Защита вашего компьютера - Сергей Яремчук
Шрифт:
Интервал:
Закладка:
• Контролировать BHO – вызов окна редактирования Компонентов ядра Windows, в котором можно получить информацию о BHO-, ActiveX-, COM-объектах и автоматически загружаемых DLL-библиотеках.
Полезным модулем является Оптимизатор автозагрузки (рис. 3.15). Вызвать его можно, нажав в Менеджере автозагрузки кнопку
либо через Центр управления, щелкнув на ссылке Запуск и выбрав справа категорию Оптимизировать загрузку.
Рис. 3.15. Оптимизатор автозагрузки
Задача этого модуля проста: на основании записей в базе приложений и установок пользователя определить программы, которые можно убрать из автозагрузки. В первую очередь сюда попадают приложения с меткой Бесполезная. Если они не нужны, их стоит убрать, тогда загрузка системы будет быстрее, а RegRun будет проверять меньше объектов, что также скажется на производительности. Если при отключении какой-то программы вы ошиблись, ее можно включить, снова перейдя в Оптимизатор автозагрузки либо воспользовавшись профилями автозагрузки, которые RegRun автоматически создает при каждом изменении этого параметра. Чтобы запустить профили восстановления, следует щелкнуть на ссылке Запуск и выбрать категорию Профили автозагрузки.
Режим Чистый запуск позволяет загрузить систему с минимальным количеством автоматически загружаемых элементов. Это может быть полезно, когда одна из программ, помещенных в автозагрузку, работает некорректно и мешает нормальному функционированию системы, а также когда есть подозрение о наличии в системе вируса, особенно если его невозможно удалить.
Защита файлов
Одной из самых полезных функций программы является Защита файлов, защищающая компьютер от вирусов, троянцев и работающих со сбоями программ. Функционирует она так. Первоначально создается список файлов, состояние которых необходимо контролировать. Для последующего восстановления они копируются в хранилище, которое находится в папке C:Мои документыRegRun2Files. Правда, само хранилище программа не защищает и на подмену файлов не реагирует. Для редактирования списка защищаемых файлов или их проверки вручную вызовите контекстное меню значка RegRun в области уведомлений и выполните команду Безопасность → Защита файлов (рис. 3.16).
Рис. 3.16. Окно редактирования защищаемых файлов
Для проверки файла выберите его с помощью кнопки мыши и щелкните на значке
При обнаружении модификации защищаемых файлов будет выдано предупреждение с указанием размера и даты создания обоих файлов. Пользователю остается принять решение – оставлять новую модифицированную версию либо восстановить файл из резервной копии? Используя кнопки, модифицированный файл можно копировать, переименовать, удалить, открыть или просканировать с помощью антивирусной программы. Щелкнув на значке с изображением плюса, можно указать файл, целостность которого будет контролироваться RegRun.
Для поиска неизвестных антивирусным приложениям вирусов RegRun открывает и контролирует множество программ-приманок: если обнаруживается изменение любого из этих файлов, RegRun сообщает о присутствии вируса. Для Windows такой приманкой является файл winbait.exe: ее автозапуск заносится в реестр и сравнивается с оригинальным файлом, имеющим имя winbait.org. Для включения такого контроля следует зайти в Центр управления, щелкнуть на ссылке Настройка, в появившемся окне перейти на вкладку Ловушка вирусов и установить флажок В Windows-режиме (периодически во время тестирования).
RegRun совместим со многими известными антивирусами. Для настройки совместной работы необходимо нажать кнопку Антивирусный координатор на этой же вкладке и запустить поиск установленных антивирусов, нажав кнопку Автопоиск. Если антивирус не найден автоматически, его можно указать вручную, нажав кнопку Добавить.
RegRun также определяет файлы, которые будут заменены во время следующей загрузки Windows. Это функция Aнтизамена. Система защищает основные файлы и библиотеки и в рабочем состоянии не дает их заменить, поэтому чтобы установленные драйверы вступили в силу, систему требуется перезагрузить. Однако эту возможность могут использовать вирусы, чтобы внедриться в системный файл. В случае появления таких файлов пользователь предупреждается с возможностью отмены операции.
Полезные утилиты RegRun
Щелкнув в окне Центра управления на ссылке Утилиты, вы найдете еще несколько полезных инструментов. Так, Менеджер процессов позволяет не только просмотреть и при необходимости уничтожить подозрительный процесс, но и получить подробную информацию о загруженных DLL-библиотеках и сетевой активности приложений (рис. 3.17).
