= 6 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2. ———————————————————————————————————————————————————————————————————————————————— Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем А.М.Терентьев П.В.Григорьев Большинство используемых до 2010 г. технологий лечения заражённых компьютерными вирусами ПК заключалось в запуске на поражённом компью­ тере антивирусных сканеров оперативного лечения. При этом, факторами, влияющими на успешность лечения, являлись: – сама возможность запустить излечивающее антивирусное средство на поражённом компьютере; – присутствие идентификационных признаков вируса в антивирусных ба­ зах, используемых сканером в момент лечения; – реальная возможность излечения ПК, поражённого вирусом, без утраты существенных функций операционной системы. В основном, успешность излечения определялась вторым из указанных факторов. Характерные особенности большинства существовавших в тот пери­ од вирусов были направлены на съём конфиденциальной информации с зара­ жённого ПК (с передачей её на известные злоумышленнику адреса через сам поражённый ПК и Интернет-соединение), либо на задействование части ресур­ сов поражённого ПК в целях использования его вычислительной мощи в инте­ ресах авторов вир усов (опять же через Интернет-соединение). Во всех этих случаях разработчики вирусов были заинтересованы в сохранении работоспо­ собности поражённого вирусом компьютера. Поэтому успешность борьбы пропротив вирусов определялась, главным образом, балансом между всё услож­ нявшейся техникой сокрытия вирусов от антивирусных средств и, в ответ, раз­ рабатываемыми антивирусными rootkit-технологиями. Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 7 = ———————————————————————————————————————————————————————————————————————————————— Провозвестником нового поколения компьютерных вирусов стал Trojan.Encoder, шифрующий тайком от пользователя информацию его HDD и по завершении процесса требующий от пользователя оплатить доступ к зашифро­ ванной информации, обычно SMS-сообщением на короткий мобильный номер. При этом, в ходе шифрации, отнимающей заметное время, в файловую систему поражённой ОС на время вставлялись специальные блоки-расшифровщики, со­ храняя видимость нормальной работы компьютера до предъявления финально­ го требования об оплате. Бурное развитие SMS-услуг мобильной связи с автоматическим снятием денег со счёта абонента по нестандартным ценам при отправке сообщения на короткий номер спровоцировало совершенно новый класс компьютерных виру­ сов, названных WinLock, когда задачей вируса стало предъявление требования на отправку SMS и блокировка работы ПК до ввода специального кода. Ожида­ лось, что пользователь, отправив SMS, в ответ получит на свой мобильный те­ лефон код разблокировки и введёт его в «зависший» компьютер через специ­ альное поле в окне, открытом вирусом. В этих условиях, сохранение работо­ способности всех функций операционной системы стало для авторов вирусов уже необязательным. Наоборот, с развитием технологий в подобных вирусах предпринимались всё более настойчивые попытки заблокировать большинство функций операционной системы. Так, если в марте 2011 г. авторам этой статьи оказалось возможным вы­ полнить ряд успешных излечений вручную, вообще без помощи каких-либо ан­ тивирусных средств1, то уже к осени 2011 г. это стало невозможным. Сначала окно выдачи сообщений вируса «потеряло» рамку с косым крестом и стало не1 через анализ реестра и блокирование запуска с последующей перезагрузкой = 8 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2. ———————————————————————————————————————————————————————————————————————————————— удаляемым с помощью «мыши», затем оно перестало удаляться с помощью стандартной клавиатурной комбинации закрытия окна Alt-F4, а современные варианты вируса не позволяют открыть даже Диспетчер задач через Ctrl-AltDel. Сначала при работе вируса запуски прочих программ не блокировались, затем стали блокироваться запуски ведущих антивирусных программ, а потом и всех