Lihtsaim viis rakendusest töölaualt teabe salvestamiseks on teha ekraanipilt. Ekraanipiltide ulatus on palju laiem, kui esmapilgul võib tunduda: need on kõikvõimalikud juhised, dokumentatsioon, märkmed saidil, kiire abi kolleegidele ja sõpradele, aruanded.

Täisekraanil ekraanipildi tegemiseks (st lõikelauale asetamiseks) kasutage klahvi Print Screen, kasutatakse akna jäädvustamiseks kombinatsiooni Alt+Print Screen aktiivne rakendus. Vahepildi saab hiljem hõlpsasti graafikaredaktorisse üle kanda ja mõnes saadaolevas vormingus salvestada.

Kogu sellise näilise mugavusega samm-sammult meetod selle puudused on ilmsed - eriti kui kasutajal on vaja mitte ainult ekraani parandada, vaid ka faili korralikult vormindada: lisada märkusi, lõigata fragment, muuta skaalat.

Selliste probleemide lahendamiseks kasutatakse ekraanihõiveprogramme. Sellel on kaks peamist eelist: kiirus ja kasutusmugavus. Programmid ühendavad reeglina ekraanipiltide töötlemiseks ekraanipildi tööriistu ja graafilist redaktorit.

Juhendi esimene osa hõlmab järgmisi rakendusi:

• FastStone Capture
• HyperSnap
• Snagit
• LightShot
• Ekraanitõmmis
• Greenshot

Väärib märkimist, et mõned arvustuses osalejad lubavad teil soovi korral heli ja videot salvestada, kuid seda teemat käsitletakse juhendi teises osas. Siin keskendutakse iga programmi konkreetsetele komponentidele:

• Ekraani jäädvustamine: piirkonna valik, ekraanipildi režiimid
• Liides: lihtne juurdepääs funktsioonidele, halduri kohandamine vastavalt kasutaja vajadustele
• Redaktor: põhifunktsioonid, saadaolevad tööriistad, failide salvestamise vormingud, eksport
• Integreerimine programmide ja teenustega.

Kääride programm

Enne ülevaatuse alustamist peate lühidalt loetlema programmi Scissors funktsioonid Windows Vista Ja uusimad versioonid Microsoft OS.

Ekraani jäädvustamine on võimalik ühes järgmistest režiimidest: " vaba vorm", "ristkülik", "aken" ja "täisekraan". Piirkonna valimiseks on mugav kasutada klahvikombinatsiooni Ctrl+PrtScrn. Pilt kantakse üle märgistusaknasse ja siin on saadaval sellised tööriistad nagu pliiats, marker ja kustutuskumm – sarnased Värvi redaktor. Pildile on lihtne lisada (täpsemalt lisada) märge ja HTML-i puhul märkida salvestatud lehe URL. Peal viimane etapp Ekraanitõmmise saab salvestada ühes vormingus (PNG, GIF või JPEG) ja saata e-postiga.

Seega on Windowsil mõned põhikomplekt ekraanipiltide tegemiseks. Kahjuks partii töötlemine ja isegi lihtne toimetamine on praktiliselt võimatu. Vähemalt ei saa te pilti kärpida ega Scissorsis kommentaari sisestada. Kõik see on lisatõend alternatiivsete lahenduste leidmiseks.

FastStone Capture

FastStone Capture - programm ekraanipiltide loomiseks üksikud rakendused, piirkonnad, objektid, leheküljed. Sisseehitatud tööriistad võimaldavad lisada efekte, märkusi ja muuta pildiparameetreid. Failide salvestamine on võimalik BMP-, GIF-, JPEG-, PCX-, PNG-, TGA-, TIFF- ja PDF-vormingus. Toetatud on ka videosalvestus WMV-vormingus.

Põhilised pildistamisega seotud tööriistad on saadaval Farstone'i pildistamispaneelis. Saadaval on järgmised režiimid: aktiivne aken, aken või objekt, piirkond, vaba piirkond, täisekraan, fikseeritud või keritav piirkond. Automaatne pealdis võimaldab teil automaatselt lisada süsteemi info, kuupäev. Kõrval asuvas Sihtkoha seadete rühmas saate määrata, kuhu pilt saadetakse: redaktorisse, lõikelauale, e-posti, kontorirakendused Ja nii edasi.

Põhiseaded asuvad jaotises Seaded. Enne tegelikku pildistamist on kasulik nendega tutvuda. Lisanupud saab lisada jaotise Tööriistariba jäädvustamise sätted on koondatud Capture'i. Kiirklahvid on määratletud vahekaardil Kiirklahvid. Faili nimi kompileeritakse maski abil, mille saab määrata jaotises Faili nimi.

Vaikimisi edastatakse ekraanipilt redaktori aknasse. Kasutades saadaolevaid tööriistu, saate lisada pildile allkirja, vesimärgi, seda kärpida, ekraanipilti pöörata, rakendada silumis- või teravusefekte. Joonistamiseks kasuta sisseehitatud FastStone Draw redaktorit, mis avaneb uues aknas. Sellist organisatsiooni ei saa FastStone Capture'is kutsuda mugav lahendus: mitme pildiga töötades peate pidevalt akende vahel lülituma.

Menüü Fail sisaldab käske pildi salvestamiseks ja otse saatmiseks Wordi rakendused, Excel, PowerPoint, autor FTP protokoll. Igaühe jaoks graafilised vormingud seaded on ette nähtud.

FastStone Capture'i teine ​​oluline komponent, mis on soodsa hinnaga, on video jäädvustamine. Programm pole aga nii tähelepanuväärne kui videokaamera, pakkudes tagasihoidlikku valikute komplekti ja ainuvõimalikku salvestusvormingut - WMV. Programmi üldsätted ei ole videosalvestuse jaoks olulised, need on reserveeritud vahekaardile Varia, millele pääseb juurde Ekraanisalvestaja akna kaudu. Salvestusrežiime on neli: aken või objekt, ala, täisekraanivorming ja täisekraan ilma tegumiriba.

Kokkuvõte

FastStone Capture on ekraanide jäädvustamisel mugav, eriti tänu oma võtterežiimidele. Mind rõõmustasid ka redigeerimisvõimalused - graafiline redaktor sisaldab vajalikud tööriistad. Seal on palju sätteid, mis võimaldavad teil FastStone Capture'i paindlikult kohandada vastavalt oma ülesannetele.