Рис. 3.17. Менеджер процессов
Если понадобится просмотреть и отредактировать файлы autoexec.nt, confi g.nt и boot.ini, поможет удобный Редактор системных файлов. Все открытые на компьютере файлы можно просмотреть, выбрав утилиту Открытые файлы.
Полезна также возможность периодического или однократного запуска любой программы. Для этого следует выбрать утилиту Запуск с задержкой.
Наиболее полный контроль над реестром Windows осуществляется в версиях Gold и Platinum. В этих версиях имеется возможность оптимизации реестра, создания резервной копии и восстановления и получения подробной справки по реестру. В версию Standart включен Монитор реестра, который можно запустить, щелкнув в окне Центра управления на ссылке Реестр и выбрав справа категорию Монитор реестра. Его задача – отслеживать попытки изменения важных параметров реестра (рис. 3.18). При такой попытке RegRun выдаст предупреждающее сообщение.
Рис. 3.18. Монитор реестра
В появившемся окне знаком плюса будут отмечены новые параметры реестра, знаком минуса – удаленные. Чтобы подтвердить изменение, необходимо щелкнуть на ОК. Нажатие кнопки Вернуть назад позволит откатить значение к предыдущему, а кнопка Лечить активизирует антивирусную проверку. Если вы не решили, как поступить, щелкните на Позже – монитор повторит запрос через некоторое время.
RegRun имеет собственный Менеджер расширений файлов. В отличие от WinPatrol, который автоматически контролирует попытку изменения соответствия, задача Менеджера расширений файлов – дать пользователю более удобный инструмент для самостоятельной смены и контроля ассоциаций, чем стандартный Проводник. Здесь можно получить полную информацию о каждом приложении, включая имя и путь к исполняемому файлу, его описание и команду запуска. Реализована также возможность поиска.
Для удобства пользователей предусмотрено несколько предустановленных уровней безопасности. По умолчанию выбран средний, подходящий для большинства случаев. Для изменения уровня проверки следует щелкнуть на ссылке Настройка, перейти на вкладку Безопасность и с помощью ползунка установить требуемое значение.
По умолчанию RegRun запускает все выбранные пользователем проверки через каждые 10 минут. Чтобы изменить это время, необходимо щелкнуть на ссылке Настройка, перейти на вкладку Автозапуск и указать в соответствующих полях нужные значения. Если снять флажок Мониторинг, автоматическая проверка будет осуществляться только во время загрузки операционной системы. Для запуска проверки во время отключения компьютера перейдите на вкладку При выключении и установите флажки Проверка при выключении и Проверка замены системных файлов.
3.5. Контроль целостности с Xintegrity
Xintegrity – удобная утилита, которая обнаруживает любое, даже самое незначительное изменение файла практически неограниченного размера. Принцип ее работы прост: первоначально создается список файлов и каталогов, целостность которых необходимо контролировать. Затем в зависимости от установок утилита записывает слепок, позволяющий оценить идентичность данных (так называемую контрольную сумму), либо сохраняет сам файл, предварительно зашифровав его, чтобы избежать подделки.
Удобный и понятный интерфейс позволит занести файл или каталог в базу данных и удалить его из нее при отсутствии необходимости в постоянном контроле. В качестве контрольной суммы используется 128-разрядная хеш-функция MD5 и AES (Advanced Encryption Standard – улучшенный стандарт кодирования) с 256-разрядной длиной ключа, реализованные в режиме CBC (Cipher block chaining – кодирование с поблочной передачей), в котором при шифровании следующего блока данных используются данные предыдущего, что существенно повышает стойкость. Подделать подписанную таким образом информацию практически невозможно. Xintegrity может использоваться как приложение, позволяющее проверить целостность файлов по требованию пользователя либо во время плановой проверки компьютера. Она может работать в фоновом режиме, уведомляя пользователя каждый раз, когда обнаружит изменение. Когда Xintegrity обнаруживает измененный файл, пользователю будет выдана подробная информация, как и когда файл был изменен, и при определенных параметрах создания базы будет предложено заменить его резервной копией. Сама утилита носит сугубо информационный характер – решение всегда принимает пользователь. Xintegrity работает под управлением Windows 2000, XP и 2003. Сайт проекта – http://www.xintegrity.com/.