схожі на енциклопедію потенційних загроз, яка постійно розширюється. Windows Defender за допомогою визначень попереджає про можливу небезпеку, якщо виявлено, що знайдена програма є шпигунською або потенційно небажаною. Для постійного оновлення визначень програма Windows Defender взаємодіє зі службою Windows Update та автоматично інсталює нові визначення відразу після їхньої появи. Також можна настроїти програму Windows Defender таким чином, щоб перевіряти наявність оновлених визначень в Інтернеті перед тим, як шукати зловмисні програми на комп'ютері.

24 жовтня 2006 року, Microsoft анонсувала фінальний реліз Windows Defender. Була здійснена підтримка систем Windows XP, Windows Server 2003 і Windows Vista; проте було вирішено відмовитися від планів підтримки Windows 2000, оскільки, згідно із заявою представників корпорації, ця система «не популярна у споживачів» і було вирішено перестати здійснювати її повну підтримку.

За допомогою інструменту Software Explorer утиліта може контролювати всі працюючі прикладення. Вона здатна виявити прикладення, які автоматично запускаються на початку роботи комп‘ютера, програми, які працюють у даний час, і надасть про них всю детальну інформацію. Те ж саме стосується і мережевих з‘єднань.

 

Механізми дії Windows Defender

Щоб знайти шпигунські програми на комп‘ютері Windows Defender використовує евристичний аналізатор програм на предмет відповідності їх його нормам, а також механізми, які відслідковують ОС за особливими мітками системи безпеки. Такі механізми засновані на точках відновлення даних і порівнянні їх з еталонним значенням. Наприклад, якщо браузер намагається встановити іншу стартову сторінку Windows Defender, порівнюючи її с попередньою встановленою старінкою, попередить користувача про цю дію. Перевірка у реальному часі дозволяє блокувати і попереджувати встановлення небажаного ПЗ. Для зручності користувачів налаштування за визначенням і блокування spyware різні, завдяки чому можна вибрати оптимальну конфігурацію для захисту свого комп‘ютера.

Установка Windows Defender

Механизмы действия Windows Defender

Основные настройки

SpyNet

Заключение

 

Установка Windows Defender

Установка и настройка этой программы просты и доступны каждому пользователю. После загрузки инсталляционного файла необходимо запустить его и установить программу на компьютер. При установке можно выбрать действия программы при первом запуске (рис. 1).

 

Рис. 1. Параметры установки Windows Defender

Первая опция рекомендована для установки по умолчанию. В случае ее установки при первом запуске Windows Defender автоматически просканирует систему на предмет наличия вредоносного программного обеспечения и, если таковое будет найдено, автоматически удалит его. При выборе этой опции Defender также присоединит данный компьютер к сети SpyNet, о которой будет рассказано далее.

Вторая опция предполагает только установку обновлений и автоматического сканирования при первом запуске.

Последняя опция — только установка, а все сопутствующие вопросы программа задаст при первом запуске.

После установки программы нужно перезагрузить систему, после чего Windows Defender автоматически активируется — в трее появится иконка в виде крепости. Если этого не произошло, можно запустить программу из меню «Пуск»: Пуск ® Программы ® Windows Defender. При первой загрузке программа настоятельно рекомендует обновить базы, если это было указано при инсталляции. После обновления Windows Defender автоматически произведет поиск вредоносного программного обеспечения и, если таковое будет найдено, удалит, заблокирует или отключит его в зависимости от действий пользователя (в каждом случае обнаружения будет выводиться диалоговое окно с предложением выбрать нужное действие). Рекомендуется также включить опцию автоматического обновления базы.

Если база данных по шпионскому обеспечению не обновлена и компьютер не просканирован, в трее будет отображаться значок Windows Defender. Если компьютер просканирован — значок из трея исчезнет. Главное окно программы имеет дружественный и понятный любому пользователю интерфейс (рис. 2).

 

Рис. 2. Основное окно программы

Основные настройки

Существует два основных типа сканирования: полное и быстрое. Первый тип предполагает сканирование всех файлов, включая заархивированные файлы, образы дисков и т.п., на компьютере для выявления и удаления шпионских программ (рис. 3). Полное сканирование занимает много времени, поскольку все файлы подвергаются проверке.

 

Рис. 3. Полное сканирование

В режиме быстрого сканирования Windows Defender поверхностно изучает большинство исполняемых файлов и библиотек. В этом случае сканирование занимает не более 20 минут.

По завершении сканирования программа выдает список файлов, которые являются нежелательными (рис. 4).

 

Рис. 4. Результат сканирования

Далее можно удалить все нежелательные программы, которые были найдены Windows Defender, или применить по отношению к каждой программе определенное действие. В случае необходимости можно получить подробную информацию о файлах, что облегчит принятие решения об их сохранении или удалении (рис. 5).