[+] Salvestamis- ja ekspordifunktsioonid
[+] Lai valik võtterežiime
[+] Lisatööriistad
[−] Ebamugav aknakorraldus

HyperSnap

HyperSnap - enam kui kümneaastase kogemusega programm - kasutatakse väga erinevatel eesmärkidel: ekraanipiltide (aknad, üksikud piirkonnad), teksti ( dialoogibokse, lehekülge), videosalvestusi. Võimaldab teil kommenteerida, redigeerija abil pilte redigeerida ja salvestada ühes paljudest saadaolevatest vormingutest.

Erinevalt FarStone'ist kogutakse kõik HyperSnapi moodulid ühte aknasse ning tööriistad jaotatakse vahekaartide vahel ning neile pääseb juurde lindi kaudu. Selle lahenduse lisaeelis on see, et saate korraga töötada mitme pildiga, vahetades akende või pisipiltide vahel. Üldiselt saab tänu menüü jaotisele Vaade liidest hoolikalt kohandada ja see kompenseerib programmi mõningast "arhailist" olemust.

Tegelikult peate ekraani jäädvustamiseks minema vahekaardile Pildista. Võimalusi on rohkem kui FastStone Capture'is või mõnes muus allpool mainitud programmis (välja arvatud Snagit). Lisaks kõige ilmsematele võimalustele on võimalik jäädvustada virtuaalne töölaud, mitu monitori, piirkond ja täielikult keriv aken, nupud, kursor jne.

Redigeerija tööriistad on jagatud kaheks vaheleheks – Redigeerimine ja Pilt. Redigeerimisest leiate joonistustööriistad, sealhulgas kujundite joonistamise ja märkmete lisamise. Pildiosa on mõeldud piltide töötlemiseks: kärpimine, pööramine, efektide rakendamine.

Liht- ja rikasteksti jäädvustamine (vahekaart TextSnap) on huvitav, kuid pidage meeles, et funktsiooni kasutamine on piiratud. Arendajad seda enam ei arenda – seetõttu on Java, .NET ja Windows 8 algrakendustes tekstihõive võimatu.

Lõpliku pildi saab hõlpsasti saata e-postiga, laadida üles FTP kaudu või teenusesse ImageShack. Ekraanipilti rakendustesse ei saa üle kanda. Failide salvestamine on võimalik nii üksikult kui ka partiidena. Kõigi erinevate vormingutega (neid on rohkem kui tosin) sooviksin näha mugavamat salvestamise dialoogi Sel hetkel see pole sugugi intuitiivne.

Kokkuvõte

Hypersnap vastab suurenenud nõudmistele spetsiaalsete funktsioonide ja tahte järele parim variant kasutajatele, kes on huvitatud toimingute maksimaalsest automatiseerimisest, partiitööst. Sobiv lahendus tarkvara testimiseks ja silumiseks.

[+] Mugav, kohandatav kest
[+] Erinevad võtterežiimid
[+] Teksti jäädvustamine
[−] Vananenud liides

Snagit

Snagit on TechSmithi rakendus piltide, teksti ja video jäädvustamiseks ekraanilt. Need funktsioonid koos on enam kui piisavad Snagiti kasutamiseks tööl, kodus ja hariduslikel eesmärkidel.

Pildi jäädvustamiseks kasutab Snagit mugavat peidetud vidinat, mida saab hõlpsalt ekraani mis tahes alale lohistada. Esiteks peaksite valima pildistamisprofiili (pilt, tekst või video), soovi korral ajasäästuprofiili ja määrama kiirklahvid. Muide, saate ise profiile luua; Profiili seadistamine või praegune režiim pildistamine toimub pildistamisaknas.

Menüüsse Capture Type on kogutud saadaolevad režiimid, sealhulgas piirkond, aken, ekraaniala, mitu ala korraga, skanner, kaamera ja muud valikud.

Pärast ekraanipildi saamist läheb kasutaja redaktorisse. Üks asi, mida tasub tähele panna, on redaktori akna allosas olev teek, kus kõik pildid on saadaval. See on oma korralduses mugav: andmeid saab korraldada mitte ainult kataloogide, vaid ka siltide järgi, samuti on rakendatud failiotsing.

Jaotises Draw saate lisada kujundeid, mis on ette nähtud joonistamiseks, täitmiseks ja märgistamiseks. Kõrvaloleval vahekaardil Pilt - erinevaid operatsioone pildiga (kärpimine, pööramine, suuruse muutmine, täitmine jne), samuti efektide rakendamine.

Üks neist ainulaadsed võimalused Snagit on "levialade" loomine - interaktiivsed pildid sisaldavad linke, hüpikaknaid. Võimalusi on enam kui küll: objektide loomine, linke, esiletõstmise valimine hõljumisel, värvilahendused.

Jaotises Jaga saate pilte programmidesse või teenustesse üle kanda ning funktsionaalsust on lihtne suurendada, laadides alla Snagiti puuduvad integratsioonividinad.

Kokkuvõte

Funktsionaalne ja mugav programm laiade ekspordivõimalustega. Just see võidukombinatsioon muudab Snagiti tasuliste toodete seas liidriks.

[+] Kasutajasõbralik liides
[+] Interaktiivsete piltide loomine
[+] Mitmesugused püüdmismeetodid
[+] Raamatukogu korraldamise võimalused

LightShot

Muidugi ei pea iga kasutaja vajalikuks ekraanipiltide halduri funktsionaalsuse eest maksta, seega tasub kaaluda tasuta lahendusi. Nende hulgas väärib märkimist väike LightShot programm, mis sisaldab põhifunktsioone, mis on vähemalt paremad kui standardsed "Käärid".

Rakendus on, nagu öeldakse, "lihtne kasutada" - lihtne ja intuitiivne. Lihtsalt klõpsake PrtScr võti, valige jäädvustav ala (saadaval ainult käsitsi režiim) – ja ekraanipilt on redigeerimiseks ja salvestamiseks või pildimajutusse üleslaadimiseks saadaval. Seega väheneb pildi saamise vaheetappide vaheline aeg.

