Escolar Documentos
Profissional Documentos
Cultura Documentos
SADRAJ........................................................................................................................................1 Uvod.................................................................................................................................................2 O Sophosu........................................................................................................................................3 Instalacija Sophos Anti-virus programa..........................................................................................5 Korienje Sophos Anti-virus programa..........................................................................................6 On-access skeniranje....................................................................................................................7 On-access skeniranje ekstenzija...............................................................................................7 Iskljuenje datoteka, fascikli ili disk jedinice od on-access skeniranja. .................................................................................................................................................9 Promeniti kada se aktivira on-access skeniranje....................................................................10 Privremeno onemoguite on-access skeniranja.....................................................................11 Otkrivanje sumnjivog ponaanja i prelivanje bafera (buffer overflows)...................................11 Kontrola aplikacija ....................................................................................................................13 Skeniranje kontrolisanih aplikacija........................................................................................13 Onemoguavanje skeniranja kontrolisanih aplikacija...........................................................13 On-demand skeniranje .............................................................................................................14 On-demand skeniranja ekstenzije ........................................................................................14 Potpuno skeniranje raunara......................................................................................................16 Skeniranje desnim tasterom mia .............................................................................................16 Kreiranje prilagoenih skeniranja .............................................................................................17 Raspored prilagoenih skeniranja..........................................................................................18 Log za Prilagoeno skeniranje ..............................................................................................20 Skeniranje u potrazi za rootkit ..................................................................................................20 O Sophos Live zatiti ................................................................................................................21 Ukljuivanje/iskljuivanje Sophos Live zatite.....................................................................22 Izgled Log-a za Sophos Live zatitu .....................................................................................23 Web Zatita ...............................................................................................................................24 Konfigurisanje dnevnika skeniranja .....................................................................................25 Auriranje..................................................................................................................................26 Tamper zatita............................................................................................................................27 Literatura........................................................................................................................................28
Uvod
Prvi i obavezni korak u antivirusnoj zatiti jeste instaliranje i pravilno korienje antivirusnog softvera, bez kojeg su jako male anse za obranu od virusa, posebno ako se sluite internetom. Antivirusni softver redovito pregledava datoteke i memoriju raunara detektovae pojavu inficirane datoteke, odnosno delovanje virusa i crva. Sledi upozoravanje korisnika i preduzimanje odgovarajue akcije u skladu s konfigurisanim postavkama, to moe biti npr. brisanje inficirane datoteke. U najboljem sluaju korisnik e biti upozoren na vreme, a teta na sistemu spreena. Jedina obaveza korisnika, a ujedno i uslov za uspenu zatitu, jeste redovino obnavljanje baze s potpisima virusa, ime se osigurava pravilan rad antivirusnog softvera. Valjan rad antivirusnih alata se izmeu ostalog zasniva i na skidanju najsveijih informacija o virusima sa interneta, budui da bez njih ni jedan ativirusni softver nije u stanju prepoznati nove viruse. Ukoliko izostane redovito auriranje informacija o virusima, antivirusni alati postaju beskorisni stoga je to neizostavan korak u zatiti raunara od virusa. U novije vreme veina antivirusnih alata ima ugraeno automatsko auriranje podataka o virusima, stoga bi to uz cenu i procenat detekcije virusa i brzinu detekcije trebao biti jedan od kriterijuma pri izboru antivirusnog programa.
27
O Sophosu
Sophos je vodea svetska kompanija u pouzdanoj zatiti, poslovnih, edukacijskih i vladinih ustanova od virusa, spywarea i spama. Preko 35 miliona organizacija razliitih veliina koristi Sophosov software i njihovu 24/7 tehniku podrku.
Sophosovo iskustvo u otklanjanju evoluirajuih raunarnih opasnosti, graeno preko 20 godina, i svetski razgranata mrea laboratorija omoguila im je da budu jedni od najpristupanijih sigurnosnih kompanija u detekciji i reavanju novih raunarnih opasnosti. Sophos ima irok raspon vlastitih tehnologija za otkrivanje virusa, trojanskih konja, crva, spywarea, adwarea, nepoeljnih programa i svih ostalih vrsta malicioznih pretnji. Sophos je patentirao niz naprednih tehnologija poput Genotype za otkrivanje nepoznatih pretnji bazirano na genskim karakteristikama malicioznih programa, Dynamic Code Analysis za otkrivanje sloenih enkriptiranih virusa, algoritamsko usporeivanje uzoraka, emulacija za polimorfne viruse ili dinamika analiza koda. Ove tehnologije omoguuju brzu detekciju bez proputanja virusa i bez lanih alarma, to je est problem kod konkurentskih programa. Sophos je dobitnik mnogih nagrada, ukljuujui i "Company of the Year" na "Real Business/CBI Growing Business Awards".
