Скачать драйвер защиты от создания снимков экрана. Тест HIPS на предотвращение проникновения в ядро Microsoft Windows. Отбор вредоносных программ для тестирования

RapidTyping — одна из программ, которая может использоваться как для домашнего обучения, так и для школьного. Для этого предусмотрена специальная настройка при установке. Благодаря хорошо подобранной системе упражнений, обучение методики слепой печати станет еще легче, а результат будет виден быстрее. Давайте рассмотрим основной функционал данного клавиатурного тренажера и разберемся, чем же он так хорош.

Во время установки тренажера на компьютер можно выбрать один из двух режимов. Первый – однопользовательский, подходит, если программой будет пользоваться только один человек. Второй режим принято выбирать для школьных занятий, когда есть учитель и класс. Возможности для учителей мы рассмотрим ниже.

Мастер настройки клавиатуры

Первый запуск RapidTyping начинается с редактирования параметров клавиатуры. В данном окне вы можете выбрать язык раскладки, операционную систему, вид клавиатуры, количество клавиш, положение Enter и схему размещения пальцев. Очень гибкие настройки помогут каждому настроить программу для личного пользования.

Обучающая среда

Во время прохождения урока перед вами видна визуальная клавиатура, необходимый текст напечатан крупным шрифтом (при надобности можно изменить в настройках). Над клавиатурой показаны короткие инструкции, которые необходимо выполнить при прохождении урока.

Упражнения и языки обучения

В тренажер встроено множество разделов обучения для пользователей с разным опытом набора текста. Каждый из разделов имеет свой набор уровней и упражнений, каждый из которых, соответственно, разнится по сложности. Можно выбрать один из трех удобных языков для прохождения занятий и начать обучение.

Статистика

Ведется и сохраняется статистика каждого участника. Ее можно посмотреть после прохождения каждого урока. Там отображается общий результат и выводится средняя скорость набора.

Подробная статистика покажет частоту нажатий каждой клавиши в виде диаграммы. Режим отображения можно настроить в этом же окне, если вас интересуют другие параметры статистики.

Для отображения полной статистики нужно перейти на соответствующую вкладку, нужно только выбрать конкретного ученика. Можно следить за точностью, количеством пройденных уроков и ошибками как за весь период обучения, так и за отдельно взятый урок.

Разбор ошибок

После прохождения каждого урока можно отследить не только статистику, но и ошибки, которые были допущены именно в этом занятии. Все правильно набранные буквы помечены зеленым, а ошибочные – красным.

Редактор упражнений

В этом окне можно следить за опциями курса и редактировать их. Большое количество настроек доступно для изменения параметров определенного урока. Также можно изменить название.

Редактор не ограничивается этим. Если необходимо, создайте собственный раздел и уроки в нем. Текст уроков можно скопировать из источников или придумать самому, введя в соответствующее поле. Выберите название для раздела и упражнений, завершите редактирование. После этого их можно будет выбрать во время прохождения занятий.

Настройки

Доступно изменение параметров шрифтов, оформления, языка интерфейса, клавиатуры цвета фона. Широкие возможности редактирования позволяют настроить каждый пункт под себя для более комфортного обучения.

Особое внимание хотелось бы уделить настройке звуков. Почти для каждого действия можно выбрать звуковое сопровождение из списка и его громкость.

Режим учителя

Если вы установили RapidTyping с пометкой «Многопользовательская установка» , то становится доступным добавление групп профилей и выбора администратора для каждой группы. Так, можно сортировать каждый класс и назначить администраторами учителей. Это поможет не потеряться в статистике учащихся, а учитель сможет настроить программу один раз, и все изменения коснутся профилей учащихся. Ученики смогут запускать тренажер в своем профиле на компьютере, который связан по локальной сети с компьютером учителя.

В этом сравнительном тестировании мы проводили анализ популярных персональных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS (Host Intrusion Prevention Systems), на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows. Если вредоносной программе удается проникнуть на уровень ядра, то она получает полный контроль над компьютером жертвы.

Краткое содержание:

Введение

Технологии поведенческого анализа и системы предотвращения вторжения на уровне хоста (Host Intrusion Prevention Systems - HIPS) набирают популярность среди производителей антивирусов, сетевых экранов (firewalls) и других средств защиты от вредоносного кода. Их основная цель - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения.

Наиболее сложная задача защиты при этом сводится к недопущению проникновения вредоносной программы на уровень ядра операционной системы (анг. Kernel Level), работающего в «нулевом кольце процессора» (Ring 0). Этот уровень имеет максимальные привилегии при выполнении команд и доступа к вычислительным ресурсам системы в целом.