программ вообще. Впоследствии запуск вируса при включении компьюте­ ра был добавлен также в защищённом (Safe Mode) режиме, а затем очень скоро все успешные «достижения» вирусных технологий были перенесены и в этот режим. Кульминацией этой борьбы явилось пришедшая кому-то идея о том, что даже высылать код разблокировки и реально восстанавливать работоспособ­ ность ПК вовсе не обязательно: ведь деньги уже получены… В описанных условиях наступил, по сути, кризис антивирусных скане­ ров, который к середине 2011 г. проявился уже в полной мере: если запуск сканера невозможен вообще, то и говорить не о чем. Использование внешних Windows-систем В связи с изложенным выше, Антивирусной службой ЦЭМИ РАН была использована возможность операционной системы Microsoft Windows’XP под­ соединения в «горячем» режиме к работающей системе HDD, изъятого из сто­ роннего компьютера, с корректным сохранением буквенных идентификаторов основного HDD даже после перезагрузки системы. Соответствующее устройст­ во (Rack-Mount для HDD с возможностью hot swap) много лет было установле­ но на рабочем ПК Антивирусной службы, хотя использовалось до этого, глав­ ным образом, для переброски файлов большого объёма ещё до появления USBHDD. Таким образом, Антивирусной службой ЦЭМИ РАН был внедрён в прак­ тику метод лечения компьютеров, заключающийся в физическом изъятии HDD Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 9 = ———————————————————————————————————————————————————————————————————————————————— поражённого ПК, подключения его как дополнительного HDD на рабочей стан­ ции Антивирусной службы и запуска стандартного сканера с указанием прове­ рить и лечить нужные тома второго, заражённого HDD. Описанный метод подключения второго HDD был опробован ещё на Mi­ crosoft Windows’2000, хотя для этой ОС метод имел весьма ограниченное при­ менение ввиду невозможности подключения вторичного HDD с более чем единственным разделом (томом), иначе «сбивались» буквенные обозначения томов. Реально «горячее» подключение работало на этой ОС весьма неустойчи­ во и зачастую приводило к блокировке работы системы. Практические рекомендации: для материнских плат, при конфигурирова­ нии ПК с Rack-Mount на основе IDE-интерфейса, подсоединяемый HDD следу­ ет подключа ть ко второму (IDE -1) кан алу с установкой DIP-переключателей Master (при этом допускается наличие ATAPI-устройства, подсоединённых к тому же IDE-1 в режиме Slave, обычно, DVD-RAM). Если после «горячего» подключения вторичный HDD автоматически не опознаётся, можно иницииро­ вать его подключение через Диспетчер устройств. Перед отключением вторич­ ного HDD, настоятельно рекомендуется исключить устройство из списка опять же через Диспетчер устройств. При использовании шины sATA (большинство устройств Rack-mount поддерживает Hot swap) следует присоединять носитель для внешнего HDD на больший номер, чем sATA основного HDD. Отличие же от IDE-интерфейса в том, что для отключения зачастую можно использовать значок отключения присоединяемых USB- и sATA-устройств на системном трее Панели задач. Заканчивая рассмотрение использования внешних Windows-систем для лечения, ради полноты обзора стоит остановиться на нескольких вариантах, ко- = 1 0 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2. ———————————————————————————————————————————————————————————————————————————————— торые непредубеждённому читателю могут показаться экзотическими, но все они в разное время были апробированы и имеют право на рассмотрение. Первым из таковых вариантов является наличие второй операционной системы на том же компьютере. Как известно, HDD может содержать несколь­ ко разделов; современные ёмкости HDD это вполне позволяют. Начиная с Mi­ crosoft Windows’2000, загрузочные файлы операционных систем вполне допус­ кают наличие нескольких ОС на разных томах одного и того же HDD. Меню запуска операционной системы (файл boot.ini на загрузочном томе) также до­ пускает выбор нужной ОС. Долгое время на основной рабочей станции Анти­ вирусной