LightShoti redaktori funktsionaalsus on võib-olla programmi laialdaseks kasutamiseks liiga lihtne. Olemas on joonistustööriistad ja tekstikommentaaride lisamise võimalus. Kui aga rääkida pildiga töötamisest, mõjutab seda proportsioonide ja efektide muutmise käskude puudumine. Samuti võib tunduda ebamugav, et iga pilti tuleb viivitamatult töödelda ja salvestada. LightShot pakub aga alternatiivne toimetamine- Pixlri veebiredaktor, mis on integreeritud saidiga prntscr.com. Pildi saate avaldada Prntscris paari klõpsuga. Salvestamiseks mõeldud vormingute komplekt on piiratud PNG, JPEG, BMP ja kvaliteedisätted puuduvad. Pixlr pakub aga JPEG-i võimalusi, seal on ka PXD-salvestusvorming, mis on väljaspool teenust praktiliselt kasutu.

Kokkuvõte

Paljuski ei suuda LightShot oma tasuliste arvustustes osalejatega võistelda, kuid sellel on kaks märgatavat eelist – kiirus ja vabakus. Parafraseerides vanasõna "lind käes on parem kui pirukas taevas" - parem tasuta rakendus piiranguteta kui tasuline, kuid paljude piirangutega.

[+] Hea funktsionaalsus Sest tasuta versioon
[+] Integratsioon võrguteenustega
[−] Salvestusvalikute puudumine
[−] Piiratud toimetaja funktsionaalsus

Ekraanitõmmis

Koduleht: http://www.screencapture.ru/

Veel üks tasuta ekraanipiltide haldur vene keeles. Screen Capture on huvitav mõne võrgufunktsiooni jaoks: eelkõige saate ekraanipildi Internetis ühe klõpsuga salvestada. Muud funktsioonid hõlmavad suvalise ekraanipiirkonna jäädvustamist, piltide redigeerimist ja kommentaaride lisamist.

Lühidalt näeb Screen Capture'iga töötamine välja järgmine: Vajutades PrtScrn või kasutades käsku "Take Screenshot", määratakse pildistatav ala. Järgmisena laaditakse ekraanipilt Internetti (vaikimisi) ja salvestatakse töölauale või määratud kausta.

Rakenduse põhifunktsioonid on saadaval kaudu kontekstimenüü teavitusalal. See valik pole eriti mugav: nii JPG kvaliteet peate valima ripploendist ja mõned valikud oleksid raadionuppudena optimaalsed.

Screen Capture'i teegi asendus on jaotis „Pildiajalugu”, kust pääsete juurde kõigi loendis olevate failide redigeerimisele. Veebiredaktoril on standardsed tööriistad ja seda on lihtne kasutada. Teoreetiliselt oleks see mugav mobiilseadmed- Praegu on Screen Capture siiski saadaval ainult Windowsi jaoks.

Kokkuvõte

Screen Capture - pole paha tasuta toode, mida tasub LightShoti kõrval kaaluda. Redigeerimine on saadaval ainult võrgufunktsioonide osana, kuid seal on rohkem salvestamisvalikuid ja pildiajalugu.

[+] Seal on salvestamise sätted
[−] Ebamugav liides
[−] Ekraanipiltide redigeerimine on võimalik ainult võrgus

Greenshot

Greenshot on tasuta rakendus piirkondade, akende ja veebilehtede ekraanipiltide loomiseks. Pilte on võimalik töödelda (sh lisada esiletõstmisi, kommentaare), eksportida erinevaid formaate, avaldamine Internetis.

Toetatud on juba tuttavad pildistamisrežiimid: ala, aken, täisekraani jäädvustamine. Greenshoti puhul pole aga tähelepanuväärne mitte see, vaid protsessi enda selgus: koos valitud piirkonna esiletõstmisega näete selle suurust.

Graafiline redaktor on lihtne ja samas ei sisalda midagi üleliigset. Tänu saadaolevatele tööriistadele saate lisada kommentaare, kujundeid, jooni, esile tõsta või hägustada pildi teatud ala, seda pöörata või kärpida. Tõsi, mitme ekraanipildi sissetöötamine erinevad aknad, on nende vahel vahetamine ebamugav. Teisisõnu jaoks partiitöö Vahekaarte pole piisavalt.

Pildivormingud salvestamiseks - PNG, GIF, BMP, JPG, TIFF, Greenshot. Kvaliteedisätted kehtivad ainult JPEG-vormingus. Lisaks on programmi seadetes konfigureeritud nimemall ja siin on näidatud ka failide salvestuskoht.

Koos salvestamisega on võimalik saata ekraanipilt e-postiga, meili klient, MSPainti redaktoris ei toetata ekraanipiltide eksportimist kontorirakendustesse. Samuti on võimalik Imguri hostimisse üles laadida ekraanipilte. Saadud link viib otse pildile, erinevalt prntscr.com-ist, kus peate teenuse lehelt reklaami vaatama.

Kokkuvõte

Nimetatud vabaliikmetest on kõige rohkem Greenshot funktsionaalne toode. Kasutajasõbralik liides, lokaliseerimine, lai valik salvestus- ja võtterežiimide vormingud.

[+] Funktsionaalsus
[+] Pildiredaktor
[+] Kiire avaldamine veebis
[−] Mitme akna režiimi ebamugav rakendamine

Pivot tabel

Programm	FastStone Capture	HyperSnap	Snagit	LightShot	Ekraanitõmmis	Greenshot
Arendaja	FastStone Soft	Hyperonics Technology, LLC	TechSmith	Oskusajud	Andrjuštšenko Artem	Thomas Braun, Jens Klingen, Robin Krom
Litsents	Jagamisvara (19,95 dollarit+)	Jagamisvara (39,95 $+)	Jagamisvara ($ 49,95+)	Vabavara	Vabavara	Vabavara
Lokaliseerimine vene keeles	−	−	−	+	+	+
Piltide salvestamise vormingud	BMP, GIF, JPEG, PCX, PNG, TGA, TIFF, PDF	BMP, GIF, JPEG, TIFF, CMP, CALS, FAX, EPS, GEM, IMG, RAW, PIC, MAC, MSP, BMP, RAS, TGA, WFX, WFM, WPG, PNG, PSD jne.	SNAG, PNG, JPG, GIF, BMP, TIF, PDF, SWF	PNG, JPEG, BMP	PNG, JPEG, BMP	PNG, GIF, BMP, JPG, TIFF, Greenshot
Pildiredaktor	+	+	+	+	+	+
Ekspordi kolmanda osapoole rakendustesse	+	−	+	−	−	+
Pildistusrežiimid	Aktiivne aken, aken või objekt, piirkond, vaba piirkond, täisekraan, fikseeritud, keritav piirkond	Aken, piirkond, täisekraan, video, virtuaalne töölaud, mitu monitori, piirkond, keritav aken, nupud, kursor jne.	Piirkond, aken, ekraaniala, mitu piirkonda korraga, skanner, kaamera jne.	Ekraani ala	Ekraani ala	Jäädvustage ala, aken, täisekraan
Internetis avaldamine	FTP	FTP, ImageShack.us	Screencast.com, FTP	Prntscr.com	Screencapture.ru	Imgur.com
Lisafunktsioonid	Videosalvestus (WMV)	Firefoxi laiendus, tekstihõive	Interaktiivsete piltide loomine	Laiendus jaoks Chrome'i brauserid, Firefox, IE ja Opera	−	−

