1.11. Безопасность

ДЛЯ НОВИЧКОВНЕ ОБЯЗАТЕЛЬНОВ РАЗРАБОТКЕ

Всем

Работа с компьютером, особенно подключённым к сети, неотделима от рисков. В отличие от физического мира, где угрозы вроде пожара или кражи требуют явного физического присутствия, цифровые угрозы могут проникнуть в систему мгновенно, незаметно и без участия пользователя — через уязвимости в ПО, фишинговые сайты, заражённые вложения или даже через обновления подменённых приложений.

Безопасность устройства — это целая экосистема защитных механизмов:

превентивных (предотвращают проникновение угроз),
реактивных (обнаруживают и устраняют уже внедрённые угрозы),
восстановительных (обеспечивают возврат к безопасному состоянию после инцидента).

Эта глава посвящена двум ключевым компонентам этой экосистемы: антивирусному ПО и межсетевым экранам (файерволам). Мы разберём, как они устроены «под капотом», какие подходы к детектированию и нейтрализации угроз применяются, как взаимодействуют с операционной системой, как их правильно устанавливать, настраивать и использовать — без излишней драматизации и без упрощения.

§1. Антивирусное программное обеспечение: архитектура, принципы работы и эволюция

1.1. Что такое «вирус» в современном понимании?

Термин «компьютерный вирус» изначально обозначал программу, способную саморазмножаться, внедряя свои копии в другие исполняемые файлы или загрузочные секторы. Однако сегодня под «вирусами» в быту понимают любые вредоносные программы — это упрощение, но оно устоялось.

Научно корректнее использовать термин malware (malicious software — вредоносное ПО), к которому относятся:

Вирусы — самореплицирующиеся программы, требующие активации пользователем (например, запуск заражённого EXE-файла).
Черви (worms) — самораспространяющиеся по сетям без участия пользователя, используя уязвимости ОС или приложений (например, Conficker).
Трояны (trojans) — программы, маскирующиеся под легитимное ПО, но выполняющие вредоносные действия (кража данных, открытие бэкдора и т.п.).
Рекламное ПО (adware) — показывает навязчивую рекламу, может собирать browsing-данные.
Шпионское ПО (spyware) — тихо собирает конфиденциальные сведения (логины, пароли, скриншоты).
Рекламно-майнинговое ПО (cryptojacking malware) — использует CPU/GPU устройства для майнинга криптовалют без ведома владельца.
Вымогатели (ransomware) — шифруют файлы и требуют выкуп за ключ дешифрования (LockBit, WannaCry).

Важно: многие современные угрозы — гибриды: троян загружает в систему вымогатель и руткит. Поэтому антивирусы должны быть универсальными и многоуровневыми.

1.2. Архитектура современного антивируса

Современный антивирус — это не единый исполняемый файл, а распределённая система компонентов, обычно включающая:

Компонент	Назначение	Особенности
Ядро (engine)	Анализирует код и поведение объектов	Реализует сигнатурный, эвристический и поведенческий анализ; может быть модульным (например, отдельный модуль для PDF-анализа или JavaScript-движок для сканирования веб-страниц).
Сканер (scanner)	Обходит файловую систему, память, реестр, сетевые соединения	Работает в фоне (on-access scanning) и по запросу (on-demand scanning); поддерживает потоковую обработку (streaming scan) для больших файлов.
База сигнатур (signature database)	Хранилище известных шаблонов вредоносов	Обновляется ежечасно или даже чаще; может включать не только байтовые сигнатуры, но и хеши, YARA-правила, поведенческие профили.
Эвристический анализатор	Выявляет неизвестные угрозы по статистическим и логическим признакам	Использует деревья решений, машинное обучение (ML), статический анализ кода (например, поиск подозрительных API-вызовов: `VirtualAlloc + WriteProcessMemory + CreateRemoteThread`).
Песочница (sandbox)	Безопасная среда для запуска подозрительных программ	Эмулирует ОС, перехватывает системные вызовы, фиксирует изменения (создание файлов, изменение реестра, сетевые попытки). Может быть локальной (легковесной) или облачной (полноценной VM).
Модуль самозащиты	Предотвращает отключение или модификацию антивируса	Блокирует попытки завершения процессов, удаления файлов, отключения служб; может использовать драйверы ядра (ring-0) для защиты критических компонентов.
Облачный компонент	Обмен данными с центром анализа угроз (Threat Intelligence)	Отправляет хеши подозрительных файлов, получает репутационные данные, участвует в коллективной защите (например, Kaspersky Security Network).
UI-клиент	Интерфейс для пользователя и администратора	Может быть графическим (GUI), консольным (CLI), веб-панелью (для enterprise-решений).