27
SAV podrava preko 25 platformi ukljuujui podrku za veinu najpopularnijih Linux/Unix distribucija, a ogranienu podrku daje ak i za distribucije Linux-a koje nisu slubeno podrane. Moe otkriti Windows viruse u ne-Windows okruenju te tako osigurati potpunu zatitu mree. Sophos je firma u privatnom vlasnitvu osnovana 1985, smetena u novoizgraenim prostorijama vrednim 32 miliona funti u Abingdonu, blizu Oxforda u Velikoj Britaniji i u poslovnicama u SAD-u, Australiji, Kanadi, Francuskoj, Nemakoj, Italiji, Japanu i Singapuru. Unustar Sophosa postoji poseban deo ActiveState koji je vodei u proizvodnji alata i servisa za dinamike jezike kao to su: PHP, Perl, Phyton, Tcl, XSLT Preko 2 miliona developera oslanja se na profesionalne razvojne alate kao poslovne usluge ActiveState-a. Licence ukljuuju automatske nadogradnje programa, kompletne nove verzije programa i 24/7/365 podrku tokom trajanja vremena licenciranja. Licenciranje Sophosovih programa uvek se prilagoava potrebama korisnika za promjenama licence tokom razdoblja licenciranja, te ne postoje nikakvi dodatni skriveni trokovi koritenja Sophosovih programa. Znaajni popusti ostvarivi su za edukativne, dobrotvorne, neprofitne ustanove i bolnice. Popusti za viegodinje koritenje: 2 godine 150% jednogodinje cene, za 3 godine 200% jednogodinje cene, te za 5 godina 300% jednogodinje cene. Korisnici koji imaju neka konkurentska rjeenja, a ele prei na koritenje Sophosa imaju pravo na besplatno koritenje Sophosa do kraja razdoblja njihove trenutne konkurentske licence. Na primer, ako imate pravo na koritenje nekog konkurentskog antivirusnog programa jo dva meseca, moete odmah poeti koristiti Sophosovu zatitu i primiti Sophosovu licencu za 14 meseci sa cenom jednogodinje licence.
27
Nakon na e-mail koji je prijavljen stie korisnikovo korisniko ime i lozinka i link sa kojeg je mogue skinuti instalaciju programa. Veliina antivirusnog programa je 70.1 MB. Program se instalira u direktorijumu c:\Program Files\Sophos\ i prilikom prvog pokretanja potrebno je uneti korisniko ime i lozinku iz e-mail-a.
27
27
On-access skeniranje
Konfigurisanje on-access skeniranja se obavlja na sledei nain: Da bi otvorili podeavanja on-access skeniranja u dialog box-u potrebno je kliknuti na Home > Anti-virus and HIPS > Configure anti-virus and HIPS > Configure > On-access scanning.
Scan all files Potrebno je kliknuti ovde da biste omogui skeniranje svih fajlova, bez obzira na ekstenziju fajla.
27
Allow me to control exactly what is scanned Potrebno je kliknuti ovde da biste ograniili samo skeniranje fajlova sa odreenom extenzijom, navedene u listi extenzija. Da biste dodali extenziju fajla u listu, potrebno je kliknuti na dugme Add. Moete da koristite doker ? da zameni bilo koji pojedinani karakter. Da biste uklonili extenziju fajla iz liste, izaberite extenziju fajla i potrebno je kliknuti na dugme Remove. Da biste promenili ekstenziju fajla na listi, izaberite extenziju fajla i potrebno je kliknuti na dugme Edit. Kada izaberete Allow me to control exactly what is scanned , skeniranje datoteka bez extenzije je izabrano po podrazumevanoj vrednosti. Da biste onemoguili skeniranje datoteka bez extenzije fajla, ponitite Scan files with no extension.
27
Moete da iskljuite datoteke, fascikle ili disk jedinice od on-access skeniranja. 1. Potrebno je kliknuti Home > Anti-virus and HIPS > Configure anti-virus and HIPS > Configure > On-access scanning. 2. Potrebno je kliknuti na Exclusions karticu, a zatim podesite opcije kao to je opisano u nastavku.
Da biste naveli stavke koje treba da budu iskljuene iz skeniranja, potrebno je kliknuti na dugme Add. U Excluded item dijalogu, navedite tip i ime stavke koja treba da bude izuzeta. Da biste uklonili stavke iz liste izuzetih stavki, potrebno je kliknuti na dugme Remove. Da biste promenili stavke u listi iskljuenih stavki, potrebno je kliknuti na dugme Edit.