Ülevaate teises osas uuritakse 6 programmi, mis võimaldavad ekraanilt video kujul pilte jäädvustada.

Selles võrdlevas testis analüüsisime populaarseid isiklikke viirusetõrjeid ja tulemüüre, mis sisaldavad HIPS-i (host Intrusion Prevention Systems) komponente sissetungi ärahoidmiseks. pahavara operatsioonisüsteemi kerneli tasemele (edaspidi Ring 0). Microsofti süsteemid Windows. Kui pahatahtlikul programmil õnnestub tungida kerneli tasemele, saab ta selle vastu täielik kontroll ohvri arvuti kaudu.

Kokkuvõte:

Sissejuhatus

Käitumisanalüüsi tehnoloogiad ja Host Intrusion Prevention Systems (HIPS) koguvad populaarsust viirusetõrje, tulemüüri ja muude pahatahtliku koodi eest kaitsvate vahendite tootjate seas. Nende peamine eesmärk on tuvastada ja blokeerida pahatahtlikud tegevused süsteemis ja vältida selle nakatumist.

Sel juhul taandub kõige raskem kaitseülesanne pahatahtlike programmide sissetungimise takistamiselekerneli tase operatsioonisüsteem(eng. Kernel Level), mis töötab "protsessori nullringis" (Ring 0). Sellel tasemel on maksimaalsed õigused käskude täitmisel ja süsteemi kui terviku arvutusressurssidele juurdepääsul.

Kui pahatahtlikul programmil õnnestub tungida kerneli tasemele, võimaldab see omandada täieliku ja sisuliselt piiramatu kontrolli ohvri arvuti üle, sealhulgas võimaluse kaitse keelata ja oma olemasolu süsteemis varjata. Pahatahtlik programm võib pealt kuulata kasutaja sisendit, saata rämpsposti, sooritada DDoS-rünnakuid ja asendada sisu otsingupäringud, tehke, mida soovite, hoolimata ametlikult töötavast viirusetõrjest. Seetõttu muutub tänapäevaste turvameetmete jaoks eriti oluliseks, et pahavara Ring 0-sse ei tungiks.

IN see testimine tegime võrdluse populaarsed viirusetõrjed ja tulemüürid, mis sisaldavad HIPS-komponente, et takistada pahavara tungimist operatsioonisüsteemi kerneli tasemele (edaspidi ring 0). Microsoft Windows XP SP3.

Pahavara valimine testimiseks

Otsustasime mitte simuleerida Ring 0-sse tungimist tehislike vahenditega, vaid viia läbi test tõelise pahavaraga. Veelgi enam, viimased valiti nii, et need hõlmaksid kõiki Ring 0-s kasutatud salvestusmeetodeid, mida tegelikult kasutatakse "metsikus" (In The Wild):

1. StartServiceA- faili asendamisega laaditakse pahatahtlik draiver süsteemi draiver kataloogi %SystemRoot%\System32\Drivers ja seejärel laadige alla. Võimaldab laadida draivereid ilma registrit muutmata.
   ITW esinemissagedus: kõrge
2. SCM- kasutada teenusehaldushalduri draiveri registreerimiseks ja laadimiseks. Seda meetodit kasutavad nii seaduslikud rakendused kui ka pahavara.
   ITW esinemissagedus: kõrge
3. TuntudDlls- jaotise \KnownDlls muutmine ja ühe koopia süsteemiteegid pahatahtliku koodi laadimiseks süsteemiprotsessi poolt.
   ITW esinemine: keskmine
4. RPC- draiverite loomine ja laadimine RPC kaudu. Kasutusnäide: kuulsa Rustock.C laadur
   ITW esinemine: harv
5. ZwLoadDriver- süsteemi draiveri asendamine pahatahtliku draiveriga, teisaldades selle ja seejärel otse alla laadides.
   ITW esinemissagedus: kõrge
6. ZwSystemDebugControl- HIPS-i installitud pealtkuulamiste eemaldamine, et jälgida süsteemisündmusi SDT-s, kasutades silumisõigusi.
   ITW esinemissagedus: kõrge
7. \ Seade\ Füüsiline mälu- HIPS-i installitud pealtkuulamiste eemaldamine, et jälgida süsteemi sündmusi SDT-s, kasutades füüsilise mälu sektsiooni kirjutamist.
   ITW esinemine: keskmine
8. ZwSetSystemInformation- draiveri laadimine ilma registris võtmeid loomata, kutsudes välja ZwSetSystemInformation parameetriga SystemLoadAndCallImage.
   ITW esinemine: keskmine
9. CreateFileA\\.\PhysicalDriveX- sektorite kaupa ketta lugemine/kirjutamine (failide või põhifailide muutmine alglaadimise sisestus ketas).
   ITW esinemine: keskmine

Nii valiti välja üheksa erinevat pahavaraprogrammi, mis kasutasid Ring 0 tungimiseks eeltoodud meetodeid, mida seejärel testimisel kasutati.

