CITKIT.ru - свободные мысли о свободном софте
Деловая газета CitCity.ru Библиотека CITForum.ru Форумы Курилка
Каталог софта Движение Open Source Дискуссионный клуб Дистрибутивы Окружение Приложения Заметки Разное
26.05.2017

Последние комментарии

ОСТОРОЖНО: ВИНДОФИЛИЯ! (2250)
24 December, 22:53
Kubuntu Feisty (15)
24 December, 18:42
Один на один с Windows XP (3758)
24 December, 11:46

Каталог софта

Статьи

Дискуссионный клуб
Linux в школе
Open Source и деньги
Open Source и жизнь
Windows vs Linux
Копирайт
Кто такие анонимусы
Лицензии
Нетбуки
Нужен ли русский Linux?
Пользователи
Дистрибутивы
Идеология
Выбор дистрибутива
Archlinux & CRUX
Debian
Fedora
Gentoo
LFS
LiveCD
Mandriva
OpenSolaris
Slackware
Zenwalk
Другие линуксы
BSD
MINIX
Движение Open Source
История
Классика жанра
Окружение
shell
Библиотеки UI
Графические среды
Шрифты
Приложения
Безопасность
Управление пакетами
Разное
Linuxformat. Колонки Алексея Федорчука
Заметки
Блогометки
Файловые системы
Заметки о ядре

Дистрибутивы :: LiveCD

Linux против malware

Что-то заголовок больно претенциозным получился... Во избежание недоразумений уточняем: речь пойдёт об использовании LiveCD на основе Linux в рамках борьбы с "вредоносным" программным обеспечением для ms windows. Или, ещё точнее: о создании на основе RIP собственного livecd для антивирусной профилактики машин, работающих под windows. Под "вредоносным" программным обеспечением понимается в данном случае не сама ОС и написанные для неё приложения (хотя иногда это совсем не далеко от истины), а вирусы, шпионы, трояны и т.п. — то, что обычно интегрально обозначается как malware.

Почему на основе Linux? Потому что это просто, компактно и эффективно. Почему для win-машин? Потому что под Linux вышеозначенной проблемы нет. И отнюдь не из-за меньшего распространения Linux. Впрочем, об этом — в другой раз.

Подход

За последние полгода приблизительно каждая десятая инфицированная машина "ловила" вирусы, удаление которых непосредственно под "родной" ОС было сопряжено с существенными трудностями или вовсе невозможно (всего "подшефных" под четыре сотни на почти трёх десятках площадок). Начиная от вирусов, успешно использующих stelth-технологию, и заканчивая полным отказом ОС читать собственную файловую систему (NTFS). Это, конечно, — "несчастный случай", когда "лечение" невозможно посредством удалённого доступа. Но — бывает.

Так вот, при непосредственном доступе к машине, часто имеет смысл исследовать её, загрузившись с Linux-livecd. Разумеется, загруженная ОС должна обеспечивать монтирование (желательно: с возможностью записи) NTFS/FAT разделов и корректно отображать кириллицу в именах каталогов и файлов. Достигнуть этого нынче не так и трудно, даже если выбранный вами livecd не обеспечивает требуемого "из коробки". Вооружившись любимым файл-менеджером, просматриваем критичные каталоги на предмет самых новых каталогов/файлов. Обращаем внимание на "подозрительные" имена (hGu8YnFX.dll, winOSXAWCt59Cu.exe, wpv491228427471.cpx и т.п.) и атрибуты файлов. Трудно рассчитывать, что при беглом просмотре вы сразу определите "чужие" файлы в каталогах /Windows или /Windows/system32, но знать, где обычно расположены облюбованные троянописателями services.exe и svchost.exe рекомендуется весьма. Не помешает также знание назначения и структуры файлов autorun.inf.

Одним словом, даже без специального антивирусного ПО, анализ содержимого win-разделов может дать результат. К сожалению, под Linux нет (я, во всяком случае, их не знаю) средств редактирования пресловутого registry. Так что на следующем этапе придётся поработать и под windows. Ну, хоть так...

Альтернатива

Описанный подход подразумевает некоторые знания, опыт и... интуицию, если угодно. Во всяком случае, ответить на вопрос "а как вы нашли этот файл?" бывает трудно. Существенно труднее, чем посоветовать "запускаешь антивирус ХХХ и..." Не существует и никогда не будет существовать антивирусное ПО, обеспечивающее 100%-ную защиту. По определению. Что, однако, не означает, что существующим ПО не следует пользоваться. Во-первых, это — просто (хотя и не всегда быстро), а, во-вторых, грех не пользоваться опытом людей, отдавших этому так много сил.