 

Рис. 5. Подробная информация о нежелательной программе

Пользователь может удалить, поместить программу в карантин, игнорировать сообщение и разрешить работу программы. При выборе первых двух пунктов программа будет заблокирована, а значит, недоступна. Последние два пункта разрешают работу программ, которые нежелательны, но все-таки необходимы, например программ удаленного управления и т.п. Windows Defender автоматически определяет уровень риска при использовании нежелательных шпионских программ — он может быть небольшим, средним и высоким.

В Windows Defender можно задавать день и время, когда выполняется автоматическое сканирование, указывая при этом его тип — быстрое или полное. По умолчанию автоматическое быстрое сканирование происходит ежедневно в два часа ночи. Чтобы автоматизировать процесс сканирования и не разбираться с каждой найденной вредоносной программой в отдельности, Defender позволяет задать автоматически применяемое к ней действие для каждого уровня риска. Так, программы с высокой степенью риска можно автоматически удалять, а со средним и небольшим уровнем риска — игнорировать или помещать в карантин.

По умолчанию Windows Defender обеспечивает защиту в реальном времени, однако эту опцию можно отключить или настроить по собственному желанию. В числе настроек можно указать, какие области операционной системы будут автоматически защищены и какие параметры системы будут контролироваться Windows Defender. Отметим наличие немаловажной опции, позволяющей определить программы, которые не будут проверяться Windows Defender. Для этого необходимо указать соответствующие папки на компьютере или исполняемые файлы.

SpyNet

Поскольку вредоносных программ с каждым днем становится все больше, компания Microsoft приглашает всех желающих вступить в добровольное сообщество SpyNet, которое накапливает информацию о шпионском программном обеспечении и позволяет совместно использовать ее для предотвращения установки нежелательного ПО. Пользователи, вступившие в это сообщество, являются его равноправными участниками и играют непосредственную роль в определении того, какие подозрительные программы будут классифицироваться как шпионские и получать высокий рейтинг опасности. Участие в сообществе является онлайновым, благодаря чему подключившийся к Интернету пользователь станет автоматически получать новые списки вредоносного ПО и всегда будет во всеоружии. А информация о найденных на пользовательском компьютере шпионских программах будет автоматически отсылаться в сообщество SpyNet.

Предусмотрены два уровня членства в SpyNet: базовое и расширенное. В первом случае в сообщество, то есть в Microsoft, отсылается основная информация о подозрительном программном обеспечении, а также некоторая личная информация, однако компания гарантирует, что не будет использовать ее для контакта с пользователем. Стоит отметить, что участники с базовым членством не предупреждаются о новом неклассифицированном ПО.

Во втором случае пользователи отсылают информацию о неклассифицированном программном обеспечении и получают от других участников такую же информацию. В отличие от базового членства, расширенное участие предполагает получение информации о действиях, предпринятых другими участниками против различного потенциально опасного программного обеспечения. Такие сведения необходимы для принятия более правильного решения относительно нового ПО, которое может быть небезопасным.

Конечно, пользователь может не становиться членом сообщества SpyNet, но тогда он не будет знать о множестве подозрительных программ, которые могут проникнуть на его компьютер. Чтобы присоединиться к сообществу, необходимо открыть Windows Defender и во вкладке Tools (Сервис) выбрать Microsoft SpyNet. Там же можно выбрать уровень членства или отказаться от участия в сообществе.

Заключение

Небезопасное программное обеспечение постоянно совершенствуется, придумываются все новые уловки для установки его на компьютер, поэтому антишпионское программное обеспечение, безусловно, необходимо пользователю для защиты своего ПК. Поскольку в некоторых случаях ежедневное обновление может не сработать, участие в сообществе SpyNet значительно повышает шансы на обнаружение вредоносных программ. Немаловажную роль в борьбе со spyware играет включение Windows Defender во все новые обновления для операционных систем от компании Microsoft. Стоит также отметить простой и дружественный пользовательский интерфейс этой программы и, что немаловажно, ее бесплатность.

 

Примечание.

Рекомендуется загрузить Windows Defender Offline и создать компакт- или DVD-диск либо USB-устройство флэш-памяти на компьютере, незараженном вредоносными программами, поскольку они могут препятствовать созданию носителя.

 

 

Windows Defender

Beta 2

На конференции RSA Security 2005 года глава и один из основателей Microsoft Билл Гейтс объявил о том, что Windows Defender будет распространяться бесплатно для всех видов лицензий операционных систем Windows 2000, Windows XP и Windows Server 2003 в целях повышения безопасности использования этих операционных систем, а также из-за волны шпионских программ, захлестнувших Интернет и представляющих серьёзную угрозу безопасности информации, хранящейся на компьютерах пользователей Сети по всему миру. В новую операционную систему Microsot Windows Vista программа Defender вошла как часть системы и устанавливается по умолчанию.

Релиз второй бета-версия Windows Defender состоялся 13 февраля 2006 года. Программа вышла уже под новым названием, была существенно переработана, содержала массу нововведений. Ядро было переписано на языке C++, тогда оригинальный продукт от GIANT был разработан на Visual Basic [2]. Это существенно расширило возможности программы. Кроме того, теперь программа функционировала в качестве службы Windows, в отличие от предыдущего релиза, что обеспечивало защиту даже если вход в систему не был выполнен. По этой причине Windows Defender фактически представляет собой интерфейс управления службой Windows, имеющей то же название. Вдобавок, приложение теперь может контролировать большее число точек входа в систему, обладая при этом более простым и интуитивно понятным интерфейсом. Эта версия требует прохождения контроля подлинности через Windows Genuine Advantage.