Võrdlusuuringu metoodika

Testimine viidi läbi VMware Workstation 6.0 all. Testi jaoks valiti järgmised isiklikud vahendid: viirusetõrje Ja tulemüürid:

1. PC Tools Firewall Plus 5.0.0.38
2. Jetico Personal Firewall 2.0.2.8.2327
3. Online Armor Personal Firewall Premium 3.0.0.190
4. Kaspersky Internet Turvalisus 8.0.0.506
5. Agnitum Outpost Turvakomplekt 6.5.3 (2518.381.0686)
6. Comodo Internet Tagatis 3.8.65951.477

Kahjuks vastavalt tehnilistel põhjustel F-Secure'i ja Nortoni viirusetõrje jäeti testist välja. Neisse sisseehitatud HIPS ei tööta eraldi lubatud viirusetõrjemonitorist. Ja kuna valitud pahavara näidiseid oli võimalik signatuuri abil tuvastada, ei saanud neid kasutada. Neid viirusetõrjeid ei sobinud kasutada vanade viirusetõrje andmebaasidega (allkirja tuvastamise vältimiseks), kuna nende toodete värskendusprotsess võib mõjutada enamat kui lihtsalt viirusetõrje andmebaasid, aga ka käivitatavad moodulid (turbekomponendid).

Miks testisime teisi populaarseid viirusetõrjetooteid ja tulemüüre, mida on palju? Jah, sest need ei sisalda HIPS-moodulit. Ilma selleta pole neil objektiivselt mingit võimalust OS-i kernelisse tungimist takistada.

Kõik tooted paigaldati koos maksimaalsed sätted, kui neid saab seadistada ilma HIPS-i seadeid käsitsi muutmata. Kui installimise ajal pakuti kasutamiseks automaatset õppimisrežiimi, siis kasutati seda kuni pahavara käivitamiseni.

Enne testimist käivitati legitiimne cpu-z utiliit (väike programm, mis annab teavet arvutisse installitud protsessori kohta) ja loodi reegel, mis soovitas testitavat toodet (selle HIPS-i komponenti). Pärast reegli loomist sisse see utiliit, lülitati automaatne õpperežiim välja ja loodi süsteemi oleku hetktõmmis.

Seejärel käivitati ükshaaval testimiseks spetsiaalselt valitud pahavara, registreeriti HIPS-i reaktsioon sündmustele, mis on seotud otseselt installimise, registreerimise, draiveri laadimise ja muude katsetega Ring 0-le kirjutada, nagu ka teistes testides, enne järgmise pahavara kontrollimist , lähtestati süsteem foto algusesse.

Testis osalenud viirusetõrjetes oli failimonitor keelatud ja Kaspersky Internet Security 2009-s pandi pahatahtlik rakendus käsitsi ebausaldusväärsest tsoonist nõrkadele piirangutele.

Testimise etapid:

1. Looge puhas hetktõmmis Virtuaalne masin(põhiline).
2. Testitava toote paigaldamine maksimaalsete seadistustega.
3. Süsteemis töötamine (rakenduste installimine ja käivitamine Microsoft Office, Adobe Reader, Internet Explorer), lubades treeningrežiimi (kui see on saadaval).
4. Testitud toote sõnumite arvu märkimine, legitiimse käivitamine cpu-z utiliidid ja selleks reeglite loomine.
5. Keela automaatne õpperežiim (kui see on saadaval).
6. Testitud toote tõlge keelde interaktiivne režiim tööd ja luua installitud tootega (abiseadmega) virtuaalmasinast uus hetktõmmis.
7. Looge kõigi testitud toodete kohta hetktõmmised, liikudes tagasi peamise hetktõmmise juurde ja korrates samme 2–4.
8. Testitava toote hetktõmmise valimine, OS-i laadimine ja pahatahtlike programmide iga kord ükshaaval käivitamine, tagasipöördumine algne seisukord, jälgides HIPS-i reaktsiooni.

Võrdlusuuringu tulemused

Pluss tabelis tähendab, et rünnak 0 tungis pahatahtliku programmi teatud sündmusele HIPS-i reaktsioon ja tekkis võimalus see toiming peatada.

Miinus- Kui pahatahtlik koodõnnestus pääseda rõngasse 0 või avada ketas sektoripõhiseks lugemiseks ja kirjutamiseks.

Tabel 1: Tulemused võrdlev testimine HIPS komponent

Ringi 0 tungimise meetod	PC-tööriistad	Jetico	Internetis armor	Kaspersky	Agnitum	Comodo
StartServiceA	-	+	+	+	-	+
SCM	-	+	+	+	-	+
TuntudDlls	-	+	+	-	+	+
RPC	-	+	+	+	-	+
ZwLoadDriver	+	-	+	+	-	+
ZwSystemDebugControl	-	+	+	+	+	+
\Seade\Füüsiline mälu	+	+	+	+	+	+
ZwSetSystemInformation	-	+	+	+	+	+
CreateFileA\\.\PhysicalDriveX	-	-	+	+	+	+
Kokku peatatud:	2	7	9	8	5	9
Hoiatuste ja kasutajatoimingute taotluste arv	vähe	Nii palju	Palju	vähe	Keskmine	Palju

Märkimist väärib, et millal täielik väljalülitamine treeningrežiimis võivad mõned testitud tooted (näiteks Agnitum Outpost Security Suite 6.5) näidata paremaid tulemusi, kuid sel juhul on kasutajal garanteeritud suur summa kõikvõimalikud hoiatused ja tegelikud raskused süsteemis töötamisel, mis kajastus selle testi metoodika koostamisel.

Nagu tulemused näitavad, parimad tooted pahavara tungimise vältimiseks OS-i kerneli tasemele on Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009.

Tuleb märkida, et Online Armor Personal Firewall Premium on täiustatud tulemüür ja ei sisalda klassikalisi viirusetõrjekomponente, samas kui ülejäänud kaks võitjat on terviklikud Internet Security klassi lahendused.

Tagurpidi ja negatiivne pool kõigi HIPS-i komponentide töö seisneb nende kuvatavate erinevate teadete ja kasutajatoimingute taotluste arvus. Isegi kõige kannatlikumad neist hülgavad usaldusväärse HIPS-i, kui see häirib teda liiga sageli tuvastussõnumitega kahtlased tegevused ja nõuab viivitamatut reageerimist.

Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 ja Agnitum Outpost Security Suite 6.5 puhul täheldati minimaalset kasutajatoimingute taotluste arvu. Ülejäänud tooted häirisid sageli hoiatustega.