службы были 2 ОС: Windows’2000 в нижнем разделе диска и Windows’XP в верхнем, свыше 120Gb. Находясь в Windows’2000, которая не читает разделы на HDD, начинающиеся свыше 120Gb, можно было быть уверенным, что никакие вирусы никогда не затронут Windows’XP. В то же время, загрузка в заведомо чистой Windows’XP вполне позволяет проверять на вирусы все разде­ лы HDD, в том числе и «нижнюю» ОС. В ситуации, когда необходимо реально обеспечить круглосуточную работу этой рабочей станции независимо от теку­ щей ситуации при установке той или иной программы, наличие двух ОС при жёстком соблюдении правил их использования представляется лучшим вариан­ том. Почтовые файлы при этом наход ятся в выделенном , а не стандартном, месте и используются идентичными копиями почтовых программ в разных ОС. Вторым из нестандартных вариантов использования внешних операцион­ ных систем является наличие виртуальной машины (VM). Все работы, могущие повлечь за собой вирусное заражение, при этом следует исполнять на вирту­ альной машине, которая после отключения VM или всего компьютера автома­ тически исчезает, а несущая ОС всегда остаётся чистой. Эта возможность прак- Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 1 1 = ———————————————————————————————————————————————————————————————————————————————— тически не используется на рабочей станции Антивирусной службы, поскольку этот ПК эксплуатируется в круглосуточном режиме. Третья возможность нестандартного использования операционной систе­ мы – постоянная загрузка со специального загрузочного диска Windows, со­ держащего все необходимые файлы для инициирования ОС и потому заведомо не содержащего вирусов. Эта возможность требует серьёзных усилий по созда­ нию адекватной среды и критична к регулярной установке нового программно­ го обеспечения, поэтому Антивирусной службой не используется. Ради полноты описания следует сказать, что существует и четвёртый ва­ риант временной операционной системы, определяющейся в момент загрузки – сетевой, когда основные файл ы операционной системы принимаются и под­ гружаются по локальной сети со специального сервера. Однако, планировав­ шийся несколько лет назад в ЦЭМИ РАН подобный сервис по разным причи­ нам не был доведён до практической реализации. Использование внешних *nix-систем на CD Откликаясь на вирусы группы Winlock, а заодно и на ряд других групп вирусов, ведущие вендоры антивирусных средств предложили принципиально новое решение: загрузка иной, не-Windows, внешней операционной системы со специально созданного загрузочного компакт-диска (Bootable CD), предназна­ ченного именно для оперативного лечения Windows-систем. Следует сказать, что уже давно существовали загрузочные диски с «ми­ ни-Windows», позволявшие, к примеру, переустановить любой из паролей ос­ новной установленной на ПК ОС без указания действующего пароля (ERDCommander). Можно было также исправить реестр поражённого ПК, внести из­ менения в область загрузки, а также запустить антивирусный сканер при усло- = 1 2 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2. ———————————————————————————————————————————————————————————————————————————————— вии, что он расположен на том же самом загрузочном CD с «мини-Windows». Однако, большого распространения такая технология не получила. Во-первых, при каждом обновлении сканера (а антивирусные базы ведуших вендоров об­ новляются каждый час) требовалось бы формировать новый CD, что неудобно. Во-вторых, означенная «мини-Windows» должна быть того же класса, что и по­ ражённая; при фактическом использовании полудюжины версий ОС в ЦЭМИ РАН, например, постоянное переформирование 6 новых версий CD было бы за­ труднительным. Решением явилось создание сканера, исполняемого в одной из Unixобразных сред и допускающего оперативное обновление через Интернет-соеди­ нение. Разумеется, в такой комплект включены средства, автоматически монти­ рующие текущие тома HDD пользователя и выполняющие иные настройки (на используемую видеосистему, «мышь» и др.). Существенной