🔍 Техническое примечание: Современные антивирусы часто реализуют «нулевое копирование» (zero-copy scanning) — чтение файлов напрямую из дискового кэша без промежуточного буферирования в память, что повышает производительность. Также применяется отложенная проверка (deferred scanning): если файл уже открыт другим процессом, его сканирование откладывается до освобождения, но при этом устанавливается файловый монитор (через minifilter driver в Windows), чтобы перехватить любую попытку записи или исполнения.

1.3. Методы детектирования угроз

1.3.1. Сигнатурный анализ

Классический подход: сравнение содержимого файла с известными шаблонами (сигнатурами).

Байтовая сигнатура — уникальная последовательность байт в коде вредоноса (например, 55 8B EC 6A FF 68 ?? ?? ?? ?? 64 A1 00 00 00 00).
Хеш-сигнатура — контрольная сумма (MD5, SHA-1, SHA-256) файла. Быстрое сопоставление, но неустойчива к полиморфизму (изменению кода без изменения функционала).

YARA-правила — декларативный язык описания образцов:

rule Emotet_Dropper {
  meta:
    description = "Detects Emotet stage 1 dropper"
  strings:
    $s1 = "http://[a-z0-9]{8}.xyz/" fullword ascii
    $s2 = { 68 ?? ?? ?? ?? FF 15 [4] 85 C0 74 ?? 68 ?? ?? ?? ?? }
  condition:
    $s1 and $s2
}

✅ Преимущества: точность 100% при совпадении, минимальные ложные срабатывания.
❌ Недостатки: бесполезен против новых (zero-day) или модифицированных угроз.

1.3.2. Эвристический анализ

Оценивает «подозрительность» кода на основе статистических, структурных и логических признаков:

Наличие упаковщика (UPX, VMProtect, Themida) без лицензии.
Использование API, характерных для вредоносов: SetWindowsHookEx, NtCreateThreadEx, RegSetValueEx(HKEY_CURRENT_USER\...\Run).
Шифрование собственного кода (self-decrypting stub).
Попытки скрыть окно (ShowWindow(SW_HIDE)).

Современные решения используют ML-модели, обученные на миллионах файлов (чистых и вредоносных). Признаки — PE-заголовки, секции, импорты, строковые константы, энтропия данных (хаотичность — признак упаковки/шифрования).

1.3.3. Поведенческий анализ (behavioral analysis)

Мониторинг runtime-активности процесса:

Создание процесса cmd.exe с флагом /c powershell -enc [...].
Запись в автозагрузку (HKCU\Software\Microsoft\Windows\CurrentVersion\Run).
Соединение с известным C&C-сервером (по IP или домену из базы IOC — Indicators of Compromise).
Попытка повышения привилегий (SeDebugPrivilege, CreateToken).

Поведенческий анализ особенно эффективен против fileless malware — угроз, не оставляющих следов на диске (например, PowerShell-скрипты в памяти).

1.3.4. Репутационный анализ

Проверка репутации объекта в глобальной базе:

Известен ли файл по хешу?
Подписан ли цифровой подписью? Действительна ли?
Сколько пользователей уже встречали этот файл?
Есть ли у объекта «история» вредоносной активности?

Это позволяет быстро блокировать подозрительные, но ещё не классифицированные файлы — по принципу «если 10 000 устройств его удалили за последние 24 часа — он опасен».