Лет семь назад я включал в свой собственный livecd сканер от Dr.Web, но сейчас, если не ошибаюсь, бесплатная Linux-версия уважаемой компанией не распространяется. Предлагаемый же LiveCD откровенно разочаровал: сканер хорош, но система... Поддержка оборудования вообще оставляет желать лучшего, но когда на одном ноутбуке загруженное ядро умудрилось выключить все вентиляторы и разогреть CPU до 70-ти градусов, решение было однозначным: "отказать".

В то же время, список rescue-cd с регулярно обновляемыми и рационально собранными ядрами (благодаря чему они успешно работают на абсолютном большинстве компьютеров) достаточно обширен. Не проще ли дополнить свой предпочитаемый livecd антивирусным ПО? Как сделали, например, авторы PLoP. Они предлагают дополнить свой диск двумя антивирусами: F-PROT и Avast. Оба бесплатны для некоммерческого использования. В рамках PLoP всё предельно просто: скачиваем архивы первого и второго антивирусов, помещаем их в каталог /pluspacks редактируемого образа livecd. Для Avast, кроме этого, регистрируемся на сайте и получаем индивидуальную лицензию. Записываем образ на CD или флэшку — готово. Подробнее — на сайте авторов

После загрузки livecd вышеупомянутые архивы разворачиваются в каталоге /temp командами usefprot и useavast. Базы обновляются командами fpupdate и avast-update, соответственно. Консольные версии сканеров называются fpscan и avast.

Работаем...

Результат вас, вероятнее всего, разочарует: наткнувшись на первое же имя, набранное в кириллице, сканер порекомендует вам использовать ключ монтирования nls=utf8, но, даже воспользовавшись его советом, вы не сможете правильно прочитать "русские" имена каталогов и файлов. Ничего удивительного: нет ни консольных фонтов, содержащих символы кириллицы, ни соответствующей локали, ни X window, которая избавила бы вас от этих проблем.

Самое время вернуться к предложению использовать предпочитаемый или свой собственный livecd. Для меня сейчас это RIP с локалью ru_RU.koi8r (см. соответствующую статью). Поскольку RIP, в отличие от PLoP, всю свою файловую систему размещает в памяти, то смысла внедрять архивы антивирусников в его initrd я не вижу. Разумнее разместить их в каком-нибудь отдельном каталоге на CD или флэшке. Туда же имеет смысл поместить упомянутые выше скрипты usefprot и useavastPLoP их можно найти в каталоге /ploplinux/myscripts). После редактирования у меня они выглядят так:

#!/bin/sh

# usefprot

d=`ls -1|grep fp-Linux|grep .gz|tail -n 1`

if [ "$d" == "" ] then echo ERROR: f-prot tar gz file not found in $dir/ echo exit fi

if [ -f $d ] then cp ./f-prot.conf /etc echo extracting f-prot files to /tmp tar xfz $d -C /tmp if [ -f antivir.def ] then echo copy antivir.def to /tmp/f-prot cp antivir.def /tmp/f-prot fi fi

и так:
#!/bin/sh

# useavast

file=400.vps

d=`ls -1|grep avast4workstation|grep .gz|tail -n 1` if [ "$d" == "" ] then echo ERROR: avast tar gz file not found in $dir/ echo exit fi

if [ -f $file ] then echo copy avast 400.vps file mkdir /root/.avast cp $file /root/.avast cp ./avastrc /root/.avast fi

if [ -f $d ] then echo extracting avast files to /tmp tar xfz $d -C /tmp cd /tmp e=`echo $d|sed 's/.tar.gz//g'` ln -s $e /tmp/avast4workstation ldconfig fi

Некоторые комментарии к скриптам:

  • инсталляции антивирусов создаются в каталогах /tmp/f-prot и /tmp/avast4workstation. Оттуда же и предстоит запускать их исполняемые модули;
  • antivir.def и 400.vps — антивирусные БД. Какие-то их версии входят в состав архивов, но поскольку БД регулярно обновляются, то имеет смысл обновлять их и в составе livecd. Из чего следует, что лучшее место для нашего "антивирусного" каталога всё-таки флэшка. Вариант: архивы — на CD, БД — на флэшке. В этом случае переписать БД в нужные подкаталоги нужно будет "ручками", поскольку скрипты этого не предусматривают;
  • для работы F-PROT требуется наличие файла /etc/f-prot.conf. Отсюда дополнительная (относительно оригинального скрипта) команда копирования. Сам файл заимствуется из PLoP;
  • для работы Avast требуется файл avastrc — он содержит лицензию, которую вы получите после регистрации на сайте проекта. Сам файл создать нужно самому (см. документацию PLoP) и поместить его в наш "антивирусный" каталог. А вот о создании каталога /root/.avast и помещении туда файла avastrc позаботится скрипт. Это — второе отличие от оригинальных скриптов;
  • наличие команды ldconfig — обязательно, поскольку пакет Avast включает в себя разделяемые библиотеки.