„Käitumisanalüüs on rohkem tõhus viis tundmatu pahavaraga nakatumise vältimine kui koodianalüüsil põhinevad heuristilised meetodid käivitatavad failid. Kuid need nõuavad omakorda teatud teadmisi kasutajalt ja tema reaktsiooni teatud sündmustele süsteemis (faili loomine süsteemi kataloog, luues käivitusvõtme Tundmatu rakendus, mälu muutmine süsteemi protsess jne),“ kommenteerib Vassili Berdnikov, saidi ekspert.

"IN see võrdlus Valiti välja kuulsaimad tooted, mille pardal on HIPS. Nagu näete, suutis ainult kolm toodet piisavalt takistada tungimist nullrõngasse. Teine väga oluline parameeter on arvutiga igapäevase töö käigus ilmuvate teadete (hoiatuste) arv, mis nõuavad kasutaja otsust. Siin selgubki toodete tehnoloogiline eelis - juhtida süsteemi nii palju kui võimalik ja samal ajal kasutada kõikvõimalikke tehnoloogiaid, et vähendada HIPS-i poolt programmide käivitamisel ja installimisel esitatavate küsimuste hulka,“ märgib ekspert. .

Selles võrdlevas testis analüüsisime populaarseid isiklikke viirusetõrjeid ja tulemüüre, mis sisaldavad HIPS-i (Host Intrusion Prevention Systems) komponente, et takistada pahavara tungimist Microsoft Windowsi operatsioonisüsteemi kerneli tasemele (edaspidi Ring 0). Kui pahatahtlikul programmil õnnestub tungida kerneli tasemele, omandab see täieliku kontrolli personaalarvuti ohvrid.

Sissejuhatus:

Käitumisanalüüsi tehnoloogiad ja Host Intrusion Prevention Systems (HIPS) koguvad populaarsust viirusetõrje, tulemüüri ja muude pahatahtliku koodi eest kaitsvate vahendite tootjate seas.

Nende peamine eesmärk on tuvastada ja blokeerida pahatahtlikud tegevused süsteemis ning vältida selle nakatumist.

Kõige keerulisem kaitseülesanne taandub sel juhul pahatahtliku programmi tungimise takistamisele operatsioonisüsteemi tuuma tasemele (Kernel Level), mis töötab "protsessori nullringis" (Ring 0).

Sellel tasemel on maksimaalsed õigused käskude täitmisel ja süsteemi kui terviku arvutusressurssidele juurdepääsul.

Kui pahatahtlikul programmil õnnestub tungida kerneli tasemele, võimaldab see omandada täieliku ja sisuliselt piiramatu kontrolli ohvri personaalarvuti üle, sealhulgas võimaluse kaitse keelata ja oma kohalolekut süsteemis varjata.

Pahatahtlik programm võib hoolimata ametlikult töötavast viirusetõrjest kinni püüda kasutaja sisestatud teavet, saata rämpsposti, sooritada DDoS-i ründeid, asendada otsingupäringute sisu ja teha kõike muud. Seetõttu muutub tänapäevaste turvameetmete puhul eriti oluliseks, et pahatahtlikud programmid Ring 0-sse ei tungiks.

Selles testimises võrdlesime populaarseid HIPS-komponente sisaldavaid viirusetõrjeid ja tulemüüre, et teha kindlaks võime takistada pahavara tungimist Microsoft Windows XP SP3 operatsioonisüsteemi kerneli tasemele (edaspidi Ring 0).

Pahavara valik testimiseks:

Otsustasime mitte simuleerida Ring 0-sse tungimist tehislike vahenditega, vaid viia läbi test tõelise pahavaraga. Veelgi enam, viimased valiti nii, et need hõlmaksid kõiki Ring 0-s kasutatud salvestusmeetodeid, mida tegelikult kasutatakse "metsikus" (In The Wild):

1. StartServiceA- pahatahtlik draiver laaditakse alla, asendades süsteemidraiveri faili kataloogis %SystemRoot%\System32\Drivers ja seejärel laadides selle alla. Võimaldab laadida draivereid ilma registrit muutmata.
ITW esinemissagedus: kõrge

2. SCM- kasutada teenusehaldushalduri draiveri registreerimiseks ja laadimiseks. Seda meetodit kasutavad nii seaduslikud rakendused kui ka pahavara.
ITW esinemissagedus: kõrge

3. TuntudDlls- jaotise \KnownDlls muutmine ja ühe süsteemiteegi koopia, et laadida süsteemiprotsess pahatahtlikku koodi.
ITW esinemine: keskmine

4. RPC- draiverite loomine ja laadimine RPC kaudu. Kasutusnäide: kuulsa Rustock.C laadur
ITW esinemine: harv

5. ZwLoadDriver- süsteemi draiveri asendamine pahatahtliku draiveriga, teisaldades selle ja seejärel otse alla laadides.
ITW esinemissagedus: kõrge

6. ZwSystemDebugControl- HIPS-i installitud pealtkuulamiste eemaldamine, et jälgida süsteemisündmusi SDT-s, kasutades silumisõigusi.
ITW esinemissagedus: kõrge

7. \Seade\Füüsiline mälu- HIPS-i installitud pealtkuulamiste eemaldamine, et jälgida süsteemi sündmusi SDT-s, kasutades füüsilise mälu sektsiooni kirjutamist.
ITW esinemine: keskmine

8. ZwSetSystemInformation- draiveri laadimine ilma registris võtmeid loomata, kutsudes välja ZwSetSystemInformation parameetriga SystemLoadAndCallImage.
ITW esinemine: keskmine

9. CreateFileA\\.\PhysicalDriveX- ketta lugemine/kirjutamine sektorite kaupa (failide muutmine või ketta põhikäivituskirje).
ITW esinemine: keskmine

Nii valiti välja üheksa erinevat pahavaraprogrammi, mis kasutasid Ring 0 tungimiseks eeltoodud meetodeid, mida seejärel testimisel kasutati.

Võrdlusuuringu metoodika:

Testimine viidi läbi VMware Workstation 6.0 all. Testi jaoks valiti järgmised isiklikud viirusetõrjevahendid ja tulemüürid:

1. PC Tools Firewall Plus 5.0.0.38
2. Jetico Personal Firewall 2.0.2.8.2327
3. Online Armor Personal Firewall Premium 3.0.0.190
4. Kaspersky Internet Security 8.0.0.506
5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)
6. Comodo Internet Security 3.8.65951.477.