1.4. Как получить антивирус: каналы распространения и юридические аспекты

1.4.1. Официальные сайты и цифровые дистрибутивы

Лучший способ — скачивание с официального сайта разработчика. Например:

Kaspersky Security Cloud Free — https://www.kaspersky.ru/free-antivirus
Avast Free Antivirus — https://www.avast.com/ru-ru/free-antivirus-download
ESET Online Scanner (бесплатный on-demand сканер) — https://www.eset.com/ru/home/online-scanner/

⚠️ Важно:

Проверяйте SSL-сертификат (замок в адресной строке).
Убедитесь, что домен действительно принадлежит компании (например, kaspersky.ru, а не kaspersky-security[.]xyz).
Используйте хеши SHA-256, публикуемые на сайте, для верификации загруженного EXE.

1.4.2. Встроенные решения

Windows Defender (Microsoft Defender Antivirus) — встроен в Windows 10/11 начиная с 2018 года, активирован по умолчанию, интегрирован с SmartScreen, ASR (Attack Surface Reduction) и Core Isolation.
- Обновления баз через Windows Update.
- Управление через Windows Security → Virus & threat protection.
- CLI: MpCmdRun.exe -Scan -ScanType 2 (полная проверка).

1.4.3. Онлайн-сканеры и portable-утилиты

Для экстренного использования или проверки «вторым мнением»:

Kaspersky Virus Removal Tool (KVRT) — портативная утилита, не требует установки, содержит свежую базу и мощный движок.
- Скачивается с https://www.kaspersky.ru/downloads/free-virus-removal-tool
- Запускается от имени администратора.
- Поддерживает загрузку обновлений как из интернета, так и вручную (если сеть недоступна).
- Работает в трёх режимах:
  - Quick Scan — ключевые системные зоны (автозагрузка, %AppData%, реестр).
  - Full Scan — вся файловая система + память + MBR.
  - Custom Scan — выбор папок/дисков.

📌 Примечание: KVRT — это не замена антивирусу, а аварийный инструмент ликвидации уже проникших угроз. Он не обеспечивает реального времени защиты (real-time protection), поэтому после очистки необходимо установить полноценное решение.

1.4.4. Репозитории Linux и пакетные менеджеры

В Linux-мире антивирусы используются в основном для проверки исходящих файлов (например, почтовый сервер не должен рассылать вредоносы).

ClamAV — open-source сигнатурный сканер:

sudo apt install clamav clamav-daemon
sudo freshclam               # обновить базы
clamscan -r --bell /home     # рекурсивная проверка

rkhunter, chkrootkit — детекторы руткитов.

§2. Межсетевые экраны (файерволы): контроль сетевой активности как основа защиты периметра

2.1. Что такое файервол — и почему это не «просто блокировщик интернета»

Межсетевой экран (firewall) — это программный или аппаратный компонент, предназначенный для фильтрации сетевого трафика на основе заданных политик. Его задача — не «отключить интернет», а разрешить легитимное взаимодействие и заблокировать вредоносное, в том числе исходящие соединения, инициированные уже проникшей в систему угрозой.

Без файервола даже полностью «чистая» система может стать источником атаки: например, уязвимость в браузере позволяет удалённому коду выполнить HTTP-запрос к внутреннему API-сервису (192.168.1.100:8080/admin) — и если на локальном хосте запущен веб-сервер без аутентификации, злоумышленник получит контроль. Файервол может предотвратить такой сценарий, ограничив входящие подключения к порту 8080 только с localhost.

2.2. Архитектурные уровни реализации файерволов

Современные файерволы работают на разных уровнях сетевого стека, что определяет их возможности и ограничения:

Уровень	Тип фильтрации	Примеры
L3 (Network)	Фильтрация по IP-адресам и портам (stateless packet filtering)	`iptables -A INPUT -s 192.168.5.100 -j DROP`
L4 (Transport)	Учёт состояния соединения (stateful inspection): различает `SYN`, `ACK`, `FIN`	Windows Filtering Platform (WFP), `nftables`
L7 (Application)	Глубокая проверка содержимого (DPI — Deep Packet Inspection): анализ HTTP-заголовков, TLS-SNI, DNS-запросов	GlassWire (ограниченно), enterprise-решения (Palo Alto, FortiGate)

💡 Обратите внимание: встроенные файерволы ОС (например, Windows Defender Firewall) работают на уровне L3–L4 и частично — L7 (через интеграцию с Application Layer Enforcement в Microsoft Defender for Endpoint). Они не расшифровывают TLS-трафик (это требует установки доверенного корневого сертификата и MITM-перехвата), но могут блокировать по доменному имени через SNI (Server Name Indication) в TLS-рукопожатии — если ОС поддерживает TLS Inspection API.