27
U Exclude item dijalogu izaberite tip stavke. Navedite ime stavke pomocu Browse dugmeta ili ukucate u okviru za tekst. Postoje tri naina: Filename Moete da navedete samo naziv datoteke i Sophos Anti-virus iskljuuje sve fajlove sa tim imenom, bez obzira gde se nalaze. Na primer: fred.bmp Sophos Anti-virus iskljuuje sve fajlove naziva fred.bmp, bez obzira gde se nalaze. Full path Moete da navedete tanu lokaciju i ime datoteke i Sophos Anti-virus iskljuuje samo tu odreenu datoteku. Na primer C: \Ostalo\fred.bmp Sophos Anti-virus iskljuuje fred.bmp u Razno folder na C: disk. Partial path Moete da precizirate disk, i Sophos Anti-virus iskljuuje sve iz tog diska. Na primer: A:. Sophos Anti-virus iskljuuje sve na A: disku.
Option
27
Moda ete morati da privremeno onemoguite on-access skeniranje za odravanje ili reavanje problema, a zatim ga ponovo omoguite. Moete da onemoguite on-access zatitu a da jo uvek radi on-demand skeniranje na raunaru. Ako onemoguite skeniranja na pristup, va raunar je nezatien dok ponovo ga omoguite. 1. 2. Potrebno je kliknuti na Home > Anti-virus and HIPS > Configure anti-virus and HIPS > Configure > On-access scanning. Odekirajte Enable on-access scanning for this computer polje za potvrdu.
Otkrivanje sumnjivog ponaanja ukljuuje otkrivanje prelivanje bafera. Dinamiki se analizira ponaanje svih programa koji rade na sistemu da bi otkrili napad prelivanjem bafera. Funkcija otkrivanja prelivanja bafera nije dostupna za Windows Vista, Windows 2008, Windows 7, i 64-bitne verzije operativnog sistema Windows. Ovi operativni sistemi su zatieni od prelivanje bafera od strane Microsoft Data Ekecution Prevention (DEP). Mogue je promeniti postavke za otkrivanje sumnjivog ponaanja i prelivanje bafera: 1. Potrebno je kliknuti Home > Anti-virus and HIPS > Configure anti-virus and HIPS > Configure > Suspicious behavior detection to display 2. U Suspicious Behavior Detection dijalogu: o o o Da biste omoguili ili onemoguili otkrivanje sumnjivog ponaanja, potvrdite ili opozovite izbor u polju za potvrdu Detect suspicious behavior. Da biste omoguili ili onemoguili otkrivanje prelivanje bafera, potvrdite ili opozovite izbor u polju Detect buffer overflows. Po podrazumevanoj vrednosti, sumnjivo ponaanje i prelivanje bafera su detektovana, ali nisu blokirani.
27
Kontrola aplikacija
Kontrola aplikacija omoguuje administratorima ograniavanje koritenja aplikacija skladno pravilima organizacije. Aplikacije koje se mogu kontrolirati ne svrstavaju se u pretnje ili zloudne aplikacije ve su to programi koji nisu prikladni poslovnoj okolini jer potkopavaju produktivnost, usporavaju mrene performanse, a potencijalno mogu predstavljati sigurnosni rizik used iskoriavanja sigurnosnih propusta ili odliva povjerljivih informacija. Primeri takvih aplikacija su klijenti za instant messaging, igre, klijenti za VoIP ili P2P aplikacije i druge.
27
On-demand skeniranje
Postoje tri osnovna tipa skeniranja on-demand Skeniranje celog raunara
Skenirajte ceo raunar, ukljuujui boot sektor i sistemske memorije, u bilo kom trenutku. Skeniranje desnim tasterom mia
Skeniranje datoteka, folder ili disk u Windows Explorer-u u bilo kom trenutku. Prilagoeno skeniranje
Skeniranje odreenih skupova datoteka ili foldera. Moete runo da pokrenete prilagoeni raspored skeniranja ili da se pokree bez nadzora.
Potrebno je kliknuti ovde da biste omogui skeniranje svih fajlova, bez obzira na ekstenziju fajla.
Allow me to control exactly what is scanned Potrebno je kliknuti ovde da biste ograniili samo skeniranje fajlova sa odreenom extenzijom, navedene u listi extenzija. Da biste dodali extenziju fajla u listu, potrebno je kliknuti na dugme Add. Moete da koristite doker ? da zameni bilo koji pojedinani karakter. Da biste uklonili extenziju fajla iz liste, izaberite extenziju fajla i potrebno je kliknuti na dugme Remove. Da biste promenili ekstenziju fajla na listi, izaberite extenziju fajla i potrebno je kliknuti na dugme Edit. Kada izaberete Allow me to control exactly what is scanned, skeniranje datoteka bez extenzije je izabrano po podrazumevanoj vrednosti. Da biste onemoguili skeniranje datoteka bez extenzije fajla, ponitite Scan files with no extension.
27
Na poetnoj strani, u okviru Anti-virus and HIPS, potrebno je kliknuti na Scan my computer.
27
27
Konfigurisanje prilagoenih skeniranja: 1. Na Home strani, u okviru Anti-virus and HIPS, potrebno je kliknuti na dugme Scans. 2. U listi Available scans, izaberite skeniranje koje elite da izmenite, a zatim potrebno je kliknuti na dugme Edit. 3. Potrebno je kliknuti na dugme Configure this scan.
27
1. Na Home strani, u okviru Anti-virus and HIPS, potrebno je kliknuti na dugme Scans. 2. U listi Available scans, izaberite skeniranje koje elite da izmenite, a zatim potrebno je kliknuti na dugme Edit. 3. Potrebno je kliknuti na dugme Schedule this scan. 4. U Schedule scan dijalogu, izaberite Enable schedule. 5. Izaberite dan(e) u kojima bi trebalo pokrenuti skeniranje. 6. Dodajte vreme(na) klikom na Add. 7. Ako je potrebno, ukloniti ili izmeniti vremena izabrate i potrebno je kliknuti na Remove ili Edit, respektivno. 8. Upiite user name i password. Uverite se da lozinka nije prazna. Zakazano skeniranje radi sa pravima pristupa tog korisnika. Nije mogue runo da pokrenete zakazano prilagoeno skeniranje. Zakazana skeniranja se prikazuju u Available scans listi sa ikonom sata. 1. 2. Na Home strani, u okviru Anti-virus and HIPS, potrebno je kliknuti na dugme Scans. U Available scans listi, izaberite skeniranje koje elite da pokrenete, a zatim potrebno je kliknuti na Start.
27
Ako je naena bilo kakva pretnja ili kontrolisana aplikacija , potrebno je kliknuti na dugme More i preusmeri na Managing quarantine items.
Iz log stranice, moete da kopirate log u clipboard, ili e-mail ili odtampate log. Da biste pronali odreeni tekst u log-u, potrebno je kliknuti na dugme Find i unesite tekst koji elite da pronaete.
Rootkit je softver koji omoguuje povlaeni pristup raunaru, a aktivno skriva svoju prisutnost od strane administratora potkopavanjem funkcionalnosti operativnog sustava ili neke 27
druge aplikacije. Rootkit je pojam koji se sastoji od rei "root" (tradicionalni naziv privilegiranih rauna na Unix operativnim sistemima), a rei "komplet" (koja se odnosi na softverske komponente koje implementiraju alatke). Izraz "rootkit" ima negativne konotacije kroz povezanost s malware-om. Moete da skenirate rootkit kao deo Prilagoenih skeniranja. Da biste skenirali za rootkit: 1. Na Home strani, u okviru Anti-virus and HIPS, potrebno je kliknuti na dugme Scans. 2. U listi Available scans, izaberite skeniranje koje elite da izmenite, a zatim potrebno je kliknuti na dugme 3. Edit. 4. Potrebno je kliknuti Configure this scan. 5. Na kartici Options, izaberite Scan for rootkits polje za potvrdu.
27
Sophos Live zatita poboljava otkrivanje novih zlonamernih programa. Kada se novi malware identifikuje, Sophos alje ispravke za nekoliko sekundi. Sophos Live zatita koristi sledee opcije:
Ukoliko je anti-virus skeniranje na raunaru identifikovalo datoteku kao sumnjivu, ali ne moe dalje da je identifikuje bilo kao ist ili zlonamerni program, odreene datoteke sa podacima (kao to je checksum i drugi atributi) se alju Sophos-u pomognu u daljoj analizi. Ako je datoteka identifikovana kao ista ili zlonamerni, odluka se alje nazad na raunar i status datoteka se automatski aurira.
Ako se datoteka smatra sumnjivom, ali se ne moe pozitivno identifikovati kao zlonamerna, mogue je dozvoliti Sophos-u je da zatrai uzorak datoteke. Podnoenje uzoraka datoteka pomae Sophos-u da kontinuirano pobolja detekciju malvare-a, bez rizika od lanih uzbuna.
27
Ova opcija je dostupna samo ako ste ve izabrali Enable Live Protection.
Iz dnevnika stranice, moete da kopirate dnevnik u clipboard, ili e-mail ili odtampate Log. Da biste pronali odreeni tekst u dnevniku, potrebno je kliknuti na dugme Find i unesite tekst koji elite da pronaete.
27
Web Zatita
Sophos Anti-virus prua poboljanu zatitu protiv pretnji od strane web-a tako to spreava pristup lokacijama za koje se zna da hostuju malware. Sophos Anti-virus blokiranje pristupa tim lokacijama tako to podataka zlonamernih sajtova. Click Home > Anti-virus and HIPS > Configure anti-virus and HIPS > Configure > Web protection. U Web protection dijalogu, potvrdite ili opozovite izbor Block access to malicious websites polje za potvrdu. By default access to a malicious website is blocked. Po podrazumevanom podeavanju pristup zlonamernom sajtu je blokiran. u realnom vremenu pregledava online Sophos-ovu bazu
27
1.
Potrebno je kliknuti na Home > Anti-virus and HIPS > View anti-virus and HIPS log > Configure log. 2. U polju Configure logging for this computer, potrebno je podesiti opcije kao to je opisano u nastavku.
Logging level Da biste zaustavili sve to je prijavljeno za logovanje potrbno je kliknuti None. Da bi logovali rezime informacija, poruke o grekama i tako dalje, potrebno je kliknuti na dugme Normal. Da bi logovali najvie informacija, ukljuujui i skenirane datoteke, glavne faze skeniranja, i tako dalje, potrebno je kliknuti na dugme Verbose. Log archiving Da biste omoguili da se datoteka dnevnika arhivira meseno, izaberite Enable archiving. Arhivske datoteke se uvaju u istoj fascikli kao i log fajl. Izaberite Compress log da biste smanjili veliinu log datoteke. Pregledanje dnevnika skeniranja mogue je obaviti tako to se na poetnoj strani, u okviru Anti-virus and HIPS, izaberite stavku View anti-virus and HIPS log. 27
Iz dnevnika stranice, moete da kopirate dnevnik u clipboard, ili e-mail ili da tampate dnevnik. Da biste pronali odreeni tekst u dnevniku, potrebno je kliknuti na dugme Pronai i unesite tekst koji elite da pronaete.
Auriranje
Po podrazumevanoj vrednosti, Sophos automatsko auriranje je planirano da aurira svakih 60 minuta, ako ste stalno povezani na Internet. Da biste aurirali odmah kliknite desnim tasterom mia na tray ikonicu Sophos Endpoint Security and Control system tacna ikona, a zatim potrebno je kliknuti na dugme Update now.
Moete da konfiguriete Sophos AutoUpdate da snima aktivnost auriranja u log fajl. 1. 2. 3. 4. 5. Na Configure meniju potrebno je kliknuti na Updating. Potrebno je kliknuti na Logging tab. Izaberite Log Sophos AutoUpdate activity polje za potvrdu. U Maximum log size otkucajte ili izaberite maksimalnu veliinu u MB za dnevnik. U Log level list, izaberite Normal ili Verbose logging.
Verbose logging prua informacije o mnogo vie aktivnosti nego to je uobiajeno. Koristite ovu opciju samo kada vam je potreban detaljan dnevnik za reavanje problema.
27
Tamper zatita
Tamper zatita ima zadatak da sprei neovlaeno menjanje, brisanje i onemoguavanje antivirusne komponente. Kada je Sophos Anti-virus prvi put instaliran, Tamper zatita je onemogucena. Da bi omogucili Tamper zatitu: 1. Na poetnoj strani pod Tamper protection, potrebno je kliknuti na dugme Configure tamper protection. 2. U dijalogu Tamper Protection Configuration, izaberite Enable tamper protection polje za potvrdu. 3. Potrebno je kliknuti na Set ispod polja Password. U Tamper Protection Password dijalogu, unesite i potvrdite lozinku.
Ukoliko elimo da deinstaliramo Sophos Anti-virus moramo iskljuiti opciju Tamper zatita. Tada e nam biti potrebna ova lozinka.
27
Literatura
[1] Dragan Pleskonji, Nemanja maek, Sigurnost raunarskih sistema i mrea, Mikro Knjiga - Beograd, 2007. [2] Sophos Anti-virus for Windows, version 7, User manual, August 2008 [3] http://www.bug.hr/vijesti/sophos-application-control/74822.aspx, poseen 6.februar 2011
27