Если вредоносной программе удалось проникнуть на уровень ядра, то это позволит ей получить полный и, по сути, неограниченный контроль над компьютером жертвы, включая возможности отключения защиты, сокрытия своего присутствия в системе. Вредоносная программа может перехватывать вводимую пользователем информацию, рассылать спам, проводить DDoS-атаки, подменять содержимое поисковых запросов, делать все-то угодно, несмотря на формально работающую антивирусная защита. Поэтому для современных средств защиты становится особенно важно не допустить проникновения вредоносной программы в Ring 0.

В данном тестировании мы проводили сравнение популярных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS, на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows XP SP3.

Отбор вредоносных программ для тестирования

Мы решили не моделировать проникновение в Ring 0 какими-либо искусственными средствами, а провести тест на реальных вредоносных программах. При этом последние отбирались таким образом, чтобы охватить все используемые способы записи в Ring 0, которые реально применяются в «дикой природе» (In The Wild):

1. StartServiceA - загрузка вредоносного драйвера производится путем подмены файла системного драйвера в каталоге %SystemRoot%\System32\Drivers с последующей загрузкой. Позволяет загрузить драйвер без модификации реестра.
   Встречаемость ITW: высокая
2. SCM - использование для регистрации и загрузки драйвера менеджера управления сервисами. Этот метод используется как легитимными приложениями, так и вредоносными программами.
   Встречаемость ITW: высокая
3. KnownDlls - модификация секции \KnownDlls и копии одной из системных библиотек с целью загрузки вредоносного кода системным процессом.
   Встречаемость ITW: средняя
4. RPC - создание драйвера и загрузка посредством RPC. Пример использования: загрузчик знаменитого Rustock.C
   Встречаемость ITW: редкая
5. ZwLoadDriver - подмена системного драйвера вредоносным, путем перемещения и последующая прямая загрузка.
   Встречаемость ITW: высокая
6. ZwSystemDebugControl - снятие перехватов, установленных HIPS для контроля системных событий, в SDT, используя debug-привилегии.
   Встречаемость ITW: высокая
7. \ Device \ PhysicalMemory - снятие перехватов, установленных HIPS для контроля системных событий, в SDT, используя запись в секцию физической памяти.
   Встречаемость ITW: средняя
8. ZwSetSystemInformation - загрузка драйвера без создания ключей в реестре вызовом ZwSetSystemInformation с параметром SystemLoadAndCallImage.
   Встречаемость ITW: средняя
9. CreateFileA \\.\PhysicalDriveX - посекторное чтения/запись диска (модификация файлов или главной загрузочной записи диска).
   Встречаемость ITW: средняя

Таким образом, было отобрано девять различных вредоносных программ, использующих приведенные выше способы проникновения в Ring 0, которые потом использовались в тестировании.

Методология сравнительного тестирования

Тестирование проводилось под управлением VMware Workstation 6.0. Для теста были отобраны следующие персональные средства антивирусной защиты и сетевые экраны:

1. PC Tools Firewall Plus 5.0.0.38
2. Jetico Personal Firewall 2.0.2.8.2327
3. Online Armor Personal Firewall Premium 3.0.0.190
4. Kaspersky Internet Security 8.0.0.506
5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)
6. Comodo Internet Security 3.8.65951.477

К сожалению, по техническим причинам из теста были исключены антивирусы F-Secure и Norton. Встроенный в них HIPS не работает отдельно от включенного антивирусного монитора. А поскольку отобранные образцы вредоносных программ могли детектироваться сигнатурно, то ими нельзя было воспользоваться. Использовать эти антивирусы со старыми антивирусными базами (чтобы избежать сигнатурного детекта) не подходило, т.к. процесс обновления в этих продуктах может затрагивать и не только антивирусные базы, но и исполняемые модули (компоненты защиты).

Почему мы взяли в тест другие популярные антивирусные продукты и сетевые экраны, коих найдется множество? Да потому, что они не имеют в своем составе модуля HIPS. Без этого предотвратить проникновения в ядро ОС у них объективно нет шансов.

Все продукты устанавливались с максимальными настройками, если их можно было задать без тонкого ручного изменения настроек HIPS. Если при инсталляции предлагался к использованию режим автообучения - то он и использовался до момента запуска вредоносных программ.