2.3. Виды файерволов

2.3.1. Сетевые (аппаратные / enterprise)

Устанавливаются на границе сети (например, между роутером и локальной сетью).
Примеры: Cisco ASA, Fortinet FortiGate, MikroTik RouterOS firewall.
Особенности: высокая пропускная способность, поддержка VLAN, NAT, IPS/IDS, VPN, централизованное управление.

2.3.2. Хостовые (host-based)

Работают на отдельном устройстве — как часть ОС или отдельное ПО.
Именно они наиболее релевантны для обычного пользователя.

• Windows Defender Firewall

Встроен в Windows Vista и новее, активирован по умолчанию.
Поддерживает три профиля:
- Domain — для корпоративных сетей (с контроллером домена),
- Private — доверенные сети (дом, офис),
- Public — публичные сети (кафе, аэропорты) — самый строгий.

Правила можно настроить через:

GUI: Панель управления → Брандмауэр Защитника Windows

PowerShell:

# Разрешить входящие подключения на порт 8080 только с localhost
New-NetFirewallRule -DisplayName "Allow localhost to 8080" `
  -Direction Inbound -Protocol TCP -LocalPort 8080 `
  -RemoteAddress 127.0.0.1 -Action Allow

netsh:

netsh advfirewall firewall add rule name="Block Telegram" ^
  dir=out action=block remoteip=149.154.167.0/24,91.108.4.0/22

🔍 Как проверить активность?
Выполните в PowerShell:
Get-NetFirewallProfile | Select-Object Name, Enabled
Все три профиля должны быть в состоянии True.

• GlassWire

Прикладной файервол с визуализацией трафика в реальном времени.
Отслеживает:
- какие процессы инициируют соединения,
- объём переданных данных,
- геолокацию удалённых узлов (по IP),
- изменения в сетевой активности («этот процесс никогда не ходил на 185.142.98.0/24 — зачем он туда пошёл сегодня?»).
Блокировка — на уровне процесса + порта + протокола.
Версия Free даёт 7-дневную историю; Elite — неограниченную + оповещения, родительский контроль, инструменты диагностики.

• Little Snitch (macOS)

Аналог GlassWire для macOS: модальное окно с запросом «Разрешить com.apple.WebKit.Networking подключиться к api.segment.io:443?».
Позволяет строить правила: «разрешить всегда», «только в этой сессии», «запретить навсегда».

• iptables / nftables (Linux)

Ядро сетевой фильтрации в Linux.

Пример строгой политики по умолчанию:

# Сброс всех правил
iptables -F
# Политика по умолчанию — DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
# Разрешить loopback
iptables -A INPUT -i lo -j ACCEPT
# Разрешить установленные соединения
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Разрешить SSH из локальной сети
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

⚠️ Важно: Настройка файервола требует понимания сетевой модели. Неправильные правила могут отключить доступ к системе (особенно по SSH). Всегда тестируйте в безопасной среде — и держите «аварийное правило» (например, таймер на 5 минут, после которого политика сбрасывается).

2.4. Почему антивирус + файервол = синергия?

Современные комплекты безопасности (Kaspersky Internet Security, ESET Internet Security, Bitdefender Total Security) объединяют антивирус и файервол, потому что:

Антивирус «видит» процесс как файл, но не всегда замечает его сетевую активность — особенно если она легитимна по сигнатуре, но вредоносна по контексту (например, winword.exe подключается к IP в КНР).
Файервол «видит» соединение, но не понимает — запущен ли процесс легально или это инжектированный код в explorer.exe.
Интеграция позволяет коррелировать события:
- Подозрительный файл → запущен → установил соединение → заблокирован файерволом → передан в песочницу → классифицирован как троян → удалён.

