Независимая экспертиза Автор: Илья Шпаньков.
Независимая экспертиза
Автор: Илья Шпаньков.
© 2004, Издательский дом | http://www.computerra.ru/
Журнал «Домашний компьютер» | http://dk.compulenta.ru/
Этот материал Вы всегда сможете найти по его постоянному адресу: /2006/120/276443/
Благодаря появлению Интернета практически в каждом доме, где есть компьютер, мы получили уникальную возможность общаться со всем миром, не выходя за порог собственной квартиры.
В реальной жизни мы привыкли, что подстерегающие нас опасности всегда находятся вне стен нашего жилища, но, подключаясь к Всемирной сети, мы, сами того не желая, даем злоумышленникам шанс проникнуть в нашу маленькую крепость. Конечно, всевозможные вирусы и шпионские программы не могут причинить лично нам реального вреда, но они разрушают наш виртуальный дом, который не менее дорог, чем настоящий. Потеря каталогов с домашними фотоархивами или рабочими файлами, исчезновение годами собираемой фонотеки равносильно последствиям визита домушника. Ну а крах операционной системы, инициированный миниатюрным вирусом, можно сравнить лишь со стихийным бедствием, после которого все здание придется возводить с нуля.
Впрочем, не все так грустно. Рачительный хозяин всегда предусмотрительно защитит свой компьютер соответствующим программным обеспечением, способным предотвратить любые попытки проникновения или вирусные атаки. К сожалению, нередки случаи, когда меры защиты недостаточны и зловредные программы все-таки пробираются сквозь выставленный заслон и превращают работу на компьютере в сущий ад. В этом случае требуется вмешательство извне, так как системные файлы могут быть поражены «цифровой заразой», не позволяющей провести «дезинфекцию» из загруженной операционной системы. Существует масса способов провести подобную «независимую экспертизу» на наличие вирусов с помощью так называемых «Спасательных дисков» (Rescue disk), но, как это нередко бывает в жизни, в самый неподходящий момент оказывается, что подобного диска нет в наличии, да и не факт, что слегка устаревшее ПО на нем сумеет обнаружить зловредный код, ежедневно совершенствуемый своими неугомонными авторами. Впрочем, без паники: выход есть даже из такой казалось бы фатальной ситуации, и поможет нам в этом Live-CD Knoppix, загружаемый в считанные минуты прямо из CD-привода. Именно он станет тем самым специализированным спасателем, что поможет нам справиться с нашествием виртуальной нечисти. Но для начала — немного теории.
Особенность Knoppix в том, что эта операционная система размещена на оптическом носителе, а для взаимодействия с компонентами компьютера использует виртуальную память. Для нашего случая это подходит как нельзя лучше, так как подобная система неуязвима для вирусов, не способных «записаться» на CD, но данное ограничение распространяется и на антивирусные программы, требующие инсталляции, в процессе которой все необходимые для работы файлы размещаются в системных каталогах. Итак, мы определили один важный критерий для выбора «лечебного» приложения: программа должна уметь работать без привязки к системным каталогам. Другая проблема — очень не хотелось бы повторять всю процедуру превращения Knoppix в спасательный диск каждый раз, когда в этом возникнет необходимость. Для ее решения мы используем встроенные возможности самого Knoppix, позволяющие размещать часть данных на внешнем USB-накопителе. В данной статье все операции будут проводиться с использованием Knoppix Live-CD HomePC Edition , который вы могли получить с журналом «Домашний компьютер» #11 за прошлый год, но если у вас его не оказалось — можете взять любой другой CD или DVD, но не ниже версии 4.0. Теперь, когда четко определен круг предстоящих задач, можно переходить к практической реализации, предварительно загрузившись с Knoppix Live-CD или DVD.
К сожалению, все антивирусные программы для Linux от именитых разработчиков нам не подходят, так как устанавливаются в системные каталоги, что, как мы выяснили, в нашем случае неприемлемо. Поэтому воспользуемся менее известным в широких кругах (но не уступающим по профессиональным качествам своим коллегам) программным продуктом от компании BitDefender , свободная версия которого отвечает нашему главному критерию: способна работать без установки в системные каталоги. Для этого нужно загрузить с официального сайта пакет с программой и сохранить его в домашнем каталоге. Из трех вариантов предлагаемых к загрузке файлов — с расширением RPM, RUN или DEB — нам подходит второй, так как остальные пакеты предназначены для стационарно установленных операционных систем. Для загрузки лучше воспользоваться контекстным меню правой кнопки мыши, выбрав пункт «Сохранить содержимое как…» ( рис. 1 ).
Размер пакета небольшой — 4,2 Мбайта, поэтому процесс будет не очень долгим даже при модемном подключении.