Перед проведением тестирования запускалась легитимная утилита cpu-z (небольшая программа, которая сообщает сведения об установленном в компьютере процессоре) и создавалось правило, которое предлагал тестируемый продукт (его HIPS-компонент). После создания правила на данную утилиту, режим автообучения отключался и создавался снимок состояние системы.

Затем поочередно запускались специально отобранные для теста вредоносные программы, фиксировалась реакция HIPS на события, связанные непосредственно с установкой, регистрацией, загрузкой драйвера и другие попытки записи в Ring 0. Как и в других тестах, перед проверкой следующей вредоносной программы производился возврат системы до сохраненного в начале снимка.

В участвующих в тесте антивирусах файловый монитор отключался, а в Kaspersky Internet Security 2009 вредоносное приложение вручную помещалось в слабые ограничения из недоверенной зоны.

Шаги проведения тестирования:

1. Создание снимка чистой виртуальной машины (основной).
2. Установка тестируемого продукта с максимальными настройками.
3. Работа в системе (инсталляция и запуск приложений Microsoft Office, Adobe Reader, Internet Explorer), включение режима обучения (если таковой имеется).
4. Отметка количества сообщений со стороны тестируемого продукта, запуск легитимной утилиты cpu-z и создание для нее правил.
5. Отключение режима автообучения (если такой имеется).
6. Перевод тестируемого продукта в интерактивный режим работы и создание очередного снимка виртуальной машины с установленным продуктом (вспомогательный).
7. Создание снимков для всех тестируемых продуктов, выполняя откат к основному снимку и заново проводя пункты 2-4.
8. Выбор снимка с тестируемым продуктом, загрузка ОС и поочередный запуск вредоносных программ каждый раз с откатом в первоначальное состояние, наблюдение за реакцией HIPS.

Результаты сравнительного тестирования

Плюс в таблице означает, что была реакция HIPS на некое событие со стороны вредоносной программы на проникновение в Ring 0 и была возможность пресечь это действие.

Минус - если вредоносный код сумел попасть в Ring 0, либо сумел открыть диск на посекторное чтение и произвести запись.

Таблица 1: Результаты сравнительного тестирования HIPS-компонент

Метод проникновения в Ring 0	PC Tools	Jetico	Online Armor	Kaspersky	Agnitum	Comodo
StartServiceA	-	+	+	+	-	+
SCM	-	+	+	+	-	+
KnownDlls	-	+	+	-	+	+
RPC	-	+	+	+	-	+
ZwLoadDriver	+	-	+	+	-	+
ZwSystemDebugControl	-	+	+	+	+	+
\Device\PhysicalMemory	+	+	+	+	+	+
ZwSetSystemInformation	-	+	+	+	+	+
CreateFileA \\.\PhysicalDriveX	-	-	+	+	+	+
Итого пресечено:	2	7	9	8	5	9
Количество оповещений и запросов действий пользователя	Мало	Очень много	Много	Мало	Средне	Много

Стоит отметить, что при полном отключении режима обучения некоторые из тестируемых продуктов (например, Agnitum Outpost Security Suite 6.5) могут показать лучший результат, но в этом случае пользователь гарантированно столкнется в большим количеством всевозможных алертов и фактическими затруднениями работы в системе, что было отражено при подготовке методологии данного теста.

Как показывают результаты, лучшие продуктами по предотвращению проникновения вредоносных программ на уровень ядра ОС являются Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009.

Необходимо отметить, что Online Armor Personal Firewall Premium - это продвинутый фаеровол и не содержит в себе классических антивирусных компонент, в то врем как два других победителя - это комплексные решения класса Internet Security.

Обратной и негативной стороной работы всех HIPS-компонент является количество всевозможных выводимых ими сообщений и запросов действий пользователей. Даже самый терпеливый из них откажется от надежного HIPS, если тот будет слишком часто надоедать ему сообщениями об обнаружении подозрительных действий и требованиями немедленной реакции.

Минимальное количество запросов действий пользователя наблюдалось у Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 и Agnitum Outpost Security Suite 6.5. Остальные продукты зачастую надоедали алертами.

«Поведенческий анализ является более эффективным способом предупреждения заражения неизвестной вредоносной программой, чем эвристические методы, основанные на анализе кода исполняемых файлов. Но в свою очередь они требуют определенных знаний со стороны пользователя и его реакции на те или иные события в системе (создание файла в системном каталоге, создание ключа автозагрузки неизвестным приложением, модификация памяти системного процесса и т.п.)», - комментирует Василий Бердников, эксперт сайт .