Это называется защитой по принципу «глубокой защиты» (defense in depth) — несколько независимых слоёв, каждый из которых снижает вероятность успешной атаки.

§3. Диагностика: как определить, что система заражена?

Новички часто полагаются на «тормозит компьютер — значит, вирус». Это неверно: тормоза могут быть вызваны фрагментацией диска, нехваткой RAM, ошибками драйверов. Обратное тоже верно: современные угрозы стремятся быть незаметными — особенно майнеры и шпионское ПО.

3.1. Объективные симптомы компрометации

Категория	Признаки	Инструменты проверки
Производительность	- Необъяснимый рост загрузки CPU/GPU (особенно в простое) - Резкое снижение времени автономной работы у ноутбуков - Повышенный нагрев корпуса, шум вентиляторов	Диспетчер задач (вкладка «Производительность»), `htop`, `nvidia-smi`, `Open Hardware Monitor`
Сетевая активность	- Трафик в фоне при закрытых приложениях - Соединения с подозрительными IP (например, в КНР, Северной Корее, Нигерии) - DNS-запросы к странным доменам (`xmr[.]pool.support`, `pool.minexmr.com`)	`netstat -ano`, Resource Monitor → Сеть, GlassWire, Wireshark
Файловая система	- Появление неизвестных EXE/DLL в `%AppData%`, `%Temp%` - Изменение атрибутов системных файлов (скрытый, системный) - Файлы с двойным расширением (`.pdf.exe`)	Проводник (включить «Расширения имён файлов»), `dir /a`, `Get-ChildItem -Force`
Автозагрузка	- Неизвестные записи в `HKCU\...\Run`, `HKLM\...\Run`, Планировщике заданий, папке `Startup`	`msconfig`, `Autoruns` (Sysinternals), `Task Scheduler`
Браузер	- Новые расширения без установки - Перенаправления на рекламные сайты - Изменение поисковой системы / домашней страницы	Проверка расширений, `chrome://settings/reset`, `about:config` (Firefox)
Безопасность	- Отключён Защитник Windows - Недоступен диспетчер задач - Заблокирована загрузка с USB/CD	`sc query WinDefend`, `gpedit.msc` (ограничения), безопасный режим

📌 Ключевой принцип: не один признак, а комбинация. Например, svchost.exe грузит CPU на 90% и отправляет 2 МБ/с в сеть и запущен из %AppData%\Roaming\svch0st.exe → почти наверняка cryptojacking.

3.2. Инструменты диагностики (бесплатные, для новичков и профи)

Инструмент	Назначение	Ссылка
Process Explorer (Sysinternals)	Расширенный диспетчер задач: дерево процессов, DLL, хэндлы, подписи, хеши	https://learn.microsoft.com/ru-ru/sysinternals/downloads/process-explorer
Autoruns	Полный аудит автозагрузки: реестр, службы, драйверы, BHO, Winlogon	https://learn.microsoft.com/ru-ru/sysinternals/downloads/autoruns
TCPView	Текущие TCP/UDP-соединения с привязкой к процессу	https://learn.microsoft.com/ru-ru/sysinternals/downloads/tcpview
Wireshark	Пакетный анализ: полный дамп трафика, фильтры, экспорт	https://www.wireshark.org/
RogueKiller	Сканирование на руткиты, MBR-вирусы, вредоносные задачи	https://www.adlice.com/roguekiller/

✅ Совет: запускайте инструменты от имени администратора. Многие угрозы скрываются от обычного пользователя через rootkit-техники (DKOM — Direct Kernel Object Manipulation).

§4. Экстренная очистка: пошаговый алгоритм при подозрении на заражение

Если вы обнаружили признаки компрометации — действуйте по плану, а не импульсивно.

Шаг 1. Изоляция устройства

Отключите интернет (Wi-Fi, Ethernet, мобильный адаптер).
Если возможно — отключите устройство от локальной сети (чтобы не заразить другие ПК).
Не выключайте сразу: работающая система содержит следы в памяти (RAM), которые исчезнут после выключения.