Kahjuks jäid F-Secure'i ja Nortoni viirusetõrjed tehnilistel põhjustel testist välja. Neisse sisseehitatud HIPS ei tööta eraldi lubatud viirusetõrjemonitorist. Ja kuna valitud pahavara näidiseid oli võimalik signatuuri abil tuvastada, ei saanud neid kasutada.

Neid viirusetõrjeid ei sobinud kasutada vanade viirusetõrje andmebaasidega (allkirja tuvastamise vältimiseks), kuna Nende toodete värskendusprotsess võib mõjutada mitte ainult viirusetõrjeandmebaase, vaid ka käivitatavaid mooduleid (kaitsekomponente).

Miks testisime teisi populaarseid viirusetõrjetooteid ja tulemüüre, mida on palju? Jah, sest need ei sisalda HIPS-moodulit. Ilma selleta pole neil objektiivselt mingit võimalust OS-i kernelisse tungimist takistada.

Kõik tooted installiti maksimaalsete seadistustega, kui neid sai seadistada ilma HIPS-i seadeid käsitsi muutmata. Kui installimise ajal pakuti kasutamiseks automaatset õppimisrežiimi, siis kasutati seda kuni pahavara käivitamiseni.

Enne testimist käivitati legitiimne cpu-z utiliit (väike programm, mis annab teavet arvutisse installitud protsessori kohta) ja loodi reegel, mis soovitas testitavat toodet (selle HIPS-i komponenti). Pärast selle utiliidi jaoks reegli loomist lülitati automaatne õpperežiim välja ja loodi süsteemi oleku hetktõmmis.

Seejärel käivitati ükshaaval spetsiaalselt testi jaoks valitud pahatahtlikud programmid, enne järgmise kontrollimist registreeriti HIPS-i reaktsioon sündmustele, mis olid otseselt seotud installimise, registreerimise, draiveri laadimise ja muude katsetega Ring 0-le kirjutada pahatahtlik programm, lähtestati süsteem foto algusesse.

Testis osalenud viirusetõrjetes oli failimonitor keelatud ja Kaspersky Internet Security 2009-s pandi pahatahtlik rakendus käsitsi ebausaldusväärsest tsoonist nõrkadele piirangutele.

Testimise etapid:

1. Looge hetktõmmis puhtast virtuaalmasinast (esmane).

2. Testitava toote paigaldamine maksimaalsete seadistustega.

3. Töötage süsteemis (installimine ja käivitamine Microsofti rakendused Office, Adobe Reader, Internet Explorer), mis võimaldab õppimisrežiimi (kui see on saadaval).

4. Testitava toote sõnumite arvu märkimine, legitiimse cpu-z utiliidi käivitamine ja sellele reeglite loomine.

5. Keelake automaatne õpperežiim (kui see on saadaval).

6. Testitava toote üleviimine interaktiivsesse režiimi ja installitud tootega virtuaalmasinast teise hetketõmmise loomine (abiseade).

7. Looge kõigi testitud toodete kohta hetktõmmised, liikudes tagasi peamise hetktõmmise juurde ja korrates samme 2–4.

8. Testitava toote hetktõmmise valimine, OS-i laadimine ja pahatahtlike programmide iga kord ükshaaval käivitamine algolekusse tagasipöördumisega, HIPS-i reaktsiooni jälgimine.

Võrdlevad testimise tulemused:

Pluss tabelis tähendab, et teatud sündmusele reageeris ründeprogramm HIPS-i poolt, et tungida rõngasse 0 ja tekkis võimalus see toiming peatada.

Miinus- kui pahatahtlikul koodil õnnestus sattuda rõngasse 0 või avada ketas sektoripõhiseks lugemiseks ja kirjutamiseks.

Tabel 1: HIPS-i komponentide võrdleva testimise tulemused

Tasub teada, et kui treeningrežiim on täielikult välja lülitatud, võivad mõned testitud tooted (näiteks Agnitum Outpost Security Suite 6.5) näidata paremaid tulemusi, kuid sel juhul on kasutajal garanteeritud suur hulk erinevaid hoiatusi ja hoiatusi ning tegelikud raskused süsteemis töötamisel, mis kajastus selle testi metoodika koostamisel.

Nagu tulemused näitavad, on parimad tooted, mis takistavad pahavara tungimist OS-i kerneli tasemele, Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009.

Tuleb märkida, et Online Armor Personal Firewall Premium on täiustatud tulemüür ja ei sisalda klassikalisi viirusetõrjekomponente, samas kui ülejäänud kaks võitjat on terviklikud Internet Security klassi lahendused.

Kõigi HIPS-i komponentide toimimise negatiivne ja negatiivne külg on nende kuvatavate erinevate teadete ja kasutajatoimingute nõudmiste arv. Isegi kõige kannatlikum neist keeldub usaldusväärsest HIPS-ist, kui see häirib teda liiga sageli sõnumitega kahtlase tegevuse tuvastamise kohta ja nõuab viivitamatut reageerimist.

Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 ja Agnitum Outpost Security Suite 6.5 puhul täheldati minimaalset kasutajatoimingute taotluste arvu. Ülejäänud tooted häirisid sageli hoiatustega.

Alglaadimisel Turvaline brauser peal OS Windows 8/8.1 (x64) oranžis raamis võib ilmuda viga" Kaspersky Internet Security ei paku teie andmete täielikku kaitset: ekraanipiltide kaitse on keelatud".

Viga ilmneb järgmistel põhjustel:

• Seda funktsiooni riistvara ei toeta. Selle funktsiooni toimimiseks peavad teie arvuti protsessor ja emaplaat toetama virtualiseerimistehnoloogiat.
• Blokeeritud seadete poolt BIOS. Lahendus: seadetes BIOS lubada tugi kolmandate osapoolte hüperviisoritele.
• Blokeeritud muu tarkvara poolt. Lahendus: sulgege kõik hüperviisorit kasutavad rakendused (näiteks VMWare) ja taaskäivitage oma turvaline brauser.
• Kaitse pole toote sätete sätetes lubatud. Lahendus: märkige ruut toote seadetes.