особенностью дан­ ной технологии является то, что обеззараживаемый ПК обеспечен Интернетподключением, через которое можно оперативно скачать обновления антиви­ русных баз, выпущенные с момента с оздания CD. Именно эта возможность обеспечила реальную эффективность применения данной технологии. Среди отечественных вендоров, два наиболее популярных имеют в на­ стоящее время собственные загрузочные системы на CD-ROM, позволяющие излечение от вирусов. «Лаборатория Касперского» выпустила “Kaspersky Res­ cue Disk 10”, ООО «Доктор Веб» выпустило “Dr.Web Live CD 6”. Ниже рас­ сматриваются оба этих продукта. Kaspersky Rescue Disk 10 Этот продукт сделан на основе модификации Gentoo 8. 5 релиза 3.0.13 (информация получена командами “uname --version” и “uname --release”). При Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 1 3 = ———————————————————————————————————————————————————————————————————————————————— загрузке с CD (полезный объём 248Мб), в графическом режиме высокого раз­ решения в течение 10с предлагается нажать клавишу, иначе далее последует за­ грузка с HDD. После нажатия клавиши, система предлагает выбрать язык диа­ лога из обширного списка, затем подтверждение лицензии, затем основную функцию – работу в графическом режиме, работу в текстовом режиме (через Midnight Commander), показ списка оборудования и др. После загрузки основ­ ного, графического режима уже открыто приложение “Kaspersky Rescue Disk”, собственно, и выполняющее подгрузку антивирусных баз и оперативную про­ верку. Из других приложений, вызовом с рабочего стола доступны Kaspersky Registry Editor, файловые папки по числу томов, веб-браузер. Через стартовую кнопку в меню запуска приложений доступны функции настройки сети, выпол­ нение снимка с экрана в формате JPG, исполнение консольных команд через пункт «Терминал» (в т.ч. терминальной командой “mc” можно вызвать Mid­ night Commander 4.72 с имеющимся на русском языке меню пользователя). Настройки сети по умолчанию установлены на получение всей информа­ ции через DHCP; однако, можно прописать и реальные IP-адреса (собственный, гейта и DNS-серверов). Обновление баз в антивирусном сканере не начнётся до явного приказа пользователя. Практически по каждому пункту приложения “Kaspersky Rescue Disk” имеется вызов контекстной справки на русском языке. Антивирусная проверка может включать сигнатурный и трёхуровневый эвристический анализаторы; присутствует настройка, разрешающая не распа­ ковывать файлы большого (по ум., свыше 100Мб) размера. Имеется карантин с функцией восстановления перемещённых файлов по желанию пользователя. Для оперативных целей используется первый том на первом логическом диске. По завершении работы, там остаются в зашифрованном виде подгру- = 1 4 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2. ———————————————————————————————————————————————————————————————————————————————— женные базы, отчёт и служебная информация. Во время работы допускается оперативное подключение USB-носителей. DrWeb Live CD 6.0 Этот продукт сделан на основе модификации Linux 2.6.30 (информация получена командой “uname –a”). При загрузке с CD (полезный объём 175Мб), в графическом режиме высокого разрешения в течение 10с предлагается выбрать нужный пункт по меню, иначе далее последует старт Linux. Другие возможно­ сти: Старт с локального HDD, Тестирование памяти. После нажатия клавиши, система осуществляет загрузку и настройкку графического ядра (прогресс-индикатор, по давней излюбленной привычке компании «Доктор Веб», продвигается непропорционально по времени, «за­ стревая» на цифрах 59%, 68%, 81%) и открывает первый из 4-х возможных Ра­ бочих столов, на котором уже открыт “DrWeb Control Center”, состоящий из блоков: Сканер, Карантин, Результаты, Updater (причём обновление антивирус­ ных баз стартовало автоматически). На панели задач имеются приложения: Terminal, Internet, Mail; на рабочих столах присутствуют ярлыки FireFox 3.6.3, Mail, Terminal, Create LiveUSB, Midnight Commander 4.7.0.3. Через стартовую