Шаг 2. Сбор первичных данных (если позволяет время)

Сделайте скриншоты:
- Диспетчера задач (вкладки «Процессы», «Производительность», «Сеть»),
- netstat -ano в командной строке,
- ipconfig /all.
Сохраните в облако или на USB-накопитель (предварительно проверенный!).

Шаг 3. Загрузка в безопасном режиме с сетью

Перезагрузите ПК, удерживая Shift → «Поиск и устранение неисправностей» → «Дополнительные параметры» → «Параметры загрузки» → «F5: Безопасный режим с поддержкой сетей».
Почему с сетью? Чтобы скачать свежие базы для KVRT или ClamAV.

Шаг 4. Запуск Kaspersky Virus Removal Tool (KVRT)

Скачайте с официального сайта: https://www.kaspersky.ru/downloads/free-virus-removal-tool
Запустите от имени администратора.
Выберите Full Scan. Длительность: от 20 минут до 4 часов (зависит от диска и RAM).
После сканирования — нажмите «Обработка угроз», выберите «Удалить» (не «Переместить в карантин», если уверены в угрозе).
Перезагрузите.

🛠️ Если KVRT не запускается (например, блокируется):

Переименуйте KVRT.exe → svchost.exe (обход простейших блокировок),

Используйте Kaspersky Rescue Disk: загрузочный ISO-образ, создаётся на флешку через Rufus — сканирует систему до запуска Windows.

Шаг 5. Проверка «вторым мнением»

Запустите ESET Online Scanner: https://www.eset.com/ru/home/online-scanner/
Или Malwarebytes Free: https://www.malwarebytes.com/ — особенно силён против adware и PUP.

Шаг 6. Аудит автозагрузки и служб

Запустите Autoruns, отсортируйте по столбцу «Publisher» — ищите «(Verified Signer: None)» или подозрительные пути.
Отключите всё, что не распознаёте. Перезагрузитесь.

Шаг 7. Восстановление и профилактика

Обновите ОС и все приложения (Windows Update, winget upgrade --all).
Установите постоянный антивирус (например, Kaspersky Free или Defender + настройка ASR).
Настройте резервное копирование (например, robocopy + облако или внешний диск).
Обучите пользователя: не открывать EXE из почты, не отключать UAC, проверять URL перед входом.

§1. Антивирусное программное обеспечение: архитектура, принципы работы и эволюция​

1.1. Что такое «вирус» в современном понимании?​

1.2. Архитектура современного антивируса​

1.3. Методы детектирования угроз​

1.3.1. Сигнатурный анализ​

1.3.2. Эвристический анализ​

1.3.3. Поведенческий анализ (behavioral analysis)​

1.3.4. Репутационный анализ​

1.4. Как получить антивирус: каналы распространения и юридические аспекты​

1.4.1. Официальные сайты и цифровые дистрибутивы​

1.4.2. Встроенные решения​

1.4.3. Онлайн-сканеры и portable-утилиты​

1.4.4. Репозитории Linux и пакетные менеджеры​

§2. Межсетевые экраны (файерволы): контроль сетевой активности как основа защиты периметра​

2.1. Что такое файервол — и почему это не «просто блокировщик интернета»​

2.2. Архитектурные уровни реализации файерволов​

2.3. Виды файерволов​

2.3.1. Сетевые (аппаратные / enterprise)​

2.3.2. Хостовые (host-based)​

• Windows Defender Firewall​

• GlassWire​

• Little Snitch (macOS)​

• iptables / nftables (Linux)​

2.4. Почему антивирус + файервол = синергия?​

§3. Диагностика: как определить, что система заражена?​

3.1. Объективные симптомы компрометации​

3.2. Инструменты диагностики (бесплатные, для новичков и профи)​

§4. Экстренная очистка: пошаговый алгоритм при подозрении на заражение​

Шаг 1. Изоляция устройства​

Шаг 2. Сбор первичных данных (если позволяет время)​

Шаг 3. Загрузка в безопасном режиме с сетью​

Шаг 4. Запуск Kaspersky Virus Removal Tool (KVRT)​

Шаг 5. Проверка «вторым мнением»​

Шаг 6. Аудит автозагрузки и служб​

Шаг 7. Восстановление и профилактика​