1. Kontrollige, kas ekraanipiltide blokeerimise funktsioon on tootes lubatud

1. Sulgege kõik hüperviisorit kasutavad rakendused (näiteks VMWare).
2. Avage toote seadete aken.
3. Aknas Seaded vahekaardil Kaitse Vajutage Turvalised maksed.

1. Aknas Ohutu raha valikud blokis Lisaks märkige ruut Blokeerige ekraanipildid kaitstud brauseris töötades.

Kui toote seadetes pole määratud parameeter, seda funktsiooni teie arvuti ei toeta.

Kui märkeruut on toote seadetes märgitud, kuid funktsioon ei tööta, uurige, kas teie arvuti toetab virtualiseerimistehnoloogiat (vt üksikasjalikke juhiseid allpool).

2. Uurige, kas teie arvuti toetab virtualiseerimistehnoloogiat

Arvuti toetab virtualiseerimistehnoloogiat, kui protsessor ja emaplaat seda toetavad. Otsige seda teavet oma protsessori ja emaplaadi tootja veebisaidilt.

Kui virtualiseerimine on toetatud, vaadake, kas see on sisse lülitatud BIOS-i sätted:

1. Vajutage samal ajal klaviatuuri klahve Ctrl, Shift Ja Esc.
2. Aknas Tegumihaldur klõpsake nuppu Rohkem detaile.

1. Minge vahekaardile Esitus.
2. Järjehoidja peal Protsessor vaadake liini olekut Virtualiseerimine (Kaasas, Välja lülitatud, Ei sobi).

1. Sõltuvalt virtualiseerimise olekust tehke järgmist.
   • Kaasas. Lubage funktsioon toote seadetes (vaadake ülaltoodud üksikasjalikke juhiseid).
   • Ei sobi. Sel juhul Riistvara teie arvuti (protsessor, emaplaat) ei toeta virtualiseerimistehnoloogiat.
   • Välja lülitatud. Lubage BIOS-i sätetes kolmanda osapoole hüperviisorite tugi (vaadake üksikasjalikke juhiseid allpool).

3. Lubage BIOS-i sätetes kolmanda osapoole hüperviisorite tugi

1. Peal Töölaud viige hiirekursor paremasse ülanurka ja klõpsake nuppu Valikud.

1. Puudutage ekraani allosas valikut Muuda arvuti sätteid/Muutke arvuti sätteid.

1. Järgmisena tehke järgmist.

OS-i kasutajatele Windows 8:

• Aknas Valikud valige järjehoidja Üldine -> Erilised allalaadimisvalikud ja klõpsake nuppu Taaskäivita nüüd.

OS-i kasutajatele Windows 8.1:

• Aknas Valikud valige järjehoidja Värskendus ja taastamine.
• Akna paremal küljel Värskendus ja taastamine vali Taastumine.
• Punktis Erilised allalaadimisvalikud klõpsake nuppu Taaskäivita nüüd.

1. Alglaadimismenüüs Tegevuse valik vali Diagnostika.

Menüüs Diagnostika vali Lisavalikud.

1. Menüüs Lisavalikud vali .
2. Menüüs UEFI püsivara sätted klõpsa Taaskäivitage.
3. Seadetes BIOS mine sektsiooni Seadistamine/Täiustatud/Täiustatud BIOS-i funktsioonid (nimi oleneb versioonist BIOS arvutis).
4. Stringi jaoks Inteli virtuaaltehnoloogia/Inteli virtualiseerimistehnoloogia/VT-d (võimalikud on ka muud nimevalikud) määrake olek Lubatud.
5. Salvestage sätted ja taaskäivitage arvuti.

Mitme versiooni näited BIOS:

Auhinna BIOS

Ameerika Megatrendide BIOS

UEFI

See artikkel eeldab, et saate aru, mida teete ja riske, mida te võtate. Saidi administratsioon ja artikli autor ei vastuta seadmete eest, mis rikkis kasutaja tegevuse tagajärjel.

Draiverite 16.12.1 väljalaskmisega, tuntud ka kui Crimson ReLive, insenerid ja programmeerijad AMD otsustas eemaldada võimaluse kasutada RX 400-seeria videokaartidel mitteoriginaalseid BIOS-e. Nüüd seisavad kõik, kes proovivad oma kaartide BIOS-i algsest erinevaks muuta, silmitsi tõsiasjaga, et AMD draiverid keelduvad töötamast videokaart.

Kuid, käsitöölised leidnud lahenduse see piirang, mida arutatakse allpool. BIOS-i kontrollimise keelamiseks vajate utiliiti AMD/ATI Pixel Clock Patcher mis . Samuti vajate utiliiti videokaardi püsivara välgutamiseks ATI Winflash mis .

BIOS-i vilkumine

See artikkel eeldab, et teil on juba valmis ROM-BIOS videokaardi jaoks, mida soovite välgutada.

Enne püsivara vilkumist oleks parem videoadapter sisse lülitada Windows. Selleks peate avama " seadmehaldus", laienda loendit" Video adapterid" ja kui olete valinud soovitud, klõpsake sellel paremklõps hiirega ja valige " Keela".

Seejärel käivitame administraatoriõigustega ATIWinflashi. Klõpsake nuppu Laaditud, valige soovitud BIOS "ROM-fail.

Pärast faili valimist alustame programmi nupuga vilkumist.

Ootame vilkumise protseduuri lõppu. See võib võtta mitu minutit. Samuti juhtub, et arvuti külmub - see võib juhtuda seetõttu, et videokaarti ei keelatud seadmehalduri kaudu.

Pärast lõpetamist kuvatakse teade, mis näitab edukat vilkumist.

Seejärel, pärast nupu "OK" klõpsamist, kuvatakse taaskäivitamise viip, millest vaja alla anda.

Keelake videokaardi BIOS-i kontroll

Käivitage AMD/ATI Pixel Clock Patcher. Veenduge, et ilmuvas programmiaknas oleks rida BIOS-i allkirjakontroll: leitud ja vastake küsimusele "Pach found values", klõpsates nuppu "Jah".

Programm alustab tööd, võib tunduda, et praegu on see suletud. Tegelikult peate ootama, kuni kuvatakse teade eduka plaastri ja draiveri allkirja kohta.

Pärast selle akna ilmumist saate turvaliselt taaskäivitada ja kasutada kohandatud BIOS-iga videokaarti uusimad draiverid AMD.