кнопку доступны также: Sulphead, Settings (Настройки меню, Настройки сети, Настройки Openbox, Настройки Xorg) и Utility (Create LiveUSB, LeafPad, MC, Terminal). Все вышеуказанные заглавия и вся работа с приложениями сделаны на английском языке. Однако, при выборе выхода на стартовой кнопке (Quit) не­ ожиданно показывается меню Start Menu, включающее 13 пунктов, в том числе выбор языка. Именно в этот момент (!) можно сменить язык на русский и зано- Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 1 5 = ———————————————————————————————————————————————————————————————————————————————— во загрузить графическую оболочку (с исполнением новых настроек, новой подгрузкой антивирусных баз и т.д.). Настройки сети имеют далёкие от Windows-терминологии заглавия «Хост», «Домен», «Шлюз», «Сервер имён», «IP-адрес» (при использовании прямых адресов или отсутствии DHCP следует заполнить 3 последних пункта). Автоматическое монтирование томов исполняется с иными буквами, чем в Windows; присутствуют буквы подключённых до старта с CD USB-устройств. Динамическое монтирование подключаемых в момент уже загруженной систе­ мы USB-устройств, к сожалению, не исполняется. Рабочая область выделяется при инициализации системы на последнем томе с именем REMOVE_THIS_FILE.livecd.swap объёмом в 500Мб. После пе­ резагрузки в Windows содержимое этой области недоступно, т.ч. при желании сохранить какую-либо информацию после лечения (например, протокол работы сканера), соответствующие файлы следует переписать с помощью Midnight Commander’а до перезагрузки системы в нужное место (например, на заранее подключённую USB-«флэшку»). Настройки сканера стандартны для сканеров DrWeb: нельзя задать глуби­ ну эвристического анализатора (но можно его отключить вообще), нельзя про­ пускать файлы слишком большого объёма, по умолчанию завирусованные фай­ лы перемещаются в карантин (не сохраняемый после выхода из системы). Встроенная контекстная справка отсутствует. Редактор реестра, в тради­ циях DrWeb, также отсутствует. Заслуживают внимания такие функции, как тестирование оперативной памяти, присутствие 4-х Рабочих столов, возможность создания оперативных заметок с помощью LeafPad. = 1 6 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2. ———————————————————————————————————————————————————————————————————————————————— Результаты сравнения возможностей двух систем Целью данной статьи не является сравнение полноты удаления вирусов и качества излечения; в нашу задачу входило проанализировать возможности предложенных средств и определить удобство их использования. Исходным положением сравнения была легкодоступность и понятность работы с излечивающим средством обычного системного администратора, не знакомого в целом с *nix-образными системами. Задачами излечения нам пред­ ставляются следующие: – лёгкость загрузки системы и подготовки её к излечению ПК; – исполнение полного антивирусного излечения; – возможное сохранение в отдельном месте заражённых файлов для по­ следующей отправки их в Антивирусные лаборатории или собственного иссле­ дования; – сохранение Отчёта об излечении компьютера. Анализировались также функциональная полнота предложенных средств и удобство использования. Сводные данные представлены ниже в таблице 1. Одним из самых важных различий представляется различное наименова­ ние дисковых томов в рассмотренных средствах оперативного лечения. Факти­ ческое распределение дискового пространства тестовой рабочей станции Анти­ вирусной службы и буквенные имена разделов в MS-DOS, Windows’XP и обеих лечащих дисковых системах представлены в таблице 2. Объяснение того, почему и зачем на одном ПК необходимо наличие 3-х операционных систем, выходит за рамки данной статьи. Однако факт, что “Kaspersky Rescue Disk 10” даёт более адекватное представление по буквенным именам устройств, неопровержим. Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 1 7 = Таблица 1 . Описание возможности Kaspersky DrWeb Проверка оперативной памяти – + Определение состава устройств + – Русский язык + + Обновление антивирусных баз По приказу Автом. Настройка на прямые IP-адреса + + Монтирование заранее подключенных USB + + Оперативное подключение USB-устройств + – Соответствие букв устройств Windows + – Возможность нескольких рабочих столов – + Редактор реестра + – Возможность сохранения отчёта в текст.виде – + Доступ к карантину после выхода из *nix – – Midnight Commander + + Браузер + + Возможность делать оперативные заметки + – Отключение эвристического анализатора + + Удобство перезагрузки с HDD после лечения + – Удобство удаления рабочих файлов – + Основные параметры сравнения двух загрузочных лечащих CD-дисков Вторым по важности существенным различием двух рассмотренных сис­ тем мы считаем возможность сохранения текстового отчёта об излечении. Здесь явное преимущество имеет “DrWeb Live CD 6” – в нём возможен простой пере- = 1 8 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2. ———————————————————————————————————————————————————————————————————————————————— нос текстового отчёта из области формирования на любой раздел HDD или за­ ранее вставленное USB-устройство, что сохраняет отчёт в читабельном виде. Таблица 2. Буквенное наименование в разных ОС 2 Объём Формат раздела раздела HDD, Primary, MBR 2047Mb FAT16 C: C: HDD, 2-й Primary 2047Mb FAT16 D: 28Gb FAT32 Тип тома HDD, Extension DOS Win’2k Win’XP Kasp DrWeb C: C: C: F: F: F: D: — D: D: D: F: — E: E: E: G: NTFS — — G: G: E: 104Gb NTFS HDD, 3-й Primary 112Gb Первый CD-ROM — — E: G: H: — — Второй DVD-ROM — — F: H: I: H: — Наименования томов одного и того же ПК в различных системах. Третьим по важности мы считаем наличие встроенного редактора реестра в лечащем диске Лаборатории Каспер ского. Давняя традиция ООО «Доктор Веб» не удалять ветви реестра, имеющие отношение к вирусным файлам, нам хорошо знакома. Хотя формально, действительно, удаление вирусного кода до­ статочно для блокирования заражения, однако приведение в порядок реестра при этом возлагается на плечи системного администратора, что представляется нам неудобным. Отсутствие же средств сразу после излечения, на месте, под­ править реестр вызывает необходимость сохранять отчёт и после перезагрузки делать правки реестра в уже излечённой системе, ориентируясь на сохранённый отчёт. Эти процедуры представляются неоправданно затруднёнными. Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 1 9 = ———————————————————————————————————————————————————————————————————————————————— Прочие различия, на наш взгляд, не имеют принципиального значения. Приятно иметь возможность проверить оперативную память или выявить кон­ фигурацию оборудования, но эти сервисы, так же, как посылка E-Mail и другие дополнения к основным свойствам, представляются редко используемыми. Стоит отметить также то, что возможность использования указанных ле­ чащих средств сильно зависит от аппаратной конфигурации компьютера. К примеру, на Антивирусном сервере ЦЭМИ РАН, оснащённом аппаратным Raid 1 (зеркало) на основе контроллера 3ware SATA RAID Controller 9650-2LP, доступ к дисковым томам оказался успешным с обоих лечащих средств. В то же время, на другом сервере, оснащённым аппаратным Raid 5, оба указанных средства не смогли успешно распознать и монтировать локальные тома. Суммируя, можно сказать, что однозначно опред елить лидера из двух представленных систем затруднительно ввиду различий функциональных воз­ можностей. Однако, по удобству работы преимущество, на наш взгляд, имеет лечащий диск Лаборатории Касперского. Использование внешних *nix-систем на USB-устройствах Современные тенденции развития персональных компьютерных средств в последнее время существенно акцентированы на продажи нетбуков – умень­ шенных и значительно облегчённых ноутбуков, уже не содержащих в себе DVD-привода. Таким образом, приведённые варианты лечения возможны толь­ ко при условии подключения к нетбукам внешних DVD через USB-соединение. Однако, намного проще оказалось столь громоздкое устройство заменить обыч­ ным flash-USB, с большинства которых теперь также возможна загрузка. 