«В данном сравнении были отобраны самые известные продукты, имеющие на борту HIPS. Как видно, только три продукта смогли достойно препятствовать проникновению в нулевое кольцо. Так же очень важный параметр - кол-во сообщений (алертов) возникающих при повседневной работе за ПК и требующих решения пользователя. Именно тут и определяется технологическое преимущество продуктов - максимально контролировать систему и при этом использовать всевозможные технологии, для снижения кол-ва вопросов, задаваемых HIPS при запуске, инсталляции программ», - отмечает эксперт.

При запуске Безопасного браузера на ОС Windows 8/8.1 (x64) возможно появление ошибки в оранжевой рамке "Kaspersky Internet Security не обеспечивает полную защиту ваших данных: защита от создания снимков экрана выключена" .

Ошибка возникает по следующим причинам:

• Функция не поддерживается аппаратно. Для работы этой функции необходимо, чтобы процессор и материнская плата на вашем компьютере поддерживали технологию виртуализации.
• Заблокировано настройками в BIOS . Решение : в настройках BIOS включите поддержку сторонних гипервизоров.
• Заблокировано работой другого ПО. Решение : закройте все приложения, использующие гипервизор (например, VMWare ) и перезапустите защищенный браузер.
• Защита не включена в настройках параметров продукта. Решение : установите флажок в настройках продукта.

1. Проверьте включена ли функция блокировки снимков экрана в продукте

1. Закройте все приложения, использующие гипервизор (например, VMWare ).
2. Откройте окно настройки параметров продукта.
3. В окне Настройка на вкладке Защита нажмите на Безопасные платежи .

1. В окне Параметры Безопасных платежей в блоке Дополнительно установите флажок Блокировать создание снимков экрана при работе в Защищенном браузере .

Если в настройках продукта нет указанного параметра, функция не поддерживается на вашем компьютере.

Если в настройках продукта флажок установлен, а функция не работает, узнайте, поддерживается ли на вашем компьютере технология виртуализации (подробную инструкцию смотрите ниже).

2. Выясните, поддерживает ли компьютер технологию виртуализации

Компьютер поддерживает технологию виртуализации, если ее поддерживают процессор и материнская плата. Эту информацию посмотрите на сайте производителя вашего процессора и материнской платы.

Если виртуализация поддерживается, посмотрите, включена ли она в настройках BIOS:

1. Нажмите на клавиатуре одновременно клавиши Ctrl , Shift и Esc .
2. В окне Диспетчер задач нажмите на кнопку Подробнее .

1. Перейдите на вкладку Производительность .
2. На закладке ЦП посмотрите статус для строки Виртуализация (Включено , Выключено , Не подходит ).

1. В зависимости от статуса виртуализации выполните следующее:
   • Включено . Включите функцию в настройках продукта (подробную инструкцию читайте выше).
   • Не подходит . В этом случае аппаратное обеспечение вашего компьютера (процессор, материнская плата) не поддерживает технологию виртуализации.
   • Выключено . Включите поддержку сторонних гипервизоров в настройках BIOS (подробную инструкцию читайте ниже).

3. Включите поддержку сторонних гипервизоров в настройках BIOS

1. На Рабочем столе переведите курсор мыши в верхний правый угол и нажмите на кнопку Параметры .

1. В нижней части экрана нажмите на Изменение параметров компьютера/Изменить параметры компьютера .

1. Далее выполните следующее:

Для пользователей ОС Windows 8 :

• В окне Параметры выберите закладку Общие -> Особые варианты загрузки и нажмите на кнопку Перезагрузить сейчас .

Для пользователей ОС Windows 8.1 :

• В окне Параметры выберите закладку Обновление и восстановление.
• В правой части окна Обновление и восстановление выберите Восстановление .
• В пункте Особые варианты загрузки нажмите на кнопку Перезагрузить сейчас .

1. В меню загрузки Выбор действия выберите Диагностика .

В меню Диагностика выберите Дополнительные параметры .

1. В меню Дополнительные параметры выберите .
2. В меню Параметры встроенного ПО UEFI нажмите Перезагрузить .
3. В настройках BIOS зайдите в раздел Configuration /Advanced /Advanced BIOS features (название зависит от версии BIOS на вашем компьютере).
4. Для строки Intel Virtual Technology/ Intel Virtualization Technology/VT-d (возможны другие варианты названия)установите статус Enabled .
5. Сохраните настройки и перезагрузите компьютер.

Примеры нескольких версий BIOS :

Award BIOS

American Megatrends BIOS

UEFI