В то же время в этой версии было решено отказаться от некоторых инструментов, входивших в состав Beta 1. В частности, были исключены инструменты System Explorer и Tracks Eraser, упрощавший удаление различных временных файлов Internet Explorer 6, таких как cookies и temporary internet files, и очистку истории Windows Media Player Позднее Microsoft выпустила немецкую и японскую версии Windows Defender (Beta 2).

Системные требования:

* Процессор: Процессор Pentium 233 МГц или выше, процессор Pentium III (рекомендуется)
* Операционная система: Microsoft Windows 2000 с пакетом обновления 4 (SP4) или более поздним, Windows XP с пакетом обновления 2 (SP2) или более поздним, Microsoft Windows Server 2003 с пакетом обновления 1 (SP1) или более поздним.
* Память: 64 Мб ОЗУ (минимум), 128 Мб ОЗУ (рекомендуется)
* Место на диске: 20 Мб свободного места на диске
* Веб-обозреватель: Microsoft Internet Explorer 6.0 или выше

Примечание. Windows Defender (Beta 2) не запускается в системах Microsoft Windows Me, Microsoft Windows 98 и Microsoft Windows NT.

Финальный релиз

24 октября 2006 года, Microsoft анонсировала финальный релиз Windows Defender.[1] Была осуществлена поддержка систем Windows XP, Windows Server 2003 и Windows Vista; однако было решено отказаться от планов поддержки Windows 2000, так как, согласно заявлению представителей корпорации, эта система "не популярна у потребителей" и было решено перестать осуществлять её полную поддержку.

Software Explorer

The Advanced Tools section allows users to discover potential vulnerabilities for themselves with a series of Software Explorers. They provide views of startup programs, currently running software, and Windows sockets providers (Winsock LSPs). In each Explorer, every element is rated as either "Known", "Unknown" or "Potentially Unwanted". The first and last categories carry a link to learn more about the particular item, and the second category invites you to submit the program to SpyNet for analysis by experts.

Лабораторна робота № 6

на тему: «Дослідження роботи програми Windows Defender»

Теоретичні відомості

 

Програма Windows Defender, відома під назвою Microsoft AntiSpyware — програмний продукт компанії Microsoft, який створений для того, щоб шукати, видаляти, додавати в карантин або запобігати появі spyware(шпигунських)-модулів в ОС Microsoft Windows. Windows Defender є вбудований в систему Windows Vista і надається для безкоштовного скачування при легальному використанні Windows XP і Windows Server 2003. Розробники відмовились від підтримки Windows 2000, хоча були випущені бета-версії програми, які сумісні з цією ОС.

Windows Defender — не просто проводить сканування системи, як наприклад інші подібні безкоштовні програми. Він містить ряд модулів безпеки, які відслідковують підозрілі зміни в певних сегментах системи в режимі реального часу. Також програма дозволяє швидко видаляти встановлені прикладення ActiveX. За допомогою доступу до мережі Microsoft SpyNet є можливість надсилати повідомлення про підозрілі об‘єкти у Microsoft, для визначення їх можливої приналежності до spyware.

Шпигунські програми (spyware) – небажані програми на будь-якому комп‘ютері. Такі програми після їх встановлення можуть змінити важливі системні файли, додати на робочий стіл рекламні повідомлення або надіслати відомості про сайти, на які користувач заходив, тому хто створив програму. Це робиться для того щоб виявити схильності користувача і завалити його ще більшими потоками реклами. Більш того, шпигунська програма може автоматично вказувати у параметрах оглядача Інтернету власну початкову сторінку, в результаті чого після завантаження браузера користувач потрапляє на сторінку, яка перенасичена рекламними повідомленнями і вспливаючиим вікнами.

Нерідко попадаються програми, які записують всі дії користувача, включаючи натиснення клавіш на клавіатурі і надсилають їх розробнику програми, який залюбки виясняє всі про роботу користувача на комп‘ютері і знайде паролі доступу до електронної пошти і т.д.

Як правило зараження комп‘ютера шпигунською програмою відбувається трьома поширеними способами. Перший полягає у тому що користувач заходить на звичайний Web-сайт, який містить декілька кнопок для переходу до інших розділів сайту. Варто лише натиснути мишкою на кнопці переходу, як використовуючи уразливість в браузері або самій Windows, шпигунська програма буде приховано від користувача встановлена на комп‘ютер. Шпигунські програми можуть міститись у взломаних піратських програмах, які скачує користувач, а також вкладених електронних листах. Також вони інфікують комп’ютер під час інсталяції програм за допомогою компакт-дисків, DVD-дисків та інших знімних носіїв. Шпигунські програми також можуть запускатися неочікувано, не тільки після інсталяції.