2 ) Операционная система MS-DOS находится в разделе MBR. Windows’2000 установлена в первой области HDD-Extensio n (FAT-32). Windows’XP устано влена в 3м разделе Pr imary, = 2 0 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2. ———————————————————————————————————————————————————————————————————————————————— Оба исследованных вендора в составе рассмотренных лечащих дисков и помимо них предлагают утилиты создания загрузочной «флэшки». Особенно­ стями этого варианта являются необходимость форматирования флэш-носителя именно в формате FAT32, а также невозможность повторного формирования загрузочной flash-USB без предварительного форматирования. В обоих случаях средства, загружаемые со сформированной flash-USB, полностью адекватны своим CD-аналогам. Рассмотренный вариант нельзя пока что принять универсальным. Вопервых, многие из до сих пор используемых материнских плат не позволяют исполнять загрузку с флэш-накопителей. Во-вторых, использование флэшек для загрузки предполагает, как уже было сказано, их разметку в устаревшем фор­ мате FAT32, а современная тенденция пользователей при использовании флэшнакопителей явно ориентирована на хранение на них видеоконтента объёмами свыше 1Gb (стандартный фильм занимает 2-4Gb одним куском), что требует разметки в формате NTFS. Впрочем, при современной стоимости flash-USBносителей, наличие выделенной «флэшки» для лечения вполне оправданно. Заключение Как можно видеть из рассмотренного, задействование внешних операци­ онных систем оказалось удобным выходом из кризисного тупика, в котором из­ лечение «изнутри» поражённой операционной системы невозможно. Естест­ венным выходом оказалось использование внешних операционных систем класса Unix как наиболее легко динам ически адаптируемых к излечиваемой версии Microsoft Windows, набору локальных дисковых томов и формату их разметки (FAT-16, FAT-32 и NTFS). свыше 120Gb, который не виден в Windows’2000. Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 2 1 = ———————————————————————————————————————————————————————————————————————————————— Рассмотрены два базовых варианта отечественных антивирусных средств – “Kaspersky Rescue Disk 10” и “DrWeb Live CD 6”. Построенные на разных платформах, оба варианта позволяют выполнять успешное излечение поражён­ ных операционных систем персональных компьютеров как в варианте рабочей станции, так и в варианте сервера. Ограничением на их использование является задействование на поражённой системе нестандартных аппаратных средств подключения локальных томов, типа Raid-массивов, отличных от «зеркал». Осуществлённая в обоих рассмотренных вариантах возможность подгрузки антивирусных баз через существующее соединение с Интернетом обес­ печивает актуальность задействуемых антивирусных средств. Учитывая сравнительно короткое время загрузки и актуализации предло­ женных средств (3-5 минут) по сравнению с временем просмотра всех файлов поражённого компьютера (несколько часов), использование загрузочных Unixобразных систем может быть рекомендовано и для лечения тех ПК, где воз­ можно лечение штатными средствами – особенно в тех случаях, когда из-за важности ПК (сервер) или по иным причинам заранее известна необходимость сплошной проверки всех файлов компьютера. Возможность задействования описанных лечащих антивирусных средств с flash-USB расширяет диапазон их применения на современные портативные нетбуки и ноутбуки без CD. Использование рассмотренных средств опробовано и внедрено в практи­ ку в ЦЭМИ РАН, где уже выполнен ряд успешных излечений поражённых ПК с помощью описанных средств как в варианте CD, так и в варианте flash-USB. = 2 2 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2. ————————————————————————————————————————————————————————————————————————————— Литература 1. Интернет-ресурс, содержащий “Kaspersky Rescue Disk” http://www.kaspersky.ru/virusscanner 2. Интернет-ресурс, содержащий “DrWeb Live CD” http://download.geo.drweb.com/pub/drweb/livecd/