Следующий этап — подготовка места на USB-накопителе (в качестве которого мы используем обыкновенный флэш-брелок) для установки программы. Поместим USB-устройство в соответствующий разъем и, после его автоматического распознавания системой, не забудем подключить и перевести в режим чтения-записи 51 . Далее создаем образ домашнего каталога на флэш-накопителе, воспользовавшись пунктом «Создание KNOPPIX-образа на диске» (Create a persistent KNOPPIX home directory) 52 в меню KNOPPIX, указав в качестве раздела тот, что находится на флэш-брелоке (в данном случае это uba1).Чтобы процесс не слишком затягивался, лучше указать не очень большой размер — вполне достаточно 50 Мбайт. На этом подготовительные действия окончены — переходим к собственно инсталляции.
Открываем root-консоль из меню KNOPPIX и вводим команду sh *.run (звездочкой мы заменили название пакета, чтобы не вводить его вручную). Ознакомившись с лицензионным соглашением (пролистывать текст можно с помощью клавиши «Пробел») набираем слово accept, чтобы продолжить инсталляцию. Программа предложит указать каталог для установки, и мы введем имя нашего домашнего каталога /home/knoppix ( рис. 2 ),
нажмем клавишу Enter и… все. Дальнейшая установка пройдет автоматически и практически мгновенно. Можно переходить к следующему этапу — настройка нашего нового «охотника за вирусами». Сразу хочу предупредить, что все антивирусные программы для Linux работают в текстовом консольном режиме, поэтому приготовьтесь почувствовать себя немного настоящим «хакером».
В первую очередь необходимо провести онлайновое обновление антивирусной базы: снова открываем root-консоль и вводим команду bdc/bdc -update ( рис. 3 ).
Естественно, для этой важной процедуры компьютер должен быть подключен к Интернету. Через некоторое время получаем сообщение об успешном завершении обновления и сможем приступить к собственно поиску и искоренению «цифровой заразы». Существует довольно много дополнительных опций, позволяющих более гибко использовать данную антивирусную программу, но мы для начала выбираем самый обычный вариант с автоматическим поиском и удалением зловредного кода, а эксперименты лучше провести самостоятельно, ознакомившись со списком доступных опций (команда bdc/bdc -help) или с документацией к программе в каталоге bdc/doc.
Прежде чем начать проверку файлов и папок, необходимо подключить и перевести в режим чтения-записи те разделы жесткого диска, на которых будет осуществляться проверка, — не будем забывать, что Knoppix обладает некоторыми «причудами» в плане обеспечения сохранности данных на диске, что, впрочем, весьма полезно при «охоте на вирусы». После этого опять же в root-консоли вводим команду bdc/bdc /mnt/hda1/windows -delete ( рис. 4 ),
которая запустит процесс сканирования и удаления всех зараженных вирусами файлов в том каталоге, который указан после имени программы (в нашем примере это /mnt/hda1/windows). Впрочем, не обязательно сразу удалять файлы — использование вместо -delete параметра -disinfect укажет программе не удалять, а лечить (при наличии возможности) зараженные файлы. Вот, собственно, и все. Таким же образом (а также используя другие опции работы программы) можно очень легко вычистить «заразу» из любого указанного вами каталога или отдельного файла.
Но я чувствую, что у вас возникли некоторые вопросы по ходу работы? Да, я понял: почему я в примере использовал каталог Windows, ведь антивирусная программа предназначена для Linux-систем? Ответ прост: антивирусная программа BitDefender универсальна и одинаково хорошо справляется со всеми известными (на момент обновления антивирусной базы) вирусами, созданными практически для любых операционных систем, работающих на архитектуре x86, и способна обнаруживать их в любом доступном месте — в почте, архивах, изображениях и т. д. Оъединив Knoppix, антивирусную программу и флэш-брелок, мы получили уникальный инструмент для борьбы с вирусами практически на любом компьютере. Только не забудьте при следующем старте Knoppix заранее подключить USB-накопитель и ввести команду загрузки knoppix home=scan, чтобы заранее подключить внешние данные.
Обновление антивирусных баз
Если по каким-то причинам вы не можете провести автоматическое онлайновое обновление антивирусной базы BitTorrent, разработчики предусмотрели альтернативный способ: чтобы вручную «освежить» программу, можно любым доступным способом загрузить с сайта разработчиков еженедельно обновляющийся архив cumulative.zip и в распакованном виде сохранить его на том же флэш-брелоке, например, в каталоге cumulative. После загрузки Knoppix открываем root-консоль и проделываем следующие операции:
cp -reply=yes /mnt/uba1/cumulative/* bdc/Plugins/
chown root:root bdc/Plugins/*
chmod 644 bdc/Plugins/*
Теперь BitDefender готов к борьбе с самыми новыми вирусами.