При дефиците памяти имеет смысл использовать антивирусы по одному.

Загружаемые новые БД обнаруживаются в каталогах /tmp/f-prot и /root/.avast. Не забудьте сохранить их, если уж выполняли update: загрузить эти файлы с сайтов проектов без запуска программ — нельзя.

Небольшой бонус от Кента Роботти: при наличии X Window (которая отсутствует во PLoP, но имеется в RIP), вы можете воспользоваться gui-утилитой avastgui. В общем: сплошной windows.

Описывать монтирование win-разделов, также, как и опции запуска обеих антивирусных программ, смысла не вижу: если вы используете Linux и взялись за создание собственного livecd, то подобного рода описания для вас уже излишни. С чем и поздравляю.

Оцениваем...

А стоила ли "овчинка выделки"? Попробуем оценить. За последние два месяца в моём "зоопарке" сохранилось 43 вирусных файла. Прошу отметить: это файлы, как правило, прошедшие резидентную защиту NOD/KIS/DrWeb. "Детских" вирусов здесь нет. При отправке на VirusTotal многие их них определяются лишь 3-мя — 5-тью антивирусами из без малого сорока, участвующих в проверке. И слишком часто вышеупомянутые NOD/KIS/DrWeb не оказываются в числе "угадавших". Чем не тест для новоявленных "экспертов"?

Так вот F-PROT определил 37 вредоносных файлов из 43-х, а Avast — 40. Довольно приличный результат. Разумеется, никакая это не статистика. И отношения своего к антивирусному ПО я не поменял. Но... всё относительно. Похоже, free-альтернативы "прославленным бойцам" под Linux таки имеются. И стоит опробовать их "в деле".




Комментарии

Страницы комментариев: 1 :: 2 :: следующая

аноним, Fri Jun 19 16:41:07 2009:
ой… сорри… погорячился я… это же виндовая утилита, она через вино пашет только и для вина :)
angel2s2, Fri Jun 19 16:02:22 2009:
ЗЫЖ Это я в плане редакторов реестра винды из под пингвина, если что ;)
angel2s2, Fri Jun 19 16:01:40 2009:
Еще есть registry-tools. :)
В убунту и дебиане есть в репах ;)
Дмитрий, Wed Jan 28 23:43:07 2009:
Ркомендую обратить внимание на проект Trinity Rescue Kit. LiveCD включает 5 антивирусных движков и множество других полезных инструментов для борьбы и восстановления, в том числе и клонирование по сети.
аноним, Wed Jan 28 09:58:32 2009:
А что автор скажет (вероятно при тестировании был пропущен) об бесплатном продукте Avira AntiVir Rescue System, выкладываемый на сайте производителя и обновляемый каждый день iso-образ?
аноним, Sat Jan 24 15:57:46 2009:
2 аноним, четверг, 22 января 2009 г. 12:14:44:

для данной модели нет аспи дров. вендор не выкладывает спеки. вива ля делл.
аноним, Sat Jan 24 12:27:38 2009:
Красноглазый анонимус услышал звон, но не распознал где он и пошёл убивать себя о стену.

Wall->|<--(Stupid Head Place).
аноним, Thu Jan 22 12:14:44 2009:
Поддержка оборудования вообще оставляет желать лучшего, но когда на одном ноутбуке загруженное ядро умудрилось выключить все вентиляторы и разогреть CPU до 70-ти градусов,

ВОТ ВАМ И ЛИНУКС!!!
аноним, Thu Jan 22 08:57:36 2009:
>>Так можно легко отличить новичка.
Ага, так можно легко отличить владельцев этого ресурса ;)
аноним, Thu Jan 22 08:25:27 2009:
Так можно легко отличить новичка.

Страницы комментариев: 1 :: 2 :: следующая

Комментарии заморожены.

Новости:

Все новости на CitCity.ru

Компании месяца

 
Последние комментарии
Почему школам следует использовать только свободные программы (101)
20 Декабрь, 14:51
ОСТОРОЖНО: ВИНДОФИЛИЯ! (2250)
http://programswindows.ru/publ/antivirus/avast/5-1-0-2 аваст скачать бесплатно.
24 Декабрь, 22:53
Linux в школе: мифы про школу и информатику (334)
24 Декабрь, 22:43
Kubuntu Feisty (15)
24 Декабрь, 18:42
Software is like sex: it's better when it's free